2021 is weer voorbijgevlogen. Een jaar waarin op het gebied van privacy veel is gebeurd. In dit blog staan we stil bij verschillende hoogtepunten.
Het datalek bij de GGD
Het kan u bijna niet zijn ontgaan. Begin dit jaar heeft zich een grootschalig datalek. Medewerkers hadden toegang tot allerlei persoonsgegevens. Van een naam en contactgegevens tot het Burgerservicenummer. En dat niet alleen, de gegevens werden zelfs verhandeld. Inmiddels heeft de rechtbank Midden-Nederland meerdere verdachten veroordeeld tot een taakstraf en gevangenisstraf. Inmiddels wordt een collectieve schadeclaim voorbereid.
Nieuwe toestemmingsregels, wat houden ze in?
Sinds 1 juli 2021 gelden er nieuwe regels voor telemarketing. Het komt erop neer dat bedrijven consumenten mogen bellen als zij daar toestemming voor hebben gegeven. Er gelden wel twee uitzonderingen:
- Heeft de persoon zelf het telefoonnummer bekend gemaakt en daarbij aangegeven dat dit nummer gebruikt mag worden voor telemarketing, dan mag er natuurlijk gebeld worden.
- Als de persoon klant is van het bedrijf en per telefoon worden soortgelijke producten of diensten aangeboden, dan mag er ook eveneens gebeld worden.
Voor het bellen en versturen van commerciële berichten gelden dus dezelfde regels. Wel zo makkelijk.
Nieuwe Standard Contractual Clauses
De Europese Commissie heeft dit jaar nieuwe Standard Contractual Clauses (SCC’s) aangenomen. Is dat voor uw organisatie van belang? Ja, wel als u zakendoet met bijvoorbeeld een Amerikaanse leverancier of een andere niet-Europese partij.
Persoonsgegevens mogen worden doorgegeven naar een land buiten de Europese Economische Ruimte (EER) als daar passende waarborgen voor aanwezig zijn. Zo is het mogelijk dat er een adequaatheidsbesluit geldt voor het desbetreffende land. Of misschien heeft jouw organisatie wel de zeven jaar wachttijd doorstaan en zijn er intern Binding Corporate Rules gesloten. Een andere passende waarborg is het sluiten van de SCC’s. De SCC’s zijn algemeen inzetbaar en zorgen er in principe voor dat iedere doorgifte van persoonsgegevens buiten de EER voldoende is beschermd.
Heeft u nog geen SCC’s gesloten? U kunt gebruik maken van onze generator. Er is zowel een Nederlandseals Engelse versie beschikbaar (de SCC’s komen er altijd in het Engels uit). Daarnaast heeft u tot 27 december 2022 om de oude SCC’s in bestaande contracten te vervangen door de nieuwe.
Data Transfer Impact Assessment
In privacyland is de Data Transfer Impact Assessment (DTIA) misschien wel het nieuwste begrip. De DTIA zou je enigszins kunnen vergelijken met een Data Protection Impact Assessment (DPIA). Het scheelt slechts één letter, en beiden zien op een risico-afweging.
DPIA
De DPIA is in sommige gevallen wettelijk verplicht. In het algemeen is de DPIA ervoor bedoeld om privacyrisico’s in kaart te brengen en die risico’s vervolgens te verkleinen. Gaat uw organisatie binnenkort gebruikmaken van een nieuw CRM-systeem, of worden er camera’s opgehangen op kantoor, worden er gps-trackers ingebouwd in bedrijfswagens? Dat zijn allemaal situaties waarbij eerst een DPIA uitgevoerd moet worden, voordat de gegevensverwerkingen mogen plaatsvinden.
DTIA
Aan de hand van een DTIA wordt in kaart gebracht welke privacyrisico’s er zijn wanneer persoonsgegevens worden doorgegeven aan een organisatie, die gevestigd is in een derde land (dus buiten de EER). Ook zal uit de DTIA moeten volgen welke maatregelen worden getroffen om de risico’s te verkleinen. En uiteindelijk moet er een afweging worden gemaakt: kan er wel of geen gebruik worden gemaakt van de diensten van de leverancier gelet op de privacy van betrokkenen?
Boete Belastingdienst
Als klap op de vuurpijl kreeg de Belastingdienst een boete van maar liefst 2,75 miljoen euro. Waarom? Vanwege de welbekende kinderopvangtoeslagaffaire.
Dit jaar hebben wij weer veel blogs geschreven over allerlei onderwerpen. En ook volgend jaar kunt u op ons rekenen!
