Nieuwsbrief week 24 2024

Zorgverzekeraar Menzis beboet voor schending AVG

De Autoriteit Persoonsgegevens (AP) heeft zorgverzekeraar Menzis een boete opgelegd van € 50.000 vanwege het overtreden van de Algemene Verordening Gegevensbescherming (AVG). Menzis heeft volgens de AP onvoldoende technische en organisatorische maatregelen genomen om de persoonsgegevens van haar verzekerden te beschermen.

Het onderzoek van de AP werd ingesteld nadat er in 2021 een datalek plaatsvond bij Menzis. Hierbij zijn de persoonsgegevens van ruim 4.000 verzekerden gelekt, waaronder namen, adressen, telefoonnummers en burgerservicenummers. Het datalek ontstond doordat een medewerker van Menzis per ongeluk een bestand met deze gegevens naar een verkeerd e-mailadres stuurde.

Uit het onderzoek van de AP blijkt dat Menzis onvoldoende maatregelen had genomen om dergelijke datalekken te voorkomen. Zo was er geen tweefactorauthenticatie vereist voor toegang tot gevoelige gegevens en waren er geen beperkingen ingesteld op het verzenden van bestanden met persoonsgegevens.

Menzis heeft aangegeven de boete te accepteren en maatregelen te nemen om herhaling te voorkomen. Zo zal de zorgverzekeraar tweefactorauthenticatie invoeren, medewerkers beter trainen op het gebied van gegevensbescherming en technische beperkingen instellen op het verzenden van persoonsgegevens.

Vertraging rapport functioneren Autoriteit Persoonsgegevens

Een evaluatierapport over het functioneren van de Autoriteit Persoonsgegevens (AP) als zelfstandig bestuursorgaan heeft vertraging opgelopen. De AP en demissionair minister Weerwind voor Rechtsbescherming zijn het niet eens over wie de evaluatie moet uitvoeren.

De AP vindt dat zij zelf de opdrachtgever moet zijn, terwijl de minister van mening is dat hij die rol moet vervullen. Weerwind stelt dat het niet wenselijk is dat een zelfstandig bestuursorgaan zelf opdrachtgever is voor de eigen evaluatie en dat een onderzoek naar doelmatigheid de onafhankelijkheid van de AP niet aantast.

De Autoriteit Persoonsgegevens is inmiddels zelf een evaluatie gestart, waarvan het rapport eind dit jaar wordt verwacht. Minister Weerwind wacht de uitkomsten hiervan af en zal daarna bepalen of aanvullend onderzoek nodig is.

De vertraging van het evaluatierapport roept vragen op over de verhouding en afstemming tussen de AP en het ministerie van Justitie en Veiligheid. Het is belangrijk dat hier duidelijke afspraken over worden gemaakt om de onafhankelijkheid en het goed functioneren van de privacytoezichthouder te waarborgen.

noyb: Microsoft schendt privacy van kinderen en wijst naar scholen

In de nasleep van de pandemie zijn scholen in de Europese Unie steeds vaker digitale diensten gaan implementeren voor online leren.

Microsofts 365 Education-diensten schenden echter de rechten van kinderen op gegevensbescherming, zo stelt privacyorganisatie noyb. Toen leerlingen hun AVG-rechten wilden uitoefenen, zei Microsoft dat scholen de “verwerkingsverantwoordelijke” voor hun gegevens waren. De scholen hebben echter geen controle over de systemen. Volgens noyb probeert Microsoft zo de meeste wettelijke verantwoordelijkheden onder de AVG contractueel af te schuiven op scholen die Microsoft 365 Education-diensten aan hun leerlingen of studenten aanbieden.

In de praktijk leidt dit ertoe dat verzoeken om toegang tot Microsoft onbeantwoord blijven, terwijl scholen niet realistisch aan dergelijke verzoeken kunnen voldoen omdat ze niet over de benodigde gegevens beschikken. Bovendien installeert Microsoft 365 Education nog steeds cookies die, volgens Microsofts eigen documentatie, gebruikersgedrag analyseren, browsergegevens verzamelen en worden gebruikt voor reclame. Dergelijke tracking, die vaak wordt gebruikt voor zeer invasieve profilering, wordt blijkbaar uitgevoerd zonder dat de school van de klager het weet.

noyb vraagt de Oostenrijkse gegevensbeschermingsautoriteit (DSB) om te onderzoeken en feitelijk te analyseren welke gegevens door Microsoft 365 Education worden verwerkt en stelt voor dat de autoriteit Microsoft een boete zou moeten opleggen.

AEPD verbiedt Meta’s geplande verwerking van persoonsgegevens voor verkiezingsdoeleinden

De Spaanse gegevensbeschermingsautoriteit (AEPD) heeft voorlopige maatregelen genomen om de geplande gegevensverwerking door Meta voor de producten Election Day Information (EDI) en Voter Information Unit (VIU) te verbieden. Meta wilde deze tools lanceren op Facebook en Instagram om gebruikers in de EU te herinneren aan de Europese Parlementsverkiezingen. Hiervoor zouden persoonsgegevens zoals naam, IP-adres, leeftijd en geslacht worden verwerkt.

Volgens de AEPD ontbreekt het Meta aan een wettelijke grondslag voor de gegevensverwerking en zou deze in strijd zijn met de beginselen van rechtmatigheid, gegevensminimalisatie en opslagbeperking uit de AVG. De AEPD stelt dat Meta de gegevens wil aggregeren voor commerciële doeleinden en dat de hoeveelheid verzamelde data buitensporig is. Ook ontbreekt een rechtvaardiging voor de bewaartermijn van de gegevens.

Gezien de op handen zijnde lancering van EDI en VIU en de grote risico’s voor de rechten van betrokkenen, heeft de AEPD de spoedprocedure van artikel 66 AVG toegepast en de uitspraak al op 31 mei gepubliceerd. Daarmee werd de gegevensverwerking door Meta met onmiddellijke ingang verboden.

Rechter oordeelt: Anpr-wet voldoet aan privacywetgeving

Een Haagse rechter heeft geoordeeld dat de Nederlandse wetgeving voor automatische nummerplaatherkenning (Anpr) niet in strijd is met de privacywetgeving. Belangenorganisatie Privacy First had een rechtszaak aangespannen tegen de Staat, waarin zij eisten dat de Anpr-wet buiten werking wordt gesteld. Volgens de rechter is de inmenging in de persoonlijke levenssfeer gerechtvaardigd en zijn er voldoende waarborgen om deze inbreuk te minimaliseren. Privacy First heeft met teleurstelling kennisgenomen van het vonnis en overweegt in hoger beroep te gaan.

De Anpr-wet, die sinds 2019 van kracht is, bepaalt dat kentekens en locaties van auto’s in Nederland worden vastgelegd door camera’s met beeldherkenning-software en vier weken worden opgeslagen in een centrale politiedatabank. Stichting Privacy First stelt dat het opslaan van voertuiggegevens zonder link met een misdrijf disproportioneel en ineffectief is. De rechter oordeelt echter dat het bewaren van kentekengegevens substantieel bijdraagt aan de opsporing van strafbare feiten en dat er voldoende wettelijke grondslagen en voorwaarden zijn.

Nederland en Europa botsen over AI-richtlijnen voor persoonsgegevens

De Nederlandse Autoriteit Persoonsgegevens (AP) en de Europese toezichthouder voor gegevensbescherming zijn het oneens over het gebruik van persoonsgegevens voor het trainen van AI-systemen. Volgens de AP is het verzamelen van persoonsgegevens, ook wel ‘scraping’ genoemd, bijna altijd illegaal. De Europese toezichthouder staat scraping echter toe wanneer er sprake is van een gerechtvaardigd belang, de gegevens noodzakelijk zijn voor het trainen van AI en het belang zwaarder weegt dan de inbreuk op privacy.

Techjurist Menno Weij zegt in BNR Nieuws dat Nederland extra bescherming wil bieden voor bijzondere gegevens zoals ras, gezondheid en seksuele geaardheid. Hij stelt dat het publiekelijk delen van informatie op internet niet betekent dat deze gegevens zomaar gescraped mogen worden. Ondertussen lopen Amerikaanse AI-bedrijven voorop, mede door minder strenge regelgeving. Handhaving van de Europese regels blijft een uitdaging bij de snelle ontwikkeling van AI.

De botsende visies tussen Nederland en Europa benadrukken de noodzaak voor duidelijke en uniforme richtlijnen omtrent het gebruik van persoonsgegevens in AI-ontwikkeling, om zowel innovatie te stimuleren als de privacy van burgers te waarborgen.

LinkedIn stopt met gebruik bijzondere persoonsgegevens voor advertentiedoeleinden

LinkedIn heeft aangekondigd te stoppen met het gebruik van bijzondere persoonsgegevens van gebruikers voor gepersonaliseerde advertenties. Dit besluit volgt ruim drie maanden nadat de Europese Commissie LinkedIn officieel om informatie had gevraagd in het kader van de Digital Services Act (DSA).

Zeer grote onlineplatforms (VLOPs) mogen geen speciale categorieën gegevens gebruiken, zoals seksuele geaardheid, politieke opvattingen of ras, om gebruikers advertenties te tonen. Bovendien moeten VLOPs hun gebruikers in staat stellen om basisinformatie over de aard en herkomst van een advertentie te identificeren.

In de praktijk betekent dit dat LinkedIn adverteerders in Europa niet langer toestaat om doelgroepen voor advertenties te maken op basis van lidmaatschap van LinkedIn-groepen. Deze wijziging is per direct van kracht voor alle nieuwe advertentiecampagnes.

Het onderzoek van de Europese Commissie naar LinkedIn volgde op een klacht van een aantal maatschappelijke organisaties. In februari uitten zij hun bezorgdheid dat het zakelijke netwerk de beperkingen van de Digital Services Act op het gebied van doelgroepbepaling voor advertenties schond.

Waarschuwing voor de beperkingen van generatieve AI in Google Search

Google heeft onlangs een nieuwe functie geïntroduceerd in de Verenigde Staten waarbij gebruikers AI-samenvattingen (‘AI Overviews’) krijgen bij hun zoekresultaten. Hoewel deze functie bedoeld is om gebruikers sneller informatie te bieden, illustreert deze ontwikkeling de problemen met generatieve AI-systemen.

Volgens technieuwssite The Verge zijn er al gevallen gemeld waarin de AI-samenvatting incorrect of zelfs gevaarlijk advies gaf, zoals het gebruik van niet-giftige lijm om pizza-kaas vast te zetten. Een Google-woordvoerder erkende dat deze fouten voortkwamen uit “zeer ongebruikelijke zoekopdrachten” en niet representatief zijn voor de meeste gebruikerservaringen.

Desondanks legt dit de kern van het probleem bloot: generatieve AI-systemen fabriceren vaak informatie, wat vooral zorgwekkend is wanneer dit wordt geïmplementeerd in Google Search, waar gebruikers vertrouwen op feitelijke informatie. Het is afwachten hoe Google zal reageren op deze negatieve publiciteit, aangezien het technisch nog niet mogelijk is om te voorkomen dat AI “hallucinaties” genereert.

Delen: