Europese privacytoezichthouders wijzen overheden op vereisten bij gebruik clouddiensten
Europese privacytoezichthouders hebben een lijst met aanbevelingen opgesteld voor overheidsinstellingen die persoonsgegevens van burgers opslaan in de cloud. Zij benadrukken hiermee de verantwoordelijkheid van de overheid om te waarborgen dat de gegevens van burgers veilig zijn.
De lijst met 13 aanbevelingen staat in een rapport over een gezamenlijke actie van de European Data Protection Board (EDPB).
Een van de belangrijkste aanbevelingen is dat overheidsorganisaties de privacyrisico’s goed in kaart brengen voordat ze in zee gaan met een clouddienst. Dat moet met een data protection impact assessment (DPIA). Daarbij moeten overheidsinstellingen technische en organisatorische maatregelen nemen om de risico’s zoveel mogelijk te beperken. Onder meer door specifieke afspraken te maken in het contract dat ze sluiten met de clouddienst.
Ook moeten ze periodiek controleren of clouddiensten zich houden aan deze afspraken. In de praktijk betekent dit dat er maatwerk nodig is en dat overheidsinstellingen niet zomaar akkoord moeten gaan met het standaardcontract dat de clouddienst aanbiedt.
Andere belangrijke aanbevelingen gaan over de toegang tot de data van EU-burgers, als die zijn opgeslagen bij een clouddienstverlener van buiten de EU.
HvJEU: burger moet precies weten wie over zijn data beschikt
Elke EU-burger heeft het recht om te weten wie over zijn gegevens beschikt en bij welke partijen data terecht zijn gekomen als ze worden doorgestuurd. Dat oordeelt het Europees Hof van Justitie in zaak C-154/21 | Österreichische Post.
Het HvJEU boog zich over een vraag van het hoogste gerechtshof van Oostenrijk over de AVG. Aanleiding is een zaak van een burger die wilde weten naar wie het postbedrijf Österreichische Post zijn gegevens had doorgestuurd. Het bedrijf sprak eerder alleen van het delen van data voor 'marketingdoeleinden', maar dat vond de klager veel te vaag. Tijdens de rechtszaak zei het postbedrijf dat het gegevens had doorgestuurd naar onder andere IT-bedrijven, aanbieders van mailinglijsten, goede doelen en politieke partijen. Maar de klager wilde de namen van de partijen weten.
Bedrijven moeten bij zo'n informatieverzoek de namen van de partijen geven, oordeelt het hof nu. Alleen als zo'n informatieverzoek 'ongegrond of buitensporig' is, hoeft dat niet, maar dat moet de dataverwerkende partij zelf kunnen aantonen.
Met de informatie over de partijen die de persoonsgegevens doorgestuurd hebben gekregen, kan de burger volgens het Hof zijn recht om vergeten te worden uitoefenen of bepaalde gegevens laten aanpassen. Ook kunnen ze dan gebruikmaken van hun recht op het beperken van de gegevensverwerking, het recht om bezwaar te maken of het vorderingsrecht als ze denken schade te lijden.
Autoriteit Persoonsgegevens start algoritmetoezicht
Op 16 januari 2023 hebben minister Franc Weerwind (Rechtsbescherming), staatssecretaris Alexandra van Huffelen (Digitalisering) en Aleid Wolfsen (voorzitter AP) het startsein gegeven voor de nieuwe activiteiten van de AP, die een impuls moeten geven aan het toezicht op algoritmes.
Binnen de AP komt een organisatieonderdeel voor de nieuwe taken: de directie Coördinatie Algoritmes. De AP ontvangt voor het oppakken van deze nieuwe taken vanaf 2023 1 miljoen euro, oplopend naar structureel 3,6 miljoen euro in 2026.
