Juridisch Nieuws nr. 75 – september 2024.  

Anonimisering of pseudonimisering: kwalificaties die in de loop der tijd veranderen?

Op 5 september 2024 heeft de CNIL Cegedim Santé een boete van 800.000 euro opgelegd voor het verwerken van gezondheidsgegevens zonder toestemming.

De toezichthoudende autoriteit merkt op dat deze gegevens identificeerbaar bleven, ook al werden ze als anoniem gepresenteerd.

Deze sanctie biedt ons de gelegenheid om de nuances van de AVG met betrekking tot de anonimisering en pseudonimisering van gegevens te bekijken.

Cegedim publiceert en verkoopt beheersoftware aan huisartsen die werkzaam zijn in privépraktijken en gezondheidscentra.

Deze softwareprogramma's stellen artsen in staat hun agenda's, patiëntendossiers en recepten te beheren.

Klanten hebben tevens toegang tot een database waarmee studies en statistieken op het gebied van gezondheid kunnen worden opgesteld.

De controles die de CNIL in 2021 uitvoerde, brachten met name aan het licht dat de door het bedrijf – zonder voorafgaande toestemming – verwerkte gegevens pseudonieme gezondheidsgegevens waren en dus identificeerbaar.

Alleen volledig geanonimiseerde gegevens zijn vrijgesteld van de verplichtingen van de AVG.

Het anonimiseringsproces is echter bijzonder ve veeleisend.

In dit specifieke geval had Cegedim een procedure ingesteld om identificatoren te verwijderen, en in het licht van eerdere bevindingen uit 2012 was de CNIL er ook van overtuigd dat de verwerkte gegevens inderdaad geanonimiseerd waren.

De Commissie heeft deze bevindingen vandaag opnieuw bekeken en benadrukt dat de huidige context van de doctrine en de jurisprudentie in aanmerking moet worden genomen bij de beoordeling van de mogelijke heridentificatie van gegevens.

Gegevens die tien jaar geleden anoniem waren, hoeven dat vandaag de dag niet per se meer te zijn: "Om vast te stellen of het redelijkerwijs waarschijnlijk is dat middelen worden gebruikt om een natuurlijk persoon te identificeren, moet rekening worden gehouden met alle objectieve factoren, zoals de kosten van identificatie en de benodigde tijd, rekening houdend met de technologieën die op het moment van verwerking beschikbaar zijn en hun ontwikkeling."

Meer specifiek heeft de CNIL – net als haar Europese tegenhangers sinds 2014 – de eisen vastgelegd waaraan moet worden voldaan in het kader van een anonimiseringsprocedure.

Ze legt de belangrijkste anonimiseringstechnieken uit:

• randomisatie (die tot doel heeft de kenmerken in een dataset zodanig te wijzigen dat ze minder precies zijn, terwijl de algehele verdeling behouden blijft) en
• generalisatie (wat bestaat uit het aanpassen van de schaal van de attributen van de datasets, of hun orde van grootte).

De CNIL adviseert:

• Om te bepalen welke informatie bewaard moet worden, op basis van de relevantie ervan.
• Om direct identificerende elementen te verwijderen, evenals zeldzame waarden die een gemakkelijke heridentificatie van personen mogelijk zouden maken;
• Om belangrijke informatie te onderscheiden van secundaire of nutteloze informatie;
• Het doel is om het ideale en acceptabele detailniveau voor elk opgeslagen stukje informatie te bepalen.

Er zijn drie criteria die gebruikt kunnen worden om te garanderen dat een dataset daadwerkelijk anoniem is:

1. Individualisering: het mag niet mogelijk zijn om een individu in de dataset te isoleren;
2. Correlatie: het zou niet mogelijk moeten zijn om verschillende datasets over dezelfde persoon met elkaar te verbinden;
3. Inferentie: het zou niet mogelijk moeten zijn om met bijna absolute zekerheid nieuwe informatie over een persoon af te leiden.

In het geval van Cegedim werd het criterium van individualisering niet gerespecteerd: de dienst maakte het mogelijk om mensen continu te volgen met behulp van een unieke identificatiecode en de gegevens over hen te vergroten.

Hierdoor werd het mogelijk om een individu in een dataset te isoleren, wat het risico op het opheffen van de pseudoniemiteit vergrootte.

