Inmiddels hebben we het jaar 2020 achter ons gelaten. Een jaar waarin op het gebied van privacy veel gebeurd is. Denk aan het Privacy Shield dat ongeldig is verklaard. Of de boete die de Autoriteit Persoonsgegevens aan het inmiddels failliete VoetbalTV heeft opgelegd, maar waarbij de rechter oordeelde dat de boete van € 575.000 toch niet betaald hoeft te worden. Ook dit jaar zal privacy weer een hot topic worden. Wat staat ons te wachten?
Wijziging Telecommunicatiewet
Om te beginnen zullen de regels met betrekking tot telemarketing gaan wijzigen. De regels voor het mogen versturen van nieuwsbrieven zijn duidelijk. In principe moet de ontvanger daar toestemming voor geven, niemand zit er immers op te wachten om een overload aan nieuwsbrieven in de mailbox te krijgen. Wil je wel allerlei nieuwsbrieven ontvangen, dan geef je daar toestemming voor. In enkele uitzonderingsgevallen mag je als organisatie op basis van opt-out toch nieuwsbrieven versturen zonder toestemming.
Deze regels zullen ook gaan gelden voor telemarketing. Momenteel kunnen we nog platgebeld worden door energieleveranciers of bedrijven die een telefoon- of krantabonnement aanbieden. Maar daar komt verandering in. Consumenten mogen alleen telefonisch benaderd worden als daar toestemming voor is gegeven, het zogenaamde opt-in systeem. Net als bij het versturen van nieuwsbrieven geldt ook hier een uitzondering. Een bestaande klantrelatie mag gebeld in het kader van eigen gelijksoortige producten of diensten, op voorwaarde dat wel het recht van verzet is aangeboden.
Nieuwe Standard Contractual Clauses
Ook zullen de bekende Standard Contractual Clauses (SCC’s) aangepast worden. De huidige SCC’s zijn opgesteld voordat de AVG in werking trad. Ook dekken ze niet alle relaties, zo is er momenteel bijvoorbeeld geen variant voor de verstrekking van persoonsgegevens door een verwerker binnen de EU naar een subverwerker buiten de EU. Dit is dan ook een belangrijk punt dat verbeterd is met de nieuwe voorwaarden. Er zijn verschillende standaardbepalingen die voor verschillende situaties gebruikt kunnen worden. De volgende uitwisselingen kunnen namelijk gedekt worden:
- Verwerkingsverantwoordelijke binnen de EU naar verwerker buiten de EU
- Verwerker binnen de EU naar verwerkingsverantwoordelijke buiten de EU
- Verwerker binnen de EU naar subverwerker buiten de EU
- Verwerkingsverantwoordelijke binnen de EU naar verwerkingsverantwoordelijke buiten de EU
- Verwerker buiten de EU waar de AVG wel van toepassing is naar subverwerker buiten de territoriale scope van de AVG.
Het voorstel voor de nieuwe SCC’s staat nog open voor feedback, maar de verwachting is dat dit jaar de definitieve tekst klaar zal zijn.
Strong Customer Authentication
Vanaf 1 januari 2021 dienen de meeste online betalingen met een twee-staps-verificatie voltooid te worden. Dit is een verplichting op grond van de Payment Service Directive 2. Dit is de Europese richtlijn voor het betalingsverkeer van consumenten en bedrijven. Hoe kunnen organisaties daaraan voldoen? In totaal zijn er drie manieren om erachter te komen of de klant die een online aankoop doet, daadwerkelijk de persoon is wiens bankgegevens worden gebruikt. Organisaties dienen tenminste twee van onderstaande controles toe te passen bij elektronisch betalen en bankieren. Daarbij kan het gaan om:
- iets wat je bezit, zoals je telefoon, kenteken of bankpas;
- iets wat je weet, bijvoorbeeld een pincode, wachtwoord of een geheim feit; of
- iets wat je bent, denk aan je vingerafdruk, gezichtsherkenning via Face ID of je stem.
Voor online betalingen wordt vaak gebruik gemaakt van een combinatie tussen een telefoon en wachtwoord. Maar het is ook mogelijk om biometrische gegevens te gebruiken, zoals gezichtsherkenning via Face ID.
Handhaving
Het afgelopen jaar hebben we gezien dat verschillende autoriteiten boetes hebben opgelegd. Zo heeft Stichting Bureau Krediet Registratie een boete van ruim € 800.000 gekregen van de Autoriteit Persoonsgegevens (AP). De Franse privacywaakhond heeft een miljoenenboete opgelegd aan zowel Google als Amazon. En ook dit jaar verwachten we dat autoriteiten fikse boetes opleggen. Er wordt steeds meer gehandhaafd, organisaties worden aangesproken op het onjuist handelen en omgaan met persoonsgegevens. De AP heeft aangegeven dat de komende jaren met name aandacht besteed zal worden aan drie onderwerpen: datahandel, digitale overheid en artificiële intelligentie en algoritmes. Verder zal de AP natuurlijk kijken naar de klachten die binnenkomen van betrokkenen.
Coronavaccin
Het kan niet onopgemerkt blijven, maar dit jaar zal er volop gevaccineerd worden tegen het coronavirus. Je kunt zelf beslissen of je wel of geen vaccin toegediend wilt krijgen. Maar is dat echt zo? Of mag een werkgever (denk aan zorginstellingen) je verplichten om je te laten vaccineren? Houdt een werkgever in het personeelsdossier bij of iemand de prik heeft gehaald? Misschien wel als een werkgever denkt daar een goede reden voor te hebben. Een interessante discussie met raakvlakken op het gebied van arbeidsrecht en privacy. In een latere blog gaan we daar verder op in.
2021
Houd onze wekelijkse blogs in de gaten om up-to-date te blijven over het laatste nieuws en de nieuwste ontwikkelingen op het gebied van privacy!
