Het is vandaag 28 januari 2021: Data Protection Day! Het is vandaag de 40e verjaardag van de ‘Conventie 108’ en de 15e Data Protection Day. Lezers zullen zich mogelijk afvragen, hoezo? En: Wie heeft bedacht dat we ook al een ‘Dag van de databescherming’ moeten hebben?
In dit artikel wordt ingegaan op de Raad van Europa en Data Protection Day, en vervolgens enkele belangrijke onderwerpen die in 2021 (verder) aan de orde zullen zijn als het gaat om de privacyrechten en bescherming van Europese burgers. Het pretendeert geen volledigheid.
De Raad van Europa, opgericht op 5 mei 1949 en zetelend in Straatsburg, is een internationale organisatie waarvan 47 Europese landen lid zijn.(1) Het belangrijkste verdrag is het Europese Verdrag voor de Rechten van de Mens (EVRM). Het Europese Hof voor de Rechten van de Mens, opgericht 1959, is het rechtsprekende orgaan. Het Hof behandelt klachten over schending van het EVRM.
In het EVRM zijn ook privacyrechten geborgd. Zo voorziet artikel 8 EVRM in het recht op respect voor het privé- en familieleven, het eigen huis en briefgeheim.(2)
Naast het EVRM heeft de Raad van Europa ook het Dataprotectieverdrag uit 1981 voortgebracht.(3) Dit heeft de basis gelegd voor de Europese privacybescherming. Het verdrag, ook wel Verdrag van Straatsburg of Conventie 108 genoemd, is een uitwerking van het recht op eerbiediging van het privéleven, zoals vastgelegd in artikel 8 van het EVRM. Deze Conventie 108 beschermt individuen met betrekking tot geautomatiseerde verwerking van hun persoonsgegevens en wordt wereldwijd gezien als de basis voor de bescherming van persoonsgegevens.
Het verdrag heeft een wereldwijde reikwijdte. Ook staten die geen lid zijn van de Raad van Europa, kunnen het verdrag ondertekenen. Op grond van artikel 18 van het verdrag is er een adviescommissie, waaraan de Autoriteit Persoonsgegevens namens Nederland deelneemt.
Op 26 april 2006, heeft het Comité van Ministers van de Raad van Europa besloten om een Data Protection Day in te stellen op 28 januari van ieder jaar. Deze datum correspondeert met de verjaardag van de opening van het ondertekenen van de Conventie 108. Buiten Europa heet deze dag ‘Privacy Day’.
Dataprotectie raakt alle individuen en is nadrukkelijk aanwezig in ons dagelijks leven. In ons werk, in relatie tot publieke instanties en de overheid, in het zorgdomein, in het onderwijs, bij het online shoppen of boodschappen doen, het reizen en natuurlijk wanneer we surfen op het internet. De ‘Big Tech’ bedrijven zoals Facebook, Amazon, Apple, Google en Microsoft zijn niet meer weg te denken uit ons dagelijks leven. Velen van ons zijn vergroeid met hun smartphone.
Het doel van de Data Protection Day is om iedereen te informeren over de verwerking van persoonsgegevens en hun privacyrechten daarbij. Tevens is het van belang te wijzen op de risico’s van onrechtmatige verwerkingen.
Op Data Protection Day stelt de Raad van Europa zich voor dat ook bedrijven en organisaties op deze dag aangespoord worden om de bescherming van persoonsgegevens te verbeteren.
Onderstaande ‘highlights’ betreffen een niet limitatief overzicht van onderwerpen die in 2021 (verder) aan de orde zullen zijn als het gaat om de privacyrechten en bescherming van Europese burgers. Het pretendeert geen volledigheid.
