Europese Commissie verbiedt TikTok voor al haar medewerkers
Medewerkers van de Europese Commissie mogen niet langer de app van TikTok op hun telefoon hebben, uit angst dat data worden bekeken door personeel van het Chinese moederbedrijf. Op 23 februari stuurde de Commissie een mail naar alle EU-ambtenaren met de vraag TikTok te verwijderen van alle zakelijke telefoons en van persoonlijke toestellen als daar werkgerelateerde apps op staan. De ruim 30.000 medewerkers moeten de TikTok app voor 16 maart hebben verwijderd.
Sinds december kan TikTok-personeel in China toegang krijgen tot data van Europese gebruikers. Het is niet duidelijk welke medewerker welke data kan inzien.
Zowel in Europa als in de Verenigde Staten groeit de zorg over de privacy rond TikTok. De VS besloot in december al de app te verbieden op alle apparaten van de federale overheid, uit vrees voor mogelijke spionage door China. Moederbedrijf ByteDance heeft daar namelijk zijn hoofdzetel. Het Amerikaans Forbes onthulde eerder al dat ByteDance journalisten bespioneerd had. Zowel ByteDance als de Chinese overheid ontkennen echter dat er nauwe banden zijn met elkaar.
Inmiddels heeft ook Canada de TikTok app verboden op overheidsapparaten.
In Nederland wil een meerderheid van de Tweede Kamer dat rijksambtenaren de TikTok app niet gebruiken.
Miljoenen pasfoto's van onschuldige buitenlanders in database politie
In een onderzoek van RTL Nieuws is vastgesteld dat de politie een gezichtsherkenningsdatabase bijhoudt met miljoenen foto's van mensen die van buiten Europa naar Nederland zijn gekomen. Het gaat specifiek om mensen die in Nederland zijn komen studeren, werken, wonen of asiel aanvragen. Deskundigen zien hierin een schending van de privacy, terwijl de politie en het ministerie van Justitie zeggen dat de database legitiem is en slechts spaarzaam wordt gebruikt.
Inmiddels bevat de politiedatabase volgens RTL Nieuws 8 miljoen gezichtsfoto's van zeker 6,5 miljoen mensen die bij de vreemdelingendienst staan geregistreerd. De politie gebruikt deze foto's voor CATCH, een systeem om verdachten op te sporen via gezichtsherkenning. Dit betreft vooral asielzoekers en buitenlandse studenten die van buiten de Europese Unie komen.
De registratie van het gezicht in de databank gebeurt echter zonder medeweten van de betrokkenen. Mensen die niet uit de Europese Unie komen en naar Nederland komen, moeten namelijk een pasfoto maken voor bijvoorbeeld hun verblijfsvergunning. Daarbij wordt automatisch een kopie doorgestuurd naar het politiesysteem, maar de betrokkenen worden hierover niet geïnformeerd.
Dit systeem wordt al sinds 2016 door de politie gebruikt. De gezichtendatabase wordt bijvoorbeeld gebruikt wanneer de opsporingsinstanties moeite hebben om een verdachte te identificeren. De politie gebruikt dan de pasfoto's die door de immigratiedienst zijn verzameld.
Mensenrechten- en immigratiedeskundigen zijn bezorgd en stellen dat de politie de wet overtreedt en de privacy niet respecteert door een groot aantal gezichtsfoto's van buitenlanders, die in principe onschuldig zijn, in een politiesysteem op te nemen.
Slovenië: uitvoeringswet AVG
Slovenië, dat als laatste EU-land de AVG aannam, heeft eindelijk zijn uitvoeringswet in werking zien treden. De nationale wetgeving werd op 15 december aangenomen en trad op 26 januari 2023 in werking.
Ondanks de brede steun voor de AVG werd de nationale implementatie jarenlang vertraagd door wisselende regeringen die aan de tekst sleutelden en door de oppositie. Er was bezorgdheid over administratieve wildgroei en de omvang van de bevoegdheden van de nationale toezichthoudende autoriteit. In de uiteindelijke wet is een bepaling toegevoegd op grond waarvan de bescherming van persoonsgegevens een mensenrecht is, terwijl bepaalde gebieden zijn vrijgesteld van controle, zoals de rechterlijke macht en de inlichtingen- en veiligheidsdiensten.
NZa gaat behandelaren ggz verplichten patiëntgegevens te delen
De Nederlandse Zorgautoriteit (NZa) wil dat behandelaren patiëntgegevens delen. Maar die vinden dat inbreuk op het medisch beroepsgeheim en daarnaast problematisch voor de privacy. Drie psychiaters en vijf ggz-patiënten stappen naar de rechter. Behandelaren moeten vanaf 1 juli verplicht gegevens over hun patiënten met de NZa delen. Dat is „een onacceptabele inbreuk” op het medisch beroepsgeheim en de privacy van patiënten, aldus de eisers. Ze willen dat de toezichthouder het plan laat varen. De actie krijgt steun van ruim veertig psychiaters en psychologen, patiënten en organisaties.
Behandelaren in de geestelijke gezondheidszorg en de forensische zorg moeten vanaf 1 juli per patiënt verplicht een scorelijst invullen en die delen met de NZa: hoe destructief is de patiënt? Hoe agressief? Is er sprake van drugsgebruik? Van suïcidepogingen? Zelfverwonding? Handicaps? Het gaat, aldus de NZa, om gegevens „zonder direct identificeerbare kenmerken”. Op de formulieren ontbreekt bijvoorbeeld de naam van een patiënt, de geboortedatum, of postcode. Patiënten hoeven hiervoor geen toestemming te geven, ze kunnen wel schriftelijk bezwaar maken. Behandelaren die niet meewerken kunnen een dwangsom opgelegd krijgen.
De NZa wil beter kunnen voorspellen welke zorg in de toekomst nodig is, en ook de zorgkosten voor patiënten preciezer kunnen berekenen.
De actievoerders zijn van mening dat het medisch beroepsgeheim in gevaar komt. Daarnaast zien zij een privacyprobleem. De NZa vraagt de scorelijsten dan wel op zonder identificeerbare kenmerken, echter de toezichthouder bezit een deel van die gegevens wél. Hoewel de NZa belooft de verschillende informatiestromen niet te koppelen, zijn behandelaren niet gerustgesteld. Ook Kamerleden maakten hiervan vorig jaar een punt. SP en GroenLinks wezen op het gevaar „dat een datalek of misbruik van gegevens bij de NZa verstrekkende gevolgen zal hebben” voor patiënten.
AP: onderzoek oversterfte onnodig vertraagd door schermen met privacyregels
Als wetenschappers onderzoek willen doen naar oorzaken van oversterfte tijdens de coronacrisis, mogen ze via het Centraal Bureau voor de Statistiek (CBS) gegevens over vaccinaties krijgen. Dat is toegestaan onder privacyregels, zo heeft de Autoriteit Persoonsgegevens geconcludeerd.
‘De AP juicht een onderzoek naar oversterfte van harte toe’, zegt AP-vicevoorzitter Monique Verdier. ‘Wat de AP verbaast, is dat de wetgever niet gewoon in een eerder stadium voor duidelijkheid heeft gezorgd. Want de AVG biedt nadrukkelijk de mogelijkheid om het gebruik van gezondheidsgegevens voor wetenschappelijk onderzoek te regelen via aanvullende wetgeving. Die mogelijkheid staat zelfs expliciet genoemd in de AVG.’
‘De AP weet natuurlijk niet waarom de wetgever heeft nagelaten om duidelijkheid te scheppen’, vervolgt Verdier. ‘Inmiddels zegt de wetgever wel met aanvullende wetgeving te willen komen. De AP steunt dit voornemen zeker. Zodat de wetenschappelijke wereld en de zorgsector eindelijk duidelijkheid krijgen.’
Kabinet: end-to-end encryptie mag niet onmogelijk worden gemaakt
End-to-end encryptie mag niet onmogelijk worden gemaakt en het scanplan van de Europese Commissie moet duidelijke waarborgen bevatten om mogelijke inbreuken op fundamentele rechten zoals privacy te voorkomen, zo stelt het kabinet in de Staat van de Unie 2023.
In het document wordt o.a. gesproken over het plan van de Europese Commissie om chatdiensten en andere providers te verplichten om berichten en ander verkeer van Europese burgers te controleren, in het kader van het in mei 2022 gepresenteerde voorstel van de Commissie voor een verordening ter voorkoming en bestrijding van online seksueel kindermisbruik.
Vorige week kreeg Eurocommissaris Johansson nog een Big Brother Award voor dit plan. Volgens het kabinet is het van belang dat de toekomstige verordening voldoende wordt afgebakend en duidelijke waarborgen omvat om mogelijke inbreuken op fundamentele rechten zoals privacy te voorkomen. "Ook mag end-to-end encryptie niet onmogelijk worden gemaakt." Critici stellen dat het scanplan van Brussel end-to-end encryptie ondermijnt.
