Wettelijke ontwikkelingen rondom persoonsgegevens

0
157

Wettelijke ontwikkelingen rondom persoonsgegevens

Gerrit van Rooij
Gerrit van Rooij

Door Gerrit van Rooij
Functionaris Persoonsgegevens (FG) van HelloFlex group*

De digitalisering van onze wereld ontwikkelt zich snel en daarmee ook de risico’s die daar bij horen. Daarom zien we ook veel ontwikkelingen in wet- en regelgeving. Wie dacht dat we er wel waren met de AVG komt van een koude kermis thuis. Hieronder kort wat ontwikkelingen.

1. Aanpassing UAVG
De Europese AVG laat een aantal zaken over aan de lidstaten. In Nederland is dit met de Uitvoeringswet AVG (UAVG) geregeld. Er ligt een voorstel om deze aan te passen. De voorgestelde wijzigingen zijn vooral technisch van aard, maar bevatten ook enige inhoudelijke wijzigingen. Te denken valt aan het verwerken van bijzondere persoonsgegevens door accounts en het versterken van rechten van minderjarigen. Bij de aanpassing van de UAVG zal ook de recente evaluatie van de UAVG meegenomen worden waarin kritische noten te lezen zijn. Onder andere over de handhaving door de toezichthouder of het beperkt concreet maken van de algemene normen uit de AVG.

2. Nieuw privacyshield
Europa en de VS hebben afspraken gemaakt over een nieuw uitwisselmechanisme (het zogenaamde EU-VS Data Privacy Framework). Hiermee moet het voor Europese bedrijven weer mogelijk worden om gegevens in de VS op te slaan.

Het oude framework (Privacy Shield) is eerder onrechtmatig verklaard door het Europese Hof. Met de nieuwe maatregelen moet de toegang van Amerikaanse inlichtingendiensten tot opgeslagen gegevens beperkt worden tot wat noodzakelijk is voor de nationale veiligheid. Ook zijn er aanvullende afspraken gemaakt over een onafhankelijke klachtenafhandeling.

De Europese commissie moet nu een zogenaamde adequaatheidsbesluit nemen. Zodra dat is gebeurd kunnen er weer persoonsgegevens worden uitgewisseld met bedrijven in Amerika op basis van een adequaatheidsbesluit. Of deze afspraken stand gaan houden wordt door experts al betwijfeld. Ze zien in ieder geval uit naar het advies dat de Europese toezichthouder (EDPB) zal geven over het adequaatheidsbesluit.
Lees meer informatie.

Let op dat er op dit moment nog geen sprake is van een adequaatheidsbesluit en dit derhalve nog geen grond is voor uitwisseling van persoonsgegevens. Tot dit besluit er wel is, blijft de grondslag dan ook nog steeds de standard contractual clauses (modelovereenkomst) die je specifiek moet overeenkomen met de onderneming in Amerika waarmee je persoonsgegevens wilt uitwisselen.

3. Binnenkort nieuwe modelovereenkomst EC verplicht
Zoals hiervoor al opgenomen kunt u in ieder geval gebruik maken van de model overeenkomst van de Europese Commissie (standard contractual clauses) om persoonsgegevens buiten de EU te laten verwerken. Deze zijn door de Europese Commissie opgesteld. Eerder dit jaar heeft zij deze vernieuwd en aangepast mede naar aanleiding van uitspraken van het Europese Hof. Er geldt echter een overgangsperiode tot 27 december dit jaar. Heeft u de modelovereenkomst nog niet aangepast. dan heeft u dus nog 1,5 maand om dat te doen. Daarna zijn deze overeenkomsten niet meer geldig en kunnen toezichthouders boetes opleggen.

Wordt vervolgd.

*Maandelijks schrijven Gerrit van Rooij van HelloFlex Group en/of Inge Brattinga van VRF Advocaten columns voor FlexNieuws over allerlei praktische zaken met betrekking tot bescherming van persoonsgegevens.

Lees ook:
Verwerkers en verwerkersovereenkomsten persoonsgegevens – AVG
AVG en ziekteverzuim
Zin en onzin van het melden van datalekken
Verwerking persoonsgegevens en inzageverzoek AVG
Over AVG, informatie aan betrokkenen en privacy statements