GDPR GAZET

01     EDPB: Nieuwe richtsnoeren inzake 'dark patterns'

​

Begin deze maand liep de publieke consultatie over de nieuwe richtsnoeren van het EDPB inzake ‘dark patterns’ op sociale mediaplatformen ten einde. Binnenkort kan dan ook een definitieve versie verwacht worden.

 

Met de richtsnoeren wil de EDPB de designers, aanbieders en gebruikers van sociale mediaplatformen praktische aanbevelingen bieden over hoe zij kunnen vermijden dat zij “dark patterns” implementeren of gebruiken die inbreuk maken op de GDPR. De EDPB definieert “dark patterns” in de context van de richtsnoeren als interfaces en user experiences op sociale mediaplatformen die gebruikers ertoe brengen om onbedoelde, ongewilde en potentieel schadelijke beslissingen te nemen als het gaat om de verwerking van hun persoonsgegevens, door hun gedrag te beïnvloeden in hun nadeel.

 

De EDPB beschrijft diverse vormen van “dark patterns” (overloading, skipping, stirring, hindering, fickle, left in the dark) aan de hand van uitgewerkte use cases. Zij toetst hierbij onder meer aan de verantwoordingsplicht en aan de beginselen van transparantie en privacy by design & by default. De richtlijnen bieden dan ook waardevolle inzichten voor ondernemingen die sociale mediaplatformen (willen) ontwerpen of aanbieden en geeft inzicht in welke implementaties mogelijk een inbreuk op de GDPR kunnen opleveren.

​

​

​

02     EDPB: Finale richtsnoeren inzake gedragscodes als 'transfer tool'

​

 

De EDPB heeft haar finale richtsnoeren gepubliceerd inzake gedragscodes als ‘transfer tool’.

 

Bij het exporteren van persoonsgegevens buiten de Europees Economische Ruimte (EER), moeten organisaties bijkomende GDPR-verplichtingen naleven, zoals het voorzien van passende waarborgen. Dit kan naast andere mogelijkheden gebeuren door middel van een specifieke gedragscode die de verwerkingsverantwoordelijken en verwerkers buiten de EER die zelf niet onderworpen zijn aan de GDPR, onderschrijven. Zij moeten hierbij langs contractuele weg of via andere juridisch bindende instrumenten, afdwingbare commitments aangaan om de in dergelijke gedragscode opgenomen waarborgen toe te passen.

 

Om van deze ‘transfer tool’ gebruik te kunnen maken, moet een procedure doorlopen worden waarbij de bevoegde toezichthoudende autoriteit de ontwerpgedragscode goedkeurt en waarbij de Europese Commissie deze nadien algemeen geldig verklaart. In de richtlijnen geeft de EDPB meer duiding bij deze procedure en verschaft zij een checklist van elementen die opgenomen moeten zijn in een gedragscode die bestemd is om internationale transfers juridisch in te kaderen. De EDPB verduidelijkt daarbij de toepassing van artikels 40(3) en 46(2)(e) GDPR.

​

​

​

​

​

​

​

03     Nieuw EU-US Privacy Framework op komst

​​

 

De Europese Commissie en de VS hebben aangekondigd dat zij overeenstemming bereikt hebben over een nieuw Trans-Atlantic Data Privacy Framework, dat gegevensuitwisseling tussen de EU en de VS opnieuw zou bevorderen. Hierbij zou de VS sterke commitments willen aangaan om tegemoet te komen aan de bezorgdheden die aan bod kwamen in de Schrems II-beslissing van het Hof van Justitie van de EU, waarin werd vastgesteld dat het toenmalige Privacy Shield onvoldoende garanties bood om op basis hiervan persoonsgegevens vanuit de EU te exporteren naar Amerikaanse organisaties. Het werd dan ook als strijdig met de GDPR bevonden. Dit met name door de ruime mogelijkheden die in het Amerikaanse recht voorzien zijn voor inlichtingendiensten om toegang te krijgen tot de databanken van Amerikaanse bedrijven, zonder duidelijke voorwaarden en beperkingen. Bovendien waren er onvoldoende administratieve of gerechtelijke mogelijkheden voorhanden voor betrokkenen om zich hiertegen te verzetten.

 

Het gaat om een politiek akkoord dat nog vertaald dient te worden naar concrete juridische teksten. Als het zover is, zal de EDPB analyseren of de verzameling van persoonsgegevens voor doeleinden van Amerikaanse nationale veiligheid ditmaal wel beperkt blijft tot wat strikt noodzakelijk en proportioneel is. De EDPB zal ook nagaan of het aangekondigde onafhankelijke mechanisme om de betreffende verwerkingen door Amerikaanse inlichtingendiensten aan te vechten, in overeenstemming is met de GDPR en de rechten op een doeltreffende voorziening in rechte en een eerlijk proces. Dit onder meer door tussenkomst van een autoriteit die in staat is om bindende beslissingen op te leggen aan de inlichtendiensten, en de mogelijkheid tot het het gerechtelijk aanvechten van beslissingen van dit orgaan.

​

​

​

04     Dataverordening op komst en onderworpen aan advies EDPB/EDPS​

​

De Europese Commissie heeft in februari 2022 een voorstel gepubliceerd voor een nieuwe verordening die het delen van data bij overheidsinstellingen en ondernemingen moet stimuleren. Het kan daarbij ook om persoonsgegevens gaan. De EDPB en de EDPS hebben in een gezamenlijk advies hun opmerkingen geformuleerd op het voorstel.

 

Met het voorstel wil de Europese Commissie bereiken dat data meer gedeeld worden tussen verschillende sectoren en tussen publieke en private organisaties. De verordening zal voor alle economische sectoren in de EU regels bevatten over wie welke data kan gebruiken en inzien en voor welke doeleinden. Dit met het oog op het verminderen van de onduidelijkheid over wie gebruik mag maken van en toegang hebben tot data gegeneerd bij het gebruik van diverse producten en diensten, waaronder ‘slimme’ apparaten, medische of gezondheidsapparaten en virtuele assistenten. Het doel hiervan is het wegnemen van obstakels voor toegang tot data en het blijven stimuleren van datageneratie met oog op het bevorderen van de verdere innovatie, consumentenkeuze en openbare dienstverlening.

 

De Dataverordening zal voor betrokkenen onder meer voortbouwen op het recht op inzage en overdraagbaarheid, door deze rechten uit te breiden tot alle data die wordt gegenereerd door ‘slimme’ of verbonden producten, zowel persoonlijke als niet-persoonlijke data, zodat consumenten deze kunnen raadplegen en overdragen. 

 

De EDPB wijst erop dat de Dataverordening ook toepassing zal vinden op gevoelige persoonsgegevens en dringt bij de regelgevers aan op het waarborgen dat de rechten van betrokkenen gerespecteerd worden, door onder meer te verzekeren dat toegang tot, gebruik en het delen van persoonsgegevens door enige andere entiteiten dan de betrokkenen zelf, in volledige overeenstemming met alle beginselen en regelen van gegevensbescherming gebeurt. Hierbij wijst zij erop dat de GDPR steeds dient voor te gaan wanneer persoonsgegevens betrokken zijn. Wanneer het delen van data dus toegestaan (of verplicht) is onder de Dataverordening, dan zou dit voor wat persoonsgegevens betreft enkel daadwerkelijk kunnen gebeuren als dit volgens de GDPR ook kan. In dit verband uiten de EDPB en EDPS in hun advies over de voorgestelde wettekst onder meer hun bezorgdheid over het feit dat overheden (op nationaal niveau, maar ook EU-instituties) onder de Dataverordening in haar huidige ontwerpvorm te veel ruimte zouden krijgen om persoonsgegevens bij bedrijven op te eisen, met name in ‘uitzonderlijke omstandigheden’, zonder dat hieraan duidelijke voorwaarden gekoppeld zijn. Het is nu aan het Europees Parlement en de regeringen van de EU-lidstaten om verder te oordelen over het voorstel en een akkoord te bereiken.

​

​

​

05     GBA bezorgd over wetswijziging​

 

Begin maart liet de Gegevensbeschermingsautoriteit reeds weten dat zij bezorgd is over ontwikkelingen die haar onafhankelijkheid en werking in gevaar kunnen brengen, met name voorgestelde wijzigingen aan de GBA-wet en het gebrek aan middelen die daarvoor uitgetrokken zouden worden. Zij vaardigde hierover een formeel advies uit dat zij verstrekte aan onder meer de Raad van State en het European Data Protection Board.

 

De GBA heeft verschillende problemen met de voorgestelde wetswijziging. Zo voorziet het voorontwerp van wet in een parlementaire inmenging in de prioriteitsstelling en de interne organisatie. Bovendien wordt de verlenging van het mandaat van haar directeuren afhankelijk gesteld van een positieve evaluatie door de Kamer van volksvertegenwoordigers, zonder dat het voorontwerp in objectieve criteria voorziet. Dit systeem kan volgens de GBA leiden tot "geanticipeerde gehoorzaamheid" aan de Kamer en politieke invloed die de onafhankelijke vervulling van haar taken hindert. De GBA zou hierbij ook verplicht worden om beroep te doen op een gedeeld dienstencentrum voor onder meer het intern beleid en beheer inzake HR, IT, informatiebeveiliging, en financiën.

 

Daarnaast klaagt de GBA nogmaals haar gebrek aan personele en financiële middelen aan. De 45,9 dossierbeheerders (VTE’s) zouden niet volstaan om de 21 verschillende taken uit te voeren die de AVG voorschrijft. Zij zou er in vergelijking met vele andere Europese collega’s ook verder op achteruitgaan.

 

De EDPB heeft akte genomen van de bekommernissen van de GBA en uit haar bezorgdheden in een open brief gericht aan de Belgische wetgever en regering. Het is nu afwachten in welke mate hieraan gevolg zal worden gegeven in het verdere wetgevingsproces.

​

​

​