In 2024 zijn er snelle veranderingen geweest op het gebied van gegevensbescherming, gestimuleerd door nieuwe regelgeving, belangrijke juridische besluiten en de vroege signalen van een wereldwijde verschuiving richting verantwoorde kunstmatige intelligentie. Deze veranderingen zijn een weerspiegeling van een toenemende nadruk op het veilig bewaren van persoonsgegevens, het stimuleren van verantwoordel innovaties, en het aanpakken van de opkomende technologische risico’s.
In deze blogpost, Gegevensbescherming 2024: belangrijke trends en voorspellingen voor 2025, kijken we terug op de hoogtepunten van het jaar, waaronder de introductie van innovatieve wetgeving, baanbrekende besluiten door het Hof van Justitie van de Europese Unie, en de wereldwijde implementatie van sterkere privacy frameworks. We blikken ook vooruit op 2025, met de wereldwijde trends en aankomende wetgeving.
Gegevensbescherming 2024: Belangrijke highlights uit het VK en de EU
Dag DPDI, hallo DUA
De Data Protection and Digital Information (DPDI) wet werd voor het eerst voorgesteld in juli 2022 en heeft als doel om het data protectionframework in het VK te hervormen. Er rezen echter een aantal zorgen, waaronder de potentiële impact ervan op de compatibiliteit tussen het VK en de EU, en wat voor effect dat zou hebben op organisaties die in beide jurisdicties actief zijn. Vanwege de ontbinding van het parlement op 30 mei 2024 werd de wet uiteindelijk officieel terzijde geschoven.
Op 23 oktober 2024 werd de Data (Use and Access) Bill geïntroduceerd aan het Hogerhuis. De wetgeving heeft als doel om de behandeling van het VK van gegevensregulatie te moderniseren, en stelt wijzigingen voor aan de General Data Protection Regulation (GDPR) van het VK en de Data Protection Act (uit 2018), plus een herstructurering van de Information Commissioner’s Officer (ICO).
Deze DUA-wet bouwt verder op veel van de ideeën, bepalingen en doelen uit de terzijde geschoven DPDI-wet, maar dan zonder enkele van de meest controversiële aspecten van dit eerdere voorstel.
Lees meer over het perspectief van DPO op de DUA-wet in ons nieuwsbericht.
EU AI Act treedt in werking
De Europese Artificial Intelligence Act (AI Act) is op 1 augustus 2024 officieel in werking getreden. Het is wereldwijd het eerste alomvattende juridische kader dat ernaar streeft de regels aangaande de ontwikkeling en het gebruik van kunstmatige intelligentiesystemen te harmoniseren. De wet hanteert een op risico’s gebaseerde benadering van de classificatie van AI-systemen, waarbij innovatie en regulatie tegen elkaar worden afgewogen om schade aan de gezondheid, veiligheid en fundamentele mensenrechten te voorkomen.
Onder de AI Act zijn organisaties te scharen onder één van de zes aparte rollen; elke rol kent eigen verplichtingen. Voor compliance is het van cruciaal belang om de vereisten van de AI Act te begrijpen en te weten wat voor uw organisatie van toepassing is.
Lees onze recente blogpost Naleving van de AI Act om meer te weten te komen over een aantal van de essentiële strategieën voor het naleven van de AI Act.
Het VK tekent het eerste mondiale AI-verdrag
Op 5 september 2024 heeft Lord Chancellor Shabana Mahmood de Kaderconventie van de Europese Raad aangaande kunstmatige intelligentie getekend. Deze overeenkomst is het eerste juridisch bindende, internationale verdrag met betrekking tot AI en streeft ernaar om de beveiliging wat betreft de risico’s voor de mensenrechten, democratie en de wetgeving te versterken door een gemeenschappelijke benadering van AI-systemen te bieden.
De deelnemende staten moeten aantonen dat zij het verdrag naleven door binnenlandse vereisten te implementeren rondom transparantie en het verminderen van de risico’s. In de King’s Speech bevestigde de overheid het plan om de regels aan te scherpen zodat deze in lijn zijn met de verplichtingen.
EU-lidstaten zetten de NIS2-richtlijn om in wetgeving
Op 17 oktober 2024 moesten alle EU-lidstaten de Network and Information Systems Directive 2 (NIS2) omzetten in nationale wetgeving. Deze richtlijn heeft als doel om de weerbaarheid en beveiliging van de kritische infrastructuur in de EU te versterken door strengere beveiligingsvereisten in te stellen en het uitbreiden van de scope naar meer sectoren.
Onder de NIS2 moeten organisaties die hieronder vallen hun cyberbeveiligingsmaatregelen verbeteren en procedures opstellen voor het rapporteren van incidenten. Om organisaties te ondersteunen bij het naleven van de vereisten, heeft het EU-agentschap voor cyberbeveiliging uitgebreide NIS2-handleidingen opgesteld.
Belangrijke besluiten van het Europees Hof van Justitie
Het Hof van Justitie van de Europese Unie heeft dit jaar belangrijke besluiten genomen die implicaties hebben voor bedrijven wereldwijd. Twee noemenswaardige zaken zijn Lindenpotheke en de Koninklijke Nederlandse Lawn Tennisbond versus de Autoriteit Persoonsgegevens (KNLTB (C-621/22)).
In de zaak Lindenpotheke oordeelde het Hof dat bedrijven de concurrentie kunnen aanklagen met betrekking tot AVG-schendingen onder bepaalde oneerlijke concurrentiewetten. Daardoor kunnen vermeende AVG-schendingen organisaties nu blootstellen aan potentiële zakelijke anti-concurrentiegeschillen, evenals aan particuliere rechtszaken en mogelijke handhavingsmaatregelen.
Als onderdeel van de uitspraak breidde het Hof ook de definitie van ‘gezondheidsgegevens’ uit, zodat nu ook informatie van online apotheekbestellingen hieronder valt, waaronder namen, verzendadressen en productgegevens. Dit kan invloed hebben op veel organisaties in de sectoren Life Sciences, de gezondheidszorg en consumentengoederen. Deze organisaties kunnen nu te maken krijgen met strengere AVG-regels met betrekking tot specifieke categoriegegevens.
In de zaak KNLTB (C-621/22) bevestigde het Hof dat onder de AVG commerciële belangen gezien kunnen worden als Legitiem Belang, wanneer deze onderwerp zijn van specifieke restricties. Deze belangrijke uitspraak kan bedrijven waarschijnlijk meer flexibiliteit bieden bij het verwerken van persoonsgegevens voor commerciële doeleinden, maar de gegevensbeheerders moeten hierbij wel de strikte privacymaatregelen naleven.
Gegevensbescherming 2024: Belangrijke internationale ontwikkelingen
Colorado heeft als eerste staat een AI Act aangenomen
Colorado is de eerste Amerikaanse staat die een uitgebreide wet aangaande kunstmatige intelligentie heft aangenomen, en deed dit op 17 mei 2024 met het tekenen van de Colorado AI Act (CAIA). De CAIA heeft als doel om consumenten te beschermen door het risico op algoritmische discriminatie te verkleinen. Het vereist dat ontwikkelaars en gebruikers van hoog risico AI-modellen strenge compliance-maatregelen hanteren, zoals het implementeren van adequaat risicobeheerbeleid, het uitvoeren van impactassessments en het bieden van volledige transparantie tegenover wetgevers en het publiek.
De CAIA treedt op 1 februari 2026 in werking en geeft zo organisaties de tijd om de noodzakelijke veranderingen in de bedrijfsvoering te begrijpen en door te voeren.
Canadese INDU pauzeert beoordeling van de Bill C-27
Op 15 januari 2024 heeft de Europese Commissie de geschiktheid van Canada volgens de AVG verlengd, waarbij de voortdurende inspanningen om de gegevensprivacywetten te moderniseren werden opgemerkt. De Bill C-27 zal zorgen voor het bijwerken van delen van de Personal Information Protection and Electronic Documents Act (PIPEDA), en stelt nieuwe gedeeltes voor rondom strengere toestemmingsregels, meer rechten voor individuen, sterkere handhavingsmechanismes en AI-regelgeving.
Echter, nu er in oktober 2025 een federale verkiezing aankomt, hebben bepaalde belanghebbenden hun zorgen geuit of de wet wel daarvoor aangenomen zal worden. Het Standing Committee on Industry and Technologie (INDU) heeft op 29 mei 2024 hun beoordeling van elk artikel gepauzeerd, en bevestigd dat deze pauze tot minimaal februari 2025 zal duren.
