Juridisch overzicht nr. 80 – februari 2025. 

Gegevensoverdracht naar de Verenigde Staten: een verzwakt juridisch kader.

Op 5 februari hebben 19 Europarlementariërs uit het hele politieke spectrum de Europese Commissie verzocht te onderzoeken of het "Data Protection Framework" (DPF), dat de transatlantische gegevensoverdracht regelt, nog steeds houdbaar is.

Op 6 februari stelde de voorzitter van de commissie voor burgerlijke vrijheden, justitie en binnenlandse zaken hem een soortgelijke vraag.

Deze vragen werden opgeworpen door Donald Trumps besluit om de ambtstermijnen van de drie Democratische leden van het parlement te beëindigen. De Privacy and Civil Liberties Oversight Board (PCLOB) beschikt niet langer over het vereiste quorum om te functioneren.

De PCLOB werd in het kader van de trans-Atlantische overeenkomst beschouwd als een essentieel middel om de individuele rechten te waarborgen in zaken betreffende massasurveillance.

Sindsdien lijken de Amerikaanse garanties met betrekking tot gegevensbescherming steeds fragieler te worden.

Volgens een artikel van Euractiv van 3 maart is een van de rechters van het PCLOB-beroepsorgaan, het Hof van Beroep voor Gegevensbescherming, verdwenen van de lijst met rechters op de website, en heeft een speciale advocaat ontslag genomen.

Bovendien, "als Donald Trump de inspecteurs-generaal die toezicht hielden op de inlichtingendiensten niet heeft ontslagen, heeft hij er minstens 17 anderen ontslagen", en naar verluidt werden ook leden van de afdeling privacybescherming van het "Bureau voor Personeelsbeheer" ontslagen.

Tot slot is er het politieke programma "Project 2025" dat verbonden is aan de regering-Trump. Dit programma is van mening dat de aanstaande president een onderzoek moet instellen naar het uitvoeringsbesluit van "Biden" betreffende het DPF (Defense Protection Fund) en "de verwachtingen van Europa moet bijstellen".

Dit project beoogt tevens bepalingen op te schorten die het verzamelen van informatie onnodig belemmeren.

Het is goed om te onthouden dat het gebrek aan onafhankelijke controle- en beroepsprocedures met betrekking tot de Amerikaanse inlichtingendiensten de reden was voor de annulering van de vorige overeenkomst, het Privacy Shield. 

Deze verschillende factoren voorspellen weinig goeds voor de levensvatbaarheid van de trans-Atlantische overeenkomst. De hamvraag is wanneer de situatie officieel zal worden opgehelderd.

De Europese Commissie zwijgt vooralsnog, maar er wordt verwacht dat zij vóór het einde van de maand antwoord zal geven op vragen van het parlement.

Het Hof van Justitie van de Europese Unie, dat zich al over de zaak buigt, zou een uitspraak kunnen doen in lijn met zijn twee eerdere uitspraken waarin respectievelijk de "Safe Harbour Principles" en het "Privacy Shield" ongeldig werden verklaard, maar de datum van deze uitspraak is nog onbekend.

En hoe zit het met de gegevensbeschermingsautoriteiten?

De Noorse Autoriteit voor Gegevensbescherming (Datatilsynet) heeft op 26 februari een verklaring over de kwestie uitgegeven. Daarin werd herhaald dat het adequaatheidsbesluit van de Europese Commissie, waarmee de trans-Atlantische handelsovereenkomst wordt gevalideerd, van kracht blijft totdat het eventueel wordt ingetrokken door de Europese Commissie of het Hof van Justitie van de Europese Unie (CJEU).

Gegevensbeschermingsautoriteiten zijn gebonden aan deze beslissingen en kunnen overdrachten die plaatsvinden in overeenstemming met een adequaatheidsbesluit niet verbieden.

Gezien de huidige context, De APD adviseert gegevensverwerkers desondanks om een exitstrategie te ontwikkelen voor het geval het huidige raamwerk ongeldig wordt verklaard. omdat de verandering zonder overgangsperiode zou kunnen plaatsvinden.

De eerste aanbeveling aan gegevensverwerkers is om een uitgebreide inventarisatie te maken van alle gegevensoverdrachten die door hun bedrijf worden uitgevoerd.

De taak is lastig omdat de Verenigde Staten nu alomtegenwoordig zijn in onze digitale wereld, en we, net als meneer Jourdain, dagelijks gegevens uitwisselen zonder het te weten.

Het is noodzakelijk rekening te houden met de duidelijk geïdentificeerde ontvangers in de Verenigde Staten, maar ook bijvoorbeeld met het gebruik van Amerikaanse "cloud"-diensten op Europees grondgebied en de diverse weergave- of verbindingsdiensten zoals Google Fonts, Analytics of Maps, of zelfs Facebook: het Hof van Justitie van de Europese Unie heeft in zijn arrest T-354/22 de Europese Commissie veroordeeld voor schending van de AVG in het kader van online inschrijving voor een evenement dat zij organiseerde.

Door middel van de hyperlink "Verbinden met Facebook" op de homepage had Facebook "de voorwaarden geschapen die de overdracht van het IP-adres van de aanvrager naar Facebook en bijgevolg naar de Verenigde Staten mogelijk maakten, gedurende een periode waarin het Privacy Shield niet langer van kracht was.

Indien er Europese alternatieven bestaan, kunnen deze een interessante oplossing bieden.We hebben het bijvoorbeeld over de Europese cloud of de gecertificeerde Franse cloud.

Wat betreft kijkcijfermetingen heeft de CNIL een lijst gepubliceerd met anonieme instrumenten voor publieksmeting.

In gevallen waarin de overdracht essentieel blijft, zal de exporteur moeten vertrouwen op instrumenten zoals standaardcontractbepalingen of bindende bedrijfsregels, en een impactanalyse moeten uitvoeren door de risico's van interceptie van gegevens door de autoriteiten aan de andere kant van de Atlantische Oceaan en de geboden waarborgen nauwkeurig te documenteren, een bijzonder lastige taak.

Op 31 januari publiceerde de CNIL de definitieve versie van haar richtlijn inzake effectbeoordelingen voor gegevensoverdracht buiten de Europese Unie.

Net als zijn Noorse tegenhanger zal het waarschijnlijk aanbevelingen publiceren met betrekking tot toekomstige internationale ontwikkelingen.

 

  

Er is onlangs een amendement ingediend op een wetsvoorstel tegen drugshandel, dat tot doel heeft platformen te verplichten maatregelen te implementeren waarmee wetshandhavers toegang kunnen krijgen tot gegevens, met name die van versleutelde berichtendiensten.

In reacties aan de regering en parlementariërs hebben verschillende bedrijven, waaronder Apple, Amazon, Google en Microsoft, zich tegen dit amendement uitgesproken. Zij verwezen daarbij naar de standpunten van het Europees Comité voor gegevensbescherming (EDPB) en de Europese Toezichthouder voor gegevensbescherming (EDPS) tegen het verzwakken van end-to-end-encryptie.

Het voorstel zal worden behandeld tijdens de plenaire zitting die op 17 maart van start gaat.

Deze ontwikkelingen weerspiegelen soortgelijke overheidsinitiatieven in verschillende Europese landen en in de Verenigde Staten (zie hieronder, nationale ontwikkelingen).

De CNIL herinnerde de zoekmachine Qwant aan haar verplichtingen onder de AVG met betrekking tot gegevensanonimisering.

De gegevens die het bedrijf gebruikte in verband met de verkoop van advertentieruimte op de zoekmachine, die via MICROSOFT werd beheerd, werden door Qwant als geanonimiseerd gepresenteerd. 

De CNIL merkt op dat "ondanks de strenge voorzorgsmaatregelen die in 2019 zijn genomen om heridentificatie van personen te voorkomen, de overgedragen gegevensset aanleiding gaf tot de toepassing van de AVG en met name de artikelen 12 en 13".

De Commissie is van mening dat dit een initiële analysefout betreft bij de classificatie van de overgedragen gegevens, zonder de intentie om de bepalingen van de AVG te omzeilen, en legt daarom geen sanctie op.

De Commissie legde ook een makelaarskantoor een boete van € 40.000 op voor het overmatig controleren van zijn werknemers met behulp van software (Time Doctor) die de uren registreerde. Er werden periodes van inactiviteit beweerd en er werden regelmatig screenshots van hun computer gemaakt.

Bovendien werden de medewerkers voortdurend opgenomen.

De CNIL bekritiseert de verantwoordelijke persoon met name voor het ontbreken van een effectbeoordeling, het ontbreken van een wettelijke basis voor de verwerking en het niet naleven van het beginsel van dataminimalisatie.

Het heeft ook een update van zijn gegevensbeschermingstabellen gepubliceerd, evenals de samenvattende notitieboeken van 2024 met daarin de belangrijkste nieuwe uitspraken en de essentie van de nationale en Europese jurisprudentie inzake gegevensbescherming.

 

Europese instellingen en organen

Naar aanleiding van het rapport 'Digital Fairness Fitness Check' dat op 3 oktober 2024 werd gepubliceerd, overweegt de Europese Commissie een verordening inzake digitale eerlijkheid ("Digital Fairness Act") te ontwikkelen om consumentenbeschermingskwesties in de online omgeving aan te pakken, zoals de automatische beëindiging of verlenging van abonnementen en de omzetting van gratis proefperiodes in betaalde abonnementen.

Er wordt naar verluidt een openbare raadpleging en een voorlopige effectanalyse voorbereid.

De Commissie heeft uiteindelijk besloten haar voorstel voor een ePrivacy-verordening in te trekken. Dit voorstel was bedoeld om de verplichtingen van de huidige richtlijn te moderniseren en te verduidelijken, en deze in overeenstemming te brengen met de beginselen van de AVG.

De tekst leidde tot controverse, met name over de reikwijdte van de uitzonderingen op het beginsel van vertrouwelijkheid van communicatie.

Er liggen nieuwe wetsvoorstellen op tafel die tot doel hebben privacykwesties aan te pakken en commerciële surveillance te scheiden van staatssurveillance.

De AI-aansprakelijkheidsrichtlijn, die tot doel had de EU-productveiligheidsregels aan te passen om AI en automatisering te omvatten, staat ook op de lijst van ingetrokken wetsvoorstellen.

In navolging van de conclusies van de AI-top in Parijs afgelopen februari, legt het werkprogramma 2025 van de Europese Commissie de nadruk op concurrentievermogen, met als expliciet doel economische groei te bevorderen door innovatie te ondersteunen.

Op 2 februari zijn de eerste bepalingen van de AI-regelgeving in werking getreden, waaronder artikel 5, dat handelt over verboden AI-praktijken.

Twee dagen later publiceerde de Europese Commissie richtlijnen waarin AI-praktijken werden beschreven die onaanvaardbaar werden geacht vanwege de risico's die ze vormen voor Europese waarden en grondrechten.

Verschillende gegevensbeschermingsautoriteiten (DPA's), aanwezig op de AI-top, hebben na een rondetafelgesprek over "het opzetten van betrouwbare kaders voor gegevensbeheer om de ontwikkeling van innovatieve en privacybeschermende AI te stimuleren" een gezamenlijke verklaring uitgegeven. Daarin benadrukken ze de noodzaak om privacyprincipes vanaf de ontwerpfase van AI-systemen te integreren en robuuste interne kaders voor gegevensbeheer te implementeren.

Tegelijkertijd kondigde het Europees Comité voor gegevensbescherming (EDPB) op 12 februari aan dat het de reikwijdte van zijn ChatGPT-werkgroep uitbreidt naar de toepassing van AI en een "snelresponsteam opricht om de acties van gegevensbeschermingsautoriteiten te coördineren" met betrekking tot urgente, gevoelige kwesties die verband houden met AI.

Het Europees Comité voor gegevensbescherming (EDPB) kondigde begin maart de lancering aan van zijn gecoördineerde actieplan voor 2025, waarin het recht op verwijdering van gegevens wordt gecontroleerd.

Deze actie volgt op gecoördineerde acties betreffende het gebruik van de cloud door de publieke sector (2022), de aanwijzing en rol van functionarissen voor gegevensbescherming (2023) en het recht op toegang (2024).

De onderzoeksafdeling van het Europees Parlement publiceerde op 26 februari een informatienota over de spanning tussen het voorkomen van algoritmische discriminatie en de omgang met bijzondere categorieën gegevens.

Het document wijst op onzekerheden met betrekking tot de gezamenlijke toepassing van de AI-regelgeving en de AVG, die mogelijk wetswijzigingen of aanvullende richtlijnen vereisen.

Op 27 februari heeft het Hof van Justitie van de EU een belangrijke uitspraak gedaan over de reikwijdte van de rechten van personen die getroffen zijn door een geautomatiseerd besluit.

In zaak C 203/22 Dun & Bradstreet Oostenrijk verduidelijkt het Hof dat artikel 15(1)(h) van de AVG “de betrokkene een reëel recht biedt op uitleg over de werking van het mechanisme dat ten grondslag ligt aan een geautomatiseerd besluitvormingsproces waaraan die persoon is onderworpen en over het resultaat waartoe dat besluit heeft geleid” (paragraaf 57).

De gegevens van beschermde derden of bedrijfsgeheimen ontslaan de verwerkingsverantwoordelijke niet van de verplichting tot concrete uitleg: deze is “verplicht deze vermeende beschermde informatie te communiceren aan de bevoegde toezichthoudende autoriteit of rechter, die verantwoordelijk is voor het afwegen van de betrokken rechten en belangen om de omvang van het recht op toegang van de betrokkene, zoals bedoeld in artikel 15 van de AVG, te bepalen” (paragraaf 67).

Het Hof van Justitie van de EU heeft op 13 februari ook geoordeeld dat toezichthoudende autoriteiten en rechtbanken rekening moeten houden met het feit dat een gegevensverwerker deel uitmaakt van een onderneming in de zin van de artikelen 101 en 102 van het Verdrag betreffende de werking van de Europese Unie (VWEU) bij het vaststellen van de hoogte van de boetes.

Bovendien moeten ze de maximale hoogte van de boetes baseren op de omzet van het bedrijf en niet op die van de gegevensverwerker.

De advocaat-generaal van het Hof van Justitie van de EU heeft op 6 februari zijn conclusies bekendgemaakt in de zaak EDPS tegen SRB (C-413/23 P).

De zaak betreft de vraag of gepseudonimiseerde gegevens die door een EU-agentschap, de Single Resolution Board, aan haar adviesbureau Deloitte worden doorgegeven, vanuit het oogpunt van Deloitte als persoonsgegevens moeten worden beschouwd.

De Algemene Vergadering richt zich op de redelijke middelen die de ontvanger ter beschikking staan om de betrokken personen te identificeren, en hanteert daarbij een aanzienlijk engere interpretatie van het begrip persoonsgegevens dan de EDPS en het EDPB. De definitieve beslissing wordt vóór de zomer verwacht.

 

Nieuws uit de lidstaten van de Europese Unie.

Een Duitse rechterlijke uitspraak (OLG Dresden/Duitsland (Az.: 4 U 940/24)) bevestigt dat gegevensverwerkers niet alleen verantwoordelijk zijn voor hun eigen handelingen, maar ook voor de handelingen van hun onderaannemers.

Het Hof benadrukte dat het niet voldoende is om de onderaannemer te vertrouwen zonder te controleren, zoals in dit geval, of hij de uitbestede gegevens daadwerkelijk heeft verwijderd aan het einde van het contract.

De gevolgen van onvoldoende verificatie kunnen lang na het incident aanhouden, zoals in dit geval na een hack die leidde tot een datalek, gevolgd door juridische procedures en reputatieschade voor de gegevensbeheerder.

In Spanje heeft de APD (Autorité des Podemis) de mobiele telefoonprovider Orange een boete van 1,2 miljoen euro opgelegd omdat het bedrijf er niet in was geslaagd te voorkomen dat een duplicaat-simkaart werd verstrekt aan een derde partij die deze gebruikte om toegang te krijgen tot de bankrekening van de betrokkene.

De APD was van mening dat de exploitant geen passende beschermingsmaatregelen had getroffen.

Ook in Spanje heeft de APD diverse boetes opgelegd aan de coöperatieve bankgroep Caja Rural wegens schending van de AVG na een datalek als gevolg van ontoereikende beveiligingsmaatregelen en een kwetsbaarheid in het IT-systeem.

In dit geval achtte de APD elke bank die lid was van de coöperatieve groep individueel verantwoordelijk, ook al maakten ze allemaal gebruik van dezelfde IT-dienstverlener, en legde sancties op variërend van 6.200 euro tot 400.000 euro, afhankelijk van het aantal klanten en de reactiesnelheid van de banken.

De Griekse Autoriteit voor Gegevensbescherming (APD) heeft een besluit genomen dat de uitoefening van individuele rechten bij Google moet vergemakkelijken.

Ze gaf het bedrijf opdracht om links te verwijderen die in zoekresultaten voor de naam van de persoon verschenen, en gaf Google opdracht om de procedure voor verwijderingsverzoeken aan te passen door bijlagen toe te staan, directe contactgegevens te verstrekken en geautomatiseerde antwoorden te stoppen.

In Nederland onthult een screenshot, gedeeld door een cybersecurity-expert (en voormalig leidinggevende van de civiele inlichtingendienst) op het Bluesky-platform, dat Google Analytics gegevens verzamelt over sollicitanten bij de civiele en militaire inlichtingendiensten van het land.

Deze informatie bracht een parlementslid ertoe om de minister van Binnenlandse Zaken om opheldering te vragen.

De Poolse Autoriteit voor Gegevensbescherming (APD) heeft de beheerder van een website een boete van 350.000 euro (1.527.855 PLN) en zijn onderaannemer een boete van 4.590 euro (20.037 PLN) opgelegd wegens schending van de gegevensbeveiliging. Een verkeerde configuratie van de website leidde tot een datalek waarbij 21.453 personen werden getroffen.

In Roemenië kreeg het bedrijf Unicredit een boete van 15.000 euro (74.652 lei) opgelegd voor twee datalekken als gevolg van interne applicaties.

Deze waren niet getest voordat ze werden ingezet, en de APD bestraft het niet naleven van artikel 25(1) van de AVG, dat gegevensbescherming door ontwerp ("privacy by design") voorschrijft.

Na een bevel van de Britse overheid om de iCloud-encryptie te kraken, heeft Apple zojuist alle geavanceerde beveiligingsfuncties van iCloud uit het Verenigd Koninkrijk verwijderd.

Het bevel had specifiek betrekking op de functie die in 2023 werd geïntroduceerd en waarmee iCloud-gebruikers kunnen kiezen voor end-to-end-versleuteling van alle gegevens die in de cloud van het bedrijf worden opgeslagen. Dit garandeert dat geen enkele derde partij, inclusief Apple, toegang heeft tot de gegevens.

Het bedrijf had de keuze tussen het verwijderen van de versleutelingsfunctie of het creëren van een achterdeur die de versleuteling voor alle gebruikers wereldwijd in gevaar zou brengen; die tweede optie viel bij Apple af.

Tegelijkertijd vereist Zweden ook backdoors, wat Signal ertoe heeft aangezet te waarschuwen dat het land zou worden verlaten als dergelijke wetgeving zou worden aangenomen.

Laten we daaraan toevoegen dat de Verenigde Staten, volgens een artikel in Forbes van 24 februari, hetzelfde doel nastreven: toegang krijgen tot versleutelde gegevens.

 

Zuid-Korea heeft onlangs een wet inzake kunstmatige intelligentie aangenomen die in januari 2026 van kracht wordt.

De wet sluit aan op de Europese regelgeving inzake AI: ze introduceert verplichtingen voor AI-bedrijven, met name voor AI met grote impact en generatieve AI, met de nadruk op risicobeheer, gebruikersbescherming en transparantie.

De IAPP meldt dat een groep Amerikaanse senatoren van de "Senate Select Committee on Intelligence" op 5 februari een brief naar het Witte Huis heeft gestuurd om hun "bezorgdheid te uiten over de risico's voor de privacy en de nationale veiligheid die het onlangs opgerichte Department of Government Efficiency (DOGE) met zich meebrengt".

In de brief wordt betoogd dat de acties van het DOGE het risico met zich meebrengen dat geheime en andere gevoelige informatie openbaar wordt gemaakt, waardoor de nationale veiligheid in gevaar komt en de privacy van Amerikanen wordt geschonden.

Er lopen momenteel diverse rechtszaken over illegale toegang tot gegevens die door deze instanties worden verwerkt.

Het aantal verzoeken van inlichtingendiensten om gegevens die door GAFAM worden bewaard, is de afgelopen jaren enorm toegenomen.

Dit blijkt uit een onderzoek van het bedrijf Proton, gebaseerd op de transparantierapporten van Apple, Meta en Google tussen 2014 en 2024.

Zoals 01net opmerkt, zijn deze bedrijven volgens de Amerikaanse wetgeving (FISA, Cloud Act) verplicht om te voldoen aan verzoeken van autoriteiten die toegang willen tot telefoongesprekken, sms-berichten, e-mails of cloudback-ups.

“Verzoeken om toegang tot gebruikersgegevens (van welke nationaliteit dan ook), zoals e-mails of berichten, ingediend bij de Amerikaanse autoriteiten door Google, Apple en Meta in de afgelopen tien jaar zijn (…) gemiddeld met 600 toegenomen voor deze drie bedrijven.”

De Maleisische wetgeving inzake de bescherming van persoonsgegevens is aangescherpt om de bevoegdheden van de regelgevende instantie aanzienlijk te vergroten en de rechten van individuen te versterken.

Het zal in drie fasen worden geïmplementeerd gedurende de eerste helft van 2025, namelijk op 1 januari, vervolgens op 1 april en 1 juni.

Het onderzoek naar "trackingbestanden", uitgevoerd door diverse internationale media, waaronder Le Monde, France Info en het Franse nieuwsprogramma van 20.00 uur, onthult de omvang van de tracking en de details van de persoonsgegevens die door datahandelaren worden verwerkt.

De geolocatiegegevens van miljoenen gebruikers worden verzameld onder omstandigheden die vaak niet erg transparant zijn: zo kan online gamen op je smartphone via een app leiden tot de overdracht van gegevens zoals verbindingstijden, smartphonemodel of geografische locatie. Deze gegevens worden verzameld in gigantische bestanden die worden verkocht door tussenpersonen zoals de Amerikaanse Datastream Group.

In dit meest recente bestand zijn meer dan 47 miljoen mensen opgenomen.

De gegevens van iedereen kunnen worden aangetast, maar ook die van diplomaten, militairen of journalisten.