Tot slot dient te worden opgemerkt dat de persoon die verantwoordelijk is voor het opzetten van een datawarehouse voor gezondheidsgegevens dit alleen kan doen na toestemming van de CNIL of op voorwaarde dat het voldoet aan een bepaalde standaard.

Bij uitbesteding dient de verantwoordelijke partij in de uitbestedingsovereenkomst alle noodzakelijke vereisten op te nemen om naleving van de regelgeving te waarborgen, met name op het gebied van gegevensbeveiliging.

In de meeste datalekken die vandaag de dag in het nieuws zijn (zie hieronder), was de zwakke schakel aan de oorsprong van het lek de onderaannemer.

 

 

De samenstelling van de nieuwe regering is sinds 21 september bekend, met enkele nieuwe ontwikkelingen op het gebied van digitale kwesties.

De term 'digitale soevereiniteit' verdwijnt uit de titel van het Ministerie van Economie en Financiën, en digitale zaken worden ondergebracht bij de Minister van Hoger Onderwijs en Onderzoek.

Tot slot luidt de naam van het verantwoordelijke secretariaat nu: Kunstmatige intelligentie en digitale technologie.

Volgens Henri d'Agrain, algemeen afgevaardigde van Cigref (een vereniging die bedrijven en overheidsinstanties in de digitale sector vertegenwoordigt), schiet deze titel tekort in het weergeven van het belang van de samenhang tussen cloud, data en AI, een samenhang die essentieel is voor een serieus overheidsbeleid op dit gebied. Hij voegt eraan toe dat "de nadruk op kunstmatige intelligentie in deze titel moet worden gezien in het licht van de ambities van het Élysée-paleis voor de AI Action Summit, die in februari 2025 in Parijs zal plaatsvinden."

Na een openbare raadpleging publiceerde de CNIL op 24 september de definitieve versie van haar aanbevelingen om professionals te helpen bij het ontwerpen van privacyvriendelijke mobiele applicaties..

Dit zal ervoor zorgen dat hier vanaf 2025 op de juiste wijze rekening mee wordt gehouden door middel van een specifieke controlecampagne.

De CNIL wil de rol van professionals verduidelijken en reguleren, en de kwaliteit van de informatie en de toestemming van gebruikers van mobiele applicaties waarborgen.

Na SFR vorige maand is het nu de beurt aan Free om haar klanten te waarschuwen voor een datalek.

Tot de gegevens die de aanvaller heeft bemachtigd, behoorden in ieder geval de naam, achternaam, het telefoonnummer en het postadres van klanten.

Naast deze twee bedrijven werden medio september ook veel Franse detailhandelaren, waaronder Boulanger, Cultura, Truffaut en Grosbil, slachtoffer van de hack van hun bezorggegevens. Deze gegevens werden vervolgens door dezelfde hacker gepubliceerd en doorverkocht op het dark web.

De risico's voor individuen hebben over het algemeen betrekking op identiteitsdiefstal en het verkrijgen van gegevens die verband houden met hun adres.

Wat Cultura betreft, dat gespecialiseerd is in de verkoop van culturele producten, zijn ook de inhoud van winkelmandjes gelekt. Dit geeft nauwkeurige informatie over de leesgewoonten van kopers, met mogelijk zeer ingrijpende gevolgen.

Bij de meeste van deze aanvallen had de hacker een dienstverlener van de betrokken bedrijven als doelwit gekozen.

Op 25 september heeft de sociale kamer van het Hof van Cassatie een uitspraak gedaan waarbij het ontslag van een werknemer, dat gebaseerd was op het onderscheppen van e-mails verzonden vanaf zijn zakelijke e-mailadres, nietig werd verklaard.

Het Hof herinnert eraan dat "de werknemer, ook op de tijd en plaats van het werk, recht heeft op respect voor de privacy van zijn privéleven."

Dit betreft met name de vertrouwelijkheid van correspondentie.

De werkgever kan daarom, zonder deze fundamentele vrijheid te schenden, de inhoud van persoonlijke berichten die de werknemer via een voor werkdoeleinden ter beschikking gestelde computer heeft verzonden of ontvangen, niet gebruiken om hem te disciplineren.

