In 2023 vierden we het vijfjarig bestaan van de Algemene Verordening Gegevensbescherming (AVG), beter bekend als GDPR. Deze periode kenmerkte een boeiende reis waarin organisaties zich aanpasten aan de eisen van gegevensbescherming. Dit varieerde van het vermijden van boetes tot wat sommigen als een zekere ‘GDPR-moeheid’ beschouwen. Voor de Data Protection Officers (DPO’s) was het een tijd van uitdagingen, reflectie en groei.
Aanvankelijk lag de nadruk sterk op het bereiken van GDPR-compliance om sancties te ontlopen. DPO’s hebben zich ingezet om registers van verwerkingsovereenkomsten op te zetten en vaak zelf te voltooien. Ze waren belast met het opstellen van gegevensverwerkingsovereenkomsten, het verstrekken van advies, het onderzoeken van gegevenslekken en het organiseren van bewustmakingscampagnes. Dit vereiste niet alleen juridische bekwaamheid, maar ook diepgaande kennis van de complexe wereld van gegevensbescherming.
Na deze intensieve periode is het nu de juiste tijd om vooruit te kijken en de aandachtspunten voor de toekomst te overwegen. Hier zijn enkele gebieden die in 2024 vermoedelijk de aandacht zullen blijven trekken.
Cookies
Een van de belangrijke verantwoordelijkheden van de DPO is ervoor te zorgen dat aan de cookie-regelgeving wordt voldaan. In de kern omvat dit het navigeren door het ingewikkelde web van wettelijke verplichtingen, met name de AVG en de ePrivacyrichtlijn. De DPO wordt de hoeder tegen mogelijke juridische gevolgen door ervoor te zorgen dat gebruikers geïnformeerde toestemming geven voordat cookies op hun apparaten worden geplaatst.
De DPO staat voor de uitdaging van risicobeheer, waar niet-naleving van cookie-regelgeving aanzienlijke bedreigingen kan vormen, waaronder boetes en reputatieschade. Het is dan ook geen geheim dat de gegevensbeschermingsautoriteiten hierop strikter beginnen toe te zien. Afgelopen jaar werden verschillende klachten neergelegd omtrent het fout toepassen van cookies met bijhorende sancties. De EDPB heeft richtlijnen meegedeeld, die de Gegevensbeschermingsautoriteit (GBA) heeft omgevormd tot een cookie checklist. Elke DPO kan deze checklist gebruiken om de conformiteit van de organisatie te controleren.
Een belangrijke ontwikkeling is de Privacy Sandbox van Google. Deze is gericht op het geleidelijk uitfaseren van cookies van derden en het beperken van heimelijke tracking op het web. Door innovatieve webstandaarden te introduceren, stelt de Privacy Sandbox ontwikkelaars in staat veiligere alternatieven te gebruiken voor bestaande technologieën. Hierdoor kunnen digitale bedrijven blijven groeien terwijl de privacy van gegevens gewaarborgd blijft. Het is dus van belang dat deze informatie komend jaar wordt opgevolgd om te zien hoe dit invloed zal hebben op het gebruik van cookies op websites.
Data Privacy Framework
In het verleden oordeelde het Europees Hof van Justitie dat de massale surveillancepraktijken in de VS geen adequaat beschermingsniveau bieden voor Europese persoonsgegevens. Hierdoor werd het EU-VS Privacy Shield in 2020 door het Hof vernietigd. Het EU-VS Privacy Shield was een overeenkomst die de doorgifte van persoonsgegevens tussen de Europese Unie en de Verenigde Staten reguleerde.
In 2023 heeft de Europese Commissie een nieuwe adequaatheidsbeslissing genomen met betrekking tot het EU-VS Data Privacy Framework. Hierin wordt geconcludeerd dat de Verenigde Staten een adequaat beschermingsniveau bieden, vergelijkbaar met dat van de Europese Unie. Bedrijven moeten zich echter zelf certificeren, zodat dit gepubliceerd kan worden.
Gezien eerdere nietigverklaringen is de kans groot dat deze situatie zich opnieuw voordoet. NOYB heeft, onder toeziend oog van Max Schrems zelf, al aangekondigd dat ze deze beslissing zullen betwisten. Bovendien zal er dit jaar zal een evaluatie van het Data Privacy Framework plaatsvinden. Het is dus aan de DPO om deze zaak nauwlettend op te volgen.
Artificiële Intelligentie
Het gebruik van Artificiële Intelligentie (AI) binnen de AVG brengt diverse risico’s met zich mee. Ondoorzichtige besluitvorming van AI-algoritmes kan strijdig zijn met transparantievoorschriften, terwijl het recht op menselijke tussenkomst bij geautomatiseerde besluitvorming mogelijk ontbreekt. Daarnaast bestaat het risico op overtreding van principes voor minimale gegevensverwerking en doelbeperking, wat cruciaal is voor naleving van de AVG.
Toestemmingsmechanismen voor complexe AI-verwerking kunnen uitdagingen opleveren, en onvoldoende toestemming vormt een risico voor de AVG-naleving. Beveiligingszorgen rondom AI, zoals risico’s op ongeoorloofde toegang en beveiligingsinbreuken, activeren de meldingsplicht volgens de AVG.
Onbedoelde verwerking van gevoelige persoonsgegevens en mogelijke belemmeringen bij het uitoefenen van individuele rechten zijn aanvullende risico’s. Het internationaal karakter van AI zorgt ervoor dat grensoverschrijdende gegevensoverdrachten een uitdaging kunnen vormen voor de naleving van de AVG. Tot slot is documentatie en verantwoordingsplicht van cruciaal belang om te voldoen aan de AVG-vereisten.
Als onderdeel van haar digitale strategie streeft de EU naar de regulering van AI om gunstige omstandigheden te waarborgen voor zowel de ontwikkeling als het gebruik van deze innovatieve technologie. De AI Act zal dit jaar in definitieve vorm worden gegoten, en de voorlopige wettekst is (door een gegevenslek) online reeds te vinden. Het is dus een belangrijk aspect voor de DPO om dit op te volgen en de potentiële risico’s voor het gebruik van AI in zijn/haar organisatie te bepalen.
Conclusie
Samengevat, de DPO staat voor een uitdagende taak in 2024. Buiten de huidige verantwoordelijkheden zijn er nog tal van extra zaken te monitoren. Hopelijk kunnen DPO’s rekenen op volledige ondersteuning van hun organisatie. Dit is essentieel om de diverse risico’s die voortkomen uit het voortdurend veranderende technologische landschap zo effectief mogelijk te beheersen.
Heeft uw organisatie te weinig zicht op de impact van de geldende verplichtingen rond privacy? Breng uw verplichtingen in kaart a.d.h.v. een Privacy Compliance Assessment.
Ondersteuning bij de implementatie en uitbouw van (privacy) compliance binnen uw organisatie.
Nood aan opvolging en ondersteuning? Op zoek naar een onafhankelijke DPO? Infosentry kan als uw DPO worden aangesteld of de interne DPO ondersteunen.
