Privacytoezichthouders waarschuwen voor volgen van transacties bij digitale euro
Mocht er een digitale euro komen dan moeten niet alle transacties worden gevolgd en nagetrokken, zo waarschuwt het Europees Comité voor gegevensbescherming (EDPB), dat onder een bepaalde grens voor volledige anonimiteit pleit. Het EDPB is een orgaan waarin alle nationale privacytoezichthouders uit de Europese Unie samenwerken bij hun toezicht op de Algemene verordening gegevensbescherming (AVG), waaronder ook de Autoriteit Persoonsgegevens.
De Europese Centrale Bank (ECB) is begin 2020 gestart met de eerste verkenningen naar het ontwikkelen van een digitale euro. Vorig jaar verschenen de eerste resultaten daarvan, waarna de ECB een onderzoeksfase is gestart. In samenwerking met andere Europese centrale banken, waaronder De Nederlandsche Bank (DNB), worden de mogelijkheden voor het ontwerp en de distributie van de digitale euro in kaart gebracht.
De onderzoeksfase eindigt in het derde kwartaal van 2023. "Daarna kan worden overgegaan op de implementatiefase", zo liet minister Kaag van Financiën eerder dit jaar weten. Ze ziet de digitale euro als een aanvulling op bestaande vormen van geld, niet als een vervanging. "Consumenten kunnen met hun bestaande contante geld en bankrekeningen blijven betalen, maar krijgen met de digitale euro een alternatief."
De Europese privacytoezichthouders zijn nu met een reactie op de digitale euro gekomen. Daarin wordt het belang van privacy by design en privacy by default in het project benadrukt. Ook waarschuwt de EDPB tegen het gebruik van stelselmatige validatie en het volgen van alle transacties die in digitale euro's worden gedaan. De toezichthouders vinden dat de digitale euro zowel online als offline beschikbaar moet komen en er een bepaalde grens is waarbij transacties niet zijn te volgen, om zo volledige anonimiteit van dagelijkse transacties mogelijk te maken.
Trackingcookies op Nederlandse overheidssites
Staatssecretaris Van Huffelen van Digitalisering gaat met medeoverheden en rijksoverheidsorganisaties in gesprek over de wenselijkheid van trackingcookies op Nederlandse overheidssites. Ook worden overheden per brief gewezen op de wet- en regelgeving die voor het plaatsen van cookies geldt. Dat laat de staatssecretaris weten op Kamervragen van de VVD.
Uit onderzoek van de TU Delft blijkt dat websites van provincies en gemeenten de AVG met voeten treden. Het gaat dan om trackingcookies die zonder toestemming van bezoekers worden geplaatst. Aanleiding voor de VVD om Van Huffelen om opheldering te vragen. "Voor een overheidswebsite gelden dezelfde vereisten voor het plaatsen van cookies als voor andere websites", reageert de staatssecretaris. Van Huffelen vindt het belangrijk dat overheidswebsites voldoen aan geldende wet- en regelgeving. Ze gaat medeoverheden en rijksoverheidsorganisaties per brief dan ook hierop wijzen.
VVD-Kamerlid Rajkowski had Van Huffelen ook gevraagd of ze het ermee eens is dat cookies van derden niet op overheidssites thuishoren. "Ik vind het belangrijk dat burgers veilig gebruik kunnen maken van de websites van de overheid, en dat hun privacy daarbij wordt verzekerd. Het plaatsen van trackingcookies door derden staat daarmee op gespannen voet", antwoordt ze daarop. Volgens de staatssecretaris moet de overheid het goede voorbeeld geven en in ieder geval voldoen aan de huidige wetgeving. Naast het opstellen van een handreiking voor het goed implementeren van de relevante wetgeving bij overheidswebsites, gaat de staatssecretaris ook met overheden in gesprek over de wenselijkheid van het gebruik van trackingcookies door de overheid. Wanneer deze gesprekken precies zullen plaatsvinden, is niet bekendgemaakt.
Tweede Kamer: voorkom dat data TikTok-gebruikers naar China gaan
Een meerderheid van de Tweede Kamer vindt dat het kabinet moet voorkomen dat privégegevens van Nederlandse gebruikers van TikTok bij de Chinese overheid kunnen belanden. Door TikToks nieuwe privacybeleid kunnen Chinese medewerkers binnenkort bij data van Europese gebruikers.
Het nieuwe beleid van TikTok gaat op 2 december in. Chinese TikTok-medewerkers kunnen dan toegang krijgen tot de data van Europese gebruikers. Kamerleden van een groot aantal partijen hebben over TikToks nieuwe privacybeleid vragen ingediend bij minister Micky Adriaansens (Economische Zaken) en staatssecretaris Alexandra van Huffelen (Digitalisering).
De partijen vinden dat het kabinet actie moet ondernemen en ook bij de Europese Commissie erop moet aandringen in te grijpen. TikTok heeft het Chinese ByteDance als moederbedrijf. De Kamerleden zijn bang dat sommige Chinese medewerkers banden hebben met de Chinese regering.
Autoriteit Persoonsgegevens ontving dit jaar al 16.000 datalekmeldingen
De Autoriteit Persoonsgegevens heeft in de eerste negen maanden van dit jaar al 16.000 datalekmeldingen ontvangen. Daarmee lijkt het totaal aantal meldingen van datalekken dit jaar lager uit te vallen dan vorig jaar. Toen werd de privacytoezichthouder in totaal 25.000 keer over een datalek ingelicht. Dat laat minister Yesilgöz van Justitie en Veiligheid weten op vragen over de begroting van het ministerie.
"Het toezicht van de AP is risicogestuurd. Dat betekent dat de AP zich voornamelijk richt op de datalekken die de grootste risico’s opleveren voor de slachtoffers. Bij een groot deel van de datalekmeldingen verricht de AP na een eerste beoordeling daarom geen verdere toezichtshandelingen", aldus Yesilgöz. Bij zevenduizend datalekmeldingen verwacht de AP extra toezichtshandelingen te verrichten. Het gaat dan om datalekmeldingen waarbij de AP grote risico's identificeert.
Na een diepgaandere controle van de melding kan dan een onderzoek volgen, maar dat gebeurt bij een "zeer klein aantal" van de datalekmeldingen, aldus de minister. Dit jaar heeft de AP aan drie organisaties in totaal dertien boetes opgelegd. Ook besloot de AP twee keer een last onder dwangsom en zeven keer een berisping op te leggen. Het is de verwachting dat de toezichthouder dit jaar tot negentien sancties zal komen.
Voor 2023 wordt een zelfde aantal boetes en andere sancties verwacht.
Nederlandse massaclaim tegen Twitter om privacyschending
Een dochterbedrijf van Twitter zou jarenlang via ruim dertigduizend apps gegevens van gebruikers hebben verzameld en doorverkocht. Een nieuwe stichting eist nu namens zo’n elf miljoen Nederlanders schadevergoeding.
Het bedrijf waar het om gaat is MoPub, een dochteronderneming van Twitter. Dat verzamelde volgens de Stichting Data Bescherming Nederland (SDBN) van 2013 tot 2021 persoonsgegevens van gebruikers op ruim dertigduizend apps, waaronder Buienradar, Wordfeud, Grindr, Flitsmeister, Duolingo en My Talking Tom. Zulke gratis apps verdienen hun geld met advertenties: hoe meer clicks, hoe meer inkomsten. Ze schakelden MoPub in om de advertenties beter op hun gebruikers af te stemmen en zo de inkomsten te verhogen. SDBN schat dat MoPub de persoonsgegevens van tien miljoen volwassenen en een miljoen kinderen heeft doorverkocht.
Dat internetbedrijven op grote schaal persoonsgegevens verzamelen van hun gebruikers, is bekend. Het gebeurt zelfs zo veel dat toezichthouders lang niet alle klachten kunnen behandelen. Consumenten hebben sinds enkele jaren ook een andere manier om de internetbedrijven ter verantwoording te roepen: collectieve-actiezaken waarmee een belangenbehartiger namens alle gedupeerden schadevergoeding kan eisen. Ook Twitter krijgt daar nu mee te maken vanwege de activiteiten van MoPub.
MoPub en de apps zouden gebruikers nooit om toestemming hebben gevraagd voor het verzamelen van gegevens.
Zweedse gegevensbeschermingsautoriteit moet klachten tegen Spotify onderzoeken
Een administratieve rechtbank in Stockholm heeft geoordeeld dat de Zweedse gegevensbeschermingsautoriteit (IMY) AVG-klachten moet onderzoeken en de gebruiker of klager bij het proces moet betrekken.
In januari 2019 diende een gebruiker een klacht in bij de Oostenrijkse gegevensbeschermingsautoriteit (DSB) naar aanleiding van het ontoereikende antwoord van Spotify op zijn toegangsverzoek. De klacht werd doorgestuud naar IMY, dat verantwoordelijk is voor Spotify. Maar na zes maanden had de klager nog steeds geen bericht over een beslissing. IMY was van mening dat het niet bij de oorspronkelijke klager hoefde terug te komen omdat het ambtshalve een breder onderzoek naar Spotify had ingesteld. Maar dat onderzoek heeft meer dan drie jaar geduurd. De termijn om te reageren op een verzoek om toegang krachtens de AVG is één maand en volgens de Zweedse wet moet een autoriteit binnen zes maanden reageren, anders kan de klager binnen vier weken een beslissing eisen. Na meer dan drie jaar wachten heeft de oorspronkelijke klager precies dat gedaan op grond van artikel 12 van de Zweedse administratieve wetgeving.
Na een beroep van privacyplatform noyb tegen het stilzitten van IMY oordeelde de rechtbank in Stockholm dat klagers wel degelijk de status van partij hebben en dat de beslissing van de Zweedse toezichthouder om de gebruiker uit te sluiten van het onderzoek naar een door hem ingediende klacht bijgevolg onverenigbaar was met de AVG.
