Privacy in het nieuws: eerste helft 2020
| Joost Krapels |
Privacy
2020 is, zacht gezegd, rumoerig begonnen. Hoewel de ochtendfiles flink zijn afgenomen, geldt voor het digitale verkeer het omgekeerde. Dit levert op het gebied van privacy ook de nodige bewegingen op. De Europese toezichthouders hebben naast hun standaard taken van incidenten onderzoeken en gezamenlijk richtlijnen uitbrengen ook de belangrijke taak advies uit te brengen over wetsvoorstellen en technologische oplossingen omtrent het Coronavirus.
Sinds ons vorige Privacy in het nieuws artikel in december 2019 is privacy weer volop in de media geweest. In dit artikel geven wij een overzicht wat er in de eerste zes maanden van 2020 is gebeurd. Kortom: hoe was privacy in het nieuws?
Nederland
AP en de Corona-app
Om de COVID-19 uitbraak onder controle te krijgen, schreef het Ministerie van VWS begin april de vraag aan het bedrijfsleven uit om apps te ontwikkelen die kunnen assisteren bij het bron- en contactonderzoek. De deelnemende organisaties hadden drie dagen om een uitgebreid voorstel voor een applicatie in te leveren, dat vervolgens beoordeeld werd. Na initiële beoordeling door VWS heeft de Autoriteit Persoonsgegevens zeven voorstellen getoetst op noodzakelijkheid, effectiviteit, proportionaliteit en voldoen aan huidige wetgeving. Er ontbrak, echter, juridisch en technisch zo veel aan de inzendingen dat de AP aangaf dat zij niet kon beoordelen “of de bescherming van gevoelige gegevens van Nederlanders voldoende is gewaarborgd.” Inmiddels is er een DPIA gepubliceerd, een second opinion op de DPIA door Privacy Management Partners, en wordt de app in de praktijk getest.
Volledig rapport, de DPIA en second opinion
Boete voor vingerafdrukken
Een Nederlandse organisatie is stevig op de vingers getikt voor het gebruik van vingerafdrukken om werknemers in- en uit te laten klokken. Het gebruik van biometrie ter identificatie is niet per definitie verboden, maar dient wel aan strenge eisen te voldoen. Bij onderzoek door de AP bleek dat toestemming voor het opnemen van de afdrukken niet vrijwillig was en vingerafdrukken langer bewaard werden dan nodig, zelfs na uitdiensttreding. Ook waren medewerkers niet voldoende geïnformeerd over het nieuwe systeem. Met als hoofdargumenten het gebrek aan de verbodsuitzonderingen “uitdrukkelijke toestemming” en “noodzakelijkheid voor authenticatie of beveiligingsdoeleinden” legde de toezichthouder een bestuurlijke boete op van €725.000.
Volledig artikel en boetebesluit
Ook de andere 27 privacytoezichthouders zitten niet stil, en leggen met enige regelmaat een boete op. Een leuke manier om inzicht te krijgen in alle AVG-gerelateerde boetes tot nu toe is de gratis online GDPR enforcement tracker.
Beperkingen aan temperatuur opnemen door werknemers
In maart en april zijn steeds meer werkgevers de temperatuur van hun werknemers gaan opmeten. Koorts is één van de symptomen van het Coronavirus, en voor veel werkgevers genoeg reden om werknemers en bezoekers de toegang tot het kantoor te ontzeggen. De Autoriteit Persoonsgegevens heeft eind april een standpunt ingenomen, en een nieuwsbericht op haar website gepubliceerd. Iemands temperatuur opnemen en deze informatie opslaan mag niet, aangezien: temperatuur een bijzonder persoonsgegeven is, de grondslag toestemming in een werkgever-werknemer relatie niet geldig is, en werkgevers onder andere gronden geen gezondheidsgegevens mogen verwerken. Slechts meten zonder de uitkomst op te slaan of werknemers zelf laten meten is wel toegestaan.
Europa
Nieuwe privacyrichtlijn voor connected cars
Het EDPB, het Europese samenwerkingsverband van nationale toezichthouders, bracht eerder dit jaar een eerste versie uit van hun richtlijn omtrent het verwerken van persoonsgegevens in de context van verbonden voertuigen en vervoergerelateerde applicaties. In de richtlijn worden aanbevelingen gegeven op tien aspecten van persoonsgegevens in verbonden voertuigen: Categorieën van persoonsgegevens, Doelbinding, Relevantie en dataminimalisatie, Privacy by design en privacy by default, de Informatieplicht, Rechten van betrokkenen, Beveiliging en geheimhouding, Verstrekken aan derden, Verstrekken buiten de EER en Gebruik van in-car Wi-fi. Wij schreven een uitgebreide samenvatting van de vrij lijvige richtlijn.
Volledige artikel en de richtlijn
Boete Belgische privacytoezichthouder voor belangenconflict FG
De Belgische tegenhanger van de Autoriteit Persoonsgegevens, de Gegevensbeschermingsautoriteit (GBA) heeft een boete van €50.000 opgelegd. De voornaamste reden hiertoe is een belangenverstrengeling van de FG (Functionaris voor Gegevensbescherming). De persoon die als FG onafhankelijk toezicht diende te houden op de organisatie vervulde namelijk tegelijk ook de rol van directeur Audit, Risk en Compliance. Daarbij noemt de GBA ook het niet naleven van de verantwoordingsplicht en niet naleven van de medewerkingsplicht als heikele punten. De gevolgen lijken echter te overzien voor de organisatie: haar naam is niet gepubliceerd in het boetebesluit, en de boete is slechts 0,001% van de jaaromzet.
Volledig artikel en volledige beslissing
EDPB brengt update richtlijnen voor AVG-toestemming uit
Het EDPB heeft een nieuwe versie van de Guidelines Consent uitgebracht. Valide toestemming gaat in de praktijk nog vaak mis, omdat vaak aan één of meerdere van de criteria (vrij, specifiek, geïnformeerd, ondubbelzinnig) voor valide toestemming niet voldaan wordt. De nieuwe toevoegingen zijn uitleg en voorbeelden op het gebied van cookie walls, swipen/scrollen voor toestemming. Ook een interessante nieuwe toevoeging: het argument “de toestemming is vrij want u kunt naar de concurrent” is niet valide volgens het EDPB.
Nationale privacytoezichthouders onderbezet
De Europese Commissie kijkt jaarlijks terug op de praktische gevolgen van de AVG. In haar recente rapport van 24 juni werd, naast het aanstippen van de rol van de AVG bij de bestrijding van COVID-19, vastgesteld dat meerdere nationale toezichthouders onderbezet zijn. De twee die met kop en schouders boven de rest uitsteken zijn Ierland en Luxemburg; hier zijn namelijk vanwege relatief gunstige belastingwetgeving veel multinationals gevestigd. Vanwege de ingewikkelde organisatiestructuren en pure omvang kost onderzoek doen naar- en eventueel opleggen van boetes aan dit soort partijen erg veel manuren en middelen. Onder de AVG dienen nationale toezichthouders samen te werken bij onderzoeken die meerdere EU lidstaten betreffen, maar de lidstaat waar de te onderzoeken organisatie gevestigd is is leidend. De Commissie verzoekt de EU-lidstaten daarom om voldoende middelen beschikbaar te stellen aan hun toezichthouders. Eerder dit jaar trok Brave, bekend van de Brave browser, ook al aan de bel en publiceerde een rapport met dezelfde boodschap.
Volledig artikel , volledig rapport en Brave rapport
Verenigde Staten
Schrems II – Privacy shield
Uitwisseling van persoonsgegevens met derde landen als de Verenigde Staten is altijd al een heikel punt geweest. Europese privacywetgeving is er niet zo eenvoudig af te dwingen, waardoor er tussen de EU en VS aanvullende afspraken gebaseerd op vertrouwen gemaakt moeten worden. Een eerdere versie hiervan, de Safe Harbour overeenkomst, sneuvelde in 2015 toen ene Max Schrems bij het Ierse hooggerechtshof de validiteit van Safe Harbour in twijfel trok (zaak Schrems I). Facebook Ierland stuurt data van Europese gebruikers door naar de VS, waar deze data onder de PATRIOT Act inzichtelijk is voor Amerikaanse veiligheidsdiensten. Na Safe Harbour werd, in synergie met de AVG het EU-VS Privacy Shield in het leven geroepen. Op 16 juli 2020 is het Privacy Shield hetzelfde lot als Safe Harbour ondergaan door een klacht van dezelfde Max Schrems met dezelfde redenering: data van Europese (o.a. Facebook) gebruikers is inzichtelijk voor de Amerikaanse veiligheidsdiensten. Standard Contractual Clauses, standaard contractermen voor afspraken met leveranciers buiten de EER, opgesteld door de Europese Commissie blijven echter geldig.
Volledig artikel (Engels)
Facebook schikt voor ruim half miljard dollar
Facebook belandt met enige regelmaat als verweerder in een rechtszaak vanwege haar omgang met persoonsgegevens. In januari 2020 bereikte een drietal Amerikaanse advocatenkantoren echter na een vijf jaar lange juridische strijd met Facebook een schikking van 550 miljoen dollar (465 miljoen euro). De rechtszaak is aangespannen in de Amerikaanse staat Illinois, waar de Biometric Information Privacy Act van kracht is. Facebook heeft volgens de drie aanklagende kantoren in strijd met deze wet gehandeld door gezichtsscans te maken van geüploade foto’s en deze te gebruiken voor haar eigen gezichtsherkenningssoftware. Als de schikking rond is, zal de ruim half miljard dollar wordt beschikbaar gesteld voor de getroffen personen die zich bij de class-action rechtszaak aangesloten hebben. Eind juli heeft Facebook haar aanbod zelfs verhoogd tot 650 miljoen dollar, (550 miljoen euro) wat voorlopig goedgekeurd is door een Californische rechter.
Volledig artikel (Engels)
Meer informatie over AVG
ICT Institute organiseert trainingen over privacy en security. Voor FG’s houden wij een paar keer per jaar een gratis toegankelijke intervisie-bijeenkomst. Ook bieden wij een gratis Linkedin groep waarin we tips en nieuws over security en privacy met elkaar delen. Voor meer artikelen over privacy, kijk dan op onze pagina met alle privacy-artikelen.
Image credit: Gizmodo.com
Joost Krapels heeft gewerkt bij ICT Institute van 2018 tot oktober 2024. Hij is een ervaring privacy en security professional. Tijdens zijn werk bij ICT Institute is hij Security+ en CISSP-gecertificeerd.