Het recente arrest over Meta (o.a. Facebook) is verplichte kost voor iedereen die zich met privacyrecht bezighoudt. Het Hof hakt een paar belangrijke knopen door en geeft duidelijke vuistregels voor de praktijk. Toch roept de kwestie ook wel weer vervolgvragen op. Een korte beschouwing.
Begin juni heeft de Nederlandse privacytoezichthouder aangekondigd dat ze nieuw beleid gaat hanteren voor het berekenen van boetes. Onder deze nieuwe regels kan een boete fors hoger uitvallen dan vroeger. Wat kunnen organisaties nu verwachten bij een schending van de AVG?
Aangezien het inzagerecht bedoeld is om te kunnen controleren of persoonsgegevens rechtmatig worden verwerkt, heeft de betrokkene volgens het Hof van Justitie ook het recht te weten wanneer en waarom de gegevens zijn geraadpleegd. Er bestaat niet per se een recht om ook te weten wie er in de gegevens heeft gekeken, tenzij die extra informatie echt nodig is om de rechtmatigheid te kunnen beoordelen. Dit geldt ook voor het verleden. Een flinke uitdaging voor organisaties, want er zal nu waarschijnlijk nog veel meer moeten worden gelogd.
Eind 2022 stuurde de Europese Commissie het voorstel voor de AI Act naar het Europees Parlement. Deze wet legt specifieke verplichtingen op aan AI-makers en -gebruikers en verbiedt bepaalde risicovolle AI-praktijken. Commissies van het Europees Parlement hebben afgelopen week amendementen aangenomen op de AI Act. Wat houden deze amendementen in? En misschien nog wel belangrijker: wat betekent dit voor u en uw bedrijf?
Het Hof van Justitie heeft in een arrest op 4 mei 2023 geoordeeld dat het privacyrechtelijke inzagerecht ruim moet worden uitgelegd. Het doel van het inzagerecht is om te kunnen controleren of gegevens rechtmatig worden verwerkt en om zo nodig rechten uit te kunnen oefenen. Dat kan alleen als de verstrekte informatie volledig en begrijpelijk is en - waar nodig - in de juiste context wordt geplaatst. Dit maakt dat vaker dan tot op heden gebruikelijk in Nederland ook kopieën van de onderliggende documenten moeten worden verstrekt.
Schadevergoeding wegens een inbreuk op de AVG: een onderwerp dat de gemoederen al lange tijd bezighoudt. Op 4 mei 2023 verscheen een langverwachte uitspraak van het Hof van Justitie van de Europese Unie (hierna: het Hof). Levert de enkele inbreuk op de AVG al een aanspraak op schadevergoeding op? En geldt binnen de Europese Unie een uniform schade-begrip of geldt het nationaal recht voor de beoordeling van de vraag óf schade is geleden en de omvang daarvan? Op onder meer deze vragen antwoordt het Hof in zijn arrest, dat wij in dit blog bespreken.
In de praktijk is er regelmatig discussie over de vraag of gegevens kwalificeren als persoonsgegevens. Je hoort wel eens gekscherend zeggen "all data are personal data". Ook de toezichthouders lijken die mening soms toegedaan. In die opvatting wordt echter het doen van bijv. wetenschappelijk onderzoek soms (onnodig) ingewikkeld. Recent heeft het Gerecht van het Hof van Justitie een toezichthouder teruggefloten: getoetst moet worden of de gegevens voor de ontvangende partij nog steeds te herleiden zijn tot een persoon. Zo niet, dan speelt voor die partij de privacywetgeving helemaal niet. Voor de praktijk is het zeer welkom dat dit zo helder op papier staat.
Een verwerker moet openheid van zaken geven bij een datalek. Dat is zo ongeveer de kern van het vonnis in kort geding van 6 april van de Rechtbank Rotterdam inzake een van de grootste datalekken die op dit moment speelt in Nederland. Een korte beschouwing.
Een procedure kan staan of vallen met de juiste bewijsmiddelen. Regelmatig komt de vraag op een bewijsmiddel wel mag worden ingebracht gelet op de privacybelangen. Het Hof van Justitie geeft hiervoor in een recent arrest een kader.
Waar mensen samenkomen, worden relaties aangegaan. De werkvloer is daar geen uitzondering op. Een stiekeme crush uitmondend in flirterig gedrag, een publiek geheime affaire met de stagiaire of een open relatie met de baas. Prachtig natuurlijk, wanneer de liefde wordt gezocht en gevonden, maar niet altijd even wenselijk voor werkgevers. Wellicht komt de werkverhouding er door onder druk te staan, zijn collega’s wel even klaar met dat geflikflooi in de kantoortuin, leidt een en ander tot contraproductiviteit, of worden er ‘verblind door liefde’ beslissingen genomen die de belangen van de organisatie ernstig kunnen schaden. Alle reden voor organisaties om hier op toe te willen zien en intern beleid te voeren over het aangaan en melden van affectieve relaties op de werkvloer.
Recent oordeelde het Hof van Justitie dat de betrokkene recht heeft op een concreet en volledig overzicht van de partijen die zijn persoonsgegevens hebben ontvangen. Dit kan best grote consequenties hebben. Persoonsgegevens worden immers nogal eens gedeeld. In deze blog een korte duiding.
Op 14 december 2022 is de NIS2-richtlijn aangenomen. Deze richtlijn voorziet onder meer in meer coördinatie en samenwerking tussen lidstaten op het gebied van cyberveiligheid. Ook zullen (deels al bestaande) regels over cyberveiligheid op veel meer bedrijven en instellingen van toepassing worden. Wat betekent dit voor u?
