Menu

Filter op
content
PONT Data&Privacy
  • PONT home
    • molen

    0

    Europese samenwerking en privacytoezichthouders
    De verwerking van persoonsgegevens stopt niet bij de grens. Om het recht op de bescherming van persoonsgegevens te bewaken, werkt de Nederlandse privacytoezichthouder Autoriteit Persoonsgegevens (AP) binnen de Europese Unie (EU) intensief samen met verschillende Europese partners.

    Eerste boetes opgelegd voor het schenden van de aangescherpte privacyregels

    De privacyregels inzake internationale doorgifte zijn aangescherpt op grond van de Schrems II uitspraak van het Europese Hof van Justitie en daaropvolgende Aanbevelingen van de European Data Protection Board (EDPB). In de praktijk blijkt het voor organisaties complex om deze privacyregels te implementeren. Er is echter geen tijd voor organisaties om stil te zitten, aangezien verschillende Europese toezichthouders handhavend hebben opgetreden wegens onrechtmatige internationale doorgifte.

    Kimberly Friesen

    14 oktober 2021

    Achtergrond artikelen

    Achtergrond artikelen
     

    Regels bij internationale doorgifte

    Hoofdstuk V van de AVG bepaalt dat ook als persoonsgegevens worden doorgegeven naar landen buiten de Europese Economische Ruimte (EER), deze persoonsgegevens adequaat beschermd moeten blijven. Organisaties moeten voor elke doorgifte een geschikt doorgifte instrument kiezen. Als voor een land geen adequaatheidsbesluit geldt dan zijn verder passende waarborgen nodig, zoals bijvoorbeeld het implementeren van Binding Corporate Rules of het sluiten van Standard Contractual Clauses (SCCs) met de gegevensimporteur.(1) In de praktijk wordt de doorgifte vaak gebaseerd op de SCCs. Hoewel de SSCs niet ongeldig zijn verklaard in de Schrems II uitspraak zijn deze inmiddels echter wel door de Europese Commissie vervangen. Vanaf 27 september jl. is het gebruik van deze nieuwe versie van de SSCs verplicht voor nieuwe doorgiften. Voor bestaande contracten geldt dat de oude SCCs voor 27 december 2022 vervangen moeten worden door de nieuwe standaard. Daarnaast zijn organisaties verplicht om bij doorgiftes, ook als gebruik wordt gemaakt van de nieuwe SCCs, per geval te verifiëren of de persoonsgegevens adequaat worden beschermd tijdens en na de doorgifte. Dit gebeurt in de praktijk veelal door een Transfer Impact Assessment (TIA) uit te voeren. De TIA heeft tot doel vast te stellen in hoeverre de wetten en praktijken van het land buiten de EER een beschermingsniveau gelijkwaardig aan de AVG bieden. Indien de internationale doorgifte privacy risico’s met zich meebrengt, dan wordt er middels dezelfde TIA vastgesteld welke technische, organisatorische en / of contractuele maatregelen er moeten worden genomen en of deze maatregelen afdoende zijn.

    Nog veel onduidelijk

    Ondanks het feit dat de Aanbevelingen van de EDPB en de nieuwe SCCs handvatten bieden voor het uitvoeren van een TIA, hebben organisaties nog veel vragen over hoe de aangescherpte privacyregels moeten worden nageleefd. In het bijzonder over hoe een TIA moet worden uitgevoerd. Het is bijvoorbeeld niet altijd duidelijk hoe ver de AVG-verplichtingen van een gegevensimporteur strekken, aangezien de gegevensimporteur gevestigd is buiten de EER en niet (altijd) binnen de werkingssfeer van de AVG valt. Ook is het voor organisaties lastig om te bepalen wanneer aanvullende maatregelen noodzakelijk zijn en of de voorgestelde aanvullende maatregelen voldoende zijn of juist niet. De Europese Commissie heeft in een vergadering van de Vereniging van Privacyrecht advocaten aangegeven om binnenkort een verhelderende Q&A te publiceren.

