Professionele datahosting: pas op voor consumentenplatformen.
Juridisch overzicht nr. 79 – januari 2025.
Professionele datahosting: pas op voor consumentenplatformen.
De verplichtingen van datahostingproviders met betrekking tot de bestrijding van kinderpornografie hebben een zeer grote impact op de vertrouwelijkheid van de documenten die we aan hen toevertrouwen.
Dit ondervond een Parijse advocaat onlangs tot zijn grote spijt, toen hij uiterst gevoelige vertrouwelijke informatie in het kader van een strafzaak opsloeg op Google Drive.
De uitspraak van het Hof van Beroep van Parijs van 24 januari herinnert advocaten – en alle andere professionals die met gevoelige gegevens werken – eraan dat de vertrouwelijkheid van gegevens niet gegarandeerd is op hostingdiensten zoals Google Drive.
Google kan, net als elk ander bedrijf dat onder de Amerikaanse wetgeving valt, in het kader van de strijd tegen seksueel misbruik van kinderen een hostingaccount of een e-mailaccount verwijderen als er een vermoeden bestaat van onrechtmatigheid van de gegevens.
In dit specifieke geval werd het Drive-account en het Gmail-account van de advocaat die tientallen afbeeldingen van kinderpornografie op Google Drive had opgeslagen en deze in het kader van een strafzaak had verwerkt, verwijderd.
Hij werd ook gemeld bij het NCMEC (National Center for Missing and Exploited Children).
Geconfronteerd met de advocaat die niet alleen de teruggave van zijn gegevens eiste, maar ook een schadevergoeding van Google, bevestigde de rechtbank dat het bezit van de bestanden, zelfs in een professionele context, geen rechtvaardiging vormde voor het bewaren ervan en dat de schorsing van het account en de melding rechtmatig waren gezien de wettelijke verplichtingen waaraan de hostingprovider is onderworpen.
Het is belangrijk te onthouden dat detectiealgoritmes die continu opgeslagen bestanden en e-mails scannen, geen onderscheid maken tussen legitiem opgeslagen gevoelige bestanden en illegale inhoud, noch tussen persoonlijke of professionele activiteiten.
Een account kan zonder voorafgaande kennisgeving en zonder mogelijkheid tot beroep worden opgeschort, wat betekent dat een advocaat direct de toegang tot zijn bestanden en communicatie kan verliezen, zelfs tijdens legitieme werkzaamheden.
Bovendien, en dit terzijde over kinderpornografie, zijn Amerikaanse hostingproviders die de op hun servers opgeslagen inhoud al scannen, verplicht de gebruiker te melden bij de bevoegde politiedienst in Frankrijk, namelijk OFMIN.
Het gebruik van veilige diensten is des te belangrijker bij het uitoefenen van een gereguleerd beroep.
Laten we in dit verband het rapport van ANSSI uit 2023 over de stand van de cyberdreiging tegen advocatenkantoren in herinnering brengen.
Hoewel advocaten over het algemeen beschikken over een eigen, beveiligd systeem (e-Drive) en adres (avocat.fr), net als artsen, is dit niet per se het geval voor alle beroepen, met name die welke niet gereguleerd zijn.
De huidige Europese regelgeving, en met name de LCEN in Frankrijk (wet van 21 juni 2004 betreffende het vertrouwen in de digitale economie), verplicht hostingproviders niet tot systematische controle van opgeslagen gegevens, maar wel tot verificatie in geval van melding en vermoeden van inbreuk.
Het juridische kader zou zich desalniettemin op Europees niveau kunnen ontwikkelen, met de vaststelling van de toekomstige CSAR-verordening die gericht is op het voorkomen en bestrijden van seksueel misbruik van kinderen.
Hoewel niemand de geldigheid van de doelstellingen betwist, leidt het plan om systematisch privécommunicatie te scannen tot een hevig debat.
Momenteel wordt in elk geval ten zeerste aangeraden:
- Het gebruik van cloudoplossingen die specifiek voor professionals zijn ontwikkeld, waar nodig voor gereguleerde beroepen en die de beroepsgeheimen waarborgen;
- Het strikt scheiden van persoonlijk en professioneel gebruik;
- Om gegevens van begin tot eind te versleutelen;
- Kies een soevereine hostingprovider die gevestigd is in Frankrijk, of in ieder geval in Europa.
Op 10 en 11 februari organiseert Frankrijk de Actietop over kunstmatige intelligentie (AI), die in het Grand Palais staatshoofden en regeringsleiders, leiders van internationale organisaties, CEO's van kleine en grote bedrijven, vertegenwoordigers van de academische wereld, niet-gouvernementele organisaties, kunstenaars en leden van het maatschappelijk middenveld samenbrengt.
De CNIL publiceert haar strategisch plan voor 2025-2028.De laatstgenoemde bestaat uit vier hoofdassen:
- Kunstmatige intelligentie,
- Rechten van minderjarigen,
- Cyberbeveiliging
- Dagelijks digitaal gebruik.
Het zal zich richten op twee van deze toepassingen: mobiele applicaties en digitale identiteit.
De CNIL publiceert begin dit jaar ook diverse richtlijnen voor gegevensverwerkers.
Ze publiceerde de definitieve versie ervan op 31 januari. Richtlijn voor effectbeoordelingen bij gegevensoverdracht buiten de Europese Unie.
In een bericht van 23 januari herinnert ze ons aan de Controles die moeten worden uitgevoerd bij het gebruik van vrij beschikbare databases op internet of geleverd door een derde partij.
Het rapport biedt ook een reactie op de grootschalige datalekken die in 2024 miljoenen mensen troffen, en stelt maatregelen voor om de beveiliging te versterken en de risico's van aanvallen aan te pakken.
Deze hebben betrekking op interne bedrijfsprocedures en op voorzorgsmaatregelen die moeten worden genomen in geval van uitbesteding.
Ze herinnert zich haar nog steeds. Aanbevelingen voor het integreren van SDK's (Software Development Kits) in mobiele applicaties.en geeft aan dat het controles zal uitvoeren om te waarborgen dat ze voldoen aan de AVG.
Ze publiceerde het uiteindelijk op 20 januari. herziening van de controles in het kader van een gecoördineerde Europese actie betreffende de naleving van het recht op toegangen merkt op dat de maatregelen die door gegevensverwerkers worden genomen soms ontoereikend zijn: wanneer individuen bijvoorbeeld hun recht op inzage in al hun gegevens uitoefenen, geven sommige organisaties slechts een gedeeltelijk of onvolledig antwoord.
De consumentenorganisatie UFC-Que Choisir heeft haar rechtszaak tegen Google verloren.
In juni 2019 spande ze een collectieve rechtszaak aan tegen het bedrijf, waarin ze praktijken aan de kaak stelde die in strijd waren met de AVG: opdringerige geolocatie, het volgen van bewegingen zonder toestemming en ongevraagde gerichte reclame.
De collectieve rechtszaak was gebaseerd op een besluit van de CNIL, die Google een recordboete van 50 miljoen euro had opgelegd.
De vereniging eiste 1000 euro per getroffen gebruiker, voor een totaalbedrag van 27 miljard euro.
De rechtbank in Parijs verwierp het verzoek wegens gebrek aan voldoende bewijs en veroordeelde de vereniging tot betaling van 10.000 euro aan proceskosten aan Google.
Europese instellingen en organen
Op 16 januari, de Het Europees Comité voor gegevensbescherming heeft richtlijnen vastgesteld met betrekking tot pseudonimisering.
Hierin worden de definitie en de toepassingsvoorwaarden van pseudonimisering gespecificeerd, evenals de voordelen ervan.
Ze geven ook een aantal voorbeelden.
Hoewel pseudonimisering gegevens niet vrijstelt van de toepassing van de AVG, vermindert het wel de risico's die verbonden zijn aan de verwerking ervan (bijvoorbeeld in het geval van ransomware).
De richtlijnen staan tot en met 28 februari open voor commentaar.
Op woensdag 29 januari heeft het Gerecht van de Europese Unie (EG) in het voordeel van het Europees Comité voor gegevensbescherming (EDPB) geoordeeld in een geschil met de Ierse gegevensbeschermingsautoriteit (DPA).
Het besluit van de commissie, dat door Ierland werd aangevochten, verzocht de DPA om het onderzoek naar de GDPR-schendingen van Meta uit te breiden.
Het hof merkt op dat "een uitbreiding van het onderzoek, die noodzakelijkerwijs door ten minste de helft van de toezichthoudende autoriteiten wordt verzocht (...), niet bedoeld is, in tegenstelling tot wat de verzoeker beweert, om de taak van de klager of die van de door de klacht aangesproken controller te bemoeilijken, maar een maatregel vormt ter verdediging van hun respectievelijke rechten" (§56).
In zijn uitspraak T-354/22 heeft het Gerecht van de Europese Unie de Europese Commissie veroordeeld wegens schending van de AVG in het kader van online inschrijvingen voor een door haar georganiseerd evenement.
Via de hyperlink "Verbinden met Facebook" op de homepage heeft de Commissie "de voorwaarden geschapen die de overdracht van het IP-adres van de aanvrager aan Facebook en bijgevolg aan de Verenigde Staten mogelijk maken".
Op dat moment was het Privacy Shield ongeldig verklaard en werd de overdracht daarom geacht in strijd te zijn met artikel 46 van Verordening 2018/1725.
Het Hof oordeelde dat "de morele schade die de verzoeker claimt, reëel en zeker moet zijn", aangezien de overdracht "de verzoeker in een onveilige situatie heeft gebracht met betrekking tot de verwerking van zijn persoonsgegevens, in het bijzonder zijn IP-adres".
Deze beslissing kan gevolgen hebben als het "Data privacy framework" ongeldig wordt verklaard, omdat het erkent dat het enkel verbinden van een internetgebruiker met een Amerikaanse dienst al een overdracht van persoonsgegevens naar de Verenigde Staten inhoudt.
In het arrest "Mousse" van 9 januari 2025 (C-394/23) oordeelt het Hof van Justitie van de Europese Unie (CJEU) dat het niet nodig is om kopers van treinkaartjes te vragen of ze "Meneer" of "Mevrouw" aangesproken willen worden.
Het Hof herinnert eraan dat "om de verwerking van persoonsgegevens noodzakelijk te achten voor de uitvoering van een contract in de zin van deze bepaling, deze objectief onmisbaar moet zijn voor het bereiken van een doel dat een integraal onderdeel vormt van de contractuele dienstverlening die voor de betrokkene is bedoeld".
In dit geval geeft het Hof aan dat er een praktische en minder ingrijpende oplossing lijkt te bestaan: het betreffende bedrijf zou kunnen kiezen voor communicatie op basis van algemene, inclusieve en beleefde formules die niet gekoppeld zijn aan een veronderstelde genderidentiteit.
In een arrest van 9 januari heeft het Hof van Justitie van de EU ook de criteria voor het definiëren van "buitensporige" verzoeken in de zin van artikel 57, lid 4, van de AVG verduidelijkt, waarbij het benadrukte dat het niet alleen gaat om het aantal verzoeken van de betrokkene, maar vooral om de opzet achter deze verzoeken.
Deze beslissing betreft APD's, maar de onderbouwing is interessant voor gegevensbeheerders.
Het Hof van Justitie van de EU is van mening dat de bewijslast bij de toezichthoudende autoriteiten ligt en dat zij moeten aantonen dat de persoon die het verzoek heeft ingediend, opzet tot misbruik had.
De uitspraak van het Hof van Justitie van de EU van 19 december 2024 (zaak C-65/23) verduidelijkt dat, hoewel bedrijfsafspraken een specifieke rechtsgrondslag kunnen vormen, werkgevers ervoor moeten zorgen dat dit soort afspraken voldoen aan de AVG.
In dit specifieke geval hadden een Duits bedrijf en zijn ondernemingsraad overeenkomsten gesloten over de verwerking van werknemersgegevens.
Het geschil betrof het gebruik van nieuwe cloudgebaseerde software waarmee persoonsgegevens werden overgebracht naar servers in de Verenigde Staten.
Het Europees Hof van Justitie benadrukt dat nationale rechtbanken verplicht zijn te controleren of aan alle beginselen van de AVG is voldaan, zelfs als de gegevensverwerking is gebaseerd op een collectieve arbeidsovereenkomst.
Nieuws uit de lidstaten van de Europese Unie.
In België heeft de Belgische Autoriteit voor Gegevensbescherming (APD) op 7 januari een werkgever berispt voor het onrechtmatig behandelen van meldingen over de mishandeling van een minderjarige door een van zijn werknemers.
De veiligheidsmanager van de werkgever had de Franse Nationale Veiligheidsautoriteit verzocht om de veiligheidsmachtiging van een van zijn werknemers te verlengen. Dit verzoek werd afgewezen in een gemotiveerd besluit van de autoriteit, dat aan het management en de werknemer werd meegedeeld.
Het management gaf deze informatie echter door aan de directe leidinggevende van de betreffende persoon, die vervolgens disciplinaire maatregelen tegen hem nam.
De APD wijst op meerdere overtredingen, waaronder het ontbreken van een wettelijke basis, het doorgeven van gegevens zonder een verenigbaar doel, de onrechtmatige verwerking van gevoelige gegevens en het gebrek aan transparantie jegens de betrokkene.
In Denemarken heeft de APD het verzoek van FC Kopenhagen om gezichtsherkenningstechnologie te gebruiken tijdens voetbalwedstrijden, conform de nationale wetgeving, geaccepteerd. De reden hiervoor is dat het beoogde gebruik van schorsingen een zwaarwegend publiek belang dient.
Voor andere evenementen dan voetbalwedstrijden is geen toestemming verleend.
De Deense vereniging "Danes je nov dan" heeft een tool gelanceerd die is ontworpen om gebruikers te testen in hun vermogen om door AI gegenereerde content te herkennen, en hen tegelijkertijd te informeren over de risico's die verbonden zijn aan misbruik ervan.
De tool, die is opgezet als een interactieve quiz, behandelt verschillende onderwerpen, zoals de herkenning van synthetische afbeeldingen, teksten en video's.
In tegenstelling tot de Deense tegenhanger, oordeelde het Spaanse Agentschap voor Gegevensbescherming (APD) dat de implementatie van een optioneel gezichtsherkenningssysteem, gebruikt voor de toegangscontrole tot een voetbalstadion, in strijd was met het principe van dataminimalisatie, aangezien er minder ingrijpende alternatieven bestonden. Op basis hiervan legde het agentschap de verantwoordelijken een boete van 200.000 euro op.
De Spaanse Autoriteit voor Gegevensbescherming (APD) heeft postbedrijf CI Postal ook een boete van 200.000 euro opgelegd omdat het tussen september en oktober 2022 ongeveer 8.000 brieven, die door verschillende bedrijven aan het bedrijf waren toevertrouwd, in openbare ruimtes had achtergelaten.
De APD constateert een schending van artikel 5(1)(f) en artikel 32 van de AVG met betrekking tot vertrouwelijkheid en beveiliging, en wijst op het ontbreken van een traceerbaarheidssysteem voor post en onvoldoende training van werknemers over de regels voor gegevensbescherming.
Het orgaan legde Generali España ook een boete van €4.000.000 op, nadat er aanzienlijke tekortkomingen waren geconstateerd in de aanpak van het bedrijf op het gebied van gegevensbeveiliging.waardoor een onbevoegde derde partij toegang kreeg tot de gegevens van meer dan 25.000 voormalige klanten.
De Estse Autoriteit voor Gegevensbescherming (APD) heeft Asper Biogene een boete van € 85.000 (10% van de omzet) opgelegd wegens het niet adequaat beschermen van gevoelige gegevens tijdens een ransomware-aanval..
Het bedrijf voert genetische testen uit, zoals vaderschapstesten en screenings op erfelijke ziekten.
De hackers wisten meer dan 33 GB aan PDF-bestanden te downloaden, die noch geanonimiseerd noch gepseudonimiseerd waren, en die betrekking hadden op ongeveer 100.000 Esten.
In Griekenland heeft de Autoriteit voor Gegevensbescherming (DPA) een boete van € 50.000 opgelegd aan het Ministerie van Klimaatcrisis en Civiele Bescherming omdat het geen functionaris voor gegevensbescherming (FG) had aangesteld.waardoor onder meer artikel 37 van de AVG wordt overtreden.
De Chinese startup Deepseek lanceerde eind januari een chatbot die vergelijkbaar is met ChatGPT van OpenAI en Co-Pilot van Microsoft.
Naast beschuldigingen van Amerikaanse giganten dat Deepseek gebruikmaakte van data die door hun eigen systemen waren gegenereerd, heeft de Chinese chatbot ook al de aandacht getrokken van de Italiaanse Autoriteit voor Gegevensbescherming (APD): op 30 januari blokkeerde de APD de chatbot in Italië en opende een onderzoek nadat Deepseek antwoorden had gegeven die volstrekt ontoereikend werden geacht.
De Ierse, Belgische en Franse APD's gaven ook aan dat ze de kwestie hadden opgepakt.
Er worden steeds meer beslissingen genomen over "dark patterns" in cookies.ent: In Zweden heeft de APD een gokbedrijf berispt vanwege het slechte ontwerp van zijn cookiebanner.
De grafische weergave van de acceptatieoptie en de extra stappen die nodig zijn om cookies te weigeren, maakten de toestemming ongeldig op grond van artikel 6 van de AVG.
De APD heeft ook drie berispingen uitgevaardigd tegen bedrijven die, gedurende periodes variërend van enkele maanden tot meerdere jaren, de publieksmetingsdienst van Meta (Meta Pixel) in hun webpagina's hadden geïntegreerd.
Deze integratie had tot gevolg dat gebruikers het verkeer onzichtbaar naar Meta omleidden.
De Britse gegevensbeschermingsautoriteit (DPA) heeft op 23 januari in een persbericht aangekondigd dat zij de naleving van de cookiewetgeving voor de 1.000 grootste websites in het Verenigd Koninkrijk aanpakt.
De ICO publiceert ook een "strategie" om ervoor te zorgen dat online tracking mensen "duidelijke keuzes en vertrouwen geeft in hoe hun informatie wordt gebruikt", en nieuwe richtlijnen voor "toestemming of betaling"-modellen.
In de Verenigde Staten werden de drie Democratische leden van de Privacy and Civil Liberties Oversight Board (PCLOB), een raad die tot taak heeft nationale veiligheidsprogramma's voor surveillance vanuit een privacyperspectief te beoordelen, op 27 januari ontslagen nadat ze hadden geweigerd ontslag te nemen zoals het Witte Huis had gevraagd.
De PCLOB werd, in het kader van het "Data Privacy Framework" tussen Europa en de Verenigde Staten, beschouwd als een essentieel middel om de rechten van individuen te respecteren in zaken betreffende massasurveillance.
De gevolgen van deze maatregel voor de levensvatbaarheid van de trans-Atlantische overeenkomst zijn tot op heden nog onbekend.
Nadat Donald Trump het AI-uitvoeringsbesluit van voormalig president Joe Biden had ingetrokken, ondertekende hij een nieuw besluit dat "bepaalde bestaande AI-beleidsmaatregelen en -richtlijnen intrekt die de Amerikaanse innovatie op het gebied van AI belemmeren, waardoor de Verenigde Staten daadkrachtig kunnen optreden om hun positie als wereldleider in kunstmatige intelligentie te behouden."
Op 23 januari onthulde OpenAI zijn "Operator"-agent, die wordt omschreven als "een agent die via het web taken voor je kan uitvoeren".
Terwijl generatieve AI-toepassingen bijvoorbeeld vragen kunnen beantwoorden, teksten kunnen samenvatten en synthetische afbeeldingen en video's kunnen maken, kunnen agentische AI-toepassingen complexere taken uitvoeren, zoals het creëren én implementeren van content.
Operator is dus ontworpen om taken te automatiseren zoals het plannen van vakanties, het invullen van formulieren of het bestellen van boodschappen.
Het is getraind om te interageren met de gebruikelijke knoppen, menu's en tekstvelden van het web, en kan ook aanvullende vragen stellen om deze taken verder te personaliseren.
Open AI verduidelijkt dat gebruikers op elk moment de controle over het scherm kunnen overnemen.
NL 