Lees dit nieuws als eerste 'heet van de naald' in de
https://www.theprivacyfactory.com/tpf-community/
Nederlandse algoritmetoezichthouder in de loop van 2023 opgericht
Een nieuwe toezichthouder die toezicht gaat houden op het gebruik van algoritmen wordt in de loop van volgend jaar opgericht, zo laat het kabinet in een brief aan de Tweede Kamer weten. Voor de algoritmetoezichthouder is volgend jaar een bedrag van 1 miljoen euro gereserveerd. De nieuwe toezichthouder moet ervoor zorgen dat algoritmes worden gecontroleerd op transparantie, discriminatie en willekeur, en zal zich richten op drie clusters: coördinatie, monitoring en kennisdeling, en naleving en handhaving.
In een rapport aan het ministerie van Binnenlandse Zaken en Koninkrijksrelaties stelt het Rathenau Instituut dat uitvoeringsorganisaties in toenemende mate gebruikmaken van algoritmes om wet- en regelgeving te vertalen naar de praktijk. Zo worden voorzieningen als uitkeringen en toeslagen steeds meer per algoritme aan de burger geleverd. "Het inzetten van profilerende algoritmes vormt de volgende stap in deze ontwikkeling. Profilerende algoritmes proberen het gedrag van mensen te voorspellen door hen in te delen in groepen. Op die manier willen organisaties bijvoorbeeld te weten komen welke werklozen ze het snelst aan een baan kunnen helpen of welke uitkeringsontvangers ze het meest kansrijk kunnen controleren op fraude", aldus Rathenau.
Het toepassen van algoritmes en profilering is niet zonder risico. Er kan sprake zijn van discriminerende effecten of privacyschendingen, of burgers kunnen worden geconfronteerd met dienstverlening waarvan ze niets meer begrijpen. "Algoritmische profilering verdiept deze risico’s", waarschuwt het Rathenau Instituut, dat verder stelt dat instanties die profilerende algoritmes willen gebruiken, maatregelen moeten nemen om de bescherming van mensenrechten te borgen.
AP: kabinet moet privacyrisico’s cloudbeleid aanpakken
Het kabinet wil overheidsdata voortaan kunnen opslaan bij commerciële clouddiensten. Dit brengt grote privacyrisico’s met zich mee en daar moet het kabinet mee aan de slag in de verdere uitwerking van het beleid. Dat schrijft de Autoriteit Persoonsgegevens (AP) in een brief aan staatssecretaris Van Huffelen van Digitalisering.
Eind augustus presenteerde de staatssecretaris nieuw cloudbeleid. Daarmee wil zij zorgen dat overheidsinstanties gebruik mogen maken van commerciële clouddiensten. En dus informatie over Nederlanders mogen opslaan op servers van bijvoorbeeld Amerikaanse bedrijven als Amazon, Google of Microsoft. Nu mag dat niet, stelt de staatssecretaris.
"De overheid beschikt over een gigantische hoeveelheid data over ons allemaal", zegt AP-voorzitter Aleid Wolfsen. "Hoeveel jij verdient, je burgerservicenummer, je bankrekeningnummer en nog veel meer. Die gegevens moeten niet in verkeerde handen vallen. Als je die niet op eigen servers opslaat maar op die van een bedrijf, moet je zeker weten dat ze veilig zijn. Er hangt dus veel af van een goede uitwerking en naleving van dit cloudbeleid." Volgens Wolfsen zijn in het cloudbeleid de privacyrisico’s onvoldoende in kaart gebracht. "Dat is stap één. Privacy moet leidend zijn bij de vraag of je informatie over burgers mag opslaan bij een bedrijf", zegt Wolfsen. "Als je niet goed onderzoekt welke risico’s er zijn, kun je ook geen maatregelen nemen om die risico’s weg te nemen."
De AP vraagt de staatssecretaris met name oog te hebben voor de risico’s van het opslaan van persoonsgegevens in landen buiten Europa, waar de AVG niet geldt.
Bij cloudaanbieders uit landen waar persoonsgegevens minder goed worden beschermd, zoals de VS, moet de overheid van tevoren goed de risico’s in kaart brengen, en maatregelen nemen om te zorgen dat die gegevens veilig zijn. De AP wijst de staatssecretaris erop dat opslag bij een Europees bedrijf qua privacy de beste keuze is.
Chatapp Discord ontvangt boete van 800.000 euro voor privacyschending
De Franse gegevensbeschermingsautoriteit (CNIL) heeft een boete van 800.000 euro uitgedeeld aan Discord, een platform voor spraakcommunicatie, chat en videogesprekken. Gebruikers kunnen gemeenschappelijke servers, chatgroepen en vergaderruimten aanmaken. Het platform is populair onder jongeren.
De CNIL zegt dat Discord de AVG op meerdere manieren heeft geschonden. De belangrijkste overtreding heeft betrekking op de ‘X’-knop van de applicatie. De ‘X’-knop geeft de indruk dat gebruikers een voice call kunnen afsluiten door op de knop te drukken. Tot voor kort was dit niet het geval. De applicatie minimaliseerde, maar gesprekken liepen gewoon door. Dit creëerde het risico dat gebruikers onbewust privégesprekken voerden terwijl de deelnemers van een voice call meeluisterden.
Daarnaast ontdekte de CNIL dat Discord zwakke wachtwoorden van zes tekens toestond. De dienst vereist inmiddels dat gebruikers een wachtwoord van acht tekens en verschillende variaties invoeren.
Het boetebedrag van 800.000 euro is bescheiden in vergelijking met recente boetes van de CNIL, waaronder een boete van 20 miljoen euro voor Clearview en een boete van 210 miljoen euro voor Facebook en Google. Volgens de CNIL is het bedrag van de boete vastgesteld op basis van de privacyschending en het aantal betrokken personen. De autoriteit hield rekening met “de inspanningen die het bedrijf tijdens de hele procedure heeft geleverd om de wet na te leven en het feit dat het bedrijfsmodel niet is gebaseerd op de uitbuiting van persoonsgegevens”.
EDPB neemt aanbevelingen aan over aanvraag van BCR's voor verwerkingsverantwoordelijken
Tijdens de plenaire vergadering van november heeft de EDPB aanbevelingen goedgekeurd over de aanvraag tot goedkeuring van bindende bedrijfsvoorschriften voor de verwerkingsverantwoordelijke. De aanbevelingen actualiseren het aanvraagformulier, verduidelijken de vereiste inhoud van bindende bedrijfsvoorschriften en maken duidelijk welke informatie op het formulier moet worden vermeld en aan de gegevensbeschermingsautoriteit moet worden voorgelegd. De aanbevelingen bieden aanvullende richtsnoeren en zijn erop gericht een gelijk speelveld voor alle BCR-aanvragers te waarborgen. De aanbevelingen brengen de bestaande richtsnoeren ook in overeenstemming met de vereisten in het Schrems II-arrest van het HvJEU. De aanbevelingen zijn ter openbare raadpleging tot 10 januari 2023.
Aanbevelingen voor BCR's van verwerkers zijn in ontwikkeling.
Opnieuw hoge boete voor Meta
De Ierse gegevensbeschermingsautoriteit DPC heeft Facebook-moederbedrijf Meta een boete opgelegd van 265 miljoen euro wegens schending van artikel 25, leden 1 en 2, van de AVG.
De boete is opgelegd nadat de gegevens van meer dan 530 miljoen Facebook-gebruikers in april 2021 op een hackersforum waren opgedoken, waarbij onder meer telefoonnummers te koop werden aangeboden. Facebook reageerde destijds dat de data bij elkaar waren geschraapt van openbare profielen, het zogeheten scraping, en dat het daarom niet zou gaan om een datalek of een hack. Volgens het bedrijf hadden gebruikers de gegevens kunnen afschermen door de juiste profielinstellingen te gebruiken. De DPC gaat dus niet mee in deze argumentatie.
Het is al de vierde boete die de Ierse datawaakhond oplegt aan een van Meta’s bedrijven. Zo legde de DPC in september nog een boete op van 405 miljoen euro omdat dat van minderjarige Instagram-gebruikers niet goed waren afgeschermd. Het totaalbedrag aan boetes komt uit op bijna 1 miljard euro.
DSK: Microsoft 365 houdt zich niet aan de AVG
Microsoft 365 is volgens de DSK, het Duitse samenwerkingsverband van privacytoezichthouders, nog steeds in strijd met de AVG. De DSK zegt in een recent rapport dat de 365-cloudservices nog te ondoorzichtig omgaan met het verwerken van gebruikersgegevens.
Het gaat om een voorlopige conclusie van een tweejarig onderzoek naar de online services binnen Microsofts voormalige Office-pakket. Microsoft deed in september een voorstel voor het aanpassen van enkele aspecten van de 365-services. De DSK vindt echter dat er 'geen substantiële verbeteringen' zijn voorgesteld.
Volgens de DSK is Microsoft niet transparant over de manier waarop persoonsgegevens van gebruikers worden verwerkt. Het bedrijf zou volgens de DSK bijvoorbeeld niet duidelijk kunnen verwoorden welke persoonsgegevens verzameld worden en waarom. Hoewel Microsoft hier eerder op werd gewezen, zou er na de voorgestelde aanpassingen wat betreft gegevensverzameling niets zijn veranderd.
Daarnaast noemt de DSK de verwerking van persoonsgegevens op servers buiten de Europese Unie als probleempunt. Het zou vooralsnog niet mogelijk zijn om van Microsofts 365-services gebruik te maken zonder dat persoonsgegevens naar de Verenigde Staten worden verstuurd. De DSK erkent dat Microsoft's EU Data Boundary een stap in de goede richting is, maar dat een volledige onafhankelijkheid van Amerikaanse servers vooralsnog niet mogelijk is. De DSK stelt dat bepaalde data alsnog zonder versleuteling door Microsoft kunnen worden ingezien.
Microsoft zegt in een reactie het oneens te zijn met de DSK. In het rapport zou genegeerd worden dat bepaalde verzoeken gehonoreerd zijn. Naar eigen zeggen houdt Microsoft zich volledig aan de Europese AVG.
