AP wil duidelijkheid over inzet Google-producten op scholen
De Autoriteit Persoonsgegevens wil vóór de start van het nieuwe schooljaar duidelijkheid van de overheid of Google-producten binnen het onderwijs conform de AVG kunnen worden gebruikt. Anders verwacht de AP dat het gebruik van Googles clouddiensten en Chromebooks in het Nederlandse onderwijs wordt gestaakt. Dat blijkt uit een brief die de AP vorige maand naar minister Dijkgraaf van Onderwijs stuurde.
Eerder bleek dat Google Workspace for Education niet volgens de regels van de AVG kon worden gebruikt. Daarop kwam Google met een verbeterplan, maar dat neemt niet alle risico's volledig weg, zo werd begin dit jaar duidelijk. De afgelopen weken hebben onderwijsinstellingen SURF en SIVON gesprekken gevoerd met Google over de aanvullende maatregelen die nodig zijn. Met Google is een plan overeengekomen om deze maatregelen alsnog door te voeren. Hierbij is afgesproken dat de eerste resultaten op 1 mei worden opgeleverd en dat uiterlijk op 9 juni de afgesproken maatregelen volledig zijn doorgevoerd.
De AP maakt zich ondanks de gedane inspanningen zorgen over de aanvullende bevindingen van OCW. Als het substantiële privacyrisico’s voor leerlingen betreft, dan kunnen scholen Google-producten in het nieuwe schooljaar mogelijk niet veilig inzetten. De AP verwacht dat de ministers (dan wel SURF en SIVON) nog voor de start van het nieuwe schooljaar uitsluitsel geven over de ernst van deze bevindingen en de gevolgen die deze hebben voor de privacy van leerlingen.
Italiaanse toezichthouder blokkeert ChatGPT om privacyproblemen
Als het aan de Italiaanse privacytoezichthouder Garante ligt, is het AI-chatprogramma ChatGPT voorlopig geblokkeerd in Italië. In afwachting van een onderzoek naar mogelijke privacyschendingen is ChatGPT gesommeerd om te stoppen met het verwerken van persoonsgegevens van mensen in Italië. De blokkade door de Garante is het eerste ingrijpen van een toezichthouder tegen ChatGPT.
De Garante heeft met name bezwaar tegen de manier waarop de trainingsdata voor de chatbot worden verzameld. Het programma komt daarbij namelijk regelmatig persoonsgegevens tegen. Die ‘massale verzameling en opslag van persoonsgegevens, met het oog op de ‘training’ van de algoritmen die aan de basis liggen van de werking van het platform’ is volgens de toezichthouder ongerechtvaardigd en dus illegaal. Bovendien informeert OpenAI, de ontwikkelaar van ChatGTP, gebruikers en andere personen wier gegevens het verzamelt hier niet over.
De blokkade van ChatGPT gaat volgens de Garante ‘onmiddellijk’ in en duurt ‘totdat het voldoet aan de privacyregels’. OpenAI moet binnen twintig dagen laten weten welke stappen het heeft genomen om aan het bevel van de toezichthouder te voldoen, op straffe van een boete van maximaal 20 miljoen euro of 4 procent van de jaaromzet. OpenAI heeft nog niet gereageerd.
EDPB neemt definitieve versies van drie Guidelines aan
Na een openbare raadpleging heeft de EDPB een definitieve versie van de 'Guidelines 01/2022 on data subject rights - Right of access' aangenomen. In deze Guidelines worden de verschillende aspecten van het recht van inzage geanalyseerd en wordt nauwkeuriger aangegeven hoe het recht van inzage in verschillende situaties moet worden toegepast. De guidelines bevatten onder meer verduidelijkingen over de werkingssfeer van het recht van inzage, de informatie die de verwerkingsverantwoordelijke aan de betrokkene moet verstrekken, de vorm van het verzoek om inzage, en het begrip 'kennelijk ongegronde of buitensporige verzoeken'. Na de openbare raadpleging zijn de Guidelines bijgewerkt en zijn verdere verduidelijkingen toegevoegd over verschillende aspecten die in de raadpleging naar voren waren gekomen.
Daarnaast heeft de EDPB ook definitieve versies aangenomen van de updates van de 'Guidelines for identifying a controller or processor’s lead supervisory authority' en de 'Guidelines on data breach notification'. Beide Guidelines betreffen een actualisering van de richtsnoeren van WP29 over dezelfde onderwerpen.
Europese toezichthouders richten ChatGPT taskforce op
Europese gegevensbeschermingsautoriteiten hebben op 13 april een taskforce opgericht om samen te werken en informatie uit te wisselen over de handhaving van de EU-wetgeving inzake ChatGPT-maker OpenAI.
