Inmiddels hebben we het jaar 2019 achter ons gelaten. Een jaar waarin op het gebied van privacy veel gebeurd is. Denk aan de eerste AVG-boete die door de Autoriteit Persoonsgegevens is opgelegd en de vele datalekken die het nieuws hebben bereikt. Er zijn niet alleen maar negatieve berichten te melden, privacy heeft ook zo zijn positieve kant. Wij hebben gemerkt dat steeds meer organisaties willen voldoen aan de AVG en daar ook trots op zijn. Wat heeft privacyland dit jaar voor ons in petto?
De Autoriteit Persoonsgegevens (AP) gaat zich de komende tijd qua toezicht richten op de volgende drie onderwerpen:
Dat is ook hard nodig om de bescherming van persoonsgegevens te waarborgen. In Nederland zien we dat persoonsgegevens worden doorverkocht voor bijvoorbeeld marketingdoeleinden. Houden organisaties zich wel aan de regels die daarvoor gelden?
De overheid, maar ook politie en justitie beschikken over een grote berg aan (bijzondere) persoonsgegevens. Gaan zij daar wel op de juiste manier mee om? Het is aan de AP om hier toezicht op te houden. Afgelopen jaar is bijvoorbeeld bekend geworden dat de politie onterecht toegang kreeg tot camerabeelden die zij ontving van de gemeente Amsterdam. Hier was overigens ook geen Data Protection Impact Assessment (DPIA) voor uitgevoerd, terwijl je zou zeggen dat de overheid het juiste voorbeeld moet geven. Ook maken steeds meer gemeentes gebruik van een gezichtsscan wanneer burgers een paspoort aanvragen. Dit terwijl ook al een vingerafdruk moet worden achtergelaten. Is dit allemaal wel nodig?
Verder zien we dat techbedrijven steeds meer slimme apparaten op de markt brengen die wij vervolgens volproppen met onze persoonsgegevens. Denk maar eens aan huishoudelijke producten, een babyfoon of smart watches. We vinden het handig om te kunnen praten tegen onze apparaten. En zelf zoeken naar een nieuwe serie of muziek is niet meer nodig, aangezien Netflix of Spotify aanbevelingen doen. Dit gebeurt allemaal op basis van artificial intelligence. Voordat dit soort slimme apparaten hun werk kunnen doen, zijn daar veel persoonsgegevens voor nodig.
Privacy is een rechtsgebied waar nog niet veel jurisprudentie voor bestaat. We kennen echter één persoon, de Oostenrijker Schrems, die zeer fanatiek is met het waarborgen van onze privacy. Enkele jaren geleden heeft Schrems in een rechtszaak ervoor gezorgd dat Safe Harbour (de voorganger van Privacy Shield) ongeldig werd verklaard.
Schrems bleef niet stilzitten, want in de Schrems II zaak staan zowel Privacy Shield als de standaardbepalingen (model clauses) van de Europese Commissie ter discussie. Schrems is namelijk van mening dat er geen passende waarborgen zijn voor doorgifte van persoonsgegevens door Facebook Ierland aan servers die op het grondgebied van de Verenigde Staten staan. Echter, in zijn conclusie heeft de advocaat-generaal aangegeven dat de standaardbepalingen wel geldig zijn. Het is nu aan het Hof van Justitie van de Europese Unie om binnenkort uitspraak te doen.
Dat het maken van regelgeving soms een langdurig en ingewikkeld proces is, bewijst de ePrivacy Verordening maar weer. De vertegenwoordigers van Europese landen kunnen het nog steeds niet eens worden over de inhoud van de verordening, die moet zien op regels over telecommunicatie en cookies. De laatste stand van zaken is dat de lidstaten de nieuwe versie van de ePrivacy Verordening hebben weggestemd. Hopelijk komt er dit jaar dan eindelijk een tekstvoorstel waar alle lidstaten tevreden mee zijn.
Na 2 jaar is het alweer tijd om de huidige AVG en de Nederlandse uitvoeringswet (UAVG) te wijzigen. In grote lijnen blijven de regels hetzelfde, maar hier en daar is het toch noodzakelijk om enkele aanpassingen door te voeren. De verwachting is dat in het eerste kwartaal van 2020 de wijzigingen van de UAVG aan de Tweede Kamer worden voorgelegd.
Ook in Brussel zit men niet stil. De AVG wordt geëvalueerd. Het is aan de Europese Commissie om vóór 25 mei een evaluatieverslag aan te bieden aan het Europees Parlement en de Raad over de evaluatie en toetsing van de AVG.
Ook in 2020 zal privacy bij veel organisaties op de agenda staan. Is de privacyverklaring nog wel up-to-date? Hoe lang worden persoonsgegevens bewaard? Welke medewerkers kunnen bij welke persoonsgegevens? Moeten we een verwerkersovereenkomst sluiten? Klopt onze cookiebanner met de zienswijze van de Autoriteit Persoonsgegevens? Is onze organisatie AVG-compliant? Allerlei vragen die binnen een organisatie spelen en waar wij mee kunnen helpen. Wij controleren of een organisatie zich aan de privacyregels houdt. Is alles in orde, dan belonen wij dit met een Privacy Verified certificaat.
Een glazen bol hebben we niet, maar we kunnen met voldoende zekerheid voorspellen dat er ook in 2020 weer genoeg te discussiëren valt over privacy. Dat de Europese privacy autoriteiten boetes zullen uitdelen, en dat wetgeving zal worden gemaakt of bijgeschaafd. Houd onze blogs dus in de gaten voor updates!
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.