Newsletter

Data Protection - Fall 2021

The different institutions of the EU 🇪🇺 clarify the scope of digital rights, in the GDPR as well as in new legislation 📑. Supervisors find effective ways enforcing 👮🏻‍♂️ breaches of legislation and the Dutch 🇳🇱 with discrimination on ethnicity and nationality by government.

Niels Westerlaken

Jan 3, 2022 • 21 min read

🇪🇺 European developments

The guidance describes the interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR. The guidance endorses that the mechanisms, and in particular the appropriate safeguards, are strict following the Schrems II judgment, as a result of which in practice it may take additional effort, and sometimes may prove impossible, to use legal mechanisms for the transfer.

The Commission 🇪🇺 intends to develop a specific set of SCCs regarding transfers to importers subject to Art. 3(2) GDPR according to the 54th plenary minutes of the EDPB.

Guidelines 05/2021 on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR | European Data Protection Board

European Data Protection Board

EDPB 🇪🇺 adopts guidance on restrictions on data subject rights

According to the guidance, the relevant domestic law should be sufficiently clear to give individuals an adequate indication of the circumstances in and conditions under which controllers are empowered to rely on the restriction.

Guidelines 10/2020 on restrictions under Article 23 GDPR | European Data Protection Board

European Data Protection Board

EDPB 🇪🇺 calls for ban on targeted ads in statement on the Digital Services Package and Data Strategy

The EDPB’s statement states concerns regarding the proposals, including (1) lack of protection of individuals’ fundamental rights and freedoms, (2) fragmented supervision, and (3) risks of inconsistencies.

Parliament 🇪🇺 and Council 🇪🇺 reach deal on Data Governance Act

The act aims to establish conditions for reliable exchange of data in accordance with European values and fundamental rights, build trust with regard to control over generated data, and improve the flow of industrial data between sectors and member states in order to lead to an open and sovereign single EU market for data.

Promoting data sharing: presidency reaches deal with Parliament on Data Governance Act

The Data Governance Act will set up robust mechanisms to facilitate the reuse of public-sector data, increase trust in data intermediation services and foster data altruism across the EU.

European Council

Commission 🇪🇺 publishes annual report on challenges of protecting fundamental rights in the digital age

Press corner

Highlights, press releases and speeches

European Commission - European Commission

EDPS 🇪🇺 describes differences between a DPIA and a Transfer Impact Assessment

Case law

CJEU 🇪🇺 on 'Inbox advertising’: display in the electronic inbox of advertising messages in a form similar to that of a real email constitutes use of electronic mail for the purposes of direct marketing

Those messages give rise to a likelihood of confusion that could lead a user who clicks on the link corresponding to the advertising message to be redirected, against his or her will, to an internet site displaying that advertisement

ECHR 🇪🇺 states obligation to de-index material is applicable also to administrators of newspaper or journalistic archives

In the case of Biancardi v. Italy, the ECHR concludes that the obligation to de-index material is applicable not only to Internet search engine providers but also to the administrators of newspaper or journalistic archives accessible through the Internet. The sensitive data was easily accessible online for eight months after a formal request to remove it by the persons concerned. No requirement exists to permanently remove the article from the Internet or to anonymise it.

[translated] The defendant is prohibited by way of interim injunction from integrating the "C[xxx]bot" service for the purpose of obtaining consent in such a way that personal or referable data of the applicant (including his IP address) are transmitted to servers operated by companies of the Akamai Technologies Inc. group, including the server "consent.c[xxx]bot.com".

VG Wiesbaden: 6 L 738/21.WI vom 01.12.2021 | 6. Kammer

Urteil des VG Wiesbaden vom 01.12.2021 im Volltext. Gegenstand: Einstweilige Untersagung der Nutzung des Consent-Dienstes “C[xxx]-Bot”

REWIS.IOrewis.io | REWIS

RB Amsterdam 🇳🇱 renders real-time bidding class action against Oracle and Salesforce inadmissible: 'like' without collecting contact details cannot establish a class

