AP: Overheid moet heimelijk onderzochte burgers actief informeren
De Autoriteit Persoonsgegevens benadrukt dat de overheid verplicht is om burgers actief te informeren als ze heimelijk en onrechtmatig zijn onderzocht, zoals volgens NRC onlangs gebeurde bij leden van de moslimgemeenschap door het ministerie van Sociale Zaken.
Hoewel de AP aandringt op actieve informatieverstrekking door het ministerie aan de getroffen burgers, heeft het ministerie van Sociale Zaken geen plannen om hieraan te voldoen. Het ministerie stelt dat burgers die vermoeden dat ze heimelijk door de overheid zijn onderzocht zelf het initiatief moeten nemen om hun gegevens op te vragen. Daarnaast claimt het departement dat het lastig is om getroffenen te achterhalen en heeft het „geen zin om te gaan graven”.
Daarnaast claimt het departement dat het lastig is om getroffenen te achterhalen en heeft het „geen zin om te gaan graven”. De AP verwacht dat het ministerie uiteindelijk toch zal overgaan tot actieve informatieverstrekking en acht 'formele actie' niet noodzakelijk.
Belastingdienst handelt veel AVG-inzageverzoeken niet op tijd af
Het lukt de Belastingdienst vaak niet om op tijd te beslissen op verzoeken van belastingplichtigen om inzage in hun eigen persoonsgegevens die bij de fiscus gebruikt worden. De wettelijke termijn daarvoor wordt in vier op de vijf gevallen niet gehaald. Dit schrijft demissionair staatssecretaris Van Rij van Financiën in een brief aan de Tweede Kamer.
Iedere belastingplichtige kan bij de Belastingdienst een verzoek indienen met vragen over de verwerking van zijn of haar persoonsgegevens. De Belastingdienst moet de gegevens binnen één maand verstrekken. Deze termijn kan met twee maanden worden verlengd. In een groot deel van de gevallen blijken deze termijnen niet gehaald te worden. Eind augustus 2023 viel tachtig procent van het totaal aantal geregistreerde verzoeken buiten de wettelijke termijn.
Ten tijde van de inwerkingtreding van de AVG ontving de Belastingdienst zo'n honderdvijftig tot tweehonderd inzageverzoeken per jaar. Naar aanleiding van de toeslagenaffaire steeg dit aantal explosief. Vanaf begin 2020 zijn er ongeveer vijftienduizend verzoeken ingediend om inzage in de fraude signaleringsvoorziening (FSV).
Vanwege het niet op tijd behandelen van de inzageverzoeken werden er klachten bij de Autoriteit Persoonsgegevens ingediend, die daarop een 'normoverdragend' gesprek had met de Belastingdienst. De fiscus heeft vervolgens een interne audit naar het inzageproces uitgevoerd. Uit dit onderzoek bleek dat de Belastingdienst in de periode sinds 2021 56 procent van de reguliere AVG-inzageverzoeken niet binnen de wettelijke termijn afhandelde. "Zoals aangegeven wordt er hard gewerkt om de Belastingdienst AVG-compliant te maken", schrijft de staatssecretaris. Het doel is nu om de eerder gedane meldingen dit jaar nog weg te werken en nieuwe verzoeken binnen de wettelijke termijn af te handelen.
Belgische Katholieke Kerk moet zich verantwoorden voor bijhouden van namen 'ontdoopten'
De Belgische Katholieke Kerk moet zich voor een geschillenkamer van de Belgische privacytoezichthouder (GBA) verantwoorden voor het bewaren van namen en gegevens van 'ontdoopten'. Dat meldt VRT NWS. Verschillende mensen die zich hadden laten ontdopen dienden een klacht in bij de GBA omdat de katholieke kerk hun naam niet uit het doopregister haalt. De vraag is of het niet-schrappen van ontdoopten uit het doopregister in lijn is met de AVG.
Het bisdom stelt dat 'ontdopen' volgens de geloofsleer niet mogelijk is. "Een toegediend sacrament kan niet ongedaan gemaakt worden". Critici stellen dat de kerk de AVG overtreedt door gegevens te bewaren van mensen die expliciet hebben aangegeven vergeten te willen worden. De kerk stelt dat het schrappen van namen neerkomt op het 'vernietigen' van een 'historisch' document.
"Dat is een wel erg creatieve oplossing", zegt Bart Van Buitenen, AVG-specialist en docent privacy en security aan de Thomas More Hogeschool. "De AVG-wetgeving is namelijk ook van toepassing op fysieke documenten en met wat ik weet, heeft de Kerk zich daar ook aan te houden." Bruno Spriet, functionaris voor gegevensbescherming van de Rooms-Katholieke Kerk in België, stelt in een reactie dat de kerk zich wel aan de AVG houdt. "Het doopregister is een papieren document dat niet vrij toegankelijk is. Alleen met toestemming van de betrokkene kan het geraadpleegd worden."
AP: nieuwe registratiewet slecht voor positie sekswerkers
De Autoriteit Persoonsgegevens is het oneens met een wetsvoorstel over het registreren van sekswerkers. Het wetsvoorstel 'gemeentelijk toezicht seksbedrijven' houdt in dat gemeenten seksbedrijven kunnen verplichten hun sekswerkers te registreren. De AP verwacht dat de wet de positie van kwetsbare sekswerkers zal verslechteren en dat het voorstel kan leiden tot grote verschillen tussen gemeenten.
Door het registreren van gegevens van sekswerkers zouden gemeenten beter zicht krijgen op de seksbranche en daarnaast zou het helpen om bijvoorbeeld mensenhandel tegen te gaan. De AP maakt bezwaar tegen het voorstel, tenzij dat beter wordt onderbouwd. De toezichthouder verwacht dat als de wet van kracht wordt, sekswerkers in de praktijk het ongereguleerde circuit opzoeken uit vrees voor registratie en verlies van privacy. "Als dat gebeurt vallen zij mogelijk nog verder buiten het zicht en kunnen zij juist gemakkelijker slachtoffer worden van uitbuiting en andere misstanden zoals mensenhandel", schrijft de AP.
Volgens de toezichthouder gaat het wetsvoorstel niet in op een mogelijk averechts effect, hoewel de wetgever verplicht is ook daarnaar te kijken. "Het kabinet moet duidelijker maken hoe dit wetsvoorstel sekswerkers gaat helpen en wat ze gaan doen om averechtse effecten te voorkomen of in ieder geval beperken", zegt AP-vicevoorzitter Monique Verdier.
Brits parlement keurt omstreden Online Safety Bill goed
Het Britse parlement heeft de omstreden Online Safety Bill goedgekeurd. Volgens de Britse regering maakt de wet het internet veiliger, en wordt het Verenigd Koninkrijk hiermee zelfs "the safest place in the world to be online". Experts en burgerrechtenbewegingen waarschuwen echter voor een meer gecensureerd, afgesloten internet voor Britse internetgebruikers, waarbij de overheid al hun berichten kan inspecteren.
Een clausule van de wet geeft de Britse telecomtoezichthouder Ofcom de bevoegdheid om techbedrijven ertoe te verplichten berichten van hun gebruikers controleren. Volgens de Amerikaanse burgerrechtenbeweging EFF raakt dit zelfs berichten en bestanden die end-to-end versleuteld zijn om de privacy van gebruikers te beschermen. "De OSB staat de overheid toe om bedrijven te dwingen technologie te bouwen die kan scannen ongeacht encryptie - met andere woorden, een achterdeur in te bouwen", aldus de EFF.
Bedrijven die niet meewerken kunnen een boete van 18 miljoen pond of tien procent van de wereldwijde omzet krijgen, afhankelijk van welke hoger is.
Politie kan telefoonnummers anonieme Telegram-gebruikers opvragen
De politie kan chatapp Telegram vragen de persoonsgegevens van anonieme gebruikers te verstrekken. Dit blijkt uit documenten die BNR heeft ingezien na een aanvraag op grond van de Wet open overheid.
