De auteurs:
(1) Gerard Buckley, University College London, Verenigd Koninkrijk (gerard.buckley.18@ucl.ac.uk);
(2) Tristan Caulfield, University College London, Verenigd Koninkrijk (t.caulfield@ucl.ac.uk);
(3) Ingolf Becker, University College London, Verenigd Koninkrijk (i.becker@ucl.ac.uk).
Authors:
(1) Gerard Buckley, University College London, Verenigd Koninkrijk (gerard.buckley.18@ucl.ac.uk);
(2) Tristan Caulfield, University College London, Verenigd Koninkrijk (t.caulfield@ucl.ac.uk);
(3) Ingolf Becker, University College London, Verenigd Koninkrijk (i.becker@ucl.ac.uk).
Tafel links
-
Literature Review
3.1 Consumer awareness and knowledge of the regulation
3.2 Consumer awareness and knowledge of the regulator
3.3 Consumer perceptions of privacy
3.4 Business response to Data Protection regulation
3.5 Employee awareness of their employer’s Data Protection regulator
3.6 Employee perception of benefit of the GDPR to their employer
3.7 The research goal is the consumer/employee perception of the GDPR
-
Methods
-
Analysis and Results
5.3 Hypothesis 2: Consumers lack awareness and knowledge about the regulator
5.4 Hypothesis 3: Consumers feel their privacy is better since GDPR was introduced
5.5 Hypothesis 4: Companies have responded to GDPR and made changes
5.6 Hypothesis 5: Employees lack awareness of the GDPR regulator at work
5.7 Hypothesis 6: Employees have seen little benefits to their company from GDPR
-
Discussion and 6.1 High consumer awareness and knowledge of the GDPR
6.2 Respondents lacked a formed opinion and 6.3 GDPR has driven changes
6.4 Perceptions of privacy have improved and 6.5 The profile of the regulator may not matter
-
Conclusion, Funding and Disclosure Statement, and References
A. Tabel van enquête antwoorden
Abstractie
De Algemene Verordening Gegevensbescherming (GDPR) blijft de gouden standaard in privacy- en beveiligingsverordening. We onderzoeken hoe de kosten en inspanningen die nodig zijn om de GDPR te implementeren, worden gezien door werknemers die ook de voordelen van de verordening als burgers hebben ervaren: is het de moeite waard? In een multi-stage studie onderzoeken we N = 273 & 102 personen die werkten in dezelfde bedrijven vóór, tijdens en na de implementatie van de GDPR. De enquête vindt dat deelnemers hun rechten erkennen wanneer ze worden gevraagd, maar weinig weten over hun regulator. Ze hebben concrete veranderingen waargenomen in gegevenspraktijken op hun werkplek en waarderen de trade-offs. Ze nemen het comfortabel dat hun persoonlijke gegevens net zo zorgvuldig worden behandeld als de gegevens van hun werk
1 Inleiding
Mensen die vóór mei 2018 werkzaam waren en nog steeds door dezelfde organisatie werkzaam zijn, zullen de impact van de GDPR op hun werkplek uit de eerste hand hebben ervaren.
De GDPR is bestudeerd vanuit verschillende perspectieven. Het varieert van de implementatie-uitdagingen voor het bedrijfsleven [10, 37] tot de handhavingsproblemen waarmee de gegevensbeschermingsautoriteiten (DPA) worden geconfronteerd [11, 24, 33, 43] tot de operationele realiteiten waarmee consumenten worden geconfronteerd [36]. De Europese Commissie (EG) en professionele dienstenbedrijven hebben onderzocht hoe consumenten zich bewust zijn van hun rechten en hoe bedrijven zich bewust zijn van hun verplichtingen. In de academische wereld zijn er reactiestudies [45] en vergelijkende bewustzijnsstudies in heel Europa [42]. In tegenstelling tot eerdere perceptiestudies die zich uitsluitend op consumenten of gegevensprofessionals richtten, is dit het eerste empirische onderzoek naar
Om hun rechten uit te oefenen, moeten consumenten tot op zekere hoogte op de hoogte zijn van de identiteit, de rol en de bevoegdheden van de regulator.De EC [7, 21, 30, 41] en sommige DPA's hebben consumentenbewustzijns- en vertrouwensonderzoeken uitgevoerd, maar we vinden weinig bewijs van systematische openbare publiciteitscampagnes.
De meeste zakelijke verspreiding van de GDPR in de media concentreert zich op gegevensinbreuken en boetes van regelgevers [11, 49, 53]. Het benadrukt de afschrikkende effecten van de GDPR-sancties ten koste van elke aanmoediging om te veranderen of omhoog voor het bedrijfsleven. Als het punt van privacyverordening gedragsverandering is [13, 46], is het moeilijk te meten. Beschikbare gegevens, zoals het aantal boetes, leveren een zeer onvolmaakt en onvolledig beeld van naleving binnen bedrijven. In plaats daarvan testen we welke GDPR-gedreven veranderingen door onze respondenten binnen hun organisatie zijn waargenomen en of ze geloven dat deze veranderingen net-positief zijn.
Aan het einde van de enquête, na onze respondenten de GDPR vanuit meerdere hoeken te hebben overwogen, vragen we of ze het gevoel hebben dat de GDPR het waard is. Hun antwoord is belangrijk omdat het het hart van privacy in het digitale tijdperk snijdt. Zonder gegevensbescherming zullen burgers waarschijnlijk worden blootgesteld aan meer profilering, monitoring en massale invloed door digitale adverteerders en / of de staat. We vinden dat de geïnformeerde burger-consument de GDPR koopt, met al zijn positieve en negatieve aspecten. Dit heeft belangrijke implicaties voor beleidsmakers en regelgevers die misschien willen leren hoe ze deze publieke steun kunnen emuleren en erop kunnen bouwen voor toekomstige regelgevingsontwikkelingen.
2 Achtergrond van de GDPR
Deze sectie is niet bedoeld om een gedetailleerde beschrijving van de GDPR te geven. In plaats daarvan richten we ons op de grote thema's en bieden we samenvattingen van bepalingen die relevant zijn voor ons interessegebied. Voor een meer fundamentele inleiding, zie Voigt & Bussche 2017 of Hoofnagle et al. 2019. Houd er rekening mee dat ondanks Brexit de UK GDPR in wezen gelijkwaardig is aan de EU GDPR [20].
Artikel 8 van het Europees Verdrag voor de Rechten van de Mens voorziet in het recht op eerbiediging van het ‘privé- en gezinsleven, zijn huis en zijn correspondentie’, onder voorbehoud van bepaalde beperkingen die ‘in overeenstemming zijn met de wet’ en ‘nodig zijn in een democratische samenleving’ [18]. In tegenstelling daartoe bevatten de Grondwet van de Verenigde Staten en de Bill of Rights van de Verenigde Staten geen expliciet recht op privacy.
Terwijl het Amerikaanse recht op grote schaal kan verwijzen naar ‘privacy’ of ‘informatie-privacy’, bespreekt het EU-recht informatie-privacy als ‘gegevensbescherming’.In Europa worden gegevensbescherming en het recht op privacy als afzonderlijk beschouwd.
Volgens de AVG moeten bedrijven die persoonsgegevens gebruiken strenge regels volgen die ‘gegevensbeschermingsbeginselen’ worden genoemd. zij moeten ervoor zorgen dat de informatie: eerlijk, wettelijk en transparant wordt gebruikt; voor gespecificeerde, expliciete doeleinden wordt gebruikt; op een manier wordt gebruikt die adequaat, relevant en beperkt is tot wat nodig is; nauwkeurig en, waar nodig, bijgewerkt wordt; niet langer wordt bewaard dan nodig is; op een manier wordt omgegaan die passende beveiliging waarborgt, waaronder bescherming tegen onrechtmatige of ongeoorloofde verwerking, toegang, verlies, vernietiging of schade; er is een sterkere wettelijke bescherming voor meer gevoelige informatie, zoals ras, religie, enz.
Dit omvat het recht om: te worden geïnformeerd over hoe hun gegevens worden gebruikt; toegang te krijgen tot persoonsgegevens; onjuiste gegevens te hebben bijgewerkt; gegevens te hebben gewist; de verwerking van hun gegevens te stoppen of te beperken; gegevensportabiliteit (individuen in staat stellen hun gegevens voor verschillende diensten te verkrijgen en opnieuw te gebruiken); bezwaar te maken tegen de manier waarop hun gegevens in bepaalde omstandigheden worden verwerkt; individuen hebben ook rechten wanneer een organisatie hun persoonsgegevens gebruikt voor: geautomatiseerde besluitvormingsprocessen (zonder menselijke betrokkenheid); profilering, bijvoorbeeld om gedrag of interesses te voorspellen [28].
De richting van deze regels is duidelijk: bedrijven zullen meer verantwoordelijkheid moeten nemen voor de informatie die ze verwerken en bewaren, en individuen zullen meer controle over hun eigen gegevens krijgen.
Dit document is verkrijgbaar onder de CC BY 4.0 DEED licentie.
Dit document is verkrijgbaar onder de CC BY 4.0 DEED licentie.
Beschikbaar in het archief
