EDPS brengt advies uit over EU-brede cyberbeveiligingseisen
De EDPS heeft eind vorig jaar zijn advies 'Opinion on a proposed Regulation laying down cybersecurity requirements for products with digital elements' gepubliceerd. Concreet beoogt de voorgestelde verordening de vaststelling van EU-brede cyberbeveiligingseisen voor een breed scala aan hardware- en softwareproducten. Het gaat bijvoorbeeld om browsers, besturingssystemen, firewalls, netwerkbeheersystemen, slimme meters en routers.
Wojciech Wiewiórowski van de EDPS zei: "De cyberbeveiliging van producten met digitale elementen is van het grootste belang om de fundamentele rechten van personen in het digitale tijdperk, waaronder hun recht op privacy en gegevensbescherming, doeltreffend te beschermen. Geharmoniseerde cyberbeveiligingseisen in de hele EU moeten de risico's voor Europeanen om het slachtoffer te worden van cyberaanvallen en de enorme gevolgen die deze kunnen hebben, zoals diefstal en misbruik van hun persoonsgegevens, verkleinen."
In zijn advies herhaalt de EDPS dat op grond van de AVG de verwerkingsverantwoordelijke en de verwerker moeten zorgen voor een passend niveau van beveiliging van de verwerking van persoonsgegevens. Bovendien moeten gegevensbeschermingsbeginselen worden verankerd in de ontwikkeling van technologieën die persoonsgegevens verwerken, waaronder veel producten met digitale elementen. De EDPS is ingenomen met de maatregelen van de voorgestelde verordening die van de beginselen van beveiliging en minimalisering van gegevens een essentieel onderdeel van de EU-brede cyberbeveiligingseisen maken. Niettemin beveelt de EDPS sterk aan om ook de beginselen van privacy by design en by default op te nemen als essentieel onderdeel van deze vereisten.
Europese Commissie publiceert ontwerpbesluit inzake adequaatheid VS
Op 13 december 2022 heeft de Europese Commissie haar langverwachte ontwerpbesluit inzake adequaatheid voor gegevensstromen tussen de EU en de VS gepubliceerd.
Het EU-VS-kader voor gegevensprivacy is bedoeld om tegemoet te komen aan de bezwaren die het HvJEU heeft geuit in zijn Schrems II-besluit van juli 2020, waarbij het EU-US Privacy Shield nietig werd verklaard.
Het ontwerpbesluit van 13 december volgt op de ondertekening van een US Executive Order door president Biden op 7 oktober van dit jaar.
Het ontwerpbesluit is nu gepubliceerd en voor advies toegezonden aan de EDPB. In het ontwerpbesluit wordt geconcludeerd dat de Verenigde Staten een passend beschermingsniveau bieden voor persoonsgegevens die vanuit de EU aan bedrijven in de VS worden doorgegeven.
De voorlopige reactie van Max Schrems (noyb) is dat het ontwerpbesluit op het eerste gezicht onwerkbaar lijkt: "Aangezien het ontwerpbesluit gebaseerd is op het bekende uitvoeringsbesluit, zie ik niet hoe dit een beroep bij het Hof van Justitie zou overleven. Het lijkt erop dat de Europese Commissie keer op keer soortgelijke besluiten neemt - in flagrante strijd met onze grondrechten."
EU Hof haalt streep door openbaar UBO-register
Het openbare UBO-register zoals dat in Nederland en ook in andere Europese lidstaten bestaat, vormt een ernstige aantasting van de grondrechten van burgers, is niet beperkt tot wat strikt noodzakelijk is en niet proportioneel, aldus het Hof van Justitie van de Europese Unie (HvJEU).
UBO staat voor Ultimate Beneficial Owner en betreft de eigenaren van een onderneming of de mensen die zeggenschap over een organisatie of vereniging hebben. Sinds 27 september 2022 moeten UBO's in het UBO-register worden ingschreven. Het register volgt uit de Europese vijfde anti-witwasrichtlijn en moet financieel-economische criminaliteit tegengaan, zoals witwassen van geld, belastingontduiking, fraude en financiering van terrorisme.
Een deel van de gegevens van de UBO is openbaar. Het betreft voornaam en achternaam, geboortemaand en -jaar, nationaliteit, woonstaat en aard en omvang van het economische belang van de UBO. De openbaarheid van gegevens zou een afschrikkende werking hebben op personen die geld willen witwassen of terrorisme willen financieren.
Op 22 november 2022 zette het HvJEU een streep door het openbare UBO-register en verklaarde dit onderdeel van de antiwitwasrichtlijn ongeldig.
ETIAS: adviesraad benoemd
De werkzaamheden aan het Europees reisinformatie- en autorisatiesysteem ETIAS (European Travel Information and Authorisation System) zijn gevorderd: het Europees Agentschap voor de veiligheid van de grenzen en de kust (Frontex) heeft maandag bekendgemaakt dat een nieuw orgaan dat ervoor moet zorgen dat het systeem overeenkomstig de grondrechten functioneert, met zijn werkzaamheden is begonnen.
Met de invoering van ETIAS eind dit jaar zullen reizigers uit meer dan 60 visumvrije landen een ETIAS-reisvergunning moeten aanvragen om 30 Europese landen binnen te komen. De bedoeling is dat ETIAS de controleprocedures bij aankomst zal verminderen en de tijd die nodig is om de buitengrenzen van de EU te overschrijden zal verkorten.
In een persbericht heeft Frontex aangekondigd dat het nieuwe orgaan, genaamd de Fundamental Rights Guidance Board, verantwoordelijk zal zijn voor het uitvoeren van systematische evaluaties van het ETIAS met betrekking tot privacy, gegevensbescherming en non-discriminatie.
De adviesraad is samengesteld uit vertegenwoordigers van de Frontex Fundamental Rights Officer, het Frontex Consultative Forum on Fundamental Rights, de EDPS, de EDPB en de European Union Agency for Fundamental Rights.
De lancering van het ETIAS is gepland voor 1 november 2023.
CNIL bezorgd over cameratoezicht Olympische Spelen
De Franse privacytoezichthouder CNIL maakt zich ernstig zorgen over de wetgeving die Franse regering voor de Olympische Spelen en Paralympische Spelen van 2024 in Parijs wil invoeren, waaronder de experimentele inzet van "augmented" toezichtcamera's die via algoritmes potentieel gevaarlijke situaties moeten herkennen.
Volgens CNIL bevat de wetgeving verschillende bepalingen die direct invloed hebben op de persoonlijke levenssfeer en bescherming van privégegevens. Het gaat om het gebruik van genetische afdrukken voor antidopingcontroles, de mogelijke inzet van bodyscanners om bepaalde evenementen te bezoeken, de uitbreiding van screeningprocedures, de uitbreiding van het soort beeldmateriaal dat agenten in controlekamers mogen bekijken en het voldoen van veiligheidsrichtlijnen aan de AVG.
Verder noemt de Franse privacytoezichthouder ook het gebruik van algoritmes om videomateriaal te verwerken dat is verzameld via beveiligingscamera's en camera's op drones. Hiermee moeten dan in real-time potentieel gevaarlijke situaties voor het publiek worden herkend. Het gaat dan om bewegingen van groepen, bagage, gebaren of 'verdacht gedrag'. "Het gebruik van deze apparaten zorgt voor nieuwe en aanzienlijke risico's op het gebied van privacy: deze analysetools kunnen leiden tot een gigantische verzameling van persoonlijke data en maken geautomatiseerde surveillance in real-time mogelijk."
De CNIL waarschuwt dat de uitrol van deze apparatuur zorgt voor een kantelpunt dat zal bijdragen aan het bepalen van de algemene rol die zal worden toegekend aan deze technologieën, en meer in het algemeen aan kunstmatige intelligentie. Vorig jaar juli pleitte de toezichthouder al voor kaders voor de inzet van dergelijke technologie. De toezichthouder waarschuwt dat al de genoemde bepalingen in het wetsvoorstel grote risico's vormen voor de bescherming van gegevens en de privacy van individuen.
