0:00

Kris: Welkom terug bij dJ Talks, de podcast van deJuristen. Ik ben Kris managing partner en één van de juridische experts bij deJuristen, en samen met Duygu, Privacy Chair van het Data Protection team bij deJuristen, verkennen we de GDPR in de praktijk. Duygu: Vandaag gaan we verder met ons boek "Roodlicht of rotonde". We duiken dieper in de GDPR, een 'rondpunt-wetgeving' die kansen biedt voor jouw onderneming. Kris: We behandelen de hoofdstukken van ons boek stap voor stap, met praktijkvoorbeelden om GDPR toegankelijker en duidelijker te maken. Duygu: Laten we beginnen met onze volgende verkenning in de wereld van data protection en recht. Kris: ...En trouwens, een interessant feitje voor onze luisteraars: de scenario’s in deze aflevering zijn gegenereerd door ChatGPT, uiteraard gebaseerd op ons boek, en de voicecloning is gedaan door Elevenlabs. Duygu: Precies, Kris. Dit betekent dat onze dialoog en discussies volledig gegenereerd zijn door AI. Kris: (Enthousiast) "We gaan het vandaag hebben over een prikkelend onderwerp: aansprakelijkheid in GDPR. Hé, Duygu, klaar voor een diepe duik?" Duygu: (Vrolijk) "Altijd klaar, Kris! Aansprakelijkheid... dat klinkt bijna alsof we een thriller bespreken, nietwaar?" Kris: (Lachend) "Inderdaad! Wie is de 'bad guy' in het verhaal van GDPR? De verwerker, de verwerkingsverantwoordelijke, of beide?" Duygu: "Laten we eerst eens kijken naar die relatie. Je hebt de verwerkers, de mensen die data... nou ja, verwerken. En dan de verwerkingsverantwoordelijken, die beslissen hóe en wáárom die data verwerkt wordt." Kris: "Precies. En hier wordt het interessant. Stel je voor, er gaat iets mis. Datalek, schending van privacy... wie trekt aan het kortste eind?" Duygu: "Volgens de GDPR heeft iemand die schade lijdt door een inbreuk het recht op vergoeding. En deze vergoeding is niet alleen beperkt tot materiële schade, maar omvat ook immateriële schade, zoals moreel leed." Kris: "Dat is een belangrijk punt. Het gaat hier dus niet alleen om financiële verliezen, maar ook om de impact op iemands persoonlijke rechten en vrijheden. Een breed spectrum aan schade, zou je kunnen zeggen." Duygu: "Precies. En wat betreft aansprakelijkheid, het kan de verwerkingsverantwoordelijke zijn, de verwerker, of beide. De GDPR maakt geen onderscheid." Kris: "Dat maakt de zaken inderdaad gecompliceerd. Neem bijvoorbeeld een situatie waarin een bedrijf de verwerker is en een datalek plaatsvindt vanwege een beveiligingsfout. Hier zou de verwerker aansprakelijk kunnen zijn." Duygu: "Maar het is niet altijd zo zwart-wit, toch? Stel dat het lek voortkomt uit instructies van de verwerkingsverantwoordelijke, dan zou de verantwoordelijkheid kunnen verschuiven." Kris: "Klopt. Het is een samenspel van verantwoordelijkheden. Beide partijen moeten zorgvuldig handelen en zich bewust zijn van hun rol in de bescherming van persoonsgegevens." Duygu: "En dit is waar het belang van duidelijke contracten en procedures naar voren komt. Bedrijven moeten hun rol en verantwoordelijkheden binnen de GDPR duidelijk vastleggen." Kris: "Een uitstekend punt. Het gaat niet alleen om aansprakelijkheid, maar ook om preventie en verantwoordelijkheid. Een goede voorbereiding en heldere afspraken zijn cruciaal." Duygu: "Ja, en door dit te begrijpen, kunnen bedrijven zich beter wapenen tegen mogelijke inbreuken en de gevolgen daarvan." Kris: "Precies, Duygu. En om nog een stap verder te gaan, laten we eens kijken naar de verwerkingsverantwoordelijke. De aansprakelijkheid hangt af van de aard van hun GDPR-verplichtingen. Is het een inspanningsverbintenis, waarbij ze hun redelijk best moeten doen, of een resultaatsverbintenis, waarbij een specifiek resultaat vereist is?" Duygu: "Dat is een cruciaal onderscheid. Vaak gaat het om een inspanningsverbintenis. Dit betekent dat een verwerkingsverantwoordelijke aansprakelijk kan zijn als die niet alle redelijke inspanningen heeft geleverd die van een normaal bedachtzaam en vooruitziende verwerkingsverantwoordelijke verwacht kunnen worden." Kris: "Dus het gaat meer om het proces en minder om het