Analytische tools: de impact van een rechterlijke uitspraak – en inlichtingendiensten – op onze websites.

Juridische Watch nr. 44 – Februari 2022

Analytische tools: de impact van een rechterlijke uitspraak – en inlichtingendiensten – op onze websitesHet arrest "Schrems II" van het Hof van Justitie van de Europese Unie werd ten tijde van de publicatie ervan in juli 2020 al beschouwd als een belangrijke uitspraak in het kader van de bescherming van persoonsgegevens, en meer specifiek van de doorgifte ervan naar de Verenigde Staten.

Tegenwoordig heeft dit steeds verstrekkender gevolgen, een logisch gevolg van de bevindingen van het Hof over de risico's die ontstaan als Amerikaanse inlichtingendiensten toegang krijgen tot Europese gegevens.

Deze gevolgen hebben nu ook gevolgen voor veelgebruikte hulpmiddelen, zoals oplossingen voor publieksmeting en Google Fonts.

Vorige maand hebben we al melding gemaakt van de opeenvolgende beslissingen die zijn genomen door de gegevensbeschermingsautoriteiten van Oostenrijk, Nederland, Noorwegen en Duitsland, waaraan ook die van de CNIL en de Liechtenstein.

Deze beslissingen volgen op klachten (in totaal 101) die Max Schrems en zijn vereniging NOYB (Europees Centrum voor Digitale Rechten) bij de autoriteiten hebben ingediend. Deze klachten zijn bedoeld om ervoor te zorgen dat GAFAM zich houdt aan de uitspraak van het Hof van Justitie.

De conclusies van de autoriteiten zijn als volgt:

• Cookie-identificatiegegevens en niet-geanonimiseerde IP-adressen, zoals gebruikt door Google Analytics, zijn persoonsgegevens.

Ze kunnen ook worden gecombineerd met andere identificeerbare gegevens die in het bezit zijn van derden (inlichtingendiensten).

• Het feit dat de gegevens via een Europese website worden verzameld, is niet relevant voor de beoordeling van het risico van toegang door derden : wat is de overdracht van gegevens naar de Verenigde Staten

• Overdrachten naar de Verenigde Staten zijn alleen toegestaan op voorwaarde dat er passende waarborgen zijn getroffen. worden genomen, naast standaard contractuele clausules, om bijvoorbeeld het risico te elimineren dat derden, de overheid, toegang krijgen tot gegevens.

• De gegevensbeschermingsautoriteiten waren van mening dat de de aanvullende garanties die Google nam, waren niet voldoende om de mogelijkheid van toegang tot gegevens door Amerikaanse inlichtingendiensten uit te sluiten.

De sancties bestaan momenteel voornamelijk uit waarschuwingen en bevelen om het gebruik van de beschuldigde hulpmiddelen te blokkeren door websitebeheerders. De CNIL meldt dat zij in dit verband verschillende formele kennisgevingsprocedures heeft gestart.

Hoewel Google Analytics op grote schaal wordt gebruikt, zal de impact van deze beslissingen niet beperkt blijven tot het volgende: gegevensbeschermingsautoriteiten breiden hun analyses uit naar andere hulpmiddelen die door sites worden gebruikt en die resulteren in de overdracht van gegevens van Europese internetgebruikers naar de Verenigde Staten ".

Veel Europese exploitanten, beheerders van locaties in de publieke of private sector, maken zich dan ook zorgen.

We weten dat voorkomen beter is dan genezen. In dat geval moeten we – als die er zijn – gebruikmaken van tools die geen persoonlijke gegevens verzamelen of op lokale servers opslaan.

De CNIL adviseert daarom om de tools uitsluitend te gebruiken voor het produceren van anonieme statistische gegevens, wat ook een vrijstelling van de toestemming van de gebruiker mogelijk maakt.

Er is een procedure gestart om bestaande oplossingen te evalueren en deze wordt gepubliceerd op haar website oplossingen die aan deze eisen voldoen, waaronder bijvoorbeeld Matomo, Wysistat, Beyable of Compass.

Laten we eens kijken naar het feit dat zelfs de meest deugdzame tools soms op verschillende manieren geconfigureerd kunnen worden: Het is de verantwoordelijkheid van de sitebeheerder om te controleren of de standaardconfiguratie voldoet aan de wettelijke vereisten..

In de huidige context is het beperken van gegevens die toegankelijk zijn voor derden in ieder geval een praktijk die moet worden aangemoedigd, ongeacht of de risico's van toegang van overzee of van elders komen.

En ook

Frankrijk:

De CNIL legt tot 11 maart 2022 een conceptstandpunt ter consultatie voor aan het publiek over ‘slimme’ camera’s. of ‘versterkt’ in de openbare ruimte.

Het publiceert ook zijn nieuwe strategische plan voor 2022-2024, rond drie prioritaire assen voor een betrouwbare digitale samenleving: “het bevorderen van respect voor rechten, het promoten van de AVG als een troef en het richten van de regelgeving op onderwerpen met een hoog risico”.

De prioritaire controlethema’s voor het jaar 2022 zijn commerciële prospectie, de cloud en monitoring van telewerken.

Frankrijk lanceert een nationale bewustmakingscampagne over cybercriminaliteit, in samenwerking met de media, met als doel het publiek te wijzen op cybersecurityoplossingen. 

