2.10.2. Is de privacywetgeving effectief?

Vanuit het juridisch perspectief zijn er bij de effectiviteit van de huidige wet- en regelgeving ernstige vragen gesteld. Bovendien zijn er door allerlei `stakeholders' initiatieven genomen om het traditionele juridische raamwerk door middel van gedragscodes, gebruikersrichtlijnen, certificering en keurmerkprogramma's, en privacystandaardisatievoorstellen, aan te vullen. Tot op de dag van vandaag is er twijfel of het individu zijn persoonlijke informatie met de wet in de hand wel goed kan beschermen. Dit geldt te meer voor zijn gegevens op internet, terwijl de gepredikte transparantie voor de meeste burgers zowel wat betreft de gegevensverzameling bij de overheid als bij het bedrijfsleven ver te zoeken is. De impact van het regelgevende kader moet verder verbeterd worden, met name voor wat betreft de bevoegdheden van de toezichthouder op de bescherming van de persoonlijke levenssfeer. Tijdens de behandeling van de Wet bescherming persoonsgegevens werd door leden van de Tweede Kamer opgemerkt dat: "in de discussie die de laatste maanden, in het bijzonder vanuit het bedrijfsleven over het wetsvoorstel wordt gevoerd, twee elementen naar voren lijken te komen: beduchtheid voor te ver gaande juridisering van de privacybescherming en beduchtheid voor een niet op de praktijk afgestemde toepassing daarvan. In dit verband wordt niet zelden gewezen op de voordelen die de ontwikkeling van elektronische producten en diensten ook voor burgers en consumenten kunnen gaan opleveren. Een te strakke inkadering van deze ontwikkeling door wettelijke regels en toezicht zou de samenleving als geheel niet ten goede komen".1

Door Dumortier en Goemans2 is dan ook de vraag gesteld of de verhouding tussen de verschillende vormen van regelgevende instrumenten en mechanismen ten behoeve van de bescherming van persoonsgegevens juist is om voldoende effect op het dagelijkse leven te verzekeren. Onderzoek3 van de National Consumer Council in Groot Brittannië toont aan dat bijna vier van de vijf (78%) consumenten zeggen, dat zij de controle over hun persoonlijke informatie hebben verloren en niet weten hoe organisaties hun gegevens verzamelen en gebruiken. Ook het onderzoek4 van Westin in de Verenigde Staten in 2005 bevestigt dit.

Al eerder werd door Waters twijfel geuit dat de aanpak in het Europese model met zijn bureaucratische boventoon achterhaald zou zijn.

Er is volgens Waters wel een politieke steun voor privacybeginselen te vinden maar die is dan niet meer dan `braad and shallow'.6 Zelfregulering of beter coregulering met een belangrijke rol weggelegd voor de industrie, zou een oplossing kunnen zijn omdat zo'n aanpak meer rekening zou houden met de cultuur dan nu het geval is met de van bovenaf opgelegde Europese wetgeving.

In dit kader geldt ook als kritiek, dat de partijen betrokken bij de privacybescherming (de stakeholders) niet allemaal voldoende worden ingeschakeld bij het ontwikkelen van de wet- en regelgeving.

Ook de werkgroep IPSE (Initiative on Privacy Standardization in Europe) van de Europese standaardisatie organisatie CEN in Brussel, rapporteert onvolkomenheden in de effectiviteit van de bescherming van privacy, met name op het gebied van de nakoming van de wettelijke verplichtingen en het gebrek aan bewustzijn en begrip van de privacyrechtsregels door de organisaties.7

Tijdens de op 19 en 20 mei 2009 door de Europese Commissie georganiseerde Data Protection Conference uitten verschillende sprekers kritiek op Europese privacy richtlijnen. Zo zouden er grote verschillen zijn in de implementatie en interpretatie binnen de EU: "The rules are not technology current, ignore existing business and market realities, create administrative burdens and compliance proves to be difficult and complex."8