Blog van medewerkers
WP_Query Object
(
[query] => Array
(
[paged] => 3
[news-type] => blog
)
[query_vars] => Array
(
[paged] => 3
[news-type] => blog
[error] =>
[m] =>
[p] => 0
[post_parent] =>
[subpost] =>
[subpost_id] =>
[attachment] =>
[attachment_id] => 0
[name] =>
[pagename] =>
[page_id] => 0
[second] =>
[minute] =>
[hour] =>
[day] => 0
[monthnum] => 0
[year] => 0
[w] => 0
[category_name] =>
[tag] =>
[cat] =>
[tag_id] =>
[author] =>
[author_name] =>
[feed] =>
[tb] =>
[meta_key] =>
[meta_value] =>
[preview] =>
[s] =>
[sentence] =>
[title] =>
[fields] => all
[menu_order] =>
[embed] =>
[category__in] => Array
(
)
[category__not_in] => Array
(
)
[category__and] => Array
(
)
[post__in] => Array
(
)
[post__not_in] => Array
(
)
[post_name__in] => Array
(
)
[tag__in] => Array
(
)
[tag__not_in] => Array
(
)
[tag__and] => Array
(
)
[tag_slug__in] => Array
(
)
[tag_slug__and] => Array
(
)
[post_parent__in] => Array
(
)
[post_parent__not_in] => Array
(
)
[author__in] => Array
(
[0] => 43
)
[author__not_in] => Array
(
)
[search_columns] => Array
(
)
[ignore_sticky_posts] =>
[suppress_filters] =>
[cache_results] => 1
[update_post_term_cache] => 1
[update_menu_item_cache] =>
[lazy_load_term_meta] => 1
[update_post_meta_cache] => 1
[post_type] =>
[posts_per_page] => 10
[nopaging] =>
[comments_per_page] => 50
[no_found_rows] =>
[taxonomy] => news-type
[term] => blog
[order] => DESC
)
[tax_query] => WP_Tax_Query Object
(
[queries] => Array
(
[0] => Array
(
[taxonomy] => news-type
[terms] => Array
(
[0] => blog
)
[field] => slug
[operator] => IN
[include_children] => 1
)
)
[relation] => AND
[table_aliases:protected] => Array
(
[0] => wp_term_relationships
)
[queried_terms] => Array
(
[news-type] => Array
(
[terms] => Array
(
[0] => blog
)
[field] => slug
)
)
[primary_table] => wp_posts
[primary_id_column] => ID
)
[meta_query] => WP_Meta_Query Object
(
[queries] => Array
(
)
[relation] =>
[meta_table] =>
[meta_id_column] =>
[primary_table] =>
[primary_id_column] =>
[table_aliases:protected] => Array
(
)
[clauses:protected] => Array
(
)
[has_or_relation:protected] =>
)
[date_query] =>
[queried_object] => WP_Term Object
(
[term_id] => 56
[name] => Blog van medewerkers
[slug] => blog
[term_group] => 0
[term_taxonomy_id] => 56
[taxonomy] => news-type
[description] =>
[parent] => 0
[count] => 1495
[filter] => raw
)
[queried_object_id] => 56
[request] => SELECT SQL_CALC_FOUND_ROWS wp_posts.ID
FROM wp_posts LEFT JOIN wp_term_relationships ON (wp_posts.ID = wp_term_relationships.object_id) LEFT JOIN wp_icl_translations wpml_translations
ON wp_posts.ID = wpml_translations.element_id
AND wpml_translations.element_type = CONCAT('post_', wp_posts.post_type)
WHERE 1=1 AND (
wp_term_relationships.term_taxonomy_id IN (56)
) AND wp_posts.post_author IN (43) AND ((wp_posts.post_type = 'post' AND (wp_posts.post_status = 'publish' OR wp_posts.post_status = 'acf-disabled' OR wp_posts.post_status = 'tribe-ea-success' OR wp_posts.post_status = 'tribe-ea-failed' OR wp_posts.post_status = 'tribe-ea-schedule' OR wp_posts.post_status = 'tribe-ea-pending' OR wp_posts.post_status = 'tribe-ea-draft'))) AND ( ( ( wpml_translations.language_code = 'nl' OR (
wpml_translations.language_code = 'nl'
AND wp_posts.post_type IN ( 'attachment' )
AND ( (
( SELECT COUNT(element_id)
FROM wp_icl_translations
WHERE trid = wpml_translations.trid
AND language_code = 'nl'
) = 0
) OR (
( SELECT COUNT(element_id)
FROM wp_icl_translations t2
JOIN wp_posts p ON p.id = t2.element_id
WHERE t2.trid = wpml_translations.trid
AND t2.language_code = 'nl'
AND (
p.post_status = 'publish' OR p.post_status = 'private' OR
( p.post_type='attachment' AND p.post_status = 'inherit' )
)
) = 0 ) )
) ) AND wp_posts.post_type IN ('post','page','attachment','wp_block','wp_template','wp_template_part','wp_navigation','our_sector','our_rechtsgebieden','acf-field-group','tribe_venue','tribe_organizer','tribe_events','mc4wp-form','slider-data','actualiteiten','accordion','failissementens','advocaten','blogs','seminar','juridisch-medewerker','backoffice','rechtsgebied-detail' ) ) OR wp_posts.post_type NOT IN ('post','page','attachment','wp_block','wp_template','wp_template_part','wp_navigation','our_sector','our_rechtsgebieden','acf-field-group','tribe_venue','tribe_organizer','tribe_events','mc4wp-form','slider-data','actualiteiten','accordion','failissementens','advocaten','blogs','seminar','juridisch-medewerker','backoffice','rechtsgebied-detail' ) )
GROUP BY wp_posts.ID
ORDER BY wp_posts.menu_order, wp_posts.post_date DESC
LIMIT 20, 10
[posts] => Array
(
[0] => WP_Post Object
(
[ID] => 21271
[post_author] => 43
[post_date] => 2020-07-21 10:11:29
[post_date_gmt] => 2020-07-21 08:11:29
[post_content] => Op 16 juli 2020 heeft het Europese Hof van Justitie het zogenaamde EU-VS Privacy Shield van tafel geveegd. De Europese Commissie en Europese lidstaten riepen het EU-VS Privacy Shield in 2016 in het leven om uitwisseling van persoonsgegevens met de VS te vereenvoudigen. Het Privacy Shield verving de Safe Harbor Privacy Principles, die het Hof in 2015 al naar de prullenbak verwees.
Achtergrond
Een van de doelen van de Algemene Verordening Gegevensbescherming (AVG) is het adequaat beschermen van persoonsgegevens van Europese burgers, ook wanneer deze naar landen buiten de EU worden verzonden. De AVG maakt die doorgifte dan ook slechts in bepaalde gevallen mogelijk. Bijvoorbeeld op basis van een adequaatheidsbesluit. Doorgifte is ook mogelijk als in het ontvangende land passende waarborgen worden geboden, welke onder andere kunnen worden ingevuld door modelcontractsbepalingen (MCB’s).
Een adequaatheidsbesluit is een besluit van de Europese Commissie, waarmee zij vaststelt dat het beschermingsniveau van persoonsgegevens in het ontvangende land buiten de EU vergelijkbaar is met het beschermingsniveau binnen de EU. Het EU-VS Privacy Shield is een dergelijk adequaatheidsbesluit. Om gebruik te maken van het EU-VS Privacy Shield moet een Amerikaans bedrijf zich certificeren en houden aan bepaalde principes. Het Europese Hof verwijst het EU-VS Privacy Shield nu dus naar de prullenbak.
Beslissing Europees Hof
Het Europese Hof stelt voorop dat als organisaties persoonsgegevens doorgeven aan organisaties in landen buiten de EU, het beschermingsniveau ongeveer gelijkwaardig moet zijn aan dat binnen de EU. Of dit het geval is, is onder andere afhankelijk van de aanwezigheid van passende waarborgen, afdwingbare rechten en effectieve rechtsmiddelen in het ontvangende land. Het Hof geeft daarbij aan dat, wanneer er geen adequaatheidsbesluit ligt, de toezichthouder de doorgifte van persoonsgegevens door een organisatie moet opschorten of verbieden als blijkt dat de MCB’s in het land van ontvangst buiten de EU niet worden of niet kunnen worden nageleefd en het vereiste beveiligingsniveau niet op een andere manier kan worden gewaarborgd. Als de verwerkingsverantwoordelijke de doorgifte buiten de EU zelf niet al heeft stopgezet, moet de nationale toezichthouder dus ingrijpen.
Het Hof concludeert uiteindelijk dat het doorgeven van persoonsgegevens buiten de EU op basis van MCB’s (in principe) mogelijk blijft. De verzendende en ontvangende organisatie moeten vooraf wel nagaan of het vereiste beschermingsniveau het land van ontvangst wordt gehaald. Gelet op het onderstaande lijkt dit voor de VS niet het geval te zijn.
Privacy Shield
Het Hof gaat vervolgens in op het EU-VS Privacy Shield. Waarom wordt het Privacy Shield van tafel geveegd?
De Europese Commissie stelt in artikel 1 lid 1 van het Privacy Shield besluit vast dat de VS een passend beschermingsniveau waarborgt voor persoonsgegevens die vanuit de EU aan in de VS gevestigde organisaties worden doorgegeven. Het Hof is het daar, gelet op de verschillende surveillanceprogramma’s van de Amerikaanse overheid, niet mee eens.
Deze surveillanceprogramma’s zijn volgens het Hof een beperking op de bescherming van persoonsgegevens die verder gaat dan strikt noodzakelijk. Dit is in strijd met het Europese Unierecht. Daarnaast is de door de Amerikaanse overheid aangestelde EU-VS Privacy Shield ombudsman volgens het Hof niet onafhankelijk genoeg. Ook zijn er geen rechtsmiddelen waarop betrokken EU-burgers, waarvan de gegevens naar de VS worden gestuurd, zich in de VS kunnen beroepen.
Volgens het Hof is er dus geen sprake van een door de VS gewaarborgd passend beschermingsniveau, terwijl dit wel is opgenomen in artikel 1 lid 1 van het Privacy Shield besluit. Het Hof velt vervolgens het vernietigend oordeel dat het EU-VS Privacy Shield besluit ongeldig is.
Wat nu?
Met haar beslissing snijdt het Hof een van de routes voor de doorgifte van persoonsgegevens vanuit de EU aan de VS af. De doorgifte van persoonsgegevens op basis van het Privacy Shield zou dus per direct moeten stoppen. Volgens de website van Privacy Shield gaat het in totaal om 5.378 organisaties die op basis van het EU-VS Privacy Shield persoonsgegevens van EU-burgers ontvangen. Deze beslissing treft onder andere bedrijven zoals Facebook, Google, Snapchat, LinkedIn, Amazon, HP en Samsung.
Hoewel het gebruik van MCB’s voor doorgifte buiten de EU in principe mogelijk blijft, moeten de verzender en de ontvanger voorafgaand aan de doorgifte nagaan of het door het Europese Unierecht vereiste beschermingsniveau in het ontvangende land wordt geëerbiedigd. Gelet op het oordeel van het Hof dat er in de VS geen sprake is van een gewaarborgd passend beschermingsniveau, is het maar zeer de vraag of organisaties die onder de Amerikaanse surveillancewetgeving vallen de MCB’s wel kunnen naleven en dus mogen hanteren. Doorgifte van persoonsgegevens aan organisaties in de VS op basis van MCB’s is met deze uitspraak dus ook onzeker geworden.
Persoonsgegevens
Amerikaanse organisaties komen echter niet in een vacuüm terecht. Zij vallen in principe terug op artikel 49 AVG. Hierin staan verschillende gronden voor de doorgifte van persoonsgegevens buiten de EU als een adequaatheidsbesluit ontbreekt en MCB’s niet kunnen worden gebruikt. Deze uitspraak stelt organisaties in de VS in dat opzicht gelijk aan organisaties in andere landen buiten de EU. Doorgifte is op basis van artikel 49 AVG is bijvoorbeeld mogelijk wanneer de betrokken persoon hiervoor expliciete en geïnformeerde toestemming geeft of wanneer dit noodzakelijk is voor de uitvoering van een in het belang van de betrokkene gesloten overeenkomst tussen de verwerkingsverantwoordelijke in de EU en de ontvangende partij in de VS. In hoeverre de 5.300+ participanten van het Privacy Shield aan deze eisen (kunnen) voldoen, is echter maar de vraag.
Datastromen
Hoewel de absoluut noodzakelijke datastromen vanuit de EU naar de VS vooralsnog door kunnen gaan, is er wel sprake van een aardverschuiving op het gebied van de datastromen vanuit de EU naar de VS. De Amerikaanse overheid steekt vooralsnog haar kop in het zand en houdt het Privacy Shield in stand. Daarbij waarschuwt de Amerikaanse minister van Economische Zaken voor nadelige gevolgen voor transatlantische economische relatie ter waarde van $7,1 biljoen. De Europese Commissie gaf op haar beurt eind juni 2020 al aan bezig te zijn met de modernisatie van MCB’s. Het is nu aan de (inter)nationale toezichthouder(s) en beleidsmakers om aan te geven hoe met deze uitspraak wordt omgegaan. Let daarbij op: het risico van onrechtmatige doorgifte van persoonsgegevens ligt bij u als verwerkingsverantwoordelijke.
Wat kunnen en moeten organisaties doen?
Voor organisaties is het belangrijk om na te gaan of er persoonsgegevens van Europese burgers worden doorgegeven naar organisaties in Amerika, en zo ja of daarvoor het EU-VS Privacy Shield als grondslag wordt gebruikt. Hiervoor kan naast de eigen administratie ook de website van Privacy Shield worden geraadpleegd. Op die website zijn alle organisaties die gebruik maken van het EU-VS Privacy Shield geregistreerd.
Geeft de organisatie inderdaad persoonsgegevens van EU-burgers door aan organisaties in de VS op basis van Privacy Shield, dan moet bekeken worden of het onderliggende contract voorziet in de toepassing van MCB’s in het geval dat Privacy Shield ongeldig zou worden verklaard. Is dit niet het geval, dan moeten er ‘passende beveiligingsmaatregelen’ worden genomen, zoals het alsnog toepassen van MCB’s. Let er daarbij wel op dat het gebruik van MCB’s, gelet op het bovenstaande, niet de perfecte oplossing is. En de doorgifte van persoonsgegevens op basis van artikel 49 AVG levert vaak een onwerkbare situatie op. Het systematisch terugvallen op dit artikel als basis voor de doorgifte van persoonsgegevens buiten Europa lijkt dan ook onwenselijk.
Conclusie
Samenvattend is deze uitspraak van het Europese Hof van Justitie een oproep aan organisaties om hun internationale stromen van persoonsgegevens (met name die naar de VS) tegen het licht te houden. Wanneer deze doorgifte van persoonsgegevens van EU-burgers verloopt op basis van Privacy Shield, moet actie worden ondernomen. Denk daarbij aan het aanpassen van privacy statements, intern privacy beleid en het verwerkingsregister. Maar ook aan het maken van nieuwe afspraken met ontvangende partijen in de VS. Daarbij is het van belang om eventuele sturing van de (inter)nationale toezichthouder(s), zoals de Nederlandse Autoriteit Persoonsgegevens, in de gaten te houden.
Mocht dit overweldigend klinken, neem dan contact op met BG.legal. De gevolgen van deze uitspraak en eventuele sturing vanuit de toezichthouders volgen wij namelijk op de voet.
[post_title] => Europees Hof verwijst EU-VS Privacy Shield naar de prullenbak. En nu?
[post_excerpt] =>
[post_status] => publish
[comment_status] => open
[ping_status] => open
[post_password] =>
[post_name] => europees-hof-verwijst-eu-vs-privacy-shield-naar-de-prullenbak-en-nu
[to_ping] =>
[pinged] =>
[post_modified] => 2020-07-21 16:52:19
[post_modified_gmt] => 2020-07-21 14:52:19
[post_content_filtered] =>
[post_parent] => 0
[guid] => https://bg.legal/?p=21271
[menu_order] => 0
[post_type] => post
[post_mime_type] =>
[comment_count] => 0
[filter] => raw
)
[1] => WP_Post Object
(
[ID] => 21067
[post_author] => 43
[post_date] => 2020-07-02 09:40:11
[post_date_gmt] => 2020-07-02 07:40:11
[post_content] => In eerdere blogs schreef ik al over de door de wetgever voorgenomen veranderingen in de UAVG (Uitvoeringswet Algemene Verordening Gegevensbescherming) met betrekking tot medische persoonsgegevens, onder andere in faillissement. Verder ingaand op het faillissement wil de wetgever de rol van de curator als verwerker van persoonsgegevens verduidelijken, door een artikel toe te voegen aan de Faillissementswet.
In dit voorgenomen artikel 68a Faillissementswet wil de wetgever vastleggen dat de curator persoonsgegevens kan verwerken voor zover dit noodzakelijk is voor het beheer en de vereffening van de failliete boedel. Als grondslag voor de verwerking van persoonsgegevens door de curator wordt artikel 6 lid 1 sub e AVG gebruikt, de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen.
In het voorgenomen artikel heeft de wetgever tevens een niet-uitputtende lijst van feitelijke handelingen en rechtshandelingen opgenomen waarbij de verwerking van persoonsgegevens door de curator is toegestaan. In deze lijst zijn onder andere opgenomen het uitvoeren van het rechtmatigheidsonderzoek en het opstellen van faillissementsverslagen, maar ook het tijdelijk voortzetten van het bedrijf en de voorbereiding van de verkoop van het bedrijf aan een andere partij.
Klantenbestand
Daarmee benoemt de wetgever een interessant punt dat bij een doorstart vanuit faillissement vaak om de hoek komt kijken, namelijk het klantenbestand. Het komt regelmatig voor dat een curator het klantenbestand van de failliete onderneming, met daarin persoonsgegevens, verkoopt aan een doorstarter. In de memorie van toelichting op het wetsvoorstel benoemt de wetgever dat het gerechtvaardigd is dat de curator deze persoonsgegevens verwerkt [verstrekt], om zo een zo hoog mogelijke opbrengst in faillissement te bereiken. De ontvangende partij, de doorstarter, kan deze persoonsgegevens vervolgens verwerken op basis van de grondslag uit artikel 6 lid 1 sub b AVG, de uitvoering van de overeenkomst met de curator waar de doorstarter partij bij is.
Daarbij verwijst de wetgever naar de brief die de Autoriteit Persoonsgegevens verstuurde aan Insolad, de Vereniging voor Insolventierecht Advocaten. In deze brief benoemt de AP verschillende scenario’s relevant bij een doorstart. Zo kunnen de persoonsgegevens van klanten [natuurlijke personen] in het kader van contractoverneming op basis van artikel 6:159 BW overgaan op de doorstarter. Het in dat artikel opgenomen medewerkingsvereiste kan volgens de AP worden ingevuld door de klanten te informeren en de gelegenheid te bieden om akkoord te gaan dan wel bezwaar te maken tegen de contractoverneming. Bij de verkoop van het klantenbestand, waarbij er geen contractovername plaatsvindt, moet toestemming in de zin van artikel 7 AVG worden gevraagd aan de personen opgenomen in het klantenbestand alvorens overdracht van deze persoonsgegevens kan plaatsvinden.
Naast het bovenstaande omtrent het klantenbestand wil de wetgever met de voorgenomen wetswijziging onder andere vastleggen dat de curator in specifieke gevallen rechtmatig bijzondere persoonsgegevens, zoals burgerservicenummers en gegevens van strafrechtelijke aard, mag verwerken. Al met al kan worden geconcludeerd dat de wetgever met deze beoogde wetswijziging de rol van de curator als verwerker van persoonsgegevens nadere en [gelet op de in de loop der jaren meeromvattend geworden taak van de curator] nodige invulling geeft.
[post_title] => Wetgever wil rol curator als verwerker van persoonsgegevens vastleggen
[post_excerpt] =>
[post_status] => publish
[comment_status] => open
[ping_status] => open
[post_password] =>
[post_name] => wetgever-wil-rol-curator-als-verwerker-van-persoonsgegevens-vastleggen
[to_ping] =>
[pinged] =>
[post_modified] => 2020-07-02 09:43:50
[post_modified_gmt] => 2020-07-02 07:43:50
[post_content_filtered] =>
[post_parent] => 0
[guid] => https://bg.legal/?p=21067
[menu_order] => 0
[post_type] => post
[post_mime_type] =>
[comment_count] => 0
[filter] => raw
)
[2] => WP_Post Object
(
[ID] => 20996
[post_author] => 43
[post_date] => 2020-06-25 16:06:12
[post_date_gmt] => 2020-06-25 14:06:12
[post_content] => Zoals ik in een eerdere blog al besprak, heeft de wetgever een internetconsultatie voor de nieuwe UAVG (Uitvoeringswet Algemene Verordening Gegevensbescherming) gepubliceerd. In dit wetsvoorstel heeft de wetgever oog voor het bewaren en beheren van medische dossiers in geval van bijzondere omstandigheden, zoals het faillissement van een (zorg)hulpverlener.
Medisch dossier
In het kader van een goede hulpverlening moeten hulpverleners (zoals ziekenhuizen en huisartsen) een medisch dossier inrichten, bijhouden en tot 20 jaar na de laatste wijziging in het dossier bewaren (7:454 BW). De hulpverlener is ook belast met het beheer van deze dossiers en moet ervoor zorgen dat patiënten hun rechten met betrekking tot hun medisch dossier kunnen uitoefenen, zoals het recht op inzage in en afschrift van dit dossier. (art. 7:456 BW). De plicht om medische dossiers te bewaren is niet gekoppeld aan de status van hulpverlener. Deze blijft dus ook gelden in geval van bijvoorbeeld een faillissement, pensionering of overlijden van de hulpverlener.
Verwerkingsverantwoordelijke
De verantwoordelijkheid voor het beheren en bewaren van het medisch dossier is in dergelijke gevallen (nog) niet geregeld. Mocht er een andere hulpverlener gevonden worden die in het kader van een doorstart uit faillissement deze taken op zich neemt, dan lost dit probleem vanzelf op. Het gerechtshof Arnhem-Leeuwarden oordeelde op 26 maart 2019 namelijk dat de curator, die medische dossiers in de boedel van de failliete hulpverlener aantreft, in beginsel de taak heeft deze te bewaren en zo nodig en mogelijk een ordelijke overdracht van deze dossiers aan een opvolgende hulpverlener te realiseren. Begin 2020 gaf de Autoriteit Persoonsgegevens al aan dat de curator in faillissement als verwerkingsverantwoordelijke wordt aangemerkt.
Juridische constructie
Wanneer een ordelijke overdracht niet kan worden gerealiseerd, zoals in het faillissement van het MC Slotervaartziekenhuis in oktober 2018, is niet geregeld dat deze verantwoordelijkheid wordt overgenomen door een andere hulpverlener. De wetgever stelt daarom voor een juridische constructie vast te leggen om het beheer en opslag van medische dossiers in dergelijke gevallen te waarborgen, waar zij bij de ontwikkeling hiervan de Autoriteit Persoonsgegevens en de curatoren van het MC Slotervaartziekenhuis heeft betrokken.
Hoe werkt de nieuwe regel?
Deze constructie zit als volgt in elkaar. Wanneer de Minister van Volksgezondheid, Welzijn en Sport of de Minister voor Medische Zorg van oordeel is dat het bewaren en beheren van de medische dossiers niet langer gewaarborgd kan worden en daarvoor geen andere oplossing bestaat, kan deze besluiten hierin een faciliterende rol te spelen. In dat geval wordt overgegaan tot het inschakelen van een derde partij, zoals een andere hulpverlener/hulpverlenende instelling, die de medische dossiers gaat bewaren en beheren.
Overdracht
De medische dossiers gaan in een dergelijk geval direct over van de curator [in geval van faillissement] naar deze derde partij. Deze derde wordt vervolgens verantwoordelijk voor het bewaren en beheren van de dossiers, en wordt daarbij [voor zover niet al beroepsmatig ook wettelijk] tot geheimhouding verplicht (art. 30 lid 4 UAVG). Waar mogelijk moet toestemming voor deze overdracht worden gevraagd aan de betrokkenen/patiënten. Het gaat immers over hun bijzondere persoonsgegevens opgenomen in deze medische dossiers. Mocht dit praktisch gezien onmogelijk zijn, bijvoorbeeld vanwege het volume aan medische dossiers of als de actuele adresgegevens van de patiënten niet meer te achterhalen zijn, kan daar van worden afgezien. In dat geval wordt voorgenomen om de geplande overdracht zo veel mogelijk onder de aandacht te brengen, om te voorkomen dat medische dossiers tegen de zin van patiënten in handen van deze derde komen. Daarmee kan ook worden voldaan aan de informatieplicht, die conform artikel 14 van de AVG op de derde rust als verwerkingsverantwoordelijke van gegevens die niet van de betrokkene zijn verkregen. Dit is echter wel een laatste redmiddel, in beginsel moet toestemming worden gevraagd.
Vangnet
Voorheen was onduidelijk of een dergelijke overdracht van bijzondere persoonsgegevens naar een derde voldeed aan de eisen van de AVG. Dit leidde er onder andere toe dat de overdracht van de medische dossiers in het faillissement van het MC Slotervaart veel tijd in beslag nam. Met deze wetswijziging wil de wetgever deze wijze formaliseren. Hoewel een dergelijke situatie zich niet snel zal voordoen, is het goed dat de wetgever een vangnet probeert te construeren voor de gevallen dat medische gegevens niet langer gewaarborgd kunnen worden.
Conclusie
Met de voorgenomen wetswijzigingen wordt de praktische omgang met medische [bijzondere] persoonsgegevens in faillissement nader uitgewerkt. De wetgever schept hiermee een procedure die de curator kan volgen wanneer deze medische persoonsgegevens in de boedel van de failliet aantreft en geen doorstart gerealiseerd kan worden. Het wetsvoorstel tot wijziging van de UAVG is tot 14 juli 2020 in consultatie. BG.legal volgt dit wetgevingstraject nauwgezet.
[post_title] => Nieuwe UAVG verduidelijkt omgang met medische gegevens in faillissement
[post_excerpt] =>
[post_status] => publish
[comment_status] => open
[ping_status] => open
[post_password] =>
[post_name] => nieuwe-uavg-verduidelijkt-omgang-met-medische-persoonsgegevens-in-faillissement
[to_ping] =>
[pinged] =>
[post_modified] => 2020-06-25 16:26:31
[post_modified_gmt] => 2020-06-25 14:26:31
[post_content_filtered] =>
[post_parent] => 0
[guid] => https://bg.legal/?p=20996
[menu_order] => 0
[post_type] => post
[post_mime_type] =>
[comment_count] => 0
[filter] => raw
)
[3] => WP_Post Object
(
[ID] => 20866
[post_author] => 43
[post_date] => 2020-06-11 10:35:11
[post_date_gmt] => 2020-06-11 08:35:11
[post_content] => Tegelijkertijd met de inwerkingtreding van de Algemene Verordening Gegevensbescherming (AVG) is op 25 mei 2018 de Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG) ingevoerd. De ervaringen met de UAVG zijn, zoals afgesproken bij de invoering hiervan, geëvalueerd. Op basis van deze evaluatie is er in oktober 2019 een wetsvoorstel naar de Tweede Kamer gestuurd. Inmiddels is er een internetconsultatie van het wetsvoorstel gepubliceerd. We kunnen dus inzien welke nieuwe privacyregels momenteel worden voorbereid. Er is onder andere een interessante wijziging van artikel 30 UAVG op komst, dat ziet op de verwerking van bijzondere persoonsgegevens.
