Juridisch Nieuws nr. 62 – augustus 2023.

DMA, DSA: de nieuwe verplichtingen van techreuzen.

Begin september wordt de bescherming van online gebruikersrechten uitgebreid met de toepassing van de Wet digitale diensten op grote platformen en de publicatie van de lijst met bedrijven die onder de Wet digitale markten vallen.

• Sinds 25 augustus is de Europese verordening inzake digitale diensten (DSA) van toepassing op zeer grote onlineplatforms (VLOP's) en zeer grote online zoekmachines (VLOSE's).

De verordening is vanaf 17 februari 2024 ook van toepassing op alle tussenpersonen die hun diensten aanbieden aan gebruikers in de EU, waaronder online platforms zoals app stores, platforms voor de deeleconomie en sociale mediaplatforms, zij het met beperktere verplichtingen.

Voor het mkb en micro-ondernemingen gelden aanvullende uitzonderingen.

Volgens het besluit van de Europese Commissie van 25 april vallen negentien bedrijven in de categorie VLOPS en VLOSES, waaronder TikTok, Facebook, X, Snapchat, YouTube en Google Search, invloedrijke online retailers zoals Amazon en Zalando, en de twee grote online zoekmachines Bing en Google Search.

Deze bedrijven zullen moeten voldoen aan een reeks verplichtingen met betrekking tot transparantie, bescherming van minderjarigen, contentmoderatie en respect voor de privacy.

In het bijzonder zullen ze de systeemrisico's die voortvloeien uit hun diensten, waaronder algoritmische systemen, moeten identificeren en beoordelen, zoals:

• De verspreiding van illegale inhoud
• De negatieve gevolgen voor de uitoefening van fundamentele rechten
• De negatieve gevolgen voor het maatschappelijk debat en de verkiezingsprocessen;
• De negatieve gevolgen voor gendergerelateerd geweld, de bescherming van de volksgezondheid en minderjarigen;
• De ernstige negatieve gevolgen voor het fysieke en mentale welzijn van de persoon.

Verschillende verplichtingen van de DSA overlappen met die van de AVG. Deze worden opgesomd in een recent artikel van het "Future of Privacy Forum".

Er bestaan bijvoorbeeld vergelijkbare of aanvullende verplichtingen met betrekking tot "dark patterns", gerichte reclame op basis van gevoelige gegevens of gericht op minderjarigen, transparantie, profilering, risicoanalyse en het verwijderen van illegale inhoud.

De controleprocedures zijn complex en kunnen conflicteren met die van de AVG: in tegenstelling tot de AVG, die regulering voornamelijk op nationaal niveau waarborgt met coördinatie door het Europees Comité voor gegevensbescherming voor grensoverschrijdende gevallen, centraliseert de DSA de controles op EU-niveau met betrekking tot VLOP's en VLOSE's, terwijl de lidstaten verantwoordelijk blijven voor andere intermediaire dienstverleners.

Laten we hopen dat er coördinatie tot stand komt tussen deze verschillende instanties, om zowel de betrokken bedrijven als de personen die juridische stappen willen ondernemen, te begeleiden.

• Hoewel de Digital Markets Act al sinds mei van kracht is, publiceerde de Commissie pas op 6 september de lijst met zes techreuzen, de "poortwachters", die zich aan de principes van de wet moeten houden. Dit zijn Alphabet, Amazon, Apple, ByteDance, Meta en Microsoft.

De Commissie geeft aan dat in totaal 22 basisplatformdiensten die door deze zes beheerders worden aangeboden, getroffen zijn.

Het voornaamste doel is te voorkomen dat deze bedrijven misbruik maken van hun dominante positie.

De tekst verbiedt dus zelfverwijzing of de verplichting voor professionele gebruikers om uitsluitend de diensten of producten van het betreffende bedrijf te gebruiken.

Poortwachters mogen zakelijke gebruikers ook niet verbieden om concurrerende diensten aan te bieden en te promoten, en ze zijn verplicht om de informatie die door het gebruik van hun platform wordt gegenereerd met hen te delen.

Er zijn ook specifieke interoperabiliteitsvereisten gepland voor online berichtendiensten, en opties voor besturingssystemen, browsers, zoekmachines en virtuele assistenten.

Bovendien is het "gatekeepers" verboden om gebruikers te volgen en te profileren voor gerichte reclame, tenzij ze hun toestemming hebben verkregen, en om hen te beletten hun vooraf geïnstalleerde applicaties te verwijderen.

Sommige van deze verplichtingen versterken daarom de bepalingen van de DSA met betrekking tot de bescherming van gebruikers, met name ten aanzien van profilering.

Verschillende bedrijven, zoals TikTok, Meta en Google, hebben hun gebruiksvoorwaarden al aangepast.

De boetes die de DSA en de DMA opleggen, kunnen respectievelijk oplopen tot 61.000 biljoen en 101.000 biljoen biljoen van de omzet van de betreffende bedrijven.

Bij herhaalde overtredingen van de DMA kan de boete oplopen tot 20% aan omzet…

Bedragen die de door de AVG vastgestelde 4% overschrijden, werden door de wetgever bij de vaststelling van de verordening al als afschrikwekkend beschouwd.

 

En ook

• De CNIL bereidt een ontwerp-aanbeveling voor over systemen met een groot risico in geval van een beveiligingslek en start een openbare raadpleging.

Het doel is om alle geavanceerde beveiligingspraktijken te bundelen in één document, dat specifiek gericht is op zogenaamde "kritieke" processen, gedefinieerd door de volgende twee cumulatieve criteria:

• De verwerking is grootschalig in de zin van de AVG;
• Een datalek met persoonsgegevens kan zeer ingrijpende gevolgen hebben voor de betrokken personen, voor de nationale veiligheid of voor de samenleving als geheel.

Het is mogelijk om tot 8 oktober 2023 aan de raadpleging deel te nemen.

• Op 8 augustus publiceerde de CNIL een informatienota over verbonden bakens, om slachtoffers van misbruik of illegaal gebruik te helpen zichzelf te beschermen.

Deze tags, waarmee objecten kunnen worden gelokaliseerd en teruggevonden (bijvoorbeeld sleutels of een portemonnee), worden soms gebruikt om mensen te lokaliseren zonder dat ze het weten.

• Pôle emploi maakte op 23 augustus bekend dat de persoonsgegevens van ongeveer tien miljoen mensen die in hun bestanden geregistreerd stonden, waren gestolen na een "daad van cybercriminaliteit".

Deze gegevens werden uitbesteed aan het bedrijf Majorel, dat verantwoordelijk was voor het digitaliseren van de documenten die door werkzoekenden werden opgestuurd.

De naam en achternaam, de huidige of voormalige status als werkzoekende en het burgerservicenummer kunnen hierdoor worden beïnvloed.

E-mailadressen, telefoonnummers, wachtwoorden en bankgegevens zijn echter niet gecompromitteerd.

 

Europese instellingen en organen

• Op 11 oktober organiseert het Europees Agentschap voor cyberbeveiliging (ENISA) in samenwerking met de Europese Commissie het Trust Services and eID Forum om de ontwikkelingen in de juridische omgeving, de Europese digitale portemonnee en de bescherming van de online activiteiten van burgers in de hele EU te volgen.

ENISA publiceert ook richtlijnen voor smartphones: “SMASHING – Smartphone Secure development Guidelines”.

De tool biedt een overzicht van maatregelen voor ontwikkelaars van smartphone-applicaties, gericht op het waarborgen van de ontwikkeling van veilige mobiele applicaties.

• Het Europees Instituut voor Telecommunicatiestandaarden (ETSI) heeft een rapport gepubliceerd over "Beveiliging van kunstmatige intelligentie (SAI); geautomatiseerde manipulatie van multimediale identiteitsrepresentaties".

Het document beschrijft AI-gebaseerde technieken om bestaande identiteitsgegevens automatisch te manipuleren of valse identiteitsgegevens te creëren die in verschillende mediaformaten worden weergegeven, zoals audio, video en tekst (deepfakes).

Het beschrijft de verschillende technische benaderingen en analyseert de bedreigingen die deepfakes vormen in verschillende aanvalsscenario's.

Vervolgens stelt hij technische en organisatorische maatregelen voor om deze bedreigingen te beperken en onderzoekt hij hun effectiviteit en beperkingen.

• In het kader van haar auditprogramma voor 2023 richt het Europees Comité voor gegevensbescherming (EDPB) zich op de rol van functionarissen voor gegevensbescherming (DPO's).

In een artikel dat op 31 juli door de IAPP is gepubliceerd, worden de referentiebeslissingen van Europese gegevensbeschermingsautoriteiten met betrekking tot de aanwijzing en de vaardigheden van functionarissen voor gegevensbescherming (DPO's) opgesomd.

• Het door Google beheerde Fitbit wordt in de Europese Unie geconfronteerd met klachten over privacy, waarbij het bedrijf ervan wordt beschuldigd illegaal gebruikersgegevens te exporteren in strijd met de EU-regels voor gegevensbescherming.

De klachten richten zich op de bewering van Fitbit dat gebruikers toestemming hebben gegeven voor de internationale overdracht van hun gegevens – naar de Verenigde Staten en andere landen – terwijl het bedrijf volgens de ngo NOYB gebruikers dwingt om die toestemming te geven.

 

Nieuws uit de lidstaten van Europa.

• In Nederland roept een eerste rapport van de Autoriteit Persoonsgegevens (AP) van 1 september op tot aanvullende maatregelen om de risico's van algoritmen en AI te beheersen, in afwachting van toekomstige Europese wetgeving.

Om ze beter onder controle te krijgen, moeten overheidsinstanties en bedrijven twee uitdagingen aangaan.

Ten eerste de risico's die verbonden zijn aan de snelle integratie van AI-innovaties in de samenleving, zoals intelligente chatbots.

Ten tweede benadrukt het rapport de noodzaak voor alle grote publieke en private instellingen in Nederland om inzicht te krijgen in hun gebruik van risicovolle algoritmes – algoritmes die een aanzienlijke impact hebben op het leven van individuen. Het rapport somt de te implementeren acties op.

• De Spaanse Autoriteit voor Gegevensbescherming (APD) heeft een mediabedrijf een boete van 20.000 euro opgelegd voor het publiceren van een foto afkomstig van het privé-Instagramprofiel van een persoon en het plaatsen ervan op een blog met diens naam en leeftijd, in strijd met artikel 6(1) van de AVG.

Het hof legde Fourth Party Logistics SL tevens een boete op van € 120.000 (verlaagd tot € 72.000) voor illegale onderaanneming vanwege het ontbreken van formele contracten en voorafgaande toestemmingen voor formalisering.

• In Kroatië werd een foto van een politieagent als reactie geplaatst op een video van een politieoperatie die in een openbare Facebookgroep was gedeeld.

De APD constateerde een schending van artikel 5(1(b)) en artikel 6(1) van de AVG en beval de verwijdering van de foto.

• In een vergelijkbare context heeft de Cypriotische Autoriteit voor Gegevensbescherming een lokale krant een boete van 7.000 euro opgelegd wegens schending van artikel 5(1)(c) en artikel 6 van de AVG: de krant had de namen en foto's van dienstdoende politieagenten gepubliceerd.
• In het kader van een gezamenlijk onderzoek hebben de gegevensbeschermingsautoriteiten in de Baltische staten een autoverhuurbedrijf gecontroleerd en sancties opgelegd.

Bij het berekenen van de boete heeft de Letse Autoriteit voor Gegevensbescherming het totale gebrek aan medewerking van de verwerkingsverantwoordelijke als verzwarende omstandigheid aangemerkt.

Aanvankelijk achtte ze een boete van 15.000 euro passend. Gezien de financiële problemen van de gegevensverwerker en het hoge risico op insolventie, verlaagde ze de boete echter uiteindelijk tot 1.000 euro.

• De nieuwe Zwitserse federale wet inzake gegevensbescherming is op 1 september in werking getreden.

Tot de nieuwe bepalingen die zijn geïnspireerd door de AVG behoren de effectbeoordeling voor de verwerking van gevoelige gegevens, het register van verwerkingsactiviteiten, de functionaris voor gegevensbescherming (FG) en de meldingsplicht bij datalekken. Het concept "Privacy by Design" wordt nu expliciet genoemd.

 

• Op 24 augustus kondigden twaalf internationale toezichthouders op het gebied van gegevensbescherming en privacy uit Noord- en Zuid-Amerika, Europa, Afrika en Azië aan dat zij verwachten dat socialemediaplatforms en andere websites zich beschermen tegen illegale gegevensverzameling ("web scraping").

Deze aankondiging herhaalt het advies dat eerder is gegeven door toezichthouders zoals de Australische Information Commission, de CNIL en het Britse Information Commissioner's Office naar aanleiding van onderzoeken naar de manier waarop Clearview AI, Inc. omgaat met persoonsgegevens en de meldingsplicht bij datalekken.

• In de Verenigde Staten publiceerden het Cybersecurity and Infrastructure Security Agency (CISA), de National Security Agency (NSA) en het National Institute of Standards and Technology (NIST) op 21 augustus een gezamenlijk factsheet over de voorbereiding op kwantumcomputing om organisaties te waarschuwen – met name organisaties die infrastructuursectoren ondersteunen.

kritiekpunten – over de bedreigingen van kwantumcomputing en om deze organisaties aan te moedigen te beginnen met het plannen van een toekomstige migratie naar post-kwantum cryptografische standaarden ("PQC").

• De Amerikaanse overheid lanceert het Cyber Trust Mark, een programma om de veiligheid van het Internet der Dingen te labelen.
• Ook in de Verenigde Staten heeft een datalek gevolgen voor Tesla: 75.000 mensen zijn getroffen.

Twee voormalige Tesla-medewerkers hebben de krant Handelsblatt persoonlijke gegevens en contactgegevens verstrekt van andere medewerkers.

Het bedrijf heeft de procureur-generaal van Maine op de hoogte gesteld van het beveiligingslek en de getroffenen diensten aangeboden ter bescherming tegen identiteitsdiefstal.

In april 2023 bekeken en deelden medewerkers privévideo's die waren opgenomen door Tesla's van klanten, afkomstig van de Sentry Mode-beveiligingssystemen van de voertuigen.

Tesla is niet het enige bedrijf dat zich zorgen maakt over privacy.

Een onderzoek dat op 5 september door de Mozilla Foundation werd gepubliceerd, beschrijft auto's van 25 autofabrikanten als "nachtmerries op wielen als het gaat om gegevensprivacy".

De stichting heeft het beleid en de praktijken van 25 autofabrikanten onderzocht en waarschuwde dat deze bedrijven mogelijk veel meer verzamelen en commercieel exploiteren dan alleen locatiegeschiedenis, rijgedrag, navigatiegeschiedenis en muziekvoorkeuren van gebruikers.

Sommige fabrikanten verwerken mogelijk zeer persoonlijke gegevens, zoals – afhankelijk van het privacybeleid – seksuele activiteit, immigratiestatus, ras, gelaatsuitdrukkingen, gewicht, gezondheid en zelfs genetische informatie.

Bovendien verkoopt meer dan de helft van de fabrikanten de gegevens aan derden.

• Op 25 augustus 2023 werden in China nieuwe richtlijnen gepubliceerd met betrekking tot het labelen van door AI gegenereerde content: het Chinese Nationale Technische Comité voor Standaardisatie van Informatiebeveiliging ("TC260") publiceerde de definitieve versie van de "Praktische Richtlijnen voor Cyberbeveiligingsnormen - Methode voor het labelen van content in generatieve kunstmatige intelligentiediensten".
• Canada publiceert ook een gedragscode voor generatieve AI en moedigt bijdragen aan dit document aan.
• In India werd de Digital Personal Data Protection Act 2023 op 12 augustus in het officiële staatsblad gepubliceerd.

Hoewel deze wet wordt verwelkomd omdat ze de gegevens van 760 miljoen internetgebruikers beschermt, roept ze ook kritiek op over de mate van bescherming die ze biedt, met name in het licht van de baanbrekende Puttaswamy-uitspraak, die vijf jaar geleden het recht op privacy in India vastlegde.

• Op 31 augustus kondigde Apple aan dat de ontwikkeling van de iCloud-scanfunctie voor het opsporen van kinderpornografie (CSAM) wordt stopgezet.

Het bedrijf richt zich nu op een reeks tools en hulpmiddelen op de apparaten van gebruikers, die bekend staan als "communicatiebeveiligingsfuncties".

Na overleg met diverse onderzoekers op het gebied van beveiliging en privacy, digitale rechtenorganisaties en voorvechters van kinderbescherming, concludeerde het bedrijf dat het de ontwikkeling van een cloudscanmechanisme niet kon voortzetten, zelfs niet als dit specifiek ontworpen was om de privacy te waarborgen. 

"Het analyseren van de privé-iCloud-gegevens van elke gebruiker zou nieuwe bedreigingsvectoren creëren die datadieven zouden kunnen vinden en misbruiken. Het zou ook het risico op onbedoelde gevolgen met zich meebrengen. Zoeken naar één type inhoud, bijvoorbeeld, opent de deur naar massasurveillance en zou de behoefte kunnen creëren om naar andere versleutelde berichtensystemen te zoeken voor alle soorten inhoud."

Dit publieke standpunt is belangrijk in de huidige context, aangezien het VK, de EU en de VS wetgeving voorbereiden die gericht is op het op grote schaal screenen van online actoren in het kader van de strijd tegen cybercriminaliteit in het algemeen en de bescherming van kinderen online in het bijzonder.