Privacy in het nieuws: tweede helft 2019
| Joost Krapels |
Privacy
December 2019; de AVG is nu anderhalf jaar van kracht. Naast de bijna wekelijkse nieuwsartikelen over datalekken en boetes, gebeurt er een hoop meer. In dit artikel bespreken wij wat er de laatste tijd gebeurd is op het gebied van privacy, acties die de Nederlandse en andere Europese toezichthouders de afgelopen tijd uitgevoerd hebben, en wat zij van plan zijn in de toekomst. Kortom: hoe was privacy in het nieuws?
Sinds ons vorige Privacy in het nieuws artikel in juli 2019, is er weer een hoop gebeurd op het gebied van privacy. De Autoriteit Persoonsgegevens heeft publicaties uitgebracht, we hebben een nieuwe Europese privacytoezichthouder, en nog veel meer. ICT Institute zet ze voor u op een rijtje.
Nederland
Albert Heijn legt bijna database met ontklede medewerkers aan
Het klinkt bijna te bizar om waar te zijn, een internationale supermarktketen die haar, grotendeels minderjarige, medewerkers vraagt foto’s van zichzelf in ondergoed aan te leveren. Toch is het afgelopen week echt zo ver gekomen. Medewerkers van Albert Heijn werden gevraagd de foto’s te uploaden in een app, zodat deze met een algoritme gescand konden worden om de juiste kledingmaat te selecteren. AH heeft de “pilot” na kritiek gelukkig direct afblazen.
Autoriteit Persoonsgegevens publiceert focusgebieden 2020-2023
Naast het onderzoeken van mogelijke misstanden in het verleden, werpt onze nationale toezichthouder gelukkig ook wel eens een blik op de toekomst. Begin november publiceerde zij een 35 pagina tellend document met daarin een uitleg hoe zij zich de komende jaren zal opstellen, en nog belangrijker, welke gebieden speciale aandacht krijgen. In de komende jaren komt de focus op Datahandel, Digitale Overheid, en AI en Algoritmes te liggen.
Onderzoek naar de Belastingdienst
Ook de Nederlandse overheidsinstanties moeten zich netjes aan geldende privacywetgeving houden. In juli 2018 constateerde de AP enkele overtredingen op het gebied van informatiebeveiliging op de afdeling Data en Analytics van de Belastingdienst. Een vervolgonderzoek heeft in oktober 2019 aangetoond dat de “geconstateerde overtredingen niet langer voortduren”. De Belastingdienst gaat nu netter om met logging, de controle op deze logging en voert een strenger autorisatiebeleid.
AP ziet sterke stijging privacyklachten
In de eerste helft van 2019 zijn 15.000 klachten ingediend bij de Autoriteit Persoonsgegevens; volgens haar een stijging van 60% ten opzichte van de tweede helft van 2018. Van deze 15.000 klachten zijn er 10.000 afgerond, wat dus een achterstand van duizenden klachten is. In de private sector gaan de klachten vooral over het niet faciliteren van privacyrechten en voeren van direct marketing, en bij de overheid komt de rechtmatigheid van de verwerking vaak ter discussie. Om de achterstand weg te werken is, zoals in het volgende kopje te lezen is, een onderzoek naar beter passende financiering gestart.
Onderzoek naar financiering AP gestart
De Autoriteit Persoonsgegevens is momenteel onderbemand, dat mag wel duidelijk zijn. Samen met de minister voor Rechtsbescherming heeft de toezichthouder een externe partij ingeschakeld om onderzoek te doen. Aan de hand hiervan zal, waarschijnlijk begin 2020, vastgesteld worden welke financiële middelen de AP nodig heeft om haar taak goed uit te voeren.
De Autoriteit Persoonsgegevens in cijfers
Persoonsgegevens illegale downloaders blijven veilig bij Ziggo
Belangenorganisaties, zoals Dutch Film Works, willen illegale downloaders kunnen vervolgen voor gederfde inkomsten. DFW heeft een rechtszaak tegen Ziggo aangespannen, om zo verdere persoonsgegevens behorende bij IP-adressen van illegale downloaders te bemachtigen. Het Hof oordeelde echter dat niet duidelijk is wat DFW met deze gegevens gaat doen, en de privacyrechten van de downloaders daarom zwaarder wegen dan het geclaimde gerechtvaardigd belang van DFW.
Twee echte Nederlandse schadevergoeding onder de AVG
In de afgelopen vier maanden zijn in Nederland de eerste twee schadevergoedingen naar aanleiding van een inbreuk op de AVG toegekend. In een onopvallende passage achterin de wet is te vinden dat naast de boetes die bedrijven kunnen krijgen, zij ook rekening dienen te houden met de mogelijkheid tot schadevergoeding. De te vergoeden bedragen zijn per stuk niet hoog (500e en 250e), maar in de toekomst kan het totaalbedrag flink oplopen bij duizenden of zelfs meer eisers.
Anoniem reizen bij de NS voorlopig nog onmogelijk
In 2017 spande een treinreiziger na een afgewezen handhavingsverzoek bij de AP een procedure aan tegen het besluit van de Toezichthouder. Anoniem reizen met een abonnement is niet mogelijk, en de NS zou onterecht betaalgegevens verwerken omdat anonieme kaarten alleen met muntgeld of pin op te laden zijn bij automaten. De rechtbank heeft recentelijk geoordeeld dat de Autoriteit Persoonsgegevens terecht gekozen heeft niet op te treden. Momenteel lopen er nog twee gerelateerde zaken, waarvan de uitkomst zomaar anders kan zijn.
Inzage in privémails door curator niet ongelimiteerd
Curatoren mogen een hoop. In geval van een faillissement is het hun taak om zo veel mogelijk geld vrij te maken voor schuldeisers, bijvoorbeeld door de verkoop van bedrijfsmiddelen. Binnenkomende post en mail wordt direct naar hen doorgestuurd, zodat alle informatie veiliggesteld kan worden voor onderzoek. In de zaak van Paradigit werden mailboxen echter ook gebruikt voor privécorrespondentie, wat voor de rechter genoeg was om ongelimiteerde toegang tot de mailbox door de curator te blokkeren. De curator moet een accountant aan gaan wijzen, zodat privémails buiten het faillissement gehouden kunnen worden.
Data pro code voorlopig goedgekeurd
Normen voor kwaliteit en informatiebeveiliging zijn al enkele jaren te vinden in de markt. In de AVG is er de mogelijkheid tot soortgelijke certificeringsmechanismen, maar deze moeten eerst door de nationale toezichthouders goedgekeurd worden. De Data Pro Code, een initiatief van Nederland ICT, is onlangs voorlopig goedgekeurd. Pas als het toezichthoudend orgaan van Nederland ICT goedgekeurd is, is de Data Pro Code een valide certificeringsmiddel.
Patiëntgegevens gebruikt als boodschappenbriefje
Kort nadat het Haga Ziekenhuis in Den Haag in het nieuws kwam door een boete voor ongeoorloofde toegang tot het patiëntendossier van een bekende Nederlander, was het er weer raak: geprinte patiëntoverdrachten (naam, aandoeningen, medicijnen, notities, etc.) zijn gebruikt als boodschappenbriefje en in een wagentje bij de supermarkt blijven liggen. Er is nog geen boete uitgedeeld, maar dit betekent niet dat er geen heimelijk onderzoek kan lopen.
AP maakt definitieve DPIA lijst beschikbaar
Onder de AVG moét men in bepaalde situaties een impact assessment, ook wel DPIA geheten, doen. Na eerder al een voorlopige lijst van zestien situaties uitgebracht te hebben, publiceerde de Autoriteit Persoonsgegevens eind november de volledige lijst van zeventien DPIA situaties in de Staatscourant. De nieuwe binnenkomer op de lijst is “Biometrische gegevens”.
Europa
Nieuwe toezichthouder EDPS
De recentelijk overleden Europese privacytoezichthouder Giovanni Buttarelli is eind november opgevolgd door zijn toenmalige assistent toezichthouder Wojciech Wiewiórowski. Wiewiórowski zal nu vijf jaar lang de officiële rol van European Data Protection Supervisor op zich nemen. Als Supervisor zal hij toezicht gaan houden op de gegevensverwerkingen door Europese instellingen.
Brexit opties voor EU Instanties
De Brexit; hij hangt al een tijd in de lucht. Nu sinds het verstrijken van de 31 oktober deadline alle opties weer op tafel lijken te liggen, is er grote onzekerheid voor Europese Instanties die zaken doen met Britse bedrijven. In juli bracht de EDPS al een informatiedocument uit, waarin zij verschillende Brexit scenarios beschrijft en de acties die Europese Instanties en Agentschappen in die gevallen kunnen verrichten. Wij schreven hier een Engels samenvattingsartikel over.
Volledig artikel (Engels)
Vind ik leuk knop leidt tot gezamenlijke verantwoordelijkheid
Een Duitse rechter oordeelde afgelopen juli dat het plaatsen van een Facebook Like knop op de website leidt tot een gezamenlijke verwerkingsverantwoordelijkheid met Facebook. Beide partijen halen financiële voordelen uit het plaatsen van de knop. Website eigenaren zijn verantwoordelijk voor het verzamelen van de data en het doorsturen naar Facebook, en Facebook is verantwoordelijk voor andere verwerkingen die het zelf met de data doet.
EDPS publiceert opinie over smart meters
Slimme meters zijn uit veel huishoudens niet weg te denken. Warm opstaan in de winter, overdag niet onnodig gas verbruiken, en ’s avonds toch thuiskomen in een warm huis. Aan slimme meters zijn echter ook risico’s verboden, meldt de EDPS terecht. Zo kan uit het stroom- en gasverbruik onder andere afgeleid worden wanneer iemand op vakantie is, zijn religieuze patronen te herkennen, en is zelfs het gebruik van apparaten als koelkasten en magnetrons te ontcijferen. Slimme meters dienen daarom goed beveiligd te zijn, en hun makers moeten aan strenge eisen voldoen.
De volledige opinie (Engels)
De e-privacy Verordening komt er niet vóór 2020
Op 22 november heeft het meest recente voorstel voor de e-privacy Verordening de stemronde niet overleefd. De Verordening zou de huidig geldende e-privacy Richtlijn (bij ons geïmplementeerd als de 1998 Telecommunicatiewet) vervangen, net als de AVG in 2018 een richtlijn uit 1995 vervangen heeft. In de e-privacy Richtlijn wordt onder andere aandacht besteed aan cookies, direct marketing en anoniem bellen. De Richtlijn hangt al sinds 2017 in de lucht, en kan nu op zijn vroegst in 2020 aangenomen worden.
Volledig artikel (Engels)
Verenigde Staten
YouTube krijgt boete van 170 miljoen voor verzamelen data kinderen
De Verenigde Staten hebben naast hun omstreden Cloud Act, waarin de overheid toegang tot data van Amerikaanse bedrijven kan eisen, ook enkele zeer privacyvriendelijke wetten in plaasts. Een daarvan is de Children’s Online Privacy Protection Act, kortweg COPPA. Onder deze wet mogen bedrijven niet zomaar persoonsgegevens van kinderen verzamelen. YouTube, die dit volgens de Federal Trade Commission toch faciliteerde, heeft voor 170 miljoen dollar (ongeveer 155 miljoen euro), moeten schikken met de FTC. Het beleid moet aangepast worden, wat volgens YouTube er toe zal leiden dat videomakers vooraf aan moeten geven dat een video voor kinderen bedoeld is. Adverteerders mogen dan geen gerichte reclame bij de video plaatsen.
Verdienmodel van YouTube
Diefstal persoonsgegevens bij hack op Amerikaanse bank Capital One
Bij de Amerikaanse bank Capital One zijn onlangs persoonsgegevens van 100 miljoen Amerikanen gestolen. 80.000 rekeningnummers, 140.000 Amerikaanse identificatienummers, 1.000.000 Canadese identificatienummers, en tientallen miljoenen credit card aanvragen werden buitgemaakt. Of de gegevens voor kwaadaardige doeleinden gebruikt zijn is niet duidelijk. De hacker was erg trots op de actie, schepte hier over op, en heeft haarzelf zo verraden.
Verzameling van 1,2 miljard persoonsgegevens gelekt
Eerder dit jaar lekte een aan Facebook verbonden applicatie meer dan 540 miljoen persoonsgegevens, omdat een dataset zonder wachtwoord op een cloudopslag stond. Dit was echter niet het grootste datalek van het jaar. In oktober kwam een dark web onderzoeken een verzameling van 1,2 miljard persoonsgegevens tegen op een onbeveiligde server. De dataset bevatte geaggregeerde data van social media profielen en andere openbare data, wat bij elkaar een zeer precies beeld van individuele personen kan geven.
Volledig artikel (Engels)
Voor meer artikelen over privacy, kijk dan op onze pagina met alle privacy-artikelen.
Image credit: William E. Weiss—Buffalo Bill Historical Center, Cody, Wyoming/The Art Archive
Joost Krapels MSc. heeft zijn BSc. in Artificial Intelligence en zijn MSc. in Information Sciences gehaald aan de VU Amsterdam. Bij ICT Institute adviseert hij over informatiebeveiliging (CISSP, Security+, IRCA/CQI Lead Auditor), privacy (CIPP/E), praktisch toepassen van de AVG, en voert hij IT Due Diligence onderzoek uit.