Data Protection - April 2021

New 🇪🇺 AI legislation proposed and courts confirm data protection fines 🇪🇸🇩🇪🇳🇱. Supervisory Authorities act against 🇺🇸 tech companies LinkedIn, Facebook and Whatsapp.

Data Protection - April 2021

🇪🇺 European developments

EC 🇪🇺 publishes proposal for a Regulation laying down harmonised rules on artificial intelligence (Artificial Intelligence Act)

The draft regulation defines 44 terms in AI and covers placing AI on the market, putting it into service, using AI systems in the Union, prohibitions of certain AI systems, requirements for high-risk AI systems,  transparency rules for AI intended to interact with people and rules on market monitoring and surveillance. Suggested fines are of up to 6% of annual global turnover.

Proposal for a Regulation laying down harmonised rules on artificial intelligence (Artificial Intelligence Act) | Shaping Europe’s digital future

EDPB 🇪🇺 has evidently identified many aspects in UK data protection law to be essentially equivalent to the GDPR, but is also cautious

[P]ossible  future divergence  might  create  risks  for  the  maintenance  of  the  level  of protection   provided   to personal   data   transferred   from   the   EU.   Therefore,   the   European Commission is invited to closely monitor such evolutions from the entry into force of its adequacy decision and  take  necessary  actions  including  by  amending  and/or  suspending  the  decision  if necessary.
Opinion 14/2021 regarding the European Commission Draft Implementing Decision pursuant to Regulation (EU) 2016/679 on the adequate protection of personal data in the United Kingdom | European Data Protection Board

EDPB 🇪🇺 finalised guidance on targeting social media users

These guidelines focus on the roles and responsibilities of advertisers and of social media providers. In doing so, the guidelines address, among other things, the privacy risks for users of social media and the key requirements of privacy law, such as the legal basis for processing.

Case law

The Hague court 🇳🇱 reduces penalty payment for Dutch hospital from EUR 460k to 350k

The court holds that the efforts made by the hospital to improve its security practices should have been taken into account by the AP.

ECLI:NL:RBDHA:2021:3090, Rechtbank Den Haag, AWB - 20 _ 1516

Italian Council of State 🇮🇹 found that Facebook failed to provide its users with transparent information

The Council concluded Facebook failed to inform on the commercial exploitation of data subjects' personal data. At the same time, it also found that the opt-out approach used for registering users to the platform did not constitute an aggressive conduct.

CdS - 202102631 - GDPRhub

Belgian Constitutional Court 🇧🇪 annuls Data Retention Framework for Electronic Communications

Belgian Constitutional Court Annuls Data Retention Framework for Electronic Communications Data
On April 22, 2021, the Belgian Constitutional Court annulled the framework set forth by the Law of 29 May 2016 requiring telecommunications providers to retain electronic communications data in bulk.

Spanish National High Court 🇪🇸 confirmed a fine of EUR 25k for breaching the principle of accuracy

[T]wo customers had the same name, what caused a failure when verifying customer details, what caused Canary Islands Cars, a rental car company, to incorrectly use the information of customer A to create a car rental contract for customer B, who then committed a traffic offence. Subsequently, the details of customer A were incorrectly passed on to the Directorate General for Traffic (DGT).
AN - 578/2021 - GDPRhub

District Court of Amsterdam 🇳🇱 issued a default judgment ordering Uber to reinstate six drivers that were dismissed solely on the basis of automated processing

The judgment required Uber to pay a penalty of EUR 5,000 for every day it does not comply with the order, as well as EUR 100,474 in damages.

ECLI:NL:RBAMS:2021:1415, Rechtbank Amsterdam, C/13/696010 / HA ZA 21-81

Regional court Baden-Württemberg 🇩🇪 held that a data subject was not entitled to solely future damages

The mere anticipation of future data misuse could not be considered damage, under Article 82 GDPR. Furthermore, there should be a causal link between the violation of the GDPR and any damage suffered.

LAG Baden-Württemberg - 17 Sa 37/20 - GDPRhub

Supervisory Authorities

Comissão Nacional de Proteção de Dados 🇵🇹 orders suspension of U.S. data transfers

The Portuguese SA issued a resolution addressed to the National Statistics Institute to suspend within 12 hours any international transfer of personal data to the US or other 3rd countries without adequate level of protection. The transfer was based on SCCs with the US-based company, Cloudflare Inc.

