Nieuwsbrief week 13 2023
Oostenrijk bestempelt tracking pixel van Facebook als onwettig
De Oostenrijkse databeschermingsautoriteit (DSB) stelt vast dat de tracking-technologie van Meta in strijd is met de AVG-regelgeving. De instantie volgt daarbij de redenering van de privacyrechtenorganisatie noyb. Zij hadden klachten ingediend tegen de tracking pixel-technologie van Meta. Die zou gevoelige data vergaren en verwerken op Amerikaanse servers. Meta bleef de technologie gebruiken, ook nadat beide Schrems-arresten van het Hof van Justitie de praktijk in essentie als onwettig hadden bestempeld.
Meta zelf is van mening dat het er een correctere interpretatie van Europees recht op nahoudt dan de Europese rechtbanken, maar daar had de DSB geen oren naar. De beslissing heeft betrekking op een klacht van noyb op één Oostenrijkse website die een Meta-tracking pixel gebruikt, maar heeft vergaande gevolgen. De verschillende gegevensbeschermingsautoriteiten van de lidstaten moeten hun uitspraken immers coördineren, wat impliceert dat de Oostenrijkse uitspraak een precedent is voor alle websites in de EU die een tracking pixel van Meta gebruiken.
Massaclaim tegen staat na diefstal GGD-gegevens
Stichting ICAM sleept de Staat voor de rechter en eist een schadevergoeding van 1500 euro voor cliënten van de GGD waarvan tijdens de coronacrisis de persoonsgegevens zijn gestolen. Voor cliënten bij wie dat had kunnen gebeuren, wordt 500 euro geëist. In totaal gaat het om zo’n 3 miljard euro. Ruim 133.000 mensen hebben zich aangesloten bij de massaclaim. Zij stellen dat als gevolg van een slecht beveiligingsbeleid hun medische gegevens in handen van criminelen zijn gekomen, nadat zij zich hadden laten testen op corona. De claim is gericht aan 35 instanties, waaronder het ministerie van Volksgezondheid, de landelijke GGD GHOR Nederland, regionale GGD’en, veiligheidsregio’s en de gemeenten Amsterdam en Rotterdam.
De beveiliging van de medische gegevens was op verschillende manieren niet goed geregeld. Zo werden volgens Stichting ICAM medewerkers van de GGD en uitzendkrachten niet goed gescreend, konden zij bij meer gegevens dan voor hun werk nodig was en werd niet bijgehouden wie welke gegevens opvroeg.
Volgens Stichting ICAM zijn 6,5 miljoen cliënten van de GGD gedupeerd door de datadiefstal. De GGD heeft toegegeven dat in ieder geval van 1250 cliënten de gegevens zijn gestolen. Als de rechter de claim toekent, zal het ministerie van Volksgezondheid met zo’n 3 miljard euro over de brug moeten komen. Een definitieve uitspraak wordt pas in 2026 verwacht.
DPC: “Verdrag EU en VS kan te laat komen voor Facebook”
Een nieuw Data Privacy Framework (DPF), ontworpen om de veilige overdracht van persoonsgegevens van EU-burgers naar de VS te vergemakkelijken, kan te laat in werking treden om Facebook te redden van een opschorting van zijn trans-Atlantische gegevensstromen, meldt Reuters.
Helen Dixon, de Ierse Data Protection (DPC) werkt samen met EU-collega’s aan een verbod op het wettelijke voorschrift dat Facebook gebruikt om Europese gebruikersgegevens door te geven. Het verbod moet worden ingesteld vanwege de Europese bezorgdheid dat Amerikaanse inlichtingendiensten toegang zouden kunnen krijgen tot de data van burgers als gevolg van Amerikaanse wetgeving zoals de CLOUD Act.
In een interview met Reuters zei Dixon dat het verbod medio mei van kracht zou kunnen worden, terwijl een nieuw EU-US DPF, dat een alternatieve basis voor de doorgifte zou bieden, mogelijk pas later zal worden bekrachtigd.
Het nieuwe kader ligt momenteel onder vuur van o.a. de EDPB, die een niet-bindend advies heeft uitgebracht waarin staat dat het voorgestelde pact niet ver genoeg gaat om de privacyrechten van Europeanen te beschermen.
Dixon, die Facebook al meer dan een jaar in het vizier heeft, was niet optimistisch over de kansen van Facebook. Toen haar werd gevraagd of het verbod nog voor het DPF in werking zou treden, antwoordde ze: “Daar is zeker een kans op. Meer dan een kans, zou ik zeggen.”
De opschorting van Facebook zou een precedent kunnen scheppen voor andere bedrijven, aldus Reuters.
EDPB kondigt gecoördineerde actie aan: de rol van de FG
Het Europees Comité voor gegevensbescherming heeft aangekondigd dat zijn gecoördineerde handhavingsproject (CEF, 'coordinated enforcement action') voor 2023 betrekking zal hebben op de rol van de FG. Gedurende het jaar zullen 26 gegevensbeschermingsautoriteiten in de hele EER (waaronder de EDPS) deelnemen aan de CEF 2023 inzake de aanwijzing en de positie van functionarissen voor gegevensbescherming.
Als tussenpersonen tussen de gegevensbeschermingsautoriteiten, individuele personen en de bedrijfseenheden van een organisatie spelen FG's een essentiële rol bij de naleving van de gegevensbeschermingswetgeving en de bevordering van een doeltreffende bescherming van de rechten van de betrokkenen.
Om na te gaan of de functionarissen voor gegevensbescherming in hun organisaties de positie hebben die vereist is op grond van artikel 37-39 AVG en of zij over de nodige middelen beschikken, zullen FG's vragenlijsten toegestuurd krijgen. De resultaten van het gezamenlijk initiatief zullen op gecoördineerde wijze worden geanalyseerd en de gegevensbeschermingsautoriteiten zullen beslissen over mogelijke verdere nationale toezichts- en handhavingsacties. Bovendien zullen de resultaten worden geaggregeerd, waardoor een dieper inzicht in het onderwerp ontstaat en een gerichte follow-up op EU-niveau mogelijk wordt.
Deze reeks acties is het tweede CEF-initiatief. In 2022 was het eerste onderwerp het gebruik van clouddiensten door de overheidssector.
Rechter: Facebook verwerkte onrechtmatig persoonsgegevens van Nederlanders
Facebook heeft illegaal persoonsgegevens van Nederlandse gebruikers verwerkt, zo heeft de rechtbank Amsterdam vorige week geoordeeld in een zaak die was aangespannen door de Data Privacy Stichting (DPS) in samenwerking met de Consumentenbond. Volgens de rechter heeft Facebook in de periode van 1 april 2010 tot 1 januari 2020 persoonsgegevens van gebruikers verwerkt voor advertentiedoeleinden terwijl dat niet mocht. Ook zijn persoonsgegevens aan derden verstrekt zonder dat Facebookgebruikers hierover goed waren geïnformeerd en zonder dat er een wettelijke grondslag was voor de verstrekking.
De wettelijke grondslag ontbrak ook bij de verwerking van bijzondere persoonsgegevens voor advertentiedoeleinden, zoals seksuele voorkeur of religie. Het ging hierbij zowel om persoonsgegevens die gebruikers zelf verstrekten als om gegevens die door Facebook werden verkregen door het volgen van het surfgedrag van gebruikers buiten Facebook.
Verder heeft Facebook gebruikers onvoldoende geïnformeerd over het delen van hun persoonsgegevens met een aantal derde partijen. Hierbij zijn niet alleen persoonsgegevens van de Facebookgebruikers zelf gedeeld, maar ook persoonsgegevens van hun Facebookvrienden.
Oostenrijk: kredietbureau verzamelde illegaal gegevens
De Oostenrijkse gegevensbeschermingsautoriteit (DSB) heeft geoordeeld dat de overgrote meerderheid van de door kredietbureau CRIF verzamelde persoonsgegevens illegaal was en moet worden verwijderd.
De proefprocedure werd door privacy-organisatie noyb aangespannen nadat was gebleken dat het kredietbureau zonder toestemming of enige andere rechtsgrond adressen, geboortedata en namen van bijna alle Oostenrijkers verzamelde om hun kredietwaardigheid te bepalen.
De meeste kerngegevens die CRIF gebruikt om zogenaamde "kredietwaardigheidswaarden" te berekenen waren afkomstig van adressenuitgever AZ Direkt, die tot het Duitse Bertelsmann-concern behoort. AZ Direkt mag deze gegevens alleen doorgeven voor marketingdoeleinden - niet voor kredietwaardigheidsberekeningen.
Deze kredietbeoordelingen hebben ook gevolgen voor de echte wereld, legt noyb-voorzitter Max Schrems uit: "Miljoenen mensen in Oostenrijk worden hierdoor getroffen. Klanten krijgen geen gsm- of elektriciteitscontract als hun score te laag is. Als de bank deze score gebruikt, moet men misschien hogere aflossingen voor een lening betalen. Wij vinden dat er hooguit gegevens van manifeste wanbetalers moeten worden verzameld - niet van de hele bevolking."