Gezichtsherkenning: 20 miljoen euro boete voor Clearview AI
De Franse privacytoezichthouder CNIL heeft het bedrijf Clearview AI een boete van 20 miljoen euro opgelegd voor het schenden van de artikelen 6, 15, 17 en 31 AVG door het aanbieden van een gezichtsherkenningsdienst.
Clearview AI werkt met een tool voor gezichtsherkenning om betrokkenen te identificeren aan de hand van online geplaatste foto's en video's. Het bedrijf is gevestigd in de Verenigde Staten en heeft geen vestiging in de EU, maar verwerkt wel persoonsgegevens van betrokkenen in de EU. De tool verzamelt met name online-inhoud waarin gezichten voorkomen, waaronder gezichten van minderjarigen. De tool indexeert vrij toegankelijke webpagina's en socialemediaplatforms. Na de indexering haalt de tool alle afbeeldingen met gezichten van betrokkenen eruit. Op basis van deze afbeeldingen berekent de tool voor elke betrokkene een mathematische hash, die gebaseerd is op een uniek biometrisch sjabloon van het gezicht in de afbeelding. De hash wordt gebruikt om de betrokkenen doorzoekbaar te maken in de databank. Clearview AI verkoopt de toegang tot zijn databank aan derden. Deze derden kunnen een foto van een gezicht uploaden en middels een zoekopdracht de betrokkene laten identificeren.
De CNIL oordeelde op grond van art. 83 AVG dat Clearview AI een aantal artikelen heeft geschonden: de rechtmatigheid van de verwerking (art. 6 AVG), het recht van inzage (art. 15 AVG), het recht op gegevenswissing (art. 17 AVG) en medewerking met de toezichthoudende autoriteit (art. 31 AVG).
Biden ondertekent besluit over privacyregeling EU-VS
De Amerikaanse president Joe Biden heeft een besluit ondertekend waarin hij aangeeft welke stappen de VS zullen nemen om hun verbintenissen in het kader van het in maart overeengekomen EU-VS-kader voor gegevensbescherming te waarborgen.
Meer dan zes maanden na dit principeakkoord tussen de EU en de VS heeft Biden nu de langverwachte Executive Order ondertekend die de eerdere uitspraken van het Europees Hof van Justitie (HvJEU) moet respecteren. Dit is bedoeld om beperkingen in de doorgifte van gegevens tussen de EU en de VS op te heffen. Het HvJEU eiste (1) dat de surveillance door de VS evenredig is in de zin van artikel 52 van het Handvest van de grondrechten van de Europese Unie en (2) dat er toegang is tot rechtsmiddelen, zoals vereist op grond van artikel 47 van het Handvest. Of de nieuwe Executive Order van Biden aan beide eisen voldoet, is nog maar de vraag.
Hoe gaat het nu verder? De Europese Commissie zal een adequaatheidsbesluit krachtens artikel 45 AVG moeten opstellen. Zodra het ontwerpbesluit is vastgesteld, moet de Commissie de EDPB horen, maar is zij niet gebonden aan de bevindingen. Bovendien moeten de Europese lidstaten worden gehoord; zij kunnen de overeenkomst blokkeren. Dit proces kan enkele maanden duren. Maar zelfs negatieve uitspraken van de EDPB en de lidstaten zijn niet bindend voor de Commissie. Zodra het besluit is gepubliceerd, kunnen bedrijven zich erop beroepen wanneer zij gegevens naar de VS sturen en kunnen gebruikers het aanvechten via de nationale en Europese rechtbanken. Dit wordt niet verwacht vóór het voorjaar van 2023.
Europese privacytoezichthouders vragen Europese Commissie om aanvulling AVG
De Europese privacytoezichthouders willen dat de Europese Commissie nieuwe regels maakt in aanvulling op de AVG, om de samenwerking tussen toezichthouders in internationale zaken te verbeteren. Dat schrijven zij in een brief aan de Europese Commissie. De AP en de rest van de Europese privacytoezichthouders, verenigd in de EDPB, vragen de Europese Commissie om nieuwe regels, om verduidelijking van bestaande regels of om het gelijktrekken van regels over procedures die nu nog verschillen per Europese lidstaat.
Het gaat om aanvullende regels op 14 punten. Waaronder duidelijkheid over de rechten van mensen die een klacht indienen, criteria voor het in behandeling nemen van klachten, deadlines voor het behandelen van zaken, de manier waarop zaken kunnen worden afgesloten, onderzoeksbevoegdheden en het publiceren van besluiten. Wanneer de regels in verschillende Europese landen beter op elkaar worden afgestemd, kunnen de Europese toezichthouders efficiënter samenwerken.
