Juridisch Nieuws nr. 61 – juli 2023.

API's vormen de kern van het delen van persoonsgegevens.

Applicatieprogrammeersinterfaces, meestal "API's" genoemd naar hun Engelse naam "application programming interface", worden vaak gebruikt om het delen van informatie tussen publieke of private organisaties te vergemakkelijken.

Deze gegevensdeling wordt ondersteund door de wetgever, zoals bevestigd door de Europese strategie voor digitale soevereiniteit: deze heeft tot doel een interne datamarkt te ontwikkelen "door verantwoorde toegang, delen en hergebruik te ondersteunen, in overeenstemming met de waarden van de Europese Unie en in het bijzonder de bescherming van persoonsgegevens."

Het vormt een aanvulling op de Europese strategie voor kunstmatige intelligentie.

API's kunnen, mits ze vanaf de ontwerpfase van het deelsysteem rekening houden met gegevensbescherming, een gunstig technisch kader bieden dat voldoet aan de AVG.

De CNIL moedigt het gebruik ervan daarom aan in een aanbeveling die op 7 juli is aangenomen.

Ze benadrukt met name het belang van een beveiligingsniveau dat in verhouding staat tot de risico's van hergebruik, en van het beperken van het delen van gegevens tot het absoluut noodzakelijke.

De aanbeveling richt zich op drie soorten actoren: gegevenshouders, API-beheerders en gegevensgebruikers.

De gegevenshouder wordt gekenmerkt door het feit dat het gegevens op een technische of organisatorische manier beheert.

Een API-manager is de organisatie die verantwoordelijk is voor een deel of alle technische componenten waarop het delen van gegevens is gebaseerd.

Eindelijk, de datahergebruiker Een organisatie die van plan is om via API's toegang te krijgen tot gegevens of deze te ontvangen voor eigen gebruik, wordt als zodanig beschouwd.

De CNIL (Franse Autoriteit voor Gegevensbescherming) benadrukt dat dezelfde organisatie meerdere rollen kan vervullen, bijvoorbeeld wanneer de verantwoordelijke voor de gegevensverwerking zelf een API ontwikkelt: in dat geval is de organisatie ook de API-beheerder en moet zij de aanbevelingen voor beide rollen naleven. Het is daarom essentieel om de eigen specifieke rol bij het gebruik van een API te bepalen.

Elke categorie is gericht op maatregelen die het mogelijk maken het gewenste beveiligingsniveau te bereiken en te voldoen aan de beginselen van gegevensbescherming.

De belanghebbenden worden aangemoedigd om samen te werken bij de uitvoering van deze aanbevelingen.                              

• Gegevenshouders zullen bijzondere aandacht moeten besteden aan het informeren van hergebruikers, de nauwkeurigheid en integriteit van de gegevens, en de gegevensbeveiliging (scheiding en beschikbaarheid, authenticatie, logging).
• API-managers zullen zich richten op documentatie, dataminimalisatie, het uitoefenen van rechten met betrekking tot het delen van gegevens en beveiliging (communicatie, beveiliging van informatiesystemen, logging).
• Hergebruikers hebben specifieke verplichtingen met betrekking tot het informeren van de betrokkenen, het minimaliseren van gegevens en de beveiliging (risicobeheer, het beveiligen van sleutels, logboekregistratie).

De aanbeveling heeft betrekking op specifieke gevallen van gegevensdeling, bijvoorbeeld tussen sociale netwerken en onderzoekers, of het openstellen van overheidsgegevens.

De kwalificatie van de verschillende actoren doet geen afbreuk aan hun status als verwerkingsverantwoordelijke of gegevensverwerker in de zin van de AVG.

Er kunnen echter enkele richtlijnen worden getrokken: de gegevenshouder is over het algemeen verantwoordelijk voor de verwerking van de gegevensdeling, voor zover hij vrijelijk heeft besloten over de doeleinden en middelen van de verwerking of wanneer hij wettelijk verplicht is deze uit te voeren.

