Juridisch Nieuws nr. 63 – september 2023.

Brexit: een overzicht van gegevensbescherming.

Sinds het Verenigd Koninkrijk op 31 januari 2020 de Europese Unie heeft verlaten, zijn er steeds grotere verschillen ontstaan tussen de gegevensbeschermingskaders aan beide zijden van het Kanaal.

Het land past nog steeds de wet toe die de AVG op nationaal niveau heeft geïmplementeerd, genaamd "UK GDPR", en sinds 28 juni 2021 profiteert het Verenigd Koninkrijk van een adequaat beschermingsniveau dat gegevensuitwisseling met de EU mogelijk maakt.

Het adequaatheidsbesluit is geldig tot 27 juni 2025, maar het kan eerder worden herzien als het Britse rechtskader vóór die datum aanzienlijk verandert.

Een van de ontwikkelingen die de Europese Commissie wellicht zorgen baart, is de ambitie van het Verenigd Koninkrijk om een "datahub" te worden en de internationale gegevensuitwisseling te faciliteren, en het huidige ontwerp voor een herziening van de "Britse AVG" dat de verplichtingen voor Britse bedrijven moet versoepelen.

Op 21 september formaliseerde het Verenigd Koninkrijk de "databrug" die in juni met de Verenigde Staten was gesloten.

De overeenkomst treedt in werking op 12 oktober.

Het Verenigd Koninkrijk heeft ook overeenkomsten gesloten met verschillende landen die de EU al als adequaat beschouwt: Canada, Israël, Japan, Nieuw-Zeeland, Zwitserland en Uruguay.

Tot zijn prioriteitenlijst behoren ook Australië, Colombia, Dubai, Zuid-Korea en Singapore.

Deze versoepeling van internationale uitwisselingen roept de vraag op naar de daaropvolgende overdracht van Europese gegevens, die, na via het Verenigd Koninkrijk te zijn gegaan, in een later stadium terechtkomen in een land dat volgens de EU geen gelijkwaardige gegevensbescherming garandeert.

Het Verenigd Koninkrijk beweegt zich inderdaad richting een pragmatischere beoordeling van de garanties die door derde landen worden geboden, waarbij meer op risico's wordt gelet.

Parallel aan deze initiatieven met betrekking tot gegevensoverdracht bereidt het Verenigd Koninkrijk een wetsvoorstel voor over gegevensbescherming en digitale informatie ("Data Protection and Digital Information (No. 2) Bill"), dat de huidige Britse GDPR moet vervangen.

Deze tekst is afgelopen voorjaar al twee keer in het parlement voorgelezen en moet nog in een derde lezing worden besproken.

Het project respecteert het principe van doelbinding, maar wijzigt de reikwijdte ervan: het staat verdere verwerking toe wanneer gegevens zonder toestemming zijn verzameld, bijvoorbeeld in gevallen van gebruik op basis van het algemeen belang.

De gevolgen van deze regel voor het gebruik van cookies zijn nog niet duidelijk, hoewel de overheid zegt ongewenste pop-ups die om toestemming van de gebruiker vragen te willen beperken.

De definitie van wetenschappelijk onderzoek is geactualiseerd en verruimd, en de voorwaarden waaraan het moet voldoen zijn versoepeld.

Dit zou bedrijven in staat stellen om gemakkelijker gegevens te verwerken voor commerciële doeleinden, met het argument dat deze commerciële praktijken bestaan uit technologisch onderzoek en ontwikkeling. 

Het project verlaagt ook de eisen die aan bedrijven worden gesteld met betrekking tot het bijhouden van gegevens en de proactieve controle op hun gegevensverwerkingsactiviteiten, met uitzondering van die activiteiten waarbij de verwerking een groot risico vormt voor de rechten van personen.

De tekst introduceert ook een raamwerk voor het gebruik van "betrouwbare en veilige digitale verificatiediensten", wat een antwoord lijkt te zijn op het digitale identiteitsproject van de Europese Unie.

