Dataprotectie in 2022: wat zien en verwachten de experts?

Redactie Outvie

Redactie Outvie

Wat waren de belangrijkste gebeurtenissen op privacy en dataprotectie gebied van 2021?  

Friederike van der Jagt, Privacy advocaat, Hunter Legal

2021 wordt gekenmerkt door het opleggen van de hoogste privacyboetes die we tot nu toe gezien hebben (Whatsapp en Amazon) en de nieuwe Standard Contractual Clauses. Doorgifte van persoonsgegevens was key. In Nederland zijn de onderzoeken van de Autoriteit Persoonsgegevens (AP) naar de onrechtmatige verwerking van persoonsgegevens door de Belastingdienst in het licht van de toeslagenaffaire en de eerste boete die daarvoor is opgelegd (die meteen ook de hoogste boete is tot nu toe) van groot belang te noemen. Daarnaast is de start van diverse massaschadeclaimprocedures kenmerkend voor 2021.

 

Kenneth Sleijpen, Privacy Officer, gemeente Sittard-Geleen

De ransomeware pandemie die lijkt te zijn ontstaan. Je zag de impact hiervan op de samenleving. Dit soort incidenten dienen serieus genomen te worden op bestuursniveau van diverse organisaties. Daarnaast vielen de massaclaims ten aanzien van Big Tech wel op. Het mogen nog blijken of dit zijn vruchten zal afwerpen. Als laatste bleek 2021 een recordjaar qua privacy boetes in Europa. Dit is een trend die nog wel doorgaat, lijkt mij zo.

 

Peter van Schelven, juridisch adviseur, BIJ PETER – Wet & Recht

De belangrijkste gebeurtenissen op privacy en dataprotectie gebied waren voor mij:

  • Een uitstekende analyse van de AP over de flagrante en mensonterende schending van de privacy van een groot aantal burgers door de Belastingdienst (zwarte lijst van vermeende fraudeurs).
  • Een rijksoverheid, staatssecretaris Vijlbrief, die nogal koeltjes heeft gereageerd op het vernietigende AP-rapport over de Belastingdienst. Hetgeen duidt op bedenkelijk gebrek aan empathie in Haagse kringen,
  • De AP is gekapitteld door de Nationale Ombudsman; benedenmaatse afhandeling van klachten. De AP lijkt soms meer bezig te zijn met klagen over het gebrek aan middelen en menskracht dan met een optimale bescherming van burgers,
  • De Transavia case en sterk toenemend belang van security als onderdeel van de AVG. Een boete van AP die volledig gebaseerd is op schending van de security-verplichting uit de AVG (art. 32),
  • Introductie van nieuwe Stand Contractual Clauses door de Europese Commissie,
  • Meer “collectieve schadeclaims” in NL,
  • Het wordt moeilijker om privacy-risico’s te verzekeren.

 

Wat zijn de belangrijkste topics/aandachtsgebieden voor privacy professionals in 2022?  

Friederike van der Jagt, Privacy advocaat, Hunter Legal

Dat hangt ervan af wie je het vraagt. Sommigen zullen met argusogen bekijken of de Wet gegevensverwerking samenwerkingsverbanden het gaat halen of niet, anderen zijn bezig met de massaschadeclaims die in 2022 voor de rechter zullen komen. Beveiliging blijft voor iedereen een aandachtspunt en ondertussen vragen werkgevers zich af of een wetsvoorstel om alcohol- en drugstesten op de werkvloer mogelijk te maken, er gaat komen. Iedereen zal ook nieuwsgierig zijn naar de Verzamelwet gegevensbescherming. Never a dull moment!

 

Kenneth Sleijpen, Privacy Officer, gemeente Sittard-Geleen

De ethische kant van ons werk. Te vaak wordt het puur juridisch benaderd. Feit dat iets mag, betekent niet dat het wenselijk is. Of het feit dat het juridisch onzeker is, betekent niet dat je overal negatief advies moet geven om risico’s volledig uit te sluiten. Het ethische stuk van wat wel of niet wenselijk is zal in 2022 een grotere rol krijgen in ons werk.

 

Peter van Schelven, juridisch adviseur BIJ PETER – Wet & Recht

Dit laat zich niet zo makkelijk in 1 allesomvattend iets beschrijven vanwege de grote verschillen tussen privacy professionals. Denk aan: 1) private sector versus publieke sector, 2) grote organisaties (multinationals) versus kleine organisaties en 3) grote verschillen per segment (zorg, financiële sector etc).

 

Ik zie als algemene tendens wel dat de IT steeds dieper ingrijpt in organisaties, met alle gevolgen vandien op privacy-gebied. Steeds meer organisaties gebruiken SAAS-applicaties en die organisaties hebben op centraal niveau (afdeling IT, afdeling Legal, afdeling Privacy e.d.) niet zelden een heel slecht beeld van de SAAS-applicaties die men in huis heeft en waar die applicaties precies gehost worden (binnen of buiten NL?).

