THE PRIVACYPERFECT BLOG

Since the GDPR went into effect in May 2018, more and more people have become aware of their right to make a request to access the personal data that an organisation holds on them or have these data modified or deleted. This request, also known as a “Data Subject Request” (DSR), is a legal right for individuals according to the GDPR. Organisations are, in most cases, required to fulfil those data subject requests and will risk fines or other penalties if they don’t.

Onlangs publiceerde de Autoriteit Persoonsgegevens (AP) de “Jaarrapportage meldplicht datalekken 2021”, met een verontrustende stijging van datalekken als gevolg van cyberaanvallen. Naast het voorkomen van datalekken is het zeer belangrijk om te weten hoe te handelen in het geval van een datalek. In deze blog lees je wat je moet doen in het geval van een datalek en hoe PrivacyPerfect hierbij kan helpen.

Gegevens delen buiten de EU is sinds de gerechtelijke Schrems-II uitspraak een grotere uitdaging geworden. Organisaties zijn verplicht om Transfer Impact Assessments (TIA’s) uit te voeren om mogelijke risico’s van data-overdracht uit de EU naar andere landen te beoordelen. Dit was tot voor kort arbeidsintensief en foutgevoelig, maar dankzij onze samenwerking met het internationale advocatenkantoor DLA Piper kan het nu veel efficiënter en op gestandaardiseerde manier. De TIA-tool van DLA Piper, Transfer, is geïntegreerd in de PrivacyPerfect privacy-compliance SaaS-omgeving, en onderdeel van de assessment-module. 

Gain insight into your supplier ecosystem to easily identify and efficiently assess and mitigate third-party risks. Integrate Vendor Risk Management with your processing register and Data protection impact assessment. 

Conducting a DPIA is an important method to demonstrate accountability for all the personal data processings within your organisation. Though executing a DPIA is not an easy thing to do, it is according to the GDPR in case of a high risk processing, mandatory to perform. In this blog we will discuss in short the importance of a DPIA and how one should be performed. 

Begin november 2021 heeft de Autoriteit Persoonsgegevens (AP) een paper gepubliceerd waarin zij waarschuwt voor privacyrisico’s in het onderwijs. Volgens de AP digitaliseert het onderwijs, wat veel kansen maar ook risico’s met zich meebrengt. Hoewel de Algemene Verordening Gegevensbescherming (AVG) inmiddels zo’n 3 jaar geleden in werking is getreden, worstelen veel onderwijsinstellingen met het naleven van de AVG. Dat onderwijsinstellingen steeds verder digitaliseren maakt het voldoen aan de privacyregelgeving alleen maar ingewikkelder. Onderwijsinstellingen creëren bijvoorbeeld steeds meer datastromen met (gevoelige) informatie over leerlingen en studenten. De Vereniging van scholen in het voortgezet onderwijs (VO-raad) onderstreept deze bevindingen en benadrukt dat scholen voorzichtig dienen om te gaan met de persoonsgegevens van leerlingen, studenten en hun ouders. De bescherming van persoonsgegevens van kinderen is essentieel gezien hun kwetsbare positie. Echter liggen er ook datalekken op de loer wanneer men zoveel persoonsgegevens verwerkt. Helaas zijn er de afgelopen jaren tal van voorbeelden geweest waarin dit pijnlijk duidelijk werd. 

TikTok is facing a second mass claim in the Netherlands: the Take Back Your Privacy foundation
(TBYP) and the Consumentenbond laid down a damages claim of a staggering 1,5 billion euros. They
assert that TikTok is illegally collecting and trading children’s private information who are using the
social media platform. But what is the basis of the case, how is it progressing, and what can you as a
parent do to ensure your child's personal information remains private?

Interview with Friederike van der Jagt, Chairwoman of the Take Back Your Privacy foundation and
Damiën Berkhout, lawyer of the foundation and partner at Scott + Scott Attorneys at Law LLP.

Back in April 2021, we wrote that if your website is accessible in France (and hey, aren’t they all?), chances are website owners had to bring their cookie consent practices in line with new French rules or face the wrath of France's data protection supervisor, the Commission nationale de l'informatique et des libertés, (CNIL), which had automated audits to periodically analyze cookie deposit practices. 

The European Data Protection Board (EDPB) adopted, on 18 June 2021, the final version of its Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data. 

The recommendations were first adopted for public consultation in November 2020, following the Cåourt of Justice of the European Union (CJEU) judgment in Data Protection Commissioner v. Facebook Ireland Limited, Maximillian Schrems (C-311/18) (Schrems II) in which it invalidated the EU-US Privacy Shield, making EU-US data transfers using the PrivacyShield non-compliant overnight. The Court also subscribed additional supplementary measures for using possible replacement transfer mechanisms, making  the load on organisations even heavier. 

The release of new standard contractual clauses (SCC) for safeguarding personal data being transferred out of the EU did not come as a surprise in data protection circles, but it certainly will be a lot of work to read through the documents and renegotiate current contracts with customers and suppliers.