persoonsgegevens

Persoonsgegevens vormen de kern van de AVG (Algemene Verordening Gegevensbescherming). Het doel van de verordening: is vastleggen wat organisaties moeten beschermen.

Het probleem is dat de AVG geen expliciete lijst biedt van wat wel of geen persoonlijke gegevens zijn. Het is aan organisaties om de definitie van de AVG correct te interpreteren:

‘Persoonsgegevens’ betekent alle informatie met betrekking tot een geïdentificeerde of identificeerbare natuurlijke persoon (‘betrokkene’)

Met andere woorden, persoonlijke gegevens zijn alle gegevens die informatie bevatten die duidelijk over een bepaald persoon gaan.

De AVG verduidelijkt verder dat informatie als persoonlijke gegevens wordt beschouwd wanneer een individu kan worden geïdentificeerd, direct of indirect, “door verwijzing naar een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of naar een of meer factoren die specifiek zijn voor de fysieke, fysiologische, genetische, mentale, economische, culturele of sociale identiteit van die natuurlijke persoon”.

In bepaalde omstandigheden kunnen iemands IP-adres, haarkleur, baan of politieke opvattingen als persoonlijke gegevens worden beschouwd.

Het is de moeite waard om de kwalificatie ‘in bepaalde omstandigheden’ te benadrukken, omdat de vraag of informatie als persoonlijke gegevens wordt beschouwd vaak afhangt van de context waarin deze wordt verzameld.

We verzamelen doorgaans veel verschillende soorten informatie over mensen, en zelfs als één stukje data iemand niet individualiseert, kan het relevant worden naast andere informatie.

Een gegevensbeheerder die informatie opvraagt ​​over mensen die producten downloaden van zijn website, kan hen bijvoorbeeld vragen hun beroep op te geven. Dit valt niet onder de reikwijdte van persoonlijke gegevens van de AVG, omdat functietitels doorgaans niet uniek zijn voor één persoon.

Op dezelfde manier zou een organisatie kunnen vragen voor welk bedrijf ze werken, wat wederom niet kan worden gebruikt om iemand te identificeren, tenzij deze de enige werknemer is.

In veel gevallen kunnen deze stukjes informatie echter samen worden gebruikt om het aantal natuurlijke, levende personen zodanig te beperken dat je redelijkerwijs iemands identiteit kunt vaststellen.

Met andere woorden: als u verwijst naar iemand met een specifieke functietitel bij een specifieke organisatie, is er mogelijk maar één persoon die aan die beschrijving voldoet.

Je zou kunnen denken dat iemands naam een ​​duidelijk voorbeeld van persoonlijke gegevens is; dit definieert jou letterlijk als jij.

Veel namen zijn niet uniek. Op die manier kun je veel individuen uitsluiten, maar je kunt geen specifieke persoon aanwijzen.

Alleen wanneer u een naam combineert met andere informatie – zoals een adres, een telefoonnummer of een werkplek – wordt een gewone naam een ​​persoonsgegevens.

Zoals we hebben uitgelegd, kan het lastig zijn om te zeggen of bepaalde informatie voldoet aan de AVG-definitie van persoonlijke gegevens.

Wat kunnen persoonlijke gegevens zijn, op zichzelf of in combinatie met aanvullende informatie?

Biografische informatie of huidige woonsituatie, inclusief namen, adressen, geboortedata en -plaatsen, nationale identificatienummers, telefoonnummers en e-mailadressen.

Uiterlijk, uiterlijk en gedrag, waaronder oogkleur, schoenmaat, karaktereigenschappen en winkelgedrag.

Werkplekgegevens en informatie over opleiding, inclusief salaris of andere verdiensten, belastinggegevens en studentnummers.

Privé- en subjectieve gegevens, waaronder religie, politieke opvattingen en geolocatiegegevens.

Gezondheid, ziekte en genetica, inclusief medische geschiedenis, genetische gegevens en informatie over ziekteverlof.

Als u niet zeker weet of de informatie die u opslaat persoonlijke gegevens zijn, wees dan voorzichtig.

Zorg ervoor dat u voldoet aan de beginselen voor gegevensbescherming. Verwerk alleen gegevens die nodig zijn voor een bepaald doel. Houd het up-to-date, en alleen zolang het aan dat doel voldoet.

Houd het ook veilig. ‘Integriteit en vertrouwelijkheid’ is een expliciet principe onder de AVG. Maar ongeacht of de informatie als ‘persoonlijke gegevens’ wordt beschouwd, wil je niet dat deze in verkeerde handen komt.