Verenigingen van cliëntbelangen
Uitgangspunt van de wet is dat het verwerken van bijzondere persoonsgegevens is verboden. Dit geldt bijvoorbeeld voor gezondheidsgegevens. De AVG maakt het echter mogelijk voor de Nederlandse wetgever om hierop een uitzondering te maken, wanneer de verwerking van dergelijke gegevens noodzakelijk is in het kader van een zwaarwegend algemeen belang. De wetgever heeft de verwerkingen van bijzondere persoonsgegevens, die zij op basis van een zwaarwegend algemeen belang noodzakelijk acht, opgenomen in artikel 30 UAVG. Aan dit artikel wil zij nu een onderdeel toevoegen (art. 32 lid 2 sub d UAVG).
Dit nieuwe onderdeel zorgt ervoor dat stichtingen, verenigingen of andere instanties zonder winstoogmerk, die actief zijn op het gebied van volksgezondheid, bijzondere persoonsgegevens van hun (voormalig) leden mogen verwerken. Deze uitzondering op de regel van artikel 9 AVG beoogt het voor verenigingen van cliëntenbelangen in zorg en welzijn [waarbij de wetgever onder andere patiëntenverenigingen maar ook verenigingen van gehandicaptensport als voorbeeld noemt] mogelijk te maken om gegevens over de gezondheid van hun (voormalig) leden te mogen verwerken.
Hoewel er al wel een dergelijke uitzondering bestaat voor stichtingen, verenigingen of instanties die op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied actief zijn ,is de verwerking van bijzondere persoonsgegevens door eenzelfde soort partijen actief op het gebied van volksgezondheid nu enkel mogelijk op basis van uitdrukkelijke toestemming van betrokkenen. Om onzekerheid en problemen in de praktijk te voorkomen en ervoor te zorgen dat deze instanties kunnen functioneren conform haar maatschappelijk gewichtige doelstellingen, wil de wetgever deze uitzondering toevoegen. In de praktijk van deze instanties zal deze uitzondering, met het daarmee wegvallen van de verplichting om uitdrukkelijke toestemming van de betrokkene te verkrijgen, administratief wat verlichting brengen.
Wetsvoorstel
Met de voorgenomen wetswijzigingen wordt de praktische uitwerking van de AVG verder aangevuld en verduidelijkt. In een andere blog zal ik ingaan op de wijziging die de wetgever beoogt door te voeren in onder andere de Faillissementswet met betrekking tot de verwerking van (medische) persoonsgegevens door de curator. Het wetsvoorstel tot wijziging van de UAVG is tot 14 juli 2020 in consultatie, waarna er mogelijk nog wijzigingen zullen plaatsvinden alvorens hierover wordt gestemd. BG.Legal volgt de ontwikkelingen hierin op de voet.
Meer weten over privacy of de verwerking van medische gegevens? Neem dan contact op met Tom Oerlemans via Oerlemans@bg.legal
[post_title] => Verwerking medische persoonsgegevens verduidelijkt in nieuwe UAVG
[post_excerpt] =>
[post_status] => publish
[comment_status] => open
[ping_status] => open
[post_password] =>
[post_name] => verwerking-van-medische-persoonsgegevens-verder-verduidelijkt-in-nieuwe-uavg
[to_ping] =>
[pinged] =>
[post_modified] => 2020-06-11 10:57:04
[post_modified_gmt] => 2020-06-11 08:57:04
[post_content_filtered] =>
[post_parent] => 0
[guid] => https://bg.legal/?p=20866
[menu_order] => 0
[post_type] => post
[post_mime_type] =>
[comment_count] => 0
[filter] => raw
)
)
[post_count] => 4
[current_post] => -1
[before_loop] => 1
[in_the_loop] =>
[post] => WP_Post Object
(
[ID] => 21271
[post_author] => 43
[post_date] => 2020-07-21 10:11:29
[post_date_gmt] => 2020-07-21 08:11:29
[post_content] => Op 16 juli 2020 heeft het Europese Hof van Justitie het zogenaamde EU-VS Privacy Shield van tafel geveegd. De Europese Commissie en Europese lidstaten riepen het EU-VS Privacy Shield in 2016 in het leven om uitwisseling van persoonsgegevens met de VS te vereenvoudigen. Het Privacy Shield verving de Safe Harbor Privacy Principles, die het Hof in 2015 al naar de prullenbak verwees.
Achtergrond
Een van de doelen van de Algemene Verordening Gegevensbescherming (AVG) is het adequaat beschermen van persoonsgegevens van Europese burgers, ook wanneer deze naar landen buiten de EU worden verzonden. De AVG maakt die doorgifte dan ook slechts in bepaalde gevallen mogelijk. Bijvoorbeeld op basis van een adequaatheidsbesluit. Doorgifte is ook mogelijk als in het ontvangende land passende waarborgen worden geboden, welke onder andere kunnen worden ingevuld door modelcontractsbepalingen (MCB’s).
Een adequaatheidsbesluit is een besluit van de Europese Commissie, waarmee zij vaststelt dat het beschermingsniveau van persoonsgegevens in het ontvangende land buiten de EU vergelijkbaar is met het beschermingsniveau binnen de EU. Het EU-VS Privacy Shield is een dergelijk adequaatheidsbesluit. Om gebruik te maken van het EU-VS Privacy Shield moet een Amerikaans bedrijf zich certificeren en houden aan bepaalde principes. Het Europese Hof verwijst het EU-VS Privacy Shield nu dus naar de prullenbak.
Beslissing Europees Hof
Het Europese Hof stelt voorop dat als organisaties persoonsgegevens doorgeven aan organisaties in landen buiten de EU, het beschermingsniveau ongeveer gelijkwaardig moet zijn aan dat binnen de EU. Of dit het geval is, is onder andere afhankelijk van de aanwezigheid van passende waarborgen, afdwingbare rechten en effectieve rechtsmiddelen in het ontvangende land. Het Hof geeft daarbij aan dat, wanneer er geen adequaatheidsbesluit ligt, de toezichthouder de doorgifte van persoonsgegevens door een organisatie moet opschorten of verbieden als blijkt dat de MCB’s in het land van ontvangst buiten de EU niet worden of niet kunnen worden nageleefd en het vereiste beveiligingsniveau niet op een andere manier kan worden gewaarborgd. Als de verwerkingsverantwoordelijke de doorgifte buiten de EU zelf niet al heeft stopgezet, moet de nationale toezichthouder dus ingrijpen.
