Nieuwsbrief week 11 2023

Tesla maakt instellingen camera’s privacyvriendelijker na onderzoek AP 

Autofabrikant Tesla heeft de ingebouwde beveiligingscamera’s privacyvriendelijker gemaakt na kritische vragen van de Autoriteit Persoonsgegevens. Met de nieuwe instellingen staan de beveiligingscamera’s die de omgeving van de auto filmen niet automatisch aan en de beelden worden minder lang bewaard.
De AP deed onderzoek naar de functionaliteit ‘Sentry Mode’ van Tesla, waarbij een aantal camera’s die aan de auto zijn bevestigd de omgeving voortdurend in de gaten houden. De camera’s registreren ook voorbijlopende voetgangers. In de oude software van deze functie filmden de camera’s continu alles rondom de geparkeerde Tesla en de beelden werden een uur bewaard. De AP zag dit als een ernstige schending van de privacy.
“Voorbijgangers werden gefilmd zonder dat ze dat wisten. De eigenaar van die Tesla kon die beelden terugkijken. Parkeerde die de auto voor iemands raam, dan kon die naar binnen gluren en zien wat die persoon allemaal deed. Het is goed dat Tesla hier ook zelf kritisch naar heeft gekeken en dit heeft aangepast”, zegt AP-bestuurslid Katja Mur.
Tesla heeft de AP laten weten dat het bedrijf na de start van het onderzoek verschillende aanpassingen heeft gedaan. Zo komt de Sentry Mode nu alleen in actie als de auto aangeraakt wordt, en niet zodra de camera’s een ‘verdachte’ beweging rond de auto zien. Ook gaat de auto op zo’n moment niet standaard filmen, maar krijgt de eigenaar alleen een tekstbericht op de telefoon.
De auto kan nog steeds camerabeelden maken, maar alleen wanneer de gebruiker die functie zelf inschakelt. Als de camera’s beelden opnemen, geeft de auto dit aan op het scherm in de auto. Ook geven de koplampen dan een speciaal lichtsignaal. Zo weten mensen dat zij gefilmd worden.
Het onderzoek van de AP leidt niet tot een boete of andere sanctie voor Tesla. Tijdens het onderzoek bleek namelijk dat niet Tesla, maar de eigenaar van de auto wettelijk verantwoordelijk is voor de beelden die de auto maakt.

EDPB stelt prioriteiten vast: meer handhaving en samenwerking

De EDPB heeft haar werkprogramma voor 2023-2024 bekendgemaakt, dat is gebaseerd op de prioriteiten die in de strategie voor 2021-2022 zijn vastgesteld. Het programma bevat met name “richtsnoeren om gegevensbeschermingsautoriteiten te ondersteunen en aan te moedigen om gebruik te maken van het volledige scala aan samenwerkingsinstrumenten waarover zij beschikken”. De focus komt op het moment dat de Europese Commissie plannen onthulde voor wetgeving om de handhaving van de AVG beter te harmoniseren. De EDPB zal zich ook blijven richten op gecoördineerde handhaving en zaken van strategisch belang.

EDPS wil betere gegevensbescherming voor reizigers

De verwerking van API’s (advance passenger information) – waaronder persoonsgegevens van paspoorten of identiteitskaarten die bij het inchecken worden verzameld – moet worden beperkt tot het strikt noodzakelijke, stelt de EDPS in een op 8 februari gepubliceerd advies.
Het advies heeft betrekking op twee wetgevingsvoorstellen inzake het verzamelen en doorgeven van dergelijke gegevens. Het eerste is bedoeld om doeltreffende grenscontroles te vergemakkelijken en illegale immigratie te bestrijden, en het tweede om terroristische misdrijven en zware criminaliteit te voorkomen, op te sporen, te onderzoeken en te vervolgen. De EDPS beoordeelt of het noodzakelijk en evenredig is dat API-gegevens van personen van interne EU-vluchten voor rechtshandhavingsdoeleinden worden verzameld en doorgegeven aan nationale autoriteiten.
In het advies beveelt de EDPS aan geharmoniseerde criteria en een gemeenschappelijke methode te ontwikkelen om te helpen bepalen op welke basis en vanaf welke vluchten binnen de EU de API-gegevens van individuele personen worden verzameld, overeenkomstig het arrest van het HvJEU in de zaak Ligue des Droits Humains. De EDPS beveelt tevens aan de beoogde beveiligingsmaatregelen verder te versterken door aanvullende waarborgen voor gegevensbescherming toe te passen, zoals pseudonimisering of versleuteling van API-gegevens, indien dit technisch en operationeel mogelijk is.

Politie verzamelt op grote schaal persoonsgegevens demonstranten

De politie verzamelt voortdurend persoonsgegevens van demonstranten, zoals hun adres, burgerservicenummer en geboortedatum. Daarnaast vraagt de politie gegevens op van ouders en kinderen van actievoerders, ook als zij nooit zijn gearresteerd of veroordeeld.
Dat blijkt uit 67 persoonlijke dossiers van demonstranten, die onderzoeksplatform Investico inzag in samenwerking met De Groene Amsterdammer en Trouw. “Het recht op betoging is in het geding”, zegt Bart Schermer, hoogleraar Privacy en Cybercrime aan de Universiteit van Leiden. “Als je de hele tijd in de gaten wordt gehouden, kun je niet meer vrij demonstreren.”
De politie haalt die gegevens uit de Basisregistratie Personen (BRP), een database waarin informatie over iedere inwoner van Nederland staat. Elke keer als agenten zoeken naar burgers in de systemen of een bestaand dossier openen, worden persoonsgegevens uit de BRP gehaald. Volgens de politie is het opvragen noodzakelijk om haar politietaak uit te voeren. Bijvoorbeeld om verdachten op te sporen, aangiftes te verwerken, in contact te komen met demonstranten of voor slachtofferzorg.
Sinds 2021 kan iedere burger bij de gemeente een overzicht opvragen van gegevensverkeer tussen de politie en de BRP. Investico kreeg met medewerking van activisten inzage in 67 van deze overzichten. Het gaat vooral om activisten uit de antiracisme- en klimaatbeweging, onder wie Extinction Rebellion-demonstranten Sieger Sloot en Lucas Winnips. Maar ook coronademonstranten en antifascisten deden mee aan het onderzoek.

EDPB stelt richtsnoeren vast voor internationale overdrachten en herkenning van misleidende ontwerppatronen

De EDPB heeft na een openbare raadpleging drie richtsnoeren vastgesteld.

  1. “Guidelines on the Interplay between the application of Art. 3 and the provisions on international transfers as per Chapter V GDPR”:
    De richtsnoeren verduidelijken de wisselwerking tussen het territoriale toepassingsgebied van art. 3 AVG en de bepalingen inzake internationale doorgiften in hoofdstuk V AVG. Zij zijn bedoeld om verwerkingsverantwoordelijken en verwerkers te helpen bij het bepalen of een verwerking een internationale doorgifte is, en om een gemeenschappelijke interpretatie van het begrip internationale doorgifte te geven.”
  2. Guidelines on certification as a tool for transfers”:
    Het hoofddoel van deze richtsnoeren is verdere verduidelijking van het praktische gebruik van dit overdrachtsinstrument. De richtsnoeren bestaan uit vier delen, die elk gericht zijn op specifieke aspecten van certificering als instrument voor overdrachten. De richtsnoeren vormen een aanvulling op richtsnoeren 1/2018 over certificering, die meer algemene richtsnoeren over certificering bieden.
  3. “Guidelines on deceptive design patterns in social media platform interfaces”:
    De richtsnoeren bieden praktische aanbevelingen aan ontwerpers en gebruikers van socialemediaplatforms over hoe misleidende ontwerppatronen (voorheen “dark patterns”, nu “deceptive design patterns” genoemd) in socialemedia-interfaces die inbreuk maken op de AVG-vereisten kunnen worden beoordeeld en vermeden.

Onderzoek Consumentenbond: Kwart organisaties handelt inzageverzoeken niet goed af

Veel organisaties handelen inzageverzoeken van consumenten niet goed af. Dat blijkt uit onderzoek van de Consumentenbond. Volgens de wet moeten bedrijven binnen een maand laten weten welke gegevens ze van iemand verzameld hebben. Maar een kwart haalt die deadline niet of levert verkeerde gegevens.
Onderzoekers van de Consumentenbond vroegen aan 100 organisaties welke persoonsgegevens ze over hen verzameld hadden. Hiervoor werden uiteenlopende instellingen bevraagd, zoals overheden, dienstverleners, goede doelen en webwinkels. Hiervan lukte het 26 organisaties niet om de gevraagde gegevens binnen de wettelijke termijn goed aan te leveren.
Vier bedrijven stuurden wel een ontvangstbevestiging, maar reageerden verder niet. En 6 organisaties gaven alleen een algemeen antwoord over welke gegevens ze verzamelen. Bij bedrijven die wel reageerden, ontbraken er soms belangrijke gegevens. En de websites van AliExpress, Ikea, TikTok en Tuya geven een foutmelding tijdens het invullen van het formulier of het downloaden van de gegevens.
Zeventien organisaties, waaronder de Belastingdienst, Blokker en T-Mobile, leverden de informatie te laat aan. De Belastingdienst had zelfs 54 dagen nodig om het verzoek te behandelen. Die stuurde toen alsnog slechts een deel van de gevraagde gegevens, onder begeleiding van een halve beschuldiging: ‘Ik ben van mening dat uw verzoek om inzage zeer algemeen is geformuleerd’.
T-Mobile ging zelfs op 2 verschillende manieren in de fout. De ene keer leverde het de gegevens te laat aan en de andere keer gaf het alleen een beschrijving van het type gegevens. In een reactie trekken de meeste bedrijven wel het boetekleed aan en beloven ze beterschap.
Sandra Molenaar, directeur Consumentenbond, is hard in haar oordeel over de bedrijven: ‘Het onderzoek laat zien dat veel organisaties bijna 5 jaar na invoering van de AVG nog altijd niet in staat zijn te voldoen aan hun wettelijke verplichtingen. Zelfs onze eigen overheid lukt het niet. Dat kan echt niet en we zullen dit dan ook bij de Autoriteit Persoonsgegevens en op Europees niveau aankaarten.’

EDPB: EU-US Data Privacy Framework biedt onvoldoende privacybescherming

De European Data Protection Board (EDPB) uit zijn zorgen over het EU-US Data Privacy Framework. Het raamwerk voor de overdracht van Europese data naar de Verenigde Staten is verbeterd, maar volgens de EDPB nog niet goed genoeg.
De EDPB heeft Opinion 5/2023 on the European Commission Draft Implementing Decision on the adequate protection of personal data under the EU-US Data Privacy Framework aangenomen. De EDPB is te spreken over aanzienlijke verbeteringen, zoals de invoering van vereisten die rekening houden met de beginselen van noodzakelijkheid en evenredigheid voor het verzamelen van gegevens door Amerikaanse inlichtingendiensten, en het nieuwe beroepsmechanisme voor EU-betrokkenen. Tegelijkertijd uit de EDPB zijn bezorgdheid en vraagt om verduidelijking op verschillende punten. Deze hebben met name betrekking op bepaalde rechten van betrokkenen, verdere doorgifte, de reikwijdte van uitzonderingen, het tijdelijk verzamelen van gegevens in bulk en de praktische werking van het beroepsmechanisme.
EDPB-voorzitter Andrea Jelinek zei: “Een hoog niveau van gegevensbescherming is essentieel om de rechten en vrijheden van EU-burgers te beschermen. Hoewel wij erkennen dat de verbeteringen in het rechtskader van de VS aanzienlijk zijn, bevelen wij aan de geuite bezorgdheid weg te nemen en de gevraagde verduidelijkingen aan te brengen om ervoor te zorgen dat het besluit inzake adequaatheid gehandhaafd blijft. Om dezelfde reden vinden wij dat na de eerste toetsing van het besluit inzake adequaatheid, ten minste om de drie jaar verdere toetsingen moeten plaatsvinden en wij zijn vastbesloten daaraan bij te dragen.”

De opkomst van weglak-software

De vraag naar software waarmee persoonsgegevens in documenten kunnen worden weggelakt groeit in een ongekend tempo.
De toenemende vraag naar anonimiseringssoftware komt met name door recent ingevoerde wetgeving waaronder de AVG en de Wet open overheid (WOO), waardoor de overheid verplicht is om overheidsinformatie openbaar te maken, terwijl er ook strikte regelgeving geldt voor het vrijgeven van persoonsgegevens. Voor een ambtenaar die een document openbaar maakt, betekent dat alle persoonsgegevens handmatig moeten worden weggelakt. Een flinke klus.
Het Nederlandse bedrijf Octobox is één van de bekendere leveranciers van de software. Het bedrijf focust zich volledig op de Nederlandse overheid, vertelt mede-eigenaar Harry Steenhuisen aan AG Connect. “De groei is echt bizar. In twee jaar tijd is onze omzet drie keer zo groot geworden. Alle ministeries investeren erin. We zijn in een half jaar tijd bij meer dan zeventig overheidsorganisaties geïmplementeerd.” Maar ook buiten de overheid groeit de interesse. Met name vanuit de verzekeringswereld, waar de effecten van de AVG volgens Steenhuisen nu ook langzaam ‘doordruppelen’. Ook in de zorgwereld stijgt de behoefte aan dit soort software. “Uiteindelijk zal het gehele bedrijfsleven ermee aan de slag moeten vanwege de wettelijke verplichtingen.”
Voor de software van Octobox werden algoritmen ontwikkeld die zelfstandig persoonsgegevens herkennen. De software scant documenten en herkent onder meer BSN-nummers, telefoonnummers, voornamen en achternamen.

TikTok komt met nieuwe maatregelen voor Europese gegevensbeveiliging

TikTok neemt met ‘Project Clover’ een serie extra maatregelen die de gegevens van Europese gebruikers beter moeten beschermen. Nóg beter, volgens het bedrijf, want TikTok claimt al sinds 2021 de gegevensoverdracht buiten de Europese grens ‘te minimaliseren’ en de toegang van werknemers tot gebruiksgegevens ‘te beperken’.
In november vorig jaar moest TikTok toegeven dat de gegevens van Europese gebruikers kunnen worden gedeeld met Chinese werknemers. Vorige week besloot de Europese Commissie TikTok te verbieden voor al haar medewerkers. De VS besloot in december al de app te verbieden op alle apparaten van de federale overheid. In Nederland wil een meerderheid van de Tweede Kamer dat rijksambtenaren de TikTok app niet gebruiken.
TikTok zegt nu in Europa te zullen voortborduren op de aanpak die het bedrijf al langer in de Verenigde Staten hanteert. In de VS ziet een derde partij (Oracle) toe op de bescherming van de Amerikaanse gebruikersdata, die onder ‘een extra niveau van controle’ staan. In Europa zal ‘een extern Europees beveiligingsbedrijf’ dit proces gaan monitoren en ‘eventuele incidenten’ rapporteren. Welk bedrijf dat gaat doen wil TikTok niet zeggen, omdat de gesprekken daarover nog lopen.
Het is de vraag of de nieuwe maatregelen die TikTok aankondigt genoeg zullen zijn om westerse politici gerust te stellen. 

EC berispt WhatsApp

De Europese Commissie heeft WhatsApp op de vingers getikt. De berichtendienst oefende onnodig veel druk uit op zijn gebruikers om gewijzigde voorwaarden te accepteren. Begin 2021 wijzigde WhatsApp zijn gebruiksvoorwaarden en privacybeleid. Vervolgens bestookte het bedrijf zijn gebruikers met terugkerende, opdringerige meldingen om die wijzigingen te accepteren. Als gebruikers dit niet zouden doen, dreigde WhatsApp hen de toegang tot de dienst te ontzeggen. En dat terwijl voor consumenten helemaal niet duidelijk was wat de wijzigingen inhielden. Zeven Europese consumentenorganisaties, waaronder de Consumentenbond, dienden samen met koepelorganisatie BEUC een klacht in tegen WhatsApp bij de Europese Commissie.
WhatsApp heeft nu toegezegd gebruikers voortaan duidelijk te informeren over wijzigingen die het doorvoert in zijn algemene voorwaarden. Het bedrijf moet gebruikers precies vertellen wat de wijzigingen zijn en wat het betekent als ze die accepteren. Daarnaast moet WhatsApp gebruikers de mogelijkheid bieden om de gewijzigde voorwaarden te weigeren, en daarbij ook duidelijk maken wat de gevolgen voor gebruikers zijn als ze de voorwaarden niet accepteren. Verder moet WhatsApp gebruikers de mogelijkheid geven om hun keuze uit te stellen. 

Noyb neemt het op tegen de datamakelaars

De afgelopen weken hebben we de verschillende praktijken van gegevensmakelaars onder de loep genomen, en vorige week heeft Privacyrechtenorganisatie noyb heeft onlangs een reeks klachten ingediend tegen websites en gegevensmakelaars in verband met hun gebruik van cookies als authenticatiefactor.
De klachten komen na een onderzoek van noyb om na te gaan hoe de entiteiten toegangsverzoeken behandelen. Tracking cookies kunnen worden gebruikt om gebruikers die hun AVG-rechten uitoefenen te identificeren en te authenticeren, dus een aantal gebruikers koppelde de door de websites geplaatste cookies aan hun toegangsverzoek als identificatiemiddel. In plaats van positief te reageren op het verzoek om toegang, eisten de organisaties echter aanvullende identificatiegegevens of negeerden het verzoek helemaal.
Stefano Rossetti, advocaat gegevensbescherming bij noyb, legt uit: “Het idee achter deze klachten is eenvoudig: als een bedrijf een cookie kan gebruiken om mij te volgen, te profileren en gerichte reclame te sturen, waarom zou ik diezelfde cookie dan niet kunnen gebruiken om mijn AVG-recht uit te oefenen?” 

Delen: