Juridisch overzicht nr. 78 – december 2024. 

Wat zijn de vooruitzichten voor gegevensbescherming in 2025?

Het nieuwe jaar gaat verder met de geleidelijke implementatie van het "digitale pakket" van de Europese Unie.maar ook nieuwe wetgeving die gericht is op het versterken van de bescherming van persoonsgegevens in het licht van de uitdagingen die cyberdreigingen met zich meebrengen.

Naarmate kunstmatige intelligentie steeds vaker in het bedrijfsleven wordt toegepast, kunnen we een verschuiving verwachten in de besluitvorming naar meer autonome systemen die minder ruimte laten voor menselijk oordeel, met de risico's die een dergelijk gebruik met zich meebrengt op het gebied van datakwaliteit en -bescherming.

De AI-regelgeving regelt deze nieuwe praktijken, hoewel het tot augustus 2026 zal duren voordat alle bepalingen ervan van toepassing zijn..

Zoals we in het onderstaande nieuwsbericht zullen zien, is de implementatie ervan al onderwerp van richtlijnen, zoals blijkt uit het recente advies van het Europees Comité voor gegevensbescherming (EDPB).

Gegevensverwerkers moeten ook rekening houden met de Verordening inzake digitale diensten (DSA), die sinds 17 februari van kracht is.die nieuwe verplichtingen met zich meebrengt, met name op het gebied van transparantie, contentmoderatie en gebruikersbescherming.

Volgens de Franse Vereniging van Functionarissen voor Gegevensbescherming (AFCPD) introduceren deze regelgevingen overlappingen en vereisen ze van functionarissen voor gegevensbescherming (DPO's) een aanzienlijke moeilijkheid om het overzicht te bewaren en zo consistente naleving te garanderen. De vereniging noemt als voorbeeld de verwerking van HR-gegevens, die afhankelijk van de gebruikte technologieën, zoals AI, van een niet-gevoelige naar een gevoelige categorie kunnen verschuiven.

"Deze interacties roepen fundamentele vragen op over het harmonieuze beheer van wettelijke verplichtingen."

Wat betreft de beveiliging is de Europese verordening inzake cyberweerbaarheid (Cyber Resilience Act, CRA) op 10 december 2024 in werking getreden en de meeste bepalingen ervan zullen in 2027 van toepassing zijn.

Het doel van de CRA is het versterken van de bescherming van consumenten- en bedrijfsgegevens tegen cyberdreigingen. Deze wetgeving legt verplichtingen op aan fabrikanten, ontwikkelaars en detailhandelaren van verbonden producten met betrekking tot cybersecurity-beoordelingen en -informatie.

In dezelfde context treedt de Europese verordening inzake digitale operationele weerbaarheid (Digital Operational Resilience Act, DORA) in werking op 17 januari..

Het stelt strenge eisen om de digitale weerbaarheid van financiële instellingen te waarborgen en operationele risico's met betrekking tot informatietechnologie te beheersen, met name risico's die samenhangen met externe leveranciers.

De Europese richtlijn betreffende de beveiliging van netwerk- en informatiesystemen (NIS2) is in principe van toepassing sinds 17 oktober, de datum waarop deze in de Franse wetgeving had moeten worden omgezet.

De tekst heeft een breder toepassingsgebied dan de NIS1-richtlijn en richt zich specifiek op infrastructuren en entiteiten die essentieel zijn voor het goed functioneren van economische en maatschappelijke activiteiten op de interne markt.

Er is een periode van drie jaar gepland voor volledige naleving, maar er moet snel een minimum worden bereikt, namelijk registratie bij ANSSI van de gereguleerde entiteit, melding van incidenten en aantoonbare investeringen in beveiligingsoplossingen.

Omdat de omzettingswet nog niet is aangenomen, bestaan er momenteel nog onzekerheden over de identificatie van gereguleerde entiteiten en de concrete stappen die moeten worden genomen.

Er bestaat ook enige onzekerheid over de tijdlijn van verschillende Europese projecten: hoe zit het bijvoorbeeld met het langlopende ePrivacy-project?

Hoewel de Commissie haar eerste ontwerpverordening al in januari 2017 publiceerde, wacht het proces nog op het standpunt van het Europees Parlement in eerste lezing.

Deze tekst leidt tot levendige discussies over de toepassing van het toestemmingsbeginsel op cookies en de vertrouwelijkheid van communicatie.

