Op 27 april 2026 bestaat de GDPR tien jaar. Waarom is dit een speciale dag?
27 april 2026 markeert inderdaad tien jaar sinds de goedkeuring van de GDPR-verordening – de Algemene Verordening Gegevensbescherming – door het Europees Parlement en de Raad. De regelgeving werd dan wel in 2016 formeel aangenomen, maar het was pas in mei 2018 dat de regels effectief werden gehandhaafd. De twee jaren daartussen dienden als overgangsperiode waarin organisaties zich konden voorbereiden op de nieuwe verplichtingen.
Het is niet zozeer een verjaardag die we met toeters en bellen vieren, maar wel een moment om stil te staan bij de impact van de regelgeving. De GDPR heeft immers een belangrijke rol gespeeld in hoe we vandaag omgaan met privacy. Zeker in een steeds digitaler wordende samenleving. Het is een duidelijke keuze van Europa geweest om burgers beter te beschermen in dat digitale tijdperk. Daarmee onderscheidt Europa zich van andere regio’s in de wereld waar privacy veel meer onder druk komt te staan. Tegelijk is het een goed moment om kritisch te evalueren waar we vandaag staan en welke aanpassingen eventueel nodig zijn.
Is er tien jaar later voldoende bewustzijn rond GDPR binnen organisaties? En wat kan/moet er nog beter?
Enerzijds is het bewustzijn rond GDPR zonder twijfel sterk toegenomen. Organisaties worden vandaag veel vaker geconfronteerd met vragen rond gegevensbescherming. Anderzijds is er nog ruimte voor verbetering en zijn we nog lang niet waar we moeten zijn.
In de eerste jaren na de inwerkingtreding in 2018 was er een soort golf van ‘paniek’. Veel organisaties hadden zich onvoldoende voorbereid en moesten op korte tijd allerlei maatregelen nemen, zoals het opstellen of nakijken van verwerkersovereenkomsten. Dat was noodzakelijk, maar in de jaren daarna ontstond bij sommigen een soort ‘GDPR-moeheid’. GDPR wordt bovendien nog te vaak gebruikt als argument om bepaalde initiatieven niet te nemen. In plaats van te zoeken naar oplossingen binnen het kader van de regelgeving, wordt privacy soms gezien als een obstakel.
Volgens mij ligt daar net een belangrijke uitdaging: organisaties moeten leren om meer oplossingsgericht te denken. Veel besturen beschikken vandaag over expertise en prachtige beleidsdocumenten rond bijvoorbeeld datalekken of wachtwoordbeleid. De moeilijkheid ligt echter in het vertalen van die regels naar de dagelijkse praktijk. Soms wordt het belang ervan nog onderschat. Zo gebeurt het bijvoorbeeld nog dat organisaties twijfelen of ze een maatregel van een toezichthoudende autoriteit wel moeten naleven. Dat toont aan dat er nog groeimarge is.
Veel besturen beschikken vandaag over expertise en prachtige beleidsdocumenten rond bijvoorbeeld datalekken of wachtwoordbeleid. De moeilijkheid ligt echter in het vertalen van die regels naar de dagelijkse praktijk.
Wat brengt de toekomst rond GDPR?
Op Europees niveau wordt momenteel gekeken naar enkele gerichte bijsturingen van de digitale regelgeving. De fundamentele principes van de GDPR blijven overeind, maar bepaalde aanpassingen kunnen helpen om de regelgeving werkbaarder te maken en het draagvlak te vergroten.
Een belangrijke ontwikkeling is uiteraard artificiële intelligentie. Intussen bestaat er een Europese regelgeving rond AI. De impact daarvan zal waarschijnlijk vergelijkbaar zijn met wat we bij de GDPR hebben gezien. Vandaag bekijken veel organisaties de AI-verordening nog als een afzonderlijk regelgevend kader, maar in de praktijk zal die steeds vaker verweven raken met andere domeinen, zoals overheidsopdrachten, personeelsbeleid of beleidsvoering binnen organisaties.
Daarnaast heb je het gebrek aan algemeen aanvaarde standaarden. De regelgeving geeft vaak een abstract kader, maar organisaties weten niet altijd hoe ze dat concreet moeten toepassen. Dat zie je bijvoorbeeld bij gegevensbeschermingseffectbeoordelingen (GEB of DPIA’s). Er bestaat geen algemeen aanvaarde standaard voor hoe zo’n beoordeling precies moet worden opgesteld. Daardoor ontstaan er veel verschillende aanpakken, wat het moeilijk maakt om consistentie te bewaren.
Ten slotte is er nog steeds discussie over welke toezichthoudende autoriteit bevoegd is voor bepaalde instanties, bijvoorbeeld voor Vlaamse lokale besturen. Dat soort onduidelijkheden zou in de toekomst idealiter worden weggewerkt.
Wat zijn de uitdagingen voor lokale besturen?
Lokale besturen staan voor verschillende uitdagingen op het vlak van gegevensbescherming. Ik zie er vooral drie die er echt uitspringen.
Een eerste uitdaging is het overstijgen van de eerder genoemde GDPR-moeheid. GDPR mag niet worden gezien als een harde stop voor bepaalde initiatieven. Lokale besturen moeten een evenwicht vinden tussen privacybescherming en andere principes, zoals transparantie. Dat spanningsveld komt regelmatig terug, omdat besturen enerzijds transparant moeten zijn naar burgers, maar anderzijds rekening moeten houden met privacyregels.
Een tweede uitdaging heeft te maken met de technologische evolutie. Digitalisering biedt nieuwe kansen, maar brengt ook nieuwe risico’s met zich mee. Denk aan slimme camera’s of artificiële intelligentie. Zulke toepassingen vereisen vaak complexe evaluaties waarbij juridische, technische en beleidsmatige expertise samenkomen. Die combinatie van expertise is in de praktijk niet altijd eenvoudig te organiseren.
De derde, en misschien meest structurele uitdaging, is de beperkte beschikbaarheid van middelen. Veel lokale besturen beschikken slechts over een beperkte capaciteit op het vlak van gegevensbescherming. Als ze al een Data Protection Officer hebben, dan is die vaak maar halftijds in dienst. Dat maakt het moeilijk om alle verplichtingen grondig en efficiënt op te volgen.
Kom naar het webinar van Wouter Rubens
over 10 jaar GDPR op 27 april!
Was het een bewuste keuze van jou om in de GDPR te specialiseren of kwam het toevallig op jouw pad ?
Het eerlijke antwoord is dat het een combinatie was van beide. Bij GD&A werken we veel samen met lokale besturen, en al vrij snel werd duidelijk dat privacy een belangrijk en complex thema zou worden. Lokale besturen verwerken immers grote hoeveelheden persoonsgegevens, vaak ook van kwetsbare doelgroepen. Tegelijk spelen er politieke en maatschappelijke dimensies mee. Dat maakt het domein bijzonder uitdagend. Vanuit die context ontstond het idee om ons hier verder in te verdiepen. Privacy en digitalisering sluiten aan bij een bredere trend van innovatie binnen het recht.
De GDPR vormde daarbij een soort ankerpunt. Vooral voor lokale besturen is het een uitdaging om met beperkte middelen toch aan dezelfde normen te voldoen als grotere organisaties. Net daar lag onze motivatie: helpen zoeken naar oplossingen die praktisch toepasbaar zijn, ook in kleinere organisaties.
Er is een vruchtbare samenwerking tussen GD&A Advocaten en Politeia. Wat is voor jullie de grote meerwaarde? Wat is de meerwaarde voor de klant?
De samenwerking met Politeia is voor ons bijzonder waardevol omdat ze twee werelden samenbrengt. Politeia heeft een sterke positie als kennispartner voor de publieke sector en bereikt een publiek dat wij minder snel bereiken. Via opleidingen en publicaties kunnen wij onze praktijkervaring en juridische expertise delen op een manier die meteen relevant is voor lokale besturen. Dat maakt het mogelijk om complexe regelgeving te vertalen naar concrete, praktische toepassingen.
Voor lokale besturen ligt de meerwaarde precies daarin: ze krijgen geen abstract juridisch advies, maar praktische inzichten waarmee ze aan de slag kunnen. Tegelijk biedt die samenwerking ons de kans om te luisteren naar wat er leeft bij lokale besturen. De vragen en uitdagingen die via opleidingen of publicaties naar voren komen, vormen voor ons een waardevolle barometer.
Het is dus echt een wisselwerking. Uiteindelijk zorgt die samenwerking ervoor dat de gezamenlijke klant – de publieke sector – beter wordt ondersteund. En als lokale besturen beter ondersteund worden, komt dat uiteindelijk elke burger ten goede.