Open brief aan de Europese Commissie: tien verbeterpunten voor de AVG

Privacy Company heeft een open brief gestuurd aan Europees Commissaris Didier Reynders met tien voorstellen om naleving van de AVG makkelijker te maken. Sommige van deze verbeterpunten komen overeen met de voorstellen van de gezamenlijke Duitse dataprotectie autoriteiten en de Nederlandse overheid. De AVG werkt goed, maar we zien kansen om de effectiviteit van het toezicht te verbeteren en om het draagvlak voor naleving van de AVG te vergroten. Deze blog is ook beschikbaar in het Engels.

Evaluatie AVG door de Europese Commissie

‍De Europese Commissie is begonnen met de evaluatie van de Algemene Verordening Gegevensbescherming. Op grond van artikel 97 van de AVG moet de Commissie haar (openbare) rapport uiterlijk op 25 mei 2020 aanbieden aan het Europees Parlement en aan de Raad. Onlangs hebben de zestien regionale Duitse toezichthouders een open brief (beschikbaar in het Engels  en in het Duits) gestuurd aan de Europese Commissie. In een blog benoemen ze negen knelpunten met de AVG. Ook de Nederlandse overheid heeft inmiddels uitgebreide input geleverd bij de Europese Commissie. Die input staat (deels) in de brief van minister Dekker aan de Tweede Kamer. De inbreng van Nederland staat uitgebreider in een verslag van de Raad van Ministers met inbreng van alle lidstaten op een enquete over de AVG. We noemen deze input kort onderaan deze blog.

De AVG werkt

Als adviseur voor allerlei kleine en grote organisaties uit de private en publieke sector ziet Privacy Company dat de AVG werkt. Overal zijn privacy officers aan de slag gegaan om de bestaande  verwerkingen in kaart te brengen, om risico analyses te doen en om bewustwordingscampagnes uit te rollen. De AVG heeft ervoor gezorgd dat persoonsgegevens echt veel beter worden beschermd dan twee jaar geleden, en dat nalevingsrisico’s hoog op de bestuurlijke agenda staan. Om het draagvlak verder te vergroten, kan de Commissie de AVG op een aantal punten verbeteren, vooral als het gaat om de effectiviteit van het toezicht.

Goede aanbevelingen Duitse toezichthouders en Nederlandse overheid

Wij onderschrijven veel van de aanbevelingen van de Duitse toezichthouders en van de Nederlandse overheid. Onze klanten worstelen ook met de omvang van het recht op een kopie bij een verzoek tot inzage. Wij hebben last van de grote meningsverschillen tussen toezichthouders in hun uitleg over gerechtvaardigd belang en direct marketing. Ten slotte zien we heel veel toegevoegde waarde in het wettelijk regelen van privacyverantwoordelijkheid voor producenten van apparaten en software waarmee persoonsgegevens worden verwerkt. Het is ondoenlijk voor de meeste organisaties om zelf te onderhandelen met internationale fabrikanten dat die hun spullen standaard privacyvriendelijk moeten aanleveren en doorlopend goed moeten blijven beveiligen.

Tien verbeterpunten AVG

Wij zien los daarvan tien verbeterpunten waarmee de Europese Commissie naleving van de AVG kan vergemakkelijken.

1. Transparante besluitvorming

Wij pleiten voor een wettelijke publicatieplicht voor alle besluiten van de toezichthouders. Daardoor kan iedereen leren van de normuitleg. Nu kan een procedure tegen openbaarmaking soms jarenlang duren en durven toezichthouders bijna niets te publiceren uit angst voor dergelijke procedures. Om te kunnen begrijpen  hoe je de AVG in de praktijk moet toepassen is het essentieel dat verantwoordelijken en verwerkers wereldwijd kennis kunnen nemen van zoveel mogelijk praktische beoordelingen, ook als het een besluit betreft om een klacht af te wijzen omdat de toezichthouder die klacht niet gegrond acht.

2. Kennisdeling via Engelse vertalingen

Wij pleiten ook voor een wettelijke plicht voor de toezichthouders om elk besluit in korte tijd in het Engels te vertalen en te publiceren via de website van het Europees Comité. Het Comité publiceert nu al een beperkt aantal besluiten van toezichthouders, maar dat lijkt gebaseerd op vrijwillige deelname van woordvoerders van de toezichthouders. Elke persoon die geraakt wordt door de AVG en elke organisatie zou via één centrale bron gratis toegang moeten hebben tot alle relevante uitleg. Deze bron zou doorzoekbaar moeten zijn op meerdere criteria, zoals de behandelde wetsartikelen en de aard van de sanctie. Dit heeft als bijkomend voordeel dat de de toezichthouders onderling hun uitleg ook beter op elkaar kunnen afstemmen.

