Jeroen Terstegge Profile picture
Jul 4 17 tweets 10 min read
🔥🔥 1/ European Commission reprimands Dutch Data Protection Authority (AP) over its position on legitimate interest.
nrc.nl/nieuws/2022/07…
#GDPR #privacy
2/ In its letter to the AP, the Commission writes:
“The strict interpretation by the Dutch regulator constitutes a serious obstacle for companies to process personal data for commercial reasons, because they would have to obtain consent from every data subject.” #GDPR #privacy
3/ According to Brussels, the Dutch supervisory authority does not strike the right balance between the right to data protection on the one hand and the freedom of undertaking on the other. #GDPR #privacy
4/ The Commission ends the letter with an "invitation" to the AP to change its position. In his response, AP chairman Aleid Wolfsen refuses to reconsider his opinion. #GDPR #privacy
5/ Earlier, the AP lost a case based on this position in court. The State Council, the top administrative court that oversees all decisions of the AP, is expected to rule on the AP’s appeal this week. #GDPR #privacy
Full letter of the European Commission to the AP here: static.nrc.nl/2022/pdf/lette…
#GDPR #privacy
6/ So what is the problem with the Dutch AP’s position? Let me explain here. 👇
#GDPR #privacy
7/ On November 1, 2019, the AP published its guidance on legitimate interest. autoriteitpersoonsgegevens.nl/sites/default/…
The guidance states that a “strictly commercial purpose” cannot be a legitimate interest. #GDPR #privacy
8/ It is important to understand that legitimate interest in the #GDPR has a 3-step test:
1. the controller must have a legitimate interest,
2. the data processing must be necessary for such interest,
3. the controller’s interests must outweigh the data subject’s interest.
9/ According to the AP, a strictly commercial interest does not pass step 1. This means that the other two steps are no longer relevant. #GDPR #privacy
10/ This position is wrong, because private sector controllers may pursue every interests that are not prohibited by law. This means that only prohibited interests are not legitimate interests. #GDPR #privacy
11/ Therefore, the AP should allow private sector controllers to pursue commercial interests (step 1), but its restrictions are set forth by the necessity test (step 2) and the balancing of interests test (step 3). #GDPR #privacy
12/ The heart of this dispute is about whether processing of personal data for commercial interests is categorically prohibited without consent or contract, or whether this must be determined on a case by case basis. #GDPR #privacy
13/ Personally, I disagree with the AP’s position. Freedom of enterprise means that private sector controllers can pursue any interest that is not prohibited by law. Therefore, the balancing of interests test (step 3) decides whether such processing is allowed, not step 1. #GDPR
14/ AP Chairman Wolfsen fears that private sector controllers will abuse art. 6(1)(f) #GDPR by tipping the scales of the balancing test in their favor. However, it is not the AP’s place to change the law. It’s task is to supervise the correct performance of the balancing test.
15/ AP Chairman Wolfsen’s reply letter to the Commission can be found here: pastefile.com/ppfss7
H/T @simonhania
#GDPR #privacy

• • •

Missing some Tweet in this thread? You can try to force a refresh
 

Keep Current with Jeroen Terstegge

Jeroen Terstegge Profile picture

Stay in touch and get notified when new unrolls are available from this author!

Read all threads

This Thread may be Removed Anytime!

PDF

Twitter may remove this content at anytime! Save it as PDF for later use!

Try unrolling a thread yourself!

how to unroll video
  1. Follow @ThreadReaderApp to mention us!

  2. From a Twitter thread mention us with a keyword "unroll"
@threadreaderapp unroll

Practice here first or read more on our help page!