De European Data Protection Board (EDPB) deed de aankondiging nadat verschillende Europese toezichthouders vroegen om meer coördinatie rond de AI-chatbot, die steeds meer in de gaten wordt gehouden. De Italiaanse privacytoezichthouder begon eind maart een onderzoek naar het Amerikaanse bedrijf en beval een tijdelijk verbod op de verwerking van persoonsgegevens van Italiaanse gebruikers door ChatGPT wegens mogelijke schendingen van de AVG. Ook Spanje heeft inmiddels een onderzoek naar ChatGPT geopend.
OpenAI heeft geen lokaal hoofdkantoor opgezet in een van de 27 landen van de Europese Unie, wat betekent dat de gegevensbeschermingsautoriteit van elk lidland nieuwe onderzoeken kan starten en verboden kan afdwingen.
Wetsvoorstel Cameratoezicht Douane naar de Kamer
Om smokkel en de daarmee samenhangende ondermijnende criminaliteit tegen te gaan, zet de Douane steeds vaker camera’s en drones in. Om de grondslag voor het gebruik van deze camerabeelden te verstevigen, heeft staatssecretaris van Financiën Aukje de Vries (Toeslagen en Douane) een wetsvoorstel over verwerking van persoonsgegevens bij de Douane naar de Tweede Kamer gestuurd.
De Douane zet op diverse plekken camera’s in ten behoeve van haar toezicht. Dan gaat het bijvoorbeeld om havens en luchthavens. De laatste tijd gebruikt de Douane ook steeds vaker drones, onder andere voor het herkennen van "uithalers": mensen die illegaal drugs uit containers in de haven halen. Op de camerabeelden kunnen persoonsgegevens voorkomen, zoals kentekens. Daarom wil de staatssecretaris de grondslagen, waarborgen en randvoorwaarden voor het gebruik van deze camerabeelden verder versterken.
Ierse toezichthouder neemt op 12 mei besluit over Meta EU-VS-overdrachten
Helen Dixon, de Ierse commissaris voor gegevensbescherming, verwacht dat de DPC op 12 mei een definitief besluit zal nemen in de zaak van Meta over de doorgifte van gegevens tussen de EU en de VS, zo meldt The Irish Times. Dixon onthulde de intenties van de DPC en merkte op dat de handhavingsacties van de toezichthouder in het algemeen "tijd kosten om goed te doen". De DPC kan zijn beslissing aanbieden nadat de EDPB de afronding heeft aangekondigd van zijn bindende artikel 65 beslissing in deze zaak.
AP tegen nieuwe wet orgaantransplantatie
De Autoriteit Persoonsgegevens adviseert tegen nieuwe wetgeving voor orgaandonatie en -transplantatie die het kabinet wil invoeren. Het huidige wetsvoorstel is niet duidelijk genoeg, stelt de AP. Het gaat om een aanpassing van de Wet actualisering lichaamsmateriaalwetgeving. Het conceptwetsvoorstel introduceert aanvullende regels voor het doneren en transplanteren van bijvoorbeeld nieren en huidweefsel.
Volgens de AP maakt het voorstel onvoldoende duidelijk welke persoonsgegevens er straks verzameld mogen worden door het nationale meldpunt voor orgaanhandel. Bij deze instantie kunnen zorgverleners een melding maken als zij weet hebben van een orgaantransplantatie die buiten de reguliere paden om heeft plaatsgevonden. Het gaat dan bijvoorbeeld om mensen die een transplantatie in het buitenland ondergaan en zich later in Nederland met complicaties bij een arts melden. Die kan vervolgens een melding doen bij het nationaal meldpunt. Dat zou vervolgens beleid kunnen opstellen om illegale transplantaties tegen te gaan. "Onduidelijk is echter welke persoonsgegevens het meldpunt gaat verzamelen van mensen die mogelijk zo’n transplantatie hebben ondergaan. Dit is een belangrijk punt, want een transplantatie is bij uitstek een persoonlijke, privacygevoelige aangelegenheid", stelt de Autoriteit Persoonsgegevens.
Het meldpunt zou daardoor meer persoonsgegevens kunnen krijgen dan redelijk is. "Dat zou dan niet langer proportioneel zijn en om die reden onrechtmatig", aldus de AP. De toezichthouder adviseert het kabinet niet met het conceptwetsvoorstel door te gaan, tenzij het duidelijker maakt welke persoonsgegevens er wel en niet mogen worden verzameld.