Het Hof concludeert uiteindelijk dat het doorgeven van persoonsgegevens buiten de EU op basis van MCB’s (in principe) mogelijk blijft. De verzendende en ontvangende organisatie moeten vooraf wel nagaan of het vereiste beschermingsniveau het land van ontvangst wordt gehaald. Gelet op het onderstaande lijkt dit voor de VS niet het geval te zijn.
Privacy Shield
Het Hof gaat vervolgens in op het EU-VS Privacy Shield. Waarom wordt het Privacy Shield van tafel geveegd?
De Europese Commissie stelt in artikel 1 lid 1 van het Privacy Shield besluit vast dat de VS een passend beschermingsniveau waarborgt voor persoonsgegevens die vanuit de EU aan in de VS gevestigde organisaties worden doorgegeven. Het Hof is het daar, gelet op de verschillende surveillanceprogramma’s van de Amerikaanse overheid, niet mee eens.
Deze surveillanceprogramma’s zijn volgens het Hof een beperking op de bescherming van persoonsgegevens die verder gaat dan strikt noodzakelijk. Dit is in strijd met het Europese Unierecht. Daarnaast is de door de Amerikaanse overheid aangestelde EU-VS Privacy Shield ombudsman volgens het Hof niet onafhankelijk genoeg. Ook zijn er geen rechtsmiddelen waarop betrokken EU-burgers, waarvan de gegevens naar de VS worden gestuurd, zich in de VS kunnen beroepen.
Volgens het Hof is er dus geen sprake van een door de VS gewaarborgd passend beschermingsniveau, terwijl dit wel is opgenomen in artikel 1 lid 1 van het Privacy Shield besluit. Het Hof velt vervolgens het vernietigend oordeel dat het EU-VS Privacy Shield besluit ongeldig is.
Wat nu?
Met haar beslissing snijdt het Hof een van de routes voor de doorgifte van persoonsgegevens vanuit de EU aan de VS af. De doorgifte van persoonsgegevens op basis van het Privacy Shield zou dus per direct moeten stoppen. Volgens de website van Privacy Shield gaat het in totaal om 5.378 organisaties die op basis van het EU-VS Privacy Shield persoonsgegevens van EU-burgers ontvangen. Deze beslissing treft onder andere bedrijven zoals Facebook, Google, Snapchat, LinkedIn, Amazon, HP en Samsung.
Hoewel het gebruik van MCB’s voor doorgifte buiten de EU in principe mogelijk blijft, moeten de verzender en de ontvanger voorafgaand aan de doorgifte nagaan of het door het Europese Unierecht vereiste beschermingsniveau in het ontvangende land wordt geëerbiedigd. Gelet op het oordeel van het Hof dat er in de VS geen sprake is van een gewaarborgd passend beschermingsniveau, is het maar zeer de vraag of organisaties die onder de Amerikaanse surveillancewetgeving vallen de MCB’s wel kunnen naleven en dus mogen hanteren. Doorgifte van persoonsgegevens aan organisaties in de VS op basis van MCB’s is met deze uitspraak dus ook onzeker geworden.
Persoonsgegevens
Amerikaanse organisaties komen echter niet in een vacuüm terecht. Zij vallen in principe terug op artikel 49 AVG. Hierin staan verschillende gronden voor de doorgifte van persoonsgegevens buiten de EU als een adequaatheidsbesluit ontbreekt en MCB’s niet kunnen worden gebruikt. Deze uitspraak stelt organisaties in de VS in dat opzicht gelijk aan organisaties in andere landen buiten de EU. Doorgifte is op basis van artikel 49 AVG is bijvoorbeeld mogelijk wanneer de betrokken persoon hiervoor expliciete en geïnformeerde toestemming geeft of wanneer dit noodzakelijk is voor de uitvoering van een in het belang van de betrokkene gesloten overeenkomst tussen de verwerkingsverantwoordelijke in de EU en de ontvangende partij in de VS. In hoeverre de 5.300+ participanten van het Privacy Shield aan deze eisen (kunnen) voldoen, is echter maar de vraag.
Datastromen
Hoewel de absoluut noodzakelijke datastromen vanuit de EU naar de VS vooralsnog door kunnen gaan, is er wel sprake van een aardverschuiving op het gebied van de datastromen vanuit de EU naar de VS. De Amerikaanse overheid steekt vooralsnog haar kop in het zand en houdt het Privacy Shield in stand. Daarbij waarschuwt de Amerikaanse minister van Economische Zaken voor nadelige gevolgen voor transatlantische economische relatie ter waarde van $7,1 biljoen. De Europese Commissie gaf op haar beurt eind juni 2020 al aan bezig te zijn met de modernisatie van MCB’s. Het is nu aan de (inter)nationale toezichthouder(s) en beleidsmakers om aan te geven hoe met deze uitspraak wordt omgegaan. Let daarbij op: het risico van onrechtmatige doorgifte van persoonsgegevens ligt bij u als verwerkingsverantwoordelijke.
Wat kunnen en moeten organisaties doen?
Voor organisaties is het belangrijk om na te gaan of er persoonsgegevens van Europese burgers worden doorgegeven naar organisaties in Amerika, en zo ja of daarvoor het EU-VS Privacy Shield als grondslag wordt gebruikt. Hiervoor kan naast de eigen administratie ook de website van Privacy Shield worden geraadpleegd. Op die website zijn alle organisaties die gebruik maken van het EU-VS Privacy Shield geregistreerd.
