Je werknemers monitoren: mag dat?

ETHIEK, HRM, PRIVACY
Werknemers monitoren

Technologisch gezien kan je je medewerkers goed monitoren. Maar, mag het ook juridisch gezien? Onze jurist Henk Bethlehem praat je bij.

Wat doe je als allereerst?

Als je erover denkt je werknemers te monitoren, stel jezelf dan allereerst de vraag: waarom en met welk doel wil ik mijn personeel monitoren? Maak hierna een afweging tussen de privacy van je personeel en het bedrijfsbelang dat je met de controle wilt dienen. Welk belang weegt in dit geval zwaarder? Is controle echt noodzakelijk?

Belangrijk: stel dat het juridisch mag, maak dan ook een ethische afweging. Denk erover na of je het echt wilt. Of dat je het belangrijker vindt dat je personeel onbespied blijft.

Hoe beslis je welk belang zwaarder weegt?

Als je werknemers wilt monitoren, moet het bedrijfsbelang dus belangrijker zijn dan de privacy van je personeel. Oftewel: je moet een gerechtvaardigd belang hebben. Je moet ook kunnen uitleggen waarom het bedrijfsbelang zwaarder weegt dan de belangen van jouw werknemers. Waarom is het monitoren van je werknemers noodzakelijk? Je kan bijvoorbeeld ook doelen voor een dag of week afspreken die ze moeten halen. Onderschat dit niet, want het belang van jouw werknemers zal héél vaak zwaarder wegen dan het bedrijfsbelang.

Mag je stiekem controleren?

Als je je werknemers gaat monitoren, moet je ze vooraf informeren. Je mag ze dus niet stiekem monitoren of controleren. Uitzondering: je hebt een hele goede reden. Je verdenkt iemand bijvoorbeeld van een strafbaar feit, waarbij het je niet is gelukt om dat feit op een andere manier te stoppen.

Als je stiekem gaat controleren, houd je dan aan de volgende regels:

  • Stiekem controleren moet incidenteel zijn. Je kan het dus niet voor langere tijd doen.
  • Achteraf moet je het betreffende personeel(slid) altijd informeren.
  • Doe voordat je start met monitoren een zogenaamde data protection impact assessment (DPIA).

Wat is een DPIA en wanneer heb je die nodig?

Een data protection impact assessment (DPIA) is een manier om privacyrisico’s en bijbehorende maatregelen in kaart te brengen. Je moet altijd vooraf een DPIA doen: als je je werknemers vooraf hebt geïnformeerd over de controle én als je dit in het geheim doet. In onze ledenportal vind je een gratis stappenplan waarmee je de DPIA kunt uitvoeren. 

Blijkt uit de DPIA dat je de privacyrisico’s niet kunt beperken met maatregelen? Dan moet je in overleg met de Autoriteit Persoonsgegevens (AP).

Let op:

  • Heb je een functionaris voor de gegevensbescherming (FG)? Vraag haar of hem dan ook altijd om advies bij het uitvoeren van de DPIA.
  • Heb je een ondernemingsraad (OR)? Dan heb je instemming van hen nodig voordat je start met de controle. Vraag pas om instemming als uit de DPIA blijkt dat je kan starten met de controle.

Heb je vragen?

Heb je een vraag aan onze juristen, bijvoorbeeld over monitoren of de DPIA? Ze helpen je graag verder. Stel je vraag privé of kom naar ons juridisch inloopspreekuur.

Naar het ledenportal

Heb je een vraag aan onze juristen, bijvoorbeeld over monitoren of de DPIA? Ze helpen je graag verder. Stel je vraag via het ledenportal of kom naar ons juridisch inloopspreekuur. Nog geen lid, maar heb wel een vraag aan onze juristen? Ook dan helpen we je graag. Lees hier meer over onze juridische dienstverlening.


Dit artikel is geplaatst op 9 november 2021.

11 februari 2021

Moderniseer toezicht AP om nieuwe privacy-schandalen te voorkomen

ETHIEK, HRM, PRIVACY, AVG, PRIVACY

Deze week werd bekend dat de implementatie van DigiD op de website coronatest.nl niet voldoet aan de veiligheidseisen. Vorige week moest minister De Jonge al diep door het stof in het Kamerdebat over het datalek bij de GGD. De Tweede Kamer had onvoldoende vertrouwen in de maatregelen die de minister en de GGD aankondigden. Een meerderheid stemde daarom in met een voorstel om de capaciteit van de Autoriteit Persoonsgegevens (AP) flink uit te breiden.

Dat klinkt mooi, maar het is nog maar de vraag of deze extra mensen een volgend datalek kunnen voorkomen. Ook met twee keer zo veel handhavers kan de AP niet bij elke organisatie in Nederland achter de voordeur kijken. De sleutel ligt in het moderniseren van haar rol: organiseer toezicht dichter op de werkvloer, met de nadruk op preventie.

Avg vraagt om toezicht dicht op de organisatie

Een belangrijke conclusie uit het Kamerdebat was dat het GGD-lek kon gebeuren omdat er te weinig aandacht was voor privacy. Er waren wel signalen dat het systeem kwetsbaar was, maar niemand greep in. Om dat te voorkomen heb je iemand nodig die dicht op de organisatie zit, mandaat heeft en privacy hoog op de prioriteitenlijst heeft staan. In de Avg wordt een dergelijke vorm van toezicht aangemoedigd. De wet gaat uit van een getrapt model: toezicht door management, door een onafhankelijke FG, door sectorale gedragscodes en certificeringen en tot slot door de nationale toezichthouder.

Bij NLdigital hebben we al vroeg ingezet op een sectorale gedragscode met bijbehorende certificering. Onze onafhankelijke auditor komt bij bedrijven over de vloer, stelt de juiste vragen en toetst op gedrag. De ervaring van de afgelopen drie jaar leert dat dit voor bedrijven verrassende inzichten oplevert. Bedrijven die op deze manier hun Avg-compliance regelen, leggen dus automatisch de nadruk op preventie, bewustzijn en gedrag.

Andere rol voor AP

De Autoriteit Persoonsgegevens heeft in deze opzet een belangrijke rol. Onze Data Pro gedragscode is formeel door de AP goedgekeurd. Ook de certificering kan de goedkeuring van de AP krijgen. Ze speelden daarin een constructieve en adviserende rol, zonder hun taak als toezichthouder uit het oog te verliezen. Deze wisselwerking tussen privacy-autoriteit, branchevertegenwoordigers en bedrijven zorgt uiteindelijk voor een invulling van de Avg die praktisch toepasbaar is en potentiële problemen zo vroeg mogelijk identificeert.

Wij pleiten daarom voor een andere rol voor de AP: zet de extra capaciteit in om systeemtoezicht te organiseren en organisaties te informeren en begeleiden. Dit is de enige manier om een complex en veelomvattend onderwerp als gegevensbescherming toekomstbestendig te borgen. En de beste manier om een herhaling van het debacle bij de GGD te voorkomen.

18 januari 2021

Online bijeenkomst commissie Privacy

ETHIEK, HRM, PRIVACY, AVG, PRIVACY, PRIVACY

Dinsdag 16 februari 2021 van 9.30 – 11.00 uur is de online bijeenkomst van de commissie Privacy. Deelnemers aan deze commissie zijn vertegenwoordigers van lidbedrijven aangesloten bij NLdigital die binnen hun organisatie op strategisch niveau verantwoordelijk zijn voor privacy en de impact van privacy op de business. Deze bijeenkomst zal online via Teams plaatsvinden.

Programma

Op het programma van deze bijeenkomst staat o.a.

Actualiteiten:

  • Brexit-deal: wat betekent dit voor data?
  • Apple iOS 14 – privacy informatie. Wat zijn tot nu toe jullie ervaringen?

Stand van zaken Europa:

  • DSA – privacy aspecten
  • Nieuwe e-Privacy tekst van Portugese EU voorzitterschap
  • Joint opinions van de EDPB & EDPS over beiden SCC’s van de EC (over de relatie controller-processor en over data transfers)
  • Guidelines EDPB over voorbeelden van melden van datalekken

Interesse in deelname aan deze commissie?

Ben je werkzaam bij een lidbedrijf van NLdigital en strategisch verantwoordelijk voor privacy?

Meld je aan
24 november 2020

Dataverkeer impasse duurt voort, verstoring digitale diensten dreigt

ETHIEK, HRM, PRIVACY, AVG, PRIVACY, PRIVACY, PRIVACY

Afgelopen juli heeft het Hof van Justitie van de Europese Unie het Privacy Shield met onmiddellijke ingang ongeldig verklaard. Dit gebeurde in de spraakmakende Schrems II-zaak. Deze uitspraak legde een bom onder het internationale dataverkeer en de onzekerheid neemt toe. De ‘European Data Protection Board’ (EDPB) heeft een conceptdocument uitgebracht om uit de impasse te komen die met de Schrems II-zaak is ontstaan. Maar na het lezen van deze aanbevelingen zijn onze zorgen alleen maar groter geworden en zien wij geen aanknopingspunten voor een werkbare oplossing.

De conceptaanbevelingen liggen nu voor ter consultatie. Hierin vragen ze organisaties om te herstellen wat op politiek niveau niet is gelukt: uniformering op het gebied van privacy en cybersecurity creëren. Wij hebben dit in een brief naar de vaste Kamercommissie van Justitie en Veiligheid aan de orde gesteld. Hierin doen wij twee aanbevelingen om uit de impasse te komen.

1. Zorgvuldigheid gaat voor snelheid

Om zorgvuldig te kunnen reageren, is een realistische consultatieperiode noodzakelijk. De initieel gestelde deadline van 30 november was veel te krap. Sinds het verzenden van de brief heeft de EDBP gelukkig besloten om deze consultatieperiode te verlengen tot 21 december 2020. Dit is nog steeds krap, maar geeft meer ruimte om tot een werkbare handreiking te komen. Er moet een oplossing komen die mogelijk is met de middelen én dagelijkse praktijk van de meeste (Nederlandse) organisaties. Daarnaast biedt dit een mogelijkheid om de aanbevelingen te laten aansluiten bij de meer pragmatische en realistische concept standaardclausules van de Europese Commissie.

2. Plaats privacy in breder perspectief

Het is terecht dat Europese privacywetgeving eisen stelt aan data-uitwisseling. Naast het belang van gegevensbescherming moet echter ook het bredere perspectief meewegen. Er moet gekeken worden naar onder andere economische belangen, wetenschappelijk onderzoek en overige fundamentele rechten. Deze belangen hoeven niet strijdig met elkaar te zijn, maar moeten zorgvuldig in samenhang worden gewogen.

Wij hebben gevraagd dit dossier aan de orde te stellen tijdens de begrotingsbehandeling van het ministerie van Justitie en Veiligheid, die gepland staat op woensdag 25 en donderdag 26 november.

Hoe helpt NLdigital jouw organisatie?

Wij houden de publicaties rondom deze kwestie nauwlettend in de gaten. Momenteel zijn we bezig met het opstellen van een consultatie over de door de EDBP voorgestelde conceptaanbevelingen. De Europese Commissie vraagt ook om input over een tweetal Standard Contractual Clauses (SCC’s). Dit zijn modelcontracten die ervoor moeten zorgen dat het beschermingsniveau van data buiten de EU/EER gelijk is aan dat van binnen de EU. Die kun je hier en hier vinden. Ook hiervoor gaan wij aan de slag met de consultaties.

Heb je vragen hierover of wil je dat we je voorzien van breder Avg-advies? Op onze website en in ons Data Pro oriëntatiepakket vind je veel informatie over specifieke onderdelen van de Avg. Onze juristen geven advies en ondersteuning op het gebied van privacy en Avg. Ook kunnen bedrijven die hun klanten willen laten zien dat ze privacy serieus nemen en verantwoord omgaan met persoonsgegevens, zich laten certificeren. Certificering gebeurt op basis van de Avg-gedragscode van NLdigital, de Data Pro Code.

17 november 2020

Column Lotte de Bruijn: ‘Toverstaf’

ETHIEK, HRM, PRIVACY, AVG, PRIVACY, PRIVACY, PRIVACY, CYBERSECURITY, PRIVACY

Digitale technologie is soms bijna magisch. Zeker in deze tijden van thuisblijven en afstand houden ben ik me extra bewust van het gemak van onze digitale wereld. Met een paar simpele handelingen bestel je een paar nieuwe schoenen, of eten van je favoriete restaurant. En met collega’s werk je moeiteloos in dezelfde bestanden en mappen via de cloud.

Digitale kloof

Voor veel mensen is digitale technologie ook letterlijk magisch. Als in: ze hebben geen flauw idee hoe het werkt en accepteren maar gewoon dat het kan. En dat is gevaarlijk. Want wie eenmaal gelooft in de magie van technologie, verliest het vermogen om er kritisch naar te kijken. Die digitale kloof is een groeiend probleem. Het maakt mensen kwetsbaar voor misbruik, het verkleint mogelijkheden van mensen om mee te doen én het zet een rem op de adoptie van allerlei nuttige innovaties.

Helaas zijn ook politici niet immuun voor magisch denken. Dat leidt soms tot overdreven angsten voor technologie, maar aan de andere kant ook tot onmogelijke verwachtingen. Een goed voorbeeld is het oneindige debat rond encryptie. Iedereen is het erover eens dat sterke encryptie onmisbaar is om onze digitale infrastructuur veilig te houden. Toch duikt er eens in de zoveel tijd weer een politicus op die zegt: “Ja, het moet wel sterk zijn, maar ook weer niet zo sterk dat onze opsporingsdiensten het niet kunnen kraken.”

