Exit 2021, welcome 2022! Om het jaar goed in te zetten, staan we in deze blogpost stil bij enkele uitdagingen op vlak van privacy en gegevensbescherming die ons de komende jaren te wachten staan.
Wat na Covid-19?
Enkele jaren geleden leek het iets ondenkbaars of absurds. Vooraleer je ergens binnen mag, moet je een authentieke QR-code scannen om te bewijzen dat je niet aan een bepaalde ziekte lijdt. Ondertussen is het een bijna natuurlijke handeling om je smartphone klaar te houden om welkom te zijn.
Hoewel we er haast niet meer bij stil staan, mogen we niet vergeten dat het hier nog steeds gaat om een erg uitzonderlijke maatregel, om een erg uitzonderlijke problematiek te bestrijden. Dergelijke maatregelen zijn echter niet zonder gevaar als we dit als ‘het nieuwe normaal’ gaan beschouwen. Eens we terug naar een situatie evolueren waarbij onze volksgezondheid niet meer onder druk komt te staan, is het ook noodzaak om af te stappen van de uitzonderlijke maatregelen die hiervoor werden opgezet.
We moeten er ons van bewust blijven dat dit een exceptionele situatie is die niet drempelverlagend mag werken ter uitbreiding van soortgelijke acties voor andere omstandigheden.
Transfers van persoonsgegevens
Het beheerste reeds vele data-gerelateerde vraagstukken in 2021 en dit zal zeker zo blijven in het nieuwe jaar. Verschillende toezichthouders schenken meer aandacht aan transfers van data naar landen buiten de Europese Economische Ruimte. Los van (en vaak ook ten opzichte van) andere AVG-vereisten staan vele ondernemingen erg angstig tegenover de onzekerheid en mogelijke sancties in geval van onwettige data transfers naar deze landen.
Met Brexit, de nieuwe Standard Contractual Clauses (SCC’s) die zijn gepubliceerd (zie onze eerdere blogpost voor meer informatie hieromtrent), toezichthoudende autoriteiten die meer adviezen en beslissingen publiceren omtrent rechtsgeldige transfers én ondernemingen die ten laatste tegen eind 2022 de vorige SCC’s moeten vervangen door de vernieuwde versie, lijkt dit topic niet meteen op de achtergrond te belanden.
ePrivacy en AdTech
Wat betreft de ePrivacy-verordening wordt ons geduld al geruime tijd flink op de proef gesteld. Ongeveer 5 jaar geleden diende de Europese Commissie een voorstel in voor de verordening waar tot op vandaag jammer genoeg nog steeds niet voldoende common ground voor een definitieve versie is gevonden. Bedoeling is dat deze verordening de huidige ePrivacy-richtlijn zal vervangen en op die manier bijdraagt tot de verdere harmonisatie op gebied van gegevensbeschermingswetgeving. De verordening wil o.a. meer inzetten op toestemming van de betrokkene bij direct marketing en striktere regels bij het gebruik van trackers en cookies.
Als dit jaar eindelijk een definitieve versie wordt goedgekeurd zullen organisaties nog 2 jaar tijd hebben (tot de inwerkingtreding) om te voldoen aan de verordening.
IoT en profiling
Alleen maar voordelen toch? Slimme apparaten die je leren kennen als gebruiker en je zo beter van dienst kunnen zijn. In ruil voor wat trackingdata krijg je interessante kortingen én zie je enkel nog advertenties over producten die je werkelijk interesseren. Op het eerste zicht lijkt het voor velen enkel voordelen te hebben. De informatie die ondernemingen op deze manier over ons verzamelen, is echter veel meer waard dan de ‘gratis’ producten die ze daarvoor in ruil aanbieden.
Complexe algoritmes worden losgelaten op een verscheidenheid van data die op hun beurt voortkomen uit diverse bronnen (surfgedrag, smart devices, …) en stellen zo een profiel samen van een individu. Een goede huisvader die zich even bewust is van deze praktijken merkt al snel dat in zowat elke keten van dit proces privacyrisico’s schuil gaan. Eerst en vooral leiden de verschillende informatiestromen ertoe dat het quasi onmogelijk wordt voor betrokkenen te weten welke ondernemingen over je persoonsgegevens beschikken, laat staan voor welke doeleinden ze gebruikt worden. Voorts leidt het gegeven van profiling ertoe dat de vrije wil van de betrokkene, al dan niet bewust, beperkt wordt. En tot slot, een samenleving waarbij al onze apparaten verbonden zijn met het internet biedt uiteraard opportuniteiten voor cyber criminelen die maar al te graag gebruik maken van de kwetsbaarheden in die toestellen.
Kortom, er staan ons in 2022 opnieuw bijzonder interessante uitdagingen te wachten. Iets waar we enorm naar uitkijken.
Stéphane Duvivier
Privacy & security consultant
Heeft uw organisatie te weinig zicht op de impact van de geldende verplichtingen rond privacy? Breng uw verplichtingen in kaart a.d.h.v. een Privacy Compliance Assessment.
Ondersteuning bij de implementatie en uitbouw van (privacy) compliance binnen uw organisatie.
Nood aan opvolging en ondersteuning? Op zoek naar een onafhankelijke DPO? Infosentry kan als uw DPO worden aangesteld of de interne DPO ondersteunen.