Meer dan 500.000 euro boete voor een Duits e-commercebedrijf dat een DPO met een belangenconflict heeft aangesteld
De boete is op 20 september door de Berlijnse toezichthoudende autoriteit (Berliner Beauftragte für Datenschutz und Informationsfreiheit - BlnBDI) opgelegd aan een e-commercebedrijf nadat een belangenconflict was vastgesteld tussen de functies van de aangestelde functionaris voor gegevensbescherming, zoals vermeld in het persbericht van de autoriteit. De FG werd geacht onafhankelijk toezicht te houden op besluiten die hij zelf in een andere hoedanigheid had genomen. In het specifieke geval vervulde de functionaris tegelijkertijd de rol van FG van het bedrijf en van directeur van twee dienstverlenende bedrijven van de groep die persoonsgegevens verwerkten. De boete van 525.000 euro is nog niet juridisch bindend voor het bedrijf.
Overheidsinstanties verzamelen ongevraagd tweets van burgers
Zonder dat twitteraars het weten, verzamelt de overheid hun berichten om reacties te peilen op het beleid. Onder meer het ministerie van sociale zaken, de Belastingdienst en de Nederlandse Voedsel- en Warenautoriteit (NVWA) gaan op die manier te werk, blijkt uit een rondgang van Trouw en IT-vakblad AG Connect.
Overheden gebruiken voor het verzamelen en analyseren van (kritische) tweets tools van commerciële bedrijven als Coosto, Obi4wan en Twittertap. Deze tools ‘tappen’ Twitter, verzamelen op grote schaal (anonieme) berichten en maken deze geschikt voor data-analyse.
Volgens Floor Terra, adviseur bij Privacy Company, worden de tweets weliswaar verstuurd om door de wereld gelezen te worden, maar is er door gebruikers alleen toestemming voor publicatie gegeven aan Twitter. Aan de overheid is geen toestemming gegeven om analyses op die tweets los te laten. “Er is dan sprake van een nieuw doel, dus je moet dan opnieuw toestemming vragen van gebruikers.”
Ook het Sociaal en Cultureel Planbureau (SCP) verzamelde afgelopen jaren duizenden geanonimiseerde tweets over klimaatverandering en ‘nationale identiteit’ voor twee onderzoeken naar deze thema’s. Daarbij werden als ‘bijvangst’ ook bijzondere persoonsgegevens van twitteraars verzameld, zoals religieuze overtuiging, etnische afkomst, seksueel gedrag of politieke opvattingen. Dat blijkt uit het verwerkingsregister waarin overheden moeten melden welke gegevens zij verzamelen.
Voor het SCP geldt naar eigen zeggen een uitzondering en het bureau wijst daarbij naar artikel 14 AVG. Daarin staat dat het niet nodig is om toestemming te vragen en te informeren, omdat het hier gaat om onderzoek voor statistische doeleinden.
De Belastingdienst doet al 2,5 jaar niets meer met fraudemeldingen
De Belastingdienst neemt meldingen over fraude niet meer in behandeling omdat de applicatie waarmee de fraudetips moeten worden verwerkt niet aan de AVG voldoet. Dit blijkt uit berichtgeving van dagblad NRC.
Eerder dit jaar besloot de Autoriteit Persoonsgegevens de fiscus vanwege de Fraude Signalering Voorziening (FSV) een boete van 3,7 miljoen euro op te leggen. Via deze zwarte lijst werden allerlei signalen van vermeende of bewezen fraude van zowel binnen als buiten de Belastingdienst bijgehouden. Het systeem is inmiddels stilgelegd. Als vervanging werkt de fiscus aan de Tijdelijke Signaleringsvoorziening (TSV).
De Belastingdienst besloot onlangs om de voorbereidingen van dit nieuwe fraudesysteem voorlopig op te schorten nadat de Autoriteit Persoonsgegevens zich kritisch in een adviesrapport had uitgelaten. Volgens de toezichthouder moet de Belastingdienst nog grote stappen zetten om te spreken van een verwerking die rechtmatig, behoorlijk en transparant is. Er zijn op dit moment onvoldoende waarborgen om positief over de gegevensverwerking en TSV te adviseren, zo stelde de AP verder. De toezichthouder adviseerde dan ook om niet met de TSV te beginnen totdat alle adviespunten zijn verwerkt.
Staatssecretaris Van Rij van Financiën liet in een brief aan de Tweede Kamer weten dat TSV vooralsnog niet zal worden opgestart. Fraudemeldingen, die eerst via de FSV werden verwerkt, kunnen nu niet meer in behandeling worden genomen.
Fraudetips die bij opsporingsdienst FIOD binnenkomen worden nog wel verwerkt, aangezien de dienst met een ander IT-systeem werkt.
Lees dit nieuws als eerste 'heet van de naald' in de TPF+ Community!