Richtlijnen voor Artificial Intelligence en Data Protectie
Ter gelegenheid van de Data Protection Day op 28 januari heeft het Comité van de Raad van Europa ‘Conventie 108’-richtlijnen gepubliceerdover kunstmatige intelligentie en gegevensbescherming.(4) De richtlijnen zijn bedoeld om beleidsmakers, ontwikkelaars van kunstmatige intelligentie (AI), fabrikanten en dienstverleners te helpen om ervoor te zorgen dat AI-toepassingen het recht op gegevensbescherming niet ondermijnen. Bovendien moet elke AI-toepassing veel aandacht besteden aan het vermijden en beperken van de potentiële risico's van de verwerking van persoonsgegevens, en een zinvolle controle door betrokkenen over de gegevensverwerking en de effecten ervan mogelijk maken.
Een rechtmatig gebruik van AI is natuurlijk essentieel voor burgers. Verschillende overheidssystemen, denk aan het ‘signaleren’ van bijstandsfraude vanuit gemeenten (Inlichtingenbureau) en de Belastingdienst zijn hiervoor gevoelig. Over de toepassing van AI moet transparantie worden betracht. Het Comité onderstreept dat de bescherming van de mensenrechten, met inbegrip van het recht op bescherming van persoonsgegevens, essentieel is bij het ontwikkelen of toepassen van AI-toepassingen, met name wanneer deze worden gebruikt in besluitvormingsprocessen, en dat een dergelijke AI-toepassing gebaseerd is op de principes van het geactualiseerde gegevensbeschermingsverdrag, 'Verdrag 108', opengesteld voor ondertekening op 10 oktober 2018.(5)
Wetgevingsprogramma EU
Vanuit de Europese Commissie zijn initiatieven genomen op het gebied van wetgeving. Zo zijn op 15 december 2020 voorstellen gepubliceerd voor de Digital Services Act en de Digital Markets Act. Als het aan de Europese Commissie ligt worden de ‘Big Tech’ reuzen zoals Facebook, Apple, Google, Microsoft en Amazon harder aangepakt. Ze krijgen minder vrijheid bij het gebruik van data en worden aan banden gelegd doordat zij openheid moeten geven over overnames. Ook moeten ze meer doen tegen illegale content die op hun platforms verschijnt. Er worden hoge boetes gesteld op overtreding van de regels en de mogelijkheid tot opsplitsing is aanwezig. De boetes op overtredingen kunnen oplopen van 6% van de mondiale jaaromzet (Digital Services Act) tot 10% (Digital Markets Act).
Dit betekent dat er betere bescherming komt voor EU burgers. Zo mag bijvoorbeeld Amazon straks data van verkopers op hun platform niet gebruiken voor promotie van eigen producten op hun eigen platform. Ook moeten bijvoorbeeld digitale platform meer doen om illegale informatie tegen te gaan. Dit kan weer gevaren met zich meebrengen over de vrijheid van meningsuiting. Al met al ingewikkelde wetgeving voor de gemiddelde burger. Indien men verbannen wordt van een platform, kan iemand wel een klacht indienen. Deze klachten moeten objectief en zorgvuldig beoordeeld worden.
Tevens is de ePrivacyverordening nog steeds niet van de ‘wetgevingsband’ gerold. Deze verordening gaat over gegevensbescherming rond elektronische communicatie. Voor websitebezoekers en consumenten enerzijds, maar anderzijds aanbieders van websites is deze verordening interessant, omdat het onder andere gaat over Cookies. Voor belangrijke afwegingen dient ook een DPIA te worden uitgevoerd.
Big Tech
In het verlengde hiervan is in de Verenigde Staten, maar ook in Europa - na het verbannen van ex-President van de VS Trump van de belangrijkste sociale media - een discussie ontstaan over het breken van de monopolie en macht om de vrijheid van meningsuiting in te perken. De vraag is of de Big Techreuzen dit zelfstandig mogen beslissen. Deze spelers hebben een wereldwijze macht. Hier gaan natuurlijk hele lastige en ethische kwesties over ontstaan. Mag bijvoorbeeld Twitter de vrijheid van meningsuiting inperken? En waar liggen de grenzen? We horen al veel geluiden van deskundigen die aangeven dat dit verder gereguleerd moet worden door de overheid.
