Nieuwsbrief week 35 2024

AP: Zorgen over datadeler-apps

Het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) heeft advies gevraagd aan de Autoriteit Persoonsgegevens (AP) over datadeler-apps (ook wel datadeelplatforms). Datadeler-apps zijn applicaties waarmee mensen gegevens over zichzelf uit overheidsregistraties kunnen (laten) verzamelen, bijvoorbeeld om een hypotheek of huurwoning te krijgen. Het ministerie van BZK maakt zich zorgen over het gebruik van deze datadeler-apps en overweegt om afspraken te maken met aanbieders van de apps. Het ministerie heeft een concept voor een convenant aan de AP voorgelegd. De AP heeft hierover een advies uitgebracht. 

De AP is bezorgd over de rechtmatigheid van datadeler-apps. Deze apps hebben na inloggen via DigiD toegang tot alle gegevens over een persoon op overheidswebsites, terwijl meestal maar een deel van die gegevens nodig is. Dit is in strijd met het beginsel van minimale gegevensverwerking uit de AVG.

Ook zijn er zorgen over de veiligheid, omdat de apps alleen werken met de minder veilige inlogmethode van gebruikersnaam en wachtwoord. Bovendien zijn gebruikersnaam en wachtwoord zichtbaar voor de apps.

Verder is er te weinig transparantie richting burgers over de werking en risico’s van de apps. 

De AP stelt voor om geen convenant te sluiten dat onrechtmatige verwerkingen legitimeert. In plaats daarvan adviseert de AP om technische maatregelen te implementeren, zoals API’s, om te voorkomen dat deze apps excessieve gegevens verzamelen. Indien deze maatregelen niet voldoende zijn, moet het gebruik van commerciële datadeler-apps tijdelijk worden verboden totdat er een veilig alternatief is.


Recordboete van 290 miljoen euro voor Uber

De Autoriteit Persoonsgegevens (AP) heeft Uber een boete van 290 miljoen euro opgelegd wegens het onvoldoende beschermen van persoonsgegevens van Europese chauffeurs. Het taxibedrijf stuurde gevoelige informatie, zoals medische gegevens en strafrechtdossiers, door naar de Verenigde Staten zonder adequate beveiligingsmaatregelen te treffen. Uber had geen geldige modelverklaring of standaardcontractbepalingen opgesteld voor deze gegevensdoorgifte, wat in strijd is met de Algemene Verordening Gegevensbescherming (AVG).

Het onderzoek begon in Frankrijk na een klacht van Uber-chauffeurs bij de Franse privacytoezichthouder CNIL. De zaak werd doorverwezen naar de AP, omdat het Europese hoofdkantoor van Uber in Nederland is gevestigd. De AP concludeerde dat Uber artikel 44 van de AVG heeft overtreden en dat de doorgifte van gegevens structureel plaatsvond. Chauffeurs hadden geen keuze dan de algemene voorwaarden van Uber te accepteren, waardoor ze gedwongen werden gevoelige informatie af te staan. Uber heeft aangekondigd bezwaar aan te zullen tekenen tegen de boete, desnoods via de rechter. 

De boete van 290 miljoen euro is de hoogste boete die de AP ooit heeft uitgedeeld en staat op de vijfde plaats van hoogste AVG-boetes in Europa. Alleen Meta, Amazon en TikTok hebben hogere boetes ontvangen voor AV- overtredingen.


Google opnieuw voor de rechter vanwege dataverzameling via Chrome

Google staat opnieuw voor de Amerikaanse rechter vanwege het ongevraagd verzamelen van data via de Chrome-browser. Een eerdere uitspraak in het voordeel van Google is ongedaan gemaakt, waardoor het techbedrijf alsnog een class action-rechtszaak kan verwachten.

De zaak draait om de Chrome Sync-functie, die bookmarks, wachtwoorden en andere gegevens bewaart in het Google-account van de gebruiker. Volgens de aanklagers verzamelde Google echter ook data zoals browsegeschiedenis en IP-adressen, zonder expliciete toestemming van de gebruikers.

In december 2022 oordeelde de rechter nog dat gebruikers wel degelijk toestemming hadden gegeven door het privacybeleid van Google te accepteren. Het recente vonnis stelt echter dat de lagere rechtbank een cruciaal feit over het hoofd heeft gezien: gebruikers moeten daadwerkelijk begrijpen dat het accepteren van het privacybeleid ook toestemming inhield voor het versturen van data.

Google is het oneens met de beslissing en benadrukt dat Chrome Sync duidelijke privacycontroles biedt. Het bedrijf heeft aangekondigd dat gebruikers binnenkort geen Google Sync meer hoeven te gebruiken voor toegang tot opgeslagen informatie, al zou dit los staan van de juridische acties.

De zaak wordt terugverwezen naar de lagere federale rechter, die moet beslissen of de class action-rechtszaak opnieuw gevoerd moet worden. Het is niet de enige privacykwestie waarmee Google te maken heeft; eerder werd het bedrijf aangeklaagd voor het volgen van gebruikers in de incognitomodus van Chrome, wat uiteindelijk tot een schikking leidde.