3. Vereenvoudiging en standaardisering melden datalekken

Het is onbegrijpelijk dat de toezichthouders allemaal eigen manieren en formulieren hanteren om datalekken te melden. Wij zijn het van harte eens met de inbreng van de Nederlandse overheid dat er één uniform formulier zou moeten komen, maar we vinden het nog erger dat een verantwoordelijke elk formulier handmatig moet invullen. Dit kost veel tijd en ondermijnt het draagvlak voor de AVG. De inefficiëntie van het proces kan er bij sommige organisaties toe leiden dat ze de wet bewust niet naleven. Het zorgt voor frustratie bij organisaties die veel tijd besteden aan zorgvuldige meldingen en verhoogt de risico’s voor betrokkenen die mogelijk niet worden geïnformeerd dat hun gegevens zijn gelekt. De Europese Commissie zou daarom moeten afdwingen dat er één uniform meldingsformulier komt dat geautomatiseerd, via een API, kan worden ingevuld. Het is te vroeg om nu al een hogere drempel op te werpen voor het melden van datalekken, zoals de Duitse toezichthouders voorstellen. Eerst moet het proces verbeterd worden.

4. Kennisdeling over datalekken

De meldplicht datalekken is natuurlijk niet in het leven geroepen om de administratieve lasten voor organisaties te vergroten. De meldplicht zou een instrument moeten zijn om de bewustwording te vergroten over de risico’s op onrechtmatige toegang en om kennis te delen over de maatregelen die organisaties kunnen treffen om deze risico’s te verkleinen. Zeker voor Mkb’ers is dergelijke praktische toepasbare kennis van onschatbare waarde. Om het hogere doel van de meldplicht datalekken te bereiken, zouden de toezichthouders veel meer kennis moeten delen over gemelde datalekken en getroffen maatregelen, en over de afwegingen wanneer organisaties een datalek wel of niet moeten melden aan betrokkenen. Die informatie zou bovendien, als het om actuele incidenten gaat, gedeeld moeten worden met nationale alerteringsorganisaties zoals CERTs.

5. Duidelijkheid over cookiemuren

De Europese Commissie moet duidelijkheid geven over cookie- en betaalmuren in de AVG, nu het kennelijk niet lukt om dat op te nemen in de ePrivacy Verordening. Na ruim twee jaar onderhandelen zijn de lidstaten in de Telecomraad geen millimeter dichter tot elkaar gekomen als het gaat om cookies en vergelijkbare tracking technologie, zoals pixels in nieuwsbrieven.  Het laatste voorstel voor een nieuwe ePrivacy Verordening is begin december op de valreep gesneuveld en niemand weet hoe het nu verder moet. De toezichthouders geven hele verschillende uitleg. Voor organisaties die hun best doen om de AVG na te leven is onduidelijk wat ze wel en niet mogen doen in hun toestemmingsvragen over tracking cookies. Mag je bezoekers vragen om via instellingen meer dan 40 verschillende advertentienetwerken één voor één uit te vinken? Mag je mensen verleiden met een grote JA knop en een piepkleine link naar ‘wijzig je instellingen’? Mag je mensen dwingen om te betalen als ze geen toestemming willen geven voor cookies? Wij weten als privacy adviseurs ook niet goed waar de grens ligt. Zie ook onze blog Tear down that cookiewall!

6. Standaard Europese verwerkersovereenkomst

De Europese Commissie kan een enorme administratieve last voor organisaties wegnemen door een standaard verwerkersovereenkomst te ontwikkelen, gebaseerd op de huidige Standard Contractual Clauses voor doorgifte van persoonsgegevens naar landen zonder adequaat beschermingsniveau. De Commissie kan daarbij een checklist aanbieden met uitleg over ‘zwarte’ bepalingen die niet rechtsgeldig zijn. Artikel 28 van de AVG bevat een groot aantal verplichtingen voor verwerkers. Bijvoorbeeld dat ze de persoonsgegevens alleen op schriftelijke instructie van de verantwoordelijke mogen verwerken, dat ze alleen subverwerkers mogen inschakelen met toestemming van de verantwoordelijke, dat ze moeten meewerken aan audits en dat ze moeten helpen bij het uitvoeren van DPIA’s. Maar de praktijk is weerbarstig. Zeker grote cloud providers leggen eigen voorwaarden op. Dan staan de schriftelijke instructies van de verantwoordelijke bijvoorbeeld gelijk aan de inhoud van de voorwaarden die door de provider zelf zijn opgesteld, en kan de verantwoordelijke alleen toestemming onthouden door het contract op te zeggen. Het Europees Comité heeft onlangs een doorgifteovereenkomst goedgekeurd die de Deense DPA heeft gemaakt. Maar ook deze verbeterde versie is ontoereikend om  zeggenschap (terug) te krijgen over persoonsgegevens. Denk ook aan de contractueel vastgelegde kostenverdeling voor toezicht op naleving van de gemaakte afspraken. Het Nederlandse ministerie van Justitie en Veiligheid is bezig, samen met de EDPS, om na te denken over uniforme Europese inkoopvoorwaarden voor clouddiensten in ieder geval voor overheidsorganisaties. Maar hier ligt een duidelijke taak voor de Europese Commissie, om compliance te vereenvoudigen voor het bedrijfsleven en organisaties buiten de centrale overheid met een standaard overeenkomst.

