Maand: maart 2023

Persoonlijke gegevens versus gevoelige gegevens: wat is het verschil?

Centraal in de AVG (Algemene Verordening Gegevensbescherming) staat het begrip ‘persoonsgegevens’.

Maar wat zijn persoonsgegevens? Worden namen en e-mailadressen aangemerkt als persoonsgegevens? Hoe zit het met foto’s en ID-nummers?

En waar past het gerelateerde begrip ‘gevoelige persoonsgegevens’ in?

Als je niet zeker weet wat het verschil is tussen persoonlijke en gevoelige gegevens, lees dan verder. We leggen alles uit wat je moet weten en geven voorbeelden van persoonlijke en gevoelige persoonsgegevens.

Inhoud

Wat zijn persoonsgegevens?

Wat zijn gevoelige persoonsgegevens?

Voorbeelden van gevoelige persoonlijke gegevens

Toestemming krijgen

Wat zijn persoonsgegevens?

In de meest elementaire termen zijn persoonsgegevens elk stukje informatie dat iemand kan gebruiken om, met enige mate van nauwkeurigheid, een levend persoon te identificeren.

Het e-mailadres johndo@projectx.com wordt bijvoorbeeld beschouwd als persoonlijke gegevens, omdat het aangeeft dat er maar één John Do kan zijn die aan project X werkt.

Evenzo worden je fysieke adres of telefoonnummer als persoonlijke gegevens beschouwd, omdat er contact met je kan worden opgenomen met behulp van die informatie.

Persoonlijke gegevens worden ook geclassificeerd als alles wat uw fysieke aanwezigheid ergens kan bevestigen. Om die reden zijn camerabeelden van bewegingen persoonsgegevens, evenals vingerafdrukken.

Dat klinkt tot nu toe eenvoudig genoeg. Het wordt echter ingewikkeld als je er rekening mee houdt dat elk stuk informatie niet onafhankelijk hoeft te worden genomen.

Organisaties verzamelen en bewaren doorgaans enorme hoeveelheden informatie over elk gegevensobject. De som van die informatie kan als persoonsgegevens worden beschouwd als deze kan worden samengevoegd om een waarschijnlijke betrokkene te identificeren.

Zie het als een enorm spel van Raad Wie?

Onder bepaalde omstandigheden kunnen de volgende zaken als persoonsgegevens worden beschouwd:

voorbeelden van AVG-gevoelige persoonlijke gegevens

Je zou kunnen denken dat iemands naam altijd persoonlijke gegevens zijn, maar zo eenvoudig is het niet:

“Op zich is de naam John Do niet altijd een persoonsgegeven, omdat er veel personen zijn met die naam. Wanneer de naam echter wordt gecombineerd met andere informatie (zoals een adres, een werkplek of een telefoonnummer), zal dit meestal voldoende zijn om één persoon duidelijk te identificeren.”

Namen zijn niet noodzakelijkerwijs vereist zijn om iemand te identificeren:

“Simpelweg omdat je de naam van een persoon niet kent, wil nog niet zeggen dat je [ze] niet kunt identificeren. Velen van ons kennen niet de namen van al onze buren, maar we kunnen ze toch identificeren.”

Wat zijn gevoelige persoonsgegevens?

Gevoelige persoonsgegevens, ook wel bijzondere categoriegegevens genoemd, is een specifieke set van “bijzondere categorieën” die extra beveiligd moeten worden behandeld.

Voorbeelden van gevoelige persoonlijke gegevens

Hier volgen enkele voorbeelden van gevoelige persoonsgegevens:

Ras of etnische afkomst;

politieke opvattingen;

Religieuze of filosofische overtuigingen;

lidmaatschap van een vakbond;

Genetische gegevens;

Gegevens met betrekking tot iemands seksleven of seksuele geaardheid; En

Biometrische gegevens (indien verwerkt om iemand uniek te identificeren).

Gevoelige persoonsgegevens moeten gescheiden van andere persoonsgegevens worden bewaard, bij voorkeur in een afgesloten lade of archiefkast.

Net als bij persoonsgegevens in het algemeen, mogen deze alleen op laptops of draagbare apparaten worden bewaard als het bestand is gecodeerd en/of gepseudonimiseerd.

Toestemming krijgen

Een veel voorkomende misvatting over de AVG is dat alle organisaties toestemming moeten vragen om persoonsgegevens te mogen verwerken.

In feite is toestemming slechts één van de zes wettelijke gronden voor het verwerken van persoonsgegevens. De strikte regels met betrekking tot rechtmatige toestemmingsverzoeken maken het de minst geprefereerde optie.

Er zullen echter momenten zijn waarop toestemming de meest geschikte basis is. Organisaties moeten zich ervan bewust zijn dat ze expliciete toestemming nodig hebben om gevoelige persoonsgegevens te verwerken.

Dit soort nuances komen veel voor in de hele AVG. Elke organisatie die niet de tijd heeft genomen om haar nalevingsvereisten grondig te bestuderen, loopt het risico te struikelen.

Dit kan leiden tot blijvende schade, zoals handhaving, boetes, slechte pers en verlies van klanten.

Hoewel de AVG al bijna een half decennium van kracht is, worstelen veel organisaties nog steeds met het begrijpen van de nalevingsvereisten.

Het is geen verrassing. De verordening is een complex onderwerp en het is moeilijk om mensen te vinden met de nodige expertise om de talloze processen, beleidslijnen en technologieën aan te pakken die voor succes op het gebied van naleving zullen zorgen.

Iedereen die over deze vaardigheden beschikt, zal veel gevraagd zijn en in staat zijn om hoge salarissen af te dwingen, maar met de crisis van de kosten van levensonderhoud die organisaties in alle sectoren treft, is het vaak niet mogelijk om gespecialiseerd personeel in te schakelen.

De beste manier om deze uitdaging aan te gaan, is door bij te scholen. U krijgt expertise op het gebied van gegevensbescherming, terwijl je waardevolle nieuwe vaardigheden opdoet die je interesses een boost kunnen geven.

Het huidige digitale landschap is gegevensprivacy een prioriteit. Met de constante dreiging van cyberaanvallen moeten we proactieve maatregelen nemen om de bescherming van gegevens te waarborgen.

Een Privacy Raamwerk kan daarbij helpen en is een reeks richtlijnen die zijn ontworpen om te helpen bij het beheren van privacyrisico’s die voortvloeien uit het verzamelen, gebruiken, opslaan en delen van persoonlijke informatie. Het biedt een aanpak waarmee privacybeheerprogramma’s kunnen worden afgestemd op unieke behoeften, risicoprofielen en doelstellingen.

Een Privacy raamwerk is belangrijk omdat het helpt privacyrisico’s op een gestructureerde en systematische manier te identificeren en te beheersen. Door een raamwerk te gebruiken, kan een robuust privacybeheerprogramma worden opgezet dat specifieke privacyrisico’s aanpakt, privacyhouding verbetert en nalevingsinspanningen ondersteunt.

Een Privacy raamwerk bestaat uit drie hoofdcomponenten: de kern, de profielen en de implementatielagen.

De kern

Is een set privacyfuncties en -categorieën die een gestructureerde manier bieden om privacyrisico’s te beheren. De functies zijn gebaseerd op vijf kern privacy principes: Identificeer, Bescherm, Controleer, Communiceer en Beoordeel.

Met de component Profielen kan een aangepast stappenplan gemaakt worden om de privacyhouding te verbeteren. Daarbij kunnen de profielen gebruikt worden om de huidige privacypositie te identificeren, de doelstatus te definiëren en prioriteit te geven aan privacyverbeteringsactiviteiten.

De implementatieniveaus bieden een manier om de volwassenheid van een privacyprogramma te evalueren en het niveau van striktheid en verfijning te bepalen dat vereist is voor het privacybeheerprogramma. De niveaus variëren van gedeeltelijk tot adaptief en weerspiegelen de risicobeheerbenadering, de regelgeving en de cultuur.

Identificeren

Het eerste principe is het identificeren van alle persoonlijke gegevens die men verzamelt, verwerkt, opslaat en deelt. Dit omvat inzicht in het doel van het verzamelen van de gegevens, wie er toegang toe heeft en hoe lang ze worden bewaard.

Beschermen

Het tweede principe is om persoonlijke gegevens te beschermen tegen ongeoorloofde toegang, gebruik, openbaarmaking, wijziging of vernietiging. Dit omvat het implementeren van passende beveiligingsmaatregelen, zoals codering, toegangscontrole en gegevensminimalisatie.

Controle

Het derde principe is om te bepalen hoe persoonlijke gegevens worden verzameld, gebruikt, gedeeld en opgeslagen. Dit omvat het verkrijgen van toestemming van personen, het verstrekken van duidelijke en beknopte privacyverklaringen en het naleven van toepasselijke privacywet- en regelgeving.

Communiceren

Het vierde principe is om met individuen te communiceren over hoe hun persoonlijke gegevens worden gebruikt en beschermd. Dit omvat het bieden van zinvolle keuzes en mogelijkheden om hun privacyrechten uit te oefenen, zoals het recht op toegang tot, correctie, verwijdering van of bezwaar tegen de verwerking van hun persoonsgegevens.

Beoordeling

Het vijfde principe is om de privacypraktijken regelmatig te herzien en te verbeteren. Dit omvat het uitvoeren van privacyrisicobeoordelingen, het bewaken van de naleving van privacybeleid en -procedures, en het continu evalueren en verbeteren van de effectiviteit van privacycontroles.

Implementatie.

Het eerste principe “Flexibel en Schaalbaar”. Dit principe benadrukt de noodzaak om zich aan te passen aan de veranderende digitale omgeving door flexibel en schaalbaar te zijn in termen van privacy-implementatieplannen en -beleid.

Het tweede principe is ‘Verantwoord en Transparant’. Dit principe vereist dat men transparant is en verantwoording aflegt over de privacypraktijk. Dit omvat het ontwikkelen van een privacyplan dat toegankelijk is en ervoor zorgt dat iedereen op de hoogte is van het privacybeleid.

Ten derde is ‘Privacy by Design’. Dit principe moedigt aan om privacyoverwegingen in te bedden in het ontwerp en de ontwikkeling van elk product of elke dienst die men creëert. Dit helpt ervoor te zorgen dat bij het ontwerpen van producten en diensten rekening houden met privacy en voorkomt privacyimplicaties die anders misschien onopgemerkt zouden zijn gebleven.

Ten vierde is ‘Dataminimalisatie’. Dit principe vereist dat de hoeveelheid gegevens die we verzamelen, gebruiken en opslaan minimaliseren. Alleen de gegevens verzamelen die nodig zijn voor het doel waarvoor ze worden verzameld.

Het vijfde en laatste principe is ‘Datakwaliteit’. Dit principe benadrukt hoe belangrijk het is ervoor te zorgen dat de gegevens die worden verzamelt, opgeslagen en gebruiken worden nauwkeurig, up-to-date, volledig en relevant zijn.

Door deze vijf basisprincipes te volgen, zijn we ons meer bewust van onze privacypraktijken, kunnen we gegevensbeveiliging verbeteren en het vertrouwen van klanten waarborgen.

Een Privacy Raamwerk met succes integreren door een paar cruciale stappen te volgen. Ten eerste een alomvattend plan voor gegevensprivacy opstellen dat de doelstellingen, doelen en processen verduidelijkt en tegelijkertijd de vereiste procedures identificeert om hetzelfde te bereiken. Dit plan moet ook relevante wet- en regelgeving omvatten om strikte naleving te waarborgen.

Ten tweede een zorgvuldige, op risico’s gebaseerde benadering van privacy hanteren en hun activiteiten en gegevensverwerkingsprocedures onderzoeken om potentiële privacyrisico’s te bepalen. Op basis van deze beoordeling kan er vervolgens een op maat gemaakt privacyprogramma worden opgesteld om geïdentificeerde risico’s effectief aan te pakken en te elimineren. Dit kan diepgaande gegevensanalyse, innovatieve de-identificatietechnieken, op risico’s gebaseerd beleid en procedures voor gegevensverwerking en strikte beveiligingsmaatregelen met zich meebrengen om ervoor te zorgen dat gegevens op de juiste manier worden opgeslagen en verwerkt.

Ten derde een bestuursmodel opstellen voor het privacyraamwerk, waarbij personeel, budget en andere cruciale middelen worden toegewezen om een soepele implementatie en naleving van het programma te garanderen. Dit moet de identificatie omvatten van goed geïnformeerd personeel dat deskundig toezicht kan houden op het programma, de vereisten kan begrijpen en strikte naleving kan garanderen.

Ten slotte moet men systematisch de effectiviteit van het programma meten en monitoren om te zorgen voor een naadloze werking en doorlopend beheer van geïdentificeerde risico’s. Dit omvat het onderhouden van een up-to-date privacyplan en het grondig beoordelen van de prestaties van het privacyprogramma en de bijbehorende beleidslijnen en procedures.

Gegevens identificeren en in kaart brengen: om alle persoonlijke gegevens die worden verzamelt en verwerkt te identificeren en in kaart brengen om ervoor te zorgen dat privacyrisico’s worden begrepen.

Voer privacy-effectbeoordelingen uit: deze helpen privacyrisico’s te identificeren en de effectiviteit privacycontroles te beoordelen.

