De drie hot topics in privacy compliance

Tijdens het Dataprotectie & Privacy Congres 2022 hebben privacy experts van verschillende achtergronden inzichten gedeeld over actuele vraagstukken en effectieve strategieën. We vatten de opvallende discussiepunten en take-aways voor u samen.

Dataprotectie & Privacy Privacy Compliance

Het Dataprotectie & Privacy Congres 2022 stond in het teken van actuele thema’s als de structurele verankering van compliance, de verdere professionalisering van de privacy-organisatie en de mogelijkheden en risico’s van nieuwe technologische ontwikkelingen. Experts uit de publieke, private en gereguleerde sector deelden inzichten en adviezen om als privacy professional goed voorbereid te zijn op de vraagstukken van vandaag en morgen. Bijvoorbeeld als het gaat om de afstemming tussen security en privacy, de cyclische monitoring van (privacy) risico’s en controls en het verantwoord gebruik van data in samenwerkingsverbanden.

Hieronder de belangrijkste insights over drie kernthema’s op een rij.

1. EU-brede regels voor AVG-boetes voor bedrijven

De European Data Protection Board (EDPB) maakte in 2022 nieuwe boeterichtlijnen bekend. De concept-guidelines betekenen dat alle privacytoezichthouders van de Europese Unie (EU) straks de hoogte van boetes voor bedrijven die de Algemene verordening gegevensbescherming (AVG) overtreden op dezelfde manier berekenen.

De toekomstige Europese boeteregels verschillen momenteel in drie opzichten van de boetebeleidsregels van de Autoriteit Persoonsgegevens (AP). Dit vertelden Eva Lammers, senior adviseur handhaving van AP en Vonne Laan, partner en advocaat privacyrecht bij The Data Lawyers, tijdens het Dataprotectie & Privacy Congres. Een belangrijk verschil heeft te maken met het concept van een startbedrag dat de EDPB introduceert. De omzet van het bedrijf en de ernst van de overtreding vormen het startpunt voor de verdere boeteberekening. Afhankelijk van verzachtende of juist verzwarende omstandigheden wordt het startbedrag verlaagd of verhoogd. Op die manier zal het naar verwachting meer voorspelbaar worden op wat voor manier de omzet van een organisatie wordt meegewogen bij de boetetoemeting.

Europese toezichthouders

Lammers en Laan benadrukken dat de fining guidelines van de EDBP zijn bedoeld om de methodologie te harmoniseren waarmee de Europese privacytoezichthouders de hoogte van boetes berekenen. Dat wil niet automatisch zeggen dat de uitkomst van de calculatie hetzelfde is. Maar bedrijven weten dankzij de nieuwe werkwijze wel beter waar ze aan toe zijn, omdat boetes straks in alle Europese lidstaten op dezelfde manier worden berekend.

Daarnaast ondersteunt de harmonisatie de onderlinge samenwerking tussen de Europese privacytoezichthouders, bijvoorbeeld bij de peer review van handhavingsonderzoeken. Ook voor privacy professionals brengt de eenduidigheid mogelijk voordelen mee. Er kan een inschatting worden gemaakt van de mogelijke boete die op het spel staat bij een overtreding van de AVG. Zo’n financiële risico-analyse is een handzaam instrument om een directie te laten zien wat de mogelijke kosten van niet-naleving zijn, om daarmee urgentie te creëren voor compliance.

2. De nieuwe Europese richtlijn voor AI en de AVG

De Europese verordening voor artificiële intelligentie (AI) stelt straks strikte eisen aan de ontwikkeling en toepassing van systemen die gebruik maken van kunstmatige intelligentie. De concept-AI Act onderscheidt verboden toepassingen en systemen met een hoog en een laag risico voor mens en maatschappij. De komst van de AI Act is een extra aandachtspunt voor organisaties die digitale gegevens gebruiken voor analyses en algoritmen. Ook nu al gelden daarvoor regels, met de AVG voor verwerkingen van persoonsgegevens als de meest vanzelfsprekende. Een toenemend aantal bedrijfsprocessen maakt al gebruik van AI om bedrijfsprocessen te verbeteren, vertelt Remon van Saane, Data Protection Officer van online supermarkt Picnic tijdens het Dataprotectie & Privacy Congres.

Om AI binnen een organisatie te kunnen gebruiken dient er op basis van de AVG een zorgvuldige afweging te worden gemaakt tussen de belangen van betrokkenen en de belangen van de organisatie. Het toepassen van Privacy by Design bij het verzamelen, opslaan en beschikbaar maken van persoonsgegevens voor AI-toepassingen is daarbij essentieel. Daarnaast spelen er ethische vraagstukken. Van Saane deelt drie tips om praktisch invulling te geven aan ethische aspecten van gegevensverwerkingen via AI. Allereerst zijn transparantie en eerlijkheid – over de werkwijze en de redenen daarvoor – een must.

Daarnaast adviseert Van Saane organisaties om AI technologie toe te passen op een manier die meerwaarde biedt voor de betrokkenen wiens data wordt gebruikt. Zet dus in op wederkerigheid in plaats van uitsluitend op eigenbelang. Verder dienen betrokkenen zo veel mogelijk controle te krijgen over het gebruik van persoonsgegevens voor AI, bijvoorbeeld via opt-outs. De ethische omgang met AI is daarmee niet alleen een reflexieve exercitie, maar vooral een opgave om concrete maatregelen te nemen voor dataprotectie en draagvlak.

3. Nieuwe Europese wet- en regelgeving over data

De datastrategie van de EU – die draait om een vrij verkeer van data tussen sectoren en lidstaten, met aandacht voor regels voor privacy, gegevensbescherming en andere aspecten van het gebruik van digitale informatie – betekent dat er steeds meer Europese wet- en regelgeving rond data ontstaat. De Data Act, waarvan het eerste voorstel in februari 2022 door de Europese Commissie is opgesteld, geldt als een kernpijler van de Europese datastrategie. De verordening is een uitwerking van de Data Governance Act, die in 2020 is gepubliceerd.

Een belangrijk vraagstuk rond de Europese datastrategie is de samenhang met de General Data Protection Regulation (GDPR), vertelt Cassandra Moons, head of compliance van TomTom, tijdens het Dataprotectie & Privacy Congres 2022. Zo maakt de Data Act een onderscheid tussen persoonsgegevens en niet-persoonsgegevens. De standaarden uit de GDPR en de AVG in Nederland zijn onverminderd van toepassing op de persoonsgegevens. Maar is het onderscheid tussen persoonsgegevens en andere soorten data in de praktijk altijd zo makkelijk en scherp te maken?

Marlon Domingus, FG van de Erasmus Universiteit Rotterdam (EUR), voegt daaraan toe dat de Data Governance Act een groot aantal nieuwe juridische concepten introduceert. Het wetsvoorstel spreekt bijvoorbeeld over “data altruism”, “data intermediation service” en “data holder”. Ook in andere recente en toekomstige Europese wet- en regelgeving op het terrein van data, zoals de Digital Markets Act (DMA), de Digital Services Act (DSA) en de Artificial Intelligence Act (AIA), zijn complexe nieuwe begrippen opgenomen.

Data Governance Act

Omdat de EUR vanwege de Data Governance Act potentie ziet in een rol als data-intermediair, is het privacyteam al volop bezig met de voorbereidingen op de richtlijn, die naar verwachting in 2023 van kracht wordt (met een overgangstermijn van vijftien maanden). Wat zijn de randvoorwaarden voor compliance? Welke procedures zijn noodzakelijk? Wat is daarvoor nodig van IT? Welke afdelingen worden erdoor geraakt? Welke kennis wordt er intern gedeeld over de Europese datastrategie? Waar beleggen we het toezicht? Door gezamenlijk na te denken over de mogelijke impact van de Data Governance Act, ontstaat overzicht over de risico’s én kansen van het wettelijke kader. Tegenover het gebrek aan officiële praktische guidance bij de implementatie en de uitdaging om de concepten juist te interpreteren staan immers de nieuwe mogelijkheden om meer mensgericht met data om te gaan.

Het perspectief van Domingus is illustratief voor een centrale thematiek van het Dataprotectie & Privacy Congres 2022: data en de vernieuwende technologische toepassingen die ervan gebruik maken, zoals AI, creëren naast risico’s ook kansen voor gegevensbescherming. De grote uitdaging voor privacy professionals is nu om het genuanceerde perspectief concreet handen en voeten te geven in de organisatie en daarmee compliance en innovatie naar een volgende niveau te brengen.