Gisteren heeft de Europese Commissie na 2 jaar onzekerheid besloten dat de Verenigde Staten voldoende waarborgen bieden voor een veilige doorgifte van persoonsgegevens. Dit betekent dat het doorgeven van data naar de VS nu veel gemakkelijker is geworden. Waar komt dit besluit vandaan? En waarom heeft het zo lang geduurd?
Het recente arrest over Meta (o.a. Facebook) is verplichte kost voor iedereen die zich met privacyrecht bezighoudt. Het Hof hakt een paar belangrijke knopen door en geeft duidelijke vuistregels voor de praktijk. Toch roept de kwestie ook wel weer vervolgvragen op. Een korte beschouwing.
Begin juni heeft de Nederlandse privacytoezichthouder aangekondigd dat ze nieuw beleid gaat hanteren voor het berekenen van boetes. Onder deze nieuwe regels kan een boete fors hoger uitvallen dan vroeger. Wat kunnen organisaties nu verwachten bij een schending van de AVG?
Aangezien het inzagerecht bedoeld is om te kunnen controleren of persoonsgegevens rechtmatig worden verwerkt, heeft de betrokkene volgens het Hof van Justitie ook het recht te weten wanneer en waarom de gegevens zijn geraadpleegd. Er bestaat niet per se een recht om ook te weten wie er in de gegevens heeft gekeken, tenzij die extra informatie echt nodig is om de rechtmatigheid te kunnen beoordelen. Dit geldt ook voor het verleden. Een flinke uitdaging voor organisaties, want er zal nu waarschijnlijk nog veel meer moeten worden gelogd.
Eind 2022 stuurde de Europese Commissie het voorstel voor de AI Act naar het Europees Parlement. Deze wet legt specifieke verplichtingen op aan AI-makers en -gebruikers en verbiedt bepaalde risicovolle AI-praktijken. Commissies van het Europees Parlement hebben afgelopen week amendementen aangenomen op de AI Act. Wat houden deze amendementen in? En misschien nog wel belangrijker: wat betekent dit voor u en uw bedrijf?
Het Hof van Justitie heeft in een arrest op 4 mei 2023 geoordeeld dat het privacyrechtelijke inzagerecht ruim moet worden uitgelegd. Het doel van het inzagerecht is om te kunnen controleren of gegevens rechtmatig worden verwerkt en om zo nodig rechten uit te kunnen oefenen. Dat kan alleen als de verstrekte informatie volledig en begrijpelijk is en - waar nodig - in de juiste context wordt geplaatst. Dit maakt dat vaker dan tot op heden gebruikelijk in Nederland ook kopieën van de onderliggende documenten moeten worden verstrekt.
Schadevergoeding wegens een inbreuk op de AVG: een onderwerp dat de gemoederen al lange tijd bezighoudt. Op 4 mei 2023 verscheen een langverwachte uitspraak van het Hof van Justitie van de Europese Unie (hierna: het Hof). Levert de enkele inbreuk op de AVG al een aanspraak op schadevergoeding op? En geldt binnen de Europese Unie een uniform schade-begrip of geldt het nationaal recht voor de beoordeling van de vraag óf schade is geleden en de omvang daarvan? Op onder meer deze vragen antwoordt het Hof in zijn arrest, dat wij in dit blog bespreken.
In de praktijk is er regelmatig discussie over de vraag of gegevens kwalificeren als persoonsgegevens. Je hoort wel eens gekscherend zeggen "all data are personal data". Ook de toezichthouders lijken die mening soms toegedaan. In die opvatting wordt echter het doen van bijv. wetenschappelijk onderzoek soms (onnodig) ingewikkeld. Recent heeft het Gerecht van het Hof van Justitie een toezichthouder teruggefloten: getoetst moet worden of de gegevens voor de ontvangende partij nog steeds te herleiden zijn tot een persoon. Zo niet, dan speelt voor die partij de privacywetgeving helemaal niet. Voor de praktijk is het zeer welkom dat dit zo helder op papier staat.
Veel ziekenhuizen en zorginstellingen hanteren bij het sluiten van contracten met leveranciers de Algemene Inkoopvoorwaarden Gezondheidszorg (AIVG). De AIVG zijn opgesteld door diverse brancheverenigingen, waaronder de Nederlandse Vereniging van Ziekenhuizen (NVZ), ActiZ, de Nederlandse Vereniging van Inkoopmanagement (NEVI) en Santeon. Op 14 november 2022 zijn de nieuwe AIVG 2022 gepresenteerd, als opvolger van de AIVG 2017. Het betreft op moment van schrijven enkel het algemene deel van de AIVG 2022. De AIVG 2022 kent net als de AIVG 2017 een modulaire opbouw. De diverse modules, zoals de Module ICT, worden in 2023 verwacht.
Een verwerker moet openheid van zaken geven bij een datalek. Dat is zo ongeveer de kern van het vonnis in kort geding van 6 april van de Rechtbank Rotterdam inzake een van de grootste datalekken die op dit moment speelt in Nederland. Een korte beschouwing.
Een procedure kan staan of vallen met de juiste bewijsmiddelen. Regelmatig komt de vraag op een bewijsmiddel wel mag worden ingebracht gelet op de privacybelangen. Het Hof van Justitie geeft hiervoor in een recent arrest een kader.
