Afgelopen maand rondde de European Data Protection Board (EDPB) maar liefst drie nieuwe guidelines af na publieke consultatie. We kunnen nu definitief werken met kaders over doorgifte, certificeringen als doorgiftemechanisme en over misleidende dark patterns. In deze blog lichten we de richtlijnen toe.
Wat is doorgifte?
Zoals beloofd in mijn eerdere blog over deze richtlijnen, houden we u op de hoogte. De Algemene verordening gegevensbescherming (AVG) stelt regels voor doorgifte, maar bevat vreemd genoeg geen definitie van wat dit nou precies is. Daar was over het algemeen wel consensus over, totdat de Europese Commissie besloot een vreemd zinnetje op te nemen in de Standard Contractual Clauses (SCC’s) – het meest gebruikte doorgiftemechanisme. De SCC’s zouden niet gebruikt kunnen worden als de AVG al van toepassing is op de ontvangende partij. Dat is alleen niet logisch, aangezien persoonsgegevens nog steeds verwerkt worden buiten de Europese Economische Ruimte (EER), waar ook andere wetgeving van toepassing is (hallo FISA). Dat vond de EDPB ook. Doorgifte is daarom:
- een verwerkingsverantwoordelijke of verwerker (de exporteur) valt onder de AVG, ongeacht of deze zich binnen of buiten de EER bevindt;
- deze exporteur maakt persoonsgegevens beschikbaar voor een andere verwerkingsverantwoordelijke of verwerker (de importeur); en
- de importeur bevindt zich in een derde land, uitdrukkelijk onafhankelijk van of de importeur onder de AVG valt.
Zo zorgt een werknemer die in een zonnig land gaat overwinteren niet voor een doorgifte, omdat dit binnen dezelfde entiteit gebeurt. Wel moeten er indien nodig beveiligingsmaatregelen worden genomen. Doorgeven naar een moeder- of dochteronderneming buiten de EER is dan weer wel een doorgifte, omdat er persoonsgegevens naar een andere entiteit gaan. De definitieve richtlijnen zijn aangevuld met meer voorbeelden en nu ook plaatjes, handig!
Certificering voor doorgifte?
De AVG bevat mogelijkheden voor certificering die diens voorganger, de Privacyrichtlijn, niet kende. De EDPB heeft hier eerder al een algemeen stuk aan gewijd. Het doel van deze specifieke richtlijnen is om duidelijkheid te geven over het praktische gebruik van dit doorgiftemechanisme. In vier onderdelen neemt de EDPB u mee in de specifics van een dergelijke certificering: (1) Algemeen, (2) Implementatierichtsnoeren voor accreditatievereisten, (3) Specifieke certificeringscriteria, en (4) Bindende en afdwingbare verplichtingen die moeten worden geïmplementeerd (e.e.a. vrij vertaald).
Misleidende dark patterns
Eerder schreef ik ook al over de donkere tegenhanger van privacy by design: dark patterns. Dergelijke ontwerpen moeten er juist voor zorgen dat betrokkenen voor de minst privacyvriendelijke optie kiezen. Denk aan de grote ACCEPTEER ALLES-button in cookiebanners, terwijl de weigeren-button verstopt zit in een lap tekst of pas zichtbaar wordt na 10 keer doorklikken. Ook strafpunten voor de cookiebanners waarin toestemming standaard uitgevinkt staat, maar waarin je gerechtvaardigd belang 12932948 keer moet uitvinken – dat is bijzonder irritant en mag niet volgens de Telecommunicatiewet.
Ik dwaal af. Na consultatie heeft de EDPB ‘misleidend’ toegevoegd aan de term. Het doel moet namelijk zijn om een betrokkene een bepaalde, minder privacyvriendelijke keuze te laten maken. Hoewel de term niet is opgenomen in de AVG, kan dit een schending opleveren van een hoop AVG-verplichtingen, waaronder de kernprincipes. Denk aan het principe van behoorlijkheid (in English: fair processing), transparantie, data-minimalisatie en verantwoording. Ook is dit terug te zien in het toestemmingsvereiste (‘vrijelijk en geïnformeerd’), de rechten van betrokkenen en de principes van privacy by design en default.
De definitieve richtlijn bevat naast een nieuwe titel ook een nieuwe Annex II. Deze bevat een overzichtje van best practices die gebruikt kunnen worden bij het ontwerpen van user interfaces.
