Berichten

Onze congrescommissie schreef een verslag over het tweede JPAN-congres. Het verslag is terug te vinden op de website van Privacy & Informatie

De Algemene Verordening Gegevensbescherming (AVG) is sinds 25 mei 2018 van kracht. De AVG schrijft regels voor om de bescherming van privacy te waarborgen en is ook van toepassing op webshops. In deze Q&A legt Nine uit waar een webshop allemaal aan moet voldoen op het gebied van privacy.

Het is al tijden onrustig op het gebied van uitwisseling van persoonsgegevens met de Verenigde Staten. Zo is het welbekende Safe Harbor-framework enige tijd voor de inwerkingtreding van de AVG al vernietigd door het Europees Hof van Justitie, en besloot deze instantie onlangs in de Schrems II-uitspraak dat ook de daarvoor in de plaats gekomen Privacy Shield-constructie onvoldoende waarborgen bood aan Europese burgers. Tevens liet het Europees Hof doorschemeren dat doorgiften op grond van modelcontracten niet altijd automatisch rechtmatig kunnen worden geacht. Deze contracten zouden, aldus het Europees Hof, zonder aanvullende maatregelen, onvoldoende bescherming bieden tegen Amerikaanse wetgeving.

De Afdeling oordeelt in deze en drie andere uitspraken dat de bestuursrechter bevoegd is om te oordelen over verzoeken om vergoeding van schade wegens onrechtmatige verwerking van persoonsgegevens tot een bedrag van € 25.000,00 indien de gestelde schade ‘verband houdt’ met een besluit als bedoeld in artikel 34 van de Uitvoeringswet AVG, zoals een verzoek om inzage of rectificatie van persoonsgegevens. Met dit oordeel houdt de Afdeling minder strikt vast aan artikel 8:88 Awb. Daarnaast oordeelt de Afdeling dat – ook bij immateriële schade wegens schending van de AVG – het uitgangspunt geldt dat diegene die stelt schade te hebben geleden wegens ‘aantasting in de persoon’ dit aannemelijk moet maken en met concrete gegevens moet onderbouwen. Lees de volledige noot hier.

Op 1 oktober jl. heeft een van de Duitse privacy toezichthouders (Hamburg) een boete van 35 miljoen euro opgelegd aan modeketen H&M wegens het stelselmatig overtreden van de Algemene verordening gegevensbescherming (AVG). In dit artikel lees je alles over deze boete en de gevolgen. 

Hoewel het recht om niet te worden onderworpen aan geautomatiseerde besluitvorming (art. 22 AVG) geen nieuw recht voor betrokkenen betreft, wordt er in de tekst en overwegingen van de AVG wel voor het eerst aandacht besteed aan de bijzondere positie van kinderen in dit verband. Kinderen verdienen op grond van overweging 38 AVG extra bescherming ten aanzien van geautomatiseerde besluitvorming en profilering omdat zij minder goed in staat zijn de risico’s en gevolgen daarvan te begrijpen. Deze extra bescherming ligt in lijn met het VN Verdrag voor de rechten van het kind 1989 (IVRK), waarin de bescherming van kinderen een van de fundamentele doelstellingen is. Onduidelijk blijft echter hoe art. 22 AVG en de daarbij behorende overwegingen precies geïnterpreteerd moeten worden in het geval van minderjarige betrokkenen. In dit artikel onderzoeken de auteurs hoe het verbod op geautomatiseerde besluitvorming met betrekking tot kinderen dient te worden uitgelegd.

Even met de Hely naar je zus, met een Fetch je nieuwe IKEA-aanwinsten vervoeren en met een Car2Go’otje als enige kunnen parkeren op dat krappe plekje. Deelauto’s – van die kleine karretjes die je kunt openen met een OV-chipkaart, telefoon of pasje en waarmee je makkelijk van A naar B kunt crossen. Autodelen wordt populairder. Dat bleek ook afgelopen week tijdens de conferentie “Een autoluwe stad”, waar de Gemeente Amsterdam liet blijken autodelen als een belofte voor de toekomst te zien. Persoonlijker vervoer, minder parkeerplekken en nieuwere (en dus schonere) auto’s – win win win. Het onderwerp dat schitterde in afwezigheid: hoe ga je om met de privacy? En dat terwijl carsharing per definitie gepaard gaat met de verwerking van persoonsgegevens. Een valse start, want privacywetgeving kan onverbiddelijk zijn als het erop aankomt. Je leest hierover meer in de blog van Danny Hoekzema.

Bij veel bedrijven wordt de rol Functionaris voor de Gegevensbescherming (FG) vervuld door een persoon met al bestaande rol, zoals hoofd audit, risk, of compliance. De Belgische gegevensbeschermingsautoriteit oordeelde dat deze combinatie in een concreet geval tot belangenverstrengeling leidde en legde hiervoor een boete op. Hiermee zien bedrijven zich geconfronteerd om de aanvullende taken van hun FG opnieuw te beoordelen. Marijn Storm schreef hier recent samen met zijn collega’s een interessant artikel over.

Bijna iedereen doet het weleens: een foto plaatsen op Facebook, LinkedIn of Instagram. Maar let op! Als je foto’s van mensen op social media plaatst kan het zijn dat je de regels uit de AVG in acht moet nemen. Dat geldt niet alleen als je foto’s plaatst namens bedrijven, overheidsinstanties en andere organisaties, maar ook als je dit in je vrije tijd doet.

Hoe zit dit en waar moet je op letten als je foto’s op social media plaatst? Dat legt Liesbeth Woolschot uit in haar blog.

Ook vóór de tijd van corona was het al lastig om een weg te vinden tussen enerzijds de verplichting van werkgevers om te zorgen voor een veilige werkplek en anderzijds de bescherming van de privacy van (zieke) werknemers. De privacywetgeving in Nederland en de Autoriteit Persoonsgegevens zijn erg streng als het gaat om het verwerken van gezondheidsgegevens van werknemers. Met de komst van corona en de te nemen maatregelen volgens de overheid en het RIVM, lopen werkgevers tegen nieuwe juridische dilemma’s aan. In de blog van Ilse Baijens vind je de antwoorden op de meest voorkomende vragen.

In 2019, the Dutch Data Protection Authority (DDPA) received 26.956 data breach notifications. The majority of these breaches were notified by organisations active in health sector (mostly hospitals, pharmacies and organisations that perform population studies). Data breaches have a severe financial and social impact on society and on organisations within the healthcare sector in particular, given the sensitive nature of the personal data being processed in this sector. In this article, Kimberly Friesen will clear up five misconceptions regarding the GDPR data breach notification obligation.