eindresultaat. Dit is waar goede documentatie en nalevingsprocedures echt van belang zijn." Duygu: "Absoluut. En laten we de verwerker niet vergeten. Zij spelen ook een sleutelrol en hun verplichtingen en aansprakelijkheden moeten even serieus genomen worden." Kris: "Het is een samenwerking, waarbij elke partij hun eigen rol en verantwoordelijkheden heeft. Door dit te begrijpen en correct toe te passen, kunnen bedrijven niet alleen voldoen aan de GDPR, maar ook hun risico op aansprakelijkheid minimaliseren." Duygu: "Helemaal waar, Kris. De GDPR vereist van verwerkingsverantwoordelijken niet alleen dat ze hun best doen, maar ook dat ze aantoonbare inspanningen leveren. Dit betekent het implementeren van passende technische en organisatorische maatregelen om de persoonsgegevens die ze verwerken te beschermen." Kris: "Inderdaad, en dit is waar het belang van 'accountability' of verantwoording komt kijken. De GDPR vereist niet alleen dat je in lijn handelt met de regelgeving, maar ook dat je kunt bewijzen dat je dit doet." Duygu: "En laten we niet vergeten stil te staan bij de risicobeoordeling. Het gaat hier niet alleen om het volgen van regels, maar ook om het begrijpen en beoordelen van de risico's verbonden aan de verwerking van persoonsgegevens." Kris: "Dat is een cruciaal punt. Het gaat om een voortdurende beoordeling en aanpassing, niet alleen een eenmalige actie. GDPR-compliance is een doorlopend proces." Duygu: "Helemaal waar, Kris. GDPR-compliance is een dynamisch proces. Het vereist niet alleen voortdurende beoordeling, maar ook aanpassing aan nieuwe technologieën en veranderende omstandigheden. Zoals in ons boek wordt uitgelegd, is het bijvoorbeeld een inspanningsverbintenis voor de verwerkingsverantwoordelijke om gepaste technische en organisatorische maatregelen (TOM's) te nemen voor de bescherming van persoonsgegevens." Kris: "En dat is geen eenvoudige taak. Met de constante evolutie van technologie en cyberdreigingen, moeten verwerkingsverantwoordelijken en verwerkers altijd op hun hoede zijn en hun beveiligingsmaatregelen up-to-date houden." Duygu: "Precies. En er kan zelfs met alle inspanningen een uitzonderlijke hack plaatsvinden die buiten de controle van de verwerkingsverantwoordelijke ligt. In zo'n geval kan de verwerkingsverantwoordelijke aantonen dat zij alle redelijke maatregelen hebben genomen, ondanks het onvoorziene resultaat." Kris: "Dat benadrukt het belang van een gedegen risicobeoordeling en -beheer. Niet alleen om aan de GDPR te voldoen, maar ook om je organisatie te beschermen tegen mogelijke inbreuken en de gevolgen daarvan." Duygu: "Inderdaad, Kris. En over dynamisch gesproken, GDPR-compliance past zich voortdurend aan. Het gaat niet alleen om het implementeren van maatregelen, maar ook om deze actueel te houden. Neem bijvoorbeeld de technische en organisatorische maatregelen die je als verwerkingsverantwoordelijke moet nemen." Kris: "Dat is een uitdaging op zich. Met technologie die steeds verandert, moeten we als professionals altijd alert blijven. En zelfs dan, kan er iets onvoorspelbaars gebeuren, zoals een geavanceerde hack." Duygu: "Juist, en dat is waar de inspanningsverbintenis een rol speelt. Zelfs als er iets misgaat, als je kunt aantonen dat je redelijkerwijs alles hebt gedaan om dat te voorkomen, sta je sterker." Kris: "Het draait dus om het proces en de inspanningen, niet alleen om het eindresultaat. Een goede risicobeoordeling en -beheer zijn essentieel." Duygu: "Helemaal mee eens, Kris. Maar het is ook belangrijk om te onthouden dat bepaalde aspecten van de GDPR toch wel als resultaatsverbintenissen worden gezien. Neem bijvoorbeeld de verplichting voor de verwerkingsverantwoordelijke om een verwerkingsovereenkomst te sluiten met verwerkers. Dit is een duidelijk voorbeeld van een resultaatsverbintenis." Kris: "Dat is een goed punt. Het gaat niet alleen om de inspanningen, maar ook om het bereiken van specifieke resultaten zoals het vastleggen van die overeenkomsten." Duygu: "Precies, en dit benadrukt de complexiteit van GDPR-compliance. Het is een balans tussen het