Het recente arrest over Meta (o.a. Facebook) is verplichte kost voor iedereen die zich met privacyrecht bezighoudt. Het Hof hakt een paar belangrijke knopen door en geeft duidelijke vuistregels voor de praktijk. Toch roept de kwestie ook wel weer vervolgvragen op. Een korte beschouwing.
Aangezien het inzagerecht bedoeld is om te kunnen controleren of persoonsgegevens rechtmatig worden verwerkt, heeft de betrokkene volgens het Hof van Justitie ook het recht te weten wanneer en waarom de gegevens zijn geraadpleegd. Er bestaat niet per se een recht om ook te weten wie er in de gegevens heeft gekeken, tenzij die extra informatie echt nodig is om de rechtmatigheid te kunnen beoordelen. Dit geldt ook voor het verleden. Een flinke uitdaging voor organisaties, want er zal nu waarschijnlijk nog veel meer moeten worden gelogd.
Het Hof van Justitie heeft in een arrest op 4 mei 2023 geoordeeld dat het privacyrechtelijke inzagerecht ruim moet worden uitgelegd. Het doel van het inzagerecht is om te kunnen controleren of gegevens rechtmatig worden verwerkt en om zo nodig rechten uit te kunnen oefenen. Dat kan alleen als de verstrekte informatie volledig en begrijpelijk is en - waar nodig - in de juiste context wordt geplaatst. Dit maakt dat vaker dan tot op heden gebruikelijk in Nederland ook kopieën van de onderliggende documenten moeten worden verstrekt.
In de praktijk is er regelmatig discussie over de vraag of gegevens kwalificeren als persoonsgegevens. Je hoort wel eens gekscherend zeggen "all data are personal data". Ook de toezichthouders lijken die mening soms toegedaan. In die opvatting wordt echter het doen van bijv. wetenschappelijk onderzoek soms (onnodig) ingewikkeld. Recent heeft het Gerecht van het Hof van Justitie een toezichthouder teruggefloten: getoetst moet worden of de gegevens voor de ontvangende partij nog steeds te herleiden zijn tot een persoon. Zo niet, dan speelt voor die partij de privacywetgeving helemaal niet. Voor de praktijk is het zeer welkom dat dit zo helder op papier staat.
Een verwerker moet openheid van zaken geven bij een datalek. Dat is zo ongeveer de kern van het vonnis in kort geding van 6 april van de Rechtbank Rotterdam inzake een van de grootste datalekken die op dit moment speelt in Nederland. Een korte beschouwing.
Een procedure kan staan of vallen met de juiste bewijsmiddelen. Regelmatig komt de vraag op een bewijsmiddel wel mag worden ingebracht gelet op de privacybelangen. Het Hof van Justitie geeft hiervoor in een recent arrest een kader.
Onlangs berichtten we al over de komst van DORA. DORA stelt allerlei eisen aan financiële entiteiten op het gebied digitale operationele weerbaarheid, cyberrisico’s en uitbestedingsrisico’s. Ook IT-contracten moeten straks dankzij DORA aan strenge eisen voldoen. Zowel op financiële entiteiten als IT-bedrijven die daar diensten aan verlenen komt veel af. In deze blog staan we hier alvast bij stil.
Recent oordeelde het Hof van Justitie dat de betrokkene recht heeft op een concreet en volledig overzicht van de partijen die zijn persoonsgegevens hebben ontvangen. Dit kan best grote consequenties hebben. Persoonsgegevens worden immers nogal eens gedeeld. In deze blog een korte duiding.
Op 14 december 2022 is de NIS2-richtlijn aangenomen. Deze richtlijn voorziet onder meer in meer coördinatie en samenwerking tussen lidstaten op het gebied van cyberveiligheid. Ook zullen (deels al bestaande) regels over cyberveiligheid op veel meer bedrijven en instellingen van toepassing worden. Wat betekent dit voor u?
Het gebruik van echte persoonsgegevens voor testdoeleinden kan risicovol en soms zelfs verboden zijn, zo schreef ik onlangs al. Tegelijkertijd is de praktijk dat veel bedrijven bij de ontwikkeling en onderhoud van IT werken met verschillende omgevingen (OTAP) en dat daarbinnen regelmatig toch met echte data wordt gewerkt. Zijn de strenge regels met de praktijk te verenigen? In deze blog verken ik dit nader.
Het Hof van Justitie heeft in een arrest van 22 november 2022 een streep gezet door de verplichte openbaarmaking van gegevens in het UBO-register. Die verplichting voldoet niet aan de strenge criteria die gelden bij een inbreuk op grondrechten, zoals hier het geval is. Het Hof oordeelt - kort gezegd - dat het bestrijden van witwassen en terrorismefinanciering zeker legitieme doelen zijn, maar dat de wetgeving die tot openbaarheid dwong hiervoor te grofmazig is.
