Juridisch Nieuws nr. 70 – april 2024.

Gegevensoverdracht buiten de EU: de huidige situatie.

Het landschap van internationale gegevensoverdracht wordt steeds duidelijker naarmate institutionele beslissingen en standpunten worden ingenomen. 

We hebben dan ook diverse recente initiatieven op zowel Europees als nationaal niveau geconstateerd, gericht op het faciliteren van gegevensstromen met respect voor fundamentele rechten.

Tijdens een bijeenkomst op 4 maart met vertegenwoordigers van de vijftien landen die al als voldoende erkend zijn, heeft de Europese Commissie daarmee haar bereidheid getoond om de vormen van internationale samenwerking binnen de EU uit te breiden.

Hoewel de Commissie in het verleden de voorkeur gaf aan samenwerking met de Raad van Europa met een focus op mensenrechten, noemde de Europese Commissaris voor Justitie in maart ook een nauwere samenwerking met de OESO, een organisatie die zich richt op economische ontwikkeling.

 De betreffende landen in Amerika en Azië hanteren benaderingen van privacybescherming die aanzienlijk verschillen van die van de Europese Unie.

Het is goed om te vermelden dat de Europese Commissie in januari de adequaatheidsbesluiten heeft verlengd van alle landen die al een positief besluit hadden ontvangen.

Dit heeft ook reacties teweeggebracht in de huidige politieke context, met een open brief, gesteund door elf maatschappelijke organisaties, waarin de Europese Commissaris voor Justitie op 22 april wordt verzocht om opheldering te geven over zijn besluit om zijn adequaatheidsbesluit betreffende Israël te verlengen.

 In de brief worden met name vragen gesteld over de naleving van adequaatheidscriteria met betrekking tot de verwerking van gegevens voor nationale veiligheidsdoeleinden, het respect voor mensenrechten, de rechtsstaat en de toegang tot justitie.

Overdrachten naar landen die niet profiteren van een adequaatheidsbesluit blijven uiteraard mogelijk, bijvoorbeeld op voorwaarde dat er standaardcontractbepalingen zijn opgenomen of dat er binnen de groep van bedrijven bindende regels zijn vastgesteld voor gegevensoverdrachten.

Om groepen in dit proces te ondersteunen, heeft de CNIL onlangs een zelfevaluatietool gepubliceerd.

Dit is een vragenlijst waarmee we de mate van volwassenheid van het project kunnen vaststellen in relatie tot de eisen van de BCR-normen die zijn vastgesteld door het Europees Comité voor gegevensbescherming (EDPB).

De CNIL adviseert om het project te testen voordat de BCR's ter goedkeuring worden ingediend.

Met dit instrument kan worden geverifieerd of de volgende verplichtingen daadwerkelijk zijn nagekomen:

• Een aansprakelijkheidsregime gebaseerd op het Europese hoofdkantoor of de Europese dochteronderneming die door delegatie verantwoordelijk is voor gegevensbescherming;
• Een trainingsprocedure voor personeel;
• Een auditprocedure om naleving van de GCR's te waarborgen;
• Een interne klachtenafhandelingsprocedure;
• Een netwerk van functionarissen voor gegevensbescherming of gekwalificeerde medewerkers om toezicht te houden op de naleving van de regels;
• Een procedure om te bepalen of het uitvoeren van een privacy-impactbeoordeling (PIA) gepast is;
• Voor BCR's "onderaannemer" gelden de verplichtingen van de onderaannemer jegens de gegevensbeheerder;
• Passende technische en organisatorische maatregelen om naleving van de beginselen van gegevensbescherming te waarborgen.

De CNIL biedt een interactieve wereldkaart aan waarop de status van elk land op het gebied van gegevensbescherming kan worden weergegeven. De lijst met landen die profiteren van een adequaatheidsbesluit is beschikbaar op de website van de Europese Commissie.

 

De CNIL heeft HUBSIDE.STORE op 4 april een boete van 525.000 euro opgelegd. voor het uitvoeren van wervingscampagnes met behulp van persoonsgegevens verkregen via misleidend opgezette formulieren, waardoor de gegevensbeheerder geen geldige toestemming kon verkrijgen.

Op 25 maart presenteerde de staatssecretaris voor digitale zaken de strategische routekaart van Frankrijk voor het digitale decennium. in aanwezigheid van de directeur-generaal voor communicatienetwerken, content en technologie (DG Connect) van de Europese Commissie.

“De routekaart is gestructureerd rond vier werkgebieden die gericht zijn op het bereiken van de doelstellingen van het ‘digitale decennium’:

• Digitale vaardigheden,
• Digitale infrastructuur,
• De digitale transformatie van bedrijven en
• De digitalisering van openbare diensten.

La Quadrature du Net heeft op 2 mei een klacht ingediend bij de CNIL tegen de inzet van algoritmische videobewaking (VSA). wat zij als illegaal beschouwt.

Het Prevent PCP-project, een samenwerking tussen SNCF en RATP met een panel van bedrijven, waaronder de Atos-groep en ChapsVision, heeft de vorm van een overheidscontract waarmee bedrijven hun VSA-systemen kunnen inzetten op grote stations in heel Europa om "achtergelaten bagage" te detecteren. Dit gebeurt via een methode die gebaseerd is op de identificatie en tracering van de bagage-eigenaren.

In Frankrijk worden deze VSA-systemen al maandenlang gebruikt in de stations Gare du Nord en Gare de Lyon in Parijs, en meer recentelijk ook in Gare de Marseille-Saint-Charles.

 

Europese instellingen en organen

Het Europees Comité voor gegevensbescherming (EDPB) heeft medio april zijn werkprogramma voor 2024-2027 vastgesteld.

De komende vier jaar zal het Europees Comité voor gegevensbescherming (EDPB) de naleving van de AVG blijven bevorderen door praktische richtlijnen en materialen te ontwikkelen voor een breder publiek.

Samenwerking bij de toepassing van de wetgeving blijft ook een prioriteit. 

Een nieuw aspect van de strategie is de nadruk die wordt gelegd op interactie met het nieuwe digitale regelgevingskader.

Het Europees Comité voor gegevensbescherming (EDPB) zal bijzondere aandacht blijven besteden aan de uitdagingen die nieuwe technologieën, zoals AI, met zich meebrengen.

Het Europees Comité voor gegevensbescherming (EDPB) heeft op 17 april ook een standpunt ingenomen over het "betalen of cookies accepteren"-model dat wordt opgelegd aan gebruikers van grote online platformen.

In november 2023 introduceerde Meta een maandelijkse vergoeding voor gebruikers die weigerden te worden gevolgd voor gepersonaliseerde advertenties.

Burgerrechtenorganisaties reageerden door verschillende klachten in te dienen bij de bevoegde gegevensbeschermingsautoriteiten (DPA's), die het Europees Comité voor gegevensbescherming (EDPB) om een bindend advies over de kwestie verzochten.

Deze mening zet vraagtekens bij het model dat Meta en soortgelijke platforms hanteren: volgens de commissie "kunnen grote online platforms in de meeste gevallen niet voldoen aan de eisen van geldige toestemming als ze gebruikers slechts voor een binaire keuze stellen tussen instemmen met de verwerking van persoonsgegevens voor gedragsgerichte reclame en het betalen van een vergoeding."

De commissie herhaalt dat toestemming vrijwillig moet worden gegeven en dat een alternatief waarbij een afschrikkende betaling wordt opgelegd, vrijwillig gegeven toestemming onmogelijk zou maken.

Het dringt er bij platformen op aan om een alternatief advertentiemodel te implementeren dat gebaseerd is op een beperktere verzameling van persoonsgegevens.

Het initiatief van de Europese Commissie om grote technologiebedrijven aan te moedigen zich vrijwillig te verbinden tot een "cookiebelofte", die het volgen van internetgebruikers zou verminderen en hun toestemming zou versterken, heeft geen momentum gekregen.

Volgens een woordvoerder van de Commissie tegenover Euronews vond de meerderheid van de bedrijven dat de invoering van een vrijwillige aanpak voor digitale reclame "voorbarig was, gezien de recente inwerkingtreding van nieuwe wetgeving op dit gebied, zoals de Verordening inzake digitale diensten (DSA) en de Verordening inzake digitale markten (DMA)."

Op 11 april oordeelde het Hof van Justitie van de EU dat een gegevensverwerker niet is vrijgesteld van aansprakelijkheid voor schade op grond van de AVG, enkel en alleen omdat een persoon die onder zijn gezag handelt, zijn instructies niet heeft opgevolgd.

Bij het vaststellen van de hoogte van de schadevergoeding mogen de criteria die gelden voor het opleggen van administratieve boetes niet in aanmerking worden genomen.

De advocaat-generaal van het Hof van Justitie van de EU heeft op 25 april zijn advies uitgebracht in een zaak betreffende het gebruik door Meta van gegevens die door de klager openbaar zijn gemaakt.

Volgens de advocaat-generaal beperkt de toepassing van het "beginsel van dataminimalisatie" het gebruik dat van persoonsgegevens voor reclamedoeleinden kan worden gemaakt, zelfs als gebruikers toestemming hebben gegeven voor reclame.

Dit principe geldt ongeacht de wettelijke grondslag voor de verwerking: zelfs een gebruiker die instemt met gepersonaliseerde reclame mag zijn of haar persoonsgegevens niet oneindig lang laten gebruiken.

Bovendien blijft het beginsel van "doelbinding" zoals vastgelegd in artikel 5(1) van de AVG van toepassing in de context van "web scraping": openbaar beschikbare informatie (in dit geval gevoelige informatie) mag niet worden verzameld en verwerkt voor andere doeleinden, zoals gerichte reclame.

De ngo noyb heeft een klacht ingediend bij de Oostenrijkse Autoriteit voor Gegevensbescherming (APD) over de "hallucinaties" van ChatGPT, die volgens haar in strijd zijn met de beginselen van de AVG.

Max Schrems, directeur van noyb, zei dat zijn klacht werd ingegeven door het feit dat ChatGPT zijn exacte geboortedatum niet verstrekte en deze verving door een vergezochte schatting, terwijl de chatbot gebruikers er niet van op de hoogte stelt dat hij niet over de juiste gegevens beschikt om een verzoek te beantwoorden.

Het AI-bedrijf zou hebben geweigerd onjuiste antwoorden te corrigeren of te verwijderen en geeft geen informatie vrij over de verwerkte gegevens, de bronnen ervan of de ontvangers.

Sinds de DSA in augustus 2023 van kracht werd, zijn grote online platformen en zoekmachines ("VLOP" en "VLOSE") verplicht om openbaar toegankelijke en transparante advertentiearchieven aan te bieden.

Een nieuw rapport van Mozilla, in samenwerking met CheckFirst, onderzoekt dit probleem voor diensten die worden aangeboden door 11 bedrijven, waaronder AliExpress, Apple's App Store, Bing, Booking.com, Alphabet (Google Search en YouTube), LinkedIn en Meta (Facebook en Instagram).

Het rapport wijst op "een grote variatie tussen de platforms" en stelt dat geen van hen "een volledig functionele advertentiedatabase heeft en dat geen enkel platform onderzoekers en maatschappelijke organisaties de tools en data zal bieden die ze nodig hebben om de impact van VLOP-advertenties op de komende verkiezingen in Europa effectief te monitoren" (via GDPRtoday).

  

Nieuws uit de lidstaten van Europa.

De Belgische Autoriteit voor Gegevensbescherming (APD) heeft op 2 april geoordeeld dat het verzamelen van de digitale vingerafdruk van een gebruikersapparaat ("online fingerprinting") in principe gebaseerd moet zijn op de toestemming van de betrokkene.

Deze techniek stelt de gegevensbeheerder in staat om diensten aan te bieden die de websitebezoeker identificeren, zelfs wanneer deze in de incognitomodus surft of een VPN gebruikt, door hem of haar een unieke identificatiecode toe te wijzen.

