De ontwikkelingen in het privacy recht 2020 – 2021

De ontwikkelingen in het privacy recht 2020 - 2021 2

Inmiddels is het al bijna 3 jaar geleden dat de Algemene verordening gegevensbescherming (AVG) van toepassing is. In het jaar 2020 is er veel gebeurd qua ontwikkelingen zoals het wetsvoorstel tot wijziging van de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG) en de onderhandelingen over de e-Privacyverordening. Ook in 2021 zullen er ontwikkelingen plaatsvinden met betrekking tot het privacy recht.

Privacy-bewustzijn

Sinds de intreding van het de AVG is het privacy-bewustzijn van de Nederlandse bevolking sterk gegroeid. De bevolking wordt mondiger en uit zich steeds meer bewustzijn van haar privacy-rechten. Dat de bevolking haar privacy belangrijk vind, blijkt uit het aantal klachten dat de AP in 2019 ontving. Dit aantal was 27.800.[1] In 2018 waren er ruim 20.000 klachten.

Handhaving AVG

Waar de Autoriteit Persoonsgegevens (AP) in 2018 de nadruk heeft gelegd op voorlichting over de nieuwe AVG, heeft de Autoriteit Persoonsgegevens in 2019 meer de nadruk gelegd op de handhaving van de AVG.[2] In dit jaar heeft de AP vier keer een boete opgelegd met een totaal van ruim 2,5 miljoen euro. Naast de boetes legde de AP ook corrigerende maatregelen op zoals een last onder dwangsom, verwerkingsverbod, berisping en waarschuwingen.

Het afgelopen jaar  hebben verschillende autoriteiten boetes opgelegd. Zo is er een boete van 725.000 euro opgelegd aan een bedrijf  dat geen vingerafdrukken van medewerkers had mogen verwerken. Ook in 2021 zal er meer gehandhaafd worden en worden er naar verwachting grote boetes opgelegd.

In 2020 is het  budget van de AP omhoog gaan van 15,1 naar 18,5 miljoen. Minister Dekker van Rechtsbescherming zal per jaar bekijken of dat budget nog voldoende is. Voor nu geldt dit bedrag ook voor 2021 en de jaren daarna.

De Uitvoeringswet Algemene verordening gegevensbescherming (UAVG)

Minister Dekker van Rechtsbescherming heeft in een brief van 31 oktober 2019 een wetsvoorstel tot wijziging van de UAVG gedaan.[3] Op 4 juni 2020 heeft een minister Dekker De Tweede Kamer geïnformeerd over de stand van zaken van de wijziging van de UAVG.[4] Enkele wijzigingen die zijn voorgesteld:

  • Invoering van een grondslag voor de verwerking van bijzondere categorieën persoonsgegevens door accountants ter uitvoering van hun wettelijke controletaken.
  • Verduidelijking van de voorwaarden voor toepassing van biometrie voor de identificatie van personen, voor zover noodzakelijk voor de rechtmatige toegang tot bepaalde plaatsen, gebouwen, informatie- of werkprocessystemen, diensten of producten.
  • Invoering van een grondslag voor verwerking van bijzondere categorieën van persoonsgegevens en van persoonsgegevens van strafrechtelijke aard door het Huis voor klokkenluiders ter uitvoering van de wettelijke advies- en onderzoekstaken.

Tot nu toe is er nog niks bekend wanneer dit wetsvoorstel ingaat. Het UAVG die wij nu hebben is dan ook nog steeds van kracht.

E-Privacyverordening

In 2017 werd een voorstel voor de e-Privacyverordening ingediend door de Europese Commissie. Deze verordening vult de AVG aan en zal in de toekomst de e-Privacyrichtlijn (2002/59/EG) vervangen. De e-Privacyrichtlijn is geïmplementeerd in de Europese wetgeving en is de Telecommunicatiewet in Nederland. De e-Privacyverordening richt zich op de verwerking van persoonsgegevens voor elektronische communicatiediensten. In de  e-Privacyrichtlijn wordt onder elektronische communicatie verstaan:[5] informatie die wordt uitgewisseld of overgebracht tussen een eindig aantal partijen door middel van een openbare elektronische communicatiedienst. Dit zijn onder andere communicatiediensten als WhatsApp, Facebook, Skype en Gmail. Daarnaast zal de e-Privacyverordening de regels voor cookies  en direct marketing harmoniseren.

