Juridisch Nieuws nr. 57 – maart 2023.

Slimme camera's en biometrie – wat zal de impact zijn van de wetgeving met betrekking tot de Olympische Spelen?

Op 23 maart heeft de Nationale Vergadering artikel 7 van de wet op de Olympische Spelen aangenomen.

Het wetsvoorstel, dat werd aangenomen in een slecht bezochte vergadering (73 van de 577 leden waren aanwezig), heeft al veel discussie opgeroepen en zal de komende maanden ongetwijfeld nog veel meer reacties teweegbrengen.

Het legaliseert feitelijk het gebruik van algoritmische surveillance tot december 2024, in een context die als uitzonderlijk wordt beschreven, behalve voor gebeurtenissen die buiten het strikte kader van de Olympische Spelen vallen.

Het toezicht kan betrekking hebben op "sportieve, recreatieve of culturele evenementen" in het algemeen, "die blootgesteld zijn aan risico's van terroristische aanslagen of ernstige bedreigingen voor de veiligheid van personen".

Het kan daarom worden getest tijdens sportevenementen zoals het WK rugby van dit najaar.

 

Wat is algoritmische surveillance? Is het een vorm van biometrische surveillance die onderworpen is aan de strenge verplichtingen van de AVG en de toekomstige Europese regelgeving inzake kunstmatige intelligentie?

Het project is van plan om AI-ondersteunde "augmented cameras" te gebruiken, bestuurd door drones. Deze camera's zullen beelden in realtime automatisch analyseren met behulp van algoritmes om vooraf bepaalde gebeurtenissen te detecteren, zoals bewegingen van menigten, bagage, gebaren of verdacht gedrag.

Hoewel de CNIL in haar opmerkingen van 8 december de grote problemen met augmented reality-camera's op het gebied van privacy en bescherming van persoonsgegevens benadrukte, leek zij er niet van uit te gaan dat er ook biometrische verwerking aan te pas zou komen.

Ze merkte op dat verschillende maatregelen in lijn waren met haar aanbevelingen:

• Experimentele inzet, beperkt in tijd en ruimte, voor bepaalde specifieke doeleinden en met ernstige risico's voor mensen.
• Gebrek aan verwerking van biometrische gegevens en het niet kunnen vergelijken met andere bestanden, en
• Beslissingen die vooraf door menselijk ingrijpen zijn genomen.

Voor het maatschappelijk middenveld valt de gebruikte technologie echter duidelijk onder de categorie biometrie.

Het systeem "identificeert, analyseert en classificeert voortdurend lichamen, fysieke kenmerken, gebaren, silhouetten en loopbewegingen, die onmiskenbaar biometrische gegevens zijn."

La Quadrature du Net en zo'n veertig internationale organisaties hebben dit standpunt uitgewerkt in een open brief aan de Nationale Assemblee, gecoördineerd en gepubliceerd door het ECNL (Europees Centrum voor Non-profitrecht).

De AVG definieert biometrische gegevens als “persoonsgegevens die voortvloeien uit specifieke technische verwerking met betrekking tot de fysieke, fysiologische of gedragsmatige kenmerken van een natuurlijke persoon, die de unieke identificatie van die persoon mogelijk maken of bevestigen” (artikel 4.14).

In de open brief wordt opgemerkt dat camera's onvermijdelijk fysiologische kenmerken en gedragingen zullen vastleggen en analyseren van mensen die zich in bewaakte openbare ruimtes bevinden, en dat het isoleren van deze mensen van hun omgeving, wat essentieel is voor het bereiken van de doelstelling van het systeem, een "unieke identificatie" vormt.

Volgens de AVG en de interpretatie van het Europees Comité voor gegevensbescherming hierover, vormt de mogelijkheid om een persoon te isoleren van een menigte of van zijn omgeving, ongeacht of zijn naam of identiteit bekend is of niet, een "unieke identificator".

Het indelen van mensen in een categorie op basis van 'risicovol' gedrag zou dus een biometrische categorisatie vormen die waarschijnlijk in tegenspraak is met de bepalingen van de toekomstige Europese regelgeving inzake kunstmatige intelligentie.

In dit verband moeten we de opinie van 18 juni 2021 van de Europese gegevensbeschermingsautoriteiten in acht nemen, waarin wordt opgeroepen tot een algemeen verbod op elk gebruik van AI voor de automatische herkenning van menselijke kenmerken in openbaar toegankelijke ruimtes.

Deze argumenten zijn ook opgenomen in een brief aan de Nationale Vergadering, gestuurd door 41 leden van het Europees Parlement, waarin zij benadrukken dat Frankrijk met deze wet het eerste land in Europa zou worden dat massale surveillance van de openbare ruimte legaliseert.

De wetgeving zal daarom mogelijk een toets van verenigbaarheid met het Europees recht moeten doorstaan.