Ontwikkel privacybeleid en -procedures: duidelijk, beknopt en transparant privacybeleid en -procedures helpen privacyrisico’s consistent te beheren.

Implementeer privacycontroles: moeten worden gedaan om passende privacycontroles te implementeren om privacyrisico’s effectief te beheren.

Zorg voor privacytraining: om ervoor te zorgen dat rollen en verantwoordelijkheden bij het beschermen van persoonlijke gegevens worden begrepen.

Een raamwerk kan helpen bij het identificeren en prioriteren van de privacyrisico’s die aan activiteiten zijn verbonden. Door deze risico’s in kaart te brengen, kunnen passende maatregelen worden genomen om deze te mitigeren en datalekken of privacyschendingen te voorkomen.

Het Privacy Raamwerk kan de reputatie verbeteren en vertrouwen opbouwen. Door het Privacy Raamwerk te implementeren, toont men toewijding aan het beschermen van persoonlijke gegevens en het respecteren van privacyrechten.

Degenen die het Privacy Raamwerk gebruiken, verbeteren de naleving van de regelgeving door de privacypraktijken af te stemmen op de relevante wet- en regelgeving.

Het raamwerk kan de interne communicatie en samenwerking verbeteren door een gemeenschappelijke taal en kaders tot stand te brengen voor privacygerelateerde discussies en beslissingen. Dit kan ertoe bijdragen dat alle belanghebbenden hun rol en verantwoordelijkheden bij de bescherming van persoonsgegevens begrijpen.

Bovendien kan het een basis vormen voor voortdurende verbetering en verfijning van de privacy praktijken in de loop van de tijd. Door privacybeleid en -procedures regelmatig te herzien en bij te werken, blijft het beleid effectief en up-to-date in het licht van veranderende technologieën, regelgeving en bedreigingen.

Aangezien auto’s elke dag aanzienlijk meer gegevens genereren, wordt het een uitdaging om al die sensorgegevens efficiënt in de auto te verwerken, te verzamelen en op te slaan en om gegevens naar de cloud over te zetten.

De moderne auto is geëvolueerd van een loutere vervoersbron naar een geconnecteerd voertuig en mobiele gegevensbron die geïndividualiseerde informatie en ruimte voor tweerichtingscommunicatie genereert. De gegevens uit de moderne auto vormen een van de meest waardevolle waarden die kunnen worden afgeleid uit geconnecteerde voertuigen, en vormen de basis voor de volgende generatie elektrische en volledig autonome voertuigen.

Verdere automatisering wordt ongetwijfeld noodzakelijk om voordeel te halen uit deze nieuw bron van voertuig- en consumentengegevens, en om te leren wat er in de auto gebeurt vanaf het moment dat deze wordt bestuurd. Geïntegreerde voertuigsystemen geven een vliegende start aan de datareis in verbonden voertuigen, die wanneer ze volledig worden geanalyseerd, aanleiding geven tot nieuwe en handige gebruikstoepassingen, zoals geoptimaliseerd parkeerbeheer, datagestuurde op gebruik gebaseerde verzekeringen en slimme batterijoplossingen.

In puur technische termen verwijst een onboard systeem naar een computer die is ontworpen om toegang te krijgen tot gegevens in elektronische apparatuur, deze te verzamelen, te analyseren (in het voertuig) en te controleren om een reeks problemen op te lossen.

Hoewel de technologie nog in de kinderschoenen staat, heeft de technologie de vooruitzichten van de wereldwijde auto-industrie veranderd, van ontwerp en productie tot veiligheid en entertainment.

Maar niet elk stukje informatie in deze stroom van gegevens heeft een directe invloed op gebruikersapplicaties en heeft dus weinig zin als het wordt verzamelt, verzonden en opslaggen in de cloud. Vaak hebben de gegevens met betrekking tot voor of na een evenement geen waarde, en heeft alleen het vastleggen abnormale evenement waarde. Bovendien brengt het opslaan van grote hoeveelheden gegevens een kostenoverwegingen met zich mee en is het logisch dat alleen bruikbare en waardevolle gegevens filteren voordat deze naar de cloud worden verzonden de voorkeur heeft.

