Europese Dag van de Privacy 2023
28 januari is het een belangrijke dag: de Europese Privacy dag. Een goed moment om de balans weer eens even op te maken. In deze update kijken we dan ook terug op de belangrijke ontwikkelingen op het gebied van Privacy in de afgelopen periode.
Standard Contractual Clauses
Vanaf 27 december moeten de Standard Contractual Clauses in gebruik zijn genomen. Deze modelcontracten zijn bedoeld voor het vastleggen van internationale doorgiften, bijvoorbeeld van data aan de Verenigde Staten. Hiermee vervalt het gebruik van de oude modelcontracten. De nieuwe modelcontracten hebben meer varianten van doorgifte van persoonsgegevens. Denk daarbij aan de doorgifte van een (sub)verwerker naar een (sub)verwerker. Ook de doorgifte waarbij meer dan twee partijen zijn betrokken en waarbij de partijen zich uitbreiden zijn in deze contracten op de juiste manier vast te leggen. Kijk voor een inhoudelijke toelichting op de site van de Autoriteit Persoonsgegevens.
Boetes AVG
Er zijn nieuwe regels over de berekening van AVG-boetes voor bedrijven die de AVG overtreden. De European Data Protection Board (EDPB) heeft deze regels opgesteld. Zij zijn een Europees onafhankelijk orgaan dat toeziet op het consequent toepassen van de AVG en bevordert de samenwerking tussen gegevensbeschermingsautoriteiten van de EU. Door deze regels wordt in de EU op dezelfde manier de hoogte van de boetes berekend.
De regels zijn op drie punten verschillend van de manier waarop de Autoriteit Persoonsgegevens tot op dit moment de boetes heeft berekend. Zo speelt de omzet van het bedrijf een grotere rol, zijn er drie categorieën voor de ernst van een overtreding en is er een categorisatie op basis van de aard van de inbreuk.
Hoe staat het met Privacy Shield
In het afgelopen jaar volgden de ontwikkelingen rondom het Privacy Shield elkaar snel op. Zo werd onlangs aangekondigd dat de Europese Commissie is begonnen met het proces om een adequaatheidsbesluit aan te nemen voor het nieuwe EU-US Data privacy framework.
Eerder dit jaar werd al bekend dat de Europese Commissie en de Verenigde Staten gesprekken voerden om het nieuwe Privacy Shield 2.0 op te zetten.
Het ontwerp van de adequaatheidsbesluit is nu neergelegd bij de European Data Protection Board (EDPB). Daarna gaat het naar de Europese Commissie en het Europees Parlement. De Europese Commissie heeft niet aangegeven hoe lang de beoordelingsprocedure van het adequaatheidsbesluit gaat duren.
Het nieuwe EU-US Data Privacy framework komt in de plaats van de door de Europese rechter afgewezen Privacy Shield in 2020. In de Schrems II-zaak oordeelde het Hof van Justitie van de Europese Unie dat het toenmalige Privacy Shield niet voldeed aan de minimumvereisten van de AVG. Hierdoor konden organisaties vanaf dat moment het Privacy Shield niet meer gebruiken als basis voor doorgifte van gegevens naar de VS. Doorgifte kon alleen nog plaatsvinden door gebruik te maken van standard contractual clauses (modelcontracten).
Indien het besluit wordt afgegeven, vergemakkelijkt dit in grote mate de gegevensuitwisseling tussen de EU en de VS. Er zijn namelijk geen aanvullende of passende waarborgen nodig voor een gegevensuitwisseling met een ontvanger in de Verenigde Staten.
Artikel Channelconnect
Eind vorig jaar was collega Charlotte te gast bij ChannelConnect, voor een uitgebreid interview. De uitkomst? Een artikel over de adaptatie van privacy binnen organisaties. Vanuit onze Privacy Hub zien we bij organisaties dat steeds terugkerende zaken wel of juist niet goed worden opgepakt. In het artikel duikt Charlotte bijvoorbeeld dieper in op het bijhouden en updaten van de privacy documentatie, omdat het daar nog wel eens aan wil schorten bij organisaties. Je leest het volledige artikel hier.
Benieuwd hoe wij onze opdrachtgevers ondersteunen met het verbeteren van Privacy & Security Awareness? Neem vooral contact op óf schrijf je in voor onze nieuwsbrief en ontvang meer nuttige tips.