Current events, updates, and developments in data protection law
Denmark and Sweden are assessing how Trump’s 'Most Favoured Nation' push is affecting medicine access, now and long-term, despite safeguards in their value-based models
EDRi is deeply concerned that the European Commission’s current plans to amend the Better Regulation framework will lead to worse lawmaking, not better. In its submission to the Commission, EDRi shares recommendations to ensure balanced representation, fairness, transparency, and meaningful safeguards in EU lawmaking. The post European Commission’s plans will lead to worse regulations appeared first on European Digital Rights (EDRi).
The EDPS renews its call to add extra safeguards against indiscriminate chat-scanning in planned extension to temporary rules
EDRi has assessed the Digital Omnibus proposals affecting the General Data Protection Regulation (GDPR) and the ePrivacy framework. While presented as simplification, the changes amount to deregulation in effect, weakening fundamental rights safeguards, increasing legal uncertainty, and advancing through a process that falls short of democratic lawmaking standards. The post Reopening GDPR and ePrivacy through the Digital Omnibus: a risky path for EU digital rights appeared first on European Digi
Brussels, 21 January - The European Data Protection Board (EDPB) and the European Data Protection Supervisor (EDPS) have adopted a Joint Opinion on the European Commission’s Proposal for the ‘Digital Omnibus on AI’. The Proposal seeks to simplify the implementation of certain harmonised rules under the AI Act to ensure their effective application.The EDPB and the EDPS support the objective of addressing practical challenges relating to the implementation of the AI Act. Administrative simplificat
Nieuws uit de Europese Unie.
"Deze briefing analyseert de oprichting van de Europese Autoriteit voor het Bestrijden van Geldwitwassen en Terrorismefinanciering (AMLA) als een belangrijk onderdeel van de hervorming van de EU-wetgeving op het gebied van het bestrijden van geldwitwassen en terrorismefinanciering (AML/CFT) in 2024. Nu AMLA officieel haar activiteiten in de zomer van 2025 is begonnen, is een belangrijke vraag..."
=== Verwerking ====== Verwerking === Het geschil betrof de verantwoordelijkheid van de verwerker voor het implementeren van adequate beveiligingsmaatregelen, zoals vereist volgens artikel 32 van de AVG. Het geschil betrof de verantwoordelijkheid van de verwerker voor het implementeren van adequate beveiligingsmaatregelen, zoals vereist volgens artikel 32 van de AVG. "Over de eerlijkheid van de procedure:" "Over de eerlijkheid van de procedure:" "Over verantwoordelijkheden:" "Over verantwoordelijkheden:"
Feiten === Feiten ====== Feiten === Een universitair docent (de betrokkene) heeft toegang gevraagd tot de inhoud van beoordelingsrapporten van onafhankelijke beoordelaars en aanbevelingsbrieven die zijn opgesteld tijdens het promotieproces, bij de Universiteit van Cyprus (de verantwoordelijke). Een universitair docent (de betrokkene) heeft toegang gevraagd tot de inhoud van beoordelingsrapporten van onafhankelijke beoordelaars en aanbevelingsbrieven die zijn opgesteld tijdens het promotieproces, bij de Universiteit.
Een universitair docent (de betrokkene) heeft toegang gevraagd tot de inhoud van beoordelingsrapporten van onafhankelijke beoordelaars en aanbevelingsbrieven die zijn opgesteld tijdens het promotieproces, bij de Universiteit van Cyprus (de verantwoordelijke). Een universitair docent (de betrokkene) heeft toegang gevraagd tot de inhoud van beoordelingsrapporten van onafhankelijke beoordelaars en aanbevelingsbrieven die zijn opgesteld tijdens het promotieproces, bij de Universiteit van Cyprus (de verantwoordelijke).
(a) Aantoonbare onafhankelijkheid en expertise ===== (a) Aantoonbare onafhankelijkheid en expertise ========== (a) Aantoonbare onafhankelijkheid en expertise ===== Het is duidelijk uit artikel 41(1) van de AVG dat de instantie een "passend niveau van expertise" moet bezitten op het gebied waar de gedragscode betrekking op heeft, met als doel een effectieve naleving te waarborgen. Dit is ook een vereiste van het proces dat is beschreven in artikel 41(2)(a) van de AVG, volgens welke de toezichthoudende instantie "kan zijn..."
De uitspraak over de verhouding tussen de Europese Toezichthouder voor Gegevensbescherming (EDPS) en het Single Resolution Board (SRB) raakt de kern van het fundamentele recht op gegevensbescherming binnen de EU en bepaalt hoe kunstmatige intelligentie, dataruimtes en zogenaamde privacy-verbeterende technologieën (PET's) in de praktijk zullen worden gereguleerd. De uitspraak van het Gerechtshof van de Europese Unie (HvJ EU) komt op een cruciaal moment om te herhalen wat als persoonsgegevens wordt beschouwd, en benadrukt het belang van de bescherming die de Algemene Verordening Gegevensbescherming (AVG) beoogt te waarborgen. De post "Wanneer gegevens betrekking hebben op ons..."
The new "Digital Omnibus" from the European Commission is presented as a simple "simplification," but in practice, it undermines important safeguards in the GDPR, the ePrivacy regulations, and the AI Act. It would make access to device data easier, weaken restrictions on automated decision-making, and reduce protection against discriminatory AI. The article "Europe Undermines Its Digital Rights From Within" originally appeared on European Digital Rights (EDRi).
The European Commission’s new Digital Omnibus is presented as simple “streamlining”, but in practice it dismantles key safeguards in the GDPR, ePrivacy rules and the AI Act. It would make access to device data easier, weaken limits on automated decision-making and lower protections against discriminatory AI. The post Europe is dismantling its digital rights from within appeared first on European Digital Rights (EDRi).
De nieuwe "Digital Omnibus" van de Europese Commissie wordt gepresenteerd als een eenvoudige "vereenvoudiging", maar in de praktijk ondermijnt het belangrijke beschermingsmaatregelen in de GDPR, de ePrivacy-regels en de AI-wet. Het zou de toegang tot apparaatgegevens gemakkelijker maken, de beperkingen op geautomatiseerde besluitvorming verzwakken en de bescherming tegen discriminerende AI verminderen. Het artikel "Europa ondermijnt haar digitale rechten van binnenuit" verscheen oorspronkelijk op European Digital Rights (EDRi).
On November 19th, the European Commission published two so-called "omnibus" proposals: one revising key aspects of the General Data Protection Regulation (GDPR) and the ePrivacy rules, along with other data-related laws, and the other an amendment to the AI Act. This article focuses on the first proposal. It explains how the proposed changes could weaken fundamental rights related to data protection and the confidentiality of communications, and why the combined effect risks undermining long-standing safeguards for individuals within the EU.
Op 19 november heeft de Europese Commissie twee zogenaamde "omnibus"-voorstellen gepubliceerd: het ene herziening van belangrijke onderdelen van de Algemene Verordening Gegevensbescherming (AVG) en de ePrivacy-regels, samen met andere wetten met betrekking tot gegevens, en het andere een amendement op de AI-wet. Dit artikel richt zich op het eerste voorstel. Het legt uit hoe de voorgestelde wijzigingen fundamentele rechten op gegevensbescherming en de vertrouwelijkheid van communicatie zouden verzwakken, en waarom het gecombineerde effect het risico loopt om lang bestaande beschermingsmaatregelen voor mensen in de EU te veranderen.
