2022 is weer voorbijgevlogen. Een jaar waarin op het gebied van privacy veel is gebeurd. In deze blog staan we stil bij verschillende hoogtepunten.
Dit jaar zijn er meerdere boetes opgelegd door de Autoriteit Persoonsgegevens. De prijs voor de hoogste boete gaat naar de Belastingdienst die een boete van maar liefst 3,7 miljoen euro heeft gekregen. Dit in verband met de jarenlange illegale verwerking van persoonsgegevens in de Fraude Signalering Voorziening. De Belastingdienst hield een zwarte lijst bij om signalen van fraude op te pikken.
We gaan even terug in de tijd. In de zomer van 2021 zijn er nieuwe Standard Contractual Clauses (SCC’s) aangenomen door de Europese Commissie. De nieuwe SCC’s zijn modulair opgebouwd. Er zijn nu bepalingen voor de volgende situaties, waarmee vrijwel alle doorgiftes worden gedekt:
De oude SCC’s zijn sinds 27 september 2021 al niet meer geldig. Organisaties hebben ruim een jaar de tijd gehad om de oude SCC’s te vervangen door de nieuwe SCC’s te sluiten. De tijd dringt: uiterlijk 27 december 2022 moeten de nieuwe SCC’s zijn opgenomen in bestaande contracten.
Meerdere Europese privacytoezichthouders hebben geoordeeld dat het gebruik van Google Analytics niet is toegestaan. In Nederland heeft de Autoriteit Persoonsgegevens (AP) dit jaar onderzoek gedaan naar het gebruik van dit cookie. Helaas zijn de resultaten nog niet naar buiten gekomen. Wellicht volgen de onderzoeksresultaten binnenkort.
Onlangs is er een wetsvoorstel ingediend om de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG) te updaten. De reden hiervan is dat de UAVG op bepaalde punten onduidelijk is. Daarnaast staan er verouderde verwijzingen in de wet en ook zijn er gerechtelijke uitspraken geweest die aanleiding hebben gegeven om de UAVG aan te passen. Het wetsvoorstel zal eerst nog in Den Haag besproken en goedgekeurd moeten worden. De verwachting is dat we nog wel even geduld moeten hebben voordat de UAVG daadwerkelijk is aangepast.
Al sinds de zomer van 2020 is er geen geldig mechanisme om persoonsgegevens vanuit Europa door te geven aan een organisatie gevestigd in de Verenigde Staten. Dit heeft alles te maken met de ongeldigheidsverklaring van het Privacy Shield. Maar ruim 2,5 jaar later komt er schot in de zaak. Inmiddels ligt er een concept adequaatheidsbesluit voor het EU-US Data Privacy Framework. In dit besluit is onder andere geregeld dat Europese burgers bezwaar mogen maken tegen surveillance door de Amerikaanse overheid. En daarnaast gelden voor Amerikaanse inlichtingendiensten strengere voorwaarden om surveillance in te kunnen zetten. Het adequaatheidsbesluit is er in concept, en zal nog door diverse commissies en instellingen goedgekeurd moeten worden. Het begin is er, maar we wachten nog op een definitieve versie.
Dit jaar hebben wij weer veel blogs geschreven over allerlei onderwerpen. En ook volgend jaar zijn er veel blogs te lezen op onze website!
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.