We moeten ook de mogelijke impact van het presidentschap van Trump op het "Data Privacy Framework" en, meer in het algemeen, op de gegevensuitwisseling tussen de Europese Unie en de Verenigde Staten vermelden.

Tot slot zou de AVG enkele updates kunnen ondergaan, met name met betrekking tot gegevensoverdracht, gecoördineerde onderzoeken door gegevensbeschermingsautoriteiten en de afstemming ervan op de (toekomstige) ePrivacyverordening.

Tot slot zien we de ontwikkeling van collectief optreden binnen de EU: Zoals we vorige maand al meldden, kan de ngo noyb nu collectieve acties ondernemen in elke lidstaat.

Er zijn momenteel 43 andere gekwalificeerde entiteiten in de EU, waaronder de Irish Civil Liberties Council en de Finse Ombudsman voor Gegevensbescherming, die momenteel voorzitter is van het EDPB.

Noyb gaf aan dat het van plan is om in 2025 de eerste juridische stappen te ondernemen.

Een risico op rechtszaken dat bedrijven serieus moeten nemen.

 

      

In een besluit dat op 1 januari in het Staatsblad is gepubliceerd, De CNIL maakt zich zorgen over de geplande updates van de informatiesystemen van France Travail.

De wet voor volledige werkgelegenheid van december 2023 voorziet in een vernieuwd ondersteuningstraject voor werkzoekenden, dat met name gebaseerd is op de analyse van gegevens en het delen daarvan met vele regionale en lokale organisaties.

De CNIL adviseert veiligheidsmaatregelen die zijn afgestemd op de risico's.

De CNIL bereidt een GDPR-certificering voor onderaannemers voor. Om een geschikt kader te creëren, wordt er tot 28 februari een openbare raadpleging gehouden.

De certificering moet gegevensverwerkers helpen bij de keuze van hun onderaannemers, "door ervoor te zorgen dat de verwerking die door de onderaannemer wordt uitgevoerd, is beoordeeld en voldoet aan de criteria van een door de CNIL erkende norm".

In een persbericht van 12 december 2024, De CNIL heeft aangekondigd dat zij formele kennisgevingen zal sturen naar website-uitgevers om hun als misleidend beschouwde cookiebanners aan te passen.

De autoriteit herinnert gebruikers eraan dat cookies alleen geplaatst mogen worden nadat zij daarvoor toestemming hebben gegeven.

Bovendien zou het weigeren van cookies net zo eenvoudig moeten zijn als het accepteren ervan.

Het is goed om te benadrukken dat verschillende gegevensbeschermingsautoriteiten, waaronder de Belgische, al een strikt standpunt hebben ingenomen door te eisen dat de twee voorstellen, voor acceptatie en afwijzing, op hetzelfde niveau en met dezelfde mate van transparantie moeten worden behandeld.

Op 5 december 2024 heeft de CNIL (Franse Autoriteit voor Gegevensbescherming) een boete van € 240.000 opgelegd aan het bedrijf Kaspr. met name omdat er op LinkedIn contactgegevens zijn verzameld van gebruikers die er desondanks voor hadden gekozen hun zichtbaarheid te beperken.

De Commissie draagt het bedrijf op deze gegevens te verwijderen of, indien dat niet lukt en het niet mogelijk is deze gegevens, waarvan de zichtbaarheid is beperkt, te onderscheiden van andere gegevens, gebruikers binnen 3 maanden te informeren over de verwerking van hun gegevens en de mogelijkheid om daartegen bezwaar te maken.

Naast het illegaal verzamelen van contactgegevens en het gebrek aan transparantie in de verwerking, bekritiseert de CNIL Kaspr ook voor het bewaren van gegevens gedurende vijf jaar, een periode die als te lang wordt beschouwd voor professionals die vaak van baan wisselen.

Op 14 november heeft de CNIL telecombedrijf Orange een boete van € 50.000.000 opgelegd voor het plaatsen van advertenties in e-mailinboxen. en installeerde cookies op de apparaten van gebruikers zonder hun toestemming.

Het bedrijf kreeg de opdracht zijn werkwijzen aan te passen aan de regelgeving, anders zouden er aanvullende boetes volgen.

Op 10 en 11 februari vindt in Frankrijk de topconferentie voor actie op het gebied van kunstmatige intelligentie (AI) plaats.

In dit kader zullen de CNIL, de Universiteit van Parijs-Saclay en de Universiteit van Caen-Normandie op 23 januari experts en onderzoekers bijeenbrengen om te bespreken hoe desinformatie, fraude en schendingen van de privacy kunnen worden voorkomen, terwijl tegelijkertijd gebruik wordt gemaakt van AI.

Op 11 december organiseerde het Franse AI-observatorium, ter voorbereiding op de AI-top, ook een seminar over de effecten van AI-ontwikkelingen op werk en werkgelegenheid.

De discussies richtten zich met name op de uitdagingen met betrekking tot de verklaarbaarheid van beslissingen die door AI worden genomen.

Op 3 januari publiceerde de Rekenkamer een rapport over de IT-beveiliging van zorginstellingen.

Ze merkt op dat "in 2023 10% van de slachtoffers van cyberaanvallen in Frankrijk zorginstellingen waren. Hun kwetsbaarheid is met name te wijten aan de toegenomen onderlinge verbondenheid van hun informatiesystemen met de buitenwereld en aan de chronische onderinvestering in digitale technologie."

Deze aanvallen kunnen ernstige gevolgen hebben voor het functioneren van instellingen en voor de patiëntenzorg.

De overheid reageerde pas laat door een vijfjarig preventie- en beschermingsprogramma te financieren. Deze vaart moet erin gehouden worden.

Het Ministerie van Volksgezondheid heeft zijn bezorgdheid geuit over de ontwikkeling van de dienst "Gezondheid", een nieuwe functie van de Doctolib-applicatie. die voorstelt om de medische gegevens van verzekerden te centraliseren.

Deze functie lijkt een kopie te zijn van "Mijn Gezondheidsruimte", het digitale gezondheidsdossier dat door de staat is ingesteld bij de wet van 24 juli 2019 betreffende de organisatie en transformatie van het gezondheidssysteem.

Op 12 december diende de ngo noyb een klacht in tegen het Franse socialemediaplatform BeReal. vanwege de "dwaalpatronen" die het bedrijf gebruikt om toestemming van gebruikers te verkrijgen.

Wanneer gebruikers de applicatie openen, verschijnt er een pop-upvenster waarin ze gevraagd worden om "ja" of "nee" te zeggen tegen het gebruik van hun persoonlijke gegevens voor reclamedoeleinden: als gebruikers op "accepteren" klikken, verschijnt de toestemmingsbanner nooit meer.

Als ze de gerichte advertenties echter afwijzen, verschijnt de banner elke dag totdat ze deze accepteren.

 

Europese instellingen en organen

Het Europees Comité voor gegevensbescherming (EDPB) heeft op 18 december een advies uitgebracht over AI-modellen. In dit advies wordt het volgende geanalyseerd:

• Hoe kun je de anonimiteit van een AI-model beoordelen en aantonen?
• Als een legitiem belang een wettelijke basis kan vormen voor het trainen of gebruiken van AI-modellen;
• De gevolgen wanneer een AI-model wordt getraind met behulp van illegaal verkregen persoonsgegevens.

Volgens de commissie moet de vraag of een AI-model anoniem is, geval per geval worden beoordeeld: het moet vrijwel onmogelijk (“zeer onwaarschijnlijk”) zijn om (1) de personen van wie de gegevens zijn gebruikt om het model te creëren, direct of indirect te identificeren, en (2) deze persoonsgegevens via zoekopdrachten uit het model te halen.

In de mededeling wordt een lijst met methoden vermeld om anonimiteit aan te tonen.

Wat het legitieme belang betreft, biedt het advies richtlijnen voor gegevensbeschermingsautoriteiten bij de beoordeling of deze rechtsgrondslag passend is.

Ten slotte kan het ontwikkelen van een AI-model op basis van onrechtmatig verwerkte persoonsgegevens de rechtmatigheid van de inzet ervan beïnvloeden, tenzij het model op de juiste wijze is geanonimiseerd.

De Europese Toezichthouder voor Gegevensbescherming (EDPS) heeft een besluit genomen waarin wordt geconcludeerd dat de Europese Commissie zich onrechtmatig heeft gericht op Europese burgers door hen advertenties te tonen die gebaseerd waren op "gevoelige" persoonsgegevens over hun politieke opvattingen.

De ngo noyb, die de klacht heeft ingediend, geeft aan dat de Europese Commissie in het kader van de debatten rond het ontwerp van de verordening inzake de controle van online discussies ("Chatcontrole") Nederland heeft aangemerkt als een lidstaat die zij politiek wilde beïnvloeden.

Daartoe plaatste ze berichten op Twitter/X waarin ze deze regelgeving indirect promootte onder liberale of linksgeoriënteerde gebruikers.

 

Nieuws uit de lidstaten van de Europese Unie.

De Duitse autofabrikant Volkswagen kwam aan de vooravond van het nieuwe jaar onder onderzoek te staan na een onthulling van het mediakanaal Spiegel. Het bedrijf werd ervan beschuldigd de geolocatiegegevens van meer dan 800.000 voertuigen in Europa openbaar te hebben gemaakt.

Deze informatie maakte het mogelijk om de positie van bijna 500.000 voertuigen met een nauwkeurigheid van 10 centimeter te bepalen.

In Frankrijk zouden meer dan 50.000 voertuigen van de merken Volkswagen, Audi, Skoda en Seat getroffen zijn.

Ook in Duitsland kreeg een dienstverlener uit Hamburg een boete van 900.000 euro van de lokale autoriteit voor gegevensbescherming, omdat hij persoonsgegevens tot wel vijf jaar na de vervaldatum bewaarde.

Volgens de APD is het "onaanvaardbaar dat actoren die in de digitale sector werken geen samenhangende verwijderingsprocedure hebben ontwikkeld" (via de AFCDP).

In Spanje heeft de APD een autogarage bestraft die zijn klantenbestand had toegevoegd aan een WhatsApp-groep, waardoor de gegevens van 150 klanten (telefoonnummers, namen en foto's) zichtbaar waren voor alle leden van de groep.

De APD constateerde een schending van artikel 6(1) van de AVG, dat een geldige rechtsgrondslag vereist voor elke verwerking van persoonsgegevens, en legde het bedrijf een boete van 3.000 euro op.

Spanje heeft besloten het gebruik van "Google Workspace for Education" op scholen te verbieden.

Deze beslissing is genomen op basis van een rapport van het Spaanse Agentschap voor Gegevensbescherming (APD), dat van mening is dat er sprake is van "een invasieve verzameling van persoonlijke gegevens".

Dit rapport is opgesteld op verzoek van het Ministerie van Onderwijs.

De Ierse gegevensbeschermingscommissie (DPC) heeft op 17 december bekendgemaakt dat Meta een boete van € 251.000.000 heeft gekregen omdat het bedrijf er niet in was geslaagd een datalek te voorkomen waarbij de gegevens van miljoenen Facebook-gebruikers in gevaar kwamen, en omdat het bedrijf het lek niet adequaat had gedocumenteerd.

Twee dagen nadat het Europees Comité voor gegevensbescherming (EDPB) zijn advies over AI publiceerde, legde de Italiaanse autoriteit voor gegevensbescherming op 20 december een boete van € 15.000.000 op aan OpenAI.

Zij is van mening dat het bedrijf de persoonlijke gegevens van internetgebruikers heeft gebruikt om ChatGPT te trainen "zonder een adequate wettelijke basis en daarmee het principe van transparantie en de daarmee samenhangende informatieverplichtingen jegens gebruikers heeft geschonden."

Het onderzoek dat eind 2023 door de APD werd gestart, onthult verder dat het bedrijf geen adequaat leeftijdsverificatiesysteem had geïmplementeerd om te voorkomen dat gebruikers jonger dan 13 jaar werden blootgesteld aan ongepaste, door AI gegenereerde inhoud.

Open AI zal ook een communicatiecampagne in het land moeten lanceren via diverse media om het publiek bewust te maken van hoe ChatGPT werkt en om hen te herinneren aan hun rechten.

Kunnen we het OpenAI-model en de ChatGPT API nog steeds gebruiken om onze eigen generatieve AI-diensten aan te bieden?

De Italiaanse uitspraak laat de kwestie open door te specificeren dat de Ierse autoriteit hierover een besluit moet nemen, volgens het mechanisme van artikel 56 van de AVG.

De Italiaanse Autoriteit voor Gegevensbescherming (APD) heeft op 13 november ook een standpunt ingenomen over de publicatie van foto's van minderjarigen op Facebook, waarbij werd benadrukt dat de toestemming van beide ouders noodzakelijk is.

