In het kort: Gegevensbescherming, privacy en cybersecurity in Nederland

Alle vragen

Overzicht

Gegevensbeveiliging en gegevensbescherming zijn belangrijke gebieden voor onze steeds digitaler wordende samenleving en de digitale transformatie van organisaties en hun producten, diensten en bedrijfsmodellen. Beide gebieden hebben de afgelopen jaren een aanzienlijke juridische ontwikkeling doorgemaakt na de inwerkingtreding van belangrijke Europese wetgeving, zoals de Algemene Verordening Gegevensbescherming (AVG), de Beveiliging van Netwerk- en Informatiesystemen (NIS-richtlijn). Wet Digitale Diensten, Wet Digitale Markten en Wet Gegevensbeheer. Andere belangrijke aankomende Europese wetten zijn de herziene NIS-richtlijn, de ePrivacy-verordening en de Artificial Intelligence Act.

De AVG wordt aangevuld met de in Nederland geldende Handhavingswet Algemene Verordening Gegevensbescherming en diverse andere sectorale wetten met betrekking tot de verwerking van persoonsgegevens.

Dit hoofdstuk geeft een praktisch overzicht van het huidige juridische landschap in Nederland en relevante belangrijke juridische ontwikkelingen in het afgelopen jaar, waaronder handhavingsacties van het College Bescherming Persoonsgegevens (CBP).

Jaar onder beoordeling

Vorig jaar was allesbehalve saai te noemen. Kwesties met betrekking tot gegevensbescherming en -beveiliging zijn vaak het onderwerp van berichtgeving in de pers en openbaar debat. Een absoluut hoogtepunt is dat de Nederlandse Belastingdienst door het CBP een boete heeft gekregen voor twee afzonderlijke grote incidenten: (1) het illegale en discriminerende geautomatiseerde besluitvormingsproces voor aanvragers van kinderopvangtoeslag; en (2) de zwarte lijst van illegale fraude. In beide gevallen heeft de Nederlandse Belastingdienst de dubbele nationaliteit van burgers onrechtmatig verwerkt en gediscrimineerd op grond van hun dubbele nationaliteit. Deze incidenten hebben grote gevolgen gehad voor de getroffen betrokkenen, waaronder persoonlijk faillissement en de scheiding van gezinnen als gevolg van de plaatsing van kinderen buitenshuis, waarover veel in de media is gesproken. Het CBP heeft na onderzoek gewezen op de risico’s van algoritmische besluitvorming en AI en aangedrongen op passende waarborgen ter bescherming van betrokkenen. Naar aanleiding van het tumult dat door deze incidenten is ontstaan, heeft de Tweede Kamer een motie aangenomen die stelt dat verplichte mensenrechteneffectbeoordelingen moeten worden gebruikt als middel om individuen te beoordelen of daarover te beslissen.²

Handhaving door het CBP wordt vaak in gang gezet naar aanleiding van klachten van betrokkenen, actualiteiten die door de politiek onder de aandacht worden gebracht of naar aanleiding van onderzoeksjournalistiek. Betrokkenen blijven klachten indienen bij het CBP, maar het aantal klachten is in 2021 met bijna 25 procent gedaald ten opzichte van 2020. Het CBP stelt in haar jaarverslag over 2021 ca. 19.000 klachten van particulieren.³ Het CBP merkt op dat de meeste klachten betrekking hebben op schendingen van de rechten van de betrokkene, zoals het recht op inzage en het recht op gegevenswissing. Daarom wordt organisaties aanbevolen om robuuste processen voor de rechten van betrokkenen te implementeren en verzoeken met de nodige zorgvuldigheid te behandelen.

Het CBP heeft in de agenda voor 2020-2023 aangegeven dat zij de handhavingsinspanningen specifiek zal richten op datamakelaardij en het gebruik van kunstmatige intelligentie en algoritmen.⁴ Binnen databrokers zal het CBP zich sterker richten op het Internet of Things, in de hoop het gebruik van standaarden en certificeringen en specificatie te vergroten, waarbij het zich richt op handhaving en gedragsreclame, het opstellen en handhaven van gedragscodes. Actief. De roep om toezicht op AI en algoritmen groeit onder de politiek en de Nederlandse samenleving. Binnen AI zal een grote focus liggen op de ontwikkeling van het regelgevend kader dat het CBP zal gebruiken voor haar toezicht op AI. In februari 2020 heeft het CBP haar visie op AI-gerelateerde handhaving gepubliceerd.⁵ In maart 2022 publiceerde het CBP zijn gedachten over de aanstaande Europese wet op kunstmatige intelligentie en beval een grondige herziening van risicovolle AI-systemen aan.⁶