In combinatie met de locatie van de gebruiker maakt deze identificatiecode het mogelijk om onder andere het aantal bezoeken van de gebruiker te volgen.

De APD heeft specifiek een waarschuwing uitgegeven voor het niet verstrekken van informatie en voor het gebruiken van de contactgegevens van de betrokkene voor het versturen van marketingmails.

Het cybersecurity- en antivirusbedrijf Avast heeft van de Tsjechische Autoriteit voor Gegevensbescherming (APD) in hoger beroep een boete van 13,7 miljoen euro gekregen, de hoogste boete die de APD ooit heeft opgelegd.

Het bedrijf heeft de browsegegevens van meer dan 100 miljoen gebruikers niet geanonimiseerd voordat deze met derden werden gedeeld voor marktanalysedoeleinden.

Het is goed om te vermelden dat Avast in februari ook in de Verenigde Staten door de Federal Trade Commission (FTC) werd gesanctioneerd en gedwongen werd een bedrag van meer dan 18 miljoen dollar te betalen.

Ook in Nederland is tegen haar een collectieve klacht ingediend wegens dezelfde vergrijpen.

In Finland is de hacker die verantwoordelijk was voor het inbreken in patiëntendossiers van het psychotherapiecentrum Vastaamo, en die 400.000 euro losgeld eiste voor de gestolen gegevens, door de districtsrechtbank van Uusimaa West veroordeeld tot zes jaar en drie maanden gevangenisstraf. 

De hack betreft de gegevens van ongeveer 33.000 patiënten, een ongekend aantal slachtoffers in de Finse rechtsgeschiedenis. 

Destijds legde de APD Vastaamo een administratieve boete van 608.000 euro op wegens schending van de AVG, het verwaarlozen van haar verplichtingen met betrekking tot de veilige verwerking van persoonsgegevens en het te laat melden van het datalek.

De voormalige CEO van het bedrijf werd vorig jaar veroordeeld tot drie maanden gevangenisstraf, voorwaardelijk, wegens het niet beschermen van gevoelige persoonsgegevens.

Het bedrijf heeft sindsdien faillissement aangevraagd.

In Nederland kreeg telecomgroep Odido, voorheen T-Mobile Nederland, een boete van 175.000 euro opgelegd. door de inspectie voor digitale infrastructuur vanwege het onjuist verwerken van verkeersgegevens in het kader van een gezamenlijk project met het nationale statistiekbureau.

Het project had als doel een algoritme te ontwikkelen dat informatie kon verschaffen over de bewegingen van grote groepen mensen, maar de werkwijze van Odido was in strijd met de privacywetgeving: Odido had de verwerkte gegevens weliswaar gepseudonimiseerd, maar zonder de klanten op de hoogte te stellen van het onderzoek.

De Griekse Autoriteit voor Gegevensbescherming (APD) heeft de Griekse Post een boete van 2.995.140 euro opgelegd. omdat ze geen passende beveiligingsmaatregelen hadden getroffen, wat resulteerde in een datalek dat meer dan 4 miljoen mensen trof.

Het Spaanse Agentschap voor Gegevensbescherming (AEPD) heeft besloten een boete van € 2.000.000 op te leggen aan een bank. omdat er geen toestemming is verkregen van de betrokken personen voor de verwerking van hun persoonsgegevens.

De verantwoordelijke voor de gegevensverwerking heeft, na zijn fout te hebben toegegeven, uiteindelijk een verlaagde boete van 1.200.000 euro betaald. 

Een Spaanse wet (39/2015) betreffende administratieve procedures staat een toezichthouder toe om de verantwoordelijkheid voor een vermeende overtreding te erkennen en/of de door de AEPD voorgestelde boete in de onderzoeksfase te betalen in ruil voor een korting van 40 % op het boetebedrag.

De AEPD heeft een gegevensverwerker ook een boete van € 3.500.000 opgelegd wegens het niet uitvoeren van een adequate risicobeoordeling. en die vermijdbare beveiligingslekken over het hoofd had gezien, wat resulteerde in een datalek dat 1,3 miljoen mensen trof.

