Data Protection - December 2020
In December 2020 various European 🇪🇺 Supervisory Authorities have published fines and have published some guidance, among more case law 🇳🇱 on data subject requests
🇪🇺 European developments
The EDPB 🇪🇺 adopted a strategy for 2021-2023 around four pillars
The strategy sets out the Board’s strategic objectives, grouped around four pillars, as well as key actions to help achieve these objectives. The pillars are:
- advancing harmonisation and facilitating compliance;
- supporting effective enforcement and efficient cooperation between national spervisory authorities;
- a fundamental rights approach to new technologies; and,
- the global dimension.
The Digital Services Act (DSA) and the Digital Markets Act (DMA) proposals significantly tighten the EC's 🇪🇺 online grip
The European Commission (EC) proposes a regulation on a single market for digital services which will also amend the E-Commerce Directive. The DSA has an layered structure, aiming to create a transparent and safe user experience in a number of online environments.
In addition to the DSA, the EC proposes the introduction of the DMA, which is a regulation focusing on contestable and fair markets in the digital sector for “gatekeeper platforms”.
Brexit-deal 🇬🇧 will postpone adequacy necessity at least until May 2021 and ultimately until July 2021
The U.K. will stay governed by the EU's data transfers framework for a maximum of six months while the EU decides whether there is equivalence — or "adequacy" to use the term du jour — between Brussels' and London's data protection regimes.
The CNIL 🇫🇷 imposed EUR 100m and EUR 35m fines on Google and Amazon for failing to comply with cookie laws
In regulatory action on 10 december 2020 the CNIL imposed fines on Google and Amazon. Both for having placed advertising cookies on users’ computers, from the pages google.fr and amazon.fr, without obtaining prior consent and without providing adequate information. The fines are based on the French implemenation of the ePrivacy directive. The CNIL did not have to cooperate internationaly outlined by the GDPR.
The DPC 🇮🇪 issues EUR 450k fine against Twitter for data breach
The fine of 15 december 2020 follows EDPB Decision under the GDPR Consistency Mechanism.
The AEPD 🇪🇸 imposed a EUR 10k fine to a law firm for failing to put recipients of an email in BCC
The respondent, a law firm, sent an email to multiple recipients without putting them in bcc. The complainant was one of the recipients. The Spanish SA (AEPD) held that the action violated Articles 5(1)(f) and 32 GDPR. Translation and interpretation by GDPRhub.eu.
The AEPD 🇪🇸 imposed a EUR 4k fine to a plastic surgery clinic for not having a privacy policy and a cookie policy on their website
The fine was reduced to € 2400 due to prompt payment and acknowledgment of responsibility. Translation and interpretation by GDPRhub.eu.
Datainspektionen 🇸🇪 imposed a fine of EUR 7m on Google for failing to fulfill its obligation under the right to be forgotten
The Swedish SA (Datainspektionen) finalised an audit of Google’s handling of individuals’ right to have search result listings for searches that includes their name in 2017. In its decision, the DPA concluded that a number of search result listings should be removed and subsequently ordered Google to do so, based on Article 17 GDPR.
During the SA’s follow-up audit in 2018, publised in March 2020, it was critical to the fact that Google did not properly remove two of the search result listings that the SA had ordered them to remove back in 2017. Translation and interpretation by GDPRhub.eu.
The GBA 🇧🇪 aims to suspend websites infringing the GDPR
The Belgian SA (GBA) signed a cooperation agreement (PDF in Dutch) with DNS Belgium, the organization managing the '.be' country code top-level domain name. The purpose of the cooperation agreement is to allow DNS Belgium to suspend '.be' websites that are linked to GDPR infringements.
Datatilsynet 🇳🇴 has fined the NIF EUR 236k for a data breach of 3.2m people
On 2 december 2020 the Norwegian SA (Datatilsynet) imposed a fine on the Norwegian Olympic and Paralympic Committee and Confederation of Sports (NIF) of €236,165 for a data breach in which the personal data of 3.2 million people was exposed online.
The data breach followed NIF's move from an on-premise solution to Azure and was related to testing of a service (Elasticsearch) that was meant to improve member administration. NIF decided to conduct the testing on real data and, further, that it was necessary to use a significant amount of data. They also felt it was essential to conduct the testing quickly. NIF has admitted that they didn't conduct sufficient risk assessments, nor did they assess whether it was possible to use anonymized data or a narrower data selection.
The personal data involved in the breach were names, gender, birth date, address, phone number, email address and club affiliation. Of the 3,2 million people affected by the breach, almost half a million were children aged 3-17 years. The personal data was exposed online in a total of 87 days. As soon as NIF was notified of the breach, they immediately corrected the mistake.
Translation and interpretation by GDPRhub.eu.
