AVG-naleving in tijden van crisis.
AVG-naleving in tijden van crisis. Wat zijn de prioriteiten? toezichthoudende autoriteiten, en wat zijn de controles Wat kunnen bedrijven verwachten in de huidige gezondheids- en economische context?
Hoewel de CNIL haar activiteiten duidelijk concentreert op de verwerking van gezondheidsgegevens, heeft zij haar toezichthoudende bevoegdheden in de ruime zin van het woord niet opgegeven.
In de eerste plaats zijn er talrijke bewustmakingsacties gericht op werkgevers (zie het juridisch monitoringdocument van september), leraren en onderzoekers die te maken krijgen met het toenemende gebruik van informatietechnologieën en kunstmatige intelligentie.
De CNIL richtte haar onderzoek ook op de systemen voor epidemiebewaking en de StopCovid-applicatie.
Het hoofd van de inspectieafdeling geeft in een recente publicatie aan dat de Kleine bedrijven, MKB-bedrijven en start-ups worden daarom minder gecontroleerd.
Toch zijn de onderzoeken niet gestaakt, vooral omdat de verantwoordelijken sinds de inwerkingtreding van de AVG de tijd hebben gehad om de nodige nalevingsmaatregelen te treffen.
Deze controles worden meer uitgevoerd op basis van vragenlijsten en interviews. Door de crisis vinden er minder onaangekondigde controles plaats.
Controles ter plaatse geven daarom 48 uur waarschuwing.
Soortgelijke aanpassingen vinden in veel Europese landen plaats, zoals blijkt uit het recente rapport van de Raad van Europa over dit onderwerp.
Indien er sprake is van flexibiliteit ten aanzien van bijvoorbeeld een overschrijding van de wettelijke termijn voor het reageren op het recht van toegang van individuen tot hun gegevens, De tolerantie is aanzienlijk lager of niet-bestaand wanneer gegevensverwerking de kernactiviteit van de gecontroleerde instantie vormt.
Naast de aanpassing van controlemethoden in tijden van crisis, is er ook een verandering geweest in de vorm van rechtsmiddelen die individuen ter beschikking staan in geval van schending van hun rechten.
De AVG maakt het nu mogelijk dat klagers zich laten vertegenwoordigen door organisaties van openbaar belang, veel verenigingen hebben hun activiteiten sinds 2018 zien groeien, zoals “La Quadrature du Net” in Frankrijk of “None of Your Business” in Oostenrijk.
We hebben ze onlangs aan het werk gezien in rechtszaken over dronebewaking boven Parijs tijdens de lockdown en in de context van demonstraties, en over de kwestie van gegevensoverdracht naar de Verenigde Staten (zie de Schrems II-uitspraak, besproken in ons juridische overzicht van augustus).
Deze structuren, die steeds beter georganiseerd en gefinancierd zijn, geven een nieuwe zichtbaarheid aan het probleem van gegevensbescherming.
Gezien de mogelijke schadevergoedingen en sancties die de Verordening biedt, benadrukken zij de problemen niet alleen vanuit ethisch oogpunt, maar ook vanuit financieel en strategisch oogpunt.
Deze ontwikkelingen staan centraal in een aankomend webinar dat op 18 november wordt georganiseerd door het Privacy Platform van Europarlementariër Sophie In't Veld.
En ook
Frankrijk:
- De Raad van State weigert de werking van het ‘gezondheidsdatacentrum’ op te schorten, ondanks de risico’s die verbonden zijn aan de overdracht van deze gegevens naar de Verenigde Staten.
De CNIL benadrukte de risico's die verbonden zijn aan het feit dat Microsoft de gezondheidsgegevens van mensen die in Frankrijk een behandeling ondergaan, host. Ook herinnerde de CNIL aan de problemen met de rechtmatigheid die de uitspraak in de zaak Schrems II van het Hof van Justitie van de Europese Unie met zich meebracht.
Hoewel de Raad van State de werking van het platform niet opschort, erkent hij toch de risico's die de overdracht met zich meebrengt en verzoekt hij dat er passende waarborgen worden genomen totdat er een duurzame oplossing is gevonden.
De CNIL zal de overheidsinstanties hierover adviseren en zal bij verzoeken om toestemming voor onderzoeksprojecten in het kader van de gezondheidscrisis nagaan of het gebruik van het platform technisch noodzakelijk is.
- De CNIL organiseert op maandag 23 november 2020 van 14.00 tot 17.30 uur een bijeenkomst over het recht op overdraagbaarheid.
Dit nieuwe recht, vastgelegd in de AVG, biedt iedereen de mogelijkheid om de persoonsgegevens die hij of zij aan een verwerkingsverantwoordelijke heeft verstrekt, in een gestructureerde, gangbare en machineleesbare vorm te ontvangen en deze aan een andere verwerkingsverantwoordelijke over te dragen.
De debatten zullen met name gericht zijn op het bespreken van concrete oplossingen om de gegevensstroom tussen diensten te stroomlijnen, met inachtneming van de rechten van individuen.
De AVG maakt het nu mogelijk dat klagers zich laten vertegenwoordigen door organisaties van openbaar belang, veel verenigingen hebben hun activiteiten sinds 2018 zien groeien, zoals “La Quadrature du Net” in Frankrijk of “None of Your Business” in Oostenrijk.
We hebben ze onlangs aan het werk gezien in rechtszaken over dronebewaking boven Parijs tijdens de lockdown en in de context van demonstraties, en over de kwestie van gegevensoverdracht naar de Verenigde Staten (zie de Schrems II-uitspraak, besproken in ons juridische overzicht van augustus).
Deze structuren, die steeds beter georganiseerd en gefinancierd zijn, geven een nieuwe zichtbaarheid aan het probleem van gegevensbescherming.
Gezien de mogelijke schadevergoedingen en sancties die de Verordening biedt, benadrukken zij de problemen niet alleen vanuit ethisch oogpunt, maar ook vanuit financieel en strategisch oogpunt.
Deze ontwikkelingen staan centraal in een aankomend webinar dat op 18 november wordt georganiseerd door het Privacy Platform van Europarlementariër Sophie In't Veld.
En ook
Frankrijk:
- De Raad van State weigert de werking van het ‘gezondheidsdatacentrum’ op te schorten, ondanks de risico’s die verbonden zijn aan de overdracht van deze gegevens naar de Verenigde Staten.
De CNIL benadrukte de risico's die verbonden zijn aan het feit dat Microsoft de gezondheidsgegevens van mensen die in Frankrijk een behandeling ondergaan, host. Ook herinnerde de CNIL aan de problemen met de rechtmatigheid die de uitspraak in de zaak Schrems II van het Hof van Justitie van de Europese Unie met zich meebracht.
Hoewel de Raad van State de werking van het platform niet opschort, erkent hij toch de risico's die de overdracht met zich meebrengt en verzoekt hij dat er passende waarborgen worden genomen totdat er een duurzame oplossing is gevonden.
De CNIL zal de overheidsinstanties hierover adviseren en zal bij verzoeken om toestemming voor onderzoeksprojecten in het kader van de gezondheidscrisis nagaan of het gebruik van het platform technisch noodzakelijk is.
- De CNIL organiseert op maandag 23 november 2020 van 14.00 tot 17.30 uur een bijeenkomst over het recht op overdraagbaarheid.
Dit nieuwe recht, vastgelegd in de AVG, biedt iedereen de mogelijkheid om de persoonsgegevens die hij of zij aan een verwerkingsverantwoordelijke heeft verstrekt, in een gestructureerde, gangbare en machineleesbare vorm te ontvangen en deze aan een andere verwerkingsverantwoordelijke over te dragen.
De debatten zullen met name gericht zijn op het bespreken van concrete oplossingen om de gegevensstroom tussen diensten te stroomlijnen, met inachtneming van de rechten van individuen.
Europa:
- Verenigd Koninkrijk : daar Mariott International Company kreeg op 30 oktober een boete van 20 miljoen euro opgelegd vanwege een inbreuk op de beveiliging. Dat is aanzienlijk lager dan de 100 miljoen euro die de Britse autoriteit voor gegevensbescherming aanvankelijk had aangekondigd, maar nog steeds substantieel.
- Het Hof van Justitie van de Europese Unie heeft op 6 oktober twee belangrijke arresten gewezen (La Quadrature du Net en Privacy International) op het gebied van het gebruik van persoonsgegevens door inlichtingendiensten.
Zij specificeert de strikte voorwaarden waaronder communicatiegegevens door operators mogen worden opgeslagen en bevestigt de onrechtmatigheid van de ‘massale’ onderschepping van deze gegevens door de inlichtingendiensten.
Het Hof ontkent voorts het bestaan van een fundamenteel en collectief recht op veiligheid., wat een afweging met de fundamentele rechten op privacy en gegevensbescherming zou rechtvaardigen.
- Het Europees Comité voor gegevensbescherming (EDPB) heeft tijdens haar vergadering van 21 oktober richtsnoeren inzake gegevensbescherming aangenomen “door ontwerp en standaard”, die concreet illustreren hoe deze bescherming vanaf de ontwerpfase van een IT-systeem kan worden gewaarborgd.
Internationaal :
- Brazilië is sinds 19 oktober uitgerust met een College van Gegevensbeschermingscommissarissen voor het beheer van haar toezichthoudende bevoegdheid.
Van de vijf leden die door de president van de republiek worden benoemd en door de Senaat worden bevestigd, hebben er drie voornamelijk militaire ervaring. Dat maakt het tot een vrij uniek college.
- De Global Privacy Assembly bracht medio oktober virtueel een honderdtal vertegenwoordigers van gegevensbeschermingsautoriteiten bijeen.
De vergadering heeft verschillende resoluties aangenomen met betrekking tot dekunstmatige intelligentie, gezichtsherkenning en humanitaire hulpEr is ook een verzameling best practices gepubliceerd met betrekking tot de COVID-19-pandemie.
- UNICEF bereidt richtlijnen voor om te beschermen kinderrechten in de context van de ontwikkeling van kunstmatige intelligentie. Het project is online beschikbaar en de definitieve versie wordt in 2021 gepubliceerd.
Anne Christine Lacoste
Anne Christine Lacoste is partner bij Olivier Weber Avocat en is een advocaat gespecialiseerd in gegevensrecht. Zij was hoofd internationale betrekkingen bij de Europese Toezichthouder voor gegevensbescherming en werkte aan de implementatie van de AVG in de Europese Unie.
NL 
FR 
EN 
DE 
ES 
EL 
IT 
HR 
PT 
DE_AT 
ET 
FI 
LV 
LT 
SK 
SL