More from @PrivaSense

Sep 23, 2021
1/ Met 100 miljoen (lees: huidige budget x4) zou de klachtenafhandeling vermoedelijk maar van 0.04 naar 0.16 procent gaan. En het opvolgen van gemelde datalekken van 0.3 naar 1.2 procent. #AVG #privacy #rijksbegroting
2/ Het toezichtsmodel en eigenlijk de hele AVG is hopeloos achterhaald, want gebaseerd op principes die bedacht zijn in de jaren ‘70, toen computers nog mainframes waren en gegevensverwerkingen nog overzichtelijk.
linkedin.com/pulse/do-we-ne…
#AVG #privacy
3/ De AP’s van deze wereld kunnen de oorlog sowieso niet winnen (lees: de informatiesamenleving in goede banen leiden). Die verantwoordelijkheid ligt bij de regeringen en de EU.
#AVG #privacy
Read 14 tweets
Jun 14, 2021
ICT is onveilig. Onze eerste reactie is nog steeds om regels te maken voor het gebruik daarvan. En dus doen we DPIA’s en audits, stellen we CISO’s, privacy officers en FG’s aan, en introduceren we documentatie- en rapportageverplichtingen. fd.nl/ondernemen/138…. @ZelYassini
2/ Maar laten we wel wezen: wie moet hier nu eigenlijk zijn leven beteren? De gebruiker, de IT-er, of de developer? Wie het ook is, laten we in ieder geval alsjeblieft ophouden met dit soort flauwekul als het voorstel van @ZelYassini.
3/ Ooit moest er voor elke auto een man met een rode vlag lopen (verantwoordelijkheid van de gebruiker), maar auto’s werden pas echt interessant toen de fabrikanten verplicht werden om er remmen en gordels in te bouwen.
Read 5 tweets
Apr 29, 2021
Time is a serious operational problem for #GDPR enforcement. Today, the Dutch DPA issued a fining report of 58 pages. Last week the Spanish AEPD needed 184 pages! It takes time to draft these reports, as each one is unique. Not counting the time spent on the investigation.
2/ Data Protection Authorities are not in the business of writing books. They are in the business of enforcing the #GDPR. But if GDPR enforcement requires decisions of the volume of books, such enforcement can never be systematic or high-volume (like traffic fines).
3/ Ergo, the DPA-model, which dates back from the ‘70’s/80’s, when data processing operations were limited and easy to oversee/investigate, is not sustainable in our information society. Resources are limited by default, and selective enforcement violates the equality principle.
Read 9 tweets
Apr 9, 2021
De voorbeelden van de @Consumentenbond lijken eerder een overtreding van de #AVG. Bij kinderen legt de AVG de lat voor het gerechtvaardigd belang hoger. Hoe jonger het kind, hoe hoger de lat. En dus is gericht monitoren van het online klikgedrag van kinderen al snel uit den boze.
2/ Er is in Brussel uitgebreid gesproken over de bescherming van kinderen. Kinderen worden door de #AVG gezien als kwetsbare groep. En hoewel er maar weinig specifieke regels zijn voor kinderen, zijn er veel meer regels over verwerking van data over kwetsbare groepen, zoals ...
3/ Naast art. 6.1.f en 8, art. 12 (begrijpelijkheid van communicatie), art. 22 (profiling met significante effecten), art. 25 (privacy by design), en art. 35 (DPIAs). Je moet non-compliance niet verwarren met slechte bescherming.
Read 5 tweets
Jan 29, 2021
1/ Uitstekende column van @TijmenWisman.
Met kanttekening dat NL er juist voor heeft geijverd om de volledige doorbreking van de doelbinding zoals voorgesteld door de EurCie in art. 6.4 #AVG af te zwakken naar de regeling die we al kenden in art. 9(2) Wbp.
bijvoorbaatverdacht.nl/het-dreigende-…
2/ In het oorspronkelijke voorstel (2012) stond in art. 6.4 #AVG dat IEDER nevengebruik van gegevens was toegestaan, zolang er maar een nieuwe grondslag was. NL heeft er voor geijverd om dit in lijn te brengen met het advies WP 203 van de Art. 29 Werkgroep (en art. 9 lid 2 Wbp)
3/ Nevengebruik mag ex art. 6.4 #AVG maar in 3 gevallen:
1. Wettelijk verplichting (mits binnen grenzen art. 8 EVRM en art. 52 Handvest).
2. Restrictieve belangenafweging, waarbij de contextuele integriteit en de waarborgen voorop staan, of
3. Toestemming van de betrokkene.
Read 14 tweets
Aug 30, 2020
Voor de duidelijkheid: je kan niet kiezen of de #AVG van toepassing is of niet. Dat volgt uit de feiten. Het wetsvoorstel verbiedt impliciet al ‘herleidbaarheid’. En dus zijn de gegevens in de backend van de #CoronaMelder app geen persoonsgegevens en is de AVG dus nu al nvt. 1/x
Mijn advies in de second opinion is om dat explicieter in het wetsvoorstel op te schrijven, zodat alle twijfel over de vraag of de #AVG van toepassing is of niet wordt weggenomen. 2/x
Verder is het natuurlijk niet zo dat #privacy en informatiebeveiliging in en om de #CoronaMelder app alleen maar kunnen worden gewaarborgd als de #AVG van toepassing is. Dat dat kan worden bereikt zonder de AVG hebben de bouwers wel laten zien. 3/x
Read 5 tweets

Did Thread Reader help you today?

Support us! We are indie developers!


This site is made by just two indie developers on a laptop doing marketing, support and development! Read more about the story.

Become a Premium Member ($3/month or $30/year) and get exclusive features!

Become Premium

Don't want to be a Premium member but still want to support us?

Make a small donation by buying us coffee ($5) or help with server cost ($10)

Donate via Paypal

Or Donate anonymously using crypto!

Ethereum

0xfe58350B80634f60Fa6Dc149a72b4DFbc17D341E copy

Bitcoin

3ATGMxNzCUFzxpMCHL5sWSt4DVtS8UqXpi copy

Thank you for your support!

Follow Us on Twitter!

:(