Om optimale nauwkeurigheid en rijkdom aan datasets te garanderen, en om de bruikbaarheid te maximaliseren, worden sensoren die in de voertuigen zijn ingebed, gebruikt om de gegevens te verzamelen en draadloos te verzenden, tussen voertuigen en clouddiensten, in bijna realtime. Afhankelijk van de gebruiksscenario’s zal dit steeds meer real-time georiënteerd worden, zoals pechhulp en actieve rapportage van chauffeursscores en voertuigscores, is de behoefte aan lagere latentie en doorvoer de noodzakelijk geworden.

Maar hoewel IOT mogelijkheden van 5G dit voor een groot deel oplost, zijn de kosten voor het verzamelen en verzenden van gegevens naar de cloud nog steeds onbetaalbaar. Dit maakt het absoluut noodzakelijk dat we geavanceerde computersystemen in de auto hebben om edge-verwerking zo efficiënt mogelijk te laten verlopen.

Om de bandbreedte-efficiëntie te vergroten en problemen met gegevenslatentie te verminderen en alleen gebeurtenisgerelateerde informatie met de cloud te delen. Het verwerken en verrijken van gegevens in voertuigen is van cruciaal belang geworden voor dit scenario, om ervoor te zorgen dat voertuigen kunnen functioneren. De applicaties en gegevens zich dichter bij de bron bevinden, wat een snellere doorlooptijd oplevert en de prestaties van het systeem drastisch verbetert.

Het integreren van architectuur met een cloudgebaseerd platform helpt verder bij het creëren van een robuust, end-to-end communicatiesysteem voor kosteneffectieve beslissingen en efficiëntie.

Dit heeft een breed scala aan toepassingen in verschillende branches waar deze gegevens kunnen worden gebruikt en te gelde worden gemaakt. De meest voor de hand liggende use-case is voor aftermarket- en voertuigonderhoud, waar zeer effectieve algoritmen de gesteldheid van het voertuig in bijna realtime kunnen analyseren om oplossingen voor dreigende voertuigstoringen voor voertuigactiva zoals motor, olie, batterij, banden enzovoort voor te stellen. Stel je voor dat je onderweg vastloopt en de pechhulp komt al handig met precies wat er mis is en het benodigde voertuigonderdeel bij zich heeft.

Mobiliteitsintelligentie verkregen door het ontsluiten van de verbonden voertuiggegevens, door deze te analyseren over eerdere en huidige historische trends, is succesvol geweest bij het op nieuwe manieren oplossen van verkeersstroomproblemen.

Dit toont de enorme waarde aan van dergelijke capaciteiten in de auto-industrie. Een hybride oplossing met een effectieve mix van ingebedde synthetische sensoren in de voertuigen, een gedistribueerde computerarchitectuur en een krachtig computing-platform lost niet alleen de data-uitdaging op, maar ook de nadelen van inefficiënte en trage communicatie. Vandaar dat deze systemen in auto’s die zorgen voor gegevens van hoge kwaliteit, in bijna realtime, verreikende gevolgen kunnen hebben.

Het bijhouden van gegevens?

Gegevensverzameling is het algemene proces van het identificeren, verzamelen en organiseren of categoriseren van gegevenspunten.

Gegevens worden bijgehouden – of gevolgd – terwijl ze worden gemaakt en/of gewijzigd via interactie door individuen of andere componenten. Gegevensverzameling is van toepassing op zowel hardware als software en is het ophalen van informatie over een toestand of proces.

Gegevensverzameling identificeert gegevens die relevant zijn.

Het doel is om één enkele ‘bron van waarheid’ te creëren.

Die niet statisch is en voortdurend gewijzigd en aangevuld telkens wanneer een situatie zich voordoet. Het wijzigen/verzamelen van gegevens over een nieuwe gebeurtenis, entiteit of gebeurteniseigenschap.

Het is het beste om dingen waar mogelijk eenvoudig te houden, wat betekent dat je geen stapels evenementen toevoegt en ook niet probeert om meerdere stadia in één keer aan te pakken. Er zijn mogelijk honderden of duizenden gebeurtenissen nodig om correct te beschrijven wat er gebeurt.

Gebruikerseigenschappen slaan details op over gebruikers, demografische gegevens, kenmerken, enz.

Een constante beweging: gegevens staan niet vast een bewegend doel dat meegroeit met de behoeften. Vooruitzien en planning: ‘instellen en vergeten’, vereist langetermijndenken en een vooruitziende blik, vooral als het gaat om welke tools en technologieën er nodig zijn.

Het is vrijwel onmogelijk om het proces om datagestuurd te worden te overhaasten.

Alleen dan kunnen we aan de slag om gebeurtenissen te identificeren die moeten worden gevolgd (en hoe deze gebeurtenissen verband houden met entiteiten).

