Europese toezichthouders gaan meer samenwerken

Zakenmannen schudden elkaar de hand terwijl collega's op de achtergrond toekijken

Europese privacytoezichthouders gaan nog nauwer met elkaar samenwerken. Zo gaan ze elkaar elk jaar een aantal grote internationale zaken aanwijzen die ze, samen met andere toezichthouders, snel willen oplossen. Verder gaan ze meer informatie onderling uitwisselen over individuele strategieën

Dat schrijft de European Data Protection Board (EDPB) in zijn jaarverslag, meldt de Autoriteit Persoonsgegevens. De EDPB is het samenwerkingsorgaan waarin alle toezichthouders van de EU-lidstaten zijn vertegenwoordigd.

AP handelt meerdere internationale klachten af

De nationale toezichthouders werkten afgelopen jaar bij 506 internationale onderzoeken samen. In totaal werden er 141 afgerond. Eén van die zaken was het onderzoek naar WhatsApp. Dat resulteerde in een boete van 225 miljoen euro. De privacywaakhonden, de Ierse Data Protection Commission (DPC) voorop, kwamen tot de conclusie dat de chatdienst niet transparant genoeg was naar gebruikers over de data die ze verzamelt en voor welke doeleinden.

De Autoriteit Persoonsgegevens leidde vorig jaar tien nieuwe onderzoeken. Tevens trad ze als leidende autoriteit op in 100 internationale datalekken en 195 internationale klachten. Zo legde de Nederlandse toezichthouder een boete van 400.000 euro op aan Transavia. De luchtvaartmaatschappij had de beveiliging van persoonsgegevens niet op orde. Het wachtwoord was makkelijk te raden, er was geen multifactorauthenticatie geïmplementeerd en het netwerk bleek niet gesegmenteerd.

Ook deelde de toezichthouder een boete van 750.000 euro uit aan TikTok. Het sociale netwerk schond de Europese privacywetgeving door de algemene en privacyvoorwaarden enkel in het Engels aan te bieden. Voor jonge, Nederlandse kinderen is het moeilijk te begrijpen welke data het platform van hen verzamelt en wat ze met deze gegevens doet. Dat is in strijd met artikel 12 van de Algemene Verordening Gegevensbescherming (AVG).

Samenwerking intensiveren

De huidige samenwerking bevalt goed, zo zegt AP-bestuursvoorzitter Aleid Wolfsen. “We bewegen steeds meer naar elkaar toe. We doen samen onderzoeken, geven samen uitleg van de bepalingen uit de privacywet. Dat samen optrekken werpt zijn vruchten af.”

Tegelijkertijd beseft Wolfsen zich goed dat de nationale toezichthouders meer kunnen en moeten doen. Daarom hebben ze onderling afgesproken om de ingeslagen koers voort te zetten en de samenwerking te intensiveren.

“Zo wijzen we elk jaar een aantal grote internationale zaken aan die prioriteit hebben en die we snel willen oplossen, met hulp van meerdere toezichthouders. Daarnaast gaan we meer samenwerken in taskforces en wisselen we informatie over onze strategie uit, zodat we elkaar goed aanvullen”, legt de bestuursvoorzitter uit.

‘Persoonsgegevens stoppen niet bij de grens’

Bedrijven die hun diensten in meerdere Europese landen aanbieden en daarbij persoonsgegevens verwerken, hebben in beginsel met één toezichthouder te maken. We noemen dat ook wel One Stop Shop of het een-loketmechanisme. De gedachte hierachter is dat alle klachten over privacyinbreuk bij de juiste toezichthouder terecht komen. Het uitgangspunt is dat de waakhond uit het land waar het bedrijf zijn hoofdkantoor heeft staan, de klacht in behandeling neemt. Dit is de zogeheten leidende toezichthoudende autoriteit.

Misstanden in het ene land hebben vaak ook gevolgen voor de burgers in andere landen. Daarom kijken toezichthouders van alle EU-lidstaten mee naar de onderzoeken van hun collega’s. Ze mogen elkaar zelfs om advies vragen. En dat is niet voor niets.

“Jouw persoonsgegevens stoppen niet bij de grens. De sociale media die je gebruikt zitten in het buitenland, de webwinkel waar je je gegevens achterlaat misschien ook. Als er dan iets misgaat met jouw data in een ander land, is het wel zo fijn dat je je klacht gewoon bij de AP kunt indienen. En dat de toezichthouder ter plaatse de klacht onderzoekt”, legt Wolfsen uit.

Internationale boetes vanwege klachten van Nederlanders

Dit jaar legde de Spaanse toezichthouder AEPD al twee keer een boete op nadat een Nederlander een klacht indiende bij de Autoriteit Persoonsgegevens. Hotel Marins Playa kreeg een boete van 30.000 euro voor het onrechtmatig bewaren en verspreiden van pasfoto’s van gasten. Dit was een te zwaar middel om de identiteit van hotelgasten vast te stellen.

Het Spaanse recruitmentbureau Michael Page kreeg een boete van 240.000 euro aan zijn broek. Het bureau eiste namelijk dat klanten die hun gegevens wilden inzien een kopie van hun identiteitsbewijs moesten overhandigen. Het bedrijf verzamelde in de ogen van de toezichthouder teveel persoonsgegevens om de identiteit van klanten vast te stellen.

Techredacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. Meer over Anton.
Plaats een reactie
Een reactie plaatsen