Juridisch overzicht nr. 73 – juli 2024.  

Clouddiensten: welke criteria spelen een rol bij de keuze?

Sinds de coronapandemie is het gebruik van clouddiensten in zowel de publieke als de private sector toegenomen.

Hoewel het Europese kader op dit gebied steeds duidelijker wordt, blijven er vandaag de dag nog veel onzekerheden bestaan.

• Moeten we kiezen voor een Franse, Europese cloud die voldoet aan de eisen van een soevereine cloud?
• Wat zijn de risico's als je het beheer van je gegevens toevertrouwt aan de GAFAM-bedrijven?

Hoewel er geen wettelijke definitie van een soevereine wolk bestaat, wordt over het algemeen aangenomen dat deze de soevereiniteit op drie fundamentele niveaus moet waarborgen:

• De gegevens,
• De operaties,
• De infrastructuur.

De cloud moet daarom voldoen aan hoge eisen op het gebied van digitale beveiliging en gegevensbescherming, vanuit technisch, operationeel en juridisch oogpunt, en meer specifiek aan een exclusieve bevoegdheid op nationaal grondgebied.

Wees daarom op je hoede voor beweringen van niet-Europese bedrijven over een "soevereine Europese cloud".

Frankrijk onderscheidt zich binnen de Europese Unie door zijn bijzonder strenge eisen. Vooral sinds de implementatie van het SecNumCloud-framework en de aanname op 21 mei van de SREN-wet, die gericht is op het beveiligen en reguleren van de digitale ruimte.

Deze wet vereist dat overheidsinstanties en hun beheerders die gebruikmaken van een clouddienst van een particuliere aanbieder, specifieke beveiligings- en beschermingscriteria implementeren voor de werking van computersystemen die bijzonder gevoelige gegevens verwerken.

Het doel is om te voorkomen dat overheidsinstanties van derde landen zonder toestemming toegang krijgen tot gegevens.

Dit is met name relevant gezien de Cloud Act, die de Amerikaanse veiligheidsdiensten de bevoegdheid geeft om zonder voorafgaande toestemming toegang te krijgen tot gegevens van bedrijven die zich buiten hun grondgebied bevinden.

Deze verplichtingen sluiten aan bij de geest van de doctrine "cloud in het centrum", die door de Franse staat is ontwikkeld voor haar overheidsdiensten.

Hoewel ze niet verplicht zijn voor de particuliere sector, blijven ze nuttig als aanbevelingen, met name wanneer het gaat om de verwerking van gevoelige gegevens, bijvoorbeeld in de gezondheidszorg of het onderzoek.

Hoe zit het met de ontwikkeling van clouddiensten elders in Europa?

Er zijn veel kwalitatief goede diensten beschikbaar, bijvoorbeeld in Duitsland en Zwitserland.

Het lijkt er echter op dat het begrip 'soevereine cloud' in de Franse context vaak ruimer wordt geïnterpreteerd: het Duitse model definieert elke cloud als soeverein die zich op het grondgebied van de EU bevindt, wordt aangeboden door een Europees bedrijf, met werknemers die EU-burgers zijn en specifieke beveiligingsvereisten met betrekking tot de toegang tot gegevens, zelfs als de cloudservice in de praktijk bijvoorbeeld wordt aangeboden door een dochteronderneming van een Amerikaans bedrijf.

Dit is de richting die het project voor de certificering van clouddiensten van de Europese Unie (EUCS) momenteel inslaat.

In de meest recente versie van dit project, daterend uit maart, kunnen aanbieders "niet langer aantonen dat ze opgeslagen gegevens beschermen tegen toegang door een buitenlandse mogendheid, in tegenstelling tot de SecNumCloud-kwalificatie in Frankrijk."

In deze bewoordingen waarschuwt de CNIL de nieuwe Europese Commissie onder leiding van Ursula von der Leyen, die betrokken is bij het besluitvormingsproces rond het EUCS.

Een van de redenen die worden aangevoerd om de soevereiniteitseisen uit het project te schrappen, is de mogelijke beschuldiging van protectionisme door de Verenigde Staten of China.

De CNIL betreurt op haar beurt, naast de risico's op inbreuken op persoonsgegevens, de impact van deze neerwaartse bijstelling van de Europese eisen op de stimulering van het Europese cloudaanbod.

Gezien de huidige onzekerheid op Europees niveau is het SecNumCloud-raamwerk een nuttig referentiepunt, met name voor de verwerking van gevoelige of strategische gegevens. 

De ANSSI-website publiceert de lijst met clouddiensten die gekwalificeerd zijn als "SecNumCloud": deze lijst, bijgewerkt op 17 juli, bevat 14 clouddiensten die aan de kwalificatie-eisen voldoen, en acht andere die in het kwalificatieproces zitten.

Ongeacht het SecNumCloud-raamwerk blijven andere Europese clouddiensten aantrekkelijk in vergelijking met hun internationale concurrenten, gezien de huidige juridische context.

Hoewel het niveau van gegevensbescherming in de Verenigde Staten momenteel als toereikend wordt beschouwd, is het goed te bedenken dat de eerste twee EU-EU-overeenkomsten door het Europees Hof van Justitie nietig zijn verklaard en dat Max Schrems, die deze twee procedures heeft aangespannen, van plan is het "kader voor gegevensbescherming" hetzelfde lot te laten ondergaan.

 

         

In zijn conclusie van 11 juli oordeelde de advocaat-generaal van het Hof van Justitie van de Europese Unie (CJEU) over de noodzaak om gegevens over het geslacht ("dhr. of mevr.") te verwerken voor de levering van de SNCF-treindienst.

Aangezien het verzamelen van deze gegevens verplicht is op SNCF-formulieren, heeft de Raad van State, in opdracht van de vereniging Mousse, het Hof van Justitie van de EU gevraagd of deze verzameling gebaseerd kan zijn op artikel 6.1.a (toestemming) of 6.1.b (noodzakelijk voor de uitvoering van een contract) van de AVG.

Volgens de Algemene Vergadering is een dergelijke behandeling niet nodig voor de dienstverlening, aangezien er in dit geval geen sprake is van aparte wagons voor mannen en vrouwen, en de SNCF heeft erkend dat zij deze informatie niet systematisch gebruikt in haar communicatie met haar klanten.

De advocaat-generaal herinnert met name aan de toepassing van het minimaliseringsbeginsel en verwijst naar de uitspraak in de zaak "Bundeskartellamt", waarin het Hof verklaarde dat "om de verwerking van persoonsgegevens als noodzakelijk voor de uitvoering van een contract te kunnen beschouwen, (...) deze objectief onmisbaar moet zijn voor een doel dat een integraal onderdeel vormt van de contractuele verplichting waaraan de betrokkene is onderworpen."

De verwerkingsverantwoordelijke moet daarom kunnen aantonen hoe het hoofddoel van de overeenkomst niet kan worden bereikt als de betreffende verwerking niet plaatsvindt.

De Algemene Vergadering concludeert dat het geslacht van de gebruiker in dit specifieke geval niet relevant is.

De Federatie van Vertrouwde Derden in de digitale sector heeft een "Gids voor goede praktijken voor digitale klanttrajecten en toestemming" gepubliceerd.

In de regelgeving rondom digitale handtekeningen is het doel "ervoor te zorgen dat de samenvoeging van alle componenten in een uitgebreide vertrouwensketen gedurende het hele proces het noodzakelijke bewijs levert om de consistentie en betrouwbaarheid van het proces achteraf aan te tonen."

Op 21 juni heeft de Raad van State een decreet uit 2021 betreffende het gebruik van drones door de politie gedeeltelijk nietig verklaard..

De Raad van State was van mening dat bepaalde bepalingen van dit decreet een onevenredige inbreuk vormden op het recht op respect voor het privéleven en de vrijheid van vergadering.

Het gebruik van drones voor het filmen van demonstraties mag alleen worden toegestaan als er een kans bestaat op verstoring van de openbare orde en als de opgenomen beelden strikt noodzakelijk zijn om dergelijke verstoringen te voorkomen of de verantwoordelijken te vervolgen.

Daarnaast moeten de mensen die gefilmd worden, voldoende geïnformeerd worden over het gebruik van drones en hun rechten met betrekking tot gegevensbescherming (via de AFCDP).