In dit specifieke geval had de vader van een kind jonger dan 14 jaar een foto van zichzelf op Facebook gedeeld om te laten zien dat hij op zijn halfbroer leek, die ook op de foto stond.

De moeder van het kind, die van de vader gescheiden is, heeft tevergeefs geprobeerd hem te verzoeken de foto van Facebook te verwijderen en heeft een klacht ingediend bij de politie van Austin (APD).

De Nederlandse autoriteiten hebben het Rijksarchief op 6 december ook gewaarschuwd om de Nederlandse oorlogsarchieven niet online te publiceren.

Deze documenten bevatten dossiers over mensen die ervan verdacht werden met de bezetter te hebben samengewerkt tijdens de Tweede Wereldoorlog, waaronder gevoelige gegevens zoals religie, politieke voorkeur, gezondheid of etniciteit van mensen die soms nog in leven zijn.

Hoewel de gegevens onmiskenbaar waardevol zijn, schendt de manier waarop het Nationaal Archief de gegevens online openbaar wil maken volgens de APD de Archiefwet en de AVG.

Ze pleit daarom voor betere controle op de voorwaarden voor toegang tot gegevens.

Op 18 december heeft de Australische mediaautoriteit (APD) Netflix een boete opgelegd omdat het bedrijf zijn klanten tussen 2018 en 2020 niet goed had geïnformeerd over de verwerking van hun gegevens.

Bovendien was de door Netflix verstrekte informatie op bepaalde punten onduidelijk.

Om die reden heeft de APD de streamingdienst een boete van €4.750.000 opgelegd.

Sindsdien heeft Netflix zijn privacyverklaring bijgewerkt en de informatie verbeterd.

In Zweden heeft de APD een verhuurder een boete van 200.000 SEK (€17.366) opgelegd omdat hij achttien camera's in de gemeenschappelijke ruimtes van een woongebouw had geplaatst en niet reageerde op een verzoek om informatie.

 

Een onderzoek getiteld "Tracking Indoor Location, Movement and Desk Occupancy in the Workplace", dat in november werd gepubliceerd, analyseert technologieën voor het monitoren en profileren van werknemersgedrag met behulp van bewegingssensoren en wifi-infrastructuur binnen bedrijfspanden.

Deze studie richt zich op de mogelijke gevolgen voor werknemers in Europa en onderzoekt de meest gangbare oplossingen van Cisco, Juniper, Spacewell, Locatee en andere vergelijkbare technologieleveranciers.

Cisco beweert tot nu toe 17.200 miljard "locatiegegevenspunten" te hebben verwerkt, verzameld via meer dan drie miljoen wifi-toegangspunten die in 250.000 gebouwen wereldwijd zijn geïnstalleerd.

De studie gaat kort in op hoe werknemers zich verzetten tegen de installatie van bewegingsmelders door hun werkgevers (via de AFCDP).

Na een rechtszaak die WhatsApp in 2019 aanspande, heeft een rechter in Californië eind december het Israëlische bedrijf NSO Group, de maker van de Pegasus-spyware, schuldig bevonden aan hacking.

Deze uitspraak wordt door tegenstanders van deze industrie als "historisch" beschouwd.

Volgens Will Cathcart, directeur van WhatsApp, "beweert NSO Group overheden op verantwoorde wijze van dienst te zijn, maar we hebben ontdekt dat meer dan honderd mensenrechtenverdedigers en journalisten het doelwit waren van een aanval in mei vorig jaar; aan dit misbruik moet een einde komen."

De Amerikaanse overheid onthulde begin december dat China acht Amerikaanse telecomproviders had gehackt (waaronder AT&T, Verizon en Lumen Technologies).

De spionage betreft het nieuwe RCS-formaat voor het versturen van sms-berichten tussen een iPhone en een Android-smartphone.

De FBI en het Cybersecurity and Infrastructure Security Agency (CISA) hebben verklaard dat de hackcampagne, door Microsoft Salt Typhoon genoemd, een van de grootste datalekken in de geschiedenis is.

De hackers kregen toegang tot gespreksopnames, live telefoongesprekken met specifieke personen en zelfs vertrouwelijke gerechtelijke bevelen.

De autoriteiten adviseren om beveiligde en versleutelde berichtenapps te gebruiken om te voorkomen dat privécommunicatie openbaar wordt gemaakt.