Soms zijn we verantwoordelijker dan we denken... of dan we willen.

Juridische Watch – september 2019.

Dit is het geval als u een eenvoudige plug-in op uw website installeert, ook al hebt u geen toegang tot de hiermee verzamelde gegevens.

Een recente uitspraak van het Hof van Justitie van de Europese Unie, bekend als "Fashion ID", bevestigt deze observatie door de verantwoordelijkheid van websitebeheerders die een Facebook-like-icoontje op hun pagina plaatsen, te verduidelijken.

Het invoegen van deze eenvoudige plug-in kan er dus toe leiden dat de beheerder van de site medeverantwoordelijk wordt voor de verwerking met het sociale netwerk dat deze gegevens verzamelt.

Technisch gezien maakt de eenvoudige invoeging van een plug-in op een webpagina de automatische overdracht van de verbindingsgegevens van bezoekers van deze pagina aan het betreffende sociale netwerk mogelijk, ongeacht of de bezoekers op het plug-in-icoontje klikken. In dit geval werden de gegevens van bezoekers van de website Fashion ID, een Duitse online modewinkel, dus systematisch doorgegeven aan Facebook. Dit is wat er tegenwoordig gebeurt met veel websites, of het nu gaat om online verkoop, nieuwssites of blogs. En de redenering die in dit geval op Facebook gericht is, kan worden uitgebreid naar elk sociaal netwerk of andere entiteit die dezelfde technologie gebruikt.

Het Hof van Justitie heeft verduidelijkt dat het feit dat de beheerder van de website geen toegang heeft tot de aldus verzonden gegevens, zijn aansprakelijkheid niet vermindert. Doorslaggevend blijft het feit dat hij samen met Facebook de doeleinden en middelen van de verwerking bepaalt. Het Hof leidt de mogelijke gezamenlijke aansprakelijkheid van de website en Facebook af uit de wederzijdse economische voordelen die zij uit deze samenwerking halen: voor Facebook de verrijking van zijn database en voor de beheerder van de website een optimalisatie van de reclame voor zijn producten op het sociale netwerk Facebook zodra een bezoeker op het "Vind ik leuk"-icoontje klikt.

Het Hof verduidelijkt dat de wettelijke verantwoordelijkheden en verplichtingen variëren afhankelijk van de verschillende aspecten van de verwerking: in dit geval kan Fashion ID niet verantwoordelijk worden gehouden voor de manier waarop Facebook de gegevens vervolgens verwerkt. Facebook moet bovendien een specifieke wettelijke basis voor deze verwerking bieden. De websitebeheerder is echter verplicht om zijn bezoekers afzonderlijk te informeren en hun toestemming te verkrijgen voor het verzamelen en doorgeven van deze gegevens aan het sociale netwerk.

Uit deze belangrijke uitspraak kunnen verschillende lessen worden getrokken. Het is daarom raadzaam om:

• Controleer systematisch de gebruiksvoorwaarden van plug-ins op uw website en de mogelijke voorwaarden voor de overdracht van gegevens aan derden,
• Controleer de aansprakelijkheidsclausules in contracten met deze derde partijen;
• Informeer bezoekers specifiek over deze verzameling en verkrijg hun aparte toestemming.

Deze voorzorgsmaatregelen zijn des te relevanter omdat de CNIL onlangs de strenge voorwaarden voor het verkrijgen van toestemming voor gerichte online advertenties heeft verduidelijkt en heeft aangekondigd dat zij haar controleactiviteiten in 2019 zal toespitsen op kwesties rond de verdeling van verantwoordelijkheden tussen de verschillende partijen die persoonsgegevens verwerken. 

Deze kwesties worden ook op Europees niveau aangepakt. De EDPB, waarin de gegevensbeschermingsautoriteiten van de Europese Unie (CNIL's) zijn verenigd, heeft gesprekken geïnitieerd met diverse sectorale organisaties om het referentie-advies van de toezichthoudende autoriteiten over de identificatie en rol van verwerkingsverantwoordelijken, gezamenlijke verwerkingsverantwoordelijken en verwerkers te actualiseren.

En ook:

• in Europa:

Brexit:

Wat zouden de voorwaarden zijn voor gegevensoverdracht naar het Verenigd Koninkrijk als het land de Europese Unie zonder akkoord zou verlaten? De EDPB publiceerde begin 2019 een nota waarin de voorwaarden en de verschillende toepasselijke rechtsgrondslagen werden beschreven. De Britse gegevensbeschermingsautoriteit beantwoordt ook veel vragen op haar officiële website.

Biometrie:

De Zweedse Autoriteit voor gegevensbescherming heeft op 21 augustus haar eerste sanctie op grond van de AVG opgelegd. Een school kreeg een boete van € 20.000,- opgelegd omdat ze een gezichtsherkenningssysteem voor leerlingen had ingevoerd, wat in strijd was met verschillende AVG-beginselen: ongeldige toestemming, gevoelige biometrische gegevens, het ontbreken van een voorafgaande effectbeoordeling en het niet raadplegen van de Autoriteit Persoonsgegevens.

Cloud en gegevensbescherming:

Het vooruitzicht van een Europese cloud met geharmoniseerde regels komt steeds dichterbij. Op 29 augustus vond in Den Haag de eerste bijeenkomst plaats van stakeholders uit de publieke en private sector, op Europees en internationaal niveau.

• in de wereld:

Elektronisch bewijs:

De voorwaarden waaronder gerechtelijke autoriteiten toegang kunnen krijgen tot elektronisch bewijsmateriaal ('e-bewijs') dat in het bezit is van bedrijven, zijn onderwerp van ontwikkelingen in Europa en internationaal. Het doel is om deze regels in Europa te harmoniseren, maar ook om met de Verenigde Staten tot overeenstemming te komen over de voorwaarden voor toegang tot deze gegevens, in het kader van de strijd tegen criminaliteit. Onder de Amerikaanse "Cloud Act" hebben de Verenigde Staten sinds maart 2018 toegang tot de gegevens van Amerikaanse bedrijven die in Europa gevestigd zijn. Het doel is om aan beide zijden van de Atlantische Oceaan overeenstemming te bereiken over deze toegangsvoorwaarden, met inachtneming van de regels voor gegevensbescherming.

ISO-norm:

De nieuwe ISO/IEC/27701-norm is begin augustus gepubliceerd. Deze norm is een uitbreiding van ISO/IEC 27001 en ISO/IEC 27002 en omvat privacymanagement, waarbij ook rekening wordt gehouden met de eisen van de AVG.

1 Het arrest past Richtlijn 95/46/EG toe, inmiddels ingetrokken bij Verordening (EU) 2016/679 (AVG). De bepalingen omtrent (mede)verantwoordelijkheid zijn in de nieuwe Verordening echter identiek gebleven.