De hergebruiker is vaak een "ontvanger" in de zin van de AVG.

De API-manager treedt op als onderaannemer, dat wil zeggen in opdracht van en onder de instructies van de gegevenshouder en/of de hergebruiker.

De aanbevelingen van de CNIL zullen naar verwachting spoedig worden aangevuld met de welkome publicatie van praktijkvoorbeelden op de website van de Commissie.

 

En ook

• Op 27 juli publiceerde de CNIL een oproep tot inzendingen met betrekking tot haar werk op het gebied van AI.

Bij deze gelegenheid geeft ze een eerste update over de voortgang van haar werk na de publicatie van haar actieplan over kunstmatige intelligentie op 16 mei, en lanceert ze een oproep tot bijdragen om haar denkproces te voeden, voorafgaand aan de eerste publicaties die voor het najaar gepland staan.

• De CNIL stelt ook een nieuwe "sandbox" voor ter ondersteuning van drie projecten die kunstmatige intelligentie (AI) inzetten ten behoeve van de publieke dienstverlening.

De oproep tot het indienen van projecten staat open tot en met 30 september 2023.

• Als onderdeel van haar actieplan voor mobiele applicaties publiceert en legt de CNIL een ontwerp-aanbeveling ter openbare raadpleging voor. Deze aanbeveling is bedoeld om de verplichtingen van de verschillende actoren in dit ecosysteem te verduidelijken, de naleving ervan te vergemakkelijken en de implementatie van goede praktijken te bevorderen.
• Meer dan zestig Europese ngo's hebben op 26 juli een brief gestuurd naar Europees Commissaris Thierry Breton met het verzoek om opheldering over zijn recente opmerkingen waarin hij suggereerde dat het blokkeren van online platforms een toepasbare en gerechtvaardigde maatregel zou kunnen zijn onder de Digital Services Act (DSA).

Deze opmerkingen volgden op uitspraken van de president van de republiek, waarin hij de mogelijkheid opperde om de toegang tot sociale mediaplatformen te blokkeren in het kader van verstoringen van de openbare orde.

NGO's vrezen dat deze opmerkingen overheden wereldwijd ertoe kunnen aanzetten om willekeurig online platforms te blokkeren.

Zij verzoeken de Europese Commissie ervoor te zorgen dat de implementatie en toepassing van de DSA door de lidstaten niet leidt tot een te ruime interpretatie van deze maatregelen, wat in strijd zou zijn met de reguleringsdoelstellingen en een schending van het Handvest van de grondrechten van de EU zou betekenen.

• Op 26 juni oordeelde de Raad van State dat het recht op rectificatie kan worden gebruikt om gegevens te corrigeren na een identiteitswijziging, maar niet met terugwerkende kracht om documenten van vóór de identiteitswijziging te corrigeren: deze eerdere gegevens kunnen immers niet als onjuist worden beschouwd.
• De Nationale Vergadering heeft op 28 juni unaniem het wetsvoorstel aangenomen om een digitale meerderheid te creëren en online haat te bestrijden.

Het project werd op 29 juni 2023 ook unaniem door de Senaat aangenomen.

De tekst stelt de digitale meerderjarigheid vast op 15 jaar, de leeftijd vanaf welke een minderjarige geen toestemming van de ouders meer nodig heeft om zich te registreren op een sociaal netwerk.

 

Europese instellingen en organen

• Op 10 juli heeft de Europese Commissie haar adequaatheidsbesluit voor het "EU-VS-kader voor gegevensbescherming" aangenomen, waarin zij concludeert dat de door de Verenigde Staten gegarandeerde bescherming van overgedragen gegevens vergelijkbaar is met die in de EU.

Het nieuwe kader is op 11 juli in werking getreden.

Volgens de Commissie introduceren de Amerikaanse toezeggingen "nieuwe bindende garanties om alle zorgen van het Europees Hof van Justitie aan te pakken, met name door de toegang van de Amerikaanse inlichtingendiensten tot EU-gegevens te beperken tot wat noodzakelijk en proportioneel is en door een rechtbank voor gegevensbescherming op te richten."

Het is dan ook geen verrassing dat Max Schrems van mening is dat het nieuwe transatlantische kader voor de bescherming van persoonsgegevens grotendeels een kopie is van het "Privacy Shield" en dat hij de beslissing voor de rechter zal aanvechten.

Het Europees Comité voor gegevensbescherming (EDPB) heeft op zijn beurt een informatienota gepubliceerd om de betrokken bedrijven en personen te begeleiden.

• Op 4 juli publiceerde de Europese Commissie haar "Voorstel voor een verordening tot vaststelling van aanvullende procedurele regels voor de toepassing van de AVG", bedoeld om een consistente toepassing van de verordening in grensoverschrijdende gevallen te waarborgen.

In een bericht op Twitter verwelkomde het EDPB de snelle reactie van de Commissie op haar verzoeken om verduidelijking.

De voorgestelde regelgeving wordt echter bekritiseerd door sommige ngo's, die erop wijzen dat deze het risico met zich meebrengt dat burgers minder in staat zijn om klachten in te dienen bij de gegevensbeschermingsautoriteiten in gevallen van misbruik van hun gegevens.

• Aangesloten apparaten, zoals bewakingscamera's, koelkasten en smart-tv's, zouden binnenkort betere bescherming kunnen bieden tegen cyberaanvallen.

De EU-lidstaten hebben onlangs overeenstemming bereikt over een gemeenschappelijk standpunt met betrekking tot de beveiligingsvereisten voor de bovengenoemde digitale producten.

De voorgestelde wetgeving inzake cyberweerbaarheid zou verplichte eisen invoeren voor het ontwerp, de ontwikkeling en de productie van apparaten.

• In een arrest van 4 juli 2023 heeft het Hof van Justitie van de Europese Unie een standpunt ingenomen in een geschil tussen Meta en een Duitse mededingingsautoriteit.

Het Hof van Justitie van de EU oordeelde dat een mededingingsautoriteit een schending van de AVG kan vaststellen en, zonder de gegevensbeschermingsautoriteit te vervangen, vrij blijft om vanuit het perspectief van de toepassing van het mededingingsrecht tot haar eigen conclusies te komen.

Het Hof van Justitie van de EU merkt ook op dat Facebook waarschijnlijk "gevoelige" gegevens over gebruikersactiviteit verwerkt zonder dat de gebruiker deze noodzakelijkerwijs openbaar wilde maken, waardoor de uitzondering op de toestemmingsplicht vervalt.

De rechtbank verwierp tevens Meta's beroep op de noodzaak tot contractuitvoering en een gerechtvaardigd belang om de personalisatie van content te rechtvaardigen.

Tot slot merkt het rapport op dat de dominante positie van Facebook op de markt voor sociale netwerken vragen oproept over de geldigheid van toestemming, en dat het aan de exploitant is om te bewijzen dat toestemming daadwerkelijk vrijwillig is gegeven.

Meta heeft op 1 augustus aangekondigd dat het de wettelijke basis voor zijn gerichte advertenties in Europa wil wijzigen: het bedrijf zal voortaan om toestemming van de gebruikers vragen.

Deze wijziging is een direct gevolg van de beslissingen van het EDPB en van nationale en Europese rechterlijke instanties.

• In het kader van de besprekingen over het ontwerp van de Europese verordening inzake persvrijheid roepen 80 maatschappelijke organisaties, mediaorganisaties, uitgevers en omroepen, evenals vakbonden, het Europees Parlement op om het gebruik van spyware tegen journalisten zonder uitzondering te verbieden.
• Op 3 juli schreven maatschappelijke organisaties en internetdeskundigen ook een brief aan de commissarissen Jourova en Reynders om hun grote bezorgdheid te uiten over het door de Britse regering voorgestelde wetsvoorstel inzake gegevensbescherming en digitale informatie (DPDI). Dit wetsvoorstel zou het Verenigd Koninkrijk veranderen in een "lekkende klep" en de rechten op gegevensbescherming van Europese burgers ondermijnen.