Uitzonderingen in encryptie

Onlangs kwam dit verzoek van niemand minder dan de overheden van Australië, Canada, India, Japan, Nieuw-Zeeland, het Verenigd Koninkrijk en de Verenigde Staten. In een gezamenlijke verklaring vroegen ze digitale bedrijven te stoppen met het aanbieden van end-to-end encryptie in hun producten. Althans: ze vroegen bedrijven om manieren te verzinnen om end-to-end encryptie zodanig aan te bieden dat de overheid en bedrijven zelf desgewenst nog wel de inhoud kunnen lezen. Experts leggen al decennia lang uit dat het inbouwen van uitzonderingen in encryptie het per definitie zwakker maakt. Toch zeggen deze landen opnieuw: zwaai maar met je toverstaf en zorg dat het werkt.

Ook onze eigen minister maakt zich schuldig aan magisch denken. Het officiële kabinetsstandpunt is dat encryptie niet verzwakt mag worden. Toch liet minister Grapperhaus eind vorig jaar weten dat het heel prettig zou zijn als iemand kon zorgen dat zijn opsporingsdiensten wél versleutelde berichten kunnen kraken. Gelukkig was de Tweede Kamer scherp en werden er meteen Kamervragen gesteld over hoe de minister deze uitspraak kan rijmen met zijn eigen beleid.

Commissie Digitale Zaken

Het is ook daarom heel belangrijk dat onze volksvertegenwoordigers voldoende kennis hebben van digitale technologie en onze sector. We hebben volksvertegenwoordigers nodig die inzien dat achter de magische interfaces een wereld schuilgaat van oneindig veel regels code, ronkende servers en honderdduizenden hardwerkende mensen.

Wat dat betreft is er goed nieuws: de Tweede Kamer heeft vanaf de volgende kabinetsperiode een vaste commissie Digitale Zaken. Ik verwacht dat dit bij zal dragen aan meer expertise van Kamerleden en een meer structurele behandeling van alles dat met digitaal te maken heeft. Hopelijk helpt dat om het volgende proefballonnetje over encryptie snel lek te prikken.

Deze column verscheen in november 2020 in ICT Magazine.

29 juli 2020

Privacy Shield per direct ongeldig: wat nu?

ETHIEK, HRM, PRIVACY, AVG, PRIVACY, PRIVACY, PRIVACY, CYBERSECURITY, PRIVACY, PRIVACY

Op 16 juli heeft het Hof van Justitie van de Europese Unie het Privacy Shield met onmiddelijke ingang ongeldig verklaard. Dit gebeurde in de spraakmakende zaak Schrems II, waarin Max Schrems opnieuw klaagde over doorgifte van zijn gegevens naar de Verenigde Staten. Geeft jouw organisatie persoonsgegevens door aan een partij in de VS? Dan leggen we je uit welke stappen je kunt ondernemen.

Wanneer is dit relevant?

Werkt jouw organisatie samen met Amerikaanse partijen? Bijvoorbeeld omdat je hostingpartij daar servers heeft staan, omdat je werkt met een Amerikaanse Saas-partij, e-mailtool of app of omdat je op een andere manier gegevens uitwisselt met de Verenigde Staten. Je kunt ook denken aan een moeder-, dochter- of zusterbedrijf met wie je gegevens uitwisselt of bepaalde onderhouds- of servicediensten die vanuit de VS worden geleverd en waarbij op jullie systemen wordt ingelogd.

Let wel: dat een bedrijf in de VS is gevestigd, betekent op zichzelf nog niet dat de gegevens ook met de VS worden uitgewisseld. Als je hierover twijfelt, vraag het dan na bij de betreffende partij.

Eerder dit jaar publiceerden we deze blog over het verwerken van persoonsgegevens in het buitenland. Als jij zelf of een partij die vóór jou gegevens verwerkt persoonsgegevens verwerkt in de VS of doorgeeft aan een partij die dat doet, dan maak je – als het goed is – gebruik van Privacy Shield of Standard Contractual Clauses.

Achtergrond: Wat is het Privacy Shield?

Persoonsgegevens mogen uitsluitend worden doorgegeven naar landen buiten de EU/EER als er sprake is van een in essentie gelijkwaardige bescherming aan het beveiligingsniveau van de Avg. Er zijn een aantal manieren om je te verzekeren van dat gelijkwaardige beschermingsniveau.