On 19 November, the European Commission has published two Omnibus proposals: one that rewrites key parts of the General Data Protection Regulation (GDPR) and ePrivacy rules, along with other data-related laws, and another that amends the AI Act. This article focuses on the first proposal. It explains how the changes would weaken core rights to data protection and the confidentiality of communications, and why the combined effect risks reshaping long-standing safeguards for people in the EU. The
Het Europees Parlement heeft het EU-Singapore digitaal handelsakkoord goedgekeurd en een motie verworpen om een advies van het Gerechtshof van de Europese Unie te vragen over de legaliteit ervan. Dit besluit verzwakt het vermogen van de Unie om de privacy, de bescherming van gegevens en de verantwoordelijkheid met betrekking tot softwaresystemen te waarborgen, op een moment dat de druk om regulering te versoepelen in heel Europa toeneemt. Het artikel "De EU sluit een digitaal handelsakkoord met Singapore, ondanks waarschuwingen: een tegenslag voor digitale rechten en democratische controle" verscheen oorspronkelijk op European D.
Hoewel de AI-wetgeving van de EU tot doel heeft om AI-systemen met een hoog risico te reguleren, wordt deze ondermijnd door belangrijke uitzonderingen die hun ongecontroleerde toepassing mogelijk maken in de context van nationale veiligheid en handhaving van de wet. Deze uitzonderingen riskeren onder meer het mogelijk maken van grootschalige surveillance van protesten en discriminerende migratiepraktijken. Om dit te voorkomen, heeft de EDRi-partner Danes je nov dan aanbevelingen gepubliceerd voor Slovenië om strengere nationale beschermingsmaatregelen en transparante toezichtsmechanismen in te voeren. De post "De AI-wetgeving is niet..."
While the EU's AI legislation aims to regulate high-risk AI systems, it is undermined by significant exceptions that allow for their uncontrolled application in the context of national security and law enforcement. These exceptions risk, among other things, enabling mass surveillance of protests and discriminatory migration practices. To prevent this, the EDRi partner Danes je nov has published recommendations for Slovenia to implement stricter national safeguards and transparent oversight mechanisms. The post "The AI legislation is not..."
While the EU's AI Act aims to regulate high-risk AI systems, it is undermined by major loopholes that allow their unchecked use in the context of national security and law enforcement. These exemptions risk enabling, among others, mass surveillance of protests and discriminatory migration practices. To prevent this, EDRi affiliate Danes je nov dan has published recommendations for Slovenia to adopt stricter national safeguards and transparent oversight mechanisms. The post The AI Act isn’t
Brussels, November 5th - During its latest plenary meeting, the EDPB (European Data Protection Board) issued an opinion on the draft decision by the European Commission regarding the adequate level of protection for personal data in Brazil.* Once this decision is adopted, it will ensure that personal data can be freely transferred from Europe to Brazil, and that individuals can maintain control over their data. In this opinion, which was prepared at the request of the Commission, the EDPB assesses whether the Brazilian data protection framework and the rules regarding government access to personal data...
Brussels, 5 November - During its latest plenary, the EDPB adopted an opinion on the European Commission’s draft decision on the adequate level of protection of personal data in Brazil.* Once adopted, the decision will ensure that personal data can flow freely from Europe to Brazil and that individuals can retain control over their data. In its opinion, requested by the Commission, the EDPB assesses whether the Brazilian data protection framework and the rules on government access to personal da
Brussel, 5 november - Tijdens de laatste plenaire vergadering heeft het EDPB (Europees Comité voor de Bescherming van Persoonsgegevens) een advies uitgebracht over het ontwerpbesluit van de Europese Commissie over het adequate beschermingsniveau van persoonsgegevens in Brazilië.* Zodra dit besluit is aangenomen, zal het ervoor zorgen dat persoonsgegevens vrijelijk van Europa naar Brazilië kunnen worden overgedragen en dat individuen de controle over hun gegevens kunnen behouden. In dit advies, dat op verzoek van de Commissie is opgesteld, beoordeelt het EDPB of het Braziliaanse kader voor gegevensbescherming en de regels met betrekking tot de toegang van de overheid tot persoonsgegevens...
Brussels, October 20th - During its latest plenary meeting, the EDPB (European Data Protection Board) adopted two opinions on the draft decisions of the European Commission regarding the extension of the validity of the decisions on the adequacy of the United Kingdom, as stipulated in the General Data Protection Regulation (GDPR) and the Law Enforcement Directive (LED), until December 2031. The EDPB opinions, requested by the Commission under Article 70(1)(s) of the GDPR and Article 51(1)(g) of the LED, address the proposed six-year extension of the two decisions on the adequacy of the United Kingdom, which are currently due to expire.
> The growth of generative artificial intelligence systems has led EU lawmakers to focus on General Purpose AI in drafting the AI Act, which will set the framework governing artificial intelligence in the European Union. As previously reported, the EU Parliament has already broadened the definition of artificial intelligence for the purposes of the AI Act… The post Is the AI Act caging ChatGPT and other General Purpose Artificial Intelligence systems? appeared first on GamingTechLaw.
De Spaanse autoriteit voor gegevensbescherming, de Agencia Española de Protección de Datos, heeft richtlijnen gepubliceerd over het anonimiseren van gegevens. Deze richtlijnen stellen dat een getrainde professional de anonimisering van een dataset met persoonlijke gegevens moet uitvoeren, en dat deze professional ook ervaring moet hebben met pogingen tot heridentificatie. Hoewel er altijd een "resterend risico" bestaat dat gegevens opnieuw geïdentificeerd kunnen worden, moet de verantwoordelijke voor de gegevensverwerking verantwoordelijkheid nemen voor het anonimiseringsproces en "geschikte maatregelen treffen om te zorgen voor naleving, rekening houdend met..."
Meta plant om de gebruiksvoorwaarden en privacyverklaringen voor gebruikers in het Verenigd Koninkrijk te wijzigen, meldt Bloomberg. Gebruikers van Facebook, Instagram en WhatsApp in het Verenigd Koninkrijk behouden hun datarechten onder de Britse Algemene Verordening Gegevensbescherming (AVG), terwijl het bedrijf gebruikersgegevens verplaatst buiten de jurisdictie van de Europese Algemene Verordening Gegevensbescherming (AVG). Een woordvoerder van Meta zei dat de wijzigingen, die gepland waren na het Brexit-akkoord van het Verenigd Koninkrijk in 2020, "de manier waarop we de gegevens van Britse gebruikers behandelen niet veranderen." Deze stap...
Since May 2018, the GDPR has been directly applicable in the European Economic Area, including the member states of the European Union, Liechtenstein, Norway, and Iceland. Four years later, awarding damages for GDPR violations is still not a common practice in the Netherlands, despite the fact that news reports regularly mention data breaches and other GDPR violations. This article analyzes Dutch case law over the past four years to see what factors may influence the awarding of damages under th
The purpose limitation principle does not preclude a controller from capturing and storing in a test database established for testing and error correction purposes personal data previously collected and stored in another database. However, such "further processing" of personal data must be compatible with the specific purposes for which the personal data were originally collected. The principle of storage limitation precludes the retention of personal data in that test database for longer than n
> The Danish DPA held that the law firm lacked basic security measures, especially considering the fact that its processing involved special categories of personal data. The DPA emphasized that in such cases a data breach would almost certainly entail a high risk to the data subjects' rights. Therefore, the controller must have especially strict security measures in place to avoid unauthorised accesses. Hence, when creating remote access to such IT systems, the controller could, for instance, im
De wet kan een belangrijke rol spelen bij het waarborgen van het vertrouwen in organisaties die gebruikmaken van nieuwsverpersoonlijking. Maatregelen voor controle en transparantie zijn cruciaal om ervoor te zorgen dat individuen deze organisaties kunnen vertrouwen. De huidige focus van de wet, die gericht is op het informeren van individuen en hen in staat stellen om de verpersoonlijking te stoppen, houdt geen rekening met het belang van het mogelijk maken voor individuen om controle te hebben over hoe het nieuws wordt gepersonaliseerd.
Volgens artikel 14 van de Standaard Contractuele Bepalingen (SCC's) voor gegevensuitwisseling, moet de partij die de gegevens importeert een risicoanalyse uitvoeren om te verifiëren of de wet- en regelgeving en praktijken van het ontvangende derde land de mogelijkheid van de gegevensimporteur om te voldoen aan de SCC's voor gegevensuitwisseling, kunnen belemmeren. Indien de risicoanalyse aantoont dat de SCC's voor gegevensuitwisseling op zichzelf niet voldoende zijn om een in wezen gelijkwaardig beschermingsniveau te garanderen voor de persoonsgegevens in het ontvangende derde land, moeten aanvullende waarborgen worden geïmplementeerd, zoals end-to-end-versleuteling.
Under Clause 14 of the Data Transfer SCCs, the data importer must carry out a transfer risk assessment to verify whether the laws and practices of the receiving third country could prevent the data importer from complying with the Data Transfer SCCs. If the risk assessment shows that the Data Transfer SCCs alone will not ensure an essentially equivalent level of protection for the personal data in the receiving third country, supplementary safeguards will need to be implemented, such as end-to-e
De Commissie heeft met enthousiasme een recent Amerikaans besluit gesteund om een nieuw kader te implementeren ter bescherming van de privacy van persoonlijke gegevens die worden uitgewisseld tussen de VS en Europa. Dick Roche is het daar niet mee eens. https://iapp.org/news/a/the-redress-mechanism-in-the-privacy-shield-successor-on-the-independence-and-effective-powers-of-the-dprc/
The Commission has endorsed enthusiastically a recent US order to implement a new framework to protect the privacy of personal data shared between the US and Europe. Dick Roche begs to differ. https://iapp.org/news/a/the-redress-mechanism-in-the-privacy-shield-successor-on-the-independence-and-effective-powers-of-the-dprc/
> GDPR RISK ASSESSMENT is intended to assist controllers and processors to identify the risk factors for the rights and freedoms of data subjects whose data are present in the processing, to make an initial assessment of the intrinsic risk, including the need to perform a DPIA, and to estimate the residual risk if measures and safeguards are used to mitigate the specific risk factors.
The European Digital Rights (EDRi) network published a position paper on the proposed Regulation on automated data exchange for police cooperation, known as “Prüm II”. This currently primarily consists of a data-sharing network (interlinking national DNA, fingerprint and vehicle registration databases). It foresees the expansion of the data-sharing network to the interconnection of facial images and, on a voluntary basis, “police records”. The position paper raises several critical issues of t
Het netwerk European Digital Rights (EDRi) heeft een position paper gepubliceerd over het voorgestelde Europees regelgevend kader voor geautomatiseerde gegevensuitwisseling ter bevordering van de samenwerking tussen politie, bekend als "Prüm II". Dit omvat momenteel voornamelijk een netwerk voor gegevensuitwisseling (waarbij nationale DNA-databases, vingerafdrukken en voertuigregistraties met elkaar worden verbonden). Het voorziet in een uitbreiding van dit netwerk, waarbij gezichtsherkenningstechnologie wordt toegevoegd en, op vrijwillige basis, "politiedossiers". Het position paper werpt verschillende belangrijke vragen op over...
De AVG (Algemene Verordening Gegevensbescherming) omvat de verantwoordingsplicht (RBA) voor alle verplichtingen van de verantwoordelijke partij zoals die in de AVG zijn vastgelegd. Waar de overdrachtsregels worden beschreven als verplichtingen van de verantwoordelijke partij (in plaats van als absolute principes), is de verantwoordingsplicht van artikel 24 dus van toepassing. Volgens Lokke Moerel, professor in het internationaal ICT-recht aan de Universiteit van Tilburg en expert op het gebied van cyberbeveiliging, wordt dit niet tegengesproken door het vonnis van het Europees Hof van Justitie in de zaak Schrems II, noch door de aanbevelingen van het EDPB (European Data Protection Board) over aanvullende maatregelen na het vonnis Schrems II.