Naar aanleiding van de kritiek van de CNIL en de Franse Raad van State is de Franse regering onlangs met een nieuw wetsvoorstel gekomen. Daarover heeft de Franse privacytoezichthouder nog geen oordeel gegeven.
In 2022 ruim 830 miljoen euro boete voor AVG-schendingen, Meta betaalde ruim 80%
Uit de laatste door Atlas VPN geanalyseerde gegevens blijkt dat bedrijven in 2022 in totaal €832 miljoen aan AVG-boetes hebben gekregen, wat 36% lager is dan de €1,3 miljard die in 2021 moest worden betaald.
De gegevens zijn afkomstig van Enforcementtracker.
Opvallend is dat 80% van het totale boetebedrag in 2022 werd opgelegd aan één enkele techreus - Meta.
Meta Facebook kreeg een boete van17 miljoen EUR voor 12 datalekken in de 2de helft van 2018 en een boete van € 265 miljoen voor het scrapen van meer dan 500 miljoen gegevens vanuit Facebook.
Meta Instagram kreeg een boete van € 405 miljoen voor het toelaten dat kinderen via e-mailadres/gsmnummer eenvoudig opzoekbaar waren voor andere Instagram gebruikers.
Daar is meteen in 2023 nog een grote boete van € 390 miljoen bijgekomen voor Facebook en Instagram wegens het foutief gebruik van de wettelijke grondslag 'overeenkomst' voor het inzetten van data voor gepersonaliseerde advertenties. De grondslag had toestemming moeten zijn. Meta krijgt 3 maanden om dit in orde te brengen en dus de nodige toestemmingen te verkrijgen van al hun gebruikers.
Italiaanse autoriteit beboet Clubhouse
De sociale media-app Clubhouse, die populair werd tijdens de COVID-19 lockdowns, heeft een boete van 2 miljoen euro gekregen wegens overtreding van de AVG. De app is eigendom van het Amerikaanse bedrijf Alpha Exploration.
In een persbericht zei de Garante, dat er "talrijke schendingen" van de AVG waren vastgesteld. Volgens de Garante was de app niet transparant genoeg over het gebruik van de gegevens van gebruikers. Ook hadden gebruikers de mogelijkheid om audio op te slaan en te delen zonder toestemming van anderen. De app stelde profielen op en deelde accountinformatie zonder een goede rechtsgrondslag aan te geven, en de opnames die door het sociale netwerk werden gemaakt, werden voor onbepaalde tijd bewaard.
De Garante heeft de Clubhouse niet alleen een boete opgelegd, maar ook opgedragen een functie in te voeren waarmee gebruikers, voordat zij een chatroom binnengaan, te horen krijgen dat de chat kan worden opgenomen, en een mechanisme in te voeren om degenen die nog geen gebruiker zijn te informeren over wat er met hun persoonsgegevens zal gebeuren. Het bedrijf zal ook extra informatie moeten toevoegen aan zijn privacyverklaring, zoals het specificeren van de bewaartermijnen van de gegevens.
De Clubhouse app wordt ook onderzocht door de Franse privacytoezichthouder CNIL.
Apple stopt met omstreden plan om foto's van gebruikers te controleren
Apple heeft besloten om te stoppen met het omstreden plan waarbij het bedrijf foto's van gebruikers zou gaan controleren, om die vervolgens bij de autoriteiten aan te geven. Privacyexperts, deskundigen en burgerrechtenbewegingen hadden felle kritiek om foto's van gebruikers die naar iCloud werden geüpload op kindermisbruik te controleren. Zo was er de angst dat het systeem door autoritaire regimes kon worden misbruikt of dat overheden konden besluiten om ook op andere soorten afbeeldingen te controleren.
Vanwege alle kritiek besloot Apple de uitrol te pauzeren, maar heeft nu besloten om volledig van af te zien. Volgens het techbedrijf kunnen kinderen ook worden beschermd zonder dat bedrijven in de persoonlijke data van gebruikers hoeven te grasduinen. Vorig jaar kondigde de Europese Commissie ook plannen aan om alle chatberichten, e-mails en andere communicatie van EU-burgers te controleren. Iets dat voor fel verzet van onder andere burgerrechtenbewegingen zorgde.