Portuguese DPA Orders Suspension of U.S. Data Transfers by Agency That Relied on SCCs
On April 27, 2021, the Portuguese Data Protection Authority ordered the National Institute of Statistics to suspend, within 12 hours, any international transfers of personal data to the U.S. or other third countries that have not been recognized as providing an adequate level of data protection.

DPC 🇮🇪 launches inquiry into Facebook for breach of "scraped" dataset

Data Protection Commission
The Data Protection Commission (DPC) today launched an own-volition inquiry pursuant to section 110 of the Data Protection Act 2018 in relation to multiple international media reports, which highlighted that a collated dataset of Facebook user personal data had been made available on the internet.

The AP 🇳🇱 fines the municipality of Enschede EUR 600k for unlawfully using WiFi tracking in the city center

The tracking made it possible to follow shoppers and people who live or work in the city center.

Boete gemeente Enschede om wifitracking

Hamburg SA 🇩🇪 uses urgency provision to open probe into Facebook/WhatsApp data sharing after changes to the messaging app's privacy policy

Dringlichkeitsverfahren gegen Facebook im Zusammenhang mit den neuen WhatsApp-Nutzungsbedingungen eröffnet
Das offizielle Informations- und Serviceangebot des Hamburger Beauftragten für Datenschutz und Informationsfreiheit

Regulators 🇱🇺 🇨🇭 🇮🇹 announced investigations scraping and sale of personal data from LinkedIn

International: Regulators investigate alleged scraping and sale of personal data from LinkedIn
LinkedIn Corporation issued, on 8 April 2021, a statement on recent reports of the scraping and sale of personal data from the LinkedIn platform. In particular, the statement highlights that LinkedIn has investigated the alleged set of LinkedIn data that had been posted for sale and determined that …

Informacijski pooblaščenec 🇸🇮 stated that the director (CEO) or member of the management of the company shall not be a DPO

IP - 07121-1/2021/577 - GDPRhub

Datatilsynet 🇳🇴 fined energy company EUR 15,000 for live-streaming a camera feed to Youtube

The camera captured a public road, a parking space, various shops, and buildings such as the city hall without a sufficient legal basis from Article 6(1)(f) GDPR, relating to Article 5(1)(a) GDPR.

Datatilsynet - 20/01627 - GDPRhub


EDPB 🇪🇺 publishes Website Evidence Collector (WEC) for automating website evidence collection of storage and transfer of personal data

EDPS Inspection Software
wec_logo.svg The European Data Protection Supervisor (EDPS) has developed open source software tools for the automation of privacy and personal data protection inspections of websites.The EDPS releases its tool Website Evidence Collector under the European Union Public License (EUPL-1...
The tool Website Evidence Collector (WEC) automates the website evidence collection of storage and transfer of personal data. -...


Article: The Ola & Uber judgments: for the first time a court recognises a GDPR right to an explanation for algorithmic decision-making

In March 2021, the Amsterdam District Court decided in two cases regarding Uber (‘Uber employment’ and ‘Uber deactivation’ cases), and one case regarding Ola(see also the unofficial English translations of the judgments). Ola offers a service that’s comparable to Uber. Both companies offer an app that links (taxi) drivers to passengers.
In the Ola judgment, the Court requires the Ola company to explain the logic behind a fully automated decision in the sense of article 22 of the General Data Protection regulation (GDPR). This is the first time that a court in the Netherlands recognises such a right. To the best of our knowledge, it is also the first time that a Court anywhere in Europe recognises such a right.
The Ola & Uber judgments: for the first time a court recognises a GDPR right to an explanation for algorithmic decision-making
Raphaël Gellert, Marvin van Bekkum, and Frederik Zuiderveen Borgesius - Dr. Gellert is assistant professor of law, at the iHub, Radb...

Article: International Surveillance, Underwater Cables and EU-US Adequacy Negotiations

Squaring the Circle? International Surveillance, Underwater Cables and EU-US Adequacy Negotiations (Part 1)
Part 1: Countering the U.S. Arguments As the United States (US) and the European Union (EU) “intensify” negotiations to reach a new adequacy decision following the invalidation of Privacy Shield by…
Squaring the Circle? International Surveillance, Underwater Cables and EU-US Adequacy Negotiations (Part 2)
Part 2: On Double Standards and the Way Forward In Part 1 of this article, published yesterday here, I explained how the US government tries to exclude Executive Order 12333 and international surve…

Article: A New Order: The Digital Services Act and Consumer Protection

A New Order: The Digital Services Act and Consumer Protection | European Journal of Risk Regulation | Cambridge Core
A New Order: The Digital Services Act and Consumer Protection
As algorithms are increasingly enlisted to make critical determinations about human actors, the more frequently we see these algorithms appear in sensational headlines crying foul on discrimination. There is broad consensus among computer scientists working on this issue that such discrimination can only be avoided by intentionally collecting and consciously using sensitive information about demographic features like sex, gender, race, religion etc. Companies implementing such algorithms might, however, be wary of allowing algorithms access to such data as they fear legal repercussions, as the promoted standard has been to omit protected attributes, otherwise dubbed “fairness through unawareness”. This paper asks whether such wariness is justified in light of EU data protection and anti-discrimination laws.
Discrimination for the Sake of Fairness: Fairness by Design and Its Legal Framework by Holly Hoch, Corinna Hertweck, Michele Loi, Aurelia Tamò :: SSRN
As algorithms are increasingly enlisted to make critical determinations about human actors, the more frequently we see these algorithms appear in sensational he

Article: Adtech and Real-Time Bidding under European Data Protection Law

This paper analyses the extent to which practices of RTB are compatible with the requirements regarding (i) a legal basis for processing, transparency, and security in European data protection law.

Framework: Data Ethics Decision Aid (DEDA): a dialogical framework for ethical inquiry of AI and data projects in the Netherlands

Data Ethics Decision Aid (DEDA): a dialogical framework for ethical inquiry of AI and data projects in the Netherlands
This contribution discusses the development of the Data Ethics Decision Aid (DEDA), a framework for reviewing government data projects that considers their social impact, the embedded values and the government’s responsibilities in times of data-driven public management. Drawing from distinct qualit…

Article: Confronting Data Inequality

Confronting Data Inequality by Angelina Fisher, Thomas Streinz :: SSRN
Data conveys significant social, economic, and political power. Unequal control over data — a pervasive form of digital inequality — is a problem for economic d

Article: I am Definitely Manipulated, Even When I am Aware of it. It s Ridiculous! -- Dark Patterns from the End-User Perspective

I am Definitely Manipulated, Even When I am Aware of it. It s Ridiculous! -- Dark Patterns from the End-User Perspective
Online services pervasively employ manipulative designs (i.e., dark patterns)to influence users to purchase goods and subscriptions, spend more timeon-site, or mindlessly accept the harvesting of their personal data. To protectusers from the lure of such designs, we asked: are users aware of the …

Academic 'Privacy Studies Journal' has been launched

Privacy Studies Journal Inaugural Conference
Inaugural Conference of the Privacy Studies Journal, 26-28 April 2021


How Facebook let fake engagement distort global politics: a whistleblower's account

The Facebook loophole | Technology | The Guardian

Palantir gets a foothold in Europe

Seeing stones: pandemic reveals Palantir’s troubling reach in Europe
Covid has given Peter Thiel’s secretive US tech company new opportunities to operate in Europe in ways some campaigners find worrying
Powering pandemic response in the Netherlands
Throughout the pandemic, Palantir has provided technology to help the Netherlands monitor and respond to Covid-19. Watch a demo of the software.

‘This was not a breach’: How Big Tech gaslights the world on data leaks

‘This was not a breach’: How Big Tech gaslights the world on data leaks
More than a billion people’s data has appeared on hacker forums in recent days, but no-one’s owning up to doing anything wrong.

Big Tech’s guide to talking about AI ethics

50-ish words you can use to show that you care without incriminating yourself.
Big Tech’s guide to talking about AI ethics
50-ish words you can use to show that you care without incriminating yourself.

Six new European fundamental rights

There are huge gaps in the European constitutions: environmental destruction, digitalisation, the power of algorithms, systematic lying in politics, unchecked globalisation and threats to the rule of law – none of these are adequately addressed. We want to change that. With six new fundamental rights for Europe.
Jeder Mensch – Für neue Grundrechte in Europa

🇳🇱 Nederlandse ontwikkelingen

'Ongezien onrecht' in het vreemdelingenrecht

Dat onrecht komt voort uit vergelijkbare factoren als die speelden in de toeslagenaffaire zoals rigide wetgeving zonder hardheidsclausules, geïnstitutionaliseerd wantrouwen ten aanzien van een kwetsbare groep, een bestuur dat te weinig oog heeft voor de menselijke maat en constant de politieke boodschap hoort dat het beleid restrictief moet zijn en tot slot een rechterlijke macht die het bestuur de hand boven het hoofd houdt.
Ongezien onrecht in het vreemdelingenrecht - OpenRecht

AP publiceert OR-privacyboekje over rol van de ondernemingsraadbij privacy op de werkvloer

Personeelsdossiers. Registratie van ziekteverzuim. Camera’s op de werkplek. Screening van personeel. Werkgevers verwerken veel persoonsgegevens van hun werknemers. En sommige van dieverwerkingen kunnen heel ingrijpend zijn. Het is daarom uiterst belangrijk dat werkgevers rekening houden met de privacy van hun werknemers. En dat hierover wordt gesproken binnen de organisatie. Daarbij spelen ondernemingsraden een cruciale rol.De ondernemingsraad (OR) is nauw betrokken bij afspraken over de verwerking van persoonsgegevensvan personeelen bij personeelsvolgsystemen.
AP publiceert OR-privacyboekje voor bescherming privacy op de werkvloer


Rechtbank Amsterdam: AP is niet bevoegd voor voorafgaande raadpleging (art. 55 AVG) naar Spaans recht van

Autoriteit Persoonsgegevens stelt zich op het standpunt dat niet zij, maar de Spaanse toezichthouder bevoegd is om het verzoek om een voorafgaande raadpleging in behandeling te nemen.

6.3 Eiseres wordt niet gevolgd in haar betoog dat uit de UAVG – bij afwezigheid van een Nederlandse wet in formele zin – voor eiseres een verbod voortvloeit om de op grond van de Spaanse belastingwetgeving gevraagde nationale identificatienummers te verzamelen. De AVG is een Europese verordening, die rechtstreekse doorwerking heeft in de nationale rechtsorde van alle lidstaten van de Europese Unie (EU). De AVG dient daarom autonoom te worden uitgelegd, met het oog op uniforme toepassing daarvan in de gehele EU. Het toetsingskader is de AVG en niet de UAVG zoals eiseres stelt. De vrees van eiseres dat een voorafgaande raadpleging door de Spaanse toezichthouder een uitkomst kan hebben die strijdt met de UAVG, is reeds daarom ongegrond.
ECLI:NL:RBAMS:2021:926, Rechtbank Amsterdam, 20/1908

Rechtbank Amsterdam: Afweging van kredietrisico en BKR-registratie gevolgen

De rechtbank wijst het verzoek tot verwijdering BKR-registratie van verzoeker toe, omdat Funding Circle er onvoldoende in is geslaagd om een zwaarwegend belang aan te tonen voor het in stand houden van de registratie.

ECLI:NL:RBAMS:2021:1721, Rechtbank Amsterdam, C/13/690100 / HA RK 20-267

Rechtbank Limburg: Misbruik van recht door geen ander doel dan procedures entameren om dwangsommen te incasseren

Eiser heeft beroepen ingesteld tegen het niet tijdig nemen van beslissingen op zijn AVG-inzageverzoeken bij de gemeenten Roerdalen, Valkenburg aan de Geul, Vaals en Brunssum.

De rechtbank is van oordeel dat sprake is van misbruik van recht, omdat haar is gebleken dat eiser zijn inzageverzoeken niet heeft ingediend met het doel te weten te komen of persoonsgegevens van hem worden verwerkt en in geval dat zo is inzage in de persoonsgegevens die van hem worden verwerkt, maar kennelijk met geen ander doel dan procedures entameren om daarmee dwangsommen te kunnen incasseren. De rechtbank heeft deze beroepen en de van rechtswege ontstane beroepen tegen de beslissingen tot buitenbehandelingstelling dan wel afwijzing van de inzageverzoeken niet-ontvankelijk verklaard.
ECLI:NL:RBLIM:2021:2946, Rechtbank Limburg, AWB 20/2151, AWB 20/2152, AWB 20/2153, AWB 20/3315 en AWB 21/890 t/m AWB 897

Appellant is werkzaam geweest als gezondheidszorgpsycholoog en wenst dat zijn gegevens weggehaald worden van de websites van Stichting Slachtoffers Iatrogene Nalatigheid-Nederland (Stichting SIN), onder meer van de zwartelijstartsen. Anders dan de rechtbank wijst het hof de vordering toe.

ECLI:NL:GHARL:2021:3206, Gerechtshof Arnhem-Leeuwarden, 200.255.317/01

Rechtbank Den Haag: Verweerder moet een kopie van een identiteitsbewijs betrekken bij de identifcatie van eiser. Verweerder heeft terecht getwijfeld aan het kopie van het identiteitsbewijs.

ECLI:NL:RBDHA:2021:2725, Rechtbank Den Haag, SGR 20/1906


NCTV volgde zonder grondslag burgers op social media

NCTV volgt heimelijk burgers op sociale media
Anti-terrorismecoördinator: De Nationaal Coördinator Terrorismebestrijding en Veiligheid verzamelde én verspreidde jarenlang privacygevoelige informatie.

Advies van de AP over het concept voor een wetsvoorstel Tijdelijke wet testbewijzen covid

Het wetsvoorstel beoogt beperkt te zijn tot verplicht gebruik van testbewijzen in een aantal specifieke sectoren. Over het voeren van onverplicht toegangsbeleid op grond van toestemming in andere sectoren wordt dan ook niets geregeld. In de praktijk zal aan het voeren van onverplicht toelatingsbeleid wel veel behoefte bestaan die feitelijk ook zal worden gefaciliteerd door terbeschikkingstelling van applicaties.
Toestemming zal in deze context echter vaak problematisch zijn, zodat het risico op het faciliteren van onrechtmatige verwerkingen reëel is. Dat geldt des te sterker voor de beoogde toestemming van medewerkers. De AP adviseert dit in de toelichting en bij terbeschikkingstelling van de applicaties zorgvuldig en nadrukkelijk uiteen te zetten. Daarnaast geeft de AP in overweging bij onverplicht toelatingsbeleid gebruik van de veilige en datarninimale infrastructuur die beschikbaar is ook te verplichten. Onverplicht toelatingsbeleid in essentiële sectoren moet tenslotte zo goed mogelijk worden uitgesloten. Daarnaast maakt de AP onder andere opmerkingen over gelijkstelling met het vaccinatiebewijs, de identificerende gegevens en de bewaartermijn.
Informatie over Bijlage 977771 | > Officiële bekendmakingen

Naleving & toezicht

Gegevensbescherming tegenover Informatiebeveiliging

Gegevensbescherming gaat vooral over het beschermen van gegevens over mensen. Onze rechten en vrijheden zijn vastgelegd in verdragen en in de Grondwet. Vooral het Europese Verdrag voor de Rechten van de Mens is een belangrijk uitgangspunt. Als een organisatie jouw gegevens verwerkt, moeten ze rekening houden met de gevolgen die dat voor jou kan hebben. Informatiebeveiliging gaat fundamenteel over iets heel anders, namelijk het beschermen van de gegevens die een organisatie gebruikt, om de continuïteit of de concurrentiepositie van die organisatie te beschermen.
Informatiebeveiliging versus gegevensbescherming: de verschillen - Blogpost
De termen lijken op elkaar. Veel mensen denken daarom al snel dat gegevensbescherming gaat over het goed versleutelen van gegevens. Maar hoewel dat belangrijk is, gaat gegevensbescherming echt ergens anders over. Heel kort gesteld gaat gegevensbescherming over de privacy van mensen, terwijl informat…

Problemen bij het afknippen van hashes om te anonimiseren

Techblogpost: Praktische problemen bij het afknippen van hashes