In dit verband dient te worden opgemerkt dat het ontwerp van de verordening inzake kunstmatige intelligentie op de agenda staat van de plenaire zitting van het Europees Parlement eind mei.

 

En ook

CNIL    

 De CNIL heeft haar lijst gepubliceerd prioriteitsbeheer thema's Voor 2023: dit jaar zal ze zich richten op:

• Het gebruik van 'augmented' camera's door publieke actoren,
• Het gebruik van het dossier met incidenten met betrekking tot consumentenkrediet,
• Het beheer van patiëntendossiers en
• Mobiele applicaties.

Eind maart publiceerde ze ook haar eerste thematische dossier, betreffende digitale identiteitwaarbij de belangrijkste principes en standpunten over het onderwerp worden gepresenteerd.

Het dossier is bedoeld voor het grote publiek, publieke en private organisaties en onderzoekers.

In dit verband is het de moeite waard te vermelden dat de CNIL in een publicatie van 22 februari het experiment heeft geëvalueerd dat sinds 2019 wordt uitgevoerd met de elektronische zorgverzekeringskaart ("e-carte Vitale"), die vóór eind 2025 optioneel zal worden aangeboden aan alle uitkeringsgerechtigden.

Naast het dagelijkse gebruik zal de "e-Carte Vitale" een alternatief vormen voor FranceConnect in de digitale gezondheidszorg.

Op 16 maart 2023 legde de CNIL het bedrijf een boete van 125.000 euro op. CITYSCOOT.

De CNIL constateerde dat het bedrijf de geolocatie van zijn klanten vrijwel permanent vastlegde tijdens het huren van een scooter en deze gegevens bewaarde.

De Commissie merkte ook op dat de onderaannemingsovereenkomsten bepaalde essentiële clausules niet bevatten, waaronder de aard van de verzamelde gegevens, de te treffen beveiligingsmaatregelen en het lot van de gegevens in geval van beëindiging van de contracten.

Het bedrijf gebruikte ook een reCAPTCHA-mechanisme dat de verzamelde gegevens naar Google verstuurde voor analyse, zonder de gebruiker hierover te informeren en zonder diens voorafgaande toestemming te vragen.

 

Europese instellingen en organen

EDPB

Het Europees Comité voor gegevensbescherming (EDPB) is begonnen met zijn jaarlijkse gecoördineerde inspectieactie.

De komende maanden zullen 26 nationale gegevensbeschermingsautoriteiten uit de EER deelnemen aan deze actie betreffende de aanwijzing en functie van functionarissen voor gegevensbescherming.

Het onderzoek heeft tot doel vast te stellen of de afgevaardigden een functie bekleden die voldoet aan de eisen van de artikelen 37 tot en met 39 van de AVG en of zij over de nodige middelen beschikken om hun taken uit te voeren.

Er zullen vragenlijsten naar hen worden verzonden om hun situatie in kaart te brengen en te bepalen of een formeel onderzoek gerechtvaardigd is.

DSA

In het kader van de Verordening inzake digitale diensten (DSA) heeft de Europese Unie nieuwe regels vastgesteld die vereisen dat zeer grote onlineplatforms (VLOP's en VLO-zoekmachines) met meer dan 45 miljoen gebruikers zich vóór 17 februari bij de Europese Commissie registreren.

Volgens een analyse van een professor aan de London School of Economics and Political Science zouden er 18 partijen bij betrokken zijn: AliExpress, Amazon Marketplace, Apple App Store, Booking.com, Facebook, Google Maps, Google Play, Google Shopping, Instagram, LinkedIn, Pinterest, Snapchat, TikTok, Twitter, YouTube, Wikipedia, Bing Search en Google Search.

TikTok

Het sociale netwerk TikTok kondigde medio februari aan dat het zich zal houden aan de Digital Services Act (DSA), die medio 2023 van kracht wordt.

TikTok kondigde ook de inzet van datacenters in Europa aan om grensoverschrijdende gegevensstromen te beperken.

Deze aankondiging komt nadat EU-instellingen, evenals de regeringen van Nederland, Canada en het Witte Huis in de Verenigde Staten, hun werknemers onlangs hebben gevraagd de applicatie van hun professionele en persoonlijke apparatuur te verwijderen vanwege zorgen over de bescherming van persoonsgegevens.

DMA

Eind maart heeft de Europese Commissie een werkgroep op hoog niveau ingesteld om te zorgen voor een consistente toepassing van de Verordening inzake digitale markten (DMA) met andere Europese regelgeving.

Onder de benoemden bevinden zich de Europese Toezichthouder voor Gegevensbescherming (EDPS) en het Europees Comité voor Gegevensbescherming (EDPB).

De Digital Markets Act is specifiek van toepassing op grote online platforms die zijn aangewezen als "poortwachters".

ENISA 

Het Europese agentschap ENISA publiceert op 29 maart een studie over cyberdreigingen tot 2030.

Deze studie heeft tot doel toekomstige bedreigingen te identificeren en informatie te verzamelen die van invloed kunnen zijn op de infrastructuur en diensten van de Unie, alsook op haar vermogen om de digitale veiligheid van de Europese samenleving en burgers te waarborgen.

ENISA publiceert ook een rapport over cyberbeveiliging en standaardisatie van AI.

Het doel van dit document is een overzicht te geven van bestaande en toekomstige normen, hun reikwijdte te beoordelen en lacunes in de standaardisatie te identificeren.

Het houdt rekening met de specifieke kenmerken van AI, en in het bijzonder machine learning, en hanteert een brede visie op cyberbeveiliging, die de eisen van vertrouwelijkheid, integriteit en beschikbaarheid omvat, evenals het bredere concept van AI-betrouwbaarheid.

Tot slot onderzoekt het rapport hoe standaardisatie de implementatie van cybersecurityaspecten, die zijn opgenomen in de voorgestelde EU-verordening inzake AI, kan ondersteunen.

EUROPESE COMMISSIE

Op 6 maart kondigde de Europese Commissie aan dat WhatsApp, na overleg met EU-autoriteiten voor consumentenbescherming, heeft toegezegd transparanter te zullen zijn over wijzigingen in de gebruiksvoorwaarden.

Het bedrijf zal het gebruikers ook gemakkelijker maken om updates te weigeren als ze het er niet mee eens zijn, en zal uitleggen wanneer een dergelijke weigering ertoe leidt dat de gebruiker de diensten niet langer kan gebruiken.

WhatsApp heeft ook bevestigd dat de persoonlijke gegevens van gebruikers niet met derden of andere metabedrijven worden gedeeld voor reclamedoeleinden.

IAPP

De IAPP-website bevat een tabel ("EU-data-initiatieven in context") met een overzicht van Europese gegevensbeschermingsregelgeving en lopende initiatieven, van de AVG en de DSA tot de Europese cyberbeveiligingsstrategie. Deze lijst is in maart 2023 bijgewerkt.

 

Nationaal nieuws

• VERENIGD KONINKRIJK : Op donderdag 9 maart presenteerde de Britse regering een afgezwakt wetsontwerp over gegevensbescherming en digitale informatie aan het parlement. De voorgestelde hervorming zou bedrijven met name in staat stellen om gemakkelijker gegevens te verzamelen zonder de toestemming van hun gebruikers, bijvoorbeeld in het kader van hun onderzoeks- en ontwikkelingsbeleid.

De verplichtingen met betrekking tot toestemming voor het plaatsen van cookies worden eveneens versoepeld en de aanstelling van een interne functionaris voor gegevensbescherming is niet langer verplicht.

Nog steeds in het Verenigd Koninkrijk:

• Het Nationaal Centrum voor Cyberbeveiliging heeft een artikel gepubliceerd waarin de risico's worden beoordeeld en aanbevelingen worden gedaan voor het gebruik van LLM's (Large Language Models) zoals ChatGPT.

Als de querygegevens vandaag niet worden gebruikt om het model te voeden, kan dat in toekomstige versies wel het geval zijn.

Het artikel wijst op toegenomen risico's op het gebied van cybercriminaliteit, zoals het produceren van overtuigendere phishing-e-mails of het leren van nieuwe aanvalstechnieken.

Hij raadt aan geen gevoelige informatie op te nemen in verzoeken gericht aan openbare LLM's.

• De Britse autoriteit voor gegevensbescherming heeft op verzoek van de sector haar richtlijnen over AI en gegevensbescherming bijgewerkt.

De richtlijnen verduidelijken de eisen ten aanzien van eerlijkheid in AI.

• ITALIË: LLM's staan centraal aan het begin van de lente. Op 31 maart heeft de Italiaanse autoriteit voor gegevensbescherming een bevel uitgevaardigd tegen OpenAI, waarmee ChatGPT in Italië werd geblokkeerd vanwege een gebrek aan transparantie, het ontbreken van een legitieme reden voor de verwerking, het niet garanderen van de nauwkeurigheid van de verwerkte gegevens, het ontbreken van leeftijdsverificatie en een algemene schending van het principe van "privacy by design".
• TSJECHIË: Het cybersecurity- en antivirusbedrijf Avast heeft van de Tsjechische Autoriteit voor Gegevensbescherming een boete van 13,7 miljoen euro gekregen wegens schending van de AVG (Algemene Verordening Gegevensbescherming).

Gebruikersgegevens die werden verzameld via Google Maps, YouTube, LinkedIn en, meer in het algemeen, via zoekopdrachten op Google, werden verkocht via dochteronderneming Jumpshot.