 

Een andere ontwikkeling: de meeste privacy-professionals zitten slecht in de security en zijn meer van de afdeling papier (beleid, registers, protocollen e.d.). De – terecht – toenemende aandacht van toezichthouders in Europa voor (ernstige) security-incidenten noopt er toe dat privacy-professionals er ook meer aandacht aan geven en niet louter kunnen vertrouwen op de blauwe ogen van CISO’s en security-auditors. 

 

Hoe zien privacy en gegevensbescherming er over 5 jaar uit? 

Friederike van der Jagt, Privacy advocaat, Hunter Legal 

Dat is koffiedik kijken. Veel zal afhangen van de handhaving van de AVG, zowel publiekrechtelijk als privaatrechtelijk: gaan de massaschadeclaimprocedures die gestart zijn vliegen? Of stranden ze in de voorfase of valt men over het schadebegrip? Zeker is dat privacy een onderwerp is dat steeds op de politieke agenda terug zal keren. 

 

Kenneth Sleijpen, Privacy Officer, gemeente Sittard-Geleen 

Ik verwacht dat onze digitale rechten steeds meer in lijn komen met onze “offline” rechten. Ons recht is gebaseerd op de fysieke wereld en daardoor is het digitaal zo lastig. Dat terwijl digitalisering in een rap tempo doorzet. De overheid gaat ook een veel grotere rol spelen in de digitalisering. Dit kan in zowel positieve als negatieve zin, dus privacy professionals kunnen hun lol op. 

 

Peter van Schelven, juridische adviseur , BIJ PETER – Wet & Recht 

Ik verwacht dat: 

  • security en privacy steeds meer worden geïntegreerd. De komende NIS 2.0 Directive zal een grotere druk op verwerkers zetten en dus leiden tot een zwaardere contractspraktijk 

 

  • veel onduidelijkheden in de AVG nog steeds aanwezig zijn (bv het bedenkelijke  onderscheid tussen verwerkingsverantwoordelijke en verwerker). Dat is problematisch omdat de ketens in de Cloud veranderen, bijvoorbeeld door de komst van nieuwe spelers in de Cloud met andere rollen dan die van de klassieke Cloud-provider. Er komen bijv. steeds meer “Cloud-brokers”, met verschillende rollen, zoals ‘Service bemiddeling’ (= Cloud broker biedt diensten met toegevoegde waarde of extra functionaliteit bovenop de onderliggende cloud voorziening (voorbeeld I&A beheer of security) aan ‘Service aggregatie’ (= Cloud broker biedt in wezen een nieuwe (vaste) cloudservice aan door meerdere andere services te combineren en samen te voegen tot één aanbod.), ‘Service arbitrage’ (= Cloud broker vergelijkbaar met aggregatie, echter de services die de broker aanbiedt zijn niet vast en kunnen door de klant worden geselecteerd uit meerdere providers). Kortom: de AVG met haar lompe definities gaat steeds meer achter de veranderingen in de technologische werkelijkheid aanlopen. Dat gaat zich wreken in de contractpraktijk. 

 

  • advocaten/juristen met specialisme privacy-recht gaan het in de markt meer en meer verliezen van “all round privacy adviseurs” die in staat zijn multidisciplinair naar het privacyvraagstuk te kijken, Meer dan nu worden andere dan juridische competenties meer en meer van belang: leiderschap, ethiek, verandermanagement, stakeholdermanagement, security-kennis en organisatieverandering.  
Privacy_e-privacy

Hoe effectief zijn de EU toezichthouders (DPA’s) en draagt hun beleid bij tot het doel van GDPR (bescherming van betrokkene)? 

Friederike van der Jagt, Privacy advocaat, Hunter Legal 

EU toezichthouders zijn slechts deels effectief. Nu het aan de lidstaten is om te budgetteren en vele toezichthouders, met name de Ierse toezichthouder, kampen met (te) krappe budgetten en bemensing. Zeker voor het toezicht op techbedrijven is het zeer de vraag of het one-stop-shop principe wenselijk is en of er geen overkoepelende Europese privacytoezichthouder zou moeten komen. 

 

Kenneth Sleijpen, Privacy Officer, gemeente Sittard-Geleen 

Ik denk dat EU toezichthouders (DPA’s) veel slimmer moeten gaan werken. Er is teveel werk om in één keer op te lossen. DPA’s moeten veel meer meedenken met de markten en richtlijnen mee formuleren. Alleen maar boetes heeft geen zin. Vooral meedenken hoe het wel kan in plaats van hoe het niet mag. 

 

Peter van Schelven, juridisch adviseur, BIJ PETER – Wet & Recht 

Er zijn tussen de Europese landen grote verschillen in het aantal boetes dat wegens schending van de AVG zijn opgelegd. De absolute koploper per 26 januari jl. is Spanje (met 363 boetes), gevolgd door Italië (107), Roemenië (70), Hongarije (45), Noorwegen (41), Duitsland (39) etc. Nederland staat, samen met Denemarken en Oostenrijk,  op een gedeelde 16e plek met 17 boetes. Deze rangorde zegt overigens niets over de hoogte van de geldboetes.
 

Een deel van die grote verschillen houdt verband met het feit dat in sommige landen de toezichthouder de boete in eigen zak mag steken (= perverse prikkel tot het opleggen van boetes), terwijl in andere landen de boetes aan de algemene middelen worden afgedragen.  

 

Je ziet ook grote verschillen in de onderwerpen die aanleiding geven tot boetes. In sommige landen zijn dat mineure issues, in andere landen (bijv. UK) betreft het vaak zware en complexe gevallen.  

 

Welke rol speelt de AP – onze privacy toezichthouder – in Europa?  

Friederike van der Jagt, Privacy advocaat, Hunter Legal 

De plannen van de AP zijn ambitieus. De AP heeft eerder in haar “Focus 2020-2023” aangegeven: “De ambitie is om in 2023 een invloedrijke privacytoezichthouder te zijn in Europa. Wij kunnen immers alleen effectief zijn als wij internationaal kansen pakken en kaders stellen.” (zie p. 28). Nu is het zaak om dit waar te maken. Ook is het daarbij beter om invloed uit te oefenen via gezamenlijk beleid met andere privacytoezichthouders dan op eigen houtje een normuitleg te publiceren die afwijkend is van de andere lidstaten. 

 

Kenneth Sleijpen, Privacy Officer, gemeente Sittard-Geleen 

Geen antwoord. 

 

Peter van Schelven, juridisch adviseur BIJ PETER – Wet & Recht 

Voor een groot deel onttrekt zich dat aan de publieke waarneming. Wel lijkt het erop dat de AP minder gezag in Europa heeft dan in vroegere tijden.  

Een deel van de inbreng van AP in Europa is in de EDPB, maar ik kan niet goed bepalen wat die inbreng precies is en wat daarvan door de EDPB wordt overgenomen.  

Waarom is een internationale Dag van de Privacy belangrijk en wat levert dit op? 

Friederike van der Jagt, Privacy advocaat, Hunter Legal 

Het is goed dat er eens paar jaar een moment is om aan te grijpen om ‘privacy’ in het zonnetje te zetten en de aandacht te geven die het verdient. Het is een mooi moment voor bedrijven om bij privacybescherming stil te staan en ook altijd een moment waarop de privacytoezichthouders iets extra’s doen. 

 

Kenneth Sleijpen, Privacy Officer, gemeente Sittard-Geleen 

Bewustwording, dat is het allerbelangrijkste. Bewustwording moet groeien onder de samenleving. Alleen daarom is deze dag zo belangrijk. Bewustwording op het thema van privacy en digitale veiligheid van medewerkers is de sleutel tot succes voor elk organisatie anno 2022. Je kan een top privacy team inschakelen met de allerduurste systemen, maar medewerkers moeten het belang van privacy zien. Niet alleen dat iets moet van de wet, maar juist uitleggen waarom het zo belangrijk is.  

 

Dit soort dagen moeten bij elke privacy professional rood omcirkelt zijn om op die dag aandacht te besteden aan dit belangrijke thema. Van de bestuurslaag tot aan de uitvoering. Interne bewustwording zorgt ervoor dat jouw privacy governance veel beter tot zijn recht komt en dat de organisatie digitaal weerbaarder wordt. Bewustwording is de sleutel voor een succesvolle organisatie die meekan in deze digitale tijd. De Dag van de Privacy moet bij elke professionele organisatie goed gevierd worden! 

 

Peter van Schelven, juridisch adviseur BIJ PETER – Wet & Recht 

De vraag is voor wie die dag belangrijk isPersoonlijk meen ik dat het voor de burgers (betrokkenen) niet zo belangrijk is. Het grootste deel van de samenleving heeft geen enkele notie van het bestaan van die specifieke dag en de relevantie ervan voor de burger is dan ook verwaarloosbaar. Voor privacy-professionals is de relevantie tweeledig: 1) het is een moment om hun producten en diensten te marketen en 2) de privacy-professional kan, indien hij/zij werkzaam is in een organisatie, die dag aangrijpen om de relevantie van privacy onder de aandacht van het personeel te brengen. Dus wat mij betreft zou de vraag dan ook moeten zijn: wat doe je als privacy-professional concreet op die dag binnen jouw eigen organisatie om privacy en dataprotectie meer op de kaart te zetten?  

Wilt u in twee dagen helemaal bijgepraat worden over alle actualiteiten op het gebied van dataprotectie en privacy? Kom dan naar het Actualiteitencongres Dataprotectie & Privacy op 6 en/of 7 oktober 2022.

Share

Download de brochure
Dataprotectie & Privacy congres