1 januari 2023
Ook het jaar 2022 is al weer voorbij. 2022 was een jaar waarin veel is gebeurd op het gebied van privacy. Denk aan het Europees Hof dat een streep heeft gezet door het openbaar UBO-register. De Autoriteit Persoonsgegevens die verschillende boetes heeft opgelegd en het kabinet die een wetsvoorstel heeft ingediend om de Uitvoeringswet van de AVG te updaten. Ook in 2023 staat ons het een en ander te wachten.
Dit zijn de belangrijkste wijzigingen voor 2023:
- Voorgenomen wijziging Uitvoeringswet AVG (UAVG)
Allereerst het wetsvoorstel over het updaten van de Uitvoeringswet van de AVG. In februari dit jaar staat het schriftelijk overleg gepland, maar naar verwachting moeten we nog even geduld hebben voordat het wetsvoorstel officieel wordt aangenomen. Het is daarnaast ook de vraag of het voorstel de wet haalt en welke onderdelen worden aangepast. We zijn bijvoorbeeld benieuwd of het voorstel kinderen tussen 12 en 16 jaar meer rechten toe te kennen wordt aangenomen. Dit jaar zal duidelijk worden of de Uitvoeringswet van de AVG inderdaad wordt aangepast.
- Gegevensuitwisseling VS
In juli 2020 heeft het Hof van Justitie van de Europese Unie vastgesteld dat het EU-VS-privacyschild ontoereikend is voor gegevensbescherming. Ondanks dat deze zaak vooral ging over de uitwisseling van gegevens tussen de EU en de VS, zijn de gevolgen wereldwijd merkbaar. Zo heeft de Europese Raad voor gegevensbescherming (EDPB) op basis hiervan nieuwe richtlijnen ontwikkeld voor gegevensoverdracht. Voor organisaties betekent dit dat ze hun processen rondom het internationaal overdragen van gegevens opnieuw moeten onderzoeken. Daarnaast komt er dit jaar waarschijnlijk een besluit vanuit de Europese Commissie over het EU-VS-kader voor gegevensprivacy, dat de Amerikaanse regering vorig jaar opstelde. Wat daarvan de gevolgen gaan zijn, is nog even afwachten.
Verder zal in 2023 duidelijk worden wat het concept adequaatheidsbesluit voor het EU-US Data Privacy Framework daadwerkelijk voor effect zal krijgen. Het is daarmee een voorstel voor een opvolger van het Privacy Shield, dat hopelijk de zorgen wegneemt over hoe de Verenigde Staten omgaat met persoonsgegevens van Europese burgers. Dat neemt niet weg dat het nog maanden kan gaan duren voordat er gemakkelijker persoonsgegevens met de VS kunnen worden gedeeld. Het concept moet namelijk nog goedgekeurd worden door verschillende (Europese) commissies en instellingen. Volgens Max Schrems zal het concept een beroep bij het Hof van Justitie echter niet overleven en zal het in duigen vallen onder de noemer van een ‘Schrems III uitspraak’. We zullen de ontwikkelingen wat betreft de gegevensuitwisseling naar de VS dit jaar weer op de voet volgen.
- Kritiek AP over wetsvoorstel uitlenen tijdelijk personeel
De Autoriteit Persoonsgegevens (AP) heeft recent bezwaar gemaakt tegen een wetsvoorstel waarin onduidelijk is hoe er wordt omgegaan met persoonsgegevens. Volgens het voorstel mogen uitzend- en detacheringsbureaus alleen nog tijdelijk personeel aanbieden als de bureaus over een speciaal certificaat beschikken. Dit certificeringsstelsel zou moeten aantonen dat de bureaus aan bepaalde normen voldoen. Onduidelijk is echter of hierbij persoonsgegevens worden verstrekt en zo ja, welke. Volgens het wetsvoorstel is gegevensuitwisseling noodzakelijk maar het is niet duidelijk om welke (persoons)gegevens het gaat, wie de gegevens moet verstrekken en waarom dat zou moeten.
Volgens de AP is er een gebrek aan begrenzing, transparantie en motivatie waardoor niet vaststaat dat gegevensverwerking überhaupt noodzakelijk is voor het certificeringsstelsel. De AP maakt niet voor het eerst bezwaar tegen een arbeidsmarktwet die onvoldoende grenzen stelt aan de verwerking van persoonsgegevens. Dit jaar zal blijken wat het kabinet gaat doen met het bezwaar van de AP.
- TikTok
Tot slot breken er spannende tijden aan wat betreft de massaschadeclaims die door verschillende stichtingen tegen TikTok wordt gevoerd. Nadat de rechtbank Amsterdam heeft bepaald dat de Nederlandse rechter bevoegd is, moet TikTok zich voor de Nederlandse rechter verantwoorden voor de (vermeende) inbreuk op de privacyrechten van Nederlandse TikTok-gebruikers. De beslissing van de rechter wat betreft de ontvankelijkheid van de stichtingen wordt in maart 2023 verwacht. Hopelijk vindt vervolgens het inhoudelijke debat plaats. Het jaar 2023 zal een belangrijk jaar worden voor de verschillende stichtingen en de ontwikkelingen rondom het privacygedrag van TikTok.
- Cookies van derden de deur uit
Google kondigde in 2020 aan, te starten met een uitfasering van het gebruik van cookies van derden. Oftewel, cookies waarmee bedrijven het internetgedrag van gebruikers in kaart kunnen brengen. Na wat vertraging zal de Chrome-browser dit soort cookies vanaf begin 2024 niet meer ondersteunen, en juist meer privacyvriendelijke alternatieven bieden. Enerzijds betekent dit een verschuiving in de huidige manier van adverteren en personalisatiemogelijkheden. Anderzijds biedt het bedrijven en marketeers allerlei nieuwe kansen.
- Nieuwe EU-richtlijnen
Dit jaar treden er verschillende nieuwe EU-richtlijnen in werking rondom dataprivacy, zoals de EU Data Governance Act (DGA), die in april vorig jaar akkoord kreeg. In september dit jaar treedt de wet in werking, waardoor toegang tot en het delen van gegevens met de publieke sector makkelijker wordt. Voor organisaties betekent dit een extra laag complexiteit om inzicht te krijgen in gegevens en wat er nodig is om gegevensoverdracht volgens de regels uit te voeren. Ook heeft de Europese Commissie vorig jaar de EU Data Act voorgesteld, die consumenten en bedrijven meer controle geeft over wat er met hun gegevens wordt gedaan. De wet verduidelijkt wie toegang heeft tot gegevens en onder welke voorwaarden.