Het onderzoek van de Tsjechische Autoriteit voor Gegevensbescherming betreft de historische verwerking van persoonsgegevens van vóór januari 2020, toen Avast Jumpshot sloot.

• NOORWEGEN: De Noorse Autoriteit voor Gegevensbescherming (APD) heeft Argon Medical Devices een boete van 220.000 euro opgelegd voor het te laat melden van een datalek als gevolg van het systematisch en uitgebreid inschakelen van externe consultants.

Het inschakelen van derden werd beschouwd als een onnodige vertraging van het meldingsproces van beveiligingsinbreuken.

Noorwegen opnieuw:

• Naar aanleiding van een van de 101 klachten van de ngo NOYB over gegevensoverdracht naar de Verenigde Staten, heeft de Noorse Autoriteit voor Gegevensbescherming een verwerkingsverantwoordelijke op de hoogte gesteld van haar voornemen om hem te berispen voor zijn gebruik van Google Analytics en de daaropvolgende overdracht van persoonsgegevens naar de Verenigde Staten, in strijd met artikel 44 van de AVG.
• Ook in Noorwegen heeft de Privacyberoepscommissie de beslissing van de Autoriteit Persoonsgegevens bekrachtigd om een gemeente een boete van 352.555 euro op te leggen wegens schending van artikel 5(1)(f) en de artikelen 24 en 32 van de AVG. Deze schending volgde op een ransomware-aanval die resulteerde in het onherstelbare verlies van zeer gevoelige persoonsgegevens en de verkoop ervan op het dark web.
• OOSTENRIJK: De Oostenrijkse Autoriteit voor Gegevensbescherming (APD) heeft geoordeeld dat het gebruik van de trackingpixel van Facebook in strijd is met de AVG en de "Schrems II"-uitspraak van het Hof van Justitie van de EU over transatlantische gegevensstromen.
• BELGIË: In België mocht een overheidsinstantie zich beroepen op artikel 6(1)(e) van de AVG om de bedrijfsauto's van haar werknemers te lokaliseren, omdat er geen andere, minder ingrijpende oplossingen waren en de tracking noodzakelijk was voor een efficiënt gebruik van haar beperkte middelen.

In dit geval werd de gegevensbeheerder echter berispt voor diverse andere overtredingen van de regelgeving.

• IERLAND: De Bank of Ireland kreeg een boete van €750.000. De Autoriteit Persoonsgegevens (AP) oordeelde dat de verantwoordelijke voor de gegevensverwerking de risico's die verbonden waren aan de verwerking niet adequaat had beoordeeld en geen passende beveiligingsmaatregelen had getroffen.
• SPANJE: Het Spaanse Agentschap voor Gegevensbescherming (APD) heeft Orange Spanje een boete van 100.000 euro opgelegd voor het schenden van het principe van gegevensminimalisatie. Orange eiste namelijk een foto van de voor- en achterkant van een identiteitsbewijs van de klant om een online gekochte telefoon te kunnen leveren.
• Ook in Spanje is een gegevensbeheerder die door een fout van een medewerker niet reageert op een verzoek om inzage, aansprakelijk voor een schending van artikel 15 van de AVG.

 

• VERENIGDE STATEN: Op 25 maart publiceerde de Federal Trade Commission een artikel op haar blog met de titel "Chatbots, deepfakes en stemklonen", oftewel misleiding via AI.

De FTC wijst op een zorgwekkende, opkomende dreiging waar bedrijven in het digitale ecosysteem op moeten reageren.

Het technologiebureau van de FTC heeft ook een analyse en richtlijnen gepubliceerd over trackingpixels van derden, gebaseerd op recente beslissingen met betrekking tot aanbieders van digitale gezondheidszorg.

• Het NIST (National Institute of Standards and Technology) lanceert een kenniscentrum voor betrouwbare en verantwoorde kunstmatige intelligentie.

Het doel is om belanghebbenden in de AI-sector te ondersteunen bij de ontwikkeling van deze technologieën.

Het wordt vergezeld door een risicobeheerskader en een draaiboek en heeft als doel toegang te bieden tot een breed scala aan relevante bronnen over het onderwerp.

• ZUID-KOREA: De Zuid-Koreaanse commissie voor de bescherming van persoonsgegevens heeft McDonald's, British American Tobacco en Samsung een boete opgelegd wegens schending van de privacywetgeving.

McDonald's kreeg een boete van 484.000 euro omdat het back-upbestanden van gebruikers van zijn McDelivery-service opsloeg op een server waar delen was ingeschakeld. Hierdoor konden hackers toegang krijgen tot de gegevens van 4.876.106 klanten.

Bij een ander incident werden de gegevens van 766.846 hamburgerkopers gestolen, wat resulteerde in een eerste boete van 7.000 euro voor het bedrijf.

• ALGERIJE: Wet nr. 18-07 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens treedt in werking in augustus 2023.