Privacy Alerts #28: onderzoek naar de privacyrisico’s bij het gebruik van clouddiensten door overheidsinstellingen

Share

Overheden maken steeds vaker gebruik van de ‘cloud’. Data wordt vaak niet meer opgeslagen op de computers bij de overheid zelf, maar op servers van tech-bedrijven, zogeheten clouddiensten. Toezichthouders zouden steeds vaker signalen krijgen dat clouddiensten niet aan de Europese privacywet voldoen. De Autoriteit Persoonsgegevens (AP) start daarom, samen met andere Europese privacywaakhonden, een onderzoek naar het gebruik van clouddiensten door (landelijke) overheidsinstellingen. Ook in deze uitgave: Platform Bescherming Burgerrechten roept de Eerste Kamer op om tegen de data surveillance wet (WGS) te stemmen, de Autoriteit Persoonsgegevens adviseert over het wetsvoorstel omtrent ‘doxing’ en de EDPS oordeelt negatief over Pegasus-spyware.

Eerste Kamer moet ‘Super SyRI’ (Wet Gegevensverwerking door Samenwerkingsverbanden) afwijzen

De burgerrechten-coalitie die eerder de rechtszaak tegen SyRI won, roept de Eerste Kamer op om tegen de Wet gegevensverwerking door samenwerkingsverbanden (WGS), ook wel ‘Super SyRI’ genoemd, te stemmen. De Raad van State oordeelde onlangs positief over het voorstel voor de datasurveillancewet.

De WGS biedt een juridische basis voor overheidsorganisaties (zoals gemeenten, zorginstellingen, opsporingsdiensten, anti-fraudeorganisaties, enzovoorts) en private partijen, verenigd in samenwerkingsverbanden, om (persoons)gegevens met elkaar te delen. Het gaat onder de WGS niet alleen om feitelijke gegevens die bedrijven en overheden verwerken, maar ook om signalen, vermoedens en zwarte lijsten die kunnen worden uitgewisseld. Daarbij kunnen de partijen ‘interventies’ met elkaar afstemmen waarin ze handhavend optreden tegen burgers die in hun vizier belanden. In het voorstel zijn vier samenwerkingsverbanden aangewezen die op grond van de WGS gegevens met elkaar kunnen delen, maar het aantal samenwerkingsverbanden kan de regering later uitbreiden.

De burgerrechten-coalitie waarschuwde eerder al dat de praktijken die onder de WGS kunnen plaatsvinden in veel opzichten lijken op de gegevensverwerkingen die voorafgingen aan de welbekende Toeslagenaffaire. In november adviseerde de Autoriteit Persoonsgegevens de Eerste Kamer om tegen het wetsvoorstel te stemmen, omdat het de deur wagenwijd openzet voor onbegrensde surveillance door een onbegrensd aantal publieke en private partijen. De burgerrechten-coalitie roept de Eerste Kamer dan ook op om tegen het voorstel te stemmen.

Autoriteit Persoonsgegevens brengt advies uit over ‘doxing’

De Autoriteit Persoonsgegevens (AP) heeft in december vorig jaar advies uitgebracht over het conceptwetsvoorstel met betrekking tot de strafbaarstelling van het gebruik van persoonsgegevens voor intimiderende doeleinden.

Het verzamelen en/of openbaar maken van identificerende gegevens met het oog op intimidatie heet ‘doxing’. Een voorbeeld is dat na de rellen rond de coronamaatregelen op internet werd gevraagd om de persoonsgegevens van politieagenten. Het wetsvoorstel is ingediend omdat doxing verstrekkende gevolgen heeft voor betrokkenen. Uitingsvormen zoals doxing die zich niet concreet openbaren, bijvoorbeeld in bedreigingen of beledigingen, kunnen nu in het algemeen niet als strafbaar feit worden beschouwd. Dat is volgens de toelichting bij het wetsvoorstel reden om het gebruik van identificerende gegevens voor intimidatie-doeleinden op zichzelf strafbaar te stellen.