Zodra de persoonsgegevens van een Telegram-gebruiker essentieel blijken voor het verhelpen van bijvoorbeeld een levensbedreigende situatie, kan de politie deze gegevens aanvragen. Hiervoor kan de politie een formulier opsturen naar het Telegram-hoofdkantoor in Dubai. Het idee is dat er vervolgens een telefoonnummer of IP-adres retour komt. Telegram zegt zelf ‘0 bytes aan data’ met overheden te delen, maar volgens de Duitse IT-nieuwssite Heise heeft de Duitse federale politie al 230 keer persoonsgegevens opgevraagd bij Telegram.
Privacy is voor veel Telegram-gebruikers een belangrijk pluspunt. Het is de reden dat bijvoorbeeld klokkenluiders, protestbewegingen maar ook cybercriminelen de app kiezen voor hun berichtenverkeer.
noyb: Klachten wegens illegaal delen van persoonsgegevens door mobiele apps
Privacyorganisatie noyb heeft bij de Franse gegevensbeschermingsautoriteit CNIL drie klachten ingediend tegen Fnac (de grootste elektronicawinkel in Frankrijk), de vastgoed-app SeLoger en de fitness-app MyFitnessPal. De apps van deze bedrijven hebben illegaal toegang tot persoonlijke gegevens van gebruikers en delen deze met derden voor geavanceerde analyses zodra de apps worden geopend. Gebruikers hebben niet eens de keuze om toestemming te geven of het delen van hun gegevens te voorkomen. Deze aanpak is onwettig, stelt noyb.
Een van de klagers installeerde de apps MyFitnessPal, Fnac en SeLoger op zijn Android smartphone. Eenmaal geopend, begonnen de applicaties onmiddellijk met het verzamelen en met derden delen van persoonlijke gegevens, waaronder de unieke advertentie-ID (AdID) van Google, het model en merk van zijn apparaat en het lokale IP-adres. Zo'n uitgebreide gegevensverzameling maakt profilering van gebruikers mogelijk met het doel om vervolgens gepersonaliseerde advertenties en marketingcampagnes te tonen.
Twee van de drie mobiele apps toonden geen toestemmingsbanner bij het starten van de app. De derde app toonde een banner die de klager in theorie de keuze gaf om al dan niet toestemming te geven. In werkelijkheid begon de overdracht van hun persoonlijke gegevens zonder enige interactie van hun kant - en voordat ze zelfs maar de kans hadden gehad om over toestemming na te denken.
Noyb verzoekt de CNIL om MyFitnessPal, Fnac en SeLoger te bevelen alle gegevens te verwijderen die onrechtmatig zijn verwerkt. Daarnaast moeten alle ontvangers van de gegevens van de klager worden geïnformeerd dat de klager heeft verzocht om de verwijdering van alle koppelingen, kopieën of reproducties van hun persoonlijke gegevens.
Noord-Ierse politie deelt per ongeluk gegevens van alle medewerkers
De Police Service of Northern Ireland (PSNI) heeft zich verontschuldigd voor het per ongeluk onthullen van gegevens van al haar 10.000 personeelsleden. De politiebond van Noord-Ierland zegt dat het datalek "onberekenbare schade" kan veroorzaken.
De Noord-Ierse politie deelde per ongeluk een spreadsheet met persoonsgegevens van medewerkers. De spreadsheet bevatte onder meer de namen en werklocaties van de medewerkers. De politie deelde de spreadsheet als onderdeel van een 'Freedom of Information'-verzoek. Daarmee kunnen burgers informatie van publieke instellingen opvragen, vergelijkbaar met Woo-verzoeken in Nederland. De details werden vervolgens online gepubliceerd, voordat ze werden verwijderd.
Chris Todd, hulpchef bij de PSNI, verontschuldigt zich tegenover Britse media en zei dat de fout 'onacceptabel' is. "We opereren op dit moment in een omgeving waarin er een ernstige terrorismedreiging voor onze collega's speelt en dit is het laatste wat iemand in de organisatie wil horen", vertelt hij daarbij. Noord-Ierse politieagenten zijn doelwitten geweest van republikeinen die Noord-Ierland willen herenigen met Ierland. Veel PSNI-medewerkers, vooral uit nationalistische gemeenschappen, houden hun werk geheim, in sommige gevallen zelfs voor familieleden. De recentste aanval op een agent vond plaats in februari, zegt de BBC.