De Raad van State heeft het recht van gametendonoren bevestigd om, op grond van artikel 21 van de AVG, bezwaar te maken tegen de overdracht van hun persoonsgegevens van de organisatie waar zij hun donatie hebben gedaan naar een centraal donorregister.

 

Europese instellingen en organen

Er loopt momenteel een geschil tussen de Europese Commissie en de Europese Toezichthouder voor Gegevensbescherming (EDPS) over het gebruik van Microsoft Office 365.

De Commissie heeft medio mei inderdaad een rechtszaak aangespannen om de bevindingen van een EDPS-onderzoek naar haar gebruik van deze diensten aan te vechten.

De EDPS bekritiseert de Commissie met name omdat zij geen garanties heeft gegeven met betrekking tot de overdracht van gegevens naar de Verenigde Staten. 

In het contract met Microsoft zou de Commissie bovendien onvoldoende hebben gespecificeerd welke soorten persoonsgegevens worden verzameld en voor welke doeleinden de verwerking plaatsvindt, wat in strijd is met de AVG van de EU.

De EDPS drong er bij de Commissie op aan de betreffende overdrachten op te schorten en uiterlijk 9 december aan de wet te voldoen. De conclusies van de Commissie werden medio juli gepubliceerd in het Officiële Journal van de EU.

Op 12 juli heeft de Europese Commissie haar voorlopige bevindingen over de naleving van de Europese Verordening inzake digitale diensten (DSA) aan X (voorheen Twitter) gestuurd.

De procedure die in december 2023 is gestart, richt zich specifiek op "dark patterns", transparantie in de reclame en toegang tot data voor onderzoekers.

Elon Musk heeft al aangekondigd dat hij de bevindingen van de commissie voor de rechter zal aanvechten.

Tijdens de plenaire zitting medio juli heeft het Europees Comité voor gegevensbescherming (EDPB) een verklaring aangenomen over de rol van gegevensbeschermingsautoriteiten in het kader van de Verordening inzake kunstmatige intelligentie.

De verordening bepaalt dat de lidstaten uiterlijk 2 augustus 2025 nationale “markttoezichtautoriteiten” moeten aanwijzen, met als doel toezicht te houden op de toepassing en uitvoering ervan.

Volgens het Europees Comité voor gegevensbescherming (EDPB) hebben gegevensbeschermingsautoriteiten (DPA's) al ervaring met de impact van AI op fundamentele rechten en zouden zij daarom moeten worden aangewezen als markttoezichtautoriteiten. Dit zou een betere coördinatie tussen de verschillende regelgevende instanties en een grotere rechtszekerheid voor alle belanghebbenden garanderen.

Daarbij dient te worden opgemerkt dat de AI-verordening, die op 12 juli in het Officiële Journal van de EU is gepubliceerd, op 1 augustus in werking is getreden.

Het Europees Comité voor gegevensbescherming (EDPB) heeft tevens twee documenten (veelgestelde vragen) aangenomen met betrekking tot de overeenkomst tussen de Europese Unie en de Verenigde Staten inzake de bescherming van persoonsgegevens, om meer details te geven over de werking ervan.

Deze documenten zijn enerzijds bedoeld voor particulieren en anderzijds voor bedrijven.

Op 11 juli heeft het Hof van Justitie van de EU een standpunt ingenomen in een zaak tussen het bedrijf Meta en een Duitse federatie van consumentenorganisaties.

Het Hof herinnerde eraan dat de verplichting van de verwerkingsverantwoordelijke om informatie te verstrekken aan de betrokkene een gevolg is van het recht op informatie van die personen op grond van artikel 12 en 13 van de AVG, en derhalve een van de rechten is die kunnen worden uitgeoefend door middel van een collectieve actie overeenkomstig artikel 80, lid 2, van de AVG.

Het Hof merkte ook op dat de schending van informatieverplichtingen kan voorkomen dat de betrokkene "geïnformeerde" toestemming geeft en bijgevolg de verwerking onrechtmatig kan maken in de zin van artikel 5, lid 1, onder a), van de Verordening (via GDPRhub).

