Nieuwsbrief week 41 2024

Europees Hof: Verkoop persoonsgegevens soms toegestaan 

In een recente uitspraak heeft het Hof van Justitie van de EU bepaald dat het voor sportbonden en andere organisaties niet automatisch verboden is om persoonsgegevens van leden te verkopen aan bedrijven. Deze uitspraak komt voort uit een zaak waarin de Nederlandse tennisbond KNLTB en de Autoriteit Persoonsgegevens (AP) centraal stonden.

In 2020 had de AP de KNLTB een boete van € 525.000 opgelegd voor het onrechtmatig verstrekken van persoonsgegevens van leden aan twee sponsoren, waarbij de bond geld zou hebben verdiend. Volgens de AP was dit in strijd met de Algemene verordening gegevensbescherming (AVG).

Het Hof stelt echter dat klantgegevens verkocht mogen worden als er een gerechtvaardigd belang is, waarbij een commercieel belang in sommige gevallen ook als zodanig kan gelden. De verkoop van gegevens kan namelijk ook voordelen hebben voor leden, aldus een woordvoerder van het Hof. Wel worden er eisen gesteld aan bijvoorbeeld de toestemming die leden moeten verlenen.

De uitspraak betekent niet dat de boete voor de KNLTB direct wordt kwijtgescholden. De rechtbank van Amsterdam zal zich later opnieuw over de zaak buigen, rekening houdend met het vonnis uit Luxemburg. Het is nog niet bekend wanneer deze zaak behandeld zal worden.

De kwestie kwam aan het licht nadat KNLTB-leden hadden geklaagd over de praktijken van de bond, zoals het verkopen van namen en adressen aan webshop Tennisdirect en het delen van gegevens met de Nederlandse Loterij Organisatie. Hoeveel geld de bond hiermee heeft verdiend, is niet bekend.

Ierse toezichthouder start onderzoek naar klantenverificatieproces Ryanair

De Ierse Data Protection Commission (DPC) is een onderzoek gestart naar de verwerking van persoonsgegevens door Ryanair als onderdeel van het klantenverificatieproces voor klanten die vliegtickets boeken via externe websites of online reisbureaus. De DPC heeft diverse klachten ontvangen over Ryanair’s praktijk om extra identiteitsverificatie te vragen van klanten die niet rechtstreeks via de Ryanair-website boeken. Deze verificatiemethoden kunnen biometrische gegevens omvatten, zoals gezichtsherkenning.

Volgens de DPC moet worden onderzocht of Ryanair’s gebruik van deze verificatiemethoden in overeenstemming is met de Algemene verordening gegevensbescherming (AVG). Het onderzoek is grensoverschrijdend van aard en zal nagaan of Ryanair heeft voldaan aan zijn verplichtingen onder de AVG, waaronder de rechtmatigheid en transparantie van de gegevensverwerking.

De European Data Protection Board heeft recent benadrukt dat het gebruik van biometrische gegevens, en met name gezichtsherkenning, verhoogde risico’s met zich meebrengt voor de rechten en vrijheden van betrokkenen. De impact op deze fundamentele rechten en vrijheden moet daarom zorgvuldig worden afgewogen bij het gebruik van dergelijke technologieën.

Europees Hof beperkt gebruik van persoonsgegevens voor advertenties door Meta

In een baanbrekende uitspraak heeft het Hof van Justitie van de Europese Unie (HvJ-EU) bepaald dat Meta, het moederbedrijf van Facebook, het gebruik van persoonsgegevens voor advertenties drastisch moet beperken. De zaak was aangespannen door privacyactivist Max Schrems tegen Meta.

Het Hof besloot dat Meta het gebruik van persoonsgegevens voor online advertenties aanzienlijk moet beperken en dat publiekelijk beschikbare persoonsgegevens alleen mogen worden gebruikt voor de oorspronkelijk bedoelde doeleinden van publicatie. Meta gebruikt momenteel alle verzamelde persoonsgegevens voor advertenties, soms zelfs gegevens die teruggaan tot 2004. Het HvJ-EU stelt dat dit in strijd is met het principe van gegevensminimalisatie in de AVG.

De uitspraak heeft ook gevolgen voor andere bedrijven die online adverteren en geen strikte praktijken hanteren voor het verwijderen van gegevens. Verder bepaalde het Hof dat publieke kritiek geen toestemming inhoudt voor verwerking van persoonsgegevens. Schrems had betoogd dat zijn openbare opmerkingen jaren na de verwerking van andere informatie waren gemaakt en dus geen toestemming konden impliceren.

De zaak, die in 2014 werd aangespannen, betreft een groot aantal mogelijke AVG-overtredingen door Meta. De uitspraak van het HvJ-EU zet een belangrijke stap in de richting van betere bescherming van persoonsgegevens online.

Position paper AP over toezicht en normuitleg AI

Op 10 oktober 2024 nam de Autoriteit Persoonsgegevens (AP) deel aan een belangrijk rondetafelgesprek in de Tweede Kamer over toezicht en normuitleg op het gebied van kunstmatige intelligentie (AI). Tijdens dit overleg presenteerde de AP een position paper waarin tien concrete acties worden voorgesteld om de inzet van waardengedreven AI in Nederland mogelijk te maken.

Een van de kernpunten uit het document is de oproep tot een Nationaal Deltaplan voor algoritmes en AI. Dit plan moet bijdragen aan een veilige en verantwoorde toepassing van AI-systemen, waarbij grondrechten worden gewaarborgd en tegelijkertijd ruimte blijft voor innovatie. Verder pleit de AP voor investeringen in een ecosysteem dat duurzame AI-innovaties ondersteunt, inclusief testomgevingen voor nieuwe AI-toepassingen.

De AP benadrukt dat volksvertegenwoordigers, de overheid en toezichthouders een cruciale rol spelen in het realiseren van deze acties. Het toezicht op AI staat nog in de kinderschoenen, maar de AP neemt een voortrekkersrol als coördinerend toezichthouder op AI en algoritmes. Dit gebeurt in nauwe samenwerking met andere digitale toezichthouders.

Met het oog op de toenemende inzet van AI in verschillende sectoren, blijft de AP zich inzetten voor een samenleving waarin AI-innovaties niet alleen economische en maatschappelijke voordelen bieden, maar ook de fundamentele rechten van burgers beschermen. Zo blijft de AP het toezicht ontwikkelen om te zorgen voor transparantie, non-discriminatie en het voorkomen van willekeur bij het gebruik van AI.

Universiteit in Noorwegen beboet voor datalek via openbare Microsoft Teams-map

De Noorse privacywaakhond Datatilsynet heeft de Universiteit van Agder een boete van € 13.000 opgelegd vanwege een ernstig datalek. Het lek werd veroorzaakt doordat een medewerker van de universiteit een Microsoft Teams-map ontdekte die toegankelijk was voor alle medewerkers en studenten.

De map bevatte persoonlijke gegevens van meer dan 16.000 individuen, waaronder namen, contactgegevens en burgerservicenummers. Ook stonden er examengegevens van bijna 600 studenten en persoonlijke informatie van 64 Oekraïense vluchtelingen in. De gegevens gingen terug tot 2014.

Na ontdekking paste de universiteit direct de toegangsrechten van de map aan en informeerde de privacytoezichthouder en gedupeerden. Onderzoek wees uit dat de beveiliging van personeels- en studentgegevens tekortschoot. Ook ontbrak toereikende logging, waardoor onduidelijk is hoeveel mensen de data hebben ingezien.

Verder had de universiteit geen interne procedures en training voor het gebruik van Microsoft Teams. De toegangsinstellingen waren vanaf het begin onjuist geconfigureerd. Hiermee heeft de instelling de AVG op meerdere punten geschonden. Gezien de omvang van het datalek, acht de toezichthouder een boete van € 13.000 op zijn plaats.

Toegang tot persoonsgegevens op mobiele telefoons toegestaan bij lichte misdrijven

Het Hof van Justitie van de Europese Unie heeft bepaald dat de politie persoonsgegevens op mobiele telefoons mag doorzoeken, zelfs als de verdachte niet van een zwaar misdrijf wordt beschuldigd. Deze uitspraak kwam voort uit een zaak van een Oostenrijkse man wiens telefoon in beslag was genomen nadat er een aan hem geadresseerd pakketje met 85 gram cannabis was gevonden.

Het Hof stelt dat toegang tot persoonsgegevens op mobiele telefoons een ernstige inbreuk kan zijn op de grondrechten van de betrokkene, aangezien deze gegevens zeer nauwkeurige conclusies over iemands privéleven kunnen onthullen. Desondanks zou het beperken van toegang tot alleen zware misdrijven kunnen leiden tot straffeloosheid van strafbare feiten in het algemeen.

Om toegang te krijgen tot de gegevens moet voorafgaand toestemming worden verleend door een rechterlijke instantie of een onafhankelijke autoriteit, behalve in spoedeisende gevallen. Bovendien moet de toegang proportioneel zijn en moet de verdachte worden geïnformeerd.

Het Hof benadrukt het belang van een eerlijk evenwicht tussen de behoeften van het onderzoek voor criminaliteitsbestrijding enerzijds, en het recht op privacy en bescherming van persoonsgegevens anderzijds. De nationale wetgever moet nauwkeurig bepalen met welke elementen rekening moet worden gehouden bij het verlenen van toegang tot persoonsgegevens op mobiele telefoons.

Delen: