1/ Tijd voor een cursus #AVG voor journalisten 🤔 @tweakers meldt: “…dat de klantendata naar China worden gestuurd, wat in strijd is met de AVG.” Is dat zo? Een draadje… tweakers.net/nieuws/199310/…
2/ Als ik dit verhaal goed begrijp, is de verwerkingsverantwoordelijke een bedrijf in China, waar eigenaren van zonnepanelen in Nederland een account hebben. Hun apparatuur stuurt de gegevens rechtstreeks naar China.
3/ Er staat nergens in de #AVG dat Chinese bedrijven geen data in Nederland mogen verzamelen. Wat er wél in de AVG staat, is dat verwerkingsverantwoordelijken in China zich aan de AVG moeten houden als zij goederen of diensten aanbieden aan gebruikers in Nederland.
4/ En dus moeten zij hun database goed beveiligen, een privacyverklaring opstellen, privacy-by-design in hun apparatuur inbouwen, en zo nog wat zaken die de #AVG voorschrijft.
5/ Maar een verbod op het verzamelen van persoonsgegevens van Nederlandse klanten en die in China opslaan, staat niet in de #AVG. Daarvoor moet er namelijk een data exporteur zijn in Nederland, die zelf ook een AVG-rol heeft bij de gegevensverwerking in kwestie.
6/ En die lijkt er voor deze casus niet te zijn. De #AVG is namelijk niet van toepassing op de eigenaren van de zonnepanelen. En dus is er in juridische zin geen sprake van verboden data export naar China.
7/ Dat zou alleen anders zijn als een Nederlands installatiebedrijf de gegevens naar China zou sturen. Maar als een Nederlandse klant zelf een account aanmaakt (of hij laat de installateur dat voor hem doen), dan is er geen sprake van data export naar China.
8/ Dus dames en heren journalisten, voordat u de #AVG erbij sleept in uw artikel, ga aan de hand van de casus even na of uw bewering wel klopt. U mag me altijd even bellen om de feiten juridisch te checken.
9/ Dat gezegd hebbende, met de toename van slimme apparaten in onze huishoudens zullen we steeds vaker zien dat de #AVG van toepassing is op niet-Europese fabrikanten, die niet per se een vestiging in de EU hebben.
10/ De handhaving van de #AVG jegens zo’n Chinees bedrijf zal waarschijnlijk lastig blijken. De @toezicht_AP is al overbelast en handhaving in China zal bij de AP waarschijnlijk geen prioriteit hebben.
• • •
Missing some Tweet in this thread? You can try to
force a refresh
🔥🔥 1/ European Commission reprimands Dutch Data Protection Authority (AP) over its position on legitimate interest. nrc.nl/nieuws/2022/07… #GDPR#privacy
2/ In its letter to the AP, the Commission writes:
“The strict interpretation by the Dutch regulator constitutes a serious obstacle for companies to process personal data for commercial reasons, because they would have to obtain consent from every data subject.” #GDPR#privacy
3/ According to Brussels, the Dutch supervisory authority does not strike the right balance between the right to data protection on the one hand and the freedom of undertaking on the other. #GDPR#privacy
1/ Met 100 miljoen (lees: huidige budget x4) zou de klachtenafhandeling vermoedelijk maar van 0.04 naar 0.16 procent gaan. En het opvolgen van gemelde datalekken van 0.3 naar 1.2 procent. #AVG#privacy#rijksbegroting
2/ Het toezichtsmodel en eigenlijk de hele AVG is hopeloos achterhaald, want gebaseerd op principes die bedacht zijn in de jaren ‘70, toen computers nog mainframes waren en gegevensverwerkingen nog overzichtelijk. linkedin.com/pulse/do-we-ne… #AVG#privacy
3/ De AP’s van deze wereld kunnen de oorlog sowieso niet winnen (lees: de informatiesamenleving in goede banen leiden). Die verantwoordelijkheid ligt bij de regeringen en de EU. #AVG#privacy
ICT is onveilig. Onze eerste reactie is nog steeds om regels te maken voor het gebruik daarvan. En dus doen we DPIA’s en audits, stellen we CISO’s, privacy officers en FG’s aan, en introduceren we documentatie- en rapportageverplichtingen. fd.nl/ondernemen/138…. @ZelYassini
2/ Maar laten we wel wezen: wie moet hier nu eigenlijk zijn leven beteren? De gebruiker, de IT-er, of de developer? Wie het ook is, laten we in ieder geval alsjeblieft ophouden met dit soort flauwekul als het voorstel van @ZelYassini.
3/ Ooit moest er voor elke auto een man met een rode vlag lopen (verantwoordelijkheid van de gebruiker), maar auto’s werden pas echt interessant toen de fabrikanten verplicht werden om er remmen en gordels in te bouwen.
Time is a serious operational problem for #GDPR enforcement. Today, the Dutch DPA issued a fining report of 58 pages. Last week the Spanish AEPD needed 184 pages! It takes time to draft these reports, as each one is unique. Not counting the time spent on the investigation.
2/ Data Protection Authorities are not in the business of writing books. They are in the business of enforcing the #GDPR. But if GDPR enforcement requires decisions of the volume of books, such enforcement can never be systematic or high-volume (like traffic fines).
3/ Ergo, the DPA-model, which dates back from the ‘70’s/80’s, when data processing operations were limited and easy to oversee/investigate, is not sustainable in our information society. Resources are limited by default, and selective enforcement violates the equality principle.
De voorbeelden van de @Consumentenbond lijken eerder een overtreding van de #AVG. Bij kinderen legt de AVG de lat voor het gerechtvaardigd belang hoger. Hoe jonger het kind, hoe hoger de lat. En dus is gericht monitoren van het online klikgedrag van kinderen al snel uit den boze.
2/ Er is in Brussel uitgebreid gesproken over de bescherming van kinderen. Kinderen worden door de #AVG gezien als kwetsbare groep. En hoewel er maar weinig specifieke regels zijn voor kinderen, zijn er veel meer regels over verwerking van data over kwetsbare groepen, zoals ...
3/ Naast art. 6.1.f en 8, art. 12 (begrijpelijkheid van communicatie), art. 22 (profiling met significante effecten), art. 25 (privacy by design), en art. 35 (DPIAs). Je moet non-compliance niet verwarren met slechte bescherming.
1/ Uitstekende column van @TijmenWisman.
Met kanttekening dat NL er juist voor heeft geijverd om de volledige doorbreking van de doelbinding zoals voorgesteld door de EurCie in art. 6.4 #AVG af te zwakken naar de regeling die we al kenden in art. 9(2) Wbp. bijvoorbaatverdacht.nl/het-dreigende-…
2/ In het oorspronkelijke voorstel (2012) stond in art. 6.4 #AVG dat IEDER nevengebruik van gegevens was toegestaan, zolang er maar een nieuwe grondslag was. NL heeft er voor geijverd om dit in lijn te brengen met het advies WP 203 van de Art. 29 Werkgroep (en art. 9 lid 2 Wbp)
3/ Nevengebruik mag ex art. 6.4 #AVG maar in 3 gevallen: 1. Wettelijk verplichting (mits binnen grenzen art. 8 EVRM en art. 52 Handvest). 2. Restrictieve belangenafweging, waarbij de contextuele integriteit en de waarborgen voorop staan, of 3. Toestemming van de betrokkene.