Juridisch Nieuws nr. 68 – februari 2024.

Controle door de CNIL: wat zijn de prioriteiten voor 2024? ?

Zoals elk jaar heeft de CNIL begin 2024 een terugblik op haar activiteiten van het afgelopen jaar en haar prioriteiten voor de komende maanden gepubliceerd.

Het duidt op steeds strengere controles, die efficiënter worden gemaakt door de invoering van een vereenvoudigde procedure voor bepaalde gevallen.

Vorig jaar hadden de controles gevolgen voor uiteenlopende sectoren, zoals reclame en online handel, beveiliging, geolocatie van voertuigen, werknemersrechten en de verwerking van gezondheidsgegevens.

De CNIL heeft sancties opgelegd aan zowel multinationals als het mkb, alsook aan publieke en private actoren.

De Commissie lijkt zich echter bewust te zijn geworden van de extra inspanningen die nodig zijn voor leidinggevenden van kleine organisaties om te voldoen aan de AVG.

In een onderzoek naar de economische impact van de AVG, gepubliceerd op 1 maart, merkt ze op dat "de AVG naar verhouding gunstiger is voor grote economische spelers, die meer middelen hebben om aan de naleving ervan te besteden".

Ze trekt hieruit de conclusie dat "de toezichthouder deze trend actief moet compenseren met een veeleisend beleid ten aanzien van grote spelers, en nog meer ten aanzien van zeer grote spelers, in verhouding tot de risico's die zij vormen en de middelen waarover zij beschikken."

Zoals ook blijkt uit de gezamenlijke verklaring van de CNIL en de Mededingingsautoriteit van december 2023, gaat de CNIL nu al uit van een asymmetrische dimensie in haar regulering van digitale markten, en zal dit in de toekomst nog verder toenemen.in combinatie met een volledig begrip van bedrijfsmodellen, ten voordele van individuen en ter bescherming van hun fundamentele rechten.

Onder de acties die dit jaar zijn aangekondigd, bevinden zich, niet geheel onverwacht, de dossiers met betrekking tot de Olympische en Paralympische Spelen van 2024 en het recht van individuen op inzage in hun gegevens.

Met betrekking tot de Olympische SpelenDe CNIL wil het gebruik van beveiligingsapparatuur controleren, met name het gebruik van augmented reality-camera's, QR-codes voor zones met beperkte toegang en toegangsautorisaties.

De hoeveelheid gegevens en het aantal partners dat bij het evenement betrokken is, zullen de Commissie er ook toe aanzetten het gebruik van ticketgegevens te controleren om frauduleus hergebruik van de gegevens van de betrokken personen te voorkomen.

Merk op dat de kwestie van het gebruik van gezichtsherkenning door wetshandhavingsinstanties ook is opgenomen in de prioriteiten van het Europees Comité voor gegevensbescherming (EDPB) in zijn werkprogramma 2023-2024.

Het recht van individuen op toegang tot hun gegevens is het thema van de gecoördineerde actie van het Europees Comité voor openbare werken voor 2024 (zie ook hieronder).

In 2023 heeft het Europees Comité voor gegevensbescherming (EDPB) richtlijnen over dit onderwerp vastgesteld om gegevensverwerkers te helpen bij het implementeren van toegangsprocedures, als aanvulling op de richtlijnen die door de CNIL zijn gepubliceerd.

De CNIL zal zich ook richten op online verzamelde gegevens van minderjarigen. Het onderzoek zal nagaan of er mechanismen voor leeftijdscontrole zijn geïmplementeerd, welke veiligheidsmaatregelen zijn gepland en of het principe van dataminimalisatie wordt nageleefd.

Tot slot wordt de impact van de digitalisering van kassabonnetjes en het gebruik van loyaliteitsprogramma's op de rechten van individuen onderzocht..

Het vervangen van papieren bonnen door bijvoorbeeld sms of e-mail brengt het verzamelen van aanvullende gegevens met zich mee.

De CNIL bepaalt dat deze gegevens, net als informatie over aankopen van individuen, alleen voor gerichte reclamedoeleinden mogen worden gebruikt met de voorafgaande toestemming van de betrokken personen.

Tot slot dient te worden opgemerkt dat de CNIL een zaak onafhankelijk van de vastgestelde prioriteiten in behandeling kan nemen, op basis van een klacht, een publicatie in de pers of een melding van een gegevensbeschermingsautoriteit van een ander Europees land.

 

    

• Op 31 januari heeft de CNIL een boete van 100.000 euro opgelegd aan de vastgoeddienstverlener PAP.

De CNIL (Franse Autoriteit voor Gegevensbescherming) constateerde tekortkomingen met betrekking tot de bewaartermijnen van gegevens, de informatieverstrekking aan betrokkenen, het beheer van de relatie tussen PAP (Personal Access Point) en een onderaannemer, en de gegevensbeveiliging (opslag van wachtwoorden in platte tekst). De geconstateerde beveiligingslekken brachten de gegevens in gevaar voor cyberaanvallen en datalekken.

• Op 31 januari legde de rechtbank FORIOU ook een boete van 310.000 euro op voor het gebruik van door databrokers verstrekte gegevens voor commerciële doeleinden, zonder te controleren of de betrokken personen geldige toestemming hadden gegeven om gecontacteerd te worden.

De CNIL herinnert ons eraan dat het de verantwoordelijkheid is van het bedrijf dat de gegevens gebruikt om ervoor te zorgen dat de betrokken personen voorafgaand aan de gegevensverzameling geldige toestemming hebben gegeven.

De Commissie merkte op dat, hoewel het bedrijf bepaalde contractuele eisen stelde aan zijn upstream-gegevensleveranciers, er geen effectieve controle op deze eisen werd uitgeoefend downstream.

• Op 30 januari oordeelde de Raad van State dat de automatische overdracht van belastinggegevens tussen Frankrijk en de Verenigde Staten in het kader van de FATCA-overeenkomst geen inbreuk vormt op artikel 5 en 46 van de AVG, en dat het ontbreken van een adequaatheidsbesluit geen belemmering vormt voor gegevensoverdrachten die "noodzakelijk zijn om belangrijke redenen van algemeen belang".

De Association of Accidental Americans had de Raad van State verzocht de beslissing van de CNIL, die hun klacht had afgewezen, te herroepen.

De Raad van State was van mening dat de CNIL haar besluit voldoende had gemotiveerd.

Merk op dat de Belgische autoriteit voor gegevensbescherming over hetzelfde onderwerp tot een andere conclusie was gekomen en de overdracht van belastinggegevens van toevallige Belgisch-Amerikanen naar de Verenigde Staten had verboden.

• De Franse start-up Mistral, gespecialiseerd in AI-ontwikkeling, kondigde op 26 februari een strategisch partnerschap met Microsoft aan.

Volgens de krant Le Monde zorgt deze aankondiging voor wrijving in Brussel, na intense lobby-inspanningen, met name vanuit Frankrijk, om Europese start-ups te bevoordelen en de verplichtingen voor hen in de toekomstige AI-regelgeving te beperken.

Groene Europarlementariërs hebben een brief naar de Europese Commissie gestuurd waarin ze vragen stellen over mogelijke belangenconflicten en transparantieproblemen met betrekking tot de lobbyactiviteiten van Mistral over deze verordening.

• Half januari publiceerde ANSSI drie handleidingen met als doel "het beheer van de herstelwerkzaamheden na een cyberincident".

Deze handleidingen bestaan uit drie delen: strategisch, operationeel en technisch.

Het agentschap wijst erop dat "als een ernstig incident slechts gedeeltelijk of gebrekkig wordt verholpen, de gevolgen daarvan langdurig kunnen aanhouden."

"Dit grote destabiliserende potentieel vereist (...) expertise in het beheersen van deze cyberaanvallen, in het herwinnen van de controle over het gecompromitteerde informatiesysteem en in het herstellen van een voldoende operationele staat."

Herstelwerkzaamheden vormen, naast onderzoek en crisismanagement, een belangrijk onderdeel van de respons op cyberincidenten.

• Na acht maanden experimenteren is het digitale rijbewijs sinds 14 februari beschikbaar voor iedereen die er een aanvraagt.

Met de Franse identiteitsapp is het ook mogelijk om uw identiteitskaart te digitaliseren en te gebruiken voor bepaalde procedures, zoals het opstellen van een volmacht.

 

Europese instellingen en organen

• Op 28 februari lanceerde het Europees Comité voor gegevensbescherming (EDPB) zijn "gecoördineerd kader voor onderzoeken" (CFE) voor 2024.