aantonen van inspanningen en het bereiken van concrete resultaten." Kris: "Je hebt helemaal gelijk, Duygu. En dat brengt ons bij een ander belangrijk aspect - de specifieke gevallen waarin een verwerkingsverantwoordelijke aan aansprakelijkheid kan ontsnappen. Het eerste geval is een soort overmachtssituatie, waar de verwerkingsverantwoordelijke moet aantonen dat de schade het gevolg is van een abnormale gebeurtenis die door geen enkele redelijke maatregel kon worden voorkomen." Duygu: "Dat klinkt als een behoorlijke uitdaging om te bewijzen. Het moet echt een uitzonderlijke situatie zijn." Kris: "Absoluut, en het tweede geval hangt samen met de e-Commerce richtlijn. Hier kan een verwerkingsverantwoordelijke vrijgesteld worden van aansprakelijkheid als zij optreden als een dienstverlener in de informatiemaatschappij die als tussenpersoon fungeert." Duygu: "Dat is fascinerend. Dus als een verwerkingsverantwoordelijke kan aantonen dat ze een passieve rol hebben gespeeld in de verwerking van de betreffende gegevens, kunnen ze vrijgesteld worden van aansprakelijkheid?" Kris: "Precies. Het toont aan hoe de GDPR niet alleen zwart-wit is. Er zijn nuances en uitzonderingen die een diepgaand begrip van de regelgeving vereisen." Duygu: "Je hebt gelijk over de voorwaarden, Kris. De e-Commerce richtlijn trekt een duidelijke grens. Als een hostingprovider actief betrokken raakt bij de inhoud, zoals het wijzigen of promoten ervan, dan verandert hun aansprakelijkheidsstatus." Kris: "Het lijkt erop dat deze regelgeving de balans probeert te vinden tussen het beschermen van de rechten van gebruikers en het niet onredelijk belasten van dienstverleners." Duygu: "Zeker, en dit brengt ons bij het concept van 'daadwerkelijke kennis'. Een dienstverlener kan niet verantwoordelijk worden gehouden voor wat ze niet weten. Maar zodra ze op de hoogte zijn van onwettige activiteiten, moeten ze handelen." Kris: "Dat lijkt me een redelijke benadering. Het voorkomt een scenario waarin dienstverleners constant alle inhoud moeten monitoren, wat praktisch onhaalbaar zou zijn." Duygu: "Precies, en dat is waar GDPR en de e-Commerce richtlijn overlappen. GDPR gaat over het beschermen van persoonsgegevens, terwijl de e-Commerce richtlijn gaat over de aansprakelijkheid van tussenpersonen voor de inhoud die ze hosten of doorgeven." Kris: "Een perfecte illustratie van hoe de digitale wereld meerdere lagen van regelgeving vereist. Elk met zijn eigen focus, maar allemaal met hetzelfde doel: de rechten van individuen beschermen." Duygu: "Helemaal waar, Kris. En over het beschermen van individuen gesproken, laten we het hebben over de rol van de verwerker. In sommige opzichten is hun aansprakelijkheid minder strikt dan die van de verwerkingsverantwoordelijke, maar er zijn belangrijke uitzonderingen." Kris: "Oh ja, de verwerker. Een beetje het 'middelkind' in de GDPR-familie, nietwaar?" Duygu: (Lachend) "Zo kun je het zien. De verwerker heeft specifieke verplichtingen. Als ze deze niet nakomen, dan kunnen ze inderdaad aansprakelijk gesteld worden. Een klassiek voorbeeld is wanneer ze buiten de instructies van de verwerkingsverantwoordelijke treden." Kris: "Dat lijkt me een lastige positie. Ze moeten binnen de lijnen kleuren, maar ook hun eigen verplichtingen serieus nemen." Duygu: "Precies. En als ze te veel eigen beslissingen nemen over hoe de gegevens verwerkt worden, dan kunnen ze ineens de rol van verwerkingsverantwoordelijke op zich nemen, met alle bijkomende aansprakelijkheden van dien." Kris: "Dat is een cruciaal punt, Duygu. We moeten echt benadrukken hoe belangrijk het is om duidelijk te zijn over de rollen. Wanneer we kijken naar de GDPR, zien we dat de verantwoordelijkheden van verwerkingsverantwoordelijken en verwerkers nauw omschreven zijn. Maar er is een grijs gebied, nietwaar?" Duygu: "Absoluut, Kris. Bijvoorbeeld, als een verwerker buiten de afgesproken parameters handelt, kan hij plotseling als verwerkingsverantwoordelijke worden gezien. Dit brengt extra verplichtingen en risico's met zich mee." Kris: Dat is een interessant punt, Duygu. En het