 

Nieuws uit de lidstaten van Europa.

• De Belgische Autoriteit voor Gegevensbescherming (APD) oordeelde dat een apothekersvereniging, door gegevens over tuchtrechtelijke sancties opgelegd op grond van een oude regeling voor onbepaalde tijd te bewaren, onder meer de beginselen van rechtmatigheid, doelbinding, dataminimalisatie, nauwkeurigheid en bewaartermijn schendt.

De vereniging kreeg een boete van 30.000 euro.

• Volgens de Belgische Autoriteit voor Gegevensbescherming is een gegevensverwerker gevestigd in de Verenigde Staten, wiens activiteiten onder meer het organiseren van conferenties in Europa omvatten, onderworpen aan de AVG en moet deze onder andere een vertegenwoordiger in België aanstellen.
• De Letse Autoriteit voor Gegevensbescherming (APD) oordeelde dat het gebruik van een unieke persoonsidentificatiecode onvoldoende was om een betrokkene duidelijk te identificeren en de onrechtmatige openbaarmaking van bijzondere categorieën persoonsgegevens door de nationale zorgverlener te voorkomen.

Het gebruik van aanvullende criteria, zoals de naam van de betrokkene, was noodzakelijk.

• Het Spaanse Agentschap voor Gegevensbescherming (APD) heeft een bewaker een boete van 10.000 euro opgelegd voor het maken van opnames van het CCTV-systeem van een gevangenis en het verspreiden ervan via WhatsApp, in strijd met artikel 6 van de AVG.
• In een besluit van 22 juni heeft de Italiaanse Autoriteit voor Gegevensbescherming (APD) het Italiaanse snelwegbedrijf een boete van één miljoen euro opgelegd omdat het zijn rol als verwerkingsverantwoordelijke in het kader van het gebruik van cashbackdiensten niet had vastgesteld.
• De IJslandse Autoriteit voor Gegevensbescherming (APD) heeft het Bureau van de Nationale Medische Onderzoeker een boete van ongeveer 82.000 euro opgelegd wegens meerdere schendingen van de AVG (Algemene Verordening Gegevensbescherming) na een beveiligingslek op de website van Heilsuvera, die een online zorgsysteem en receptenportaal aanbiedt.
• Na een audit bij vier bedrijven die Google Analytics op hun websites gebruikten, heeft de Zweedse Autoriteit voor Gegevensbescherming deze bedrijven bevolen te stoppen met het gebruik van de tool.

Twee van de bedrijven kregen een administratieve boete, terwijl een ander bedrijf vrijwillig stopte met het gebruik van de tool.

De audits werden uitgevoerd naar aanleiding van klachten van de organisatie noyb, die de bedrijven beschuldigde van het illegaal overdragen van persoonsgegevens naar de Verenigde Staten, in strijd met de Europese wetgeving.

• Naar aanleiding van de bovengenoemde uitspraak van het Hof van Justitie van de EU heeft de Noorse Autoriteit voor Gegevensbescherming gedragsgerichte reclame op Facebook en Instagram illegaal verklaard.

De socialemediamaatschappij mag deze aanpak de komende drie maanden, of totdat zij kan aantonen dat zij voldoet aan de Noorse wetgeving, niet langer gebruiken.

 

• Half juli presenteerde het Witte Huis tussentijdse maatregelen in de vorm van vrijwillige toezeggingen voor "veilige, betrouwbare en transparante ontwikkeling en gebruik van AI".