De AP onderschrijft de noodzaak voor het strafbaar stellen van doxing. De AP benadrukt in haar advies dat het belangrijk is om aandacht te besteden aan de openbare databronnen die worden gebruikt voor doxing. Persoonlijke informatie van individuele personen kan tegenwoordig namelijk gemakkelijk worden achterhaald via internetbronnen. Meestal wordt de informatie verkregen via openbare registers zoals het Kadaster en het Handelsregister van de Kamer van Koophandel, of via sociale media. In een eerder advies wees de AP er al op geen noodzaak te zien in het openbaar maken van adressen van zzp’ers in het Handelsregister. Ook in de registers van het Kadaster zijn diverse persoonsgegevens terug te vinden, zoals het adres van een persoon, burgerlijke staat en financiële gegevens. De AP adviseert het ministerie daarom om in de toelichting op het wetsvoorstel ook aandacht te besteden aan het overheidsbeleid ten aanzien van de openbare beschikbaarheid van persoonsgegevens in wettelijk vormgegeven registers.

De memorie van toelichting bij het wetsvoorstel bevat voorts een passage over foto’s van betrokkenen. Daarin is opgenomen dat ‘’indien de identiteit van een persoon niet uitsluitend aan de hand van een foto vastgesteld kan worden’’, er geen sprake is van een identificerend persoonsgegeven. De AP deelt deze conclusie niet. Een gepubliceerde foto wordt gekwalificeerd als persoonsgegeven in de zin van de AVG ook als de foto is geplaatst zonder aanvullende (identificerende) gegevens. Dat komt omdat bekenden van de geportretteerden de identiteit van de betrokken aan de hand van uitsluitend de foto kunnen vaststellen. De AVG gaat uit van directe of indirecte herleidbaarheid. De AP wijst er terecht op dat een bekend voorbeeld van doxing het online delen van foto’s is, veelal met de vraag of iemand de persoon in kwestie (her)kent.

Tot slot merkte de AP op dat de memorie van toelichting bij het conceptvoorstel niet inging op de relatie tussen het plegen van doxing en het overtreden van de AVG. Het plegen van doxing zal volgens de AP tevens een inbreuk op de AVG opleveren. De AVG strekt immers tot het het voorkomen van verwerkingen die vallen onder doxing. Dat is onder meer het geval omdat het verzamelen en/of openbaar maken van persoonsgegevens voor ‘intimidatie-doeleinden’ geen rechtmatig verwerkingsdoel in de zin van artikel 5 AVG is. De AP adviseert om in de memorie van toelichting de verhouding tussen het plegen van doxing en het overtreden van de AVG nader te duiden.

EDPS pleit voor verbod op Pegasus-spyware

De Europese privacytoezichthouder EDPS vindt dat het gebruik van de controversiële Pegasus-spyware in de Europese Unie moet worden verboden.

Pegasus is een spyware ontwikkeld door NSO Group waarmee de locatie van slachtoffers kan worden bepaald en zij kunnen worden bespioneerd via de microfoon en camera van hun smartphone. Ook kan de communicatie via bijvoorbeeld WhatsApp, Gmail, Facebook, Telegram en Skype worden onderschept en kunnen gesprekken worden afgeluisterd. De inzet van Pegasus raakt bovendien niet alleen het doelwit, maar ook zijn omgeving en personen in diens buurt.

Vorige week meldde RTL Nieuws dat een meerderheid van het Europees Parlement een onderzoek naar de Pegasus-spyware steunde. Nu is de EDPS met een reactie gekomen. Volgens de toezichthouder zou het gebruik van Pegasus kunnen leiden tot een ‘ongekende inbreuk die de essentie van privacy bedreigt’, omdat de spyware de meest intieme aspecten van het dagelijks leven in beeld kan brengen. Gezien de technische werking van de spyware, die volledige controle over smartphones heeft, is het volgens de toezichthouder daarnaast ook zeer onwaarschijnlijk dat de inzet van Pegasus aan het vereiste van proportionaliteit zou voldoen.

De EDPS pleit dan ook voor een verbod op het gebruik en de ontwikkeling van Pegasus-spyware. Volgens de toezichthouder is dit de meest effectieve manier om fundamentele rechten en vrijheden te beschermen. Voor uitzonderlijke situaties waarbij de spyware wordt ingezet, noemt de EDPS een reeks maatregelen om onrechtmatig gebruik tegen te gaan.

Privacyrisico’s bij gebruik van clouddiensten door de overheid

De Autoriteit Persoonsgegevens (AP) start, samen met andere Europese privacywaakhonden, een onderzoek naar het gebruik van clouddiensten door (landelijke) overheidsinstellingen. In totaal zullen 22 nationale toezichthouders het cloudgebruik onder de loep nemen.

Overheden maken steeds vaker gebruik van de ‘cloud’. Data wordt vaak niet meer opgeslagen op de computers bij de overheid zelf, maar op servers van tech-bedrijven, zogeheten clouddiensten. Daarbij kan het ook gaan om gevoelige persoonsgegevens die in de cloud worden opgeslagen. Toezichthouders zouden steeds vaker signalen krijgen dat clouddiensten niet aan de privacywet voldoen. Zo sturen veel clouddiensten data door naar de Verenigde Staten (VS). Daar hebben persoonsgegevens een minder goede wettelijke bescherming. Op grond van Amerikaanse wetgeving hebben inlichtingen- en veiligheidsdiensten daar immers het recht om gegevens van EU-burgers in te zien en te gebruiken. Sinds de zomer van 2020, toen het Europees Hof van Justitie met zijn welbekende Schrems II-uitspraak een einde maakte aan het Privacy Shield, moeten bedrijven en organisaties Standard Contractual Clauses (SCC’s) of modelcontracten gebruiken om afspraken te maken over de doorgifte van gegevens naar de VS. Veel Europese bedrijven doen dat niet. De toezichthouders willen daarom onder meer weten of gegevens van burgers (bij doorgifte naar landen buiten de EER) goed worden beschermd.

Ook zal het onderzoek gericht zijn op andere uitdagingen waar de publieke sector mee te maken heeft wanneer clouddiensten worden gebruikt, waaronder de processen met betrekking tot de aanschaf van clouddiensten, en de relatie tussen verwerkingsverantwoordelijke en verwerker. Organisaties zouden vaak weinig macht hebben in de onderhandelingen met de grote clouddienstverleners. Er zijn verschillende grote spelers op deze markt, waaronder Microsoft, Amazon en Google. Het afdwingen van een goede bescherming van de gegevens die aan de clouddiensten worden toevertrouwd, kan daardoor complex zijn.

De eerste stap van het onderzoek is een vragenlijst die naar organisaties wordt gestuurd die namens de Rijksoverheid afspraken maken met de grootste clouddienstverleners. Op basis van de uitkomsten van dit onderzoek kunnen de toezichthouders achterhalen waar de grootste privacyproblemen zitten bij het gebruik van clouddiensten door overheden. Aan de hand van de uitkomsten worden mogelijk nationaal toezichts- en handhavingsmaatregelen genomen. Eind 2022 komt de EDPB, het Europese samenwerkingsorgaan van de privacytoezichthouders, met een gezamenlijk rapport over het gebruik van clouddiensten door overheden.

Recente publicaties

Privacy Weekly

Meld u aan voor Privacy Weekly en blijf op de hoogte van recente trends en ontwikkelingen rondom privacy.

Op zoek naar

Gratis AVG|Check

Volg ons op social media

Meld u aan voor Privacy Weekly

Aanmelden Privacy Weekly
Elke donderdag een privacy alert, blog of whitepaper in uw inbox!
cookie

Wij gebruiken alleen functionele en analytische cookies om u een optimale gebruikerservaring te bieden op onze website. Onze cookies verzamelen geen persoonsgegevens. Meer informatie.