wordt nog ingewikkelder als er meerdere verwerkers of verwerkingsverantwoordelijken betrokken zijn bij een project. In zulke gevallen, zoals de GDPR aangeeft, ontstaat er een situatie van 'hoofdelijke aansprakelijkheid'. Stel je voor dat er iets misgaat, dan kan de gedupeerde kiezen wie van hen aangesproken wordt voor de volledige schade. Duygu: (lacht) Het lijkt wel alsof je in een restaurant zit en niet weet wie de rekening moet betalen. Kris: Precies! En het wordt nog interessanter. De persoon die de schadevergoeding betaalt, kan vervolgens een regresvordering instellen tegen de andere verantwoordelijken om hun deel van de schade te verhalen. Duygu: Dus, in wezen, het is een domino-effect van aansprakelijkheid en compensatie. Dit is waarom duidelijke afspraken en transparantie zo cruciaal zijn in dataverwerking. Kris: Absoluut. Het is een complexe dans van verantwoordelijkheden, maar het zorgt ervoor dat iedereen op zijn tenen loopt om data correct te verwerken. Duygu: Precies, Kris. En wat denk je van het beperken van aansprakelijkheid in contracten? Binnen de GDPR is er ruimte voor verwerkers om hun verantwoordelijkheid te definiëren. Kris: Ja, maar die flexibiliteit heeft grenzen, toch? Ze kunnen niet volledig ontkomen aan verantwoordelijkheid. Duygu: Absoluut. Stel je voor, als één partij verantwoordelijk is voor een fout, kunnen ze overeenkomen om die last te dragen. Maar dit wordt streng gecontroleerd, vooral voor verwerkingsverantwoordelijken. Kris: Zeker, en dat herinnert me aan een project waarbij we zulke afspraken moesten maken. Het is een delicate balans tussen verantwoordelijkheid en de bescherming van persoonsgegevens. Duygu: Precies mijn punt. Het gaat niet alleen om aansprakelijkheid, maar ook om de integriteit van gegevensbescherming. Zoals in dat project waar we specifieke verbintenissen moesten vastleggen om gegevensbescherming te waarborgen. Kris: En dat is de kern, toch? Het is een voortdurend evenwicht tussen bescherming, aansprakelijkheid en de realiteit van dataverwerking. Duygu: Je hebt helemaal gelijk, Kris. En om dieper in te gaan op het thema van aansprakelijkheid, het is belangrijk om te benadrukken dat het niet de Gegevensbeschermingsautoriteit (GBA) is die schadevergoedingen oplegt, maar de gewone rechtbanken. Dit betekent dat de procedures voor schadeloosstelling buiten het bereik van de GBA vallen. Kris: Dat is een cruciaal onderscheid. Dus, als er iets misgaat, is het een juridisch proces buiten de GBA? Duygu: Precies. Hoewel de GBA wel administratieve boetes en correctieve maatregelen kan opleggen bij overtredingen van de GDPR, zijn de rechtbanken verantwoordelijk voor de behandeling van schadeclaims. Kris: Dat brengt een extra laag van complexiteit met zich mee. Het gaat niet alleen om de GDPR-regels, maar ook om hoe deze zaken worden behandeld in de rechtbank. Duygu: Precies, Kris. Om alles samen te vatten, de GDPR zorgt ervoor dat de benadeelde beschermd wordt. Ze mogen geen nadeel ondervinden van de afspraken tussen de verwerkingsverantwoordelijke en de verwerker. Kris: Dus eigenlijk, de precieze afspraken tussen hen zijn essentieel voor zowel bescherming als aansprakelijkheid. Duygu: Inderdaad. En het gaat verder dan dat. De concrete prestaties tussen deze partijen bepalen in grote mate hoe zij onderling aansprakelijk zijn. Kris: Dat klinkt behoorlijk complex, maar ook heel belangrijk. Die contractuele afspraken moeten echt goed in elkaar zitten. Duygu: Absoluut. Het draait allemaal om het balanceren tussen bescherming, aansprakelijkheid en de praktijk van dataverwerking. En daarmee ronden we onze discussie voor vandaag af. Kris: We hopen dat jullie nuttige inzichten hebben verkregen over GDPR en hoe het toe te passen in jullie dagelijkse zakelijke praktijken. Vergeet niet om ons te volgen op onze sociale media kanalen voor meer inzichten en updates. Zoek naar 'DeJuristen' op Instagram en LinkedIn. Duygu: En als je vragen hebt of meer wilt weten, stuur ons gerust een bericht via [email protected]. We helpen je graag verder! Kris: Bedankt voor het luisteren, en tot ziens!