De introductie van de nieuwe privacywetgeving in Europa roept twee interessante vragen op die nog onvoldoende aan bod zijn gekomen. Allereerst: zijn we dankzij de GDPR wereldwijd toonaangevend in de bescherming van persoonsgegevens? En: wat betekent dit voor de concurrentiepositie van Europa en van Europese bedrijven in de zogeheten platformeconomie?
Door Yvette van Gemerden – PwC-specialist op het gebied van dataprivacy en -bescherming
De eerste vraag is het makkelijkst te beantwoorden. Ja, met de GDPR heeft Europa internationaal verstrekkende en uniforme regels opgesteld voor de verwerking van privacygevoelige gegevens. Weliswaar kun je op bepaalde onderdelen kanttekeningen plaatsen bij de doelmatigheid en relevantie ervan (en dat doe ik ook), maar het maakt wel dat Europa wereldwijd vooroploopt op het gebied van gegevensbescherming.
Een standaard voor dataprivacy
Hoe belangrijk dit is, blijkt uit het initiatief van enkele grote techplatformen (zoals Facebook, Google, Apple, Salesforce en Microsoft) om nu ook samen afspraken te willen maken over een standaard voor dataprivacy. Dit initiatief lijkt te zijn ingegeven door de GDPR. De GDPR legt namelijk grote druk op de techplatformen, omdat het rechtstreeks op hen van toepassing is door het verwerken van grote hoeveelheden persoonsgegevens van Europese ingezetenen. Ze voelen dus de hete adem van de Europese wetgever in de nek. De techplatformen realiseren zich dat ze hun dominante positie kwijtraken als ze niet compliant zijn.
Compliance aan Europese privacyregelgeving
Compliance zijn aan de strikte (Europese) privacyregelgeving wordt ook door andere mondiale ontwikkelingen van steeds groter belang. De nog steeds toenemende globalisering speelt hierbij een rol. Landen buiten Europa, zoals bijvoorbeeld Zuid-Korea en Japan, zetten voortdurend stappen in het vergroten van hun afzetmarkt. Japan en de Europese Unie zijn in de zomer van 2018 een nieuwe bilaterale handelsovereenkomst aangegaan. Mede hierdoor is ook de vrije doorgifte van persoonsgegevens tussen beide handelsblokken steeds belangrijker geworden.
Vrije doorgifte van persoonsgegevens
In de slipstream van de handelsovereenkomst hebben Japan en de Europese Unie dus nog een overeenkomst gesloten. Door deze deal zullen data vrijelijk kunnen stromen tussen Europa en Japan, ook voor commerciële doeleinden en zonder bijkomende verplichtingen voor bedrijven. De Europese privacystandaarden voor persoonsgegevens zijn daarbij gewaarborgd. Inzet van de deal is dat de EU en Japan elkaars gegevensbeschermingsstelsels als ‘gelijkwaardig’ gaan erkennen. De verwachting is dat de Europese Commissie daartoe in het najaar van 2018 een zogenoemd ‘adequaatheidsbesluit’ neemt. Vanaf dat moment zullen er dus geen belemmeringen meer bestaan voor de doorgifte van persoonsgegevens tussen Japan en de EU.
Innovatie- en groeivermogen niet in gevaar
De hierboven beschreven ontwikkelingen kunnen het begin zijn van het ontstaan van een wereldwijd geldende standaard voor data fairness met de GDPR als kern. Maar gaat deze voorsprong niet ten koste van onze concurrentiekracht? Ik denk het niet. In Europa lopen we dankzij de introductie van de GDPR voorop op het gebied van het waarborgen van digitale betrouwbaarheid. In een data-gedreven economie en samenleving is het vertrouwen van burgers in het vermogen van bedrijven en instellingen om zorgvuldig en integer om te gaan met hun privacygevoelige informatie, onmisbaar voor het vergroten van merkentrouw en merkwaarde. En wie erin slaagt om transparant te zijn over wat er met uw en mijn data gebeurt, en ons ervan kan overtuigen dat we altijd controle hebben over het gebruik en de interpretatie van onze dataprofielen, verdient ons (consumenten)vertrouwen.
Verantwoord gebruik van algoritmen
Dat de grote techplatformen nu haast maken met een eigen standaard voor dataprivacy, geeft aan dat ze er ook zo over denken. Het is nu zaak dat Europa het initiatief behoudt en doorpakt. Daarom is er haast geboden met het nemen van vervolgstappen. De GDPR alleen volstaat niet. Onze digitale grondrechten zijn beter gewaarborgd als de wetgever dataverwerkende organisaties verplicht om transparant te zijn over hoe ze hun algoritmen coderen om uitsluiting en discriminatie van kwetsbare groepen te voorkomen. Onze dataveiligheid moet niet alleen afhankelijk zijn van onze (kwetsbare) toestemming; ook bedrijven moeten kunnen verantwoorden dat ze voldoen aan bepaalde minimumeisen op het gebied van een verantwoord gebruik van algoritmen. Zeker als ze uw en mijn data verwerken tot economische handelswaar.
Ontwikkeling van nieuwe technieken
Ook moet Europa vooroplopen bij de ontwikkeling van nieuwe technieken en instrumenten voor de verwerking van persoonsgegevens. Er moeten innovatieve versleutelingstechnieken worden bedacht en ontwikkeld, en de wetgever moet nadenken in welke gevallen het zonder toestemming bewerken van gepseudonimiseerde data mogelijk moet zijn. Slagen we daarin, dan vergroten we onze voorsprong op het gebied van dataprivacy en versterken we ons concurrentievermogen in de platformeconomie.
Bron: PwC