De Werkgroep Privacy is terug!
Een update van de belangrijkste ontwikkelingen op het gebied van privacy
De Werkgroep Privacy is na een aantal maanden van afwezigheid weer terug! De Werkgroep Privacy is een samenwerking tussen bvA en VIA Nederland en bestaat uit privacy-deskundigen afkomstig uit verschillende hoeken van de Nederlandse digitale reclame-industrie. Iedere maand zal de werkgroep samenkomen en een bijdrage leveren aan een voor de industrie werkbare, duurzame en duidelijke invulling en toepassing van de privacywetgeving. De werkgroep zal zich focussen op het normaliseren van gericht adverteren, stimuleren van innovatie en het creëren van een internationaal level playing field.
De aftrap: een update van de belangrijkste ontwikkelingen op het gebied van privacy in de afgelopen periode.
Uitleg van het begrip ‘gerechtvaardigd belang’
De Autoriteit Persoonsgegevens (‘AP’) publiceerde in november 2019 haar normuitleg van de grondslag ‘gerechtvaardigd belang’ voor de verwerking van persoonsgegevens. Volgens de AP is het niet mogelijk om een beroep te doen op een gerechtvaardigd belang voor de verwerking van persoonsgegevens als de verwerking uitsluitend een commercieel doel dient. Deze uitleg van het begrip is strikter dan voorheen werd aangehouden: elk belang (dus ook een commercieel belang) kan gerechtvaardigd zijn, zolang deze maar niet in strijd is met de wet en prevaleert boven het belang van de betrokkene.
De eerste keer dat de uitleg van de AP door een rechter werd getoetst, was in de Voetbal TV-zaak. VoetbalTV was een organisatie (inmiddels failliet) die opnames maakte van amateurvoetbalwedstrijden zodat deze vervolgens (op een later moment) konden worden bekeken door de voetballers en hun trainers. VoetbalTV deed voor de verwerking van persoonsgegevens een beroep op hun gerechtvaardigd belang. In een besluit van de AP verbood zij de verwerking van persoonsgegevens door VoetbalTV, omdat (volgens de AP) de opnames uitsluitend een commercieel belang dienden waardoor een beroep op een gerechtvaardigd belang niet mogelijk was. De rechtbank gaat echter niet mee met de beoordeling van de AP en oordeelt (in overeenstemming met de interpretatie die voorheen gold) dat elk belang in beginsel een gerechtvaardigd kan zijn. De rechtbank vernietigde daarom het besluit van de AP. Voor nu geldt dus dat een commercieel belang een gerechtvaardigd belang kan zijn, maar de AP heeft haar normuitleg hierop nog niet aangepast en heeft daarnaast hoger beroep ingesteld. Het is dus op dit moment nog onzeker welke kant het zal opgaan.
Doorgifte persoonsgegevens buiten de Europese Economische Ruimte
Het doorgeven van persoonsgegevens naar organisaties buiten de Europese Economische Ruimte (‘EER’) (dit is net wat anders dan de Europese Unie) is alleen toegestaan als wordt voldaan aan hoofdstuk 5 van de Algemene Verordening Gegevensbescherming (‘AVG’). Van doorgifte is sneller sprake dan vaak wordt gedacht. Zo moet bijvoorbeeld een Europese organisatie al aan de aanvullende vereisten voldoen als het persoonsgegevens deelt met een andere organisatie die de gegevens vervolgens oplaat op haar servers in land buiten de EER. In hoofdstuk 5 van de AVG worden een aantal wettelijke bepalingen beschreven op basis waarvan doorgifte is toegestaan. De twee meest gebruikte zijn: doorgifte op basis van een adequaatheidsbesluit en doorgifte op basis van de Standard Contractual Clauses (‘SCC’). Een adequaatheidsbesluit is een besluit dat de Europese Commissie neemt over (meestal) een land waarin het aangeeft dat het betreffende land een passend beschermingsniveau waarborgt. De SCC zijn standaard bepalingen opgesteld door de Europese Commissie welke, indien contractueel vastgelegd, een grond kunnen vormen voor doorgifte naar een organisatie buiten de EER.
Een adequaatheidsbesluit was ook genomen voor de Verenigde Staten van Amerika (‘VS’). Dit besluit stond bekend als het ‘Privacy Shield’. Op basis van het Privacy Shield mochten Europese organisaties persoonsgegevens delen met organisaties in de VS. Dit besluit gold echter niet voor alle staten, maar slechts voor de organisaties die zich bij Privacy Shield hadden aangesloten. Echter, het Hof van Justitie van de Europese Unie (‘HvJ’) heeft in de Schrems II-uitspraak (juli 2020) een streep getrokken door het Privacy Shield. De voornaamste reden voor het doorhalen van het Privacy Shield is dat de Amerikaanse inlichtingen- en veiligheidsdiensten op basis van Amerikaanse wetgeving toegang kunnen krijgen tot alle persoonsgegevens van Europese burgers die Amerikaanse bedrijven verwerken en dit is in strijd met de AVG. Dit betekent dat Europese organisaties bij de doorgifte van persoonsgegevens naar Amerikaanse organisaties niet meer kunnen rekenen op het Privacy Shield, maar zich moeten kunnen beroepen op één van de andere (vaak meer tijd belastende) wettelijke bepalingen uit hoofdstuk 5 van de AVG.
In de Schrems II-uitspraak is het HvJ ook ingegaan op het gebruik van de SCC. Volgens het HvJ vormen de SCC een grond voor doorgifte, maar moet telkens worden beoordeeld of de SCC in de praktijk een gelijkwaardig beschermingsniveau met die van Europese Unie waarborgen. Als dat niet het geval is, moeten extra maatregelen worden getroffen om alsnog een gelijkwaardig beschermingsniveau te bereiken. Zo heel ‘standard’ zijn de SCC dus niet meer. Inmiddels heeft de European Data Protection Board (‘EDPB’) een toets ontwikkeld om het beschermingsniveau te kunnen toetsen: de Data Transfer Impact Assessment (‘DTIA’). Nadat met behulp van een DTIA het beschermingsniveau is vastgesteld, kan vervolgens worden bepaald of het treffen van aanvullende maatregelen noodzakelijk is. Op die manier kunnen de SCC gebruikt blijven worden als doorgiftemiddel. Het wordt daarom aangeraden om telkens een DTIA uit voeren op het moment persoonsgegevens worden doorgegeven naar een organisatie buiten de EER, behalve (natuurlijk) als de doorgifte al een andere keer heeft plaatsgevonden en de situatie niet is gewijzigd.
Klik hier om meer te lezen over de Data Transfer Impact Assessment.
Brexit
In het verlengde van het voorgaande ligt de Brexit, want sinds de Brexit definitief is geworden, moet het Verenigd Koninkrijk (‘VK’) worden aangemerkt als een land buiten EER. Dit betekent dus dat (net zoals bij de VS) een Europese organisatie bij het doorgeven van persoonsgegevens naar een organisatie in het VK moet voldoen aan hoofdstuk 5 van de AVG. Gelukkig heeft de Europese Commissie tijdig een adequaatheidsbesluit genomen voor het VK. Op dit moment is het dus mogelijk om zonder aanvullende maatregelen persoonsgegevens met organisaties in het VK uit te wisselen. Het is echter de vraag hoelang dit besluit in stand zal blijven. Het VK is namelijk bezig met het vergemakkelijken van het doorgeven van persoonsgegevens vanuit het VK naar de VS. Dit heeft ook invloed op de persoonsgegevens van Europese burgers die door Britse organisaties worden verwerkt. Zeker gezien de Schrems II-uitspraak wordt daardoor het adequaatheidsbesluit voor het VK op losse schroeven gezet.
The Privacy Collective
The Privacy Collective (een non-profit organisatie) heeft in augustus 2020 Oracle en Salesforce in Nederland gedagvaard voor het (volgens The Privacy Collective) onrechtmatig gebruik maken van cookies. Zo zouden Oracle en Salesforce niet op de juiste manier toestemming vragen aan websitebezoekers en zijn ze onvoldoende transparant over de verwerking van persoonsgegevens. Het betreft een class action of massa-schadeclaim wat betekent dat The Privacy Collective handelt in naam van een grote groep. In dit geval zou het om 10 miljoen Nederlandse gedupeerden moeten gaan. Dit is de eerste keer in Nederland dat een dergelijke vordering is ingediend. De eerste zitting heeft op 15 november 2021 plaats gevonden. Als de eis van The Privacy Collective toegewezen wordt, gaat dat voor Oracle en Salesforce aardig in de papieren lopen. De organisatie eist namelijk 500 euro per gedupeerden. Voor Oracle komt daar zelfs nog 100 euro per gedupeerde bovenop. Dit zou ook betekenen dat de deur wordt opengezet voor soortgelijke claims richting organisaties die op eenzelfde manier gebruik maken van cookies.
EDPB guidelines on the targeting of social media users
Op 13 april 2021 heeft de EDPB de definitieve versie van de ‘guidelines on the targeting of social media users’ gepubliceerd. De richtlijn gaat in op de verschillende rollen en verantwoordelijkheden die komen kijken bij het gebruik van gepersonaliseerde advertenties door social media platformen en adverteerders die daar gebruik van maken.
Het uitgangspunt van de EDPB is dat bij het adverteren op een social media platform de adverteerder en het platform aangemerkt moeten worden als gezamenlijk verwerkingsverantwoordelijk in de zin van de AVG. Het maakt hierbij (volgens de EDPB) niet uit of de adverteerder toegang heeft tot de persoonsgegevens die gebruikt worden voor het adverteren. Dit betekent concreet dat tussen de partijen afspraken moeten worden vastgelegd over de verdeling van verantwoordelijkheden en dat eenieder een grondslag moet hebben voor de verwerking van persoonsgegevens.
Daarnaast blijkt uit de bespreking van een groot aantal voorbeelden dat het gebruik van gepersonaliseerde advertenties op grond van de grondslag ‘gerechtvaardigd belang’ maar in een beperkt aantal gevallen mogelijk is. Als de persoonsgegevens die worden gebruikt voor dergelijke advertenties door de betrokkene zelf zijn verstrekt is het onder voorwaarden mogelijk om een beroep te doen op de grondslag ‘gerechtvaardigd belang’. De betrokkene hoeft voor die handeling nergens eerst akkoord mee te gaan. Echter, wanneer met behulp van cookies persoonsgegevens zijn verzameld, is het uitgangspunt dat toestemming van de betrokkene is vereist.
Klik hier om het standpunt van IAB Europe over de richtlijn te lezen.
Vanuit de Werkgroep Privacy blijven we je informeren over de laatste ontwikkelingen en acties die bij ons op de agenda staan. Heb je ondertussen vragen of suggesties? Neem dan vooral contact op met ons op via guido@vianederland.nl