Digital Services Act (DSA)

De Europese Digital Services Act (DSA) introduceert een reeks nieuwe wettelijke verplichtingen die waarschijnlijk zullen leiden tot een levendig ecosysteem dat is gericht op het helpen van platforms om te voldoen aan de nalevingsvereisten en -kansen die de wetgeving biedt.

Bestaande platformen kunnen hun bedrijfsmodellen aanpassen om aan de behoeften van de DSA te voldoen, door nieuwe oplossingen en eenheden te ontwikkelen, terwijl geheel nieuwe ondernemingen kunnen ontstaan ​​om te profiteren van de opkomende vraag naar diensten.

Diensten voor buitengerechtelijke geschillenbeslechting die gespecialiseerd zijn in beslissingen over contentmoderatie: tot nu toe konden gebruikers die te maken kregen met handhavingsmaatregelen van platforms, zoals schorsing, demonetisering of verwijdering van content, alleen in beroep gaan tegen deze beslissingen via de interne processen van het platform.

De DSA introduceert een optie voor buitengerechtelijke geschillenbeslechting, waarmee gebruikers deze beslissingen kunnen aanvechten via gecertificeerde geschillenbeslechtingsinstanties.

De DSA vereist dat zeer grote onlineplatforms (VLOP’s) en zoekmachines (VLOSE’s) jaarlijkse risicobeoordelingen uitvoeren om systemische risico’s die verband houden met hun diensten te identificeren, analyseren en evalueren, vooral voordat belangrijke functionaliteiten worden geïmplementeerd.

De DSA vereist dat gecertificeerde vertrouwde flaggers rapporten over illegale inhoud indienen bij platforms en prioriteit krijgen bij de beoordeling.

Aangezien vertrouwde flaggers voornamelijk onderzoeksinstellingen, maatschappelijke organisaties en non-profitorganisaties zullen zijn, zullen er ook nieuwe bedrijven zijn die zich toeleggen op het ondersteunen of opzetten van systemen voor vertrouwde flaggers.

Deze bedrijven zullen de rapportage van schadelijke inhoud verbeteren, zoals vereist door de DSA. Potentiële organisaties die deze missie op zich kunnen nemen, zijn onafhankelijke adviesbureaus of overkoepelende organisaties.

Deze bedrijven helpen toezichthouders bij het detecteren en analyseren van schadelijke content op platforms. Door bewijs van dergelijke content te leveren, kunnen toezichthouders voldoende gronden verzamelen om onderzoeken te starten of verzoeken om informatie naar de platforms te sturen.

Sommige toezichthouders kunnen een aanzienlijke toename van hun operationele belasting ervaren vanwege de noodzaak om de DSA te implementeren en te handhaven.

De DSA wijst lokale Digital Services Coordinators (DSC’s) aan om verantwoordelijkheden af ​​te handelen zoals auditing, onderzoek, toezicht op risicobeoordelingsprocessen, certificering van vertrouwde flaggers, beheer van individuele klachten en meer.

Lidstaten met een grote vertegenwoordiging van VLOP-hoofdkantoren, zoals Ierland, zullen effectieve operationele maatregelen moeten toepassen, zoals prioritering en stroomlijning, om hun verplichtingen als DSC’s effectief na te komen.

Bedrijven die platforms aanbieden die gespecialiseerd zijn in wachtrijbeheer, workflowautomatisering, beheer van serviceaanvragen of resourceplanning, kunnen potentiële kandidaten zijn voor deze missie.

DSA-gereedheidsconsultatie: hoewel VLOP’s en VLOSE’s grote teams hebben die zich toeleggen op het waarborgen van naleving van de DSA en experts op het gebied van naleving van regelgeving kunnen inhuren, zullen kleine en middelgrote platforms te maken krijgen met aanzienlijke uitdagingen bij het naleven van de nieuwe wet. Deze platforms, die mogelijk minder bekend zijn met de DSA, hebben nog steeds veel onzekerheden met betrekking tot hun naleving.

Bijgevolg kunnen we een toename verwachten van nalevingsgereedheidsservices die de producten, beleidsregels en processen van een platform beoordelen en adviseren over manieren om eventuele risico’s op niet-naleving te beperken. Er zullen adviesbureaus ontstaan ​​om bedrijven te begeleiden bij de overgang naar DSA-naleving, om ervoor te zorgen dat ze alle wettelijke verplichtingen begrijpen en nakomen.

De DSA is niet alleen hervormt het regelgevingslandschap voor digitale diensten in Europa, maar fungeert ook als katalysator voor de groei van een robuust bedrijfsecosysteem, met kansen variërend van compliance-ondersteuning tot buitengerechtelijke geschillenbeslechting. De omvang van de commerciële kans is in dit vroege stadium moeilijk in te schatten, net als de effecten van de opkomst van deze nieuwe regelgevende economie.