Een andere interessante ontwikkeling is dat in Australië een wetsvoorstel in behandeling is dat consequenties heeft voor Google en Facebook. Zoekmachines moeten gaan betalen voor verwijzingen naar nieuws. Dit raakt het verdienmodel van de Big Tech. Google heeft als dreigement aangegeven zijn diensten dan niet meer aan te bieden in Australië. Het is interessant deze ontwikkelingen in 2021 te volgen. Kunnen overheden met wetgeving de Big Tech dwingen beter met onze privacy om te gaan? Als je kijkt naar het effect van de AVG op het privacybeleid van Facebook lijkt dit zeker het geval.
Facebook en WhatsApp
WhatsApp heeft eerder aangekondigd vanaf 8 februari 2021 de accountgegevens van al zijn gebruikers - met uitzondering van de EU – te gaan delen met Facebook. Zoals bekend is WhatsApp een onderdeel van Facebook. Na veel verwarring en kritiek stelt WhatsApp deze update uit tot 15 mei 2021. De Italiaanse privacytoezichthouder Garante Privacy heeft zijn zorgen al geuit over onduidelijke voorwaarden richting de European Data Protection Board (EDPB).
WhatsApp geeft aan de voorwaarden te wijzigen voor gebruikers met een zakelijk account. Het wordt voor deze bedrijven gemakkelijker om met klanten te communiceren via WhatsApp en bepaalde gegevens kunnen dan worden gedeeld met Facebook, zoals de metadata (het gebruik van WhatsApp en hoe vaak iemand online is). Hierdoor kunnen veel beter gerichte advertenties worden gemaakt. Het verdienmodel van Facebook.
Overigens hoeven Europese gebruikers zich geen zorgen te maken, aldus Facebook. Voor Europa geldt de koppeling tussen WhatsApp en Facebook niet.(6) Andere aanbieders van soortgelijke diensten, zoals Signal en Telegram, profiteren van deze actie: zij mogen veel nieuwe gebruikers verwelkomen, die genoeg hebben van het breken van beloften van Facebook.
Recht op onbereikbaarheid
Eén van de consequenties van de digitalisering van de maatschappij en het steeds verder doordringen van ‘Tech’ in ons dagelijks leven is dat we het gevoel hebben 24/7 bereikbaar te moeten zijn. WhatsApp-groepjes van het werk zijn ook nog in de avond actief. Mensen die hun werkmail ook op hun telefoon binnenkrijgen, zien letterlijk dag en nacht e-mails binnen komen. Dit leidt tot werkdruk. In Frankrijk is er sinds 1 januari 2017 het wettelijke recht om tijdelijk ‘onbereikbaar’ zijn. Oproepen vanuit het werk kunnen dan genegeerd worden. In navolging van Frankrijk zijn er ook in Nederland en Europa initiatieven om deze ‘onbereikbaarheid’ vorm te geven. In Cao’s is dit recht al soms opgenomen.
Vanuit de Data Protection Day is het goed om hier in bedrijven en instellingen het gesprek over aan te gaan. Hoe redelijk is het om zelfsturende teams te maken, bijvoorbeeld in de zorg, die onderling verantwoordelijk zijn voor een goede bezetting. Wat doet dit met werkdruk en bereikbaarheid. Het gevoel om nooit meer los te zijn van verplichtingen vanuit werk is niet voor iedereen te dragen.(7)
Schrems II en dataverkeer met de VS
Zoals bekend heeft het Europese Hof van Justitie (HvJ-EU) op 16 juli 2020 het berichtenverkeer tussen Europa en de Verenigde Staten (VS) bemoeilijkt door het Privacy Shield ongeldig te verklaren. Daarnaast gaf het HvJ-EU duidelijk aan dat persoonsgegevens nog wel kunnen worden verwerkt in de VS op basis van Standard Contractual Clauses (SCC), mits aanvullende maatregelen worden getroffen.
Vanaf 16 juli 2020 werd door iedereen gekeken naar de European Data Protection Board (EDPB) omdat deze richtlijnen zou geven op welke wijze het dataverkeer tussen Europa en de VS kan plaatsvinden. De EDPB heeft op 11 november 2020 deze conceptaanbevelingen gepubliceerd. Hoewel het conceptaanbevelingen zijn, treden ze direct in werking, waarbij het publiek nog wel commentaar kan geven aan de EDPB. Hierna zullen de aanbevelingen definitief worden gemaakt. Inmiddels is de consultatie afgerond.(8)
De EDPB heeft twee sets van aanbevelingen gegeven. De eerste set gaat over de beoordeling die de gegevensexporteur moet doen om te kijken of extra maatregelen nodig zijn voor de bescherming van de persoonsgegevens. De tweede set gaat over de vraag in hoeverre het derde land, in dit geval de VS, een inbreuk maakt op de bescherming van persoonsgegevens doordat de standaard van privacybescherming niet gelijk is aan het niveau van bescherming binnen Europa op basis van de AVG.
Het komt er op neer dat er een stappenplan moet worden gevolgd om na te gaan of data-export nog is toegestaan, waarbij de Europese standaarden van dataprotectie (AVG) als basis dienen. Het komt neer op een data transfer impact assessment. Inmiddels wordt vanuit Europa en de VS hard gewerkt aan het opnieuw gaan voeren van overleg om het berichtenverkeer mogelijk te maken. Inmiddels heeft de nieuwe Amerikaanse President de privacyveteraan Christopher Hoff aangesteld om de besprekingen op gang te brengen.(9)
Krijgt onder Biden de VS een eigen federale privacywet?
In het verlengde hiervan is het interessant om te zien dat in de VS er positieve geluiden zijn over een een federale privacywet. Deze wet zou ernaar streven te voldoen aan de adequaatheidseisen van de AVG. De ongeldigverklaring van het Privacy Shield creëert onzekerheid voor bedrijven. Hierdoor ontstaat in de VS een dringende behoefte aan een federale privacywet die voldoet aan de AVG-vereisten. Het wegvallen van het Privacy Shield treft met name grote internationale bedrijven met het hoofdkantoor in de VS. Immers de SCC’s zijn niet per definitie geschikt voor datatransfers, vanwege de vergaande mogelijkheden van de Amerikaanse veiligheidsdiensten. Federale privacywetgeving in de VS kan de zorgen van EU-wetgevers helpen wegnemen. Dit kan bijdragen aan een oplossing voor vrij verkeer van data tussen de EU en de VS. Hierdoor wordt data van Europese burgers tegelijkertijd beter beschermd.
Corona houdt ook de privacy gemoederen bezig
Naast de in 2020 hevig uitgebarsten discussie of een werkgever werknemers ‘aan de poort’ mag temperaturen, spelen er ook andere privacy zaken omtrent corona.
Vaccinatieregister RIVM
De hele wereld wacht op een verlossende vaccinatie om het corona virus onder controle te krijgen. Het RIVM gaat een centraal vaccinatieregister in gebruik nemen. Hierin wordt geregistreerd wie welk vaccin heeft gekregen. Het doel hiervan is volgens de minister: ‘Naast monitoring van de effectiviteit van het vaccin en de vaccinatiegraad speelt de registratie een belangrijke rol bij de veiligheidsbewaking en monitoring van bijwerkingen, het snel kunnen handelen bij eventuele calamiteiten, het monitoren van de effectiviteit van vaccinatie, en de bestrijding van deze pandemie in het algemeen.’ Het registeren in de centrale database zal op basis van toestemming zijn: ‘Dat wil zeggen dat de toediener van vaccins verantwoordelijk is voor de juistheid en compleetheid van de registratie in het decentrale systeem, het verkrijgen van toestemming van de cliënt ten behoeve van aanleveren van vaccinatiedata aan het RIVM, en voor het tijdig aanleveren van de data.’. Vervolgens is het de bedoeling dat burgers hun eigen data kunnen inzien: ‘Het RIVM werkt in dit kader aan een cliëntportaal voor het tonen van vaccinatiegegevens, waarvoor toegang wordt verleend met een DigiD.’.
Werkgevers en vaccinatie
Na de vraag over temperatuur meten, zullen natuurlijk meer vragen komen over vaccinatie. Mag je als werkgever vragen en registreren of een werknemer een corona vaccinatie heeft gehad? Mag je als werkgever eisen dat iemand een vaccinatie neemt? Om te beginnen met dat laatste. Nee, dat mag in beginsel niet. Inenten gebeurt op basis van vrijwilligheid. Een werknemer heeft het recht op lichamelijke integriteit. Dit is opgenomen in artikel 11 van de Nederlandse Grondwet. De vraag is of de zorgplicht van een werkgever mogelijk zwaarder kan wegen. Dit zal leiden tot een afweging die door de rechter moet worden gemaakt. Een dergelijk vraagstuk zal zich mogelijk in de zorg gaan voordoen. Ook mag een werkgever geen medische gegevens verwerken. Derhalve mag de altijd ijverige personeelsafdeling geen register aanleggen.
Griekenland en vaccinatiepaspoort
In 2021 willen we natuurlijk als de tweede of derde golf achter de rug is ook weer gaan reizen. De reiswereld en luchtvaartbranche zien zich geconfronteerd met allerlei eisen, zoals de bekende PCR- en sneltest, maar mogelijk ook een verplicht vaccinatiepaspoort. Griekenland wil dat de Europese Unie haast maakt met een ‘vaccinatiepaspoort’. Mensen die kunnen aantonen dat ze zijn ingeënt tegen corona zouden vrij door Europa moeten kunnen reizen. De Grieken krijgen steun van andere EU-landen, zoals Portugal en Malta. Het is niet de bedoeling van deze landen dat mensen zonder vaccinatie nergens meer naartoe kunnen. Inmiddels is dit onderwerp besproken in de Europese Commissie, maar er zijn geen besluiten genomen.
De luchtvaartbranche (IATA) zou ook bezig zijn met het ontwikkelen van een App die de vaccinaties vastlegt en zo reizen mogelijk makkelijker zou kunnen maken.
Online les geven in het onderwijs en proctoring
De ontwikkelingen in het onderwijs zullen ook doorgaan. Online lesgeven en proctoring (digitaal toezicht om fraude te voorkomen tijdens examens en tentamens) zullen aandacht blijven vragen. Dit alles moet op een veilige manier worden toegepast. Recente voorbeelden bij bijvoorbeeld de Hanzehogeschool geven aan dat het onderwijs dit soort zaken nog beter moet inregelen. Dit geldt ook voor de ontwikkelingen bij de Erasmus Universiteit, die een tweede camera inzet (de eigen mobiele telefoon) bij thuistentamens. Studenten eisen van het College van Bestuur dat de maatregel wordt teruggedraaid. De maatregelen zijn natuurlijk een inbreuk op de privacy, maar aan de andere kant is er een belang om fraude tegen te gaan. Mogelijk zal de rechter er weer aan te pas moeten komen om duidelijkheid te geven. De Autoriteit Persoonsgegevens heeft dit al eerder gedaan in de publicaties van oktober 2020. Belangrijk is dat hier ook DPIA’s moeten worden uitgevoerd, waarin precies staat beschreven welke afwegingen een verwerkingsverantwoordelijke heeft gemaakt om proctoring software en mogelijk een tweede camera in te zetten.
Data Protection Impact Assessments (DPIA)
Het uitvoeren van de verplichte DPIA voorafgaand aan de inzet van dit soort techniek is een goede methodiek om dit soort ‘hoog risico’ verwerkingen goed te beoordelen. Met name bij scholen in het primair en voortgezet onderwijs en in de zorg zijn DPIA’s nog geen ‘gemeengoed’. Uit een goed uitgevoerde DPIA blijkt waar de technische en organisatorische risico’s zitten en dan pas kunnen goede maatregelen worden getroffen.
Informatieplicht
Als het gaat om privacyrechten voor ons allemaal, dan is de informatieplicht nog steeds een belangrijk onderwerp. Op basis van artikel 13 van de AVG is een verwerkingsverantwoordelijke verplicht om de betrokkene (cliënt, klant, burger, patiënt) voorafgaand aan de verwerking van persoonsgegevens te voorzien van de juiste informatie. Dit betekent dat bedrijven en instellingen wanneer zij persoonsgegevens verwerken een goede privacyverklaring moeten geven. Het is van belang dat iedereen kritisch is op de verwerking van zijn persoonsgegevens en deze documenten ook echt leest. Hierdoor maken we met elkaar een privacy vriendelijker maatschappij. Het zonder meer akkoord gaan via een Cookie-button voor alle verwerkingen is wel lekker snel, maar is niet altijd verstandig.
Cookies
Veel Cookie pop-up laten nog altijd voor ingevulde ‘groene vinkjes’ zien bij keuzes om wel/niet akkoord te gaan voor bepaalde verwerkingen. Dit is volgens de AVG niet toegestaan. Op basis van artikel 25 (‘privacy by default’) moet een verwerkingsverantwoordelijke zorgen dat de meest privacyvriendelijke instellingen standaard staan ingesteld.
Het is goed om dit soort zaken te signaleren en aan de verantwoordelijke partij door te geven. Vaak zijn zij zich niet eens bewust hiervan en is door de aanbieder van de handige Cookie-tool zo ingesteld. De European Data Protection Supervisor heeft een webtool laten ontwikkelen om websites te scannen.(10) De tool verzamelt bewijs van de verwerking van persoonsgegevens, zoals cookies, of verzoeken aan derden. De inspectie wordt automatisch uitgevoerd. Het verzamelde bewijs stelt websitebouwers, FG’s en eindgebruikers in staat om beter te begrijpen welke informatie wordt overgedragen en opgeslagen tijdens een bezoek aan een website. Een dergelijke tool kan natuurlijk bijdragen aan een betere bescherming van persoonsgegevens. Deze webtool is overigens niet erg geschikt voor niet professionele gebruikers.
Data Protection Day 2021. Bovenstaande ontwikkelingen laten slechts een deel zien van wat er allemaal speelt op het gebied van dataprotectie. Anders dan 15 jaar geleden gaat er geen dag voorbij, of we kunnen in de krant en verschillende andere media meerdere belangrijke ontwikkelingen lezen op het gebied van privacy en informatiebeveiliging. Niet in de laatste plaats van wat er allemaal misgaat op dit vlak.
Het is belangrijk dat zowel de betrokkene goede informatie krijgt over de verwerking van persoonsgegevens en daarbij wat zijn/haar rechten zijn. Bedrijven, instellingen en overheden hebben hierbij de plicht om aantoonbaar te maken dat zij voldoen aan alle wettelijke verplichtingen. Laat Data Protection Day daar jaarlijks een bijdrage aan leveren!
Voetnoten
(1) De Raad van Europa moet niet verward worden met de Europese Raad (een instelling van de EU, samengesteld uit de staatshoofden van de 27 lidstaten) en de Raad van de Europese Unie (de Raad van Ministers van de EU).
(2) Artikel 8 – Recht op eerbiediging van privé-, familie- en gezinsleven
Een ieder heeft het recht op respect voor zijn privé leven, zijn familie- en gezinsleven, zijn woning en zijn correspondentie.
Geen inmenging van enig openbaar gezag is toegestaan in de uitoefening van dit recht, dan voor zover bij wet is voorzien en in een democratische samenleving noodzakelijk is in het belang van de nationale veiligheid, de openbare veiligheid of het economisch welzijn van het land, het voorkomen van wanordelijkheden en strafbare feiten, de bescherming van de gezondheid of de goede zeden of voor de bescherming van de rechten en vrijheden van anderen.
(3) Het verdrag heeft een wereldwijde reikwijdte. Ook staten die geen lid zijn van de Raad van Europa, kunnen het verdrag ondertekenen. Op grond van artikel 18 van het verdrag is er een adviescommissie, waaraan de Autoriteit Persoonsgegevens namens Nederland deelneemt.
Meer artikelen van PrivacyTeam >>