Het bestaande toezicht op algoritmes en artificiële intelligentie blijft intact. Dit toezicht ligt bij verschillende colleges, markttoezichthouders en rijksinspecties. Omdat algoritmes in alle sectoren te vinden zijn, is het van belang om overkoepelend in de gaten te houden wat de generieke en specifieke risico’s en effecten zijn van algoritmes.
Naast de nieuwe coördinerende taken, versterkt de AP in 2023 het bestaande toezicht op algoritmes die (onrechtmatig) persoonsgegevens verwerken. Hiervoor stelt het kabinet structureel 2,61 miljoen euro beschikbaar.
WhatsApp krijgt AVG-boete van 5,5 miljoen euro; noyb kritisch
WhatsApp krijgt van de Ierse privacytoezichthouder DPC een boete van 5,5 miljoen euro opgelegd vanwege het verwerken van persoonsgegevens van gebruikers zonder dat hiervoor een wettelijke grondslag was. Het bedrijf krijgt zes maanden de tijd om zijn werkwijze aan te passen.
WhatsApp stelt persoonsgegevens van gebruikers te mogen verwerken, aangezien het hiervoor een contract sluit met gebruikers. De DPC oordeelt echter dat WhatsApp deze rechtsgrond voor gegevensverwerking niet mag gebruiken. De toezichthouder komt tot dit oordeel na druk van de European Data Protection Board (EDPB). Deze stelt dat WhatsApp geen persoonsgegevens hoeft te verwerken om zijn dienstverlening te kunnen aanbieden en verbeteren. De verwerkingsgrond 'overeenkomst' is hierdoor niet van toepassing, stelt de EDPB. De DPC sluit zich nu hierbij aan.
De boete lijkt op een boete van 390 miljoen euro die Meta, moederbedrijf van WhatsApp, eerder dit jaar kreeg opgelegd. Ook deze boete draait om gepersonaliseerde advertenties.
Privacyorganisatie noyb is van mening dat de DPC de WhatsApp zaak beperkt zaak tot "veiligheid" en "verbetering van diensten". De al 4,5 jaar durende procedure is nu beperkt tot de kleine kwesties van de rechtsgrondslag voor het gebruik van gegevens voor beveiligingsdoeleinden en voor verbetering van de dienstverlening. De DPC gaat daarbij volgens noyb voorbij aan de belangrijke kwesties van het delen van WhatsApp-gegevens met Meta's andere bedrijven Facebook en Instagram voor onder meer reclame. Hoewel gebruikers via een opt-in moeten worden gevraagd naar het gebruik van hun gegevens voor het verbeteren van producten, lijkt het duidelijk dat het gebruik van gegevens voor beveiliging legaal blijft onder de AVG, zelfs als dit niet meer in een contract is opgenomen.
Max Schrems zegt hierover: "Het verbaast ons hoe de DPC na een procedure van 4,5 jaar gewoon de kern van de zaak negeert. De DPC gaat ook duidelijk voorbij aan de bindende uitspraak van de EDPB. Het lijkt erop dat de DPC alle banden met EU-partnerautoriteiten en met de vereisten van EU- en Iers recht verbreekt."
FNV doet aangifte tegen vijf gemeenten om omstreden screening uitkeringsgerechtigden
Vakbond FNV heeft bij de Autoriteit Persoonsgegevens aangifte gedaan tegen vijf gemeenten. Zij maakten tot vorig jaar juni gebruik van een zogeheten fraudescorekaart bij de aanvraag van een uitkering door hun inwoners. Dit terwijl de rechter deze methode al in 2020 verbood.
Was je bijvoorbeeld kapper of bouwvakker, of woonde je in de ‘verkeerde’ wijk, dan liep je volgens FNV grote kans om in het bakje ‘potentiële fraudeur’ te komen. Deze zogeheten fraudescorekaart werd sinds 2004 door maar liefst 158 gemeenten ingezet. In 2020 werd het inzetten van dergelijke indicatoren op risico voor fraude door de rechter verboden.
De Vereniging Nederlandse Gemeenten (VNG) drong er bij gemeenten op aan onmiddellijk te stoppen met de fraudescorekaart. De meeste gemeenten gaven daar gehoor aan, met uitzondering van de vijf gemeenten waar FNV nu aangifte tegen heeft gedaan. Dit zijn de gemeenten Nieuwegein, Houten, IJsselstein, Lopik en Veenendaal. Die stopten pas na een onthullende uitzending van Argos in juni 2022.
AP blijft kritisch over nieuwe antiwitwaswet
De Autoriteit Persoonsgegevens blijft, ook na enkele aanpassingen, kritisch over een nieuwe antiwitwaswet die het kabinet wil doorvoeren. Door deze wet moeten banken ongebruikelijke transactiepatronen makkelijker in beeld krijgen en moet witwassen een stuk moeilijker worden. Het idee is dat deze wet banken de mogelijkheid geeft om transacties gezamenlijk te monitoren. Het gaat om zowel zakelijke transacties als particuliere transacties.
De AP liet zich eerder al kritisch uit over de wet. Daarop werd het wetsvoorstel herzien, maar ook na de aanpassingen is de privacywaakhond "bijzonder kritisch".
De belangrijkste bezwaren staan ook nu nog overeind, zegt de AP. "We zien een vorm van massasurveillance die kan leiden tot uitsluiting (mensen worden unbankable) en waarbij risico's op discriminatie kunnen ontstaan", schrijft de AP.
De AP vindt dat het kabinet zich moet realiseren dat er met het invoeren van deze wet een weg naar "volledige centrale controle op het betalingsverkeer wordt ingeslagen" en noemt dat onwenselijk. Dit zou een "onrechtmatige aantasting van de fundamentele rechten en burgerlijke vrijheden" zijn.
Locatiegegevens zijn persoonsgegevens - noyb wint beroep tegen Spaanse gegevensbeschermingsautoriteit
De Spaanse rechtbank Audiencia National) heeft een eerdere beslissing van de Spaanse gegevensbeschermingsautoriteit AEPD nietig verklaard. De AEPD had eerder betoogd dat Virgin telco, een telecomaanbieder, zijn klanten rechtmatig de toegang tot hun locatiegegevens had geweigerd. noyb betoogde dat locatiegegevens persoonsgegevens zijn en daarom bekendgemaakt moeten worden op grond van het recht op toegang. Nu, een half jaar later, hebben zowel de AEPD als de Audiencia Nacional de kant van noyb gekozen.
De AVG geeft gebruikers het recht op toegang tot gegevens die bedrijven over hen opslaan. Op grond hiervan verzocht een Spaanse klant Virgin telco om toegang tot zijn locatiegegevens. Omdat Virgin telco weigerde toegang te verlenen, diende de klant een klacht in bij de AEPD. De AEPD koos de kant van Virgin telco en concludeerde dat geen toegang tot deze gegevens zal worden verleend. noyb ging in juni 2022 tegen deze beslissing in beroep.
In het beroep pleitte noyb ervoor om het fundamentele recht op toegang te respecteren. Hoewel alle telecomaanbieders in Spanje locatiegegevens van hun klanten moeten opslaan, moeten zij zich ook houden aan het recht op toegang en gebruikers hun gegevens verstrekken. noyb wees er ook op dat de beslissing van de AEPD in het verleden onvoldoende was toegelicht: Virgin telco weigerde aanvankelijk de gegevens openbaar te maken met het argument dat alleen autoriteiten tijdens strafrechtelijke onderzoeken toegang mogen hebben.
Na bestudering van het betoog van noyb bij het Hof heeft de AEPD het aanvankelijke standpunt herzien en noyb gelijk gegeven. Virgin Telco volgde dit voorbeeld en maakte geen bezwaar tegen het beroep dat bij de Spaanse Audiencia Nacional was ingesteld.