 

Europese instellingen en organen

Op 25 september bracht de Commissie belangrijke spelers uit de AI-sector bijeen in Brussel om de eerste 100 ondertekeningen van de verbintenissen van het AI-pact te vieren.

De ondertekenaars zijn multinationale ondernemingen en kleine en middelgrote Europese bedrijven uit diverse sectoren. Meta en Apple hebben dit pact tot nu toe nog niet ondertekend.

De vrijwillige toezeggingen in het document nodigen deelnemende bedrijven uit om zich te verplichten tot het uitvoeren van ten minste drie fundamentele acties:

• Ontwikkel een AI-governance-strategie om de acceptatie van AI binnen de organisatie te bevorderen en te werken aan toekomstige naleving van AI-regelgeving.
• Identificeer en breng AI-systemen in kaart die mogelijk als hoog risico worden aangemerkt onder de AI-regelgeving.
• Bevorder de bewustwording van medewerkers over AI.

Bedrijven worden aangemoedigd om andere toezeggingen te doen die zijn afgestemd op hun activiteiten, waaronder het waarborgen van menselijk toezicht, het beperken van risico's en het transparant labelen van bepaalde soorten door AI gegenereerde content, zoals 'deepfakes'.

Het Hof van Justitie van de Europese Unie (HvJ EU) heeft in een arrest van 4 oktober (C 621/22) geoordeeld dat een commercieel belang een "gerechtvaardigd belang" kan zijn in de zin van artikel 6, lid 1, onder f), van de AVG, voor zover het niet in strijd is met de wet.

Hoewel dit standpunt wellicht voor de hand liggend lijkt, was dat in Nederland een aantal jaren niet meer het geval: volgens de Autoriteit Persoonsgegevens (AP) moest een gerechtvaardigd belang gebaseerd zijn op een wettelijke grondslag.

Het Hof herhaalt dat een dergelijke eis buitensporig is en dat het volstaat dat het doel niet in strijd is met de wet. Het is belangrijk op te merken dat deze uitspraak geen vrijbrief is voor alle marketingpraktijken: er moet altijd een afweging worden gemaakt tussen de betrokken belangen en rechten.

Op 4 oktober deed het Hof van Justitie van de EU ook uitspraak in zaak C-446/21, waarin het de rechtszaak tegen Meta over haar Facebook-dienst steunt.

De vragen hadden betrekking op de beperking van het gebruik van persoonsgegevens voor online reclame en de beperking van het gebruik van openbaar beschikbare persoonsgegevens tot de doeleinden waarvoor ze oorspronkelijk voor publicatie waren bedoeld.

Op dezelfde dag heeft het Hof van Justitie van de EU in zaak C-21/23 ook de mogelijkheid bevestigd voor een concurrent van een bedrijf om een civiele procedure aan te spannen op grond van het verbod op oneerlijke handelspraktijken om een schending van de materiële bepalingen van de AVG door die concurrent te stoppen.

Het is belangrijk op te merken dat er in het Franse recht al jurisprudentie in deze zin bestaat.

Het Hof van Justitie van de EU heeft op 26 september (zaak C 768/21) geoordeeld dat, wanneer een datalek is vastgesteld, gegevensbeschermingsautoriteiten niet verplicht zijn om corrigerende maatregelen te nemen op grond van artikel 58(2) van de AVG, indien het niet passend, noodzakelijk of proportioneel is om het geconstateerde tekort te verhelpen.

Volgens het Hof kunnen gegevensbeschermingsautoriteiten, na analyse van alle omstandigheden van de zaak, afzien van het uitoefenen van een dergelijke corrigerende bevoegdheid, bijvoorbeeld wanneer de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen heeft getroffen om ervoor te zorgen dat de overtreding stopt en zich niet herhaalt.

Het Hof heeft uiteindelijk in een arrest van 12 september (samengevoegde zaken C 17/22 en C 18/22) geoordeeld dat niet alleen een wet, maar ook de nationale jurisprudentie een wettelijke verplichting kan opleggen, overeenkomstig artikel 6, lid 1, onder c), van de AVG, om aan een aandeelhouder de identiteit van alle andere betrokken aandeelhouders bekend te maken.

Naar aanleiding van initiatieven in Frankrijk, Denemarken, Spanje en Duitsland op het gebied van online leeftijdsverificatie, publiceerden de Europese ngo EDRi en 63 organisaties, academici en experts op het gebied van privacy, encryptie, kinderbescherming, rechten van sekswerkers en consumentenrechten op 16 september een gezamenlijke verklaring.

Het rapport dringt er bij de Europese Commissie op aan om prioriteit te geven aan effectieve maatregelen ter bescherming van kinderen, en spreekt tegelijkertijd ernstige zorgen uit over de toereikendheid, proportionaliteit en negatieve impact op de grondrechten van de huidige voorstellen.

 

Nieuws uit de lidstaten van de Europese Unie.

Een resolutie, gepubliceerd op 11 september door de Conferentie van Onafhankelijke Gegevensbeschermingsautoriteiten van Duitsland (DSK), bevat praktische aanbevelingen voor het kader voor de overdracht van persoonsgegevens in het kader van "Asset Deals" Met betrekking tot persoonsgegevens die door bedrijven worden bewaard: gegevens van de klanten en potentiële klanten van het bedrijf, de werknemers, zakenpartners, enz.

In Duitsland heeft de Hamburgse DPA een controversieel document over grote taalmodellen (LLM) aangenomen.

De autoriteit concludeerde daarom dat LLM's geen persoonsgegevens opslaan en dat deze conclusie in overeenstemming is met het advies van het Hof van Justitie van de EU.

De invoer- en uitvoergegevens van een AI-systeem kunnen echter, in tegenstelling tot de trainingsfase, persoonsgegevens bevatten, met alle gevolgen van dien: verzoeken om inzage, verwijdering of correctie kunnen daarom betrekking hebben op deze gegevens.

In België neemt Vlaanderen afstand van de federale overheid op het gebied van privacybescherming.

De krant Le Soir meldde op 1 september dat Jan Jambon, de Vlaamse minister-president, zijn ministers op 20 september, enkele dagen voor zijn aftreden, had opgedragen om ontwerpbesluiten en -verordeningen niet langer in te dienen bij de Federale Autoriteit Persoonsgegevens (APD), maar bij de regionale instantie, de Vlaamse Toezichtcommissie (VTC).

In feite omzeilde de Vlaamse regering sinds 2019 de APD al systematisch door haar besluiten via de VTC aan te nemen, ondanks een uitspraak van het Constitutioneel Hof in maart 2023 waarin werd benadrukt dat de Vlaamse regering de APD moest raadplegen voor de vaststelling van haar teksten.

Vandaag wil de minister-president de Vlaamse bevoegdheden formaliseren: hij heeft een brief naar de Europese Commissie gestuurd met het verzoek om erkenning van de bevoegdheden van VTC met betrekking tot de AVG.

De Belgische Autoriteit voor Gegevensbescherming (APD) heeft een gegevensverwerker een boete van 100.000 euro opgelegd omdat deze niet tijdig reageerde op een verzoek om inzage in persoonsgegevens van een betrokkene.

De APD wees het verzoek van de betrokkene om informatie te ontvangen over de specifieke medewerkers die toegang hadden tot zijn gegevens echter af.

Ook in België verwierp de geschillenkamer van de APD op 6 september de geldigheid van het vertegenwoordigingsmandaat dat Noyb had ingediend in een zaak betreffende de integratie van Google Analytics-scripts in een website op het moment dat het Privacy Shield door het Hof van Justitie van de EU ongeldig was verklaard.

De geschillenkamer oordeelde dat het mandaat een misbruik van rechten door Noyb inhield.

In een aparte zaak heeft de Belgische Autoriteit voor Gegevensbescherming (APD) in 2023 verschillende klachten van Noyb gegrond verklaard en vier grote Belgische nieuwssites opgedragen hun cookiebanners in overeenstemming te brengen met de AVG.

De Spaanse autoriteit voor gegevensbescherming publiceerde op 2 oktober een rapport over de verwerking van persoonsgegevens en de verificatie van de leeftijd van kinderen in de digitale omgeving.

Het document pleit voor de ontwikkeling van proactieve beschermingsmaatregelen door diensten van de informatiemaatschappij.

Het Spaanse Agentschap voor Gegevensbescherming (APD) heeft een fintechbedrijf een boete van 72.000 euro opgelegd voor het implementeren van onvoldoende maatregelen voor klantidentificatie. Hierdoor konden fraudeurs zonder med medeweten van het slachtoffer een lening afsluiten.

Op 27 september heeft de Ierse gegevensbeschermingscommissie (DPC) Meta een boete van 91 miljoen euro opgelegd.

De beslissing heeft betrekking op de maatregelen die het bedrijf heeft genomen om een beveiligingsniveau te garanderen dat is afgestemd op de risico's die verbonden zijn aan de verwerking van wachtwoorden, en op de verplichting om datalekken te documenteren en te melden aan de Autoriteit Persoonsgegevens.

De autoriteit herinnert gegevensbeheerders eraan dat zij de risico's die verbonden zijn aan het opslaan van gebruikerswachtwoorden moeten beoordelen en maatregelen moeten nemen om die risico's te beperken.

Op 12 september kondigde de APD ook de opening aan van een onderzoek tegen Google naar het gebruik van persoonsgegevens van Europese gebruikers voor de ontwikkeling van een kunstmatige intelligentiemodel op het gebied van vertalingen.

Het onderzoek betreft het AI-model "Pathways Language Model 2" (PaLM 2), dat in 2023 door Google werd gelanceerd zonder dat er een gegevensbeschermingsimpactanalyse was uitgevoerd.

In Italië heeft de APD een energieleverancier een boete van € 5.000.000 opgelegd omdat deze onvoldoende maatregelen had genomen om ervoor te zorgen dat zijn onderaannemers aan de AVG (Algemene Verordening Gegevensbescherming) voldeden.

Hierdoor konden ze contracten afsluiten met de betrokken personen zonder dat zij daarvan op de hoogte waren.

De Portugese Autoriteit voor Gegevensbescherming (APD) heeft een gegevensverwerker een boete van 107.000 euro opgelegd voor het herhaaldelijk versturen van ongevraagde commerciële berichten.

De gegevensbeheerder werd aansprakelijk gesteld, ook al waren de verzendingen uitgevoerd door een onderaannemer die gebruikmaakte van diens eigen database.

 

Een rapport van de Amerikaanse Federal Trade Commission (FTC), gepubliceerd op 19 september, onthult dat grote socialemedia- en videostreamingbedrijven zich schuldig hebben gemaakt aan grootschalige gebruikersbewaking met lakse privacycontroles en ontoereikende bescherming voor kinderen en tieners.

Het rapport beveelt aan om het bewaren en delen van gegevens te beperken, gerichte reclame aan banden te leggen en de bescherming van tieners te versterken.

De Chinese overheid publiceerde op 30 september de "Regels inzake netwerkbeveiligingsbeheer", die op 1 januari 2025 in werking treden. 

De tekst heeft tot doel de verwerking van netwerkgegevens te reguleren, de rechten en legitieme belangen van individuen en organisaties te beschermen en de nationale veiligheid en het algemeen belang te waarborgen.

Ook in China heeft het Nationale Technische Comité voor de Standaardisatie van Informatiebeveiliging (TC260) een raamwerk voor informatiebeveiligingsbeheer met betrekking tot AI gepubliceerd.

Het document bevat een reeks principes en biedt een nuttige classificatie van AI-gerelateerde risico's en technologische maatregelen om deze aan te pakken.

IBM heeft een rapport gepubliceerd over de kosten van datalekken voor 2024.

Tot de conclusies van het rapport behoren onder meer de volgende:

• De gemiddelde totale kosten van een datalek bedragen 4,88 miljoen dollar, en datalekken zijn het duurst in de Verenigde Staten.
• Het tekort aan cybersecurity-experts is verergerd.
• Bijna de helft van de datalekken betreft persoonsgegevens (46 %) of intellectueel eigendom (43 %).
• Ingrijpen door de politie verlaagt de kosten van ransomware met gemiddeld 1 miljoen dollar.
• Het duurt 292 dagen om datalekken waarbij inloggegevens zijn gestolen te identificeren en in te dammen.

Instagram biedt nu accounts voor tieners met strengere beveiligingsinstellingen, waardoor ouders het gebruik van de app kunnen beperken.

Accounts voor tieners zijn speciaal ontworpen om minderjarigen te beschermen tegen schadelijke inhoud en ongewenste contacten, en tegelijkertijd de tijd die ze op de app doorbrengen te beperken.