Nieuwsbrief week 26 2023

Zweedse AVG-boete voor Spotify

Spotify krijgt een AVG-boete van vijf miljoen euro omdat het bedrijf niet voldoet aan het inzagerecht. Dat schrijft de Zweedse toezichthouder (de IMY) in een persverklaring. Het gaat om een boete van 58 miljoen Zweedse kroon, zo’n 5 miljoen euro, die voor rekening van het Zweedse Spotify komt. Spotify overtreedt artikel 12 en artikel 15 van de AVG, waarin het inzagerecht en de uitvoering van dat inzagerecht worden geregeld.
De boete komt na een rechtszaak die werd aangespannen door noyb, de organisatie van privacyactivist Max Schrems. Hij deed in januari 2019 een inzageverzoek bij meerdere streamingdiensten en kreeg van Spotify geen antwoord. Daarop stapte noyb naar de Zweedse toezichthouder, die naar Spotify moet kijken omdat het hoofdkantoor van het bedrijf in Zweden staat. De IMY weigerde daar echter tegen op te treden, schrijft noyb. Noyb moest de handhaving daarom afdwingen via de rechter. Dat deed de stichting in juni van vorig jaar. De rechter oordeelde daarop dat de toezichthouder alsnog moest handhaven, wat vervolgens gebeurde.

Europees Parlement is het eens over regels voor AI

Het Europees Parlement is het eens geworden over hoe de regels voor kunstmatige intelligentie eruit moeten zien. Het gaat er dan bijvoorbeeld om dat duidelijk moet zijn wanneer iets met AI is gemaakt, bijvoorbeeld met ChatGPT of Midjourney. Verder zou gezichtsherkenning in de openbare ruimte verboden moeten worden.
De overeenstemming in het Europees Parlement wordt gezien als een belangrijke stap in de procedure die moet leiden tot wetgeving die in de hele EU van kracht wordt. De komende tijd gaan het parlement en de lidstaten in onderhandeling over de wet, die in 2021 werd voorgesteld door de Europese Commissie. Die hoopt dat de onderhandelingen voor het einde van het jaar zijn afgerond. Naar verwachting zal het daarna nog maanden duren voordat de wetgeving in de hele EU een feit is.

Microsoft krijgt boete van 20 miljoen euro van Amerikaanse toezichthouder

Microsoft moet 20 miljoen dollar betalen in een schikking met de Amerikaanse toezichthouder FTC (Federal Trade Commission) wegens overtreding van de Children’s Online Privacy Protection Act (COPPA). COPPA verplicht online diensten en websites gericht op kinderen jonger dan 13 jaar om ouders te informeren over de persoonlijke gegevens die ze verzamelen en om verifieerbare toestemming van de ouders te verkrijgen voordat ze persoonlijke gegevens van kinderen verzamelen en gebruiken. Microsoft verzamelde en bewaarde persoonlijke informatie van kinderen onder de 13 jaar die zich hadden aangemeld op het Xbox-gamesysteem zonder hun ouders daarvan op de hoogte te stellen of hun toestemming te vragen. De actie van de FTC moet het ook ‘overduidelijk’ maken dat ‘avatars, biometrische gegevens en gezondheidsinformatie van kinderen’ onder COPPA vallen.
Microsoft moet vóór 19 juni alle gegevens van de jonge gebruikers die illegaal zijn verzameld verwijderen. Ook moet het bedrijf ouderlijke toestemming verkrijgen voor accounts die voor mei 2021 zijn aangemaakt.

AP vraagt opheldering bij maker ChatGPT over omgang met data

De Autoriteit Persoonsgegevens heeft software-ontwikkelaar OpenAI per brief om opheldering gevraagd over chatbot ChatGPT. De AP wil weten op welke manieren persoonsgegevens worden gebruikt voor het trainen van het achterliggende taalmodel. Daarnaast wil de toezichthouder weten of de vragen die mensen aan de chatbot van OpenAI stellen ook gebruikt worden om het systeem verder te trainen.
De AP zegt ook zorgen te hebben over de informatie die het systeem deelt. Die kan volgens de toezichthouder “onnauwkeurig, verouderd, onjuist, ongepast, beledigend, of aanstootgevend” zijn, en kan een eigen leven gaan leiden. “Of en zo ja hoe OpenAI die gegevens kan rectificeren of verwijderen, is onduidelijk”, stelt de AP.
Ook andere privacytoezichthouders in Europa maken zich zorgen over ChatGPT. In Italië leidde dit al tot een tijdelijke blokkade van de chatbot. De privacytoezichthouders in Europa hebben inmiddels een ChatGPT-taskforce opgericht binnen hun samenwerkingsverband, de EDPB, om informatie uit te wisselen en acties te coördineren.
OpenAI heeft nog niet op de brief gereageerd, de deadline was 23 juni. De AP zegt dat er nog meer acties volgen. Welke dat zijn, is nog onduidelijk.

Nieuwe regels voor berekenen AVG-boete

Er zijn nieuwe regels van kracht voor de berekening van boetes voor bedrijven die de AVG overtreden. Deze nieuwe regels, de ‘fining guidelines‘, zijn opgesteld door de EDPB, het samenwerkingsverband van Europese privacytoezichthouders. Tot nu toe had elke privacytoezichthouder in de EU nog eigen regels. Met de nieuwe regels berekenen alle privacytoezichthouders in de EU voortaan op dezelfde manier de hoogte van boetes.
De omvang van een bedrijf krijgt een grotere rol in de bepaling van het boetebedrag. Onder de oude boetebeleidsregels nam de AP de omvang van het bedrijf pas mee aan het eind van de berekening van de boete. Onder de nieuwe regels gebeurt dit aan het begin.
De nieuwe regels kennen drie categorieën voor de ernst van de overtreding: laag, midden en hoog. Tot nu toe keek de AP ook naar de ernst van de overtreding bij de bepaling van de boetehoogte, maar zonder er een categorie aan vast te hangen. Met de nieuwe regels geldt per categorie een ander startbedrag voor de boete.
Net als in de oude regels maken de nieuwe regels gebruik van een bandbreedte van boetebedragen voor verschillende soorten overtredingen. De oude AP-boetebeleidsregels gingen uit van een bandbreedte waarbinnen een boetebedrag in principe werd bepaald. In de nieuwe regels is de bandbreedte echter bedoeld om het startbedrag van de boete te bepalen. Dat bedrag kan daarna nog worden verhoogd of verlaagd. Toezichthouders starten de berekening van de hoogte van de boete met dat startbedrag. Daarna kijken ze of er redenen zijn om de boete aan te passen. Bijvoorbeeld om de boete te verhogen wanneer het bedrijf eerder een vergelijkbare overtreding heeft begaan. Of te verlagen als het bedrijf er alles aan gedaan heeft om de gevolgen voor de slachtoffers van de overtreding te beperken.
Boetes kunnen onder de nieuwe regels, net als onder de oude, oplopen tot 20 miljoen euro of 4 procent van de wereldwijde omzet van een bedrijf.
De nieuwe regels zijn meteen van kracht, ook voor lopende zaken. Ze gaan alleen gelden voor bedrijven, omdat sommige Europese privacytoezichthouders geen boetes aan overheden mogen opleggen.

Massaclaim tegen Amazon vanwege illegaal verzamelen persoonsgegevens

Onder het motto “Bij Amazon betaal je dubbel” sleept Stichting Data Bescherming Nederland (SDBN) het Amerikaanse online warenhuis Amazon voor de rechter. Amazon verzamelt grote hoeveelheden gegevens van klanten die een account aanmaken op hun platform. Daarbij gaat het om detailgegevens van klantgedrag op het platform, maar ook om het surfgedrag van klanten buiten het Amazon-platform om. Deze data worden gebruikt om een gedetailleerd persoonlijk profiel van de gebruiker op te bouwen om gepersonaliseerde advertenties te kunnen tonen, maar de gegevens worden ook uitgewisseld met derde partijen die via het Amazon-platform producten verkopen én met andere derde partijen. Voor deze omvangrijke en gedetailleerde verzameling van persoonsgegevens is toestemming nodig. Volgens SDBN beschikt Amazon niet over geldige toestemming. Het is in veel gevallen zelfs zo dat Amazon het internetgedrag van de gebruiker volgt als deze toestemming heeft geweigerd.
Gebruikers kunnen zich kosteloos aanmelden bij de claim. “Wij streven ernaar om nog dit jaar de dagvaarding uit te brengen voor de rechtbank. Een uitspraak verwachten we op zijn vroegst in 2026”, zegt SBDN.

Frans retargeting-bedrijf krijgt AVG-boete van 40 miljoen euro

De Franse gegevensbeschermingsautoriteit (CNIL) heeft aan Criteo, een bedrijf dat gespecialiseerd is in online reclame, een boete opgelegd van 40 miljoen euro, met name omdat het bedrijf niet controleerde of de personen van wie het gegevens verwerkt daarvoor toestemming hebben gegeven. Criteo houdt zich bezig met “reclame-retargeting”, waarbij het surfgedrag van internetgebruikers wordt gevolgd om gepersonaliseerde reclame te tonen. Hiertoe maakt het bedrijf gebruik van trackingcookies die worden geplaatst wanneer internetgebruikers de websites van Criteo-partners bezoeken. Via deze tracker analyseert het Criteo het surfgedrag om te bepalen welke adverteerder en welk product het meest relevant zijn om een advertentie aan een bepaalde internetgebruiker te tonen.
Ruim 4 jaar geleden, in december 2018, dienden privacyorganisaties noyb en Privacy International een klacht in tegen Criteo omdat ze gebruikers geen goede optie boden om toestemming in te trekken. Deze klacht leidde tot een uitgebreid onderzoek door de CNIL. De CNIL breidde de reikwijdte uit naar andere gebieden en vond aanvullende schendingen van de AVG: onder andere een gebrek aan transparantie, en het niet naleven van het recht op gegevenswissing en het recht op toegang.
Bij het bepalen van de hoogte van de boete hield de CNIL rekening met het feit dat de verwerking in kwestie een zeer groot aantal mensen betrof (Criteo heeft gegevens over ongeveer 370 miljoen mensen in de hele EU) en dat het bedrijf een zeer grote hoeveelheid gegevens verzamelt over de consumptiegewoonten van internetgebruikers.

Delen: