Waarom een nieuwe juridische uitspraak de naleving van de AVG zou kunnen intensiveren
In december vond een van de grootste veranderingen in de Europese regelgeving voor gegevensprivacy plaats in de recente geschiedenis. Na een verzoek van Duitse en Litouwse rechtbanken heeft het Europese Hof van Justitie (HvJ) een nieuwe uitspraak gedaan om te verduidelijken wanneer en hoe toezichthouders bedrijven kunnen beboeten voor het overtreden van de wetgeving inzake gegevensprivacy.
Juridische en veiligheidsexperts beweren dat de uitspraak het voor toezichthouders gemakkelijker zal maken om de regelgeving inzake gegevensbescherming af te dwingen, wat mogelijk tot hogere AVG-boetes zal leiden. Als gevolg hiervan is de druk op complianceteams toegenomen om ervoor te zorgen dat hun bedrijven persoonlijke gegevens op een legale manier opslaan en verwerken.
Regelgevende impact
In Duitsland hebben toezichthouders vastgoedbedrijf Deutsche Wohnen een boete van € 14.4 miljoen opgelegd omdat het klantgegevens langer dan nodig bewaart. Ondertussen had de Litouwse rechtbank het Nationale Volksgezondheidscentrum van het land een boete van € 12,000 en de IT-dienstverlener van € 3000 opgelegd wegens een Covid-19-app voor het traceren van contacten die in strijd was met de AVG. Beide organisaties betwistten de boetes, wat ertoe leidde dat lokale rechtbanken het Hof van Justitie om duidelijkheid over de kwestie vroegen.
Het oordeelde dat toezichthouders op het gebied van gegevensbescherming alleen AVG-boetes kunnen opleggen voor ‘onrechtmatig gedrag’, waarbij een bedrijf ‘opzettelijk of door nalatigheid’ de AVG heeft geschonden. En bij het beboeten van een organisatie moeten de toezichthouders, indien van toepassing, financiële sancties berekenen op basis van de jaaromzet van de moedergroep.
Sinds het Hof van Justitie zijn historische GDPR-uitspraak heeft gedaan, is er veel gespeculeerd over de impact die dit zal hebben op de dataregelgeving in heel Europa. Keith Budden, directeur van Verzekeringen, legt de beslissing uit en legt uit dat deze twee hoofddimensies heeft.
Ten eerste zegt hij dat toezichthouders AVG-boetes kunnen opleggen, zelfs als ze niet kunnen vaststellen hoe de acties van één persoon een datalek hebben veroorzaakt. Ten tweede legt hij uit dat bedrijven te maken kunnen krijgen met regelgevende maatregelen als een individu of organisatie die hen vertegenwoordigt, zoals een subverwerker of een individuele contractant, de regels voor gegevensbescherming schendt.
“Het zal voor toezichthouders makkelijker worden om een organisatie een financiële boete op te leggen”, vertelt hij aan ISMS.online. “En de reikwijdte van de aansprakelijkheid is toegenomen, in die zin dat het de weg heeft vrijgemaakt voor een boete voor een gegevensbeheerder, zelfs als de inbreuk op de AVG-regelgeving beperkt is tot de activiteit van een van zijn gegevensverwerkers, of zelfs een van hun sub-verwerkers. verwerkers.”
Kelly Indah, veiligheidsanalist bij Increditools, is van mening dat de uitspraak van het Hof van Justitie van december de manier waarop toezichthouders de regels voor gegevensbescherming handhaven “aanzienlijk” zal versterken.
“Volgens de uitspraak hebben toezichthouders meer speelruimte om boetes op te leggen die een betekenisvol afschrikmiddel zijn, in plaats van een maximum van een bepaald percentage van de jaaromzet”, vertelt ze aan ISMS.online. “Bovendien stroomlijnt het besluit de regelgevingsprocessen, zodat autoriteiten snel kunnen handelen wanneer niet-naleving wordt ontdekt.”
Irwin Mitchell-partner en gegevensbeschermingsdeskundige Joanne Bone is sceptischer over de algehele impact van de uitspraak.
“Hoewel dit de aansprakelijkheid kan vergroten in rechtsgebieden waar toezichthoudende autoriteiten moesten bewijzen dat het management schuldig was aan het beboeten van een bedrijf of organisatie, zal deze uitspraak in Groot-Brittannië geen verrassing zijn”, vertelt ze aan ISMS.online.