The GDPR incorporates the RBA for all obligations of the controller in the GDPR. Where the transfer rules are stated as obligations of the controller (rather than as absolute principles), the RBA of Article 24 therefore applies. Other than the DPAs assume, this is not contradicted by the ECJ in Schrems II nor by the EDPB recommendations on additional measures following the Schrems II judgment, according to Lokke Moerel, Professor of Global ICT Law at Tilburg University and a Dutch Cyber Security
Het VN-kantoor voor de Hoge Commissaris voor de Rechten van de Mens heeft een rapport gepubliceerd waarin wordt beschreven hoe "moderne, onderling verbonden digitale technologieën" de privacy van individuen bedreigen. Het rapport onderzocht drie gebieden: * het misbruik van spionagesoftware door wereldregeringen, * de rol van encryptie bij de bescherming van mensenrechten online, en * de gevolgen van digitale surveillance in openbare ruimtes. Volgens het rapport zijn "dringende maatregelen" nodig om het gebruik van spionagesoftware te beperken "totdat er voldoende waarborgen zijn om mensenrechten te beschermen."
> The United Nations Office for the High Commissioner of Human Rights issued a report detailing how “modern networked digital technologies” threaten individuals’ privacy. The report examined three areas: * spyware abuse by world governments, * the role of encryption in protecting human rights online and * the impacts of digital surveillance of public spaces. > According to the report, “urgent steps” are required to rein in the use of spyware “until adequate safeguards to protect human rights
De Europese Toezichthouder op de Bescherming van Persoonsgegevens heeft Europol opgedragen om persoonlijke gegevens over te dragen aan de Nederlandse activist Frank van der Linde. Dit besluit is het resultaat van een onderzoek van twee jaar naar de manier waarop Europol de persoonlijke gegevens van Van der Linde bewaart en verwerkt.
The European Data Protection Supervisor ordered Europol to hand over personal data to Dutch activist Frank van der Linde. The decision is the result of a two-year investigation into Europol's possession and storage of van der Linde's personal data.
Het EDPB heeft een verklaring aangenomen over het voorstel van de Europese Commissie voor een EU-code voor politiële samenwerking. Dit voorstel heeft als doel de samenwerking op het gebied van handhaving van de wet tussen de lidstaten te verbeteren, met name de uitwisseling van informatie tussen de bevoegde autoriteiten. De code omvat drie belangrijke maatregelen: een voorstel voor een Prüm II-verordening, een voorstel voor een richtlijn over de uitwisseling van politiegegevens en een voorstel voor een aanbeveling van de Raad over operationele politiële samenwerking.
The EDPB adopted a statement on the European Commission’s proposal for an EU Police Cooperation Code. This proposal aims to enhance law enforcement cooperation across Member States, in particular the information exchange between the competent authorities. The code is comprised of three main measures: proposal for a Prüm II Regulation, proposal for a Police Information Exchange Directive and the proposal for a Council Recommendation on operational police cooperation.
The processing of personal data that may indirectly reveal sensitive information about an individual, such as information about their sexual orientation, may qualify as processing of "special categories of personal data" within the meaning of the AVG. The processing of such sensitive data is prohibited in principle. This is the EU Court's answer to questions from a Lithuanian judge.
Op 21 juni 2022 heeft het Gerechtshof van de Europese Unie (Groot Beschouwingscollege) een baanbrekende uitspraak gedaan waarin het het EU-regime voor het verzamelen en gebruiken van gegevens van reizigers bevestigde, mits dit strikt wordt geïnterpreteerd in overeenstemming met de fundamentele rechten van de EU. Bovendien is het zonder onderscheid verwerken van deze gegevens bij vluchten die uitsluitend binnen de EU plaatsvinden verboden, tenzij er een dreiging van terrorisme bestaat. Over het algemeen moeten de gegevens van de passagiers ook binnen zes maanden worden verwijderd.