Nieuwsbrief week 29 2023

Europese Commissie neemt EU-US Data Privacy Framework aan

Na een lange reeks onderhandelingen heeft de Europese Commissie op 10 juli een herzien EU-US Data Privacy Framework aangenomen. Dit betekent dat Amerikaanse techbedrijven nu data van Europese burgers in de VS mogen opslaan. Daar was vroeger het Privacy Shield-verdrag voor, maar dat werd in juli 2020 onwettig verklaard door het HvJEU. Sindsdien werkten Europa en de Verenigde Staten aan een opvolger, die er nu met het Data Privacy Framework is.
Het Data Privacy Framework moet de problemen oplossen die het Hof zag in het Privacy Shield. Dat betreft met name de bescherming van data op Amerikaanse servers. Het grootste probleem met Privacy Shield was dat Amerikaanse inlichtingendiensten onder voorwaarden bij de opgeslagen data konden komen. Dat is sinds oktober vorig jaar opgelost door een executive order die president Joe Biden toen tekende, en waarmee paal en perk wordt gesteld aan wat inlichtingendiensten mogen verzamelen.
In het Data Privacy Framework zijn enkele waarborgen opgenomen waaraan de VS en specifiek de inlichtingendiensten zich moeten houden. Zo hoeven burgers bij klachten niet meer aan te tonen dat hun gegevens zijn verzameld. Daardoor kunnen burgers bezwaar aantekenen in Europa en hoeft dat niet in de VS. Hiertoe is een nieuw Hof opgericht: de Data Protection Review Court (DPRC).
De Europese Commissie onderzoekt na een jaar of wijzigingen of verbeteringen aan het verdrag nodig zijn.

Volgens privcacyorganisatie noyb ligt een “Schrems III” in het verschiet. Max Schrems, voorzitter van noyb, zei dat het zogenaamde “nieuwe” kader allesbehalve nieuw is: “Er is weinig veranderd in de Amerikaanse wetgeving of de aanpak van de EU en de persverklaringen van vandaag zijn bijna een letterlijke kopie van die van de afgelopen 23 jaar. Het fundamentele probleem met FISA 702 werd niet aangepakt door de VS, omdat de VS nog steeds van mening is dat alleen Amerikaanse personen grondwettelijke rechten verdienen. Om dit te laten werken, zouden we veranderingen nodig hebben in de surveillancewetgeving van de VS, en die hebben we gewoonweg niet.”

Google’s Bard gelanceerd in Europa

Bard, Google’s langverwachte antwoord op ChatGPT, is op 13 juli in Europa gelanceerd, na vertragingen bij het voldoen aan de gegevensbeschermingsregels van de EU.
In juni zag Google zich genoodzaakt de lancering van Bard in Europa uit te stellen omdat het bedrijf de Ierse privacytoezichthouder niet in detail had verteld hoe het van plan was te voldoen aan de AVG. Google’s productdirecteur Jack Krawczyk zegt dat nu productieve gesprekken zijn gevoerd met gegevensbeschermingsautoriteiten in heel Europa, niet alleen met de Ierse. Deze dialoog resulteerde in een aanpak die volgens Krawczyk is gebaseerd op transparantie over het gebruik van gegevens, de keuze voor gebruikers om Google toe te staan de informatie te gebruiken en de controle om feedback te geven met het verzoek aan Bard om onterechte output te corrigeren. Krawczyk zei ook dat de privacyfuncties van Bard buiten Europa hetzelfde zullen zijn.
Graham Doyle, plaatsvervangend commissaris van Ierland, vertelde aan EURACTIV: “We zullen onze samenwerking met Google met betrekking tot Bard na de lancering voortzetten en Google heeft toegezegd een evaluatie uit te voeren en een rapport aan de DPC te overleggen drie maanden nadat Bard operationeel is geworden in de EU”.

Proximus riskeert boete van 236 miljoen euro

Het beursgenoteerde overheidsbedrijf Proximus riskeert een boete van 236 miljoen euro na een klacht die privacy-organisatie noyb heeft ingediend bij de Belgische privacytoezichthouder GBA.
De klacht houdt verband met Proximus-dochter Telesign. Dat bedrijf geeft ­eigenaars van een mobiel nummer een betrouwbaarheidsscore, die wordt bepaald met behulp van artificiële intelligentie. Die reputatiescore wordt weer met bedrijven als TikTok, Microsoft, Salesforce en Electronic Arts gedeeld. Zo weten die bedrijven bijvoorbeeld of de kans groot is dat een telefoonnummer van een scammer of een bot komt.
Telesign zou volgens Schrems vijf miljard telefoonnummers per maand screenen. Het steunt daarbij op gegevens van het communicatieplatform BICS, ook een Proximus-dochter. BICS slaat allerhande informatie op over het belgedrag van mensen: onder meer hoe lang een telefoongesprek duurt, hoe vaak een telefoonnummer een gesprek opneemt en hoe lang een telefoonnummer actief is of juist niet. Noyb claimt dat BICS zo informatie heeft van ongeveer de helft van alle wereldwijde telefoonnummers. Volgens Max Schrems van noyb zondigt BICS tegen de AVG-regels. Gebruikers van de telecomproviders weten niet dat BICS informatie over hen bijhoudt en doorstuurt naar Telesign. Dat is tegen de AVG-regels, zegt de Noyb-activist. Consumenten zouden moeten kunnen opvragen op welke manier hun betrouwbaarheidsscore berekend wordt. Mensen weten in de regel niet dat Telesign een profiel van hen maakt.
Schrems zegt dat Proximus bij een veroordeling een boete van 4 procent van de omzet riskeert, of 236 miljoen euro. 

Autoriteit Persoonsgegevens onderzoekt fraudesysteem DUO

De Autoriteit Persoonsgegevens stelt een onderzoek in naar de Dienst Uitvoering Onderwijs (DUO). Aanleiding hiervoor is het gezamenlijke onderzoek van NOS op 3 en onderzoeksplatform Investico waaruit bleek dat studenten met een migratieachtergrond opvallend vaak beschuldigd worden van fraude met studiefinanciering. “We willen meer weten over de verwerking van persoonsgegevens in algoritmes en er zeker van zijn dat dit op een goede manier gebeurt”, zegt een AP-woordvoerder. Volgens de woordvoerder is er ook al een fysiek bezoek gebracht aan het kantoor van DUO.
Het is voor het eerst dat de autoriteit een onderzoek start naar DUO. Deze week is de autoriteit begonnen met het onderzoek. DUO is verantwoordelijk voor alle studiefinanciering en leningen aan studenten.
In een reactie op de bevindingen in het onderzoek gaf minister Dijkgraaf van Onderwijs eind juni al aan “grondig na te willen gaan” of de fraudecontroles door DUO “wel echt eerlijk zijn”. Dijkgraaf sprak van een “verontrustend signaal”. 

Google-producten weer welkom op Nederlandse scholen

Vanaf medio augustus zijn Google-producten voldoende privacy-gevoelig om op Nederlandse scholen gebruikt te mogen worden, meldt het ministerie van Onderwijs, Cultuur & Wetenschap (OCW). Zo wordt voorkomen dat het nieuwe schooljaar zonder de Google-hardware en -software van start zou gaan.
Vanuit de overheid zijn DPIA’s uitgevoerd op Google Workspace for Education en op Chromebooks. In beide gevallen waren aanvankelijk acht privacy-gerelateerde risico’s geconstateerd. Het ging onder andere om gebrek aan transparantie, doelbinding en controlefuncties.
Google dreigde daarmee mogelijk een groot klantenbestand in de vorm van het Europees onderwijsbestel kwijt te raken. Echter heeft het bedrijf op 9 juni al maatregelen genomen om de geconstateerde risico’s op te lossen, aldus de Beslisnota van het Tweede Kamerstuk.
OCW stelt dat Google in augustus met een volgende update zal voldoen aan de vereisten om te blijven opereren in het Nederlands onderwijs. Ook ChromeOS en de Chrome-browser zullen tegen die tijd voldoen aan de AVG-regelgeving voor Chromebooks..

UWV verzamelde illegaal gegevens van websitebezoekers

Uitvoeringsinstantie UWV heeft illegaal gegevens verzameld van uitkeringsgerechtigden. Het gedrag van bezoekers van UWV-sites werd gevolgd om na te gaan of ze in het buitenland verbleven terwijl ze een WW-uitkering kregen. Ook werden cookies geplaatst. Dat blijkt uit onderzoek van de NOS en Nieuwsuur. Alle bezoekers werden gevolgd, ook als er geen aanwijzingen voor fraude waren. De landsadvocaat zag daar geen juridische basis voor, daarom zijn alle bijna 600 lopende onderzoeken begin dit jaar gestopt. Het UWV erkent de fout en betuigt spijt over het gebrek aan zorgvuldigheid. De Autoriteit Persoonsgegevens wil opheldering van de uitvoeringsinstantie.

Nederlandse Rijksoverheid en ministeries krijgen chief privacy officers

Nederlandse ministeries krijgen eigen elk een eigen chief privacy officer (CPO) en er komt een coördinerende CPO Rijk. Met deze CPO ‘s moet gegevensbescherming een ‘stevigere positie’ krijgen binnen de Nederlandse overheid.
Staatssecretaris van Digitalisering Alexandra van Huffelen zegt in een kamerbrief dat er aan een CPO-stelsel wordt gewerkt waarbij alle overheidsdepartementen, waaronder ministeries, een CPO krijgen. Hierbij neemt de staatssecretaris het CISO-stelsel voor informatiebeveiliging als voorbeeld. Elk departement krijgt een eigen CPO en de CPO Rijk zal de situatie rijksbreed in de gaten houden, bijvoorbeeld als het gaat om het privacybeleid, naleving, datalekken en een risicobeeld van de persoonsgegevensbescherming. De CPO Rijk komt onder de CIO Rijk te vallen.
Daarnaast komt er een overkoepelende CPO-Raad die onder meer privacykaders en -beleid zal vaststellen. De CPO’s bij de departementen zullen voornamelijk bezig zijn met het opstellen van een privacystrategie en het adviseren van management. Op dit moment zijn er zes CPO ‘s aangesteld binnen de Nederlandse overheid. Dit jaar nog moeten alle departementen een eigen CPO hebben benoemd. Eind dit jaar moet er ook een formele CPO-Raad zijn; nu is er nog een tijdelijke CPO-Raad.

Delen: