Op dit moment zijn er al weer meerdere ontwikkelingen die van invloed kunnen zijn op de manier waarop bedrijven het komende jaar en daarna met gegevens omgaan. We gaan hieronder in op welke dit zijn.
Gegevensbescherming buiten de EU
De eerste is de uitrol van wetgeving vergelijkbaar met de AVG /GDPR elders in de wereld, zoals de California Consumer Privacy Act (CCPA), de Braziliaanse Lei Geral de Proteção de Dados Pessoais (LGPD) en de Indiase wet op de bescherming van persoonsgegevens (PDP). De wetgeving in The Golden State wordt gebruikt als een blauwdruk door andere staatswetgevers en is een sjabloon voor wetgevers op Capitol Hill. Als het op grote schaal wordt aangenomen, kunnen in 2020 in de EU gevestigde activiteiten met belangen op het grondgebied van de VS verplicht worden om hun bedrijfsprocessen te wijzigen wanneer de wetgeving ervan verschilt. Dit jaar moeten ze minimaal voldoen aan de individuele voorwaarden van de staatswetten.
Het IDG Contributor Network geeft jou als IT-professional of opiniemaker een platform als je je kennis of mening wil delen met collega's via de websites van IDG: CIO.nl, CSO.nl, Computerworld.nl, Webwereld.nl en CxO.nl.
Analisten, experts en IT-professionals kunnen deelnemen aan het platform als zij hun collega's van originele content kunnen voorzien. We accepteren geen promotionele bijdragen of herschreven content. Deelname kan worden aangevraagd via contributor@idg.nl
Het Braziliaanse LGPD vertoont intussen veel overeenkomsten met het Europese BBPR, maar gaat verder op punten als rechtsgrondslagen en verplichte meldingen van data-inbreuken. Met de uitrol die voor augustus 2020 is voorzien, zou dit wat extra nalevingswerk kunnen vergen van organisaties die in het land aanwezig zijn. In India kunnen wijzigingen in de gegevensbeschermingswetgeving mogelijk van invloed zijn op de manier waarop organisaties gegevens tussen hun internationale vestigingen verplaatsen. Alle drie de wetten lijken op een of andere manier op elementen van de BBPR en zullen waarschijnlijk in 2020 worden aangevuld door een groeiende wetgeving in landen in Afrika en Azië.
Uitspraken rondom privacy
Ook de bepaling van het Hof van Justitie van de Europese Unie (HvJEU) over de geldigheid van modelcontractbepalingen (SCC's) is iets om naar uit te kijken in 2020. De hoofdzaak, juridisch bekend als Data Protection Commissioner van Facebook Ireland Limited, Maximillan Schrems, is al geruime tijd aan de gang, maar is nu wellicht bijna afgerond. Enige tijd geleden hebben we inderdaad de niet-bindende verklaring van de procureur-generaal van de EU over deze zaak ontvangen, en we verwachten nu het formele standpunt van het Hof over deze zaak te vernemen. Net als de vastberadenheid van het Gerecht van de EU over de toekomst van het Privacy Shield, via La Quadrature du Net/Commissie.
Er bestaat een aanzienlijk risico dat het Hof van Justitie van de Europese Unie de mechanismen voor de overdracht van gegevens via de SCC's ongeldig verklaart. Als dit gebeurt, zullen veel organisaties geen praktische oplossing hebben om de internationale doorgifte van persoonsgegevens buiten de Europese Economische Ruimte te legitimeren. Zo zullen ze bloot staan aan de dreiging van boetes op basis van de inkomsten van het BBPR, meer bepaald wettelijke sancties waaronder dwangbevelen en vorderingen van derden tot schadeloosstelling. Als het vermogen van Facebook Ireland om gegevens te delen met zijn Amerikaanse basis wordt weggenomen, zouden we in het eerste geval nog steeds kunnen zien dat de praktijk op nationaal niveau wordt herzien voor gegevensoverdrachten buiten een rechtsgebied, omdat de alternatieven beperkt en vaak moeilijk toe te passen zijn op grootschalige overdrachten.
Cookiebeheer
Een ander belangrijk gebied om op te letten is het cookiebeheer. De publicatie van nieuwe regels door de regelgevende instanties in het Verenigd Koninkrijk, Frankrijk en Duitsland in het najaar van 2019, liep vooruit op de uitrol van de pan-Europese regelgeving, via het ePR (e-privacyverordening). En later dit jaar zullen veel van deze nieuwe voorschriften in de bovengenoemde lidstaten van kracht worden.
