Volg Software Zaken

Privacy in het nieuws: eerste helft 2020

| Joost Krapels | Privacy

2020 is, zacht gezegd, rumoerig begonnen. Hoewel de ochtendfiles flink zijn afgenomen, geldt voor het digitale verkeer het omgekeerde. Dit levert op het gebied van privacy ook de nodige bewegingen op. De Europese toezichthouders hebben naast hun standaard taken van incidenten onderzoeken en gezamenlijk richtlijnen uitbrengen ook de belangrijke taak advies uit te brengen over wetsvoorstellen en technologische oplossingen omtrent het Coronavirus.

Sinds ons vorige Privacy in het nieuws artikel in december 2019 is privacy weer volop in de media geweest. In dit artikel geven wij een overzicht wat er in de eerste zes maanden van 2020 is gebeurd. Kortom: hoe was privacy in het nieuws?

Nederland

AP en de Corona-app

Om de COVID-19 uitbraak onder controle te krijgen, schreef het Ministerie van VWS begin april de vraag aan het bedrijfsleven uit om apps te ontwikkelen die kunnen assisteren bij het bron- en contactonderzoek. De deelnemende organisaties hadden drie dagen om een uitgebreid voorstel voor een applicatie in te leveren, dat vervolgens beoordeeld werd. Na initiële beoordeling door VWS heeft de Autoriteit Persoonsgegevens zeven voorstellen getoetst op noodzakelijkheid, effectiviteit, proportionaliteit en voldoen aan huidige wetgeving. Er ontbrak, echter, juridisch en technisch zo veel aan de inzendingen dat de AP aangaf dat zij niet kon beoordelen “of de bescherming van gevoelige gegevens van Nederlanders voldoende is gewaarborgd.” Inmiddels is er een DPIA gepubliceerd, een second opinion op de DPIA door Privacy Management Partners,  en wordt de app in de praktijk getest.

Volledig rapport, de DPIA en second opinion

Boete voor vingerafdrukken

Een Nederlandse organisatie is stevig op de vingers getikt voor het gebruik van vingerafdrukken om werknemers in- en uit te laten klokken. Het gebruik van biometrie ter identificatie is niet per definitie verboden, maar dient wel aan strenge eisen te voldoen. Bij onderzoek door de AP bleek dat toestemming voor het opnemen van de afdrukken niet vrijwillig was en vingerafdrukken langer bewaard werden dan nodig, zelfs na uitdiensttreding. Ook waren medewerkers niet voldoende geïnformeerd over het nieuwe systeem. Met als hoofdargumenten het gebrek aan de verbodsuitzonderingen “uitdrukkelijke toestemming” en “noodzakelijkheid voor authenticatie of beveiligingsdoeleinden” legde de toezichthouder een bestuurlijke boete op van €725.000.

Volledig artikel en boetebesluit

Ook de andere 27 privacytoezichthouders zitten niet stil, en leggen met enige regelmaat een boete op. Een leuke manier om inzicht te krijgen in alle AVG-gerelateerde boetes tot nu toe is de gratis online GDPR enforcement tracker.

Beperkingen aan temperatuur opnemen door werknemers

In maart en april zijn steeds meer werkgevers de temperatuur van hun werknemers gaan opmeten. Koorts is één van de symptomen van het Coronavirus, en voor veel werkgevers genoeg reden om werknemers en bezoekers de toegang tot het kantoor te ontzeggen. De Autoriteit Persoonsgegevens heeft eind april een standpunt ingenomen, en een nieuwsbericht op haar website gepubliceerd. Iemands temperatuur opnemen en deze informatie opslaan mag niet, aangezien: temperatuur een bijzonder persoonsgegeven is, de grondslag toestemming in een werkgever-werknemer relatie niet geldig is, en werkgevers onder andere gronden geen gezondheidsgegevens mogen verwerken. Slechts meten zonder de uitkomst op te slaan of werknemers zelf laten meten is wel toegestaan.

Volledig nieuwsbericht

Europa

Nieuwe privacyrichtlijn voor connected cars

Het EDPB, het Europese samenwerkingsverband van nationale toezichthouders, bracht eerder dit jaar een eerste versie uit van hun richtlijn omtrent het verwerken van persoonsgegevens in de context van verbonden voertuigen en vervoergerelateerde applicaties. In de richtlijn worden aanbevelingen gegeven op tien aspecten van persoonsgegevens in verbonden voertuigen: Categorieën van persoonsgegevens, Doelbinding, Relevantie en dataminimalisatie, Privacy by design en privacy by default, de Informatieplicht, Rechten van betrokkenen, Beveiliging en geheimhouding, Verstrekken aan derden, Verstrekken buiten de EER en Gebruik van in-car Wi-fi. Wij schreven een uitgebreide samenvatting van de vrij lijvige richtlijn.

Volledige artikel en de richtlijn

Boete Belgische privacytoezichthouder voor belangenconflict FG

De Belgische tegenhanger van de Autoriteit Persoonsgegevens, de Gegevensbeschermingsautoriteit (GBA) heeft een boete van €50.000 opgelegd. De voornaamste reden hiertoe is een belangenverstrengeling van de FG (Functionaris voor Gegevensbescherming). De persoon die als FG onafhankelijk toezicht diende te houden op de organisatie vervulde namelijk tegelijk ook de rol van directeur Audit, Risk en Compliance. Daarbij noemt de GBA ook het niet naleven van de verantwoordingsplicht en niet naleven van de medewerkingsplicht als heikele punten. De gevolgen lijken echter te overzien voor de organisatie: haar naam is niet gepubliceerd in het boetebesluit, en de boete is slechts 0,001% van de jaaromzet.

