Instagram krijgt boete van 405 miljoen euro
De Ierse privacytoezichthouder DPC legt Instagram wegens schending van de AVG een boete van 405 miljoen euro op, het hoogste bedrag in de geschiedenis van de DPC.
Instagram liet kinderen tussen de 13 en 17 jaar een zakelijk account aanmaken, waarbij hun gegevens standaard zichtbaar waren. Een jaar geleden voerde Instagram een wijziging door die juist een einde leek te maken aan standaard zichtbaarheid van contactgegevens van tieners.
Zoals gebruikelijk bij overtredingen waarvan de gevolgen meerdere landen raken, legt de leider van het onderzoek, in dit geval de Ierse privacytoezichthouder, een boetevoorstel voor aan de andere Europese toezichthouders. Hier leidde dat niet tot consensus over het exacte bedrag, waarna de zaak werd voorgelegd aan het Europees Comité voor Gegevensbescherming (EDPB).
De DPC heeft nog ten minste zes andere onderzoeken naar Meta-bedrijven op stapel staan.
Europees Hof van Justitie: vingerafdrukken van kinderen
Sinds eind 2019 is in België een regeling van kracht die het nemen van vingerafdrukken ook bij kinderen verplicht stelt voor het verkrijgen van identiteitskaarten en verblijfsdocumenten. In een procedure voor de Belgische Raad van State hebben de Kinderrechtencoalitie Vlaanderen en de Liga voor Mensenrechten deze regeling bekritiseerd. Zij vinden dit een té verregaande inbreuk op het recht op privacy van alle betrokkenen, en stellen bovendien dat de integriteit en vertrouwelijkheid van de verwerkte vingerafdrukgegevens niet worden gewaarborgd.
De Belgische Raad van State heeft nu het Hof van Justitie van de Europese Unie (HvJEU) verzocht om een prejudiciële beslissing over de rechtmatigheid van de regeling.
Recentelijk heeft ook een Duitse rechtbank het HvJEU gevraagd zich uit te spreken over vingerafdrukken op eID’s.
IJsland: een FG met vier petten
De IJslandse gegevensbeschermingsautoriteit (‘Persónuvernd’) heeft bij een bedrijf voor genetische onderzoek een beoordeling uitgevoerd van de invulling van de FG-functie (functionaris gegevensbescherming) en de uitvoering van de bijbehorende taken.
De Persónuvernd concludeert dat er geen sprake was van schendingen met betrekking tot de verplichtingen om een FG aan te stellen (art. 37), om de FG bij relevante aangelegenheden te betrekken (art. 38, lid 1) en om de FG de nodige middelen ter beschikking te stellen (art. 38, lid 2).
Het bedrijf heeft volgens de Persónuvernd echter wel de verplichting om de onafhankelijkheid van de FG te waarborgen (art. 38, lid 3) geschonden. De waarnemend FG bekleedde ten tijde van het onderzoek namelijk ook de functies van plaatsvervangend CEO, senior jurist én bestuurslid. Volgens de Persónuvernd zou dat tot een belangenconflict kunnen leiden.
NGO’s: Wereldbank maakt privacyvernietigende ID-systemen mogelijk
Een groep NGO’s, activisten en onderzoekers heeft de Wereldbank in een brief opgeroepen om te stoppen met haar nieuwe digitale ID4D-identificatieprogramma. Access Now, Privacy International, onderzoekers van NYU en anderen zeggen dat ID4D “bewaking, uitsluiting en discriminatie” mogelijk maakt.
Marianne Díaz Hernández van Access Now: “Door digitale ID-systemen te implementeren die niet zijn gecontroleerd of getest en die, belangrijker, in strijd zijn met de mensenrechten, zet de Wereldbank op hoog niveau niet alleen de privacy van miljoenen mensen op het spel, maar schept ze ook een gevaarlijk precedent voor mondiale besluitvormers.”
ID4D, wat staat voor ‘Identification for Development’, maakt systemen mogelijk die in feite een bundeling zijn van publieke en private diensten. Vaak wordt daarbij gebruikgemaakt van gedigitaliseerde biometrische gegevens in een gecentraliseerd model – met het risico van datalekken.
Oracle geconfronteerd met ‘class action’
Oracle krijgt in de Verenigde Staten te maken met een nieuwe class action-rechtszaak. Volgens de klacht zijn het bedrijf, zijn advertentietechnologie en reclamedochters verantwoordelijk voor schending van de privacy van miljarden mensen wereldwijd. De informatie over individuen omvat aankoopgegevens, GPS-locaties en zelfs gokgeschiedenis. De drie aanklagers, Dr. Johnny Ryan van de Irish Council for Civil Liberties (ICCL), Mike Katz-Lacabe van The Center for Human Rights and Privacy (CeHRP), en Dr. Jennifer Golbeck van de University of Maryland (UMD), hebben de zaak aangespannen namens “wereldwijde internetgebruikers die het slachtoffer zijn geworden van Oracle’s privacyschendingen”.
Ryan: “We ondernemen deze actie om Oracle’s surveillance machine te stoppen.”
AP: Overheid moet stoppen met automatische gegevensverstrekking aan kerken
In een recent gepubliceerd advies raadt Aleid Wolfsen, voorzitter Autoriteit Persoonsgegevens, het kabinet aan om wijzigingen in de persoonsgegevens van kerkleden niet langer automatisch door te geven aan kerken. Voortaan zou daarvoor aan nieuwe én huidige kerkleden om toestemming moeten worden gevraagd.
Nu is het nog zo dat gemeenten de gegevens over een verhuizing of huwelijk automatisch delen via de Stichting Interkerkelijke Ledenadministratie (SILA). Hier zijn zeven kerkgenootschappen bij aangesloten. In totaal gaat het om de gegevens van circa vijf miljoen kerkleden.
Wachtwoorden en privégegevens van festivalbezoekers gelekt
Wachtwoorden en privégegevens van 130.000 bezoekers van het Amsterdamse technofestival DGTL lagen door een menselijke fout voor het oprapen, meldt RTL Nieuws. Een medewerker plaatste per ongeluk de volledige technische code van de website online. In totaal zijn ruim 100.000 wachtwoorden gelekt. Daarnaast waren persoonsgegevens van 130.000 bezoekers toegankelijk. De database bevatte namen, woonadressen, geboortedata, e-mailadressen en telefoonnummers.
RTL Nieuws kwam het lek op het spoor dankzij een tip van een anonieme, Nederlandse hacker die het lek zowel bij de organisatie van het festival meldde als bij de ontwikkelaar van de website. Beide partijen wezen echter naar elkaar, waardoor er maandenlang niets gebeurde.
De organisatie heeft inmiddels gedupeerden geïnformeerd en melding gedaan bij de Autoriteit Persoonsgegevens.