Voor bedrijven die in de hele EU actief zijn, zullen sommige voordelen van de hervorming, die gericht is op het verminderen van de administratieve lasten, beperkt zijn: ze zullen bijvoorbeeld nog steeds een functionaris voor gegevensbescherming moeten aanstellen en zullen niet kunnen profiteren van de versoepeling van bepaalde regels met betrekking tot gegevensbewaring.

Het plan omvat ook de vervanging van het bestaande regelgevende orgaan, de ICO, door een raad, en het geven van de minister van Binnenlandse Zaken de bevoegdheid om bepaalde activiteiten van de instelling te sturen door strategische prioriteiten vast te stellen.

Het bestaan van een onafhankelijke toezichthouder voor gegevensbescherming zal een van de belangrijkste elementen zijn die de EU in overweging zal nemen bij de herbeoordeling van de "essentiële gelijkwaardigheid" van het VK met haar gegevensbeschermingsregels.

Deze kwestie heeft in het Europees Parlement al tot vragen geleid.

De wet zou volgend voorjaar aangenomen kunnen worden.

 

• Op 18 september 2023 heeft de CNIL het luchtvrachtbedrijf SAF LOGISTICS een boete van 200.000 euro opgelegd wegens het verzamelen van te veel gegevens van zijn werknemers, waaronder gevoelige gegevens en uittreksels uit het strafregister.

Ze wordt ook bestraft omdat ze onvoldoende meewerkt met de CNIL.

• Eind september vond de Europese Week voor Duurzame Ontwikkeling plaats, wat de CNIL de gelegenheid bood om te communiceren over haar brochure over dit thema. De brochure onderzoekt de raakvlakken tussen gegevensbescherming, vrijheden en het milieu: "Beschermt de bescherming van gegevens de planeet? Zijn onze vrijheden in beweging? Moeten we gegevens delen om het milieu te beschermen?"

Het document probeert deze vragen te beantwoorden en doet aanbevelingen om de twee doelstellingen met elkaar te verzoenen.

• De CNIL publiceerde deze zomer een conceptrichtlijn over het hergebruik van openbare data.

De handleiding bevat het standpunt van de CNIL, haar tegenhangers, evenals Franse en Europese rechterlijke uitspraken, aangevuld met een reeks raadplegingen met diverse actoren die direct betrokken zijn bij de ontwikkeling van benaderingen voor het openstellen, delen en hergebruiken van publiekelijk toegankelijke gegevens (institutionele partners, verenigingen en bedrijven, advocaten, onderzoekers).

• Op 29 augustus heeft de CNIL (Franse Autoriteit voor Gegevensbescherming) Boursorama opgedragen te voldoen aan de bepalingen van de AVG, "in het bijzonder door de verwerking van inloggegevens voor de website impots.gouv.fr te staken": Boursorama vroeg namelijk toegang tot de gebruikersnaam en het wachtwoord van de website impots.gouv.fr van mensen die een lening wilden afsluiten of een spaarplan wilden openen.

De CNIL geeft aan dat het bedrijf twee maanden de tijd heeft om aan de voorschriften te voldoen.

• Mozilla lanceert een publieke oproep om te reageren op de toekomstige SREN-wet, die voorziet in de invoering van een "anti-oplichtingsfilter" op het internet.

De stichting stelt in de titel van haar petitie dat Frankrijk webbrowsers dwingt "websites te censureren".

Een verplicht mechanisme zou vereisen dat tussenpersonen alle passende maatregelen treffen om te voorkomen dat internetgebruikers gedurende een periode van ten minste zeven dagen toegang krijgen tot adressen die als schadelijk worden beschouwd.

De stichting vindt het in principe prijzenswaardig om online fraude te bestrijden.

Ze betwist echter de gekozen methoden om dit doel te bereiken, die een precedent scheppen, aangezien de filterstrategie, eenmaal ingevoerd, kan worden uitgebreid naar andere kwesties.

 

 

Europese instellingen en organen

• De Europese Commissie publiceert richtlijnen voor de nieuwe Europese richtlijn inzake cyberbeveiliging, NIS2.

Deze richtlijn legt verplichtingen op met betrekking tot beveiliging, incidentmelding en governance aan entiteiten in diverse kritieke sectoren, waaronder energie, transport, financiën, gezondheidszorg en digitale infrastructuur.

De twee richtlijndocumenten helpen bij het bepalen of de NIS2-vereisten of de sectorale vereisten van toepassing zijn, en hebben tot doel ervoor te zorgen dat de registratievereisten in de hele Unie consistent zijn.

• In de maand oktober zal de Commissie burgerlijke vrijheden van het Europees Parlement beginnen met de behandeling van de verordening "bescherming van kinderen op internet" (CSAM).

Deze tekst is onderwerp van steeds fellere kritiek, met name vanwege de maatregel die grote platformen verplicht om proactief privécontent die via hun diensten wordt uitgewisseld te scannen op kinderpornografie.

Veel maatschappelijke organisaties, alle Europese gegevensbeschermingsautoriteiten en ook juristen van de Raad van de EU zijn van mening dat de verordening "bijzonder ingrijpende beperkingen op het recht op privacy" zou opleggen en dat er een "ernstig risico" bestaat dat deze in strijd is met fundamentele EU-teksten.

• De Cybersecuritymaand biedt ENISA, het Europees Agentschap voor informatiebeveiliging, de gelegenheid om aanbevelingen te publiceren met betrekking tot ransomware.

Onder de beschikbare documenten bevinden zich tips voor operators in de elektriciteitssector, een belangrijk doelwit voor hackers.

• Op 7 september heeft parlementslid Philippe Latombe, lid van de CNIL, het Kader voor gegevensbescherming aangevochten bij het Hof van Justitie van de Europese Unie. Dit kader maakt sinds deze zomer de uitwisseling van gegevens tussen de EU en de Verenigde Staten mogelijk.
• Latombe diende twee beroepen in, één om de overeenkomst onmiddellijk op te schorten en een ander betreffende de inhoud van de tekst.

Hij verzoekt het Hof om de overeenkomst met spoed op te schorten, onder verwijzing naar een Europese verordening uit 1958 die voorschrijft dat Europese teksten van algemene aard in de vier officiële talen moeten worden opgesteld, terwijl de DPF sinds 10 juli alleen nog in het Engels beschikbaar is.

• Het gebruik van tools voor videoconferenties brengt vragen met zich mee over gegevensbescherming, vooral omdat gegevens vaak buiten de EU worden overgedragen.

Het Hof van Justitie van de EU heeft een "transfer impact assessment (TIA)" uitgevoerd in verband met het gebruik van Cisco Webex en de verwerking onderworpen aan de toestemming van de Europese Toezichthouder voor Gegevensbescherming (EDPS).

De uitspraak van de EDPS en de effectbeoordeling van het Hof van Justitie van de EU zijn nuttige referentiepunten voor elke gegevensverwerker die deze instrumenten in een professionele context gebruikt.

 

Nieuws uit de lidstaten van Europa.

• De Belgische Autoriteit voor Gegevensbescherming (APD) heeft op 16 augustus een klacht afgewezen, ondanks het bestaan van GDPR-schendingen.

Zij was van mening dat de overtredingen geen "grote maatschappelijke en/of persoonlijke impact" hadden gehad en dat de middelen die nodig zouden zijn om de klacht te onderzoeken daarom onevenredig zouden zijn.

• Na de bindende uitspraak van het Europees Comité voor gegevensbescherming (EDPB) publiceerde de Ierse gegevensbeschermingscommissie op 1 september haar definitieve besluit. Daarin werd met name geconcludeerd dat TikTok het beginsel van billijkheid van de AVG had geschonden bij de verwerking van persoonsgegevens van kinderen van 13 tot 17 jaar.

In het aanmeldvenster werden kinderen aangemoedigd om voor een openbaar account te kiezen.

De APD oordeelde in haar definitieve besluit dat de standaard openbare instellingen ook in strijd waren met de principes van gegevensbescherming door ontwerp en standaardinstellingen, gegevensminimalisatie en transparantie.

Naast een berisping en een nalevingsbevel heeft de Ierse autoriteit voor gegevensbescherming een boete van 345 miljoen euro opgelegd.

• De gegevensbeschermingsautoriteit van Nedersaksen heeft in samenwerking met zes andere gegevensbeschermingsautoriteiten een handleiding opgesteld voor het gebruik van Microsoft 365 voor professionele doeleinden.

De autoriteiten adviseren dat er een aanvullende overeenkomst wordt gesloten tussen de verantwoordelijke partij en Microsoft, die voorrang heeft op alle tegenstrijdige contractuele bepalingen.

Deze overeenkomst dient met name bepalingen te bevatten over verwijderingsperioden die zijn afgestemd op de behoeften van de gegevensbeheerder, informatievereisten met betrekking tot het gebruik van onderaannemers, en de verwerking van gegevens door Microsoft voor eigen commerciële doeleinden.

• In een besluit van medio juli betreffende de verwerking van gegevens voor marketingdoeleinden, herinnert de Italiaanse Autoriteit voor Gegevensbescherming (APD) eraan dat het, gezien het principe van beperkte gegevensbewaring, niet gerechtvaardigd is om gegevens te bewaren tot de datum waarop de toestemming wordt ingetrokken.

Deze herinnering is reeds opgenomen in de EDPB-richtlijnen 5/2020, volgens welke rekening moet worden gehouden met de context en de gerechtvaardigde verwachtingen van individuen: het is goede praktijk om regelmatig opnieuw toestemming te vragen.

• Het Italiaanse Hooggerechtshof heeft de onrechtmatigheid bevestigd van het ontslag van een werknemer door een Italiaanse bank wegens het illegaal controleren van e-mails en het afluisteren van die werknemer.

Het Hooggerechtshof stelde dat het noodzakelijk is om een eerlijk evenwicht te bewaren tussen de eisen ter bescherming van de belangen en het eigendom van de onderneming, die verbonden zijn aan de vrijheid van economisch initiatief, en de bescherming van de waardigheid en privacy van de werknemer, afhankelijk van de omstandigheden.

Het monitoren van alle communicatie op de laptop van de gedaagde was ongerechtvaardigd, omdat het willekeurig en onbeperkt was, en omdat de eiser de gedaagde niet had geïnformeerd over de mogelijke monitoring van de communicatie op zijn laptop, noch over de aard en de omvang van die monitoring.

• In een besluit dat op 21 augustus werd gepubliceerd, heeft de Spaanse Autoriteit voor Gegevensbescherming (APD) een gegevensverwerker gesanctioneerd wegens schending van artikel 28(2) en 28(3) van de AVG.

Deze sanctie werd opgelegd, hoewel er geen contract bestond tussen de gegevensbeheerder en de onderaannemers en de gegevensbeheerder niet op de hoogte was gesteld van de betrokkenheid van de onderaannemers bij de gegevensverwerking.

• Het Spaanse Agentschap voor Gegevensbescherming (APD) publiceert een blog over digitale valuta, waarin het de grootste risico's van cryptovaluta bespreekt: volatiliteit, speculatie, een vals gevoel van beschikbaarheid, veiligheid en anonimiteit.
• De Britse kiescommissie maakte op 8 augustus bekend dat ze het slachtoffer was geworden van een datalek.

De cyberaanval dateert van augustus 2021 en werd ontdekt in oktober 2022.

De hackers, van wie de identiteit nog niet bekend is, kregen tussen 2014 en 2022 toegang tot de gegevens van 40 miljoen geregistreerde kiezers.

