25 mei 2018 werd de AVG van kracht. Het was voor de meeste organisaties een megaklus om aan alle vereisten van de AVG te voldoen en de deadline werd lang niet overal gehaald. Inmiddels zijn we 5 jaar verder, maar de privacyregels zijn misschien wel actueler dan ooit. Tijd voor een blik op de AVG in de praktijk, de vele discussies over de interpretatie van deze wetgeving en de toenemende problematiek rondom het delen van data met Amerikaanse partijen.

5 jaar AVG in de praktijk

Aan de Algemene Verordening Gegevensbescherming (AVG) voldoen is geen sinecure en er is nogal wat op ons afgekomen: van verwerkersovereenkomst tot Functionaris Gegevensbescherming (FG) en van datelekregister tot Data Protection Impact Assessment (DPIA).

De AVG legt strenge regels op over de verwerking van persoonsgegevens, die binnen de hele EU gelden. Hoewel de boetes voor het schenden van de AVG niet mals zijn, gaat het in de praktijk nog regelmatig mis.

Hoe?

Bijvoorbeeld met de publicatie van de privacyverklaring op de website. Stichting AVG deelde vorige week onderzoeksresultaten, waaruit blijkt dat bij 30% van de websites de privacyverklaring niet aan de AVG voldoet. Een privacyverklaring ontbreekt volledig of is onbegrijpelijk voor bezoekers. Dit resultaat volgt na een steekproef onder bijna 1400 Nederlandse websites.

Wilt u zelf checken of uw organisatie in de praktijk (nog steeds) voldoet aan de AVG?

Stel uzelf dan jaarlijks de volgende 5 vragen:

1. Heeft uw organisatie - indien nodig - verwerkersovereenkomsten afgesloten en zijn deze nog in orde?

2. Hoe gaat u om met privacyverzoeken van betrokkenen?

3. Staat er een privacyverklaring op de website en is deze nog up-to-date?

4. Is mijn verwerkingsregister bijgewerkt?

5. Is het protocol datalekken nog actueel?

Meer toelichting vindt u in onze blog: Europese Dag van de Privacy: goede reden voor deze 5 jaarlijkse privacychecks.

5 jaar interpretatie van de AVG: van gerechtvaardigd belang tot schadevergoeding

Nieuwe wetgeving leidt altijd tot verschillen in interpretatie, die op hun beurt weer leiden tot vragen bij gerechtshoven. De afgelopen jaren zijn er binnen Europa geregeld discussies ontstaan over de interpretatie van de AVG. We lichten er hieronder een paar uit.

Zuiver commercieel belang: wel of geen gerechtvaardigd belang?

In de zomer van 2022 deed de Raad van State in hoger beroep uitspraak in de zaak tussen de Autoriteit Persoonsgegevens (AP) en Voetbal TV. In die zaak stond het ‘gerechtvaardigd belang’ van de verwerking van persoonsgegevens centraal.

Om persoonsgegevens te mogen verwerken moet er een geldige grondslag zijn. Een van die grondslagen is ‘gerechtvaardigd belang’. De AP meent dat een zuiver commercieel belang geen gerechtvaardigd belang is volgens de AVG. Uiteindelijk verliest de AP de zaak, omdat de rechter oordeelt dat er geen sprake is van louter commercieel belang en dat de afwijzing op basis daarvan onterecht was.

Ondanks deze uitkomst, stelde de rechtbank eind 2022 wel prejudiciële vragen aan het Hof van Justitie van de Europese Unie over de interpretatie van het begrip ‘gerechtvaardigd belang’ en de kwalificatie van een zuiver commercieel belang als gerechtvaardigd belang. De uitspraak hiervan is nog niet bekend, maar wel erg relevant voor het inzetten van persoonsgegevens voor commerciële doeleinden.

Persoonsgegevens delen met derde partijen: niet zonder medeweten betrokkenen

Een rechtszaak in Oostenrijk heeft ook geleid tot prejudiciële vragen, die inmiddels beantwoord zijn door het Europese Hof. Centraal stond het inzageverzoek dat een Oostenrijkse burger deed bij een bedrijf. Hij wilde niet alleen weten welke persoonsgegevens het bedrijf van hem verwerkte, maar ook met wie deze gedeeld waren.

Het Oostenrijkse bedrijf gaf geen specifieke informatie, de rechtbank kon de vraag niet goed beantwoorden en daarom werden de volgende vragen aan het Europese Hof van Justitie gesteld:

Heeft de verwerkingsverantwoordelijke de keuze om de specifieke identiteit of enkel categorieën van ontvangers bekend te maken? Of heeft de betrokkene het recht om de identiteit van ontvangers te kennen?

Het Europese Hof antwoordde als volgt: elk persoon heeft het recht om precies te weten met wie zijn of haar persoonsgegevens zijn gedeeld.

Zorg dus dat u hierop voorbereid bent. Bijvoorbeeld door een overzicht te maken met welke partijen u persoonsgegevens deelt en welke persoonsgegevens u aan hen verstrekt.

Leidt schending van de AVG automatisch tot schadevergoeding?

Een andere interessante zaak speelde zich ook in Oostenrijk af. Ditmaal was het de rechtbank onduidelijk of enkel en alleen een schending van de AVG al leidt tot schadevergoeding. Een vraagstuk dat de gemoederen al langer bezighoudt.

Het Europese Hof van Justitie heeft de prejudiciële vragen in deze zaak onlangs beantwoord en daarmee (gelukkig) geen ruimte geboden aan een claimcultuur. Volgens het Hof is inbreuk van de AVG alleen niet voldoende om schadevergoeding te eisen.

Bijna 3 jaar geen Privacy Shield leidt tot steeds meer boetes

In de zomer van 2020 werd het Privacy Shield nietig verklaard: het mechanisme waarop we allemaal vertrouwden om veilig en AVG-proof persoonsgegevens uit te wisselen met Amerika.

Nu bijna drie jaar later is er nog steeds geen opvolger en wordt de situatie steeds nijpender. Hoewel er gewerkt wordt aan de Executive Order voor veilige gegevensuitwisseling, is een sluitend antwoord nog steeds niet gevonden.

Grootste uitdaging?

Voorkomen dat Amerikaanse toelichtingendiensten ‘zomaar’ toegang hebben tot Europese data.

Vorige week werd nog bekend dat Meta (het moederbedrijf van onder meer Facebook) een recordboete van de EU heeft gekregen van 1,2 miljard euro.

Waarvoor?

Voor het overzetten van gegevens van Europese Facebook-gebruikers naar servers in de Verenigde Staten. Daarmee wordt niet voldaan aan de AVG-regels. Dit is zeker niet de eerste boete voor Meta, zoals ook blijkt uit onze blogs:

• Opvallende uitspraak: Facebook schendt privacyrechten Nederlandse gebruikers

• Miljoenenboete voor Facebook en Instagram voor ‘noodzakelijk’ volgen van gebruikers

Het lijkt momenteel schering en inslag met het uitdelen van privacyboetes en het dreigen met een totaal verbod in Europa. Wordt vervolgd….

Op de hoogte blijven van deze en andere ontwikkelingen?

Abonneert u zich dan op onze maandelijkse nieuwsbrief en ontvang onze blogs automatisch in uw mailbox.