“Naar mijn mening heeft dit het landschap met betrekking tot boetes onder de EU AVG niet substantieel veranderd.”
Bone zegt dat de recente beslissing van het Hof van Justitie niet zal resulteren in een strengere aansprakelijkheid, wat betekent dat autoriteiten alleen boetes kunnen opleggen als zij wangedrag constateren. Ze vult aan: “Het is inmiddels duidelijk dat er sprake moet zijn van opzet of nalatigheid van het bedrijf of de organisatie.”
Het belang van naleving
De uitspraak zou echter nog meer druk kunnen uitoefenen op bedrijven om ervoor te zorgen dat ze over een adequaat gegevensbeschermingsbeleid en -processen beschikken. Bedrijven zullen met name een reeks beleidsmaatregelen, procedures en controles moeten implementeren om hun personeel te helpen met gegevens om te gaan zonder de regels voor gegevensbescherming te schenden, betoogt Bone.
“Er zullen niet alleen procedures moeten worden ingevoerd, maar ze zullen ook moeten worden uitgerold, nageleefd en gecontroleerd door organisaties”, voegt ze eraan toe.
Increditools' Indah legt uit dat het invoeren van een informatiebeveiligingsbeheersysteem (ISMS) dat internationale cyberbeveiligingsnormen volgt, zoals ISO 27001, in dit opzicht een grote hulp kan zijn.
“Dit biedt een systematische, auditorvriendelijke manier om ervoor te zorgen dat alle aspecten van de naleving van gegevensbescherming voortdurend worden aangepakt door middel van evaluatie en verbetering”, zegt ze. “Nu de toezichthouders harder optreden, kan het tonen van toewijding aan rentmeesterschap door middel van certificering alleen maar bijdragen aan het aantonen van goede trouw.”
Indah is van mening dat het voor organisaties niet langer voldoende is om gegevensbescherming te beschouwen als een taak die moet worden afgevinkt. Ze zegt dat organisaties regelmatig interne en externe gegevensbeschermingsaudits moeten uitvoeren, werknemers moeten trainen in het verantwoord omgaan met gegevens en blijk moeten geven van betrokkenheid op leiderschapsniveau bij het begrijpen van de nieuwste regelgeving op het gebied van gegevensbescherming.
“In plaats van hogere boetes te vrezen, zouden bedrijven er goed aan doen om robuuste beveiligingspraktijken te omarmen als een concurrentiekans en zakelijke facilitator”, voegt Indah toe. “Het alternatief riskeert immers reputatieschade, boetes van toezichthouders en verlies van klantvertrouwen – wat op de lange termijn de bedrijfsresultaten veel ernstiger zou kunnen beïnvloeden.”
Verzekerty's Budden dringt er bij bedrijven op aan om bijgewerkte gegevens bij te houden van hun gegevensverwerkingsactiviteiten en hun personeel gegevensbeschermingstraining te geven, om te voldoen aan hun wettelijke vereisten op het gebied van gegevensbescherming. Andere taken zijn onder meer het implementeren van alle vereiste gegevensbeleid en -procedures, het voltooien van actuele gegevensbeschermingseffectbeoordelingen en ervoor zorgen dat ze alle technische en organisatorische maatregelen hebben genomen die door toezichthouders zijn vastgesteld.
Vance Tran, mede-oprichter van Pointer Clicker, is het ermee eens dat ISO 27001 een goede basis biedt voor het naleven van de regelgeving op het gebied van gegevensbescherming. Maar hij zegt dat organisaties dit kunnen uitbreiden door privacytechnologieën, DevSecOps-modellen en een privacybewuste bedrijfscultuur te adopteren.
Hij voegt eraan toe: “Ik zie deze uitspraak als een kans. Door vooraf prioriteit te geven aan ethische, op de gebruiker gerichte oplossingen, kunnen ontwikkelaars niet alleen aan de wettelijke regels voldoen, maar ook echt gebruikersvertrouwen opbouwen. Het is een opwindende kans om vanaf de basis systemen te helpen creëren die gebaseerd zijn op privacy en toestemming.”
In de huidige sterk gedigitaliseerde economie verwerken bedrijven een steeds grotere hoeveelheid persoonlijke gegevens. Hoewel deze gegevens nuttig zijn om klanten beter te begrijpen en te targeten, lopen bedrijven het risico op hoge boetes als ze de regels voor gegevensbescherming niet strikt naleven.