7. Wetenschappelijk en statistisch onderzoek

De Commissie zou de uitzonderingen voor wetenschappelijk en statistisch onderzoek moeten verduidelijken (in de artikelen 9(2) onder j en 89 van de AVG). Het helpt om de tweede volzin te schrappen uit overweging 159. Daarin staat dat het begrip wetenschappelijk onderzoek ruim moet worden opgevat, zoals toegepast onderzoek en uit particuliere middelen gefinancierd onderzoek. In de praktijk levert dat rechtsonzekerheid op. Mogen organisaties voor commerciële doelen onderzoek doen naar medische gegevens zonder uitdrukkelijke toestemming van patiënten? Moeten sociale media omgekeerd hun big personal data openstellen voor wetenschappelijk onderzoek? En zo ja, mag je je daar als betrokkene dan nog tegen verzetten? Het antwoord op die vraag hangt sterk samen met de vraag of de gegevens pseudoniem zijn, of anoniem. Wij verwijzen als adviseurs vaak naar de richtlijnen van de toezichthouders over anonimisering en naar de uitleg van het CBS over beveiliging tegen herleidbaarheid van statistische gegevens. Maar die twee vormen van uitleg leiden niet tot dezelfde uitkomsten. De uitleg zou daarom Europees geharmoniseerd moeten worden. In ieder geval zou de AVG in een overweging kunnen toelichten dat gegevens nooit anoniem kunnen zijn zolang de brongegevens nog beschikbaar zijn of regelmatig weer opnieuw beschikbaar komen, en zolang de ‘geanonimiseerde’ gegevens nog gekoppeld kunnen worden aan de brongegevens, door de verstrekker, door de ontvanger of door een willekeurige andere derde partij.

8. Gebruik van privacy labels

De Europese Commissie heeft in de AVG de mogelijkheid gekregen om gestandaardiseerde iconen te ontwikkelen om betrokkenen een nuttig overzicht te geven van verwerkingen, in een goed zichtbare, begrijpelijke en duidelijk leesbare vorm. Maar die iconen zijn er (nog) niet. Privacy Company heeft nu zelf, samen met ontwerper Tijmen Schep, en dankzij financiële bijdragen van SIDNfonds, ECP en SURFnet een voorzet gedaan met het Privacy Label. Iedereen die dat wil kan met deze tool gratis een visuele weergave maken van de belangrijkste onderdelen van zijn privacybeleid. Maar het zou nog veel beter zijn als er één gestandaardiseerde set symbolen was, of richtlijnen waaraan dergelijke labels zouden moeten voldoen. Organisaties  kunnen er dan met grotere zekerheid op vertrouwen dat zij voldoen aan de plicht om de belangrijkste informatie in één oogopslag mee te delen, op een begrijpelijke manier.

9. Openbare privacy jaarrekening beursgenoteerde bedrijven en (rijks) overheden

Eigenlijk zou elke organisatie met een FG een privacyjaarverslag moeten maken als onderdeel van de permanente interne aandacht voor de naleving. Maar de Commissie moet de zwaarste administratieve lasten op de sterkste schouders leggen. Beursgenoteerde bedrijven en overheidsorganen hebben al veel ervaring met het meetbaar maken van naleving van open normen, zoals doelstellingen op het gebied van maatschappelijk verantwoord ondernemen. Zij zouden in een openbare privacyjaarrekening verantwoording moeten afleggen hoe zij gestuurd hebben op naleving van (internationale) wet- en privacy regelgeving, hoe vaak het onderwerp op het hoogste bestuurlijke niveau is besproken, hoeveel FTE en hoeveel budget ze aan naleving hebben besteed, welke successen ze hebben behaald,  hoeveel datalekken ze hebben gemeld bij de toezichthouder, welke risico’s ze zien en welke mijlpalen ze willen behalen.

