De Algemene Verordening Gegevensbescherming (AVG, internationaal bekend als de GDPR), ooit het kroonjuweel van het Europese technologiebeleid, staat op het punt herschreven te worden. Wat jarenlang onaantastbaar leek, wordt nu aangepakt in een poging om Europese bedrijven ademruimte te geven.
Woensdag presenteert de Europese Commissie haar voorstel om de AVG aan te passen, met name om de administratieve lasten voor kleine en middelgrote ondernemingen te verlichten. Later die avond onderhandelen EU-functionarissen ook over aanvullende regels die enkele oorspronkelijke tekortkomingen van de AVG moeten oplossen.
Privacy
De herziening maakt deel uit van een bredere inspanning van de Commissie om Europese wetgeving te vereenvoudigen en economische groei te stimuleren. In een invloedrijk rapport van voormalig Italiaans premier Mario Draghi werd de complexe Europese regelgeving, en specifiek de AVG, aangemerkt als een rem op innovatie en concurrentievermogen, vooral ten opzichte van de VS en China.
Logge EU-regelgeving
Hoewel digitale burgerrechtenorganisaties de AVG prijzen als wereldwijde standaard voor privacybescherming, ervaren veel bedrijven de wet als een symbool van kostbare en logge EU-regelgeving. Het wijzigen van de AVG is dan ook geen lichtzinnige stap: het dreigt het broze evenwicht tussen privacyactivisten en bedrijfsbelangen in Brussel te verstoren.
Tussen 2012 en 2016 leidde het opstellen van de AVG tot een van de grootste lobbycampagnes ooit in de EU. Sinds de invoering in 2018 was men dan ook huiverig om de wet aan te passen, uit angst opnieuw dat lobbycircus aan te wakkeren.
Rapportageverplichtingen
De Commissie benadrukt echter dat de hervormingen beperkt blijven tot vereenvoudigde rapportageverplichtingen en geen afbreuk doen aan de fundamentele principes van de AVG. Zo zouden uitzonderingen voor kleine bedrijven (minder dan 250 werknemers) worden uitgebreid naar middelgrote ondernemingen (tot 500 werknemers). Ook worden zij mogelijk vrijgesteld van het bijhouden van verwerkingsregisters of het uitvoeren van privacy-effectbeoordelingen.
Daarnaast worden woensdagavond onderhandelingen afgerond over nieuwe regels die langdurige grensoverschrijdende AVG-onderzoeken moeten versnellen. Met name Big Tech-bedrijven zijn vaak betrokken bij dergelijke onderzoeken die jaren kunnen duren. De nieuwe regels moeten samenwerking tussen nationale toezichthouders verbeteren, concrete termijnen vastleggen en de rechten van betrokkenen verduidelijken.
Gegevensbescherming
Hoewel deze wijzigingen nog beperkt zijn, sluit de Commissie toekomstige aanpassingen aan de AVG niet uit. Tijdens consultaties is al gesproken over mogelijke ‘consolidatie’ van de wet in bredere strategische plannen, zoals de aankomende Data Union Strategy. Ook roept de invoering van de AI-wet nieuwe vragen op over de verhouding tussen kunstmatige intelligentie en gegevensbescherming.
Wat ooit een onaantastbaar bastion van Europese waarden leek, staat nu open voor hervorming, met mogelijk verstrekkende gevolgen voor privacy, innovatie en de machtsverhoudingen in Brussel.