De laatste ontwikkeling op dit gebied is de nieuwe conceptversie die gepubliceerd is op 5 januari 2021. Hierbij zijn belangrijke wijzigingen voorgekomen:

  • De territoriale scope (toepassingsgebied) is in lijn gebracht met de AVG. Dit betekent dat ook niet-Europese organisaties aan de e-privacy verordening zullen moeten voldoen.
  • Metadata en cookiedata mogen gebruikt worden voor doeleinden die ‘verenigbaar zijn met het oorspronkelijke doel’. Dit is opnieuw toegevoegd aan het voorstel.
  • ‘Uitvoering van de overeenkomst’ is in lijn gebracht met de AVG.
  • De periode van inwerkingtreding en toepasselijkheid is gehalveerd van 2 jaar naar 1 jaar.
  • De grondslag gerechtvaardigd belang komt niet meer voor in het voorstel. In het vorige conceptvoorstel had de aanbieder ruimte om gerechtvaardigd belang als grondslag te kiezen om cookies te plaatsen.

Helaas duurt het wetgevingsproces langer dan gedacht. De bedoeling was dat de e-Privacyverordening tegelijk met de AVG van kracht zou gaan. Tot op de dag van vandaag gaan de onderhandelingen moeizaam en is er op dit moment nog geen overeenstemming bereikt over de e-Privacyverordening tussen het Europese Parlement en de lidstaten.[6]

Handhaving

Het Europees Comité voor gegevensbescherming (EDPB) heeft in een verklaring over de e-Privacyverordening, dat vastgesteld is op 20 november 2020, haar zorgen geuit over de toekomstige rol van toezichthoudende autoriteiten.[7] Deze bezorgdheid gaat over enkele nieuwe koerslijnen die zijn uitgezet bij de besprekingen van de Raad over de handhaving van de toekomstige e-Privacyverordening. Deze zouden kunnen leiden tot gefragmenteerd toezicht, ingewikkelde procedures en een gebrek aan consistentie en rechtszekerheid voor particulieren en bedrijven. Enkele lidstaten pleiten voor keuzevrijheid voor toezichthouder. De EDPB pleit juist voor één toezichthouder voor zowel de AVG als de e-Privacyverordening.[8]

Tot slot  legt de AP de komende jaren in het toezichtwerk extra nadruk op drie focusgebieden: datahandel, digitale overheid, artificiële intelligentie en algoritmes.[9] De AP zegt dat extra focus op deze gebieden nodig zijn  om de bescherming van persoonsgegevens in Nederland te borgen. Misbruik of onverantwoordelijk gebruik van persoonsgegevens kan bijvoorbeeld leiden tot foutieve beslissingen, uitsluiting van mensen en discriminatie.

Tweestapsverificatie

Vanaf 1 januari 2021 moet op grond van de Payment Service Directive 2 (Europese richtlijn voor het betalingsverkeer van consumenten en bedrijven) de meeste online betalingen met een tweestapsverificatie voltooid worden.[10] Dit geldt voor vrijwel alle online kaartbetalingen in de Europese Unie. Na 1 januari 2021 is het niet meer voldoende  dat een kaarthouder een online creditkaartbetaling goedkeurt door alleen het verstrekken van de kaartnummer, vervaldatum en controlenummer. De kaarthouder zou nu de online creditkaartbetaling moeten goedkeuren met een dubbele beveiliging. De dubbele beveiliging is in de vorm van iets dat alleen hij of zij bezit zoals een smartphone, met iets  dat hij of zij alleen weet zoals een pincode of met biometrische gegevens zoals een vingerafdruk en gezichtsherkenning.[11]

Op deze manier kunnen organisaties er beter achter komen of de klant die een betaling doet, daadwerkelijk de persoon is van de bankgegevens die worden gebruikt. Daarnaast maakt het twee-staps-verificatie het online betalen veiliger.

Wilt u weten of uw organisatie voldoet aan de laatste ontwikkelingen binnen het privacy recht?