10. Terugwinnen digitale soevereiniteit

Wij delen de inzet van de Nederlandse overheid om onderzoek te doen naar de mogelijkheden om de datamacht van grote techbedrijven te beteugelen via de AVG. Het idee om nieuwe toezichtsinstrumenten te introduceren voor de toezichthouders, zoals het stationeren van een medewerker van een toezichthouder bij een groot tech bedrijf, spreekt ons aan, maar dat zijn relatief kleine stapjes. We moedigen de Europese Commissie aan om bottom-up nieuwe strategieën te ontwikkelen om de digitale soevereiniteit terug te winnen en de concurrentie aan te gaan. Er is ruim voldoende kennis in Nederland en in Europa op het gebied van de technische ontwikkeling van hard- en software, de (technische) bestuurskunde, digitale ethiek en privacy en mededingsrecht.

Knelpunten AVG Duitse toezichthouders

De regionale Duitse toezichthouders, verenigd in DSK, hebben negen knelpunten benoemd in een open brief (beschikbaar in het Engels en in het Duits) aan de Europese Commissie.

1. Praktische toepasbaarheid van de AVG: lastenverlichting door alleen te informeren op individueel verzoek van de betrokkene als het om voorspelbare verwerkingen gaat, verduidelijking van de omvang van het recht op een kopie uit het inzagerecht en afschaffen van de meldplicht voor FG’s bij de toezichthouder;
2. Datalekmeldingen: hogere drempel invoeren voor meldingen bij de toezichthouders, alleen in die gevallen dat er meer dan een gering risico is voor betrokkenen;
3. Doelbinding: verscherpte uitleg dat voor elke verwerking een grondslag vereist is, en dat verdere verwerking alleen mag door dezelfde verantwoordelijke;
4. Privacy by design: scope van deze plicht uitbreiden naar hard en softwareleveranciers. De Duitse toezichthouders noemen concreet Windows 10 en Office 365, met verwijzing naar de DPIA rapporten van Privacy Company voor het Ministerie van Justitie en Veiligheid.
5. Ontbrekende bevoegdheden van de toezichthouders: optreden mogelijk maken als het niet om verwerkingen gaat, maar om verplichte handelingen zoals het bijhouden van een verwerkingsregister of het aanstellen van een FG;
6. Onderlinge samenwerking tussen toezichthouders: verduidelijking in welke omstandigheden de toezichthouders het coherentiemechanisme moeten volgen en verlenging van de beantwoordingstermijnen;
7. Grondslag direct marketing: duidelijkere uitleg van de Europese wetgever, omdat elke lidstaat andere regels hanteert. Bijvoorbeeld of een organisatie klant en adresgegevens aan derden mag doorgeven voor direct marketingdoelen op grond van haar gerechtvaardigd belang (anders dan e-mailadressen of telefoonnummers);
8. Profilering: uitbreiding van het huidige artikel 22 AVG met een algemeen verbod op profiling, met als enige uitzonderingen een wettelijke plicht, toestemming of uitvoering van een overeenkomst.
9. Accreditatie: beslechting van machtsstrijd tussen de nationale accreditatie-instantie en de toezichthouders. De toezichthouders vinden dat zij als enigen bevoegd zijn om een orgaan te erkennen dat gedragscodes goed kan keuren.

Knelpunten AVG Nederlandse overheid

Uit de brief van minister Dekker van rechtszekerheid van 31 oktober 2019 aan de Kamer

• verlichting van de registerplicht voor kleine bedrijven om de lasten voor deze bedrijven te verminderen;
• vermijden van extraterritoriale werking van nationale uitvoeringswetten om te voorkomen dat voor internationaal werkende ondernemingen opnieuw een lappendeken van wetgeving ontstaat;
• uniformering van de leeftijdsgrens waarop kinderen binnen de EU toestemming voor het verwerking van hun persoonsgegevens kunnen geven teneinde in deze wereld van grensoverschrijdend dataverkeer de complexiteit voor zowel bedrijven als voor ouders en kinderen te verminderen;
• onderzoek naar mogelijkheden om de datamacht van grote techbedrijven via de AVG verder te beteugelen door bijvoorbeeld uitbreiding van de mogelijkheden van dataportabiliteit en eventuele introductie van nieuwe instrumenten voor toezicht door de Autoriteit persoonsgegevens;
• explicitering van het facultatieve karakter van een toezichthouder bij gebruik van een gedragscode;
• bevorderen dat certificering waar mogelijk op het niveau van de EU plaatsvindt en certificering op nationaal niveau alleen als dat daadwerkelijk meerwaarde heeft, en
• bevorderen dat er één uniform formulier wordt ontwikkeld ten behoeve van het melden van datalekken bij de verschillende toezichthoudende autoriteiten van de lidstaten.

In haar inbreng bij de Raad van Ministers noemt Nederland nog drie andere aandachtspunten voor de Europese Commissie, namelijk:

• Big data analyse en profiling;
• Prijsdiscriminatie door profiling;
• Blockchain en de allicht onoverkomelijke spanning met de AVG.