Wat na vijf jaar privacywet in ieder geval duidelijk mag zijn, is dat de AVG naar meer smaakt. De privacywet was de eerste grote wet tegen bigtechbedrijven en gaf Europa veel inspiratie voor nieuwe wetgeving. Als de wet de verzameling van persoonsgegevens bij Big Tech kan reguleren, kan dat vast ook met andere bedrijfsonderdelen, toch?
Inmiddels zijn er drie grote, Europese wetten in opkomst die dat moeten doen. De Digital Services Act reguleert hoe bedrijven omgaan met zaken als privacy en trackingadvertenties, maar ook met inhoud, zoals het verwijderen van digitale content. De wet is eind vorig jaar in werking getreden. Daarnaast is er de Digital Markets Act, die draait om hoe grote bedrijven digitaal moeten opereren, zoals interoperabiliteit en de openstelling van platforms, zoals iOS. Ook die wet ging in november vorig jaar in. En dan is er tot slot de AI Act, die opvallend progressief is omdat hij kunstmatige intelligentie probeert te reguleren op een moment dat die nog in de kinderschoenen staat. Die wet wordt naar verwachting deze zomer goedgekeurd door het Europees Parlement.
:strip_exif()/i/2004823388.jpeg?f=imagenormal)
Blauwdruk voor andere wetten
De AVG lijkt als een blauwdruk voor die nieuwe wetten te werken. Een deel van de DSA, DMA en AI Act lijkt geïnspireerd op de AVG. Neem bijvoorbeeld weer die slager om de hoek. Waar de AVG zulke kleine partijen vroeger buitensporig hard leek te raken, zijn de DSA en DMA alleen van toepassing op zogenaamde poortwachters. Dat zijn alleen grote techbedrijven met een minimale jaaromzet of marktwaarde van miljarden en een minimumaantal gebruikers. Het beleid om vooral daar naar te kijken, lijkt een les die geleerd is van de AVG. Zo blijven kleine bedrijven uit de wind en zijn ze niet buitenproportioneel veel tijd kwijt aan 'compliance'.
Technologieneutraliteit
De AVG is bewust technologieneutraal opgesteld.
Een ander belangrijk aspect van de AVG is dat die technologieneutraal is opgesteld. De privacywet blijft bewust weg van het uitleggen van termen. Die uitleg is in de afgelopen jaren noodgedwongen ontstaan. Neem 'algoritmes'. Dat hele woord komt in de AVG niet voor en ook de AI Act beschrijft niet expliciet wat een algoritme precies inhoudt. Toch heeft Nederland al een algoritmetoezichthouder, die als een van zijn belangrijkste taken heeft om te onderzoeken wat een algoritme precies is en wanneer je het wel en niet moet inzetten.
De AVG kende aanvankelijk heel veel normen die gaandeweg moesten worden uitgelegd. "Sommige processen, zoals wanneer iets een 'hoog risico' is of wanneer data 'organisatorisch goed beveiligd zijn', zijn erg dynamisch", zegt AP-voorzitter Aleid Wolfsen. "Je ziet dat bedrijven zich telkens weer moeten aanpassen aan die vraag als er nieuwe technieken opkomen."
:strip_icc():strip_exif()/i/2006852536.jpeg?f=fpa_thumb)
:strip_icc():strip_exif()/i/2006495064.jpeg?f=fpa_thumb)
/i/2004735554.png?f=fpa)
:strip_exif()/i/2005763752.jpeg?f=fpa)
:strip_exif()/i/1207076674.gif?f=fpa)
:strip_exif()/i/2004648160.jpeg?f=fpa)
:strip_exif()/i/2006378028.jpeg?f=fpa)
:strip_exif()/i/2006225226.jpeg?f=fpa)
/i/2004907232.png?f=fpa)
:strip_exif()/i/2004776604.jpeg?f=fpa)
:strip_exif()/i/2004806902.jpeg?f=fpa)
:strip_exif()/i/2004648164.jpeg?f=fpa)
/i/2005182236.png?f=fpa)
/i/2004620466.png?f=fpa)
:strip_exif()/i/2005669902.jpeg?f=fpa)