De meest eenvoudige manier is op basis van een zogenaamd adequaatheidsbesluit van de Europese Commissie (EC). Het EU-VS privacyschild-verdrag (of ‘Privacy Shield’) was zo een adequaatheidsbesluit. Op basis daarvan was de Verenigde Staten een ‘veilig land’ op voorwaarde dat een bedrijf was aangesloten bij Privacy Shield.
Een andere manier om dit beschermingsniveau te waarborgen is door in je overeenkomsten met bedrijven buiten de EU/EER gebruik te maken van standaardbepalingen (‘Standard Contractual Clauses’, opgesteld door de EC).

Stappenplan: zo blijf je Avg-proof

Door het wegvallen van Privacy Shield als basis voor het uitwisselen van gegevens met de VS en daarnaast de onduidelijkheid over welke extra waarborgen eventueel nodig zijn als je met standard contractual clauses werkt, is er een vacuüm ontstaan en is het voor bedrijven onduidelijk hoe zij de gegevensuitwisseling nu moeten inrichten. NLdigital kan dit niet wegnemen, want die onduidelijkheid is er nu eenmaal, maar we helpen je graag een stapje verder.

Heb je basis op orde

Wisselt jouw organisatie gegevens uit met een partij in de Verenigde Staten? Dan is het voor nu met name van belang dat jouw technische en organisatorische maatregelen up to date zijn om het vereiste beschermingsniveau van persoonsgegevens te waarborgen. Zorg ervoor dat je kan voldoen aan de transparantieverplichtingen en dat je datalekkenprotocol op orde is.

Dit is niets nieuws onder de zon: het voldoen aan privacyrechtelijke verplichtingen en de regels rondom internationale datastromen is een continu proces. Je moet voortdurend bekijken of de manier waarop je vandaag dingen doet, morgen nog wel de juiste is.

Als je daarnaast je handelingen goed documenteert en bewaart kan je achteraf aantonen op welke manier je persoonsgegevens verwerkt conform de Avg.

Krijg inzicht in je internationale gegevensuitwisseling

Het is daarnaast verstandig dat je goed bent voorbereid op eventuele vragen van je klanten over je internationale doorgifte van persoonsgegevens. Zorg ervoor dat je alle informatie op een rijtje hebt en je je verdiept in onderstaand stappenplan. Je kunt dit stappenplan ook downloaden.

Download stappenplan

 

  1. Bepaal of jouw organisatie persoonsgegevens doorgeeft aan de Verenigde Staten.
    Maak je bijvoorbeeld gebruik van een Amerikaanse subverwerker die is aangesloten bij het Privacy Shield, of heb je een klant de gevestigd is buiten de EU/EER? Dan kan het zijn dat je persoonsgegevens doorgeeft aan een land buiten de EU/EER. Nee? Dan hoef je niets te doen.
  2. Ja? Bepaal dan op basis van welke afspraken je persoonsgegevens doorgeeft aan een partij in de Verenigde staten.
    • Je geeft persoonsgegevens door aan een bedrijf dat gevestigd is in de Verenigde Staten en is aangesloten bij het Privacy Shield
      Het Privacy Shield is ongeldig verklaard en er geldt geen adequaatheidsbesluit meer voor de VS. Hierdoor kun je alleen nog persoonsgegevens doorgeven als er ‘passende waarborgen’ worden geboden. Eén van die passende waarborgen zijn de modelcontractsbepalingen van de EC. Het is aan te raden om een overstap naar het gebruik van modelcontractsbepalingen in gang te zetten.
    • Je maakt voor doorgifte van persoonsgegevens aan landen buiten de EU/EER gebruik van modelcontractsbepalingen
      De modelcontractsbepalingen kunnen wel gebruikt blijven worden voor doorgifte aan landen buiten de EU/EER, maar alleen als in de praktijk een gelijkwaardig beschermingsniveau kan worden gewaarborgd. Dit kan betekenen dat bedrijven extra waarborgen moeten bieden in aanvulling op de modelcontractsbepalingen.
  3. Bereid de overstap naar of uitbreiding van modelcontractsbepalingen voor.
    Jouw organisatie kan zich momenteel het beste gaan voorbereiden op het goed toepassen van modelcontractsbepalingen:

    • Bepaal per situatie of er in de praktijk een gelijkwaardig beschermingsniveau kan worden gewaarborgd.
      Er moet gekeken worden naar de ‘relevante aspecten van het rechtsstelsel’ van dat land. Met name wanneer het recht van dat land de overheidsinstanties van dat land toestaat om in te grijpen in de rechten van de betrokkenen met betrekking tot persoonsgegevens, is volgens het Hof het gebruik van enkel de modelcontractsbepalingen zonder aanvullende waarborgen onvoldoende voor een gelijkwaardig beschermingsniveau.
    • Bepaal aan de hand daarvan of er aanvullende waarborgen geboden moeten worden.
  4. Stop met het uitwisselen van gegevens naar de Verenigde Staten als je geen nieuwe afspraken kunt maken
    Lukt het jouw organisatie niet om samen met de partij in de Verenigde Staten de modelcontractsbepalingen toe te passen of aan te vullen? Dan ben je verplicht om de doorgifte van persoonsgegevens naar het betrokken derde land op te schorten of te beëindigen. Het is in dat geval uiteraard een optie om te werken met een andere partij waarmee wel passende afspraken gemaakt kunnen worden.

Wordt er in Nederland gehandhaafd op doorgifte naar de VS?

De European Data Protection Board (EPDB) heeft aangegeven een verdere verduidelijking van en richtsnoeren voor de uitspraak te publiceren. Het lijkt waarschijnlijk dat de Autoriteit Persoonsgegevens wacht met handhaving totdat de EDPB met deze verduidelijking komt, maar er is geen garantie.

Daarnaast is in het evaluatierapport van de Avg van de EC te lezen dat de EC bezig is met een modernisering van de modelcontractsbepalingen. Het lijkt dus verstandig om deze Europese ontwikkelingen nog even af te wachten, voordat je grote wijzigingen of een overstap naar de modelcontractsbepalingen gaat doorvoeren. Het is namelijk een flinke opgave om elke keer het beschermingsniveau in de praktijk uit te moeten zoeken als je persoonsgegevens doorgeeft naar een land buiten de EU/EER, zeker voor kleine en middelgrote bedrijven en/of bedrijven die geen juristen in huis hebben.

Hoe helpt NLdigital jouw organisatie?

NLdigital houdt de ontwikkelingen rondom deze uitspraak, de eventuele handhaving en alternatieve afspraken scherp in de gaten. We kunnen jouw organisatie helpen om de eerste stappen ter voorbereiding te zetten, of je voorzien van breder Avg-advies.

Op onze website en in ons Data Pro oriëntatiepakket vind je veel informatie over specifieke onderdelen van de Avg. Onze juristen geven advies en ondersteuning op het gebied van privacy en Avg. Ook kunnen bedrijven die hun klanten willen laten zien dat ze privacy serieus nemen en verantwoord omgaan met persoonsgegevens, zich laten certificeren. Certificering gebeurt op basis van de Avg-gedragscode van NLdigital, de Data Pro Code.

 

29 juli 2020

De Schrems II-zaak: wat is er gebeurd?

ETHIEK, HRM, PRIVACY, AVG, PRIVACY, PRIVACY, PRIVACY, CYBERSECURITY, PRIVACY, PRIVACY, PRIVACY

Op 16 juli heeft het Hof van Justitie van de Europese Unie een uitspraak gedaan in de Schrems II-zaak, waarin Max Schrems opnieuw klaagde over doorgifte van zijn gegevens naar de Verenigde Staten. Als gevolg is onder andere het Privacy Shield per direct ongeldig. We lichten toe wat er gebeurd is in deze rechtszaak.

Wisselt jouw organisatie gegevens uit met een partij in de VS? Dan hebben we een stappenplan voor jou opgesteld zodat je Avg-proof kunt blijven.

Lees hier een update van februari 2022.

De aanklacht

Volgens Maximillian Schrems mocht Facebook zijn persoonsgegevens niet doorgeven naar de VS, omdat daar onvoldoende bescherming is tegen de toegang door de overheid tot de gegevens. De klachten van Schrems leidden eerder al tot de Schrems-I uitspraak, waarbij Safe Harbor (de voorloper van Privacy Shield) ongeldig werd verklaard. Schrems diende daarna in Ierland opnieuw vergelijkbare klachten in, naar aanleiding waarvan de Ierse rechter besloot een aantal vragen te stellen aan de Europese rechter.

De uitspraak

Op 16 juli 2020 heeft het Hof van Justitie EU in reactie op de vragen van de Ierse rechter het Privacy Shield ongeldig verklaard. Dit is met onmiddellijke ingang van kracht. Organisaties in de EU kunnen geen persoonsgegevens aan de Verenigde Staten meer doorgeven op grond van het Privacy Shield.

Volgens het hof bevat het werken met modelcontracten een doeltreffend mechanisme om in de praktijk te waarborgen dat het vereiste beschermingsniveau in acht wordt genomen. Daarbij wijst het hof erop dat je, als je met modelcontracten werkt, verplicht bent om zelf eerst na te gaan of het land waar je gegevens naartoe export het beschermingsniveau in acht neemt. Aan de andere kant wijst het Hof erop dat de buitenlandse ontvanger van gegevens verplicht is het aan jou als exporteur van gegevens te melden indien hij niet in staat zou zijn om de standaardbepalingen inzake gegevensbescherming na te leven. Je moet in dat geval de doorgifte van gegevens (tijdelijk) opschorten en/of de overeenkomst met de ontvanger beëindigen.

Het resultaat

Volgens het Hof kunnen modelcontracten dus nog wel een geldige grondslag bieden voor doorgifte van gegevens naar landen buiten de EU, maar alleen als een gelijkwaardig beschermingsniveau in de praktijk kan worden gewaarborgd. Dit kan betekenen dat bedrijven extra waarborgen moeten bieden in aanvulling op de modelcontractsbepalingen.

Hoe helpt NLdigital jouw organisatie?

NLdigital houdt de ontwikkelingen rondom deze uitspraak, de eventuele handhaving en alternatieve afspraken scherp in de gaten. We kunnen jouw organisatie helpen om de eerste stappen ter voorbereiding te zetten, of je voorzien van breder Avg-advies. Lees ook het stappenplan voor bedrijven die gegevens uitwisselen met de VS.

Op onze website en in ons Data Pro oriëntatiepakket vind je veel informatie over specifieke onderdelen van de Avg. Onze juristen geven advies en ondersteuning op het gebied van privacy en Avg. Ook kunnen bedrijven die hun klanten willen laten zien dat ze privacy serieus nemen en verantwoord omgaan met persoonsgegevens, zich laten certificeren. Certificering gebeurt op basis van de Avg-gedragscode van NLdigital, de Data Pro Code.

Data Pro Code als extra waarborg

Simon Hania, voorzitter van onze commissie Privacy, ziet ook mogelijkheden voor het werken conform de Data Pro Code als vorm van extra waarborg naast de modelcontractsbepalingen. “De Data Pro Code is een hulpmiddel om je interne processen te versterken, en wellicht dat je het als aanvullende maatregel op de modelcontractsbepalingen zou kunnen inzetten om zo een gelijkwaardig beschermingsniveau te kunnen garanderen.”

Meer lezen over de Avg?

We hebben binnen onze kennisbank diverse artikelen over de Avg.

Lees meer
23 juli 2020

Netwerkbijeenkomst commissie Privacy

ETHIEK, HRM, PRIVACY, AVG, PRIVACY, PRIVACY, PRIVACY, CYBERSECURITY, PRIVACY, PRIVACY, PRIVACY, PRIVACY

Donderdag 19 november 2020 van 9.30 – 11.00 uur is de netwerkbijeenkomst van de commissie Privacy. Deelnemers aan deze commissie zijn vertegenwoordigers van lidbedrijven aangesloten bij NLdigital die binnen hun organisatie op strategisch niveau verantwoordelijk zijn voor privacy en de impact van privacy op de business. Deze bijeenkomst zal online via Teams plaatsvinden.

Het programma wordt nog bekend gemaakt.

Interesse in deelname aan deze commissie?

Ben je werkzaam bij een lidbedrijf van NLdigital en strategisch verantwoordelijk voor privacy?

Meld je aan
6 mei 2019

Businesskans voor leden met een privacy-oplossing

ETHIEK, HRM, PRIVACY, AVG, PRIVACY, PRIVACY, PRIVACY, CYBERSECURITY, PRIVACY, PRIVACY, PRIVACY, PRIVACY, PRIVACY

Ben je lid van Nederland ICT en breng jij privacy-oplossingen op de markt? Dan is dit misschien iets voor jou.

TNO en ECP lanceerden onlangs het actieprogramma ‘Privacy als Innovatiekans’, in opdracht van het ministerie van Economische Zaken. Dit actieprogramma wil eraan bijdragen dat privacy als een aanjager van innovaties gaat werken. De eerste fase van het project is afgerond. In de tweede fase wordt nu een Community of Practitioners (CoP) gestart, waarin de partijen die oplossingen aandragen worden gekoppeld aan partijen die vragen hebben op dit gebied. Zo ontstaat een gemeenschap die gezamenlijk werkt aan de vertaling van privacy naar de praktijk. ICT-organisaties worden van harte uitgenodigd om zich aan te melden voor deze bijeenkomsten. De eerste CoP-bijeenkomst vindt plaats op 21 mei in Den Haag van 15.00 – 17.00 uur.

