Zo brengt EDPB-guidance privacy compliance naar een hoger niveau: 3 adviezen

De European Data Protection Board (EDPB) publiceert regelmatig guidance over de interpretatie van de Algemene verordening gegevensbescherming (AVG). Wout Olieslagers van HVG Law vertelt over de voordelen en toepasbaarheid van de EDPB-richtlijnen. 

In de EDPB werken de voorzitters van de privacytoezichthouders van de Europese Unie samen aan de consistente toepassing van de AVG. Een van de uitkomsten daarvan is de publicatie van richtlijnen over de interpretatie van belangrijke begrippen en thema’s uit de wetgeving.  

“De EDPB-richtlijnen geven concrete handvatten om te voldoen aan de AVG”, zegt Wout Olieslagers, Advocaat Digital, Cyber & Privacy bij HVG Law en een van de docenten van de actualiteitenreeks Next step privacy compliance. “De publicaties bevatten specifieke toelichtingen op onderdelen van de AVG. Als privacy professional kan je de informatie gebruiken om bijvoorbeeld intern in de organisatie te verhelderen en te onderbouwen waarom je bepaalde maatregelen voorstelt.” 

Grote verantwoordelijkheid 

Olieslagers bespreekt in zijn bijdrage aan de actualiteitenreeks drie onderwerpen die recent in EDPB-richtlijnen aan bod zijn gekomen: datalekken, internationale gegevensdoorgiftes en de rechten van betrokkenen, specifiek het recht op inzage. Hij blikt ook vooruit op de richtlijn over de interpretatie van de grondslag gerechtvaardigd belang die naar verwachting in 2023 wordt gepubliceerd. “Veel Nederlandse marketeers kijken daar reikhalzend naar uit. Wij zien nu dat zij enigszins terughoudendheid om persoonsgegevens te verstrekken aan commerciële partijen op basis van de grondslag gerechtvaardigd belang.” Aanleiding daarvoor is de handhavingspraktijk van de Autoriteit Persoonsgegevens (AP). De AP oordeelde recent dat een verwerking voor louter commerciële belangen niet kan worden gebaseerd op deze grondslag. 

“Tot nu toe vinden organisaties de EDPB-richtlijnen nogal eens strikt”, zegt Olieslagers over de ervaringen met de actuele guidance van de EDPB. “De EDPB geeft over het algemeen geen bandbreedte aan, maar schetst gedetailleerde regels. De privacytoezichthouders volgen doorgaans een strikte interpretatie van de wetgeving.” 

EDPB-guidance

De EDPB legt bovendien nadrukkelijk een grote verantwoordelijkheid bij organisaties. “Er wordt een actieve houding verwacht om gegevensverwerkingen in goede banen te leiden. Bijvoorbeeld: je kunt leveranciers vragen om een datalek te melden via een speciaal e-mailadres. Maar als een leverancier je dan via een ander kanaal informeert over een datalek, moet je daar volgens de EDPB toch snel op acteren (uitzonderingen daar gelaten). Hetzelfde geldt voor het recht op inzage: een betrokkene mag op allerlei manieren een inzageverzoek indienen, ook al is hiervoor op de website een specifiek e-mailadres genoemd.” 

In het juiste perspectief 

Olieslagers benadrukt dat het belangrijk is om de EDPB-richtlijnen in het juiste perspectief te plaatsen. “Via de EDPB geven de Europese privacytoezichthouders een signaal af over de door hen gewenste naleving van de AVG. De toezichthouders leggen de lat hoog om organisaties te stimuleren om serieus werk te maken van privacy compliance.” 

“De richtlijnen zijn niet meer of minder dan dat: ze geven aan welke kant je op moet”, voegt Olieslagers toe. “Ze hebben geen directe, formele rechtskracht. Hoewel rechters veelal op de hoogte zijn van de EDPB-richtlijnen, is er ook soms een discrepantie tussen de visie van de EDPB en de uitkomsten van rechtszaken. De groeiende jurisprudentie geeft inzichten die minstens zo relevant zijn voor compliance als de richtlijnen van de EDPB.”  

Drie adviezen 

Op welke manieren kunnen privacy officers en andere privacy professionals nu aan de slag met de EDPB-richtlijnen? “Controleer of de beleidsdocumenten en werkprocessen die zijn opgesteld rond de komst van de AVG in 2018 nog actueel zijn”, adviseert Olieslagers. “De EDPB-richtlijnen geven input om het beleid aan te passen aan de actuele stand van zaken. Let daarbij goed op wat de EDPB zegt, maar houd ook rekening met wat in de jurisprudentie is bepaald en wat in de organisatie mogelijk is.” 

“Ga voor elk van de recent gepubliceerde EDPB-richtlijnen – over datalekken, internationale gegevensdoorgiftes, rechten van betrokkenen en straks ook gerechtvaardigd belang – om tafel met drie mensen in je organisatie die je nodig hebt om de thematiek succesvol verder te brengen”, is de tweede tip van Olieslagers. “Drink een kop koffie met stakeholders binnen de organisatie, zoals IT en marketing. Voer een open gesprek over de dagelijkse werkzaamheden en leg pas daarna de link met privacy compliance. Kijk wat er op de werkvloer speelt en bespreek in dialoog of bijvoorbeeld het beleid rond rechten van betrokkenen in lijn is met de EDPB-richtlijnen.”  

Privacybeleid

De contacten met interne stakeholders zijn een goede basis voor wat Olieslagers “brandoefeningen” noemt. “Simuleer een situatie met iedereen die een rol heeft in een specifiek onderdeel van het privacybeleid, zoals de omgang met verwijderingsverzoeken, een praktijksituatie. Wie doet er precies wat als er zo’n verzoek binnenkomt? Waar loopt het soepel, en waar juist niet? Dan zie je van dichtbij of het beleid in de praktijk goed werkt én gaat een abstract thema als privacy echt leven in de organisatie.” 

De actualiteitenreeks Next step privacy compliance is een serie online modules waarin toonaangevende experts de laatste inzichten delen over ontwikkelingen in dataprotectie. In elke keuzemodule staat een vraagstuk centraal dat direct raakt aan privacy compliance. Denk aan gegevensuitwisseling in de publieke sector en de inzet van Artificiële Intelligentie (AI). Bekijk het volledige programma op de website van Outvie.