Microsoft kwam op 19 juli in een andere context in het nieuws toen een van haar onderaannemers, Crowdstrike, een defecte update voor haar Falcon Sensor-beveiligingssoftware verspreidde.

Ongeveer 8,5 miljoen Microsoft Windows-computers die de software gebruikten, crashten en konden niet meer correct opstarten, in wat is omschreven als "de grootste storing in de geschiedenis van de informatietechnologie".

Vanuit juridisch oogpunt vormt het gebrek aan beschikbaarheid van gegevens als gevolg van een dergelijke storing een beveiligingsinbreuk die de toepassing van maatregelen vereist, met name op grond van de Europese NIS2-richtlijn (die vanaf oktober volgend jaar van kracht wordt).

Het Europees Comité voor gegevensbescherming (EDPB) is van mening dat dit ook een inbreuk op persoonsgegevens is in de zin van artikel 4(12) van de AVG, waaronder inbreuken die leiden tot het per ongeluk of onrechtmatig verlies van gegevens.

Afhankelijk van de gevolgen, houdt dit in dat de gegevensbeschermingsautoriteiten en de betrokken personen op de hoogte worden gesteld.

Dit standpunt wordt momenteel bediscussieerd. Sommige deskundigen zijn van mening dat het niet beschikbaar zijn van gegevens geen verlies vormt in de zin van de AVG, terwijl anderen wijzen op de soms cruciale gevolgen van het blokkeren van de toegang tot gegevens voor de betrokken personen.

 

Nieuws uit de lidstaten van Europa.

Een Duitse rechtbank heeft geoordeeld dat Google Ireland Limited, als exploitant van de Google-zoekmachine, verantwoordelijk is voor het weergeven van zoekresultaten, ongeacht het feit dat de zoekresultaten worden aangeleverd door het Amerikaanse bedrijf Google LLC.

In Denemarken heeft de gegevensbeschermingsautoriteit het ministerie van Immigratie en Integratie berispt voor het schenden van het principe van opslagbeperking door zich niet te houden aan het eigen beleid voor gegevensbewaring.

In een uitspraak van 27 juni heeft de Spaanse Kamer voor Administratieve Geschillen van de "Audiencia Nacional" geoordeeld dat de Spaanse Autoriteit voor Gegevensbescherming (APD) bevoegd is om een klacht tegen het Amerikaanse bedrijf Clearview AI in behandeling te nemen.

Het Hof baseerde zich op eerdere uitspraken van diverse gegevensbeschermingsautoriteiten, waaronder die van de Italiaanse autoriteit en die van de CNIL van 26 november 2021, waarin Clearview werd aangemerkt als vallend onder artikel 3(2)(b) van de AVG.

De CNIL heeft rekening gehouden met de zoekopdracht van het bedrijf Clearview naar foto's op het internet, de URL's van deze foto's en de bijbehorende metadata. Hierdoor kon de CNIL de betrokken personen identificeren, een gedetailleerd profiel van hen opstellen en hun gedrag volgen.

In Italië heeft de APD een gegevensverwerker een boete van 30.000 euro opgelegd na een datalek als gevolg van het gebruik van een verouderd CMS-systeem dat zeer kwetsbaar is voor cyberaanvallen.

De Litouwse Autoriteit voor Gegevensbescherming (APD) heeft Vinted een boete van 2.385.276 euro opgelegd. De autoriteit oordeelde dat de praktijken van "verborgen uitsluiting" (waarbij een gebruiker zonder voorafgaande kennisgeving van het platform wordt uitgesloten) en het niet reageren op verzoeken om gegevensverwijdering in strijd waren met de beginselen van eerlijkheid en transparantie.

In dit specifieke geval hadden de eisers, afkomstig uit Frankrijk en Polen, contact opgenomen met hun respectievelijke autoriteiten.

De klachten werden doorgegeven aan de Litouwse autoriteiten, die in deze context de leidende instantie zijn aangezien de hoofdvestiging van Vinted in Litouwen is gevestigd.

In Luxemburg heeft een rechtbank de boete van € 18.000 bekrachtigd die de APD had opgelegd aan een gegevensverwerker omdat deze de functionaris voor gegevensbescherming van de groep niet rechtstreeks bij gegevensbeschermingskwesties had betrokken en hem onvoldoende middelen had verschaft.