Gedurende het hele jaar zullen Europese gegevensbeschermingsautoriteiten (DPA's) deelnemen aan dit initiatief voor de implementatie van het recht op toegang.

Tijdens de plenaire vergadering in oktober 2023 koos het Europees Comité voor gegevensbescherming (EDPB) het recht op toegang als derde gecoördineerde uitvoeringsactie, "omdat dit recht centraal staat in de gegevensbescherming en een van de meest uitgeoefende rechten op gegevensbescherming is, waarover gegevensbeschermingsautoriteiten veel klachten ontvangen."

• Het Europees Comité voor gegevensbescherming (EDPB) zal binnenkort een definitief advies uitbrengen over het 'accepteren of betalen'-model, waarbij bezoekers die cookies weigeren, moeten betalen om toegang te krijgen tot de inhoud van een website.

Meta nam deze aanpak in november 2023 over, wat ertoe leidde dat de Nederlandse, Noorse en Hamburgse gegevensbeschermingsautoriteiten het Europees Comité voor gegevensbescherming (EDPB) verzochten een bindend advies uit te brengen over de rechtmatigheid van deze praktijk.

Het maatschappelijk middenveld vreest dat, als dit economische model wordt gelegaliseerd, bedrijven in alle industriële sectoren het voorbeeld van Meta zullen volgen, wat het einde zou kunnen betekenen van echte toestemming voor het gebruik van gegevens.

28 ngo's hebben een brief naar het Europees Comité voor gegevensbescherming (EDPB) gestuurd waarin ze er bij het comité op aandringen een advies uit te brengen dat het fundamentele recht op gegevensbescherming beschermt.

• Tijdens de plenaire zitting medio februari heeft het Europees Comité voor gegevensbescherming (EDPB) een advies aangenomen waarin het begrip 'hoofdvestiging' in de context van het 'one-stop-shop'-principe wordt verduidelijkt.

Bedrijven kunnen niet zomaar een hoofdvestiging creëren "door een bordje op de deur te hangen": de vestiging moet de plaats zijn waar verwerkingsbeslissingen worden genomen, en als deze beslissingen in het buitenland worden genomen, kan er geen hoofdvestiging zijn: het one-stop-shopprincipe is dan niet van toepassing. Het Europees Comité voor gegevensbescherming (EDPB) heeft ook een verklaring aangenomen waarin het EU-wetgevers oproept ervoor te zorgen dat de CSAM-verordening, die gericht is op de bescherming van de online rechten van kinderen, de rechten op privacy en gegevensbescherming respecteert. 

• Het Europees Parlement, en meer specifiek de subcommissie Defensie, verkeerde eind februari in verhoogde staat van paraatheid nadat sporen van hacking waren ontdekt op de telefoons van twee van haar leden. Dit leidde tot vrees voor cyberaanvallen en buitenlandse inmenging in de aanloop naar de Europese verkiezingen in juni.

Afgelopen december meldde Politico dat de cyberbeveiliging van de instelling "nog niet aan de industrienormen voldoet" en "niet volledig in lijn is met het dreigingsniveau" van hackers.

Deze nieuwe onthullingen volgen op eerdere incidenten waarbij andere leden van het Europees Parlement het doelwit waren van de Pegasus- en Predator-spyware.

• Op 19 februari heeft de Europese Commissie een onderzoek ingesteld naar de rechten van kinderen op TikTok.

Ze vermoedt met name schendingen van de transparantie en de verplichtingen ter bescherming van minderjarigen onder de Verordening digitale diensten (DSA), waaronder een verslavend ontwerp, ontoereikende leeftijdsverificatie en onvoldoende standaard privacyinstellingen. De DSA is sinds 17 februari van kracht in de EU.

• De EU-lidstaten hebben, met steun van de Europese Commissie en het Europees Agentschap voor cyberbeveiliging (ENISA), op 21 februari een rapport gepubliceerd over cyberbeveiliging en de weerbaarheid van Europese communicatie-infrastructuren en -netwerken.

Dit rapport volgt op een beoordeling door de lidstaten van de risico's die verbonden zijn aan deze infrastructuren en netwerken.

De beoordeling bracht een aantal bedreigingen aan het licht, zoals datawissers, ransomware-aanvallen, aanvallen op de toeleveringsketen, fysieke aanvallen en sabotage.

