Here is a little thread you need to know about the #GDPR and accountability ππ #eudatap#privacy
Chapters 2, 5 and 9 #GDPR contain the rules for processing personal data. However, 100% compliance with these rules is impossible in practice. #eudatap#privacy
So, during the #GDPR negotiations, the EU Council of Ministers pushed hard on the accountability principle enshired in Chapter 4. They called it "the risk-based approach". #eudatap#privacy
The risk-based approach means controllers (and to some extent also processors) must do their homework to limit risk and be compliant. #eudatap#privacy
'Homework' means a.o. carrying out a DPIA if risks are high (art.35 #GDPR), taking appropriate security measures taking into account costs and state of art (art.32) and appointing a DPO (art.37). #eudatap#privacy
However, there are limits to how much homework is required. DPIA's are only required when the risk is likely high. Most organization are not required to have a DPO, etc. #eudatap#privacy#GDPR
The only non risk-based article in Chapter 4 #GDPR is art. 30 (data registry), although a not very useful exception for SME's is included in there. #eudatap#privacy
So, #GDPR accountability means: doing your homework where appropriate and the best you can. But there is no obligation to stive to eleminate all risk and be 100% compliant with the material rules. #eudatap#privacy
Or as a high civil servant of the European Commission once put it: "the measures don't need to be perfect, only good enough". #eudatap#privacy#GDPR
A good example of homework not required is a recent case in a Dutch court. A process server inquiring for information acts as a civil servant and is subject to disciplinary rules. The employer probably afraid of a data breach refused to disclose the personal data. #GDPR#privacy
The Court said that given the legal status of the process server, there was no #GDPR duty for the employer to verify the existence of the court order and he was required to disclose the data under procedural law. #eudatap#privacy
So basically the Court rightfully implied that any #GDPR liability aring from an unauthorized disclosure would in such case be the problem of the process server, not the disclosing employer. Same for fines. #eudatap#privacy
In contrast, another Dutch court recently prohibited an employer from implementing biometrics. The Court concluded that the employer had failed to do his #GDPR homework (necessity assessment, DPIA), so given art.9, the biometrics were disproportionate. #eudatap#privacy
The risk-based approach in Chapter 4 #GDPR means that a controller/processor cannot be fined nor held liable if he has done his homework and the extent if such homework was appropriate given the circumstamces. #eudatap#privacy
Not doing the #GDPR homework or doing it only half-baked given the circumstances may result in fines, liability and sometimes being barred from processing personal data. #eudatap#privacy
All you need to do is to find the level of appropriateness of the measures you implement or carry out to comply with the #GDPR in light of the risks involved, the costs and the state of art, best practices and the law (non-GDPR). There is no need to eliminate all risk. #privacy
β’ β’ β’
Missing some Tweet in this thread? You can try to
force a refresh
1/ Tijd voor een cursus #AVG voor journalisten π€ @tweakers meldt: ββ¦dat de klantendata naar China worden gestuurd, wat in strijd is met de AVG.β Is dat zo? Een draadjeβ¦ tweakers.net/nieuws/199310/β¦
2/ Als ik dit verhaal goed begrijp, is de verwerkingsverantwoordelijke een bedrijf in China, waar eigenaren van zonnepanelen in Nederland een account hebben. Hun apparatuur stuurt de gegevens rechtstreeks naar China.
π₯π₯ 1/ European Commission reprimands Dutch Data Protection Authority (AP) over its position on legitimate interest. nrc.nl/nieuws/2022/07β¦ #GDPR#privacy
2/ In its letter to the AP, the Commission writes:
βThe strict interpretation by the Dutch regulator constitutes a serious obstacle for companies to process personal data for commercial reasons, because they would have to obtain consent from every data subject.β #GDPR#privacy
3/ According to Brussels, the Dutch supervisory authority does not strike the right balance between the right to data protection on the one hand and the freedom of undertaking on the other. #GDPR#privacy
1/ Met 100 miljoen (lees: huidige budget x4) zou de klachtenafhandeling vermoedelijk maar van 0.04 naar 0.16 procent gaan. En het opvolgen van gemelde datalekken van 0.3 naar 1.2 procent. #AVG#privacy#rijksbegroting
2/ Het toezichtsmodel en eigenlijk de hele AVG is hopeloos achterhaald, want gebaseerd op principes die bedacht zijn in de jaren β70, toen computers nog mainframes waren en gegevensverwerkingen nog overzichtelijk. linkedin.com/pulse/do-we-neβ¦ #AVG#privacy
3/ De APβs van deze wereld kunnen de oorlog sowieso niet winnen (lees: de informatiesamenleving in goede banen leiden). Die verantwoordelijkheid ligt bij de regeringen en de EU. #AVG#privacy
ICT is onveilig. Onze eerste reactie is nog steeds om regels te maken voor het gebruik daarvan. En dus doen we DPIAβs en audits, stellen we CISOβs, privacy officers en FGβs aan, en introduceren we documentatie- en rapportageverplichtingen. fd.nl/ondernemen/138β¦. @ZelYassini
2/ Maar laten we wel wezen: wie moet hier nu eigenlijk zijn leven beteren? De gebruiker, de IT-er, of de developer? Wie het ook is, laten we in ieder geval alsjeblieft ophouden met dit soort flauwekul als het voorstel van @ZelYassini.
3/ Ooit moest er voor elke auto een man met een rode vlag lopen (verantwoordelijkheid van de gebruiker), maar autoβs werden pas echt interessant toen de fabrikanten verplicht werden om er remmen en gordels in te bouwen.
Time is a serious operational problem for #GDPR enforcement. Today, the Dutch DPA issued a fining report of 58 pages. Last week the Spanish AEPD needed 184 pages! It takes time to draft these reports, as each one is unique. Not counting the time spent on the investigation.
2/ Data Protection Authorities are not in the business of writing books. They are in the business of enforcing the #GDPR. But if GDPR enforcement requires decisions of the volume of books, such enforcement can never be systematic or high-volume (like traffic fines).
3/ Ergo, the DPA-model, which dates back from the β70βs/80βs, when data processing operations were limited and easy to oversee/investigate, is not sustainable in our information society. Resources are limited by default, and selective enforcement violates the equality principle.
De voorbeelden van de @Consumentenbond lijken eerder een overtreding van de #AVG. Bij kinderen legt de AVG de lat voor het gerechtvaardigd belang hoger. Hoe jonger het kind, hoe hoger de lat. En dus is gericht monitoren van het online klikgedrag van kinderen al snel uit den boze.
2/ Er is in Brussel uitgebreid gesproken over de bescherming van kinderen. Kinderen worden door de #AVG gezien als kwetsbare groep. En hoewel er maar weinig specifieke regels zijn voor kinderen, zijn er veel meer regels over verwerking van data over kwetsbare groepen, zoals ...
3/ Naast art. 6.1.f en 8, art. 12 (begrijpelijkheid van communicatie), art. 22 (profiling met significante effecten), art. 25 (privacy by design), en art. 35 (DPIAs). Je moet non-compliance niet verwarren met slechte bescherming.