[translated] At this stage of the proceedings, the preliminary question is whether TPC is admissible in its claims under the rules of the WAMCA. One requirement is that a claim foundation must be able to demonstrate that it is sufficiently representative. However, TPC cannot demonstrate that its claims are sufficiently supported by interested parties. It has stated the following on its website:

"HOW MUCH IS YOUR PRIVACY WORTH TO YOU? We are suing two large tech companies to demand compensation for the large-scale invasion and sale of data of millions of Dutch citizens, without valid consent. (...) "

By clicking on the text 'support with 1 click' with the thumb, internet users could show their support. According to TPC, it obtained more than 75,000 'likes' this way. The District Court is of the opinion that with these likes it cannot be established that TPC stands up for a sufficiently large part of the group of injured parties affected.

Supervisory Authorities

ENISA should primarily assess with the [EU] processor the availibility of newsletter publishing solutions not involving the transfer of personal data to the US.
[…]
[P]rior to the transfer, ENISA needs to ensure that participants consent explicitly to the transfer of their data to the US-based sub-processor

Autoriteit Persoonsgegevens 🇳🇱 fined the Dutch Tax Administration €2.75m for processing (dual) nationality of childcare benefit applicants and discrimination

Autorità Garante della Concorrenza e del Mercato 🇮🇹 fined Google and Apple EUR 20m for using user data for commercial purposes

The Antitrust Authority has closed two investigations against Google Ireland Ltd. and Apple Distribution International Ltd., sanctioning both of them for 10 million euros, i.e. the maximum amount allowed under current legislation. The Antitrust Authority has ascertained two violations of the Consumer Code for each company, one for lack of information and another for aggressive practices linked to the acquisition and use of consumer data for commercial purposes.

Our conclusion is that Grindr has disclosed user data to third parties for behavioural advertisement without a legal basis

Autoriteit Persoonsgegevens 🇳🇱 fined the airline Transavia EUR 400k for poor personal data security.

Due to this poor security, a hacker was able to break into Transavia’s systems in 2019, in which he could have potentially had access to the data of 25 million passengers. It has been determined that the hacker actually downloaded the personal data of 83,000 people.

IAB EU Transparency & Consent Framework (“TCF”). The TCF is a GDPR consent solution built by IAB EU that has become a widely used approach to collecting consent to cookies under the GDPR. The draft ruling is expected to find that the TCF does not comply with the GDPR, in part because IAB EU acts as a controller, and the digital signals the TCF creates to capture individuals’ consent to cookies are personal data under the GDPR.

DPC 🇮🇪 fined Twitter International Company EUR 450k for a data breach

The Inquiry was commenced in January, 2019 following receipt of a breach notification from Twitter. The Breach, which occurred at TIC’s processor, Twitter Inc., related to a bug whereby if a Twitter user with a protected account, using Twitter for Android, changed their email address, their account would become unprotected.

ICO’s AI and data protection risk toolkit in Excel

Consultation on the ICO’s AI and data protection risk toolkit

The ICO is consulting on a beta version of its AI and data protection risk toolkit. This toolkit is designed to assist risk practitioners identify and mitigate risks to data protection that AI systems that process personal information create or exacerbate.

ICO

Literature

Syllabus - Privacy, Data and Surveillance Law

Highly recommended 2021-22 Syllabus by Dr Michael Veale, UCL Faculty of Laws, for courses on data protection law

LAWS0338 Privacy, Data and Surveillance Law

Dr Michael Veale, UCL Laws

Article - Political micro-targeting from a GDPR
perspective

It can be argued that significant changes are necessary with regards to the manner in which political actors and social media platforms engage with their data protection obligations in PMT. If these cannot be met and/or are not being complied with, the current way in which PMT is performed could likely be considered unlawful.

Article - Narrowing Data Protection's Enforcement Gap

Filippo Lancieri argues that deep information asymmetries between companies and consumers/regulators, and high levels of market power in many data markets—that enable companies to behave strategically to protect private interests and undermine legal compliance.

