Zorgen over gebruik Amazon cloud door Nederlandse medische sector
Fabrikanten van medische apparatuur gebruiken de clouddiensten van Amazon om gegevens van ziekenhuispatiënten op te slaan, meldt het platform voor onderzoeksjournalistiek Follow the Money. Dat betekent dat gevoelige informatie over diagnoses en behandelingen van de medisch specialist in Nederland via de fabrikant van het apparaat rechtstreeks naar de Verenigde Staten gaat, waar inlichtingendiensten toegang hebben tot die gegevens. Follow the Money kwam tot deze conclusie na het bestuderen van 147 contracten tussen academische ziekenhuizen in Nederland en leveranciers van medische apparatuur die verkregen zijn via de Wet openbaarheid van bestuur.
De eerste vraag is of deze gevoelige medische gegevens wel voldoende beveiligd en versleuteld zijn. Maar dat is niet eens het grootste probleem, zei Gerrit-Jan Zwenne, advocaat en hoogleraar gegevensbescherming in Leiden, tegen FTM. Zelfs als je Amazon het voordeel van de twijfel geeft, in de overtuiging dat de techreus gegevens goed beschermt, is dit nog steeds een groot probleem.
Volgens Zwenne staat Amazon machteloos tegenover de inlichtingendiensten in de VS. Als de NSA, FBI of een andere dienst opduikt met een door een rechter ondertekend bevelschrift waarin Amazon wordt bevolen specifieke informatie af te staan, kan het bedrijf niets anders doen dan de gevraagde gegevens verstrekken. “In Amerika kan ook een geheimhoudingsplicht worden opgelegd, een zogenaamde ‘gag order'”, aldus Zwenne. “Amazon mag dan niet eens aan een ziekenhuis vertellen dat het gegevens heeft moeten verstrekken aan een inlichtingendienst.”
Geschil over TikTok-besluit
Een geschil tussen de Ierse en overige Europese privacytoezichthouders over de dataverwerking van TikTok heeft geleid tot een bindende beslissing van de EDPB. De EDPB grijpt in wanneer er onenigheid is tussen Europese regelgevers, waaronder de Ierse Data Protection Commission (DPC). Eerdere conflicten betroffen de DPC die relatief lage boetes oplegde aan Ierse techbedrijven in het kader van de AVG, wat leidde tot formele bezwaren van andere toezichthouders.
Onlangs heeft de EDPB opnieuw een bindende uitspraak gedaan in een onderzoek naar TikTok’s gegevenspraktijken. De DPC had het verwerken van persoonlijke gegevens van kinderen door TikTok onderzocht, wat leidde tot meningsverschillen met andere Europese toezichthouders, vooral over leeftijdsverificatie en eerlijkheidsprincipes in TikTok’s ontwerpkeuzes.
Aangezien de toezichthouders er niet uitkwamen, werd de zaak voorgelegd aan de EDPB. Dat kwam vervolgens tot een beslissing die ervoor moet zorgen dat de AVG juist en consistent door nationale toezichthouders wordt toegepast. De DPC moet nu op basis van het bindende besluit van de EDPB een definitieve beslissing nemen. Zowel de beslissing van de EDPB als de DPC zijn nog niet bekend, maar het besluit van de EDPB wordt uiterlijk volgende maand openbaar gemaakt.
AP weet na anderhalf jaar nog niet wanneer Google Analytics-onderzoek uitkomt
De Autoriteit Persoonsgegevens waarschuwt Nederlandse organisaties al sinds 2022 dat het gebruik van Google Analytics ‘mogelijk binnenkort niet is toegestaan.’ De privacytoezichthouder startte vervolgens een onderzoek, maar kan na anderhalf jaar nog steeds niet zeggen wanneer zij dit onderzoek openbaar maakt. Dat blijkt uit navraag van Tweakers, dat de AP om een update vroeg. Een AP-woordvoerder legt tegenover de website uit: ‘Het onderzoek naar Google Analytics is afgerond en zit nu in de zogeheten ‘handhavingsfase’. In die fase wordt het hele onderzoek nagelopen, beoordeeld of terecht een overtreding is geconstateerd en of die overtreding inmiddels is beëindigd. Uiteindelijk wordt bepaald of een sanctie wordt opgelegd, en zo ja, welke.’
Volgens de toezichthouder maken ‘onvoorziene omstandigheden’ de zaak ‘complexer dan verwacht.’ Om die reden kan de woordvoerder ‘nog geen inschatting geven’ wanneer het onderzoek naar Google Analytics openbaar beschikbaar komt. Oorspronkelijk verwachtte de AP het onderzoek ‘begin 2022’ af te ronden.
De AP erkent tegenover Tweakers dat de introductie van het nieuwe EU-US Data Privacy Framework (de opvolger van het Privacy Shield) de onderzoekconclusie van het Google Analytics-rapport kan beïnvloeden. Of dat daadwerkelijk het geval is, laat de toezichthouder in het midden.
Nederlandse websites zitten tot de Autoriteit Persoonsgegevens met een onderzoek en eventuele handhavingsmaatregelen komt in onzekerheid. Zij wachten sinds januari 2022 op antwoord op de vraag of ze Google Analytics volgens de AVG mogen gebruiken en zo ja, wat de (juridisch) veiligste manier is.
Ziekenhuismedewerker geschorst vanwege lekken gegevens influencer
Een administratief medewerker van het Franciscus Gasthuis & Vlietland-ziekenhuis in Rotterdam is geschorst vanwege het lekken van gegevens over de onlangs bevallen influencer Selma Omari. Dit bevestigt het ziekenhuis na berichtgeving van de NOS.