• De Britse regering heeft haar plannen om online encryptie te verzwakken via de Online Safety Bill voorlopig opgeschort.

Dit wetsvoorstel had tot doel berichtenapps zoals WhatsApp te verplichten de gesprekken van hun gebruikers te analyseren op kinderpornografie. De controversiële bepalingen zouden in het wetsvoorstel blijven staan, maar de Britse regering heeft verklaard dat ze technologiebedrijven niet zal dwingen deze te implementeren.

• Een Brits onderzoeksteam publiceerde in augustus 2023 een artikel over de ontwikkeling van een kunstmatige intelligentie (AI) die in staat is een wachtwoord te ontcijferen door simpelweg te luisteren naar de geluiden die de toetsen van het toetsenbord produceren.

De AI is getraind op een dataset van meer dan 100.000 toetsaanslagen en succesvol getest op diverse apparaten, waaronder laptops, smartphones en slimme luidsprekers.

 

• De Internationale Organisatie voor Standaardisatie heeft onlangs ISO 22989:2022 – AI-concepten en -terminologie gepubliceerd, waarin terminologie wordt vastgelegd en concepten op het gebied van kunstmatige intelligentie worden beschreven.

Dit document kan worden gebruikt om andere standaarden te ontwikkelen en de communicatie tussen verschillende belanghebbenden te ondersteunen. Het is van toepassing op alle soorten organisaties (commerciële ondernemingen, overheidsinstanties, non-profitorganisaties).

• Meta bereidt zich naar verluidt voor op de invoering van een betaald abonnement voor zijn socialemediaplatforms Instagram en Facebook.

Volgens de Wall Street Journal zouden gebruikers die niet gevolgd willen worden voor gepersonaliseerde advertenties tussen de €10 en €15 per maand moeten betalen, afhankelijk van het gebruikte apparaat (smartphone, computer).

• Videobewaking met biometrische herkenning vormt de kern van een schandaal in Argentinië: fouten, een systeem dat vatbaar is voor manipulatie, ongeautoriseerde toegang, gebrek aan transparantiemaatregelen…

Vijfenzeventig procent van de hoofdstad wordt bewaakt met videocamera's, maar het gezichtsherkenningssysteem wordt bekritiseerd nadat sinds 2019 minstens 140 fouten hebben geleid tot politiecontroles of arrestaties.

Activisten besloten de gemeente aan te klagen en kregen in april 2022 de deactivering van het systeem afgedwongen.

Sindsdien strijdt de stad Buenos Aires ervoor om het weer in gebruik te nemen.

• Een Indonesische beveiligingsonderzoeker heeft via Twitter bekendgemaakt dat een hacker een bestand met de gegevens van bijna 35 miljoen paspoorthouders te koop heeft aangeboden voor 10.000 dollar.

Het is al bekend dat de hacker in 2022 de gegevens van 1,3 miljard simkaarten van de servers van het Indonesische ministerie van Communicatie en Informatietechnologie heeft gestolen en te koop heeft aangeboden. Hij wordt er ook van verdacht verantwoordelijk te zijn voor de diefstal van persoonlijke gegevens van 17 miljoen klanten van het Indonesische elektriciteitsbedrijf in 2022 (via de AFCDP).

• Saoedi-Arabië publiceerde medio september de regelgeving voor de uitvoering van de wet op de bescherming van persoonsgegevens, evenals de regelgeving betreffende de overdracht van persoonsgegevens buiten het koninkrijk.
• Op 15 oktober 2021 heeft de Rwandese regering een wet aangenomen over de bescherming van persoonsgegevens en privacy.

De overheid heeft een overgangsperiode van twee jaar ingesteld om individuen en organisaties de tijd te geven hun gegevensverwerkingsactiviteiten in overeenstemming te brengen met de wetgeving. Deze periode eindigt op 15 oktober 2023.