De Europese privacywetgeving viert dit jaar haar vijfde verjaardag. Destijds was het voor organisaties een enorme uitdaging om aan de AVG te voldoen en lang niet iedereen haalde de deadline. Inmiddels zijn we 5 jaar verder en is de AVG nog altijd het gesprek van de dag. Door rechtszaken, datalekken die telkens de media halen, megaboetes voor Facebook en Instagram, maar ook omdat het in de praktijk complexe wetgeving is en blijft.
Door mr. Robert Grandia, ICT-advocatenkantoor Legalz
AVG: complexe wetgeving in de praktijk
De Algemene Verordening Gegevensbescherming (AVG) vraagt nogal wat van bedrijven en organisaties. Van de verplichte verwerkersovereenkomsten tot de Functionaris Gegevensbescherming (FG) en van datelekregister tot Data Protection Impact Assessment (DPIA).
Het verwerken van persoonsgegevens mag alleen volgens de (strenge) Europese privacyregels van de AVG. Zo moeten betrokkenen hun gegevens onder meer kunnen inzien, wijzigen en verwijderen en zijn verwerkende organisaties verplicht zorgvuldig en veilig met persoonsgegevens om te gaan. Daarbij geldt: hoe gevoeliger de gegevens, hoe strenger de regels.
De Autoriteit Persoonsgegevens (AP) ziet toe op de naleving van de wet en legt boetes op bij overtredingen. Zo ontving de Belastingdienst vorig jaar een boete van 3,7 miljoen euro voor het jarenlang illegaal verwerken van persoonsgegevens in een eigen zwarte lijst. DPG Media ontving een boete van bijna een half miljoen euro voor het opvragen van te veel persoonsgegevens van mensen die hun persoonsgegevens wilden laten verwijderen of hier inzage in wilden. Ook heeft de AP boetes opgelegd voor slechte beveiliging van persoonsgegevens, denk aan wachtwoorden in de categorie ‘welkom123’.
Hoewel de regels van de AVG inmiddels 5 jaar gelden, gaat het dus nog geregeld mis in de praktijk. Zelfs met zoiets simpels als een privacyverklaring. Stichting AVG deelde onlangs onderzoeksresultaten, waaruit blijkt dat bij 30% van de websites de privacyverklaring volledig ontbreekt of onbegrijpelijk is voor bezoekers. Dit resultaat volgde na een steekproef onder bijna 1400 Nederlandse websites.
Wilt u zelf checken of uw organisatie in de praktijk (nog steeds) voldoet aan de AVG? Stel uzelf dan jaarlijks in ieder geval de volgende 5 vragen:
- Heeft mijn organisatie – indien nodig – verwerkersovereenkomsten afgesloten en zijn deze nog in orde en actueel?
- Is het verwerkingsregister bijgewerkt?
- Staat er een privacyverklaring op de website en is deze nog up-to-date?
- Hoe gaan we om met privacyverzoeken van betrokkenen?
- Is het protocol datalekken nog actueel?
Megaboetes voor Meta
Schending van de AVG leidt niet alleen tot boetes voor Europese partijen. In mei van dit jaar kreeg Meta (het moederbedrijf van onder meer Facebook) een recordboete van de EU van 1,2 miljard euro. Dit keer voor het overzetten van gegevens van Europese Facebook-gebruikers naar servers in de Verenigde Staten. Ik zeg specifiek dit keer, omdat Meta de afgelopen tijd meer megaboetes heeft gekregen voor het schenden van de Europese privacyregels. Hoe dat komt, leg ik hier kort uit.
Volgens de AVG mogen persoonsgegevens niet zomaar worden doorgegeven aan personen of organisaties buiten de Europese Economische Ruimte (EER). Dit is alleen toegestaan als er in het desbetreffende land sprake is van een passend beschermingsniveau. De Verenigde Staten bieden dit beschermingsniveau niet en daarom maakten we gebruik van het Privacy Shield. Dit waren afspraken tussen Europa en Amerika die het mogelijk maakten om persoonsgegevens AVG-proof uit te wisselen.
In de zomer van 2020 werd het Privacy Shield echter nietig verklaard na een rechtszaak (Schrems II). De belangrijkste reden hiervoor is dat Amerikaanse inlichtingendiensten ‘zomaar’ toegang hebben tot Europese data en dat mag niet volgens de AVG. Nu bijna drie jaar later is er nog steeds geen opvolger en wordt de situatie steeds nijpender. Hoewel er gewerkt wordt aan de Executive Order voor veilige gegevensuitwisseling, is een sluitend antwoord nog steeds niet gevonden. Tegelijkertijd voert Europa de druk op Amerika op door megaboetes uit te delen voor het schenden van de privacyregels. Dit wordt ongetwijfeld vervolgd …
Discussies over interpretatie van de AVG
Nieuwe wetgeving leidt altijd tot discussies, want hoe moet de wet in de praktijk worden uitgelegd? Diverse gerechtshoven hebben zich hier de afgelopen jaren over gebogen en vragen gesteld aan het Europese Hof van Justitie, die zich op haar beurt heeft uitgesproken over de juiste wijze van interpretatie. Ik licht 2 van deze vragen uit.
Persoonsgegevens delen met derden
In Oostenrijk speelde een zaak rondom het inzageverzoek dat een Oostenrijkse burger deed bij een bedrijf. Hij wilde niet alleen weten welke persoonsgegevens het bedrijf van hem verwerkte, maar ook met wie deze gedeeld waren. Het Oostenrijkse bedrijf weigerde specifieke informatie te verstrekken. De AVG bood ruimte voor interpretatie en daarom werden de volgende vragen gesteld aan het Europese Hof van Justitie: heeft de verwerkingsverantwoordelijke de keuze om de specifieke identiteit of enkel categorieën van ontvangers bekend te maken? Of heeft de betrokkene het recht om de identiteit van ontvangers te kennen?
Het Europese Hof antwoordde als volgt: elk persoon heeft het recht om precies te weten met wie zijn of haar persoonsgegevens zijn gedeeld. Let op! Dit betekent dat ook uw organisatie deze informatie moet kunnen verstrekken als betrokkenen hierom vragen.
Recht op schadevergoeding
In een andere interessante zaak stond de vraag centraal of enkel en alleen een schending van de AVG al leidt tot schadevergoeding. Een vraagstuk dat de gemoederen al langer bezighoudt.
Het Europese Hof van Justitie heeft de prejudiciële vragen in deze zaak onlangs beantwoord en daarmee (gelukkig) geen ruimte geboden aan een claimcultuur. Volgens het Hof is inbreuk van de AVG alleen niet voldoende om schadevergoeding te eisen.
Dus: waar staan we nu?
Na 5 jaar AVG is de wetgeving misschien wel actueler dan ooit. In de praktijk gaat het nog geregeld mis bij organisaties, wat leidt tot boetes en reputatieschade. Tegelijkertijd zien we dat betrokkenen steeds bekender zijn met hun rechten en daar gebruik van maken. Terwijl wij ons bewuster worden van onze privacy, strijdt Europa een steeds feller wordende strijd met Amerikaanse partijen die de privacywetgeving schenden. De laatste boete is zeker nog niet uitgedeeld en het is de grote vraag wanneer er een totaal verbod op bepaalde platforms binnen Europa wordt opgelegd.
Wat betekent dit alles voor uw organisatie? Dat het van groot belang is om volledig te blijven voldoen aan de AVG. Bijvoorbeeld door de 5 jaarlijkse checks uit te voeren, die ik hierboven beschreven heb. Daarnaast is het verstandig de uitspraken over de interpretatie van de AVG te volgen, zodat u weet wat uw rechten zijn en die van betrokkenen.
Kijk voor meer informatie op de AVG-pagina van ICT-advocatenkantoor Legalz.