Het besluit van het HJEU over Planet 49 van 2019 maakte duidelijk dat toestemming niet rechtmatig kan worden verleend via vooraf aangevinkte vakjes, en het Britse Information Commissioner's Office (ICO) was er snel bij om dit in zijn wetboek op te nemen.
Het ICO heeft ook richtlijnen gepubliceerd over het gebruik van persoonsgegevens van speciale categorieën en over het delen van gegevens zonder uitdrukkelijke toestemming. Het ICO heeft op 20 december 2019 uiteengezet wat het op dit gebied doet en wat de volgende stappen zijn. In Frankrijk, Duitsland en recent ook in Nederland is een soortgelijke actie aan de gang, waarbij hun nationale autoriteiten verklaringen publiceren waarin ze uitleggen hoe zij van plan zijn controles uit te voeren op websites binnen hun rechtsgebied, vooruitlopend op de invoering van hun nieuwe regels vanaf medio 2020.
Het grootste deel van dit werk is onderdeel van de aangekondigde ePR, alsmede het zusterreglement hiervan, de AVG/GDPR. Deze laatste heeft vooral de manier waarop we over gegevens denken veranderd en heeft sinds de invoering ervan in mei 2018 de tanden van de nationale agentschappen betreffende organisatorisch gedrag en best practices aangescherpt. De boetes die in 2018 en 2019 aan grote technologiebedrijven werden opgelegd, zijn waarschijnlijk de meest opvallende interventies tot nu toe. We hebben echter ook een toename van de handhavingsacties gezien in Denemarken en Nederland, evenals in Duitsland. Er is een groeiende beweging op het gebied van handhaving in het Verenigd Koninkrijk, waar in de afgelopen 12 maanden in totaal 3 miljoen euro aan boetes zijn uitgedeeld door de ICO.
Databescherming bij bedrijven
In het licht hiervan, en van het risico van overbezorgdheid vanuit het oogpunt van cyberveiligheid, zou het opzetten van een strategie voor het bewaren van gegevens en documenten in 2020 bovenaan de prioriteitenlijst moeten staan binnen bedrijven. Een groot aantal organisaties heeft namelijk beleid en processen voor de AVG/GDPR opgesteld met zeer weinig reglementaire begeleiding.
Dit hoeft niet meer zo te zijn, er zijn ondersteunende documenten gepubliceerd door de gegevensbeschermingsautoriteiten (DPA's) en het Europees Comité voor gegevensbescherming. Voorbeelden van kaderregelingen die organisaties kunnen volgen zijn onder meer effectbeoordelingen betreffende gegevensbescherming (DPIA's), gegevens uit speciale categorieën, geautomatiseerde besluitvorming en briefings over bepaalde wetten die uniek zijn voor specifieke gebieden.
De Britse ICO en andere nationale agentschappen in heel Europa hebben ook "passende beleidsdocumenten" opgesteld, die informatie bevatten over de verwerking van gegevens in een reeks speciale categorieën. Dus misschien is het nu een goed moment om naar het bestaande beleid te kijken en actie te ondernemen om de situatie op te schonen en de blootstelling te minimaliseren.
Databescherming en AI
En, last but not least, is er het onderwerp van de kunstmatige intelligentie (AI). Voor veel organisaties zijn er ongeschreven regels over de ontwikkeling en het gebruik van AI. Het zou verstandig zijn om nu aan te dringen op een schriftelijke gedragscode of praktijk binnen hun organisatie.
Ondersteunende documenten om hierbij te helpen, zijn beschikbaar bij de meeste Europese agentschappen, waarbij vooral bedrijven in het Verenigd Koninkrijk zullen profiteren van een nieuw 'AI-auditkader'. Dit kader zal het werk van de onderzoeks- en verzekeringsteams van het ICO uiteenzetten en zou een nuttige blauwdruk kunnen zijn voor de naleving en het doorstaan van eventuele "steekproeven". Met de nieuwe staats- of Europese regelgeving op dit gebied is het onvermijdelijk dat er nu actie wordt ondernomen om het proces van naleving op de lange termijn te vergemakkelijken.
Reageer
Preview