De Nederlandse Autoriteit Persoonsgegevens (APD) heeft Kruidvat.nl een boete van 600.000 euro opgelegd voor het plaatsen van trackingcookies zonder toestemming van de gebruikers.

De DPA oordeelde ook dat een vooraf aangevinkt vakje om trackingcookies te accepteren geen vrijwillige, specifieke, geïnformeerde en ondubbelzinnige toestemming vormt.

 

Op 19 juni publiceerde de Britse gegevensbeschermingsautoriteit (ICO) haar besluit met betrekking tot de "My AI"-applicatie van Snap en de naleving van de verplichting om een gegevensbeschermingseffectbeoordeling (DPIA) uit te voeren.

De uitspraak bevat gedetailleerde toelichtingen op de verwachtingen van de ICO met betrekking tot de mate van detail die in DPIA's moet worden opgenomen, en specifieke opmerkingen met betrekking tot algemene AI en AI die betrekking heeft op kinderen.

Aangezien de Britse wetgeving die aan deze bepalingen ten grondslag ligt nog steeds vrijwel identiek is aan die van de EU, kunnen deze observaties ook buiten het Verenigd Koninkrijk van nut zijn.

De ICO publiceerde op 30 juli ook een persbericht waarin stond dat de kiescommissie was berispt voor het niet beveiligen van haar servers, waardoor hackers toegang kregen tot de persoonlijke gegevens van ongeveer 40 miljoen mensen.

In de Verenigde Staten is in de Senaat een wetsvoorstel ingediend over AI ("The Content Origin Protection and Integrity from Edited and Deepfaked Media Act (COPIED ACT)") om "deepfakes" te bestrijden, de transparantie van AI te vergroten en contentmakers meer zeggenschap te geven.

De Amerikaanse Senaat heeft eind juli de Kids Online Safety and Privacy Act aangenomen.

Dit wetsvoorstel, dat door beide partijen wordt gesteund, combineert verschillende wetsvoorstellen met betrekking tot veiligheid, de bescherming van de online privacy van kinderen en jongeren, en transparantie bij filters die worden gebruikt bij de inzet van AI.

De tekst moet nu nog worden goedgekeurd door het Huis van Afgevaardigden.

In een verklaring van 23 juli gaf de Federal Trade Commission aan dat zij acht bedrijven had opgedragen informatie te verstrekken over producten en diensten die persoonlijke gegevens, waaronder financiële gegevens en browsegeschiedenis, gebruiken om de prijsstelling voor individuen te personaliseren.

De bevelen zijn bedoeld om de FTC te helpen de ondoorzichtige markt van producten die worden aangeboden door tussenpersonen beter te begrijpen. Deze tussenpersonen gebruiken geavanceerde algoritmes en gebruikersgegevens (locatie, demografie, kredietwaardigheid en browse- of aankoopgeschiedenis) om individuen te categoriseren en hun prijzen daarop af te stemmen.

Hoewel Google via zijn 'privacy sandbox' (een trackingsysteem dat als privacyvriendelijk werd gepresenteerd, maar elders werd betwist) geleidelijk aan was begonnen met het verwijderen van trackingcookies van derden uit Chrome, kondigde het bedrijf op 22 juli aan dat het het project stopzette.

In plaats van cookies van derden te verwijderen, zou Google "een nieuwe ervaring in Chrome introduceren waarmee gebruikers een weloverwogen keuze kunnen maken die van toepassing is op al hun internetgebruik", een keuze die op elk moment kan worden gewijzigd.

De Britse ODA heeft laten weten dat ze het betreurt dat het project is stopgezet.

De Malawische wetgeving inzake gegevensbescherming is in juli van kracht geworden.

Het land voegt zich daarmee bij de inmiddels lange lijst van Afrikaanse landen met een wet ter bescherming van persoonsgegevens.

Bovendien publiceerde het Afrikaans Observatorium voor Verantwoorde AI afgelopen maart een document getiteld "Governance of Responsible AI in Africa: Perspectives for Results-Based Regulation".