• Op 13 februari deed het Europees Hof voor de Rechten van de Mens (EHRM) uitspraak in de zaak-Podchasov over het verzamelen van en de toegang tot privécommunicatie van burgers door Rusland.

Temidden van het debat over de vermeende gevaren van versleutelde communicatie, heeft het Hof duidelijk aangegeven dat het verzwakken van de versleuteling van communicatie voor alle burgers niet gerechtvaardigd is.

Volgens E. Tuchtfeld "stuurt deze beslissing een belangrijke boodschap, niet alleen naar de Russische staat, maar ook naar andere Europese regeringen die overwegen 'achterdeuren' in te bouwen in versleutelde berichtendiensten zoals Telegram, Signal of WhatsApp."

• Het Europees Hof voor de Rechten van de Mens oordeelde in een uitspraak van 15 februari ook dat het systematisch en willekeurig bewaren van telecommunicatiegegevens, gebruikt in Slovenië tegen een voormalige rechter tijdens zijn proces, moet worden beschouwd als een schending van zijn recht op privacy.

Ten tijde van de veroordeling van de aanvrager waren aanbieders van communicatiediensten verplicht om telecommunicatiegegevens systematisch en zonder onderscheid gedurende een periode van 14 maanden te bewaren.

Het Hof oordeelde dat dergelijke conservering niet binnen de grenzen viel van wat noodzakelijk is in een democratische samenleving.

Het bewaren, inzien en verwerken van gegevens in het kader van de strafprocedure tegen de aanvrager schendt aldus zijn recht op respect voor zijn privéleven.

 

Nieuws uit de lidstaten van Europa.

• In België heeft de Belgische Autoriteit voor Gegevensbescherming (APD) op haar website een sectie beschikbaar gesteld met de titel "Documenten voor de functionaris voor gegevensbescherming".

Het omvat met name rechterlijke uitspraken en uitspraken van de APD met betrekking tot functionarissen voor gegevensbescherming (DPO's), bijvoorbeeld over onderwerpen als belangenconflicten en bescherming tegen ontslag.

• De Belgische Autoriteit voor Gegevensbescherming oordeelde tevens dat zij, ongeacht het intrekken van een klacht, nog steeds de bevoegdheid had om een schending van de rechten van de betrokkene vast te stellen en een boete op te leggen wegens niet-naleving van de AVG.
• De Italiaanse Autoriteit voor Gegevensbescherming (APD) heeft op 29 februari bekendgemaakt dat zij Enel Energia een boete van meer dan 79 miljoen euro heeft opgelegd wegens ernstige schendingen van de privacywetgeving bij de verwerking van persoonsgegevens van talrijke gebruikers in de elektriciteits- en gassector, die werden gebruikt voor telemarketingdoeleinden.
• De APD heeft de gemeente Syracuse ook een boete van 5.000 euro opgelegd omdat zij de contactgegevens van de functionaris voor gegevensbescherming niet had verstrekt, zoals vereist in artikel 37 van de AVG.
• De Griekse Autoriteit voor Gegevensbescherming (DPA) heeft een gegevensverwerker een boete van 5.000 euro opgelegd omdat zijn functionaris voor gegevensbescherming (FG) ondanks meerdere herinneringen niet heeft gereageerd op de vragenlijst die hem was toegestuurd in het kader van de gecoördineerde Europese actie van DPA's in 2023.
• In Spanje weigerde de APD toe te staan dat de verplichtingen inzake de bestrijding van witwassen als voorwendsel werden gebruikt door een bank om een klager te dwingen details te verstrekken over de herkomst van zijn geld via onversleutelde e-mails.

Het legde de gegevensbeheerder een boete op van 2.500.000 euro.

• De Deense Autoriteit voor Gegevensbescherming heeft in haar vijfde besluit met betrekking tot Chromebooks vastgesteld dat 53 gemeenten op illegale wijze persoonsgegevens van leerlingen met Google hebben gedeeld voor ontwikkelingsdoeleinden van Google zelf, in strijd met artikel 6(1)(e) van de AVG.
• In het Verenigd Koninkrijk heeft de DPA het Britse Ministerie van Defensie een boete van 409.080 euro (350.000 pond sterling) opgelegd voor het openbaar maken van 265 e-mailadressen van mensen die Afghanistan wilden verlaten na de machtsovername door de Taliban in 2021.
• De Zwitserse Federale Inlichtingendienst (FIS) wordt genoemd in een onderzoek van het tijdschrift Republik, dat medio januari een publicatie verscheen waarin wordt beweerd dat de FIS toegang heeft tot de e-mails van alle Zwitserse burgers en dat zij hun communicatie op grote schaal monitort op grond van een wet uit 2016.

De gegevens zouden rechtstreeks worden verzameld via communicatiekabels, met behulp van apparatuur die is geïnstalleerd in de infrastructuur van internetproviders. De SRC ontkent deze beschuldigingen (via de brief van de AFCDP).

• Een cyberaanval op een Amerikaans bedrijf leidde tot de openbaarmaking van gevoelige informatie over de Zwitserse luchtmacht op het dark web.

De hackergroep ALPHV eiste de verantwoordelijkheid op voor de aanval, die resulteerde in de publicatie van geheime documenten, waaronder een contract van 5 miljoen dollar tussen Zwitserland en Ultra Intelligence & Communications, een leverancier van encryptie- en communicatietechnologieën voor de defensiesector.

In juli 2023 werd het Zwitserse bedrijf Xplain getroffen door een soortgelijke aanval, gevolgd in november door een hack van het softwarebedrijf Concevis, dat ook actief is in de defensiesector en bij de belastingdienst.

 

• De regering-Biden heeft op 28 februari een presidentieel decreet aangenomen dat tot doel heeft de gevoelige persoonsgegevens van Amerikanen te beschermen tegen misbruik door bepaalde derde landen ("landen van zorg").

Dit decreet machtigt de procureur-generaal om de grootschalige overdracht van persoonlijke gegevens van Amerikanen naar landen die aanleiding geven tot bezorgdheid te voorkomen en biedt waarborgen voor andere activiteiten die die landen toegang zouden kunnen geven tot gevoelige gegevens van Amerikanen.

Deze gegevens omvatten met name genomische, biometrische, gezondheids-, geolocatie- en financiële gegevens.

• Het Amerikaanse National Institute of Standards and Technology (NIST) publiceerde in februari concrete maatregelen om beveiliging in elke fase van de softwareontwikkelingscyclus te integreren.

De handleiding adviseert fabrikanten om prioriteit te geven aan een reeks concrete maatregelen, waaronder het vaststellen van basisbeveiligingseisen voor de integratie van open-source software en het uitbreiden van de monitoring van "provenance data".

• Ook in de Verenigde Staten heeft de Federal Trade Commission (FTC) Avast verboden om de browsegegevens van klanten te verkopen voor reclamedoeleinden.

De FTC onderzocht beschuldigingen dat Avast browsegegevens verkocht terwijl het beweerde dat zijn producten online tracking blokkeerden. Avast kreeg een boete van 16,5 miljoen dollar.

Merk op dat de Tsjechische gegevensbeschermingsautoriteit het bedrijf in april 2023 om dezelfde redenen al had gesanctioneerd.

• De wijzigingen in de Georgische wetgeving inzake gegevensbescherming zijn op 1 maart in werking getreden.

Deze wijzigingen zijn bedoeld om een bescherming te bieden die meer in lijn is met die van de AVG. 

Mobiele telefoonproviders en hun sms-dienstverleners mogen de persoonsgegevens van burgers nu niet meer gebruiken voor direct marketingdoeleinden zonder hun voorafgaande toestemming.

Daarnaast is het nu verplicht voor overheidsinstellingen en bepaalde particuliere bedrijven om een functionaris voor gegevensbescherming aan te stellen.

• De Hong Kongse commissaris voor de bescherming van persoonsgegevens (PDPC) heeft van augustus 2023 tot februari 2024 nalevingscontroles uitgevoerd bij 28 lokale organisaties met betrekking tot hun verwerking van persoonsgegevens in het kader van het gebruik van AI.

De oefening omvatte diverse sectoren, waaronder telecommunicatie, financiën en verzekeringen, schoonheidsverzorging, detailhandel, transport, onderwijs en overheidsministeries.

De PCPD heeft geen inbreuken geconstateerd, maar merkte wel op dat steeds meer publieke en private organisaties AI inzetten om hun dagelijkse operationele efficiëntie te verbeteren.