Geeft de organisatie inderdaad persoonsgegevens van EU-burgers door aan organisaties in de VS op basis van Privacy Shield, dan moet bekeken worden of het onderliggende contract voorziet in de toepassing van MCB’s in het geval dat Privacy Shield ongeldig zou worden verklaard. Is dit niet het geval, dan moeten er ‘passende beveiligingsmaatregelen’ worden genomen, zoals het alsnog toepassen van MCB’s. Let er daarbij wel op dat het gebruik van MCB’s, gelet op het bovenstaande, niet de perfecte oplossing is. En de doorgifte van persoonsgegevens op basis van artikel 49 AVG levert vaak een onwerkbare situatie op. Het systematisch terugvallen op dit artikel als basis voor de doorgifte van persoonsgegevens buiten Europa lijkt dan ook onwenselijk.
Conclusie
Samenvattend is deze uitspraak van het Europese Hof van Justitie een oproep aan organisaties om hun internationale stromen van persoonsgegevens (met name die naar de VS) tegen het licht te houden. Wanneer deze doorgifte van persoonsgegevens van EU-burgers verloopt op basis van Privacy Shield, moet actie worden ondernomen. Denk daarbij aan het aanpassen van privacy statements, intern privacy beleid en het verwerkingsregister. Maar ook aan het maken van nieuwe afspraken met ontvangende partijen in de VS. Daarbij is het van belang om eventuele sturing van de (inter)nationale toezichthouder(s), zoals de Nederlandse Autoriteit Persoonsgegevens, in de gaten te houden.
Mocht dit overweldigend klinken, neem dan contact op met BG.legal. De gevolgen van deze uitspraak en eventuele sturing vanuit de toezichthouders volgen wij namelijk op de voet.
[post_title] => Europees Hof verwijst EU-VS Privacy Shield naar de prullenbak. En nu?
[post_excerpt] =>
[post_status] => publish
[comment_status] => open
[ping_status] => open
[post_password] =>
[post_name] => europees-hof-verwijst-eu-vs-privacy-shield-naar-de-prullenbak-en-nu
[to_ping] =>
[pinged] =>
[post_modified] => 2020-07-21 16:52:19
[post_modified_gmt] => 2020-07-21 14:52:19
[post_content_filtered] =>
[post_parent] => 0
[guid] => https://bg.legal/?p=21271
[menu_order] => 0
[post_type] => post
[post_mime_type] =>
[comment_count] => 0
[filter] => raw
)
[comment_count] => 0
[current_comment] => -1
[found_posts] => 24
[max_num_pages] => 3
[max_num_comment_pages] => 0
[is_single] =>
[is_preview] =>
[is_page] =>
[is_archive] => 1
[is_date] =>
[is_year] =>
[is_month] =>
[is_day] =>
[is_time] =>
[is_author] =>
[is_category] =>
[is_tag] =>
[is_tax] => 1
[is_search] =>
[is_feed] =>
[is_comment_feed] =>
[is_trackback] =>
[is_home] =>
[is_privacy_policy] =>
[is_404] =>
[is_embed] =>
[is_paged] => 1
[is_admin] =>
[is_attachment] =>
[is_singular] =>
[is_robots] =>
[is_favicon] =>
[is_posts_page] =>
[is_post_type_archive] =>
[query_vars_hash:WP_Query:private] => 9064261cfd939153340b51a0f42c4a59
[query_vars_changed:WP_Query:private] => 1
[thumbnails_cached] =>
[allow_query_attachment_by_filename:protected] =>
[stopwords:WP_Query:private] =>
[compat_fields:WP_Query:private] => Array
(
[0] => query_vars_hash
[1] => query_vars_changed
)
[compat_methods:WP_Query:private] => Array
(
[0] => init_query_flags
[1] => parse_tax_query
)
[query_cache_key:WP_Query:private] => wp_query:922dd0ae776596b4afb8514856cec34f
[tribe_is_event] =>
[tribe_is_multi_posttype] =>
[tribe_is_event_category] =>
[tribe_is_event_venue] =>
[tribe_is_event_organizer] =>
[tribe_is_event_query] =>
[tribe_is_past] =>
[tribe_controller] => Tribe\Events\Views\V2\Query\Event_Query_Controller Object
(
[filtering_query:Tribe\Events\Views\V2\Query\Event_Query_Controller:private] => WP_Query Object
*RECURSION*
)
)
Op 16 juli 2020 heeft het Europese Hof van Justitie het zogenaamde EU-VS Privacy Shield van tafel geveegd. De Europese Commissie en Europese lidstaten riepen het EU-VS Privacy Shield in...
Lees meer
In eerdere blogs schreef ik al over de door de wetgever voorgenomen veranderingen in de UAVG (Uitvoeringswet Algemene Verordening Gegevensbescherming) met betrekking tot medische persoonsgegevens, onder andere in faillissement. Verder ingaand...
Lees meer
Zoals ik in een eerdere blog al besprak, heeft de wetgever een internetconsultatie voor de nieuwe UAVG (Uitvoeringswet Algemene Verordening Gegevensbescherming) gepubliceerd. In dit wetsvoorstel heeft de wetgever oog voor...
Lees meer
Tegelijkertijd met de inwerkingtreding van de Algemene Verordening Gegevensbescherming (AVG) is op 25 mei 2018 de Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG) ingevoerd. De ervaringen met de UAVG zijn, zoals afgesproken...
Lees meer
[theme-my-login default_action=login login_template=tml-login-form.php]
[theme-my-login show_title=0 default_action=register register_template=tml-register-form.php]