Er is interesse om kennis te maken met ICT-bedrijven die zich hebben gespecialiseerd op de volgende terreinen:

  • Privacyvriendelijke verzameling van persoonsgegevens (bijvoorbeeld tools gericht op het minimaliseren van gegevensverzameling)
  • Privacyvriendelijke bewerking van persoonsgegevens (bijvoorbeeld homomorfe encryptie)
  • Privacyvriendelijke opslag van gegevens (bijvoorbeeld een digitale kluis)
  • Privacyvriendelijk identiteitsbeheer (bijvoorbeeld autorisatie met attribuut gebaseerde credentials)
  • Privacyvriendelijke architectuuroplossing (bijvoorbeeld verzameling logging en auditinformatie).
  • Tooling om compliance aan te tonen (bijvoorbeeld Avg-check)
  • Tooling om compliance mogelijk te maken (bijvoorbeeld software voor registratie van verwerking).

Aanmelden?

Dat kan via de website van Privacy Platform. Eventuele vragen kun je via e-mail stellen aan Sophie Emmert.

11 april 2019

EU-richtlijn mist kans om privacy-gedragscodes mkb te stimuleren

ETHIEK, HRM, PRIVACY, AVG, PRIVACY, PRIVACY, PRIVACY, CYBERSECURITY, PRIVACY, PRIVACY, PRIVACY, PRIVACY, PRIVACY, AVG, PRIVACY

In de Avg (GDPR) is een apart artikel opgenomen over gedragscodes die de algemene regels uit de privacywet vertalen voor een specifieke branche. Datzelfde artikel noemt expliciet het mkb als belangrijke doelgroep voor een dergelijke code. Onlangs publiceerden de gezamenlijke Europese toezichthouders (EDPB) hun richtlijnen voor dergelijke codes, maar helaas maken deze richtlijnen het juist onnodig ingewikkeld om dit soort codes op te stellen. Een gemiste kans wat ons betreft.

Data Pro Code

Nederland ICT maakte al direct bij de inwerkingtreding van de Avg een doorvertaling van de wet voor bedrijven die persoonsgegevens verwerken: de Data Pro Code. Deze code hebben we ter goedkeuring voorgelegd aan de Autoriteit Persoonsgegevens. We keken dus met bijzondere interesse naar de richtlijn voor gedragscodes van de Europese toezichthouders. De richtlijn ligt nu ter consultatie. In een brief hebben we onze belangrijkste kritiekpunten uiteengezet.

Onnodige administratieve lasten

In de eerste plaats stellen de richtlijnen extra eisen aan organisaties die een gedragscode willen opstellen, bovenop de bestaande eisen van de Avg. Dat zorgt voor extra administratieve lasten en onnodige kosten voor mkb-bedrijven. De richtlijn schiet hiermee zijn eigen doel voorbij.

Geen one-stop-shop

Een groot voordeel van de Avg is dat er dezelfde regels gelden in alle EU-landen, waardoor data makkelijk uitgewisseld kan worden. Je zou verwachten dat een gedragscode die in één land goedgekeurd wordt, dan ook in alle EU-landen van toepassing zou zijn. Maar uit de richtlijn blijkt dat hiervoor steeds weer bij de nationale toezichthouder moet worden aangeklopt. Dat staat haaks op het ‘one-stop-shop’ principe van de Avg.

Niet cross-sectoraal

De richtlijn stelt een sector-specifieke aanpak voor. Maar in de digitale economie is er steeds minder onderscheid te maken tussen diverse sectoren. Als een softwarebedrijf een HR-tool levert aan supermarkten, accountants en ziekenhuizen, valt die dan onder de detailhandel, de dienstensector of de zorgsector? De code zou meer moeten kijken naar het soort verwerking en minder naar de sector waarin het plaatsvindt.

Wat nu?

We wachten af of de Europese toezichthouder onze kritiek in de definitieve guidelines verwerkt. In de tussentijd zitten we niet stil. We vinden de bescherming van privacy zo fundamenteel voor onze achterban dat we bereid zijn alle stappen te nemen die de toezichthouder nu voorstelt. Daar zijn we al een heel eind mee. Betrouwbare omgang met data is immers essentieel voor het vertrouwen in de digitale economie.

Gerelateerd

Column Jelmer Schreuder: ‘Het sprookjesdier’

Column Jelmer Schreuder: ‘Het sprookjesdier’

Het blijft een diep gekoesterd geloof op het ministerie van Justitie en Veiligheid: de veilig breekbare encryptie. De huidige minister sprak in een Kamerdebat over dit idee als een metaforische eenhoorn, en koos daarmee onbedoeld de perfecte beschrijving van deze fabel.

Alle gerelateerde items

Nieuwsbrief

  •  *
  •  *
    naam@bedrijf.nl

NLdigital

De Corridor 5
3621 ZA Breukelen
(0348) – 49 36 36
info@nldigital.nl