Nieuws

2,5 jaar AVG: de laatste stand van zaken

2,5 jaar AVG: de laatste stand van zaken

Blog door ICTRecht

Privacy, persoonsgegevens en de Algemene verordening gegevensbescherming zijn sinds 25 mei 2018 niet meer weg te denken uit de praktijk van menig ondernemer.

De AVG is techniek-neutraal ingestoken en zo bedoeld om toekomstbestendig te zijn. Dat betekent ook dat deze wet een hoop open normen bevat, die nog wel eens tot discussie kunnen leiden. Hoe gaat u bijvoorbeeld om met gegevens van medewerkers? Wat te doen nu het Privacy Shield ongeldig is? Mogen persoonsgegevens nog wel buiten de Europese Unie worden gehost? Komen partijen er samen niet uit, dan kan dit leiden tot een gang naar de rechter, die daarna uitspraak doet. Ook de Autoriteit Persoonsgegevens (AP) en de European Data Protection Board (EDPB, het Europese verbond van privacytoezichthouders) geven regelmatig uitleg over de begrippen van de AVG. In deze blog bespreken wij de laatste stand van zaken.

 

Mogen persoonsgegevens nog buiten de EU staan?

 Zoals we al eerder schreven, mogen persoonsgegevens niet meer in de Verenigde Staten worden verwerkt op basis van het Privacy Shield. Dit is bepaald in de zogenaamde Schrems II-zaak. Het andere mechanisme, de modelcontracten of Standard Contractual Clauses (SCC’s) mogen wel nog gebruikt worden, maar vereisen een ‘case-by-case assessment’. Dit om ervoor te zorgen dat persoonsgegevens voldoende beschermd worden. De EDPB heeft richtlijnen gepubliceerd over wat dat nou precies inhoudt. Gebruikt u een niet-Europese leverancier? Doorloop dan de volgende stappen:

  1. Maak inzichtelijk waar en door welke partijen persoonsgegevens worden verwerkt.
  2. Wanneer dit buiten de Europese Unie is: welke passende waarborgen zijn er aanwezig? SCC’s zijn juridische gezien een minimum. Er zullen echter extra maatregelen moeten worden genomen, zie de volgende stappen.
  3. Check de lokale wetgeving: in sommige landen is de bescherming van persoonsgegevens onvoldoende. Organisaties dienen een afweging te maken en dit te documenteren.
  4. Neem aanvullende technische maatregelen, zoals encryptie of pseudonimisering.
  5. In sommige gevallen is goedkeuring nodig van de AP voor een aanvullende maatregel.
  6. Controleer periodiek of het beschermingsniveau nog voldoet.

 

Onder welke voorwaarden mogen persoonsgegevens buiten de EU staan?

 Verwerking in de VS is op dit moment dus lastig. De uitspraak heeft echter ook gevolgen voor elk ander niet-Europese land. Wanneer persoonsgegevens eenmaal buiten de EU verwerkt worden, zijn er namelijk extra waarborgen nodig. Een van die extra waarborgen bestaat dus uit de modelcontracten of SCC’s. Het sluiten van de SCC’s worden op dit moment gezien als juridisch minimum. Let wel: daarna dient stap 3 t/m 6 nog te worden doorlopen. Kritiekpunt is alleen dat de SCC’s pré-AVG en sterk verouderd zijn. De EDPB heeft de nasleep van Schrems II daarom ook meteen aangegrepen om deze te vernieuwen. In de nieuwe versie staan bijvoorbeeld verschillende standaardbepalingen die voor vrijwel elke situatie gebruikt kunnen worden. De huidige versie kan niet gebruikt voor de doorgifte van een verwerker aan een subverwerker. Met de nieuwe versie kan dit wel.

De nieuwe SCC’s geven daarnaast invulling aan de Schrems II-uitspraak: er is opgenomen dat partijen een risicobeoordeling van de doorgifte moeten maken en vastleggen en deze moeten kunnen voorleggen aan de toezichthouder als deze erom vraagt (stap 3). Een andere belangrijke invulling is dat een ontvangende partij zowel de doorgevende partij als de betrokkene moet informeren bij verzoeken van bijvoorbeeld de Amerikaanse inlichtingen- en veiligheidsdiensten.

Het concept is op het moment van schrijven open voor feedback. Nadat het nieuwe voorstel definitief is, zullen de oude gesloten SCC’s het komende jaar vervangen moeten worden door de nieuwe.

 

De toezichthouder en de rechter

 Ook de toezichthouders hebben de afgelopen tijd niet stilgezeten. Kledingzaak H&M kreeg in Duitsland bijvoorbeeld €35 miljoen boete voor de schending van de privacy van haar werknemers. Jarenlang werden veel te specifieke gegevens over medewerkers bijgehouden, zoals vakantie ervaringen, oorzaak van ziekte en zogenaamde ‘Welkom terug’-gesprekken werden gedocumenteerd. Ook familieproblemen en geloofsovertuigingen werden vastgelegd. Dit alles was inzichtelijk voor een groot aantal managers. Ook werkgevers dienen namelijk aan de AVG te voldoen en de privacy van hun medewerkers te respecteren.

Tot slot een interessante zaak over gegevensverzameling. In Frankrijk, België en het Verenigd Koninkrijk wilden de wetgevers providers verplichten om verkeersgegevens op te slaan, zoals metadata en locatiegegevens. Nationale inlichtingendiensten zouden toegang krijgen tot deze gegevens om criminele activiteiten op te sporen. Het Hof van Justitie van de Europese Unie oordeelde echter dat het ongericht verzamelen en opslaan van metadata en locatiegegevens in strijd is met de Europese privacywetgeving.

 

Kortom…

 Gegevensbescherming is continu in beweging. Aan de hand van uitleg door de toezichthouders en de rechter wordt langzaam duidelijker wat wel en niet met persoonsgegevens mag. Een goede eerste stap is altijd om te inventariseren wat er nou gebeurt met persoonsgegevens binnen de organisatie, zowel met klantgegevens als medewerkersgegevens. De hele keten verdient hierbij aandacht: van hosting in een datacenter, tot gebruik door een marketingbureau en het naleven van bewaartermijnen. Een andere tip is om privacy ook altijd mee te nemen in nieuwe projecten. Heeft u hier hulp bij nodig? Neem dan contact op met een juridisch adviseur!

Gerelateerd

Meest gelezen

Schrijf je in voor onze nieuwsbrief

En blijf op de hoogte over het laatste datacenter nieuws!

Schrijf je in voor onze nieuwsbrief

Blijf op de hoogte van het laatste datacenter nieuws