Wettelijke ontwikkelingen rondom persoonsgegevens (vervolg)

Wettelijke ontwikkelingen rondom persoonsgegevens (vervolg)

Door Inge Brattinga*, VRF Advocaten

De digitalisering van onze wereld ontwikkelt zich snel en daarmee ook de risico’s die daar bij horen. Daarom zien we ook veel ontwikkelingen in wet- en regelgeving. Wie dacht dat we er wel waren met de AVG komt van een koude kermis thuis. In het recente artikel van Gerrit van Rooij zijn al enkele ontwikkelingen belicht. Hieronder het vervolg hierop met een aantal Europese ontwikkelingen.

De belangrijkste ontwikkelingen zijn de Digital Markets Act (DMA) en Digital Services Act (DSA) die zijn aangenomen. Deze twee wetten moeten de online wereld voor iedereen veiliger en toegankelijker maken. Zij moeten de grondrechten van gebruikers (lees consumenten) beter beschermen, waaronder dus ook privacy. Naast de DMA en DSA loopt er al een hele periode de ontwikkeling van een ePrivacyverordening, een aanvulling op de AVG en de bescherming van persoonsgegevens bij elektronische communicatie. Tenslotte heeft de Europese Commissie een voorstel gedaan tot een Europese Digitale Identiteit raamwerk, een soort digital wallet met je persoonsgegevens waarbij je zelf kunt beslissen over het delen van je persoonsgegevens, welke en met wie, vanuit één plek. Kortom, genoeg ontwikkelingen om nader te belichten.

1. Digital Markets Act (DMA) van kracht
Op 1 november is de Digital Markets Act (oftwel de Wet inzake digitale markten) van kracht geworden. In deze wet zijn objectieve criteria geformuleerd om te bepalen of een groot online platform te beschouwen is als ‘poortwachter’.
Een bedrijf is een poortwachter als het:

• een sterke economische positie en een aanzienlijke impact op de interne markt heeft en actief is in meerdere EU-landen,
• een sterke bemiddelingspositie heeft, wat betekent dat het een groot aantal gebruikers verbindt met een groot aantal bedrijven,
• een stevig verankerde en duurzame marktpositie heeft (of op het punt staat te hebben), wat betekent dat de onderneming in elk van de laatste drie boekjaren aan de twee bovengenoemde criteria voldoet.

Door deze voorwaarden zal het aantal poortwachters beperkt zijn. Voorbeelden hiervan zijn Amazon, Google, Meta (Facebook en Instagram) et cetera.
Het doel van de DMA is om de digitale markt te reguleren. Deze wet moet de toetreding van kleinere bedrijven, die afhankelijk zijn van zo’n ‘poortwachter’ om de markt te betreden, makkelijker maken en het gemak voor gebruikers vergroten. Een paar voorbeelden.

Zo moet het mogelijk worden om individuele berichten van de ene dienst naar de ander te sturen (interoperabiliteit). Ook mogen eigen producten niet meer bevoordeeld worden, en moet het mogelijk worden vooraf geïnstalleerde apps te verwijderen. Er moet door het platform informatie en tools verstrekt worden die het mogelijk maken voor de gebruiker (adverteerder) om het platform te gebruiken en het effect van bijvoorbeeld advertenties te analyseren.

Voor de eindgebruiker, lees consument, is het voordeel dat het volgen van jou als consument buiten het platform met gerichte reclame, zonder dat je hiervoor toestemming hebt gegeven, niet meer is toegestaan.

Er geldt een overgangsperiode die de grote platforms (kunnen) gebruiken om zich voor te bereiden tot 2 mei 2023. Dan moeten deze online platforms aan de voorwaarden van de DMA voldoen. Boetes die kunnen worden opgelegd kunnen oplopen tot 20% van de omzet.

Meer informatie is te vinden op: Wet inzake digitale markten: voor eerlijke en open digitale markten | Europese Commissie (europa.eu)

2. Ook Digital Service Act (DSA) aangenomen
Het Europese Parlement heeft naast de DMA ook een DSA, oftewel de Wet inzake digitale diensten, aangenomen. Doel van de DSA is om de online veiligheid van consumenten en bedrijven, én de digitale handel te vergroten. Het regelt de verantwoordelijkheid en aansprakelijkheid van internetaanbieders, hostingbedrijven, online platformen, zoekmachines en marktplaatsen voor de activiteiten die zij via hun diensten aanbieden. Hier volgen een aantal voorbeelden.

Zo moeten online marktplaatsen vanaf begin 2024 meer informatie inwinnen over de bedrijven (handelaren) die producten of diensten verkopen via hun platform. Dit moet malafiditeit tegengaan.

Ook verplicht de DSA straks aanbieders van hosting- en platformdiensten om illegale online inhoud te bestrijden en hierover uitgebreider gebruikers te informeren. Digitale aanbieders moeten burgers ook beter beschermen tegen desinformatie en nepnieuws. Ook wordt het gebruik van gepersonaliseerde advertenties verder aan banden gelegd.

