EDRi: Europese Commissie test of het AVG kan verzwakken
De Europese Commissie is aan het testen of het de AVG kan verzwakken, zo stelt de Europese burgerrechtenbeweging EDRi. Aanleiding is een voorstel van Brussel om een verplichting uit de AVG te versoepelen. De AVG verplicht dat organisaties via een verwerkingsregister vastleggen welke persoonsgegevens ze verwerken. De vereiste hangt af van de omvang van de organisatie en het type gegevens dat wordt verwerkt.
Organisaties met minder dan 250 medewerkers hoeven geen register bij te houden, tenzij er structureel persoonsgegevens worden verwerkt, verwerkte persoonsgegevens waarschijnlijk een risico kunnen inhouden voor de rechten en vrijheden van de betrokken personen of dat het om bijzondere persoonsgegevens gaat. Als het aan de Europese Commissie ligt wordt de uitzondering voor organisaties kleiner dan 250 medewerkers uitgebreid naar organisaties met minder dan 750 medewerkers. Brussel claimt dat dit kosten voor bedrijven moet verlagen en het eenvoudiger maakt om compliant te zijn.
Volgens EDRi is het voorstel een opzettelijke poging van Brussel om te testen of het over essentiële waarborgen van de AVG opnieuw kan onderhandelen. "Het voorstel mist bewijs, gaat voorbij aan een impact assessment en staat haaks op de eigen evaluatie van de Commissie", aldus de burgerrechtenbeweging. "Dit gaat niet over het verbeteren van compliance of het helpen van mkb-bedrijven. Het weerspiegelt een breder politiek narratief, een gevormd door het Draghi Rapport over concurrentievermogen van de EU en bredere agenda's om wetgeving te verminderen, die rechten reframen als obstakels voor groei."
De burgerrechtenbeweging spreekt over een zogenaamde concurrentiecrisis die is gefabriceerd. "Verzonnen om het verzwakken van lastig verworven rechten te rechtvaardigen, niet om daadwerkelijke obstakels voor economische prestaties weg te nemen. Er is geen geloofwaardig bewijs dat de AVG verantwoordelijk is voor de economische uitdagingen van de EU. Integendeel, waar het om gaat is of data governance geworteld blijft in rechten, of wordt aangepast voor uitbuitende bedrijfsmodellen." In plaats van het verzwakken van rechten moet volgens EDRi de focus juist liggen op het versterken van handhaving en het verbeteren van het regelgevende ecosysteem.
En die dan vervolgens nog willen verzwakken ook, uiteindelijk om het makkelijker te maken om burgers in de gaten te houden.
Zoals gebruikelijk zal de EUSSR het wel net zo vaak proberen tot het een keer aan de aandacht ontsnapt en niet weg gestemd wordt.
Wanneer stappen we er nou gewoon eens uit? De mafia is er niks bij...
EDRi: "Dit gaat niet over het verbeteren van compliance of het helpen van mkb-bedrijven."
Dit gaat dan sowieso niet om het helpen van mkb-bedrijven, want die zijn gedefinieerd als 'maximaal 250 werknemers':
https://single-market-economy.ec.europa.eu/smes/sme-fundamentals/sme-definition_en ;-)
Ik zou dus denken dat organisaties die hier een probleem mee hebben daarmee impliceren dat ze zich niet aan die andere verplichting in de AVG houden. Die grens van 250 medewerkers is al bizar in dat licht. Ik zou zeggen dat dat geen uitbreiding verdient naar meer en grotere organisaties, ik denk eerder dat dat het volstrekt redelijk is dat iedereen die een administratie bijhoudt op een rijtje moet hebben wat er dan in die administratie wordt bijgehouden, en waarom. En dan zit je al heel dichtbij voldoen aan de AVG-verplichtingen.
Mis ik nou iets belangrijks, of wil de EC hier incompetentie faciliteren?
Dat kan ook bereikt worden door het aantal gebruiks-"uitzonderingen" te verminderen, Hoe minder toegestaan wordt dat persoonsgegevens verwerkt worden, hoe minder er geregistreerd hoeft te worden en hoe minder administratieve druk er is.
Want dan mag het gewoon net meer, Op straffen van een fixe boete.
Heel simpel. Makkelijk te onthouden, En nog makkelijker te controleren.
Blijft natuurlijk de rare situatie dat er een uitzondering is voor het incidenteel verwerken van persoonsgegevens voor “kleine” bedrijven van maximaal 250 medewerkers. Alle organisaties doen structureel aan een personeels registratie (met zelfs een volledig kopietje paspoort voor de fiscus). Geen enkele medewerker zal het leuk vinden om incidenteel zijn/haar salaris te ontvangen
Ik zou dus denken dat organisaties die hier een probleem mee hebben daarmee impliceren dat ze zich niet aan die andere verplichting in de AVG houden. Die grens van 250 medewerkers is al bizar in dat licht. Ik zou zeggen dat dat geen uitbreiding verdient naar meer en grotere organisaties, ik denk eerder dat dat het volstrekt redelijk is dat iedereen die een administratie bijhoudt op een rijtje moet hebben wat er dan in die administratie wordt bijgehouden, en waarom. En dan zit je al heel dichtbij voldoen aan de AVG-verplichtingen.
Mis ik nou iets belangrijks, of wil de EC hier incompetentie faciliteren?
Idd is het verwerkingsregister tesamen met de verwerkers overeenkomsten leidend bij een datalek, maar ook een fundament voor een goede privacyverklaring. Hoewel menige privacyverklaring niet meer(en imho te weinig) inzicht biedt dan:
- wij van bedrijf x voldoen aan de avg
- dit zijn uw rechten
- graag willen wij u onze marketingnieuwsbrief sturen waarvoor u zich kan afmelden.
- dit is ons contactadres
Mogelijk dat data minimalisatie dan eens serieus wordt genomen.
Vb. feitelijk is een adres, bestel info etc., bij een winkel niet meer nodig nadat de retour termijn verlopen is, dus zou ook gewist moeten worden.
Na de garantie termijn kan het email adres weg, na 6, uiterlijk 7, jaar de factuur etc.
,Een adres voor een bezorgdienst aan huis heeft wel een legitiem belang.
Laten we dan de verslavende drang naar ewige groei van bedrijven maar gaan framen als obstakels voor goede AVG rechten van burgers.
Perspectief is alles. Vooral in Den Haag en Brussel.
Het is wel duidelijk wie hun salarissen en onkosten betaald.
Graag een refund voor alles burgers die hierdoor genaaid worden.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Senior Netwerkbeheerder
Netwerk Services
AIVD
Betrouwbaarheid, optimale beveiliging en innovatie: eisen die we stellen aan onze infrastructuur die het belangrijke werk van de AIVD en de MIVD mogelijk maakt. Zorg jij ervoor dat gebruikers altijd op de systemen kunnen rekenen en dat er geen staatsgeheim ontsnapt?
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?