Terugblik en vooruitkijken op dataprotectie: wat zien en verwachten de experts?

Wat waren de belangrijkste gebeurtenissen op privacy en dataprotectie gebied in 2022?

Peter van Schelven, juridisch adviseur, BIJ PETER – Wet & Recht

De AVG verlangt, kort gezegd, dat je voor de verwerking van persoonsgegevens een geldige grondslag nodig hebt. Voor bedrijven is het beroep op een ‘gerechtvaardigd belang’ in de praktijk een belangrijke en veelgebruikte grondslag. De Autoriteit Persoonsgegevens heeft in 2020 echter een zwaar omstreden geldboete opgelegd aan Voetbal TV, een media bedrijf, daarbij menende dat zuiver commerciële belangen geen gerechtvaardigd belang kunnen zijn. Vrijwel iedereen die vervolgens serieus over dat boetebesluit heeft nagedacht, vindt dat de AP een enorme uitglijder heeft begaan.

Het boetebesluit getuigt van een buitenaards werkelijkheidsperspectief. Dat is eens te meer kwalijk omdat de AP met haar beslissing Voetbal TV feitelijk een faillissement in heeft gejaagd. Dieptriest! Het mooie uit 2022 is nu dat de Raad van State als rechterlijke instantie de AP in deze kwestie flink heeft teruggefloten. Weliswaar heeft de rechter niet alle principiële rechtsvragen beantwoordt en kon het faillissement niet meer ongedaan worden gemaakt, maar de AP heeft dit jaar wel een flink pak slaag gekregen. Dat heeft het bedrijfsleven in ons land weer een beetje hoop gegeven.

Friederike van der Jagt, Privacy advocaat, Hunter Legal

Er zijn ontzettend veel belangrijke ontwikkelingen, kiezen is eigenlijk onmogelijk maar als het dan toch moet: de boete van EUR 3,7 miljoen die door de AP is opgelegd aan de Belastingdienst in het kader van de Fraude Signalering Voorziening. Het onderzoek van de AP legt pijnlijk bloot wat er allemaal fout kan gaan wanneer persoonsgegevens worden verwerkt en dat discriminatie al snel op de loer kan liggen. De gevolgen voor de betrokkenen die van de overheid afhankelijk waren, zijn enorm. Een andere opvallende gebeurtenis is de uitspraak van het Hof van Justitie EU inzake de publieke toegankelijkheid van het UBO-register omdat dit een ernstige inbreuk op de privacy vormt.

Welke topics of ontwikkelingen op privacy en datagebied krijgen in 2023 veel aandacht?

Peter van Schelven, juridisch adviseur, BIJ PETER – Wet & Recht

Ik verwacht dat de voorgenomen wijziging van de Uitvoeringswet AVG – de UAVG – en enkele andere wetten veel aandacht gaat krijgen. Het ligt in de bedoeling dat er voor diverse beroepsgroepen nieuwe of aangepaste spelregels in de omgang met persoonsgegevens gaat komen. Zo zullen er wijzigingen komen die van belang zijn voor curatoren in faillissement, accountants die een verplichte accountant-controle uitvoeren, onderzoekscommissies en adviescolleges in de publieke sfeer en klokkenluiders.

Friederike van der Jagt, Privacy advocaat, Hunter Legal

Ik pik er ook hier weer een aantal onderwerpen uit. Allereerst is de Verzamelwet gegevens-bescherming onlangs aanhangig gemaakt in de Tweede Kamer. Daarnaast breken er spannende tijden aan voor de massaschadeclaims die door verschillende stichtingen tegen TikTok worden gevoerd. In maart 2023 wordt daarin een uitspraak verwacht van de rechter aangaande de ontvankelijkheid van de stichtingen. Daarna volgt hopelijk ook het inhoudelijke debat. Ook zitten er diverse boetes, onder meer van de Ierse privacytoezichthouder voor Meta, in de pijplijn. Tot slot is de verwachting dat in 2023 eindelijk een klap op de langverwachte E-Privacyverordening wordt gegeven.

In 2023 is de AVG 5 jaar van toepassing. Wat is het beste en wat is het slechtste dat deze verordening heeft opgeleverd?

Peter van Schelven, juridisch adviseur, BIJ PETER – Wet & Recht

We leven in een tijd die bezeten is van het observeren en controleren van mensen, het registeren, opslaan en analyseren van hun gegevens en het rapporteren en delen van veel gegevens. Ondersteund door technologie die dat faciliteert. De komst van de AVG heeft, vooral vanwege de angst die het boetestelsel bij menig bestuurder heeft gecreëerd, er toe geleid dat steeds meer organisaties stil zijn gaan staan bij de vraag wat een nette omgang met persoonsgegevens met zich meebrengt. Dat is de winst van de AVG, want uiteindelijk gaat het wel om de bescherming van mensen en dat is een groot goed.

Verwerkerscontracten

Iets waar ik me sinds de komst van de AVG groen en geel aan erger is het verschijnsel en de praktijk van de verwerkerscontracten. Dat hangt ten eerste samen met de historische fout van de AVG-wetgever om het volstrekt misplaatste onderscheid tussen verwerkingsverantwoordelijken en verwerkers te hebben gemaakt. Er zijn al vele miljoenen Euro’s verkwist aan juridische adviezen en beschouwingen over de prealabele vraag welk etiketje je als organisatie in een concrete kwestie nou precies op je voorhoofd draagt: verantwoordelijke of verwerker?

En dan ten tweede al die verwerkerscontracten: het is maar de vraag wat die nou echt bijdragen aan de bescherming van persoonsgegevens. De contractpraktijk op dit vlak wordt meer gedomineerd door de vraag of, hoe en in welke mate de ene contractspartij financiële risico’s van boetes en aansprakelijkheden op de schouders van de andere contractspartij kan leggen. Het contractueel alloceren van financiële risico’s heeft weinig met dataprotectie als zodanig van doen. Sterker nog: ze leiden onnodig af van de kern: de bescherming van gegevens. Wat mij betreft: weg met al rottige verwerkerscontracten! De fik erin!

Friederike van der Jagt, Privacy advocaat, Hunter Legal

Het beste is absoluut het feit dat privacy bij organisaties en overheden op de kaart staat. Het is een vast agendapunt geworden. Het slechtste is de kramp waar we met z’n allen soms inschieten: de gedachte dat er niets meer mag vanwege de AVG.

Uit Brussel komen verschillende Acts rondom dataregulering (bv DGA, DSA, DMA, DA) onze kant op. Welke Act heeft de grootste impact en waarom?

Peter van Schelven, juridisch adviseur, BIJ PETER – Wet & Recht

Hij staat niet in je opsomming, maar persoonlijk meen ik dat de NIS-2 Directive belangrijk wordt. Voor essentiële en belangrijke organisaties komen er nieuwe en vergaande verplichtingen, nieuw toezicht en zwaardere sancties met betrekking tot de beveiliging van netwerken en informatiesystemen. Databeveiliging is daar een wezenlijk onderdeel van. NIS2 vraagt een forse investering in informatiebeveiliging en IT-security. Vergeleken met zijn voorganger kent NIS-2 een aanzienlijke uitbreiding van het aantal sectoren en organisaties die onder deze regelgeving valt, zoals de gehele rijksoverheid, de medische sector en delen van de voedselindustrie. Die regelgeving is, in een wereld waarin cyberdreigingen fors toenemen, een heel goede zaak.

Het AI-voorstel krijgen steeds meer vorm. Ontwikkelingen op AI-gebied gaan snel. Waarom zijn kaders en afspraken voor Responsible AI zo belangrijk?

Peter van Schelven, juridisch adviseur, BIJ PETER – Wet & Recht

Ik betwijfel of de voorgenomen AI-verordening nou zoveel moois en nuttigs gaat opleveren. Los van het feit dat de voorgenomen verordening een flink pak papier is dat nog vol onduidelijkheden zit, is de totale set van regels een bedenkelijk fusieproduct dat allerlei invalshoeken en belangen probeert te combineren: een mix van productwetgeving, mensenrechten, consumentenrecht en marktordening. Het is een allegaartje dat in mijn ogen het predicaat Brussels broddelwerk verdient. Wat mij betreft zou de verordening regelrecht de prullenbak in moeten.

Dat neemt uiteraard niet weg dat we met zijn allen met name producenten en gebruikers van AI-gerelateerde producten en diensten, risico’s die verbonden zijn aan AI, zoals het risico van bevoordeelde besluitvorming en discriminatie, onder ogen moeten zien. Mij stoort dat AI op voorhand in het verdomhoekje is geplaatst. Het zou iets heel engs zijn. Dan vergeet men dat ook menselijke besluitvorming zelf vaak enger is en hopeloos doorspekt is van vooroordelen. Dan vergeet men ook dat er in tal van toepassingsgebieden al prachtige en waardevolle AI-applicaties bestaan, bijvoorbeeld in de hoek van de medische hulpmiddelen.

Friederike van der Jagt, Privacy advocaat, Hunter Legal

Omdat ook met de beste en objectieve intenties het risico bestaat dat een algoritme onterecht onderscheid maakt tussen mensen. Dat kan al in zoiets simpels als taalgebruik zitten. De Radboud Universiteit deed in opdracht van de Nationale Vacaturebank een interessant onderzoek: 900.000 anonieme CV’s en 12 miljoen vacatureteksten werden door AI gematcht. Het algoritme bleek al snel sterk bevooroordeeld te zijn: vrouwen werden vaker gekoppeld aan banen in de zorg of kinderopvang en mannen aan banen in de bouw.

Ook lag het salaris voor vacatures waaraan vrouwen werden gematcht beduidend lager: gemiddeld zouden zij 1680 euro minder op jaarbasis gaan verdienen. Het algoritme bleek de mannen en vrouwen onder meer te herkennen aan het taalgebruik. Mannen gebruikten vaker termen als ‘resultaatgericht’ en ‘winnaarsmentaliteit’ en dergelijke worden bleken ook weer vaker voor te komen in vacatureteksten. Bij AI bestaat dus het risico dat bestaande vooroordelen worden uitvergroot. Het is belangrijk om daar steeds bij stil te (blijven) staan;

Kerst tip van Friederike van der Jagt:

Ga met kerst lekker even offline zodat je in het nieuwe jaar uitgerust bent om de vele ontwikkelingen die op privacyvlak gaan komen, te volgen! Ik wens iedereen een fantastisch 2023!