Actiegroep ‘Vertrouwen in de GGZ’ verliest kort geding
De Nederlandse Zorgautoriteit (NZa) heeft een kort geding over het verzamelen van gegevens voor zorgvraagtypering gewonnen. De actiegroep ‘Vertrouwen in de GGZ’ had het kort geding aangespannen, maar de rechter gaf de NZa gelijk. De NZa verzamelt gepseudonimiseerde gegevens van ggz-patiënten om wachtlijsten te verminderen en inzicht in de sector te krijgen. Sinds 1 juli moeten psychiaters en psychologen daarom de gegevens van hun cliënten tussen 1 juli 2022 en 1 juli 2023 geanonimiseerd uitwisselen met de NZa. Van de Autoriteit Persoonsgegevens mag de NZa dit doen, op voorwaarde dat de uitvraag maar een jaar duurt. Deze gegevens omvatten problemen zoals verslaving, seksuele kwesties en suïcidale gedachten, en hoewel ze geanonimiseerd zijn, kunnen ze bij koppeling met andere databanken worden geïdentificeerd.
Ondanks toezeggingen van de NZa zijn er zorgen over privacy en datalekken in de ggz, wat leidde tot een rechtszaak. De rechter oordeelde echter dat er momenteel onvoldoende reden is om de data-uitvraag te verbieden en dat er hoogstens sprake is van indirect identificerende gegevens. De eisers hebben volgens de rechter niet overtuigend aangetoond dat er een ongerechtvaardigde inbreuk op het beroepsgeheim plaatsvindt of dat de verwerking in strijd is met de AVG. ‘Vertrouwen in de GGZ’ is teleurgesteld over de uitspraak in het kort geding, maar verwacht dat dit geen invloed heeft op de kansen in de nog te behandelen hoofdzaak. Een bodemprocedure zal naar verwachting binnen een half jaar plaatsvinden.
EDPB: Meta gaat te ver met advertenties
De Europese organisatie van privacytoezichthouders, de EDPB, heeft Meta opgedragen om te stoppen met het onrechtmatig aanbieden van gepersonaliseerde advertenties op Facebook en Instagram binnen Europa. Dit besluit volgt op een spoedprocedure die door de Noorse privacytoezichthouder binnen de EDPB werd geïnitieerd. Noorwegen had al vastgesteld dat Meta de privacyregels overtrad en legde een verbod op gepersonaliseerde advertenties op in eigen land. Dit verbod wordt nu in heel Europa van kracht.
Meta verzamelt persoonlijke informatie van Facebook- en Instagramgebruikers, waaronder woonplaats, leeftijd, opleiding en klikgedrag, om gepersonaliseerde advertenties aan te bieden. De EDPB concludeerde dat Meta geen geldige wettelijke basis heeft voor het verwerken van deze gegevens en dat het belang dat Meta aanvoert de verwerking van persoonsgegevens niet rechtvaardigt. Bovendien is het voor gebruikers onduidelijk dat ze hun persoonlijke gegevens aan Meta afstaan in ruil voor persoonlijke advertenties.
De privacytoezichthouder van Ierland (DPC), de leidende toezichthouder binnen de EDPB, heeft nu de taak om binnen twee weken definitieve maatregelen tegen Meta Ireland te nemen. Dit besluit beoogt de bescherming van de privacy van miljoenen Facebook- en Instagramgebruikers in Europa en het stopzetten van het verdienmodel van Meta dat gebaseerd is op het onrechtmatig verwerken van persoonsgegevens.
Veel kritiek op Europese plannen tegen kinderporno
Nieuwe voorstellen van de Europese Commissie om de strijd tegen kinderporno flink op te voeren, stuiten op felle kritiek. Een meerderheid van de Tweede Kamer keerde zich eerder al tegen de plannen. Desondanks is het demissionaire kabinet van plan om die deels te steunen. De plannen betekenen dat chatdiensten als WhatsApp een bevel kunnen krijgen om verspreiding van kinderporno en mogelijk ook grooming, oftewel het seksueel benaderen van minderjarigen, te monitoren.
De Europese privacytoezichthouders hebben daarover serieuze zorgen, evenals de Nationaal Rapporteur Mensenhandel. Ook de juridische afdeling van de Europese Raad van Ministers zou bedenkingen hebben.
Op dit moment is het zicht op wat in een deel van de chatdiensten gebeurt beperkt, omdat de berichten end-to-end zijn versleuteld. Dat betekent dat bijvoorbeeld WhatsApp, maar ook politie en justitie, geen toegang hebben tot de inhoud van berichten. Toch wil de Europese Commissie chat-apps kunnen verplichten om te scannen op misbruikmateriaal. Deskundigen zijn het erover eens dat dat alleen kan door chat-apps op telefoons van gebruikers op dat soort materiaal te laten monitoren. Er zou dan een soort “virusscanner” binnen een chat-app moeten draaien, die alarm slaat als er bepaald materiaal wordt aangetroffen. In dat geval gaat het materiaal naar een nieuw Europees anti-kinderpornocentrum voor verder onderzoek. Die methode, ook wel client side scanning genoemd, is omstreden: eerder noemden computerwetenschappers, onder wie een aantal zeer gerenommeerde cryptografie-experts, dat idee “buitengewoon gevaarlijk”.
Volgens de Europese Commissie is wetgeving echter hard nodig, omdat kinderporno op grote schaal wordt uitgewisseld. Op dit moment is de aanpak van kinderporno gestoeld op vrijwilligheid en dat werkt niet goed genoeg, stelt de Commissie.
Clearview AI wint beroep in Verenigd Koninkrijk
De Britse toezichthouder voor gegevensbescherming ICO heeft het beroep tegen het Amerikaanse AI-bedrijf Clearview AI verloren.
De New York Times meldde al in 2020 dat Clearview AI miljarden foto’s van sociale media had verzameld zonder toestemming van gebruikers. Nadat het privacyschandaal het bedrijf overspoelde, trok het zich terug uit het Verenigd Koninkrijk en verschillende andere Europese markten.
De ICO ondernam vorig jaar actie tegen Clearview wegens het op onwettige wijze verzamelen van de gegevens van Britse proefpersonen voor het monitoren van gedrag. Het bedrijf kreeg een boete opgelegd van 7,5 miljoen pond en moest ook de gegevens van inwoners van het Verenigd Koninkrijk verwijderen uit de voorraad van meer dan 20 miljard gezichtsopnames.
Maar het is onduidelijk of Clearview de gegevens ooit heeft verwijderd. Advocaten hebben erop gewezen dat het bedrijf niet verplicht was om de foto’s van Britten uit de database te verwijderen totdat het beroep was afgehandeld – en de uitspraak van 17 oktober gold niet alleen voor de boete, maar ook voor het bevel om de foto’s te verwijderen. Het vonnis, uitgesproken door de driekoppige rechtbank van het First-tier Tribunal, was het eens met de bewering van Clearview dat de ICO geen jurisdictie had in de zaak omdat de gegevensverwerking in kwestie werd uitgevoerd namens buitenlandse overheidsinstanties.
Het Verenigd Koninkrijk is lang niet het enige land dat zich zorgen maakt over de gegevenspraktijken van het bedrijf. Ook in Italië, Frankrijk, Canada en Australië zijn handhavingsacties ingesteld.
Privacyrisico Facebookpagina’s Nederlandse overheid nog niet opgelost
Demissionair staatssecretaris Van Huffelen van Digitalisering heeft in een brief aan de Tweede Kamer gemeld dat de privacyrisico’s bij het bezoeken van de Facebookpagina’s van de overheid nog steeds niet zijn opgelost. Het onderzoek naar het gebruik van Facebook door de Rijksoverheid, uitgevoerd door de Haagse Privacy Company, concludeerde dat de overheid moet stoppen met het gebruik van Facebook voor communicatie met burgers als de privacy- en mensenrechtenrisico’s blijven bestaan. Het ministerie van Binnenlandse Zaken heeft van december vorig jaar tot september dit jaar overleg gevoerd met Meta (eigenaar van Facebook) om de risico’s te verminderen en afspraken te maken. Meta bleek echter niet bereid om de verwerking van persoonsgegevens aan te passen en weigerde gezamenlijke verwerkingsverantwoordelijkheid te erkennen. Meta probeerde het DPIA-rapport te weerleggen door te stellen dat de conclusies ten aanzien van de risico’s onjuist waren. Van Huffelen heeft nu de Autoriteit Persoonsgegevens gevraagd om advies over het onderzoek, inclusief vragen over dataverwerking, privacyrisico’s voor burgers met Facebook-accounts, inzicht in Meta’s algoritmes, en andere aspecten van gegevensverwerking op Facebookpagina’s.
AP onderzoekt Belastingdienst wegens RAM-database
De Autoriteit Persoonsgegevens is een onderzoek gestart naar het gebruik van de RAM-database door de Belastingdienst. Dit laat de toezichthouder tegenover NRC weten. Deze database werd gebruikt om persoonlijke informatie van burgers te verzamelen, waaronder gegevens verkregen via online scraping. Hoewel de database in mei 2018 werd uitgeschakeld vanwege de AVG, bleven de verzamelde gegevens tot begin 2021 beschikbaar. Zowel demissionair staatssecretaris Van Rij van Financiën als de AP voeren nu onderzoeken uit naar dit gebruik.
Uit recente onthullingen blijkt dat de Belastingdienst de RAM-database in veel fraudeopsporingsprojecten heeft ingezet en ook heeft gebruikt voor het identificeren van belastingplichtigen in het buitenland. Van Rij benadrukt dat mogelijk nog andere applicaties met persoonsgegevens ontdekt worden die niet aan de privacywetgeving voldoen. Daarom heeft de Belastingdienst een meerjarig actieplan opgesteld om het informatiemanagement te verbeteren.
In 2021 legde de AP de Belastingdienst een boete van 2,75 miljoen euro op vanwege onrechtmatige verwerking van de nationaliteit van kinderopvangtoeslagaanvragers, en in 2022 volgde een boete van 3,7 miljoen euro wegens de Fraude Signalering Voorziening.