Narrowing Data Protection’s Enforcement Gap

The rise of data protection laws is one of the most profound legal changes of this century. Yet, despite their nominal force and widespread adoption, available

See all articles by Filippo Lancieri

Article - In/acceptable marketing and consumers' privacy expectations: four tests from EU data protection law

Gianclaudio Malgieri's findings:

The GDPR […] brings clarity through four legal tests: fairness test, lawfulness test, significant effect test, and the high-risk test. The performance of these tests can be beneficial to consumers and marketers in particular considering that meeting consumers’ expectation of privacy can enhance their trust. A solution for marketers to respect and leverage consumers’ privacy expectations is two-fold: enhancing critical transparency and avoiding the exploitation of individual vulnerabilities.

In/acceptable marketing and consumers’ privacy expectations: four tests from EU data protection law

Purpose – This research aims to discover the legal borderline between licit online marketing and illicit privacy-intrusive manipulative marketing, considering i

See all articles by Gianclaudio Malgieri

Yiwen Cui started a project which mainly aims to check cookie compliance of websites according to GDPR and consistency of showing cookie dialogs.

In this project, an automatic tool—Cookie Dialog Positioning Assistant (CDPA) was developed to locate cookie dialogs, interactive elements and interact with different kinds of elements to collect cookie related data.

Article - Against“Democratizing AI”

Johannes Himmelreich argues that a democratization of AI:

(1) rests on weak grounds because it does not answer to a demand of legitimization, (2) is redundant in that it overlaps with existing governance structures, (3) is resource intensive, which leads to injustices, (4) is morally myopic and thereby creates popular oversights and moral problems of its own, and finally, (5) is neither theoretically nor practically the right kind of response to the injustices that animate the call.

Article - Privacy Harms

Danielle Keats Citron and Daniel J. Solove discuss the requirement of harm that has significantly impeded the enforcement of privacy law.

In most tort and contract cases, plaintiffs must establish that they have suffered harm. Even when legislation does not require it, courts have taken it upon themselves to add a harm element.

Privacy Harms

The requirement of harm has significantly impeded the enforcement of privacy law. In most tort and contract cases, plaintiffs must establish that they have suff

See all articles by Danielle Keats Citron

Article - The fundamental rights of news users

S.J. Eskens describes how many online news media are experimenting with personalisation and its impact on fundamental rights, such as data protection.

News personalisation means that each news user receives a selection of articles specifically selected for them.
This research asks how EU fundamental rights can inform the regulation of the relationship between online news media that personalise the news and their users.

Article - The new rules for export control of cyber-surveillance items in the EU

Report by M. Koot, M. Rucz, O. van Daalen and J. van Hoboken on the recast of EU export controls regarding dual-use items & cyber surveillance tech.

Book - Privacy Is Hard and Seven Other Myths. Achieving Privacy through Careful Design

Law reviews: European network of legal experts in gender equality and non-discrimination

Mapping: Data protection in African countries

Africa Data Protection

Journal: Privacy Studies

Privacy Studies Journal (PSJ) is a fully open access, interdisciplinary, peer-reviewed journal published by the Danish National Research Foundation Centre for Privacy Studies, University of Copenhagen. It has an international editorial board with members representing a broad range of academic fields.

Technology

Tool - Data Interception Environment by Privacy International

The Data Interception Environment (DIE) is a tool that you can use to analyse how your data is being used by app developers and third parties. It allows you to see how apps are sending your data from your device back to the company or to third parties.

Disabling JavaScript Won’t Save You from Fingerprinting

A common misconception is that disabling JavaScript can prevent fingerprinting. Since advertisers and bad actors use it for ad targeting and tracking your online activity, it’s a natural (albeit incorrect) assumption that disabling JavaScript will protect you against fingerprinting. In this article, we will demonstrate that fingerprinting can occur even in the absence of JavaScript.

Media

FBI documents reveal messaging apps WhatsApp and iMessage are deeply vulnerable to law-enforcement searches due to iCloud-backups

The reasons why to carefully assess using WhatsApp as a possible data breach of personal data under the GDPR.

Xenophobic machines: Discrimination through unregulated use of algorithms in the Dutch childcare benefits scandal

🇳🇱 Nederlandse ontwikkelingen

AP: Zwarte lijst FSV van Belastingdienst in strijd met de wet

De Belastingdienst had nooit persoonsgegevens mogen verwerken in de Fraude Signalering Voorziening (FSV) – een zwarte lijst – op de manier waarop dit jarenlang gebeurde.

"De interne toezichthouder wist ook niet van dit systeem. Zo gek hebben we het niet vaak meegemaakt", zegt AP-voorzitter Aleid Wolfsen over de fraudelijsten van de Belastingdienst. #Nieuwsuur pic.twitter.com/ymw82KLfKe
— Nieuwsuur (@Nieuwsuur) October 29, 2021

AP kritisch over wijziging Wet register onderwijsdeelnemers door grootschalig delen van (bijzondere) persoonsgegevens van leerlingen

Het wetsvoorstel regelt onder meer dat verschillende private partijen grote hoeveelheden persoonsgegevens zullen ontvangen uit het register onderwijsdeelnemers.

Daar zitten bijzondere persoonsgegevens bij, namelijk gegevens over de gezondheid van sommige leerlingen en studenten die in het register staan.

Deze gegevens zijn verzameld voor een specifieke overheidstaak, niet om aan private partijen beschikbaar te stellen. Het is daarom belangrijk dat deze gegevens ook zo veel mogelijk bij de overheid blijven.

Ombudsman: AP gaat slecht om met klachten over klachtafhandelingen

"De Autoriteit Persoonsgegevens staat onder druk. Dat zien we ook in de klachten die wij krijgen van burgers", zegt Reinier van Zutphen. "Maar die capaciteitsproblemen mogen geen excuus zijn voor de manier waarop de Autoriteit nu omgaat met ontevreden burgers. Niet het belang van burgers, maar dat van de organisatie lijkt voorop te staan."

Impact Assessment Mensenrechten en Algoritmes

Met het Impact Assessment voor Mensenrechten bij de inzet van Algoritmes (IAMA) kan een afgewogen discussie gevoerd worden tussen de relevante partijen bij de afweging om wel of niet een algoritmische toepassing te gaan ontwikkelen.

WRR - Opgave AI. De nieuwe systeemtechnologie

Kunstmatige intelligentie (AI) kent allerlei vormen en toepassingen: van gezichtsherkenning tot vertaalapps, van medische diagnoses tot anticiperen op criminaliteit, en van fraudebestrijding tot het beïnvloeden van wat we kopen, lezen en stemmen. En dat is nog maar het begin. Als Nederland zich op deze fundamentele verandering niet goed voorbereidt, is er niet alleen het risico dat kansen worden gemist, maar ook dat de samenleving opgescheept wordt met een technologie die onze belangen niet dient.

CTIVD: Bij AIVD en MIVD zijn op een aantal onderdelen onrechtmatigheden geconstateerd

In de praktijk deden zich onrechtmatigheden voor bij het gebruik van overkoepelende toestemmingen en van een groepsafweging. Deze onderwerpen dient de AIVD spoedig – in lijn met de door de CTIVD geformuleerde randvoorwaarden – uit te werken in beleid en werkinstructies. Bij de MIVD was het proces niet op orde, omdat niet was voorzien in een systematiek van toestemmingsverlening op een voldoende niveau en vastlegging van de motivering van de verstrekkingen. Voor het merendeel van de verstrekkingen bestond geen toestemming en in geen geval was een motivering vastgelegd.

Overzicht rechtspraak bij immateriële schadevergoeding wegens schending AVG

Erik Luijendijk beschrijft de uitgangspunten van de Hoge Raad, de invulling van lagere rechtspraak en de prejudiciële vragen aan het HvJ EU.

https://www.kbsadvocaten.nl/wp-content/uploads/2021/10/overzicht-rechtspraak-schade-AVG.pdf

Jurisprudentie

Rechtbank Amsterdam: Geen materiële en immateriële schadevergoeding ex art. 82 AVG bij onrechtmatige verwerking persoonsgegevens

4.8 […] Een bedrag van EUR 500,00 wordt gevorderd voor het verlies van controle van persoonsgegevens. [verzoeker] heeft echter zijn stelling dat hij als gevolg van verlies van controle van zijn persoonsgegevens immateriële schade heeft geleden onvoldoende uiteengezet. Evenmin is gebleken dat de NIHS zijn persoonsgegevens aan derden heeft verstrekt zoals het geval was in de jurisprudentie waar [verzoeker] zich op beroept in verband met het toewijzen van schadevergoeding op grond van de AVG.