Meer informatie over Bill C-27
Quebecs Law 25 is in werking getreden
De laatste bepalingen van Law 25 van Quebec zijn in 22 september 2024 in werking getreden. Deze wet versterkt de privacyrechten van individuen en heeft de vereisten voor organisaties bijgewerkt. De wet is van toepassing op alle bedrijven die de gegevens van inwoners van Quebec verzamelen, verwerken, gebruiken of openbaren, ongeacht de grootte, de omzet of de locatie van het bedrijf.
Voor organisaties die hiermee te maken hebben, geldt onder andere het volgende:
- Zij moeten een Functionaris gegevensbescherming aanwijzen
- Zij moeten een proces instellen voor het geval van een lek
- Zij moeten een uitgebreid privacybeleid implementeren
- Zij moeten waar nodig een Privacy Impact Assessment uitvoeren
Lees voor meer informatie over de verplichtingen onze blogpost: Quebecs Law 25: een handleiding voor ondersteuning en compliance.
Ontwikkelingen op het gebied van internationale gegevensbescherming
In 2024 is het aantal gegevensbeschermingswetten wereldwijd significant toegenomen. Verschillende landen hebben nieuwe gegevensbeschermingswetten geïntroduceerd of ze hebben bestaande regels bijgewerkt om de privacy en gegevensbeveiliging te verbeteren. Noemenswaardige voorbeelden zijn o.a.:
- Saudi-Arabië heeft een wet persoonsgegevensbescherming ingevoerd, met regels voor het verzamelen, verwerken en opslaan van gegevens
- Australië heeft de Privacy and Other Legislation Amendment Act 2024 aangenomen, waarmee de privacywetten significant zijn aangescherpt en klaar zijn gemaakt voor de technologische ontwikkelingen
- Kameroen heeft een wet persoonsgegevensbescherming ingevoerd, met als doel het moderniseren van de aanpak van het land van gegevensbescherming en het oprichten van een autoriteit persoonsgegevens.
We zien ook dat het aantal beschermingen voor biometrische en neurale gegevens toeneemt. Californië heeft in mei de Senate Bill 1223 aangenomen en de House Bill 24-1058 in Colorado is in augustus in werking getreden; beide wetten breiden de definitie van ‘gevoelige gegevens’ uit zodat ook neurale en/of biometrische gegevens hieronder vallen.
Ook Singapore heeft zijn wet persoonsgegevensbescherming bijgewerkt, zodat de regels voor het verzamelen en gebruiken van biometrische gegevens strenger zijn. Hier vallen ook vereisten voor expliciete toestemming en verbeterde beveiligingsmaatregelen onder.
Meld u aan voor onze DPIA om op de hoogte te blijven van de ontwikkelingen op het gebied van de gegevensbeschermingswetgeving.
Wereldwijde verschuiving naar AI governance
Er heeft een mondiale beweging plaatsgevonden richting een verantwoorde AI governance waarbij innovatie en veiligheid met elkaar verenigd worden. Meerdere landen hebben regels voorgesteld met een nadruk op gelijkaardige principes als die van de EU AI Act, zoals transparantie en risicobeheer.
In de VS hebben senatoren de Content Origin Protection and Integrity from Edited and Deepfaked Media (COPIED) Act ontwikkeld, die erop gericht is om schadelijke deepfakes tegen te gaan door regels te stellen voor transparantie en zo creators in staat te stellen meer controle te hebben over hun werk. Als deel van de wet, moeten aanbieders van AI-tools creators in staat stellen om informatie over de oorsprong van hun werk aan te hechten.
Op 9 september 2024 heeft China’s Technische Commissie voor de Standaardisatie van de Nationale Cyberveiligheid een framework voor veilig beheer van kunstmatige intelligentie gepubliceerd. Het framework is erop gericht om de veilige en ethische ontwikkeling en toepassing van AI-technologieën te garanderen, met aandacht voor inherente veiligheidsrisico’s die gepaard gaan met algoritmes, gegevens en AI-systemen.
Voor organisaties is een effectief programma voor het beheer van AI cruciaal voor een verantwoordel en en compliant gerichte inzet van AI. Het vermindert de risico’s en helpt organisaties om te voldoen aan de vereiste regels. Lees meer over wat AI governance voor uw bedrijf kan betekenen.
Een blik op 2025: trends voor gegevensbescherming en wetten om in de gaten te houden
Toename van de consumentgegevensrechten
Nu we richting 2025 gaan, verwachten we een sterkere nadruk op de gegevensrechten van consumenten. Deze trend wordt waarschijnlijk aangedreven door een hoger bewustzijn over privacykwesties, strengere regels en een grotere vraag naar transparantie. Bedrijven moeten prioriteit geven aan hun gegevensbeschermingsmaatregelen en zorgen voor naleving van de veranderende wetgeving om het vertrouwen van de consument te behouden en mogelijke boetes te voorkomen.
Verbeterde cybersecurity
We verwachten in 2025 ook een significante groei te zien van cybersecurity. Volgens de Check Point Research was er in het tweede kwartaal van 2024 een jaarlijkse toename van 30% te zien in het aantal cyberaanvallen wereldwijd, met elke week 1.636 aanvallen per organisatie. Als resultaat daarvan gaat de sector cybersecurity waarschijnlijk substantieel groeien aangezien bedrijven prioriteit gaan geven aan het veiligstellen van hun digitale middelen.
Nieuwe regels voor gegevensbescherming
De ontwikkelingen op het gebied van mondiale gegevensbeschermingswetten gaan ook in 2025 verder. In de VS worden 8 nieuwe privacywetten in verschillende staten van kracht:
- Delaware Personal Data Privacy Act
- Iowa Consumer Data Protection Act
- Nebraska Data Privacy Act
- New Hampshire Data Privacy Act
- New Jersey Data Privacy Act
- Tennessee Information Protection Act
- Minnesota Consumer Data Privacy Act
- Maryland Online Data Protection Act (MODPA)
Voor Canada is de hoop dat de INDU aan het begin van het jaar verder gaat met de beoordeling van de Bill C-27. Als deze wet goedgekeurd wordt voordat de federale verkiezing plaatsvindt, denkt wereldwijd privacy expert Constatine Karbaliotis dat het nog 18-24 maanden kan duren voordat de wet van kracht wordt.
Lees meer over belangrijke privacy-updates in Canada en Noord-Amerika
Belangrijke punten voor bedrijven in 2025
Nu 2025 op het punt van beginnen staat, moeten bedrijven ernaar streven voorop te blijven lopen op het gebied van gegevensbescherming door prioriteit te geven aan compliance strategieën, AI-beheer en internationale gegevensnaleving.
Nalevingstrategieën
Met de komst van nieuwe regels, zoals de voorgestelde DUA Bill in het VK en de NIS2-richtlijn, moeten bedrijven prioriteit geven aan naleving. Blijf op de hoogte van de mondiale en lokale gegevensbeschermingswetten, voer regelmatig audits uit, werk het gegevensbeschermingsbeleid bij en zorg ervoor dat alle werknemers volgens de laatste regels opgeleid zijn.
AI governance
De wereldwijde beweging richting AI-beheer, waaronder de toonaangevende AI Act van de EU, benadrukt het belang van robuuste kaders voor AI governance. Bedrijven moeten transparante AI-praktijken implementeren, regelmatig impactbeoordelingen uitvoeren en ervoor zorgen dat het gebruik van AI ethisch is.
Internationale gegevensnaleving
Met de internationale ontwikkelingen op het gebied van gegevensbescherming, zoals de Privacy and Other Legislation Amendment Bill 2024 in Australië en de Law 25 in Quebec, moeten bedrijven die wereldwijd actief zijn hun weg vinden in een complex web aan gegevensbeschermingswetten. Het ontwikkelen van en een uitgebreide internationale nalevingstrategie, met begrip van de lokale regels, vereisten voor grensoverschrijdende gegevensoverdracht en het bijhouden van actuele dossiers, is van cruciaal belang voor soepel verlopende activiteiten op de internationale markten.
Bekijk voor meer informatie over te toekomst van gegevensbeheer en de nieuwe trends voor het komende jaar ons webinar: The new frontier: What’s up and coming in 2025?
Misschien gemist…
- De toepassing van de AVG op oude gegevens
- Naleving van de AI-wet Deel 4: Essentiële strategieën
- Wat is een DPA en waarom hebt u er een nodig?
Volg The DPO Centre op LinkedIn voor meer nieuws en inzichten over gegevensbescherming
