EDPS publiceert richtlijnen voor verwerking persoonsgegevens

De Europese Toezichthouder voor gegevensbescherming (EDPS) publiceert richtlijnen over het verwerking van persoonsgegevens in het kader van online diensten en mobiele applicaties.

In oktober oordeelde het Hof van Justitie al dat dynamische IP-adressen onder bepaalde omstandigheden aan te merken zijn als beschermde persoonsgegevens. Dit arrest is echter slechts een onderdeel van een veel grotere uitdaging, namelijk de adequate bescherming van persoonsgegevens in het kader van online diensten en het gebruik van mobiele applicaties. Deze uitdaging stelt zich zowel voor private ondernemingen als voor publieke organisaties en overheden.

Richtlijnen

Ook bij de Europese Toezichthouder voor gegevensbescherming leeft dit onderwerp. Dat blijkt uit de publicatie op 7 november 2016 van twee afzonderlijke sets richtlijnen omtrent de verwerking van persoonsgegevens, respectievelijk in het kader van het verrichten van online diensten en omtrent het gebruik van persoonsgegevens in mobiele applicaties.

Best practices

De richtlijnen zijn geadresseerd aan de instellingen van de Europese Unie, die de richtlijnen dienen te gebruiken in hun online communicatie, interactie en eventuele transacties met de burger. Niettemin kunnen de richtlijnen nuttig zijn voor andere organisaties, en gezien worden als een lijst met ‘best practices’, waarbij een veilige aanpak gepromoot wordt. Zo wordt bijvoorbeeld door de richtlijnen omtrent online diensten aanbevolen om IP-adressen als persoonsgegevens te behandelen, hoewel de richtlijnen nog geen rekening houden met de meest recente uitspraak van het Hof van Justitie, die hierboven reeds werd aangehaald.

Aandachtspunten

De richtlijnen behandelen vragen en pijnpunten die in de praktijk uiterst relevant kunnen zijn:

• toestemmings- en informatietechnieken bij het verlenen van online diensten en bij het ter beschikking stellen van mobiele applicaties,
• het gebruik van diverse soorten cookies en de toestemmingsvraag omtrent dit gebruik,
• de uitdagingen omtrent tracking en profiling,
• de rechtmatigheid van data transfers,
• de verwerking van gegevens door een derde, etc.

Ook informatieveiligheid wordt uitvoerig behandeld. Zo wordt er bijvoorbeeld de nadruk gelegd op aandacht voor veiligheid bij het ontwerpen en testen van applicaties, het omgaan met kwetsbaarheden en de aanwezigheid van een werkbare procedure wanneer er toch een gegevenslek zou ontstaan.

Andere ontwikkelingen

Uit onderzoek van de Noorse consumentenbond blijkt dat veel apps niet privacyvriendelijk zijn en dat er nog veel verbeterd kan worden. Ook ontwikkelde de EU al een gedragscode voor mobiele gezondapps.

IT-recht advocaat

De richtlijnen kunnen dus zeker een inspiratiebron zijn voor tal van actoren die persoonsgegevens verwerken, al mag niet vergeten worden dat de richtlijnen niet alomvattend zijn en bovendien geen vervangmiddel zijn voor juridisch advies. Bij complexe situaties of in geval van twijfel is het altijd aan te raden om een specialist te contacteren.

Voor meer informatie, contacteer een IT-recht advocaat van time.lex.