Daarnaast moeten gebruikers geïnformeerd worden over de verwijdering van inhoud door een platform en er bezwaar tegen kunnen maken. Er moet hierbij toegang komen tot geschilbeslechting in het eigen land van de gebruiker. Dit moet het mogelijk maken dat bijvoorbeeld de vrijheid van meningsuiting beter kan worden bewerkstelligd door een gebruiker. Probeer tenslotte maar eens bij het grote machtige Facebook of Twitter iets verwijderd of juist teruggedraaid te krijgen. De voorbeelden in de media hierover zijn legio, zoals de overtreding van Google analytics van de AVG waartoe inmiddels al door diverse toezichthouders is veroordeeld (Oostenrijkse toezichthouder: Google Analytics overtreedt AVG – Data&Privacyweb (privacy-web.nl)).

Tenslotte moeten onderzoekers toegelaten worden tot de platform data om inzicht te krijgen in risico’s voor de samenleving en grondrechten. Ook dit moet tot verdere bescherming van de grondrechten leiden.

Meer informatie hierover is te vinden op Wet inzake digitale diensten: Zorgen voor meer veiligheid en verantwoordingsplicht online | Europese Commissie (europa.eu)

3. ePrivacy verordening
Om persoonsgegevens binnen elektronische communicatie, bijvoorbeeld telefoon, internet en e-mails, te kunnen beschermen komt er nieuwe Europese regelgeving aan: de ePrivacy Verordening. Dit wordt de opvolger van de ePrivacyrichtlijn welke vanaf 2002 in werking is. Met dit voorstel introduceert de Europese Commissie strengere privacyregels bij elektronische communicatiediensten waaronder ook het gebruik van cookies.

Belangrijk is dat de inhoud van berichten alleen toegankelijk is voor de partijen die direct bij de communicatie betrokken zijn. Hierdoor krijgen gebruikers meer controle over hun digitale persoonsgegevens. In die zin is deze verordening een aanvulling op de AVG. Op dit moment wordt een definitieve tekst voorbereid. Onduidelijk is wanneer deze gereed is (oorspronkelijk zou deze regeling gelijk met de AVG geïntroduceerd worden!). Daarna volgt zoals gebruikelijk een overgangsperiode van 2 jaar.

Alhoewel de ePrivacy Verordening zich dus richt op elektronische communicatie, is het toepassingsbereik van de verordening groot. Het geldt onder andere bij online marketing, e-mail en sociale media kanalen, het ophalen van gegevens door middel van het plaatsen van cookies en openbare WiFi-netwerken. Zeker online marketing, social media en cookies zijn voor de flexbranche van belang. Ook nu al worden er hoge boetes opgelegd ingeval er onjuist gebruik gemaakt wordt van cookies, toestemming niet expliciet is, de cookie informatie onvolledig is et cetera. Kijkt u zeker eens naar uw eigen website. Heeft u dit allemaal goed geregeld? Kijk op www.cookieinfo.net voor meer informatie.

4. Raamwerk digitale identiteit
De Europese Commissie heeft 3 juni 2021 een wetsvoorstel ingediend voor een Europese Digitale Identiteit raamwerk (EDI). Doel hiervan is kort gezegd dat burgers in de digitale wereld autonoom kunnen zijn en zelf kunnen beschikken over hun eigen data en identiteit. Burgers moeten hun digitale omgeving kunnen begrijpen, zelf kunnen kiezen hoe zij zich daartoe willen verhouden en hun eigen gedrag kunnen bepalen. Dus jouw persoonsgegevens zijn van jou en jij bepaalt met wie je deze deelt. Dit kunnen alleen je adresgegevens zijn, maar bijvoorbeeld ook medische gegevens.

Probleem hierbij is echter dat het wel aan de lidstaten zelf is om dit in te voeren waarbij vanuit de Europese Commissie beoogd wordt om door de lidstaten gezamenlijk tools te ontwikkelen voor de technische architectuur, standaarden en richtlijnen. Het streven is om, ook in Nederland, een digitale identiteit wallet te introduceren waar alle burgers, op vrijwillige basis, vanaf 2025 gebruik van kunnen maken. Op 17 augustus 2022 heeft de staatssecretaris van Binnenlandse zaken en Koninkrijksrelaties A.C. van Huffelen de Kamer per brief geïnformeerd over de stand van zaken van EDI in Nederland.

Niet alleen voor u als burger een relevante ontwikkeling, maar het zou bijvoorbeeld ook kunnen bijdragen aan identificatie van uitzendkrachten in de flexbranche en het delen van persoonsgegevens van de uitzendkracht met het uitzendbureau. Belangrijk dus om de ontwikkeling hierover te volgen. Meer informatie hierover is bijvoorbeeld te vinden op Europese digitale identiteit | Europese Commissie (europa.eu).

*Maandelijks schrijven Gerrit van Rooij van HelloFlex Group en/of Inge Brattinga van VRF Advocaten columns voor FlexNieuws over allerlei praktische zaken met betrekking tot bescherming van persoonsgegevens.

Lees ook:
Wettelijke ontwikkelingen rondom persoonsgegevens (deel 1)