De algemene verordening gegevensbescherming (AVG) van de EU voldoet aan de meeste van haar doelstellingen, met het creëren van een sterke cultuur van gegevensbescherming met afdwingbare rechten, zo blijkt uit een evaluatie. Twee jaar na de inwerkingtreding van de verordening bleek uit de eerste grote evaluatie dat er nog meer werk nodig is om ervoor te zorgen dat de regels in de hele EU uniform worden toegepast en dat grensoverschrijdende zaken efficiënter worden afgehandeld.
In een verklaring over het evaluatierapport prees de Europese Commissie de AVG als "referentiepunt voor de hele wereld" voor een hoog niveau van bescherming van persoonsgegevens. Naast het versterken van de rechten van burgers en het vergroten van hun bewustzijn over de belangrijkste elementen van digitale diensten, creëert de verordening een nieuwe bestuurscultuur bij bedrijven, merkte de Commissie op. Sommige bedrijven zijn gaan concurreren op basis van het hoge niveau van gegevensbescherming en concepten als privacy by design zijn inspirerende nieuwe vormen van innovatie.
Handhaving
De belangrijkste uitdaging sinds de inwerkingtreding van de AVG in 2018 was de handhaving. De meeste nationale regelgevers voor gegevensbescherming hebben een grote toename van personeel en budgetten nodig om de sprong in GDPR-gerelateerde klachten en onderzoeken op te vangen. Over het geheel genomen is het personeelsbestand met 42 procent gestegen en met 49 procent voor alle nationale gegevensbeschermingsautoriteiten samen in de EU tussen 2016 en 2019. Er zijn echter nog steeds "grote verschillen" tussen de lidstaten, zo blijkt uit het rapport.
De nationale autoriteiten worstelen ook met het 'one-stop-shop'-concept, waarmee bedrijven die in meerdere landen actief zijn, kunnen antwoorden op één nationale regelgevende instantie waar ze gevestigd zijn. Eind 2019 waren er in dergelijke grensoverschrijdende zaken slechts 79 besluiten genomen. Met name is de Ierse toezichthouder onder vuur komen te liggen vanwege het trage onderzoek van klachten tegen grote multinationals zoals Facebook en Google. De behandeling van grensoverschrijdende zaken "vereist een efficiëntere en geharmoniseerde aanpak en een doeltreffend gebruik van alle instrumenten die in de AVG zijn voorzien, zodat de gegevensbeschermingsautoriteiten kunnen samenwerken", aldus de Commissie.
De Europese Toezichthouder voor gegevensbescherming, die helpt bij het coördineren van het EU-beleid inzake gegevensbescherming, zei dat hij het eens was met de positieve evaluatie van de Commissie, en merkte op dat de "consistente en efficiënte handhaving van de AVG een prioriteit blijft". De EDPS riep op tot meer "solidariteit" tussen landen en zei dat hij voorstander was van het opzetten van een pool van deskundigen die de nationale autoriteiten kunnen helpen bij het behandelen van complexe en veeleisende gevallen.
In de toekomst zullen om de vier jaar aanvullende evaluaties van de AVG worden uitgevoerd.