Noyb eist boete voor Europees Parlement vanwege ernstig datalek

Privacyorganisatie noyb heeft de Europese privacytoezichthouder EDPS opgeroepen om het Europees Parlement een boete op te leggen vanwege een ernstig datalek in het recruitmentplatform PEOPLE. Begin mei werd bekend dat van meer dan achtduizend huidige en voormalige medewerkers alle geüploade documenten, waaronder kopieën van identiteitsbewijzen, diploma’s en samenvattingen van strafbladen, zijn gestolen.

Het Europees Parlement adviseerde gedupeerden om uit voorzorg hun identiteitskaarten en paspoorten te vervangen en bood aan de kosten hiervoor te vergoeden. Volgens noyb voldoet het Parlement niet aan de AVG, onder meer omdat sollicitatiegegevens tien jaar lang worden bewaard. Dit is zorgwekkend gezien de gevoelige data in deze documenten.

Op verzoek van vier medewerkers heeft noyb twee privacyklachten bij de EDPS ingediend. De stichting eist dat het Parlement wordt gedwongen de gegevensverwerking in overeenstemming te brengen met de AVG en een boete krijgt opgelegd om herhaling in de toekomst te voorkomen. EU-instellingen hebben de afgelopen jaren herhaaldelijk te maken gehad met datalekken. Het Europees Parlement heeft de verantwoordelijkheid om de persoonlijke gegevens van sollicitanten en medewerkers te beschermen.


AI in financiële rapportage en audit: Nederland wijkt af van wereldwijde trends

Kunstmatige intelligentie (AI) is in een hoog tempo een prioriteit aan het worden binnen de financiële rapportage en audit. Uit een wereldwijd onderzoek van KPMG onder 1800 leidinggevenden, waarvan 100 uit Nederland, blijkt dat bijna driekwart van de bedrijven momenteel experimenteert met of gebruik maakt van AI op dit gebied. De verwachting is dat dit percentage binnen drie jaar zal stijgen naar 99%. AI kan de kwaliteit verhogen, meer data analyseren en leiden tot meer continue en voorspellende werkwijzen.

Opvallend is dat Nederland op drie punten afwijkt van de wereldwijde trends. Ten eerste blijven Nederlandse bedrijven achter als het gaat om het verhogen van investeringsbudgetten voor AI. Ten tweede hebben bedrijven in Nederland meer zorgen over gegevensbescherming bij het gebruik van AI, mogelijk door de invloed van de AVG en de Autoriteit Persoonsgegevens. Ten derde zijn Nederlandse bedrijven minder bezorgd over het verdwijnen van banen door AI, wat verband kan houden met de innovatieve cultuur van het land.

KPMG constateert dat data governance en security steeds belangrijker worden bij de brede inzet van AI. Het accountantskantoor past zelf al AI toe op elke audit en heeft een eigen “AI Maturity Framework” ontwikkeld om klanten te helpen met de adoptie van AI in hun financiële verslaggeving. 


Meta onder vuur van EU Commissie vanwege sluiten CrowdTangle

Op 14 augustus heeft Meta, ondanks de grote populariteit onder onderzoekers en journalisten, de stekker uit CrowdTangle getrokken. Deze analysetool werd gebruikt om sociale media-inhoud te monitoren en desinformatie op de platforms Instagram en Facebook op te sporen. Hoewel Meta al eerder had aangekondigd te stoppen met CrowdTangle, is het nog onduidelijk of er een volwaardig alternatief klaarstaat.

De Europese Commissie vraagt zich hetzelfde af. Volgens de Digital Services Act (DSA) moeten grote techbedrijven zoals Meta voldoen aan bepaalde transparantieverplichtingen en gekwalificeerde onderzoekers toegang geven tot data. De Commissie heeft Meta daarom verzocht meer informatie te verstrekken over de maatregelen die het bedrijf heeft genomen om te voldoen aan deze verplichtingen en over de plannen om de functionaliteiten voor het monitoren van verkiezingen en maatschappelijk debat te updaten.

Meta beschikt over een Content Library die toegang biedt tot het volledige openbare inhoudsarchief van Facebook en Instagram. Geïnteresseerden moeten een aanvraag indienen bij het Consortium for Political and Social Research (ICPSR) van de Universiteit van Michigan. De Commissie wil zeker weten dat deze toegang in lijn is met de Europese wetgeving.

Dit informatieverzoek is niet het enige EU-onderzoek naar Meta. Op 30 april 2024 startte de Commissie een formele DSA-procedure tegen het Amerikaanse bedrijf. Meta heeft tot 6 september 2024 de tijd om de gevraagde informatie te verstrekken, waarna de Commissie zal beslissen over eventuele vervolgstappen, zoals boetes bij niet-naleving van de DSA.

Delen: