Gevoelige gegevens: een bijzonder breed toepassingsgebied

Legal Watch nr. 50 – augustus 2022.

Het kan lastig zijn om te beoordelen of de gegevens die u verzamelt gevoelig zijn of niet, en om te beslissen of deze gegevens specifieke bescherming behoeven onder de AVG.

In ons redactioneel artikel van februari vorig jaar hebben we al gewezen op deze interpretatiemoeilijkheden.

Het Hof van Justitie van de Europese Unie heeft zojuist de reikwijdte van het arrest van 1 augustus 2022 verduidelijkt van het begrip gevoelige gegevens, of beter gezegd, van speciale categorieën gegevens.

En die reikwijdte is volgens het Hof bijzonder ruim.

Er dient rekening mee te worden gehouden dat artikel 9 van de AVG van toepassing is op gegevens waaruit de vermeende raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, evenals op de verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid.

De uitspraak in kwestie heeft betrekking op bepalingen in een Litouwse wet ter bestrijding van corruptie. Op grond van deze wet moeten bepaalde werknemers in de publieke sector hun privébelangen en informatie over hun echtgenoten en gezinnen bekendmaken. Vrijwel al deze informatie wordt openbaar gemaakt op internet.

Naar aanleiding van het verzet van een persoon die door deze verplichting wordt getroffen, moet de rechtbank uitspraak doen

• Over de noodzaak van online openbaarmaking van gegevens met betrekking tot de echtgenoot
• Over de vraag of deze gegevens betreffende de echtgeno(o)t(e) als gevoelige gegevens in de zin van artikel 9 AVG moeten worden beschouwd, omdat daaruit informatie kan worden afgeleid over de seksuele geaardheid van de betrokkenen, overweegt het Hof allereerst dat de online verspreiding van deze gegevens niet noodzakelijk lijkt voor het beoogde doel, corruptiebestrijding, en specificeert vervolgens dat het begrip gevoelige gegevens ruim moet worden uitgelegd.

Tot nu toe bleven er vragen bestaan over het verschil in termen in de formulering van Artikel 9, dat gegevens reguleert die enerzijds "blijk geven" van politieke opvattingen, lidmaatschap van een vakbond, enz. of die anderzijds "betrekking hebben op" de gezondheid of seksuele geaardheid.

Het Hof is van oordeel dat alle bijzondere categorieën van gegevens ruim moeten worden uitgelegd, met inachtneming van de context en andere bepalingen van de AVG.

Het gaat in dit geval dus om gegevens waaruit door een intellectuele vergelijking of deductie de seksuele geaardheid van een natuurlijke persoon kan worden afgeleid.

Deze uitspraak kan een aanzienlijke impact hebben op de reikwijdte van de verplichtingen van degenen die verantwoordelijk zijn voor de verwerking van ‘potentieel’ gevoelige gegevens.

De CNIL lijkt tot nu toe een restrictievere interpretatie van deze verplichtingen te hebben gehanteerd: in januari vorig jaar gaf zij aan dat "het enkele feit dat men een beeld fotografeert of filmt waaruit mogelijkerwijs bepaalde elementen persoonsgegevens kunnen worden afgeleid het vormen van gevoelige gegevens vormt op zichzelf geen verwerking van gevoelige gegevens (…). Alleen als deze beelden worden verwerkt om gevoelige gegevens te extraheren, te interpreteren of te gebruiken, valt de verwerking onder het regime voor de verwerking van gevoelige gegevens.

Doorslaggevend in de redenering van het Hof lijkt te zijn dat de gegevens openbaar toegankelijk zijn: vanaf dat moment kan iedereen de gegevens verzamelen, er gevoelige informatie uit afleiden en ze verwerken voor een doel dat volstrekt losstaat van het oorspronkelijke doel, met alle gevolgen van dien voor de betrokkenen die men kan vrezen.

Ook mag niet worden vergeten dat de conclusies die uit de beschikbare gegevens worden getrokken, niet noodzakelijkerwijs juist hoeven te zijn om aan de vereisten van de AVG te voldoen. Het gaat er namelijk niet om of de conclusies al dan niet geldig zijn. Foutieve conclusies kunnen zelfs nog schadelijkere gevolgen hebben voor de betrokkenen.

Verwacht wordt dat dit besluit gevolgen zal hebben voor verwerkingsverantwoordelijken die op grote schaal gegevens verwerken en internetgebruikers profileren, met name in de context van sociale netwerken, omdat uitdrukkelijke toestemming noodzakelijk wordt.

Tot slot willen we nog vermelden dat toekomstige regelgeving voor digitale diensten en digitale markten voorziet in een verbod op het gebruik van gevoelige gegevens voor gerichte reclame.

Als we dit combineren met de ruime interpretatie die het HvJ-EU aan gevoelige gegevens geeft, kunnen we ons voorstellen dat de beperking van op gedrag gerichte reclame op Europees niveau strenger is dan verwacht.

En ook

Frankrijk:

ACCOR krijgt zojuist een boete van 600.000 euro omdat zij zonder toestemming van de betrokken personen commerciële prospectie hebben verricht en omdat zij de rechten van klanten en prospecten niet hebben gerespecteerd.

De boekingsformulieren bevatten standaard een vooraf aangevinkte optie voor het automatisch versturen van een nieuwsbrief naar klanten met commerciële aanbiedingen van partners.

De CNIL constateerde bovendien herhaaldelijk technische problemen, waardoor veel mensen niet konden weigeren berichten te ontvangen.

Het besluit van de CNIL was het voorwerp van een samenwerkingsprocedure met de autoriteiten van andere EU-landen waarin de ACCOR-groep gegevens verwerkt. Na afloop daarvan heeft het Europees Comité voor gegevensbescherming de CNIL opgedragen het bedrag van de boete te verhogen, zodat de genomen maatregel een afschrikkend effect zou hebben.

Onder de elementen die in aanmerking worden genomen, zijn het aantal inbreuken, het feit dat deze inbreuken betrekking hebben op meerdere fundamentele beginselen van de bescherming van persoonsgegevens en een substantiële inbreuk op de rechten van personen vormen, evenals het aantal betrokken personen en de financiële situatie van het bedrijf.

Sinds augustus is het niet meer mogelijk om met uw Ameli-inloggegevens verbinding te maken met France Connect., de verbindingsknop is door Bercy gedeactiveerd.

De oorzaak is een opleving van phishingaanvallen met deze inloggegevens. Het directoraat-generaal Financiën werkt naar verluidt aan de beveiliging van France Connect en is van plan de meest gevoelige procedures, met name die welke toegang geven tot financiële betalingen, geleidelijk over te zetten naar veiligere identificatiediensten.

Op 25 augustus heeft de NGO noyb.eu heeft een klacht tegen Google ingediend bij de CNIL.

Google wordt ervan beschuldigd de uitspraak van het Europees Hof van Justitie (HvJEU) over direct marketing-e-mails te negeren en zijn e-mailplatform Gmail te gebruiken om ongevraagde reclame-e-mails te versturen zonder de juiste toestemming van de gebruikers.

Franse adtechgigant Criteo riskeert boete van € 60 miljoen

als onderdeel van een onderzoek door de CNIL.

Het gaat hier vooralsnog om een voorlopig besluit, dat op 5 augustus openbaar is gemaakt door de organisatie die de klacht heeft ingediend, Privacy International.

Europa:

Kritiek op EU-onderzoeksbevoegdheden naar spyware tijdens een parlementaire hoorzitting op dinsdag 30 augustus, waarbij een vertegenwoordiger van Europol zei dat het mandaat van het agentschap beperkt is tot het ondersteunen van lidstaten die ervoor kiezen een onderzoek te starten.

Tot op heden is bekend dat minstens 14 Europese regeringen spyware hebben gekocht van de NSO Group, die de Pegasus-spyware heeft ontwikkeld. Deskundigen zijn van mening dat er nog veel meer leveranciers in de EU actief zijn.

Voormalig Twitter-beveiligingschef Peiter "Mudge" Zatko heeft een rechtszaak aangespannen tegen het bedrijf, die onlangs openbaar is gemaakt.

In het document worden een aantal vernietigende beschuldigingen gedaan over onder andere de beveiliging, privacy en gegevensbescherming. Ook wordt beweerd dat Twitter regionale waakhonden heeft misleid of heeft willen misleiden over de naleving van lokale wetten.

De Ierse en Franse toezichthoudende autoriteiten hebben de zaak opgepakt.

De Ierse Commissie voor gegevensbescherming heeft het socialemediaplatform Instagram een boete van € 405 miljoen opgelegd., eigendom van Meta, wegens schending van de AVG.

De boete is de op één na hoogste op grond van de AVG, na de boete van € 746 miljoen tegen Amazon en de derde voor een bedrijf dat eigendom is van Meta, opgelegd door de Ierse toezichthouder.

De uitspraak richt zich op de schending van de privacy van kinderen door Instagram, onder andere door het publiceren van e-mailadressen en telefoonnummers van kinderen.

De Hogere Regionale Rechtbank van Keulen (OLG Köln) heeft een bedrag van € 500 toegekend aan een persoon, vanwege van de vertraging die een gegevensbeheerder ondervindt bij het verstrekken van de gevraagde informatie overeenkomstig artikel 15, lid 1, van de AVG (via GDPRhub).

In een vergelijkbare zaak legde de Italiaanse DPA Deutsche Bank een boete van € 20.000 op omdat deze bank niet tijdig had gereageerd op een verzoek tot inzage van een betrokkene (via GDPRhub).

De Griekse DPA heeft een medisch diagnostisch centrum een boete van € 30.000 opgelegd voor het beginsel van gegevensintegriteit en vertrouwelijkheid heeft geschonden : de manager was mammografiebeelden kwijtgeraakt vanwege onvoldoende technische en organisatorische maatregelen.

Naast de boete heeft de AP het centrum opgedragen om de overtreding aan de betrokkenen te melden (via GDPRhub).

Het Spaanse Hooggerechtshof heeft geoordeeld dat het uitoefenen van de rechten van een individu bij de verwerkingsverantwoordelijke (artikelen 15 tot en met 22 van de AVG) geen voorwaarde is voor het indienen van een klacht. bij een gegevensbeschermingsautoriteit: deze kan optreden, zelfs als de betrokkene niet eerst contact heeft opgenomen met de verwerkingsverantwoordelijke (via GDPRhub).

In Zwitserland treedt op 1 september 2023 een nieuwe wet inzake gegevensbescherming in werking.

Sommige commentatoren merken op dat een aantal beginselen minder beperkend zouden zijn dan die van de AVG, met name de beginselen met betrekking tot toestemming en de FG.

De veiligheidseisen zijn daarentegen bijzonder gedetailleerd.

Internationaal :

Europese entiteiten kunnen binnen de reikwijdte van de Cloud Act vallen, zelfs als ze buiten de EU zijn gevestigd. van de Verenigde Staten, beslist een onderzoek uitgevoerd door een advocatenkantoor in opdracht van de Ministerie van Justitie en Veiligheid van Nederland en openbaar gemaakt op 26 juli.

Europese bedrijven kunnen dit risico minimaliseren door een 'Chinese muur' met de Verenigde Staten op te trekken. Dat kan door geen Amerikanen in dienst te nemen of Amerikaanse klanten te hebben. Dit zou een Amerikaanse interventie op grond van de Cloud Act kunnen rechtvaardigen.

Maar zelfs dit schild zou niet voldoende zijn als de entiteit Amerikaanse technologieën gebruikt, aangezien de Cloud Act toegang tot gegevens via onderaannemers/hardware- en softwareleveranciers, van/naar cloudproviders, toestaat.

Deze bevindingen hebben geleid tot discussies over diensten als de Bleu "Trusted Cloud" (de technologieën van Microsoft die door Orange en Capgemini worden aangeboden) en S3ns (de technologieën van Google met Thales).

In de Verenigde Staten heeft Facebook ingestemd met een schikking in het Cambridge Analytica-schandaal, dat betrekking heeft op de toegang tot de privégegevens van tientallen miljoenen Facebook-gebruikers tijdens een verkiezingscampagne. Het schandaal brak uit na onthullingen van een klokkenluider van Cambridge Analytica aan The Observer in 2018, die Facebook eerder al een boete van miljarden euro's opleverden.

In Cuba geldt de wet op de bescherming van persoonsgegevens werd op 25 augustus gepubliceerd in het Publicatieblad. De verordening treedt 180 dagen na publicatie in werking.

Rusland heeft zijn wetgeving inzake gegevensbescherming aangepast na de ondertekening van Verdrag 108+ van de Raad van Europa.

De nieuwe federale wet nr. 266 van 14 juli 2022 wijzigt aanzienlijk een aantal wetgevingshandelingen die de verwerking van persoonsgegevens in Rusland regelen en omvat nu een meldplicht voor datalekken.

De toenemende politieke en veiligheidsspanningen tussen Peking en het Westen hebben in het Verenigd Koninkrijk geleid tot oproepen om herziening van de overdracht van genetische gegevens naar China uit een biomedische database met het DNA van een half miljoen Britse burgers.

Zelfs de beste beveiligingsmaatregelen bieden geen bescherming tegen de kwetsbaarheden van onderaannemers.

Op 24 augustus meldde Twilio dat hackers hun systemen hadden gehackt.

Twilio biedt verificatiediensten aan haar klanten, waaronder het versleutelde berichtenbedrijf Signal.

Wanneer een gebruiker zijn telefoonnummer registreert, stuurt Twilio hem een sms-bericht met een verificatiecode. Deze code kan vervolgens worden ingevoerd in Signal.

Hoewel de impact op Signal en zijn gebruikers beperkt is vanwege de manier waarop de dienst is ontworpen, is dit een waarschuwing voor elk platform of elke dienst die gemanipuleerd kan worden om inloggegevens door te geven aan een aanvaller.

Google LLC krijgt boete van 60 miljoen dollar in Australië dollars voor het misleiden van consumenten over het verzamelen en gebruiken van hun persoonlijke locatiegegevens op Android-telefoons.

Anne Christine Lacoste

Anne Christine Lacoste, partner van het advocatenkantoor Olivier Weber Avocat, is een advocaat gespecialiseerd in gegevensrecht; zij was hoofd internationale betrekkingen bij de Europese Toezichthouder voor gegevensbescherming en gewerkt aan de implementatie van de AVG in de Europese Unie.