Minder toezicht op dataverwerking? Toezichthouders kritisch op EU-plan
Als het aan de Europese Commissie ligt gaat de ontheffing op de documentatieplicht onder de privacywet AVG voor veel meer organisaties gelden. De Europese toezichthouders wijzen het voorstel niet af, maar plaatsen wel kritische kanttekeningen. Burgerrechtenbewegingen zijn tegen de aanpassingen.
De Europese Commissie stelde begin mei voor om de administratieve lasten als gevolg van de AVG te verminderen. Organisaties zijn nu nog verplicht om bij te houden met welke gevoelige data zij werken in het zogeheten verwerkingsregister. Bedrijven met minder dan 250 werknemers hoeven niet te voldoen aan deze verplichting, tenzij het verwerken van persoonsgegevens hun hoofdactiviteit is. Ook geldt deze uitzondering niet wanneer duidelijk is dat de verwerking van de gegevens een risico kan opleveren voor de rechten en vrijheden van de betrokkenen of er sprake is van bijzondere categorieën van persoonsgegevens, bijvoorbeeld etniciteit, politieke opvattingen of religie.
De Europese Commissie stelt voor deze uitzondering op te rekken van organisaties met ‘minder dan 250 werknemers’ tot ‘minder dan 500 werknemers’. Ook stelt de EC voor in de tekst een aanscherping te maken. Nu geldt de uitzondering nog wanneer sprake is van ‘een risico’ bij de verwerking van gegevens; dat zou worden aangescherpt naar ‘een hoog risico’.
Toezichthouders willen meer onderbouwing
De EC deed het voorstel in een brief aan de European Data Protection Board (EDPB) en de European Data Protection Supervisor (EDPS). Die reageren met steun voor het initiatief om de administratieve lastendruk te verminderen. Ze vragen echter de EC een analyse uit te voeren naar het aantal organisaties dat kan profiteren van de voorgestelde versoepeling en de gevolgen voor de bescherming van persoonsgegevens.
Ze maken zich zorgen dat de risico-gebaseerde benadering onder druk komt te staan en wijzen op het belang daarvan. Zelfs kleine organisaties kunnen aan risicovolle dataverwerking doen. Daarom is een individuele beoordeling erg belangrijk. De brief van de EC aan de Europese toezichthouders was een voorlopig voorstel. Later dit jaar volgt nog een formele consultatie.
Burgerrechten tegen herzieningen in AVG
Gisteren publiceerde European Digital Rights (EDRi) — een samenwerkingsverband van 108 maatschappelijke organisaties, academici en andere betrokkenen bij het waarborgen van digitale rechten — een open brief waarin zij hun zorgen uiten over voorgestelde aanpassingen. Zij zien het heropenen van de Europese privacywetgeving als een bedreiging van fundamentele rechten. Ook tast de herziening het vertrouwen in het Europees digitaal beleid aan. EDRi vreest dat de technische aanpassingen de deur openen naar een verdere uitholling van de wet. ‘Het ondermijnen van de GDPR [AVG in Nederland, red.] geeft wereldwijd het signaal dat rechten-gebaseerde regelgeving onderhandelbaar is door druk uit te oefenen’, stelt de organisatie. Ze wijzen daarbij op de jarenlange pogingen van buitenlandse commerciële en politieke lobbyisten om de GDPR te verzwakken.
Lees ook:
