Vanuit verschillende oogpunten belooft 2022 een boeiend jaar te worden op het vlak van gegevensbescherming. In deze blog gaan we in op de uitdagingen van de nabije toekomst in België en vertalen we deze naar de rol van de DPO. Welke uitdagingen liggen voor ons en waar moeten we naar uitkijken?

1. Samenwerken met de gegevensbeschermingsautoriteiten

Als DPO zijn we het contactpunt tussen de toezichthouder en de organisatie. België heeft een eerder complexe structuur van toezichthouders, zowel regionaal als nationaal. De recente ontwikkelingen bij de Gegevensbeschermingsautoriteit (GBA) en het aangekondigde werk van de Staatssecretaris voor Privacy zullen ervoor zorgen dat dit landschap zal wijzigen.

We kijken reikhalzend uit naar een rustig vaarwater voor onze nationale toezichthouder en zijn benieuwd naar de impact van de geplande wijzigingen op het vlak van de samenwerking tussen de GBA en de DPO’s. Ook op internationaal vlak zal in 2022 de samenwerking tussen gegevensbeschermingsautoriteiten hoog op de agenda blijven staan. De positie van de Ierse autoriteit bijvoorbeeld zal ervoor zorgen dat de discussie over toezicht op GDPR regels, of het gebrek daaraan, onderwerp zal uitmaken van het publieke debat. Al zullen grondige wijzigingen aan het Europese wettelijk kader op dat vlak in 2022 vermoedelijk nog niet aan de orde zijn.

2. Duidelijke regels over het toepassen van GDPR binnen de organisatie

Voor DPO’s was het de afgelopen 3 jaar een uitdagende zoektocht naar de juiste toepassing van het gegevensbeschermingsrecht. De praktische vertaling van het juridische kader is geen sinecure. De eerdere publicatie van een gedragscodes voor cloud providers en notarissen kunnen een eerste stap zijn om meer zekerheid te krijgen over de toepassing van de regels.

Ook de publicatie van tools zoals de Standard Contractual Clauses helpen de DPO in de zoektocht naar conformiteit. Hoewel onzekerheden in het toepassen van GDPR in 2022 zeker niet van de baan zullen zijn, denken we wel dat we een aantal keer een “aha” momentje zullen hebben. Zo is het uitkijken naar trends waarbij Amerikaanse Big Techs zoals Microsoft of Google werken aan een betere afscherming van gegevens tegen Amerikaanse overheidsinmenging. Dergelijke technologische innovaties zijn nodig, want vermoedelijk wordt 2022 niet het jaar van een nieuwe versie van het Privacy Shield om de gegevenstransfer naar de VS te vergemakkelijken. Of deze aankondigingen ook daadwerkelijk een hulpmiddel zullen zijn in de uitwisseling van persoonsgegevens, zal nog moeten blijken.

Wat anderzijds wel zal helpen is het feit dat we een trend opmerken in de werking van de Geschillenkamer van de GBA, die zich langzaam maar zeker aan het wapenen is om beslissingen beter te motiveren en te argumenteren. Hierdoor vermindert de kans dat uitspraken succesvol kunnen worden aangevochten bij het Marktenhof. Uiteindelijk zijn uitspraken van de Geschillenkamer voor de DPO een belangrijke bron om adviezen op te baseren. Ook de aangekondigde hervorming aan het wettelijk kader, zoals de Kaderwet, zal hopelijk meer duidelijkheid brengen, bijvoorbeeld in de toepassing van biometrie in bedrijven.

3. Meer aandacht voor gegevensbescherming in bedrijven

De pandemie zorgt ervoor dat de maatschappelijke discussie over fundamentele rechten en vrijheden meer dan ooit actueel is. Gegevensbescherming is daarbij een belangrijk aspect. De aandacht hiervoor heeft ongetwijfeld een bijdrage geleverd om dit onderwerp hoger op de agenda te zetten binnen bedrijven. Toegegeven, soms zal de aandacht een averechts effect hebben (bijvoorbeeld het onbegrip van werkgevers over het feit dat ze geen toegang krijgen tot vaccinatiegegevens van werknemers), maar (gepercipieerde) slechte reclame is ook reclame. We merken in ieder geval in onze opleidingen vandaag een trend waarbij bedrijven de DPO’s en privacy professional beter begrijpen en meer aandacht geven aan het onderwerp. Daarnaast zullen ongetwijfeld stevige GDPR sancties worden uitgesproken die de aandacht voor het onderwerp zullen versterken (denken we bijvoorbeeld aan de Amazon case en de klachten van NOYB).

4. Marketing en GDPR: betere bescherming voor de consument?

Elk bedrijf of organisatie werkt aan haar marketing. Daarbij worden intensief persoonsgegevens verwerkt. Het is in de sterren geschreven dat 2022 een belangrijk jaar wordt voor GDPR en marketing. Enerzijds wachten we op een uitspraak van de GBA over het Real-Time Bidding-protocol van het Interactive Advertising Bureau Europe (IAB Europe). Meer dan waarschijnlijk zal de organisatie stevig op de vingers worden getikt over de manier waarop persoonsgegevens worden verwerkt op de online veiling voor online advertentieruimte op het internet. Daarnaast zal ook Facebook, het grootste marketing platform ter wereld, flink aan de tand worden gevoeld door de Europese Autoriteiten. En wie weet ziet de ePrivacy regulation het levenslicht in 2022. Maar die wens schrijven we al 4 jaar in onze forecast, voorlopig winnen de vertragingsmanoeuvers van de Big Tech, waardoor er geen witte rook komt. De DPO schrijft marketing best in de jaarplanning van 2022.

5. Certificatie voor producten en diensten

GDPR voorziet in een mechanisme om producten en diensten te beoordelen op hun conformiteit op het vlak van gegevensbescherming. Tot dusver bleven certificatiemodellen en -schema’s echter dode letter. Vijf jaar nadat de GDPR in het Europees Parlement is aangenomen, is er nog steeds geen enkele geaccrediteerde certificeringsinstantie die een echt GDPR-certificaat kan afgeven. Dat is opvallend, want certificatie werd door Europa als een topprioriteit beschouwd. We voorspellen in 2022 eindelijk verandering op dit vlak: in verschillende Europese lidstaten, waaronder Duitsland, werden certificatiemechanismen voorbereid. Na een laatste toets door het Europees Comité voor gegevensbescherming (EDPB) later in 2022 zullen ze klaar zijn voor gebruik. Deze certificatie kan de DPO helpen om specifieke verwerkingen te toetsen aan de GDPR regels en een bewijs van conformiteit voor te leggen, bijvoorbeeld aan klanten die deze producten en diensten zullen afnemen.

Onze wens voor 2022 – 10 jaar DPI, een feestjaar voor de DPO’s!

We wensen uiteraard iedere lezer van deze blog een jaar vol feest, leuke en leerrijke momenten en gezellig samenzijn, allemaal in een goede gezondheid. In ieder geval schrijft DPI haar 10de verjaardag in haar agenda. Naast onze Privacy Café’s, die we hopelijk snel weer kunnen organiseren, zullen we dit feestjaar niet zonder meer laten passeren. Hoewel plannen maken in deze onzekere periode niet evident is, zorgen we voor de gelegenheid om elkaar in levenden lijve te ontmoeten. We zullen onze plannen eerst aan alle lezers van onze nieuwsbrief uit de doeken doen. Nog niet ingeschreven in onze nieuwsbrief? Schrijf je via deze webpagina (onderaan) dan in.