Nu het eerste trimester van 2025 ten einde loopt, hebben we bij CRANIUM de belangrijkste ontwikkelingen verzameld waar DPO’s op moeten letten.
Dit jaar zet de trend van de afgelopen jaren voort en worden er nieuwe regels van kracht. Denk bijvoorbeeld aan de eerste twee hoofdstukken van de AI-wet die op 2 februari 2025 van kracht werden en de inwerkingtreding van de EU-datawet later dit jaar, samen met veranderingen in het internationale landschap met de komst van een nieuwe Amerikaanse president in het Witte Huis.
Met deze ingrijpende verschuivingen in het verschiet, belicht dit artikel de belangrijkste punten waar DPO’s en, meer in het algemeen, privacyprofessionals rekening mee moeten houden.
Datawet van toepassing vanaf september 2025[1]
In september 2025 worden de regels van de EU-Datawet van toepassing, waarbij regels worden vastgelegd die het delen van gegevens en de mobiliteit met betrekking tot verbonden producten mogelijk maken en reguleren. Hoewel de Datawet niet alleen van toepassing is op persoonsgegevens, en het dus niet alleen de verantwoordelijkheid is van de DPO om toezicht te houden op de implementatie ervan, zal de informatie van betrokkenen een van de gegevensstromen zijn die de Datawet wil openen.
Het is daarom van cruciaal belang dat DPO’s en privacyprofessionals de regels onder dit nieuwe instrument begrijpen, aangezien de implementatie van de Datawet ongetwijfeld een impact zal hebben op de gegevensbeschermingsrechten onder de AVG. De belangrijkste veranderingen waar DPO’s en privacyprofessionals zich bewust van moeten zijn, zijn:
1.Verbeterde gegevensportabiliteit, gegevensuitwisseling en -toegang.
De Datawet introduceert nieuwe regels en versterkt bestaande regels, waardoor de gegevens in verbonden producten en diensten gemakkelijk gedeeld en toegankelijk worden. Hoewel DPO’s niet specifiek onder de Datawet vallen, moeten alle privacyprofessionals ervoor zorgen dat overeenkomsten voor gegevensuitwisseling die deze verbeterde portabiliteit gebruiken, voldoen aan de principes van de AVG. De Datawet creëert een recht voor gebruikers op toegang tot gegevens die worden gegenereerd door verbonden producten, en daarom moeten DPO’s en privacyprofessionals te allen tijde op de hoogte zijn van het feit dat er persoonsgegevens bij betrokken zijn.
2. Contractuele onevenwichtigheden worden aangepakt.
DPO’s moeten zich bewust zijn van machtsongelijkheid die kan bestaan tussen gegevenshouders en partijen die toegang willen tot de gegevens die zij bewaren. De Datawet introduceert waarborgen voor deze machtsongelijkheid door middel van minimumvereisten, maar er moeten aanvullende waarborgen worden ingevoerd voor het geval er sprake is van persoonsgegevens.
3. De overheid mag in noodsituaties toegang krijgen tot de gegevens.
In geval van openbare noodsituaties, zoals natuurrampen, hebben overheidsinstanties recht op toegang tot gegevens van de private sector, waaronder mogelijk persoonsgegevens. Hoewel onder uitzonderlijke omstandigheden, zullen DPO’s en privacyprofessionals belangrijke actoren zijn bij het monitoren van het gebruik van dit recht en het garanderen dat de prestaties ervan in overeenstemming blijven met de AVG.
Impact van de AI-wet. [2]
Nu de eerste twee hoofdstukken van de AI-wet in februari in werking zijn getreden en de regels inzake verplichtingen voor AI-aanbieders voor algemene doeleinden in augustus 2025 van kracht worden, zal ook het werk van privacyprofessionals worden beïnvloed en is het belangrijk dat zij zich bewust zijn van deze veranderingen. Voor de training van AI-modellen zijn gegevens nodig, waarvan sommige mogelijk persoonsgegevens zijn. Aangezien de AI-wet de workflow van AI-ontwikkeling in de EU beïnvloedt, moeten DPO’s en privacyprofessionals deze regels begrijpen om voorbereid te zijn op hun rol.
Hoofdstukken 1 en 2 van de AI-wet, van toepassing sinds 2 februari 2025, vereisen het volgende:
-
Aanbieders moeten toezicht houden op verplichte AI-geletterdheidstraining voor al het personeel dat betrokken is bij AI-systemen om ervoor te zorgen dat zij de AI-risico’s begrijpen. Aangezien bewustwordingstrainingen over gegevensbeschermingskwesties een van de taken zijn van DPO’s en privacyprofessionals, kan het raadzaam zijn dat zij bij deze sessies betrokken zijn en ervoor zorgen dat ook de bewustwording over gegevensbescherming in deze systemen wordt nageleefd.
-
Het verbod op bepaalde AI-praktijken, zoals onrechtmatige gezichtsherkenning, kan een ander instrument zijn voor de DPO om te argumenteren tegen risicovolle verwerking van persoonsgegevens.
De regels met betrekking tot algemene AI, van kracht vanaf 2 augustus 2025, vereisen het volgende, wat relevant is voor privacyprofessionals: Risicobeoordelingen en correcte documentatie zijn vereist voor AI-modellen met systeemrisico’s.
Privacyprofessionals, als kenniscentrum voor gegevensbescherming in veel organisaties, zullen een rol spelen bij het beoordelen van de privacyrisico’s en mogelijke beveiligingsproblemen tijdens deze beoordelingen.
Krijgen we een Scherms III met Trump aan de macht?[3]
Te midden van de hervormingen en maatregelen in de betrekkingen tussen de EU en de VS, nu de tweede ambtstermijn van president Donald Trump begint, wordt de toekomst van het Transatlantic Data Privacy Framework (DPF) in twijfel getrokken. Dit kader vormt de basis van het adequaatheidsbesluit van de Commissie over de VS, dat internationale doorgiften van gegevens van de EU naar de VS onder de AVG mogelijk maakt. Nu belangrijke Democratische leden van de Privacy and Civil Liberties Oversight Board (PCLOB) zijn ontslagen, is een van de belangrijkste toezichtsmechanismen voor het DPF mogelijk niet meer functioneel, of kunnen er in ieder geval vragen rijzen over de mate van onafhankelijkheid. Als dit leidt tot bedreigingen voor de bescherming van persoonsgegevens die naar de VS worden doorgegeven, kunnen EU-verwerkingsverantwoordelijken mogelijk niet langer vertrouwen op het huidige adequaatheidsbesluit om gegevens naar de VS door te geven.
DPO’s en privacyprofessionals moeten zich bewust zijn van het risico dat gegevensoverdracht, met name naar Amerikaanse cloudproviders, mogelijk niet veel langer mogelijk zal zijn op grond van een adequaatheidsbesluit. Er is op zijn minst sprake van rechtsonzekerheid, aangezien de onafhankelijkheid van de PCLOB leidt tot een precaire situatie van de DPF, die al talloze zwakke punten kende.
Het is cruciaal dat DPO’s zich voorbereiden op het scenario waarin de basis voor de huidige gegevensoverdrachten ongeldig wordt. Dit kan alternatieve cloudproviders en andere partners inhouden, of mogelijk andere wegen verkennen om gegevens in het buitenland te beschermen, zoals het opnieuw bekijken van die oude SCC’s.
[1] https://digital-strategy.ec.europa.eu/en/policies/data-act; Regulation (EU) 2023/2854 on harmonised rules on fair access to and use of data and amending Regulation (EU) 2017/2394 and Directive (EU) 2020/1828.
[2] Regulation (EU) 2024/1689 of 13 June 2024 laying down harmonised rules on artificial intelligence and amending Regulations (EC) No 300/2008, (EU) No 167/2013, (EU) No 168/2013, (EU) 2018/858, (EU) 2018/1139 and (EU) 2019/2144 and Directives 2014/90/EU, (EU) 2016/797 and (EU) 2020/1828.
[3] https://noyb.eu/en/us-cloud-soon-illegal-trump-punches-first-hole-eu-us-data-deal.