Volledig artikel en volledige beslissing

EDPB brengt update richtlijnen voor AVG-toestemming uit

Het EDPB heeft een nieuwe versie van de Guidelines Consent uitgebracht. Valide toestemming gaat in de praktijk nog vaak mis, omdat vaak aan één of meerdere van de criteria (vrij, specifiek, geïnformeerd, ondubbelzinnig) voor valide toestemming niet voldaan wordt. De nieuwe toevoegingen zijn uitleg en voorbeelden op het gebied van cookie walls, swipen/scrollen voor toestemming. Ook een interessante nieuwe toevoeging: het argument “de toestemming is vrij want u kunt naar de concurrent” is niet valide volgens het EDPB.

Volledig artikel

Nationale privacytoezichthouders onderbezet

De Europese Commissie kijkt jaarlijks terug op de praktische gevolgen van de AVG. In haar recente rapport van 24 juni werd, naast het aanstippen van de rol van de AVG bij de bestrijding van COVID-19, vastgesteld dat meerdere nationale toezichthouders onderbezet zijn. De twee die met kop en schouders boven de rest uitsteken zijn Ierland en Luxemburg; hier zijn namelijk vanwege relatief gunstige belastingwetgeving veel multinationals gevestigd. Vanwege de ingewikkelde organisatiestructuren en pure omvang kost onderzoek doen naar- en eventueel opleggen van boetes aan dit soort partijen erg veel manuren en middelen. Onder de AVG dienen nationale toezichthouders samen te werken bij onderzoeken die meerdere EU lidstaten betreffen, maar de lidstaat waar de te onderzoeken organisatie gevestigd is is leidend. De Commissie verzoekt de EU-lidstaten daarom om voldoende middelen beschikbaar te stellen aan hun toezichthouders. Eerder dit jaar trok Brave, bekend van de Brave browser, ook al aan de bel en publiceerde een rapport met dezelfde boodschap.

Volledig artikel , volledig rapport en Brave rapport

Financiering toezichthouders en aantal medewerkers, onderzoek door Brave

Verenigde staten

Schrems II – Privacy shield

Uitwisseling van persoonsgegevens met derde landen als de Verenigde Staten is altijd al een heikel punt geweest. Europese privacywetgeving is er niet zo eenvoudig af te dwingen, waardoor er tussen de EU en VS aanvullende afspraken gebaseerd op vertrouwen gemaakt moeten worden. Een eerdere versie hiervan, de Safe Harbour overeenkomst, sneuvelde in 2015 toen ene Max Schrems bij het Ierse hooggerechtshof de validiteit van Safe Harbour in twijfel trok (zaak Schrems I). Facebook Ierland stuurt data van Europese gebruikers door naar de VS, waar deze data onder de PATRIOT Act inzichtelijk is voor Amerikaanse veiligheidsdiensten. Na Safe Harbour werd, in synergie met de AVG het EU-VS Privacy Shield in het leven geroepen. Op 16 juli 2020 is het Privacy Shield hetzelfde lot als Safe Harbour ondergaan door een klacht van dezelfde Max Schrems met dezelfde redenering: data van Europese (o.a. Facebook) gebruikers is inzichtelijk voor de Amerikaanse veiligheidsdiensten. Standard Contractual Clauses, standaard contractermen voor afspraken met leveranciers buiten de EER, opgesteld door de Europese Commissie blijven echter geldig.

Volledig artikel (Engels)

Facebook schikt voor ruim half miljard dollar

Facebook belandt met enige regelmaat als verweerder in een rechtszaak vanwege haar omgang met persoonsgegevens. In januari 2020 bereikte een drietal Amerikaanse advocatenkantoren echter na een vijf jaar lange juridische strijd met Facebook een schikking van 550 miljoen dollar (465 miljoen euro). De rechtszaak is aangespannen in de Amerikaanse staat Illinois, waar de Biometric Information Privacy Act van kracht is. Facebook heeft volgens de drie aanklagende kantoren in strijd met deze wet gehandeld door gezichtsscans te maken van geüploade foto’s en deze te gebruiken voor haar eigen gezichtsherkenningssoftware. Als de schikking rond is, zal de ruim half miljard dollar wordt beschikbaar gesteld voor de getroffen personen die zich bij de class-action rechtszaak aangesloten hebben. Eind juli heeft Facebook haar aanbod zelfs verhoogd tot 650 miljoen dollar, (550 miljoen euro) wat voorlopig goedgekeurd is door een Californische rechter.

Volledig artikel (Engels)

Meer informatie over AVG

ICT Institute organiseert trainingen over privacy en security. Voor FG’s houden wij een paar keer per jaar een gratis toegankelijke intervisie-bijeenkomst. Ook bieden wij een gratis Linkedin groep waarin we tips en nieuws over security en privacy met elkaar delen.

Image credit: Gizmodo.com

Joost Krapels
Author: Joost Krapels
Joost Krapels MSc. is afgestudeerd aan de Vrije Universiteit Amsterdam, op de ontwikkeling van tools ter ondersteuning van privacywetgeving. Zijn BSc. heeft hij gehaald in Lifestyle Informatics (Artificial Intelligence) en zijn MSc. in Information Sciences, beide aan de VU Amsterdam. Tijdens zijn masterstage bij SoftwareZaken / ICT Institute heeft hij ondernemers geïnterviewd over de impact van de nieuwe privacywet AVG. Bij SoftwareZaken / ICT Institute is hij verantwoordelijk voor de doorontwikkeling van privacy tools en templates en voor advies aan opdrachtgevers.