Stand van Zaken Wet DBA najaar 2021

(Demissionair) Staatssecretaris van Financiën Hans Vijlbrief verklaart dat het handhaven van de Wet DBA per 1 oktober 2021 niet doorgaat. Hiermee komt er hopelijk weer rust onder de opdrachtgevers en de zzp-ers die zich zorgen maakten over de eventuele handhaving van de Wet DBA per 1 oktober.

Onder andere de gemeente Amsterdam had ingehuurde zzp’ers te verstaan gegeven dat hun opdracht kritisch zou worden bekeken en wellicht om zou moeten worden gezet in een loondienstverband, als de Wet DBA gehandhaafd zou gaan worden. Opdrachten langer dan 1 jaar zouden niet worden verstrekt door de gemeente Amsterdam.

Hierop riepen zzp-belangenorganisaties de demissionaire staatssecretaris op om zwart op wit toe te zeggen dat de Wet DBA ook na 1 oktober 2021 niet gehandhaafd zou worden. In zijn brief aan de Tweede Kamer zegt de demissionaire staatssecretaris nu toe dat er niet gehandhaafd wordt per 1 oktober as. Er is geen nieuwe concrete datum genoemd waarop de handhaving van de Wet DBA zal aanvangen, dus het handhavingsmoratorium wordt voorlopig voortgezet.

Update Schrems II

Doorgifte aan derde landen (waarvoor geen adequaatheidsbesluit geldt)

Een jaar na de uitspraak van het Europese Hof inzake doorgifte van persoonsgegevens aan de Verenigde Staten komt het EDPB (overkoepelende organisatie van toezichthouders) met nadere toelichting hoe er persoonsgegevens (PG) kunnen worden doorgegeven aan landen waar GDPR niet geldt en waar geen bescherming van persoonsgegevens wordt gewaarborgd die gelijkwaardig is aan GDPR.

Op de website van de Autoriteit Persoonsgegevens is op het bericht van EDPB een korte toelichting te lezen.

Uitgangspunt blijft dat het doorgeven van persoonsgegevens aan derde landen in beginsel de verantwoordelijkheid van de verwerkingsverantwoordelijke blijft. Deze dient grondig in kaart te brengen waar de persoonsgegevens van diens klanten worden verwerkt en gedetailleerd vast te leggen op welke wijze en waar de persoonsgegevens worden verwerkt, en met welke maatregelen ook bij (sub-)verwerkers. Deze analyse en vastlegging is gecompliceerd en vereist specialistische en technologische kennis.

Het EDPB geeft enige ruimte voor een verruiming van de verwerking van persoonsgegevens door de mogelijkheid te bieden voor bedrijven om naar de ervaringen te vragen van de partijen met wie zij zaken doen in het derde land. Het is toegestaan om deze mee te wegen in de beoordeling of de doorgifte mogelijk is, onder welke voorwaarden en met welke maatregelen.

Tevens geeft de toelichting technologische adviezen over maatregelen die gebruikt kunnen worden. Voorbeelden van deze maatregelen zijn encryptie (omzetting van gegevens naar een geheime code, waardoor de gegevens onleesbaar zijn voor buitenstaanders) en pseudonimisering (persoonsgegevens kunnen niet worden gekoppeld aan de persoon op wie de gegevens betrekking hebben.

Dit kan alleen met gebruik van aanvullende gegevens die apart bewaard dienen te worden en met technische en organisatorische maatregelen die waarborgen dat de gegevens niet gekoppeld zijn. Deze maatregelen worden uitgebreid omschreven in het document van de EDPB.

Conclusie:
De definitieve aanbevelingen van de EDPB geven handvatten voor internationale datadoorgifte met ruimte voor toetsing in de praktijk. Echter, deze nieuwe aanbevelingen van EDPB blijven bijzonder zwaar, zeker voor kleine ondernemers. Het naleven en vastleggen ervan blijft voor ondernemers een ingewikkelde puzzel die veel tijd en specialistische kennis zal vergen.

NB: Tekst en update aangeleverd door Nicole Frant van Helder Juridisch Advies