Uitspraak HvJEU over FG's en belangenconflicten
Functionarissen voor gegevensbescherming kunnen binnen hun functie andere taken en verplichtingen behouden, mits deze niet leiden tot een belangenconflict, zo heeft het Hof van Justitie van de Europese Unie bevestigd.
In een arrest van 9 februari rond artikel 38 AVG stelde het HvJEU dat de FG "in staat moet zijn zijn taken en plichten onafhankelijk te vervullen", maar "niet kan worden belast met taken of plichten die ertoe leiden dat hij of zij de doelstellingen en methoden van de verwerking van persoonsgegevens door de voor de verwerking verantwoordelijke of de verwerker ervan bepaalt". Volgens het HvJEU is dit "een zaak die de nationale rechter per geval moet bepalen op basis van een beoordeling van alle relevante omstandigheden."
De uitspraak loopt vooruit op de komende gecoördineerde handhavingsactie van de EDPB met betrekking tot de aanwijzing van FG's.
De beslissing van het HvJEU volgt op een verzoek om een prejudiciële beslissing van het Bundesarbeitsgericht, een federale arbeidsrechtbank van Duitsland, in een procedure tussen X-Fab Dresden en haar voormalige FG. De voormalige FG, die ook de rol van voorzitter van de ondernemingsraad had vervuld, werd in december 2017 ontslagen uit de rol van FG. In mei 2018, toen de AVG in werking trad, voerde X-Fab aan dat het ontslag van de voormalige FG gerechtvaardigd was, onder verwijzing naar "een risico op belangenverstrengeling" bij het uitoefenen van beide functies "omdat die twee functies onverenigbaar zijn."
Omstreden camera's op universiteit moeten definitief weg
Universiteit Leiden stopt definitief met het gebruik van de 'slimme camera's'. De camera's kwamen vorig jaar in opspraak omdat ze de privacy schonden van studenten en medewerkers. Dat besluit volgt op een negatief advies van de universiteitsraad. De zorgen rond de privacy van de medewerkers en studenten waren te groot.
De 'personentellers' werden in coronatijd opgehangen om na te gaan of de coronaregels wel werden nageleefd in de universiteitsgebouwen. De universiteit gebruikte ze vervolgens ook om te kijken of een studieruimte beschikbaar was en voor energiebesparing bij leegstand. In december 2021 bleek vervolgens dat de camera's onvoldoende beveiligd waren.
Vorig jaar werden daarom maatregelen getroffen, nadat duidelijk werd dat de camera's de 'privacy hebben geschonden'. De camera's werden toen nog tijdelijk uitgezet. De functionaris gegevensbescherming van de universiteit kwam tot dat besluit na een onderzoek. Uit dat onderzoek bleek dat gebruikers zonder in te loggen informatie over de camera's konden zien. Wachtwoorden waren met een onveilige en verouderde versleuteling beveiligd.
De universiteitsraad moest daarna ook nog een oordeel vellen over de camera's en kwam met een negatief advies over het gebruik ervan. De grote zorgen over de privacy konden niet worden weggenomen, daarom ziet de universiteit nu dus toch af van het gebruik van de camera's.
AP: Ministerie JenV moet grootschalige verwerking gegevens vliegtuigpassagiers per direct stoppen
De Autoriteit Persoonsgegevens wil dat de overheid per direct stopt met de grootschalige verwerking van data van vliegpassagiers. Volgens de AP worden er veel meer gegevens verzameld dan noodzakelijk en dat is verboden.
De reisgegevens van iedereen die naar Nederland vliegt, worden nu vijf jaar in een database opgeslagen, om terrorisme en zware criminaliteit tegen te gaan. Volgens de AP wordt er nu "stelselmatig een grote hoeveelheid data verzameld van zeer veel mensen" die niet in de database voor zouden moeten komen.
In 2022 heeft de AP de minister van Justitie en Veiligheid (JenV) geadviseerd de verwerking van PNR-gegevens in lijn te brengen met de wettelijke kaders en de Europese PNR-richtlijn.
Hoewel JenV dit advies niet heeft opgevolgd, zag de AP tot nu toe af van handhaving. Dat kwam omdat er nog een gerechtelijke procedure liep bij het Hof van Justitie van de Europese Unie. Nu die is afgerond en de AP haar conclusies bevestigd ziet in de uitspraak, blijkt handhaving alsnog nodig.
Het ministerie krijgt nu twee weken om met maatregelen te komen.
De AP is bevoegd om de gegevensverwerking stil te leggen met een verwerkingsverbod, mocht dat nodig zijn.