Europa:

Tijdens de plenaire vergadering van 22 februari heeft de De Europese Raad voor Gegevensbescherming (EDPB) heeft een brief aangenomen betreffende het Verdrag van de Raad van Europa inzake cybercriminaliteit en het tweede aanvullende protocol, brief waarin hij zijn bezorgdheid uitspreekt over de mogelijkheden voor derde-partij-regeringen om rechtstreeks gegevens op te vragen bij Europese dienstverleners.

Ook werden richtlijnen gepubliceerd over gedragscodes als instrumenten voor internationale gegevensoverdrachten, en een brief over aansprakelijkheidsvraagstukken in de context van kunstmatige intelligentie.

Op 15 februari lanceerde het Europees Comité voor gegevensbescherming ook zijn eerste gecoördineerde handhavingsactie met betrekking tot het gebruik van de cloud door de publieke sector.

Het cloudgebruik, dat in de EU in zes jaar tijd is verdubbeld, is tijdens de pandemie verder toegenomen, met gevolgen voor de naleving van de Europese regelgeving. Tweeëntwintig gegevensbeschermingsautoriteiten, waaronder de CNIL, zullen vragenlijsten sturen naar 75 overheidsinstanties om de naleving van de AVG te verifiëren en zo nodig formele inspecties uit te voeren.

CISPE, de organisatie van aanbieders van cloudinfrastructuurdiensten, heeft de goedkeuring van haar gedragscode voor gegevensbescherming door de EDPB aangekondigd..

Meerdere bedrijven hebben het contract al ondertekend, waaronder Aruba, Amazon Web Services, Elogic, Leaseweb, Outscale en OVHCloud.

De code biedt gebruikers met name de mogelijkheid om ervoor te kiezen om hun gegevens binnen de Europese Economische Ruimte op te slaan.

Ook NGO's kunnen onderworpen zijn aan controles: De Belgische Gegevensbeschermingsautoriteit heeft twee sancties opgelegd aan de ngo EU DisinfoLab en een van haar onderzoekers, na een melding bij de CNIL. De vastgestelde AVG-schendingen houden verband met de massale gegevensverzameling in het kader van een onderzoek naar de politieke voorkeuren van mensen die tweets over de "Benalla-affaire" hebben geplaatst.

In een belangrijke beslissing legde de Belgische gegevensbeschermingsautoriteit ook een boete van € 250.000 op aan het European Interactive Advertising Bureau (IAB Europe). wegens schending van de beginselen van legaliteit, loyaliteit en transparantie, gebrek aan technische en organisatorische gegevensbeschermingsmaatregelen, gebrek aan een register, impactanalyse en aanstelling van een DPO. Achter deze lijst van overtredingen schuilt het principe van "real time bidding" (het veilen van gegevens van internetgebruikers via platformen voor toestemmingsbeheer – CMP's) dat wordt bestraft vanwege de totale ondoorzichtigheid ervan voor de betrokkenen.

De Italiaanse autoriteit voor gegevensbescherming heeft een privéclub gesanctioneerd tot € 2.000,- omdat de bewakingscamera’s op de openbare weg waren gericht, zonder duidelijke bewegwijzering, in strijd met de artikelen 5(1)(a), 5(1)(c) en 13 van de AVG. 

In Nederland heeft de rechtbank Den Haag een werkgever veroordeeld die heimelijk een telefoongesprek met zijn werknemer opnam.Voor de rechtbank is het vermoeden dat een werknemer contact opneemt met zijn klanten om een eigen bedrijf op te zetten, niet voldoende om het heimelijk opnemen van telefoongesprekken te legitimeren.

Ook in Nederland legde de Autoriteit Persoonsgegevens een mediabedrijf een boete op van € 525.000,00: Laatstgenoemde heeft aan mensen die gebruik maakten van hun recht op toegang tot hun gegevens, gevraagd om een kopie van hun identiteitskaart, een verzoek dat als ongerechtvaardigd en in strijd met artikel 12(2) van de AVG wordt beschouwd.

De Spaanse Autoriteit voor Gegevensbescherming heeft een boete van € 200.000 opgelegd tegen de Spaanse voetbalbond voor het delen van de opname van een videoconferentie via Zoom, zonder voorafgaande mededeling of toestemming van de deelnemers. 

Ook in Spanje kreeg het wegtransportbedrijf Amazon een boete van € 2.000.000,00 voor het illegaal verzamelen van strafbladgegevens als onderdeel van hun wervingsproces.

Internationaal :

Het Internationale Comité van het Rode Kruis is zojuist het slachtoffer geworden van een zeer geavanceerde cyberaanval met mogelijk ernstige gevolgen. Gezien de gevoeligheid van de door de organisatie verwerkte gegevens. De website biedt voorbeeldige informatie voor het publiek vanaf 16 februari, met uitleg over de omstandigheden van de aanval, de mogelijke risico's en de genomen maatregelen om deze risico's te beperken.

Anne Christine Lacoste

Anne Christine Lacoste is partner bij Olivier Weber Avocat en is een advocaat gespecialiseerd in gegevensrecht. Zij was hoofd internationale betrekkingen bij de Europese Toezichthouder voor gegevensbescherming en werkte aan de implementatie van de AVG in de Europese Unie.