Datainspektionen 🇸🇪 imposed a EUR 34k fine for not applying proper authorisation protocols for medical data
The Swedish SA (Datainspektionen) fined a university hospital approximately €34 000 for giving its staff wider access to medical records than they needed to do their jobs. Translation and interpretation by GDPRhub.eu.
Persónuvernd 🇮🇸 concluded that not conducting a legitimate interest balacing test infriges the GDPR
The Icelandic SA (Persónuvernd) stated the controller did not conduct a legitimate interest assessment to establish the need to preserve the information. In addition, the company did not specifically substantiate how its interests in the processing in question outweighed the interests of the complainant in the context of direct marketing communications. In view of this, the SA considered that the processing in question was not in accordance with the GDPR. Translation and interpretation by GDPRhub.eu.
The Garante 🇮🇹 started proceedings against TikTok over its handling and protection of children's data
Following an investigation opened in March, the Italian SA (Garante) alleges TikTok's practices are "non-compliant with the new regulatory framework for the protection of personal data." The Garante claims TikTok's safeguards don't address situations involving minors while issues with data retention and consent may exist.
The Dutch SA (AP) announced in May 2020 that it has started in investigation into TikTok on the same subject. The AP then expected prelimary results by the end of the year...
The ICO 🇬🇧 has publised a privacy notice template (DOCX) based on the information obligations in the GDPR (Article 13&14)
It’s best to have [the information obligations] written down in a document called a privacy notice. We have developed a template you can use to help build your own privacy notice, including recommended wording, tips and links to relevant guidance. The template is especially suitable for small businesses, sole traders and community groups.
'Poor data protection could put lives at risk', say Somalia aid workers
‘Extremely dangerous’ if personal information needed to process mobile payments is lost or falls into wrong hands, say staff
Report: Data subjects, digital surveillance, AI and the future of work (PDF)
The report published by the European Parliament’s Panel for the Future of Science and Technology deals with surveillance studies. It outlines some of the technologies applied in workplaces and looks at the employment relationship with digitalisation. The third chapter looks at data protection and privacy regulatory frameworks and other instruments as they have developed over time. "Some of the tensions in legal concepts driving the debates in privacy and data protection for workers, and paradoxical circumstances within which they are seated, are then dealt with in chapter four, where the possibility for deriving inference from data can lead to discrimination and reputational damage; where the concept of worker ‘consent’ to data collection; and the implications for data collection from wellness and well-being initiatives in the workplace are increasingly under the microscope."
Paper: Analogies and disanalogies betweenmachine-driven and human-drivenlegal judgement
This article explores a range of analogies and disanalogies betweentext-driven normativity (understood as patterns of acting) and its code and data-driven counterparts.Ultimately, the conclusion is that the analogies are weaker than the disanalogies. But the hope is that,in the process of drawing them, we learn something more about the comparison between text andcode-/data-driven normativities and the (im?)possibility of code-/data-driven law.
Paper: Introduction - Digital Data Collection and Information Privacy Law
🇳🇱 Nederlandse ontwikkelingen
Jurisprudentie
RvS: Als verantwoordelijke niet twijfelt aan identiteit van betrokkene bij een wisverzoek, bestaat geen reden om aanvullende informatie ter identificatie te vragen
Het college [van B&W van Uithoorn] vraagt standaard aan personen die een verzoek tot het wissen van persoonsgegevens indienen om langs te komen op het gemeentehuis om zich te identificeren. Voor [appellant], die aan de andere kant van het land woont, betekent dit dat hij heel ver zou moeten reizen. Er waren in dit geval ook andere mogelijkheden om de identiteit vast te stellen, die een lagere drempel opwerpen. Het overleggen van een kopie van een paspoort wordt bijvoorbeeld in beginsel als een redelijke maatregel aangemerkt om de identiteit te controleren. […] [appellant] had een kopie van een gewaarmerkte kopie van zijn paspoort overgelegd. Het college kon aan de hand hiervan zijn identiteit controleren. Zoals het college ter zitting heeft toegelicht, twijfelde het niet aan de identiteit van [appellant]. (r.o 5.1.)
De eis om betrokkene langs te laten komen was daarom geen redelijke maatregel. In overweging 64 AVG staat dat de verwerkingsverantwoordelijke alle redelijke maatregelen dient te nemen om de identiteit te controleren van een betrokkene die om inzage verzoekt. Als reden bestaat om te twijfelen aan de identiteit, mag om aanvullende informatie gevraagd worden uit artikel 12 zesde lid AVG.
RvS: Inzageverzoek blijft geldig als verzoek alleen dient om schadevergoeding te krijgen
Het college van B&W van Heemskerk heeft het inzageverzoek ontrecht buiten behandeling gesteld, volgens de Afdeling Bestuursrechtspraak van de Raad van State op 9 december 2020.
Bij twijfel over de vaststelling van de identiteit mag een gewaarmerkte of geautoriseerde kopie worden gevraagd. Dat brengt namelijk niet zodanig hoge kosten mee dat aan het recht om vrijelijk een inzageverzoek te doen afbreuk wordt gedaan. In een vrijwel gelijke zaak bij de RvS door het college van B&W van Zundert komt de RvS tot gelijke conclusies.
Indien het college onrechtmatig zijn persoonsgegevens heeft verwerkt, zal hij om een schadevergoeding verzoeken. Op grond van de AVG bestaat daartoe de mogelijkheid. Dat dit het achterliggende doel is van dit verzoek, en ook van de andere inzageverzoeken die hij heeft ingediend, maakt niet dat het doel van het verzoek niet meer in overeenstemming is met het doel van de Wbp. Ook in hetgeen voor het overige is aangevoerd, ziet de Afdeling geen grond om tot een andere conclusie te komen. Het aangevoerde komt namelijk vrijwel overeen met wat in de zaak die heeft geleid tot de uitspraak van 21 augustus 2019 was aangevoerd. (r.0. 4.2)
Mondkapjesplicht is een relatief geringe inbreuk op persoonlijke levenssfeer
De kortgedingrechter in Amsterdam concludeert dat plaatselijk ingrijpen noodzakelijk en geoorloofd is. De beperkte mondkapjesplicht voldoet bovendien aan de eisen van subsidiariteit en proportionaliteit, onder andere omdat het om een relatief geringe inbreuk op het grondrecht van eerbiediging van de persoonlijke levenssfeer gaat.
A.E. Schilder en J.G. Brouwer lopen in hun noot (AB 2020/432) de geschiedenis af van inbreuken op de persoonlijke levenssfeer (uit artikel 10 Grondwet) bij de introductie van de helmplicht en gordelplicht:
In de totstandkomingsgeschiedenis van art. 10 Gw zijn geen aanknopingspunten te vinden voor de stelling dat — neutraal geformuleerd — een kledingvoorschrift dat mogelijk de verspreiding van het virus tegengaat dan wel bescherming biedt tegen besmetting als een aantasting van de persoonlijke levenssfeer werd gezien. Toch waren er in de tijd van het opstellen van de memorie van toelichting al hele volksstammen die beschermingsmaatregelen als de invoering van de helmplicht voor motorrijders (1972) en bromfietsers (1975) en de gordelplicht voor autorijders (1975) als een onnodige inmenging in hun privéleven kwalificeerden. De relatie tussen deze discussie en het in te voeren artikel 10 Grondwet werd toen echter nog niet gelegd. Uit de grondwetsgeschiedenis valt te destilleren dat de regering het lastig vond om grenzen van het begrip persoonlijke levenssfeer te definiëren, de inhoud daarvan zou in de loop van de jaren een andere inhoud kunnen verkrijgen als gevolg van maatschappelijke ontwikkelingen.
Hof Amsterdam: geheimhouding namen en gegevens ambtenaren is gerechtvaardigd
Het Hof is van oordeel dat onder deze ruime definitie ook (een verzameling) SCAC-formulieren (valt)vallen. Omdat daarin namen van natuurlijke personen voorkomen (de namen van de CLO-ambtenaren) is de AVG op de onderhavige gegevensuitwisseling van toepassing zodat de inspecteur een reden had om de persoonsgegevens te anonimiseren. (r.o. 3.7)
Overheid
Kamerbrief met reactie op mededelingen Europese Commissie over de AVG
Minister Dekker reageert op 2 mededelingen van de Europese Commissie aan de Raad en het Europees Parlement over gegevensbescherming en de AVG.
Anonimiseren is ook een verwerking volgens minister Dekker
De beantwoording van de vragen over de kabinetsreactie op drie onderzoeken naar algoritmen stelt onder andere het volgende:
Indien een organisatie een persoonsgegeven wil anonimiseren zal het dus een verwerking in de zin van de AVG uit moeten voeren om tot anonimisering te komen.
In het eerste kwartaal van 2021 zal, mede aan de hand van de ervaringen met de richtlijnen [data-analyse door overheden], worden bezien in hoeverre het nodig en wenselijk is dat onderdelen van deze richtlijnen worden omgezet in aanvullende wettelijke waarborgen
de AVG spreekt nergens expliciet over algoritmen, maar deze verordening is uiteraard zeer relevant, omdat voor veel algoritmen die effect op burgers sorteren persoonsgegevens worden verwerkt.
FG concludeert dat de Passagiersinformatie-eenheid Nederland (Pi-NL) de documentatieplicht onvoldoende uitvoert
De Minister van JenV stelt dat de geconstateerde knelpunten in de rapportage en het verslag bekend zijn bij mijn ministerie en de Pi-NL, "hierop zijn en worden passende maatregelen genomen."
De FG adviseerde eind 2019 om voor analyse taken een zogenoemde data science DPIA op te stellen voor het verwerken van grote hoeveelheden persoonsgegevensdie reisgedrag inzichtelijk maken en op grond waarvan passagiers geprofileerd worden. […]
De documentatieplicht is onvoldoende.
De Auditdienst Rijk (ADR) onderzocht het verwerkingsregister EZK en LNV
een wisselende kwaliteit van de vulling van het register word[t] door ons herkend. Met de uitgevoerde deelwaarneming wordt onderbouwd dat er tussen de organisatie-eenheden van EZK en LNV sprake is van inconsistenties in de inhoud van de registraties in het verwerkingsregister. Ook binnen de organisatie-eenheden zelf komen verschillen voor in de vulling van de velden.
KPMG onderzocht 'Betalen naar Gebruik' in de mobiliteitsector (ofwel 'rekeningrijden')
In paragraaf 2.6 geeft KPMG privacy-aspecten ter overweging samen met Privacy by Design-standaarden in Bijlage 1C op pagina 122.
Dat betekent dat een systeem van BNG in redelijke verhouding moet staan tot het beoogde doelen dat dit doel niet meteen minder 'zwaar' middel kan worden bereikt. Op dit moment zijn nog geen een duidige beleidsdoelstellingen geformuleerd. Het is daarbij evident dat wanneer het stelsel ruimere beleidsdoelstellingen beoogt (bijvoorbeeld klimaat, reductie van congestie, etcetera) de proportionaliteit van het systeem beter wordt geborgd dan wanneer het stelsel zich zou richten tot enkel het verwerven van overheidsinkomsten.
De AP adviseert kritisch over het wetsvoorstel voor het verdrag tussen het Koninkrijk België, het Groothertogdom Luxemburg en het Koninkrijk der Nederlanden voor politiesamenwerking
In het licht van deze legaliteitseis is de voorwaarde voor verstrekking van persoonsgegevens door bevoegdediensten in artikel 4 van het Verdrag ‘dat het nationale recht zich hier niet uitdrukkelijk tegen verzet’ opvallend ruim, te meer nu het om gevoelige gegevens in een strafrechtelijke context gaat.
Zorg
Verpleegkundige doorzoekt onrechtmatig dossier van patient
Vaststaat dat beklaagde het medisch dossier van klager heeft ingezien terwijl zij geen behandelrelatie met hem had en klager haar daartoe ook geen toestemming had verleend. Zij had dus geen recht op inzage in het patiëntendossier van klager. Klacht gedeeltelijk gegrond verklaard. Omdat beklaagde ter zitting inzicht heeft getoond in het laakbare van haar handelen door haar werkgever disciplinair is gestraft, wordt geen maatregel opgelegd.
Ethische analyse van de COVID-19 notificatie-app ter aanvulling op bron en contactonderzoek GGD
Aan de hand van tien kernwaarden komt een expert panel tot de volgende aanbevelingen:
- Er dient een adequate wettelijke regelingvoor de appte zijn,die zorgt voor adequate doelomschrijving en doelbeperking, in het bijzonderwat betreft gebruik door de overheid, maar ook door private partijen.
- Het gebruik van de dient geheel vrijwilligte zijn, maar de overheid zou wel een moreel appèlmogen doen op burgers om de app te gebruikenin het kader van de collectieve verantwoordelijkheid voor het tegengaan van de pandemie.
- Onderzocht moet worden of de app voor iedereen toegankelijk is en of de risico’s en lasten van de app niet onevenredig bij bepaalde bevolkingsgroepen terecht komen.
- De overheid dient de sociale impact van de app zorgvuldig te monitorenaan de hand van de in deze beoordeling aangereikte principes.
- Om te voorkomen dat de app eencultuurverandering inluidtwaarin mensen minder huiverig worden voor surveillance, dient de app te worden ingezet en gepositioneerd als een middel voor digitale solidariteit.
- De app zou pas algemeen beschikbaar moeten komen als de testen en DPIA positief zijn, en niet alleen de app zelf, maar ook de omringende infrastructuurgereed is, waaronder informatievoorziening, klachtmogelijkhedenenondersteunende en randvoorwaardelijke wet- en regelgevin
Media & politiek
Het Ministerie van Volksgezondheid heeft het makkelijker gemaakt voor derden om toegang te krijgen tot je huisartsgegevens. Heb jij hier toestemming voor gegeven? Check het via de instructie van Bits of Freedom:
Naleving & toezicht
Kennedy Van der Laan heeft een datalek-tool ontwikkeld: