Privacy-vooruitzichten: Wetgeving, handhaving, rechtszaken

Volgens marktonderzoeksbureau Gartner worden bedrijven geconfronteerd met sterk toenemende privacyrisico's. Wetgeving, handhaving, rechtszaken en consumentenactivisme nemen toe, terwijl cyberaanvallen inbreuk blijven plegen op de opslag van persoonlijke gegevens van bedrijven, zoals sofi- en creditcardnummers.

In reactie hierop moeten de dataprivacyprogramma's van bedrijven een versnelling hoger. Bedrijven die persoonsgegevens beheren en beschermen met slechts een "minimaal haalbare" aanpak om aan privacyregels te voldoen, krijgen te maken met een reeks negatieve uitkomsten, aldus Gartner. In plaats daarvan moet privacy centraal en proactief komen te staan, moet het bedrijfsbreed worden omarmd als een onderscheidende factor ten opzichte van de concurrentie en moet het geautomatiseerd worden om regelgevers, klanten, werknemers, partners en andere belanghebbenden tevreden te stellen.

Dit artikel, gebaseerd op een Gartner®-rapport met de titel "Predicts 2022: Privacy Risk Expands," richt zich op compliancerisico. Het maakt deel uit van een driedelige serie waarin later ook rechtszaken en gegevensprivacy als concurrentiedifferentiator onder de loep zullen worden genomen.

Bedrijven gevangen in de kruiswind van privacyrisico's

Tegen volgend jaar zal de regelgeving inzake consumentenbescherming en privacy betrekking hebben op zo'n 5 miljard burgers en meer dan 70% van het wereldwijde bbp. Dat is een stijging ten opzichte van de 3 miljard in 2021, aldus de firma, die eraan toevoegt: "Deze trend is aanzienlijk versneld op weg naar 2022."

Maar het privacyrisico reikt veel verder dan de boetes van regelgevers voor niet-naleving. Een andere voorspelling is dat bedrijven die er niet in slagen persoonsgegevens te beschermen of te respecteren, tegen 2026 drie keer meer financiële schade zullen lijden door collectieve rechtszaken en andere consumentengeschillen dan door regelgevingshandhaving.

Bovendien zullen bedrijven steeds meer concurreren op basis van hun reputatie op het gebied van privacy. Consumenten zullen met hun portemonnee stemmen op basis van hoe zorgvuldig hun persoonsgegevens worden beschermd en hoe goed bedrijven reageren wanneer zij hun bezorgdheid uiten. Dit concurrentierisico drijft privacyprogramma's in een nieuwe richting. "Tegen 2024 zal het gemiddelde jaarlijkse budget voor privacy van grote organisaties meer dan 2,5 miljoen dollar bedragen, waardoor een verschuiving van compliance-ethiek naar concurrentiedifferentiatie mogelijk wordt."

Het zal echter niet gemakkelijk zijn om deze uitdagingen aan te gaan, aangezien bedrijven ook te maken hebben met een tekort aan beschikbare privacyprofessionals. "Tegen 2024 zal een tekort aan privacyprofessionals leiden tot 100.000 onvervulde vacatures."

Privacywetgeving breidt zich uit

In de VS heeft de Kamer van Koophandel onlangs een coalitie van nationale en staatsorganisaties geleid in haar oproep tot een alomvattende, nationale privacywetgeving.[1] "Een nationale privacywetgeving die duidelijk en eerlijk is voor bedrijven en die consumenten mondig maakt, zal het digitale ecosysteem bevorderen dat Amerika nodig heeft om te concurreren," schreef de Kamer.

Intussen worden Amerikaanse bedrijven geconfronteerd met een lappendeken van wetgeving. Bijna 30 staten hebben wetten inzake gegevensbescherming aangenomen of overwegen dat te doen, die onderling sterk verschillen, waardoor de naleving voor de bedrijven een zware last wordt. In afwachting van nationale wetgeving ontwikkelt en handhaaft de Amerikaanse Federal Trade Commission (FTC) in het hele land privacyregels.[2] Amerikaanse bedrijven in sectoren zoals de gezondheidszorg moeten hun privacy al jaren beschermen op grond van wetten zoals de Health Insurance Portability and Accountability Act (HIPAA). En veel Amerikaanse bedrijven met internationale activiteiten moeten voldoen aan overzeese privacyregels, zoals de General Data Protection Regulation (GDPR) van Europa.

Wereldwijd neemt ook de complexiteit van de regelgeving toe, schreef Gartner, nu ook met wetten in landen als China en India. Hoewel veel van deze wetten zijn gebaseerd op de GDPR, verschillen ze toch in hun vereisten voor de preventie van datalekken, privacyverklaringen en -verklaringen, en in de mate waarin consumenten toestemming geven en voorkeuren aangeven met betrekking tot het gebruik van persoonlijke informatie door bedrijven.

Hoe goed voldoen bedrijven tot nu toe aan de wetgeving? Zelfs voor wetten die al jaren van kracht zijn, zoals de GDPR, beoordeelde slechts 20% van de privacyprofessionals hun bedrijven als volledig compliant, terwijl 43% zichzelf als "zeer compliant" beschouwde, volgens een afzonderlijk rapport van de International Association of Privacy Professionals (IAPP). [3] Ondertussen bereikten datalekken, blootstellingen en andere compromissen van persoonlijke informatie in 2021 een recordhoogte in de VS, een stijging van 68% ten opzichte van het voorgaande jaar, volgens het Identity Theft Resource Center.[4] "Gartner voerde tussen april 2021 en mei 2021 een online onderzoek uit in meerdere landen. Volgens dit onderzoek gaven organisaties met ten minste 100 werknemers en $ 50 miljoen aan totale jaaromzet voor het fiscale jaar 2020 gemiddeld $ 1.524 per subject access request (SAR) uit, en was de meerderheid van de respondenten (85%) in staat om een verzoek binnen twee weken na ontvangst te verwerken.1"

Bedrijven geconfronteerd met privacy handhaving

Bijna 1.000 boetes zijn uitgedeeld door toezichthouders sinds de GDPR in 2018 werd geïmplementeerd, voor een totaal van bijna 1,8 miljard dollar.[5] De meeste waren voor de verboden verwerking van persoonsgegevens, inadequate gegevensbeveiliging en onvoldoende naleving van de rechten van personen om toegang te krijgen tot persoonsgegevens, deze te corrigeren of te wissen.

In de VS beschouwt de FTC zichzelf als de belangrijkste autoriteit op het gebied van de bescherming van de persoonlijke levenssfeer in het kader van haar mandaat om toezicht te houden op handelspraktijken. Sinds 2002 heeft de FTC 80 zaken aangespannen tegen bedrijven wegens de ontoereikende bescherming van de persoonsgegevens van consumenten, zo meldde het agentschap eind vorig jaar aan het Congres.[6] De laatste tijd is de FTC actiever gaan toezien op de bescherming van de persoonlijke levenssfeer in het kader van wetten zoals de Gramm-Leach-Bliley Act, die de privacy van financiële informatie beschermt.

In het eerste jaar dat de precedentwerking van de California Consumer Privacy Act (CCPA) werd gehandhaafd, zijn "kennisgevingen van schending afgegeven aan entiteiten waaronder gegevensmakelaars, marketingbedrijven, bedrijven die informatie over kinderen verwerken, mediakanalen en onlineverkopers", meldde het bureau van de procureur-generaal vorig jaar. Bedrijven krijgen 30 dagen de tijd om vermeende overtredingen te "verhelpen", en tot nu toe hebben bijna alle bedrijven hieraan voldaan, in plaats van een boete te betalen.[7]

Privacyrechtszaken in opmars

De CCPA illustreert niet alleen tendensen op het gebied van handhaving, maar geeft ook inzicht in het groeiende aantal rechtszaken over privacy. Volgens één telling zijn meer dan 100 collectieve rechtszaken aangespannen op basis van de CCPA. Het gaat onder meer om een schikking van 5 miljoen dollar door een bedrijf met klanten die beweren dat ontoereikende beveiligingsprocedures cyberaanvallers in staat stelden hun persoonlijke informatie te stelen.[8]

Er ontstaan rechtszaken op verschillende gebieden, waarbij zowel werknemers als klanten betrokken zijn. Gartner meldt een explosie van rechtszaken over privacy rond het verzamelen en opslaan van biometrische informatie, zoals vingerafdrukken en gezichtsherkenning voor digitale toegang. Zo trof een fastfoodrestaurant onlangs een schikking van 50 miljoen dollar met werknemers die beweerden dat hun geen toestemming was gevraagd om hun vingerafdrukken te gebruiken voor het inklokken.[9] In Europa zijn veel kleine rechtszaken aangespannen; sommige hielden verband met de GDPR in Duitsland, bijvoorbeeld, met gemengde uitkomsten voor en tegen de eisers. Ondertussen heeft een rechtbank in Nederland onlangs een miljardenzaak afgewezen tegen twee Big Tech bedrijven die betrokken zijn bij real-time advertentieveilingen.[10]

Vermindering van privacyrisico's

"Met de uitbreiding van de inspanningen op het gebied van privacyregelgeving in tientallen rechtsgebieden in de komende twee jaar, zullen veel organisaties pas nu de noodzaak inzien om te beginnen met hun inspanningen op het gebied van privacyprogramma's", aldus Gartner. Ondertussen zijn bedrijven met meer volwassen programma's bezig hun mogelijkheden uit te breiden.

Het advies van Gartner om de komende uitdagingen aan te gaan omvat:

• Stel privacy centraal in uw bedrijf.
• Opzetten van een duurzaam, bedrijfsbreed privacyprogramma, inclusief jaar-op-jaar uitbreiding in bereik en impact.
• Plan een uniforme aanpak van de naleving in alle rechtsgebieden waarin u actief bent, met de mogelijkheid om rekening te houden met regionale verschillen.
• Automatisering van de processen voor de behandeling van verzoeken van personen om toegang tot hun persoonlijke informatie.
• Naast privacy-specifieke tools, zoals zelfbedieningsportalen voor klanten, maakt gebruik van klassieke datacentrische mogelijkheden, zoals data discovery, classificatie en end-of-life automatisering.
• Versterk het personeelsbestand met opleiding, bevorderlijke samenwerkingsculturen tussen de afdelingen en zo nodig tijdelijk personeel.

De kern van de zaak

Het privacyrisico neemt in vele richtingen toe, van de opkomst van nieuwe wetgeving tot meer boetes, rechtszaken en klachten van klanten. Bedrijven moeten zich richten op privacy als een centraal aspect van hun bedrijf - niet alleen voldoen aan privacyregels, maar op de markt concurreren op basis van hun reputatie wat betreft het handhaven van gegevensprivacy.

[1] "Coalition Letter on National Privacy Legislation," U.S. Chamber of Commerce

[2] "FTC zet stappen in de richting van privacy- en AI-regelgeving," International Association of Privacy Professionals

[3] "IAPP-EY Annual Privacy Governance Report 2021," International Association of Privacy Professionals

[4] "End-of-Year Data Breach Report 2021," Identity Theft Resource Center

[5] "Verloop van de totale som van de boetes (cumulatief)," Enforcement Tracker

[6] "FTC Report to Congress on Privacy and Security," Federal Trade Commission

[7] "Attorney General Bonta Announces First-Year Enforcement Update on the California Consumer Privacy Act," Ministerie van Justitie van Californië

[8] "CCPA Breach Class Action Settlement About to Get 'Minted," JD Supra

[9] "McDonald's Illinois Biometrische Privacy $50M Class Action Settlement," Top Class Actions

[10] "Arrest van 19 december 2021," Rechtbank Amsterdam

Gartner, Predicts 2022: Privacyrisico breidt uit, Bart Willemsen, Katell Thielemann, Bernard Woo, Nader Henein, 27 oktober 2021

GARTNER is een geregistreerd handelsmerk en dienstmerk van Gartner, Inc. en/of zijn filialen in de VS en internationaal, en wordt hierin gebruikt met toestemming. Alle rechten voorbehouden.