    Handhaving door Europese toezichthouders

    Ondanks voornoemde onduidelijkheid over de huidige regels omtrent doorgiftes, zijn er nu twee boetes opgelegd wegens een schending van de privacyregels inzake internationale doorgifte. Zo heeft de Noorse toezichthouder op 27 september 2021 een boete van EUR 496.000 opgelegd aan Ferde AS op grond van een schending van artikel 44 AVG.(2) Het Noorse tolbedrijf maakte gebruik van een verwerker voor de analyse van foto’s van nummerplaten die niet automatisch konden worden gelezen. Werknemers van de verwerker analyseerden de foto’s en een deel van deze werknemers bevond zich in China. Volgens de toezichthouder heeft Ferde AS ten onrechte nagelaten om een verwerkersovereenkomst te sluiten en een TIA uit te voeren in het kader van de internationale doorgifte. De Italiaanse toezichthouder heeft op 29 september 2021 een boetebesluit gepubliceerd waarin de Luigi Bocconi Universiteit een boete van EUR 200.000 krijgt opgelegd wegens overtreding van de verplichtingen van Hoofdstuk V van de AVG. De universiteit maakte gebruik van een Amerikaanse online proctoring-app voor het observeren van studenten tijdens het op afstand afnemen van examens. Daarbij werden op grond van de SCCs persoonsgegevens doorgegeven naar een verwerker en sub-verwerker in de Verenigde Staten. De toezichthouder is van oordeel dat de Universiteit de impact van deze doorgifte ten onrechte niet geanalyseerd en een TIA had moeten uitvoeren. Interessant is dat de Italiaanse toezichthouder bij de berekening van het boetebedrag rekening houdt met de complexiteit rondom het implementeren van de vereisten omtrent doorgifte naar landen buiten de EER. Ook heeft de toezichthouder benadrukt dat het juridische kader omtrent internationale doorgifte nog in ontwikkeling is. Dit is overigens niet de eerste keer dat handhavend is opgetreden. Eerder dit jaar op 11 maart 2021 heeft de Spaanse toezichthouder Vodafone España beboet voor in totaal EUR 8.150.000.(3) Een deel van deze boete is opgelegd wegens het niet naleven van de privacyregels inzake internationale doorgifte. Vodafone maakte in het kader van direct marketing gebruik van een verwerker gevestigd in Peru, maar had geen passende maatregelen getroffen zoals vereist onder hoofdstuk V van de AVG.

    Hoe nu verder?

    Zoals erkend door de Italiaanse toezichthouder is het complex om te voldoen aan de aangescherpte privacyregels, mede doordat het juridische kader nog niet volledig is uitgekristalliseerd. De recente boetebesluiten laten echter zien dat Europese toezichthouders desondanks niet schromen om handhavend op te tegen het niet naleven van de privacyregels inzake internationale doorgifte. Organisaties kunnen daarom maar beter niet stilzitten en dienen TIA’s te gaan implementeren in hun dagelijkse processen. Voetnoten (1) https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en (2) https://edpb.europa.eu/news/national-news/2021/norwegian-data-protection-authority-ferde-fined_en (3) https://edpb.europa.eu/news/national-news/2021/spanish-dpa-fines-vodafone-spain-more-8-million-euros_en
    The Data Lawyers

    Artikel delen

    Reacties

    MEER REACTIES

    Laat een reactie achter

    U moet ingelogd zijn om een reactie te plaatsen.

    ARTIKELEN

    Lisa van Ginneken (D66): "Betrek Autoriteit Persoonsgegevens eerder bij wetgeving”

    Achtergrond artikelen

    De megaboete voor Meta, what’s in it for us?

    Achtergrond artikelenEXPERT

    Commissie Europees Parlement niet enthousiast over nieuw trans-Atlantisch privacyschild

    Juridische artikelenEXPERT

    Avg en internationale doorgifte: wat betekent dat voor jouw organisatie?

    Juridische artikelenEXPERT

    Vorig jaar, op 4 juni 2021, publiceerde de Europese Commissie een nieuw modelcontract (in het Engels: ‘Standard Contractual Clauses’ of afgekort ‘SCCs’) voor...

    Dit zijn de reacties op de datadeal tussen EU en VS

    Achtergrond artikelenEXPERT
    Melanie Groot

    Strijd om datadoorgifte naar VS niet gestreden

    Achtergrond artikelenEXPERT

    Een duur ID: wat zegt de AVG over identificatie?

    ArtikelEXPERT

    Hotel & Recht: boete voor onrechtmatige verwerking persoonsgegevens

    Achtergrond artikelenEXPERT

    EU en VS sluiten belangrijk data-akkoord: wat staat er in?

    Achtergrond artikelenEXPERT
    Melanie Groot

    Actualiteiten AVG en Privacy recht

    Krijg aan de hand van jurisprudentie, adviezen en besluiten van de AP en opinies en guidelines van de EDPB een compleet en helder beeld hoe nadere invulling wordt gegeven aan de veelal open normen in de AVG en de UAVG.

    Bekijk programma

    Pseudonimiseren en anonimiseren van persoonsgegevens

    Wanneer is sprake van gepseudonimiseerde persoonsgegevens en wanneer kunnen data als anoniem worden beschouwd, waardoor de AVG niet (meer) van toepassing is? Wat is de rol van verschillende partijen in het verwerkingsproces (verwerkingsverantwoordelijke, verwerker en derde/ontvanger)? In deze cursus worden niet alleen de juridische aspecten besproken van pseudonimiseren en anonimiseren maar wordt ook uitgelegd welke technieken worden gebruikt bij het pseudonimiseren en anonimiseren.

    Meer informatie

    E-college Doorgifte van persoonsgegevens naar de VS

    Verkrijg in dit e-college een duidelijk overzicht van de gehele ontwikkeling en huidige stand van zaken rond internationale doorgifte naar de VS en de gevolgen van het adequaatheidsbesluit.

    Bekijk opleiding

    Word lid van PONT | Data & Privacy

  • Toegang tot Kennisbank
  • Lees e-books
  • Contact met vakgenoten
  • Eigen nieuwsoverzicht
    • WORD LID

    Algemeen

    Service

    Navigeer

    Berghauser Pont Mediagroep

    CONTACT

    𝕏

    Copyright 2024 Berghauser Pont | Website gemaakt door Buro Zero