In Zweden heeft de Zweedse Autoriteit voor Gegevensbescherming (APD) een berisping gegeven aan een gegevensverwerker omdat deze betrokkenen had gevraagd een kopie van hun identiteitsbewijs te overleggen. evenals documenten die per post zijn ondertekend in het kader van een verzoek om gegevensverwijdering, wanneer er geen redelijke grond was om te twijfelen aan de identiteit van de betrokken personen.

 

Grindr is in het Verenigd Koninkrijk het onderwerp geweest van een collectieve rechtszaak. De aanklacht luidde dat de LGBTQ-datingapp gevoelige informatie over haar gebruikers, zoals hun hiv-status en seksuele geaardheid, deelde met adverteerders.

Volgens een BBC-rapport zou de app gebruik hebben gemaakt van "geheime trackingtechnologie" om deze gegevens illegaal te verzamelen en te delen met derden (via GDPRtoday).

Op 3 mei heeft de Raad van de OESO herzieningen van de beginselen inzake kunstmatige intelligentie aangenomen.

Als reactie op recente ontwikkelingen in AI-technologieën, waaronder de opkomst van generalistische en generatieve AI, gaan de bijgewerkte principes directer in op de uitdagingen die AI met zich meebrengt op het gebied van privacy, intellectuele eigendomsrechten, beveiliging en informatie-integriteit.

In de Verenigde Staten is sectie 702 van de Amerikaanse Foreign Intelligence Surveillance Act (FISA) onlangs voor twee jaar verlengd.

Dit onderdeel, dat beperkte surveillance zonder gerechtelijk bevel van bepaalde communicatie toestaat, moet regelmatig door het Congres worden vernieuwd.

De stemming was naar verluidt controversieel, aangezien het Congres verschillende voorstellen overwoog om de tekst van de wet aan te passen: volgens Associated Press bestond er onenigheid over de vraag of de FBI beperkt moest worden in het gebruik van de wet om Amerikanen te bespioneren.

De Senaat heeft het wetsvoorstel uiteindelijk op 20 april aangenomen met slechts enkele wijzigingen in de tekst.

Op 23 april heeft de Senaat de Protecting Americans from Foreign Adversary Controlled Applications Act aangenomen, een wetsvoorstel dat algemeen wordt beschreven als een verbod op TikTok.

De Amerikaanse president Joe Biden heeft zojuist de wet ondertekend die het Chinese platform dwingt om zijn Amerikaanse activiteiten te scheiden van die van moederbedrijf ByteDance, of te accepteren dat Amerikaanse burgers de dienst niet langer kunnen gebruiken. TikTok heeft al juridische stappen aangekondigd.

Een voorgesteld bevel van de Amerikaanse Federal Trade Commission (FTC) van 15 april beschuldigt een bedrijf dat teleconsultaties voor geestelijke gezondheidszorg aanbiedt ervan zijn privacybeleid te schenden en zijn klanten te misleiden over zijn annuleringsbeleid.

De FTC is van plan Cerebral en zijn CEO een boete van 7 miljoen dollar op te leggen voor het verzamelen van persoonsgegevens van klanten en het vervolgens verkopen van die gegevens aan derden.

Het Europees Hof voor de Rechten van de Mens behandelt momenteel duizenden zaken betreffende veroordelingen in Turkije voor lidmaatschap van een gewapende terroristische organisatie, op basis van het vermeende gebruik van de versleutelde berichtenapp "Bylock".

De verzoekers beweren dat hun veroordelingen gebaseerd waren op hun vermeende gebruik van deze applicatie, die volgens de Turkse rechtbanken was ontworpen voor exclusief gebruik door FETÖ/PDY-leden onder het mom van een wereldwijde applicatie.

Iedereen die Bylock had gebruikt, kon volgens hen in principe alleen al op basis daarvan worden veroordeeld voor lidmaatschap van een gewapende terroristische organisatie.