De medewerker had in een besloten Facebookgroep bevestigd dat Omari was bevallen. Dit was nog voordat de influencer, die niet publiekelijk bekend had gemaakt dat ze zwanger was, zelf het nieuws had gedeeld.
Het ziekenhuis laat weten de situatie te betreuren. “De desbetreffende patiënt is door ons op de hoogte gebracht van de situatie. De collega in kwestie is hierop aangesproken en passende disciplinaire maatregelen worden genomen. Daarbij is ook een melding gemaakt bij de Autoriteit Persoonsgegevens.”
Iers voorstel goedgekeurd dat kritiek op privacytoezichthouder lastiger maakt
Het Ierse parlement heeft een zeer omstreden wetsvoorstel goedgekeurd dat het lastiger maakt om kritiek op de Ierse privacytoezichthouder DPC te uiten. Privacyactivist Max Schrems spreekt van een ongrondwettelijke wet die de vrijheid van meningsuiting beperkt en alleen bedoeld is om critici van de DPC de mond te snoeren. Sectie 26A is een toevoeging aan de Ierse privacywetgeving die door de Ierse privacytoezichthouder was aangevraagd en het mogelijk maakt om documenten als “vertrouwelijk” aan te merken. Het publiceren van dergelijke documenten is nu strafbaar.
Privacyorganisatie noyb ligt al jaren overhoop met de DPC. Veel techbedrijven hebben in Ierland hun Europees hoofdkantoor, waardoor de Ierse toezichthouder de aangewezen partij is voor het afhandelen van privacyklachten en mogelijke AVG-overtredingen.
Noyb stelt dat de DPC techbedrijven de hand boven het hoofd houdt door klachten zeer traag af te handelen en zeer lage boetes bij overtredingen op te leggen. De Europese privacytoezichthouders hebben geregeld bij boetebesluiten van de DPC ingegrepen omdat de boetes van de Ierse toezichthouder te laag waren. Noyb publiceert hierbij geregeld documenten over deze zaken.
Schrems verwacht dat de nieuwe wet voor meer rechtszaken over procedures zal zorgen, in plaats van dat er resultaten kunnen worden geboekt.
Nederlandse massaclaim tegen datascrapen door virusscanner Avast
De Nederlandse stichting CUIC (Consumers United In Court) begint in samenwerking met Privacy First een massaclaim tegen Avast, een internationale producent van antivirus- en beveiligingssoftware. De organisatie claimt dat het Tsjechische bedrijf de AVG heeft geschonden door gegevens van gebruikers zonder toestemming door te verkopen aan derden via dochteronderneming Jumpshot.
Avast en submerk AVG Antivirus verzamelden stiekem verschillende gegevens, waaronder bijzondere persoonsgegevens zoals seksuele voorkeuren, gegevens over gezondheid en religieuze overtuigingen. De data werden vergaard aan de hand van het surfgedrag van de gebruiker en het kijkgedrag op sociale media als YouTube, Instagram en Facebook.
Het datascrapen gebeurde gedurende vijf jaar en werd pas begin 2020 stilgelegd nadat internationale nieuwsmedia er lucht van kregen. De Tsjechische privacytoezichthouder stelde een onderzoek in.
Gebruikers die tussen mei 2015 en 30 januari 2020 antivirussoftware van Avast hebben gebruikt, worden opgeroepen om zich aan te melden bij de rechtszaak om de kans op een schadevergoeding te vergroten.
Schoolgidsen met informatie over docenten zonder toestemming online
De namen, adresgegevens en 06-nummers van duizenden docenten zwerven rond op het internet. Daarvoor waarschuwt Privacy op School in het NOS Radio 1 Journaal. De organisatie kwam er na onderzoek achter dat schoolgidsen van zeker 5000 scholen zonder toestemming worden aangeboden door internetondernemers.
Internetondernemers zijn actief op zoek naar die lijsten. Vervolgens bieden ze die aan op hun websites. “Deze websites staan bol van de advertenties” zegt Henk van de Hoef, directeur Privacy op School. “Die verdienen er dus flink aan.”
Tot aan 2018 was het voor scholen gebruikelijk om hele lijsten met contactgegevens van docenten, vertrouwenspersonen en soms ook leerlingen op te nemen in een schoolgids. Tegenwoordig staan eventuele contactgegevens van schoolpersoneel binnen de veilige internetomgeving van de school. Maar die privacy was vroeger niet vanzelfsprekend, zegt Van de Hoef. “In sommige gevallen is daar naïever mee omgegaan.”
Niet alleen scholen zijn hier het slachtoffer van. Ook lijsten met persoonsgegevens van bijvoorbeeld kerkgenootschappen en sportverenigingen zijn online makkelijk terug te vinden. Het is volgens Van de Hoef niet makkelijk om die lijsten offline te halen. Mensen kunnen rapporteren bij Google en een verzoek tot verwijdering doen. Maar dat lijkt dat niet voldoende. “Er zit geen duidelijke persoon of organisatie achter, en veel wordt automatisch verwerkt. Die bots zoeken automatisch naar pdf’s met dit soort contactgegevens. Volgens het AD gaat het onder meer om een Oostenrijkse website die al jaren veel geld verdient door privacygevoelige informatie te delen.
Van de Hoef vreest dat er nog veel meer gegevens zonder toestemming op het internet rondzwerven. “Ik denk dat het een topje van de ijsberg is.”