De Dag van de Privacy

Het is vandaag de Dag van de Privacy! Een dag die in het teken staat van bewustzijn rondom privacy en gegevensbescherming. Bovendien een mooi moment om terug te blikken op een bewogen 2020 en onze verwachtingen voor 2021 op een rijtje te zetten.

2020: Thuiswerken, Schrems II, schadevergoedingen en onlineplatformen onder de loep

‍COVID-19

2020 is onlosmakelijk verbonden met de komst van het Covid-19 virus. Thuiswerken werd de norm waardoor interacties met collega’s nu vaak bestaan uit digitaal vergaderen en samenwerken in de cloud. Daarmee kwam het zorgen voor een veilige online thuiswerkomgeving en het goed implementeren van privacywetgeving in menig organisatie hoog op de prioriteitenlijst te staan.

Schrems II

Daarnaast werd het in 2020 tijd om internationale gegevensuitwisselingen met bedrijven gevestigd in de VS onder de loep te nemen. Het Europese Hof van Justitie verklaarde op 16 juli 2020 het EU-VS PrivacyShield ongeldig. Bedrijven mogen de doorgifte van persoonsgegevens van Europese burgers naar bedrijven die gevestigd zijn in de VS, niet meer baseren op het Privacy Shield. In een baanbrekende uitspraak maakte het Europese Hof korte metten met het idee dat de rechten en vrijheden van burgers voldoende zouden worden gewaarborgd door het doorgifte instrument.

WAMCA

Bovendien was 2020 het jaar waarin de ‘Wet afwikkeling massaschade in collectieve actie (‘WAMCA’) in werking trad. Dit resulteerde in de eerste collectieve actie wegens overtreding van de AVG: Stichting The Privacy Collective tegen Oracle en Salesforce, wegens het vermeend onrechtmatig verzamelen en gebruiken van persoonsgegevens van Nederlandse internetgebruikers.

Aansprakelijkheid & schadevergoeding

In 2020 zijn de toekenningen van schadevergoedingen aan betrokkene onder artikel 82 op gang gekomen. Dit gebeurde onder andere voor het doorzoeken van de mailbox van de werknemer zonder toestemming. Er werd een schadevergoeding toegekend aan betrokkene voor het onrechtmatig publiceren van informatie in een dagblad en op social media. En een burger kreeg schadevergoeding doordat er zonder toestemming stukken met medische persoonsgegevens waren verstrekt aan een medisch tuchtcollege.

De DSA & DMA

Tot slot publiceerde de Europese Commissie op de valreep van 2020 de wetsvoorstellen voor de ‘Digital Services Act[10]’(DSA) en de ‘Digital Market Act’(DMA). De DSA stelt onder andere regels aan illegale content en advertenties op online platformen. De DMA moet ervoor zorgen de macht van grote techbedrijvenzoals Google en Facebook aan banden wordt gelegd. 6 dagen voor deze publicatie maakte de Amerikaanse toezichthouder FTC bekend Facebook te zullen vervolgen voor een vermeend illegaal monopolie op de markt van sociale media. Zowel de zaak tegen Facebook als het finaliseren vande twee nieuwe wetsvoorstellen zullen naar verwachting nog tot (ver) na 2021 duren. Spannende vooruitzichten met betrekking tot online platformen dus.

2021: De internationale doorgifte van persoonsgegevens, cyberbeveiliging, E-privacy en ethiek

Brexit

De Brexit-deal zorgt ervoor dat de doorgifte van persoonsgegevens voor een periode van vier maanden (‘the bridge’)kan doorgaan op de oude voet, zolang het VK haar regels met betrekking tot debescherming van persoonsgegevens niet aanpast. Deze periode kan mogelijk verlengd worden met twee maanden. De Britse overheid heeft de Europese Commissie gevraagd een adequaatheidsbesluit te nemen. Maar als dit niet lukt voor het einde van ‘the bridge’ zul je als organisatie extra waarborgen moeten treffen, zoals het sluiten van SCCs.  

Internationale doorgifte persoonsgegevens

Maar 2021 heeft nog meer in petto wat betreft de doorgifte van persoonsgegevens buiten de Europese Economische Ruimte (EER). Zo zal de EU naar verwachting in de eerste helft van 2021 de definitieve versie van de nieuwe modelcontracten(standard contractual clauses (SCC)) publiceren. De nieuwe SCCs zullen nu ook betrekking hebben op de doorgifte van persoonsgegevens van verwerkers in de EER naar sub-verwerkers en verwerkingsverantwoordelijken buiten de EER. Bovendien bevatten de modelcontracten, inspelend op het Schrems II arrest, nieuwe bepalingen die een beter beveiligde doorgifte moeten waarborgen. Zo moeten bedrijven onder andere een risicoanalyse uitvoeren voordat zij partijen van buiten de EER inschakelen. Of 2021 ook een nieuwe versie van het Privacy Shield zal brengen is twijfelachtig, maar het Amerikaanse ministerie van economische zaken en de Europese Commissie zijn de mogelijkheid aan het bespreken.  

Cyberbeveiliging  

Met de komst van certificeringsraamwerken zoals ISO27701 kunnen bedrijven aantonen dat zij voldoen aan alle eisen rondom informatiebeveiliging. 2021 brengt nieuwe regels over Europese certificeringvoor ICT-producten en diensten. Met een Europees cyberbeveiligingscertificaat kunnen bedrijven aantonen dat producten en/of diensten in de gehele EU voldoen aan de cyberbeveiliging vereisten. De toepasselijke regels uit de Cyberbeveiligingsverordening treden op 28 juni 2021 (naar verwachting samen met de Uitvoeringswet) inwerking.

E-Privacy verordening

En dan de E-Privacyverordening. Zullen er dit jaar knopen worden doorgehakt? Een eerste voorstel voor vervanging van de E-Privacyrichtlijn werd al in 2017 ingediend. De nieuwe verordening over het gebruik van elektronische communicatie, moet meer duidelijkheid geven over het gebruik van cookies, metadata en direct marketing. Maar Europese wetgevers lijken het niet eens te worden. Hopelijk brengt 2021 hier verandering in.  

Ethiek

En dan tot slot nog een ethisch privacyvraagstuk dat ook in 2021 een grote rol zal spelen in het maatschappelijk debat. Hoe ver mag je als overheid gaan met het verzamelen van persoonsgegevens om fraude tegen te gaan en met het inzetten van drones, slimme camera’s, een avondklok en de CoronaMelder?

Kortom: genoeg om in de gaten te houden in het aankomende jaar. Heeft de Dag van de Privacy je enthousiast gemaakt? Wij vieren deze dag het hele jaar door en geven je graag advies! Neem contact op via info@privacycompany.nl