Amazon, Anthropic, Google, Inflection, Meta, Microsoft en OpenAI zijn overeengekomen om prioriteit te geven aan onderzoek naar de maatschappelijke risico's van AI-systemen en om het ontdekken en melden van problemen en kwetsbaarheden aan te moedigen.

Volgens sommige academische experts zijn deze overeenkomsten echter verre van voldoende.

"De Verenigde Staten blijven vrijwillige maatregelen aanbieden, terwijl de Europese Unie op het punt staat de meest uitgebreide AI-wetgeving tot nu toe aan te nemen," aldus Brandie Nonnecke, oprichtend directeur van het Citris Policy Lab aan de Universiteit van Berkeley.

• Ondertussen onderzoekt de Federal Trade Commission (FTC) OpenAI naar de werking van ChatGPT. Er worden gedetailleerde vragen gesteld over de financiële inkomsten, hoe modellen worden getraind en gegevens worden verwerkt, beveiligingsrisico's en -procedures, het genereren van content over individuen, externe aanvallen om het LLM te manipuleren ("promptinjecties") en de bescherming van persoonsgegevens.
• OpenAI heeft de ontwikkeling van zijn tool voor het onderscheiden van door mensen en door AI gegenereerde tekst stopgezet: "Vanaf 20 juli 2023 is de AI-classificator niet langer beschikbaar vanwege de lage nauwkeurigheid." Het bedrijf zet zijn onderzoek voort om een effectievere tool te ontwikkelen.
• Amazon heeft ermee ingestemd om meer dan 30 miljoen dollar te betalen ter schikking van twee rechtszaken die door de FTC waren aangespannen wegens schending van de privacy van gebruikers, waaronder kinderen, via de spraakassistent Alexa en de Ring-deurbelcamera's.

Amazon werd ervan beschuldigd Ring-video-opnames en Alexa-spraakopnames, samen met de bijbehorende geolocatiegegevens, jarenlang zonder toestemming te hebben bewaard, ondanks verzoeken van consumenten om deze gegevens te verwijderen.

• De Infocomm Media Development Authority van Singapore heeft een samenwerking met Google aangekondigd ter ondersteuning van een "tech sandbox"-initiatief.

Dit initiatief zal bedrijven helpen om "de privacy van gebruikers te beschermen en hen tools te bieden waarmee ze toegang tot gegevens kunnen blijven houden zonder gebruik te maken van cookies van derden."

Het IMDA-Google-partnerschap staat open voor alle bedrijven die in Singapore gevestigd zijn.

• De Zuid-Afrikaanse toezichthouder op de gegevensbescherming heeft op 3 juli een kennisgeving van overtreding en een administratieve boete van 5 miljoen rand (ongeveer 240.000 euro) opgelegd aan het ministerie van Justitie en Constitutionele Ontwikkeling wegens het niet naleven van de Wet bescherming persoonsgegevens (POPIA).

De toezichthouder had in mei een gerechtelijk bevel uitgevaardigd, waarin het ministerie werd verzocht bepaalde IT-beveiligingslicenties (antivirus, anti-inbraak, SIEM) te verlengen en een disciplinaire procedure te starten tegen de betrokken functionarissen.

• In Vietnam is op 1 juli een decreet inzake de bescherming van persoonsgegevens in werking getreden.

Het voorziet met name in het uitvoeren van effectbeoordelingen van gegevensoverdrachten en de aanstelling van een functionaris voor gegevensbescherming bij de verwerking van gevoelige gegevens.

• De Meta-dochters Onavo en Facebook Israël kregen op 26 juli in Australië een boete van 20 miljoen Australische dollar opgelegd omdat ze VPN-gebruikers niet adequaat hadden gewaarschuwd dat hun gegevens voor commerciële doeleinden zouden worden verzameld.

De sanctie die de Australische ACCC (Competition and Consumer Protection Authority) heeft opgelegd, is de zwaarste ooit in Australië opgelegd met betrekking tot privacybescherming.