We hebben het recht op bezwaar maar het uitoefenen van dit recht is soms onnodig ingewikkeld. Door administratieve barrières en verschillen van inzicht op het recht van bezwaar.

Het recht om bezwaar te maken en de relatie met het recht om te wissen bij klachten van betrokkenen. De toepassing van artikel 21 (recht van bezwaar) wordt vaak gecombineerd met de uitoefening van het recht op gegevenswissing, zoals verankerd in artikel 17. Artikel 17, lid 1, onder c), erkent dit recht wanneer de betrokkene bezwaar maakt tegen de verwerking overeenkomstig artikel 21 (1) en er geen doorslaggevende legitieme gronden zijn voor gegevensverwerking,1 of wanneer de betrokkene bezwaar maakt tegen gegevensverwerking voor directmarketingdoeleinden (artikel 21, lid 2 AVG).

De meeste zaken waartoe de toezichthoudende autoriteiten op grond van artikel 21 besluiten, hebben betrekking op het gebruik van persoonsgegevens voor direct marketing (artikel 21, lid 2) en niet op bezwaren tegen de verwerking van gegevens bij de uitvoering van taken van algemeen belang, in de uitoefening van openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend, of op basis van gerechtvaardigde belangen (artikel 21, lid 1). In de onderzochte gevallen is er dus regelmatig een verband tussen het verzoek om elke verdere verwerking van persoonsgegevens voor marketingdoeleinden stop te zetten en het verzoek om eerder verzamelde gegevens te wissen.

Tegen deze achtergrond kenmerkt de jurisprudentie over artikel 21 zich door twee hoofdreeksen van problemen, zoals die naar voren komen uit de besluiten die zijn genomen in het kader van het samenwerkingsmechanisme waarin artikel 60 AVG voorziet: (i) kwesties met betrekking tot de daadwerkelijke uitoefening van het recht om bezwaar te maken door betrokkenen, en (ii) kwesties met betrekking tot de procedure die wordt gevolgd door gegevensbeheerders en verwerkers bij het afhandelen van klachten van betrokkenen.

Drie specifieke elementen die relevant zijn voor de uitoefening van het recht om bezwaar te maken: (i) de informatie die aan de betrokkene wordt verstrekt over het recht om bezwaar te maken,3 (ii) de oplossingen – inclusief technische oplossingen – die zijn aangenomen om de uitoefening van dit recht gemakkelijker, en (iii) de implementatie van passende procedures om dergelijke verzoeken te behandelen. De eerste twee elementen worden in deze paragraaf besproken, terwijl de laatste in paragraaf II.3.

Verschillende gevallen betreffen niet-naleving van de AVG omdat de verwerkingsverantwoordelijke de betrokkenen geen informatie heeft verstrekt over het recht om bezwaar te maken, in tegenstelling tot artikel 13, lid 2, onder b) [EDPBI:ES:OSS:D:2021:263] .4 Een voorbeeld hiervan was een in 2021 besloten zaak waarin de klager direct marketing per e-mail van een bank ontving zonder informatie te ontvangen over het recht om bezwaar te maken tegen de verwerking van persoonsgegevens voor directmarketingdoeleinden, overeenkomstig artikel 21, lid 4 AVG [EDPBI:NO:OSS:D:2021:292]. Betrokkenen werden getarget met directmarketing-e-mails zonder de mogelijkheid om zich af te melden bij het registreren van hun e-mailadressen, en konden dit alleen doen door hun voorkeuren te wijzigen nadat ze toegang hadden tot de onlinebankierservice, of door contact op te nemen met de klantenservice.

De verwerkingsverantwoordelijke kan de uitoefening van de rechten van betrokkenen vergemakkelijken en dat, in het kader van diensten van de informatiemaatschappij, het recht om bezwaar te maken op geautomatiseerde wijze kan worden uitgeoefend met behulp van technische oplossingen. Hoewel tekortkomingen met betrekking tot de uitoefening van de recht van bezwaar maken vaak deel uit van een breder gebrek aan naleving door gegevensbeheerders, een focus op het ontwerp van de juridische en technische oplossingen die worden gebruikt om de uitoefening van dit recht mogelijk te maken. In de onderzochte gevallen werd de betrokkenen niet om een verzoek in juridische termen gevraagd, aangezien zelfs een generiek verzoek om geen verdere marketingboodschappen te ontvangen (zoals “Ik vraag om een garantie dat dit zichzelf niet zal herhalen”,) als passend kan worden beschouwd.