Daarnaast vordert [verzoeker] een bedrag van EUR 750,00, dat ziet op de stress van het voeren van een juridische procedure, de onzekerheid over het al dan niet in het gelijk worden gesteld en het zich miskend voelen. Dit is echter inherent aan het voeren van een juridische procedure ten einde een geschil te beslechten en kent als zodanig geen grondslag voor vergoeding op basis van artikel 82 AVG.

Raad van State: Verstrekking aan private partij is niet een verenigbare verdere verwerking

Het doorgeven van persoonsgegevens aan de Brancheorganisatie Akkerbouw is niet een met het aanvankelijke doeleinde verenigbare rechtmatige verwerking. De RvS doorloopt de toets uit artikel 6 lid 4 AVG en beoordeelt deze verwerking door de minister als niet rechtmatig.

De Brancheorganisatie Akkerbouw is een privaatrechtelijke vereniging en treedt op als belangenvertegenwoordiger voor de akkerbouwketens. Niet is gebleken dat aan de Brancheorganisatie Akkerbouw een (deel van een) taak van algemeen belang in het kader van de landbouw is toebedeeld. Voor zover dat wel het geval zou zijn, heeft de minister niet inzichtelijk gemaakt dat hij een bepaalde mate van verantwoordelijkheid draagt voor de manier waarop de Brancheorganisatie Akkerbouw haar werkzaamheden uitvoert en ook niet of en op welke wijze hij daarop toezicht houdt. Dat de minister van Economische Zaken zich op het standpunt heeft gesteld dat de uit hoofde van het Gezamenlijk programma uit te voeren onderzoeken van algemeen economisch belang zijn, maakt dat niet anders.

Gerechtshof 's-Hertogenbosch: Onvoldoende grond voor toepassing Gedragscode Persoonlijk Onderzoek bij vermoeden van verzekeringsfraude

6.8.2. Het hof is van oordeel dat Reaal met deze stappen niet heeft voldaan aan de eisen van proportionaliteit en subsidiariteit, zoals omschreven in de Gedragscode. Het lag naar het oordeel van het hof op de weg van Reaal om eerst, vóór een beslissing over een mogelijk persoonsgericht onderzoek, aanvullende inspanningen te verrichten om de vereiste gegevens te verkrijgen door medewerking van [appellant] zelf.

Rechtbank Midden-Nederland: Een alias is wel en interne communicatie is geen persoonsgegeven

De rechtbank over de reikwijdte van het begrip 'persoonsgegevens':

12. Anders dan de gegevens van de aanvrager van de verblijfstitel die in de minuut staan en de feitelijke basis kunnen vormen voor de juridische analyse, is het niet de bedoeling dat deze analyse zelf door de aanvrager wordt gecontroleerd op de juistheid ervan en zo kan worden gerectificeerd. Een dergelijke uitbreiding van het recht op inzage van de aanvrager van een verblijfstitel tot die juridische analyse dient naar het oordeel van de rechtbank niet meer het doel van de richtlijn bescherming persoonsgegevens (alsmede de AVG). Immers, dan zou het doel hem een recht van toegang tot bestuurlijke documenten verzekeren, waarop de richtlijn bescherming persoonsgegevens (en ook de AVG) niet ziet.

Centrale Raad van Beroep: Hoger beroep Ambtenarenrecht urinetest

Dat het resultaat van de urinetest met teveel mensen is gedeeld op een manier die in strijd is met de AVG is door het dagelijks bestuur bestreden en doet niet af aan het geconstateerde plichtsverzuim. Daarbij komt dat het niet aan de Raad is om de gestelde schending van de AVG te beoordelen, maar aan de Autoriteit Persoonsgegevens, de instantie waaraan appellant zijn klacht ook heeft voorgelegd.

Overheid

Hoe werkt het risicoclassificatiemodel van de Belastingdienst: de DPIA en werkbeschrijving

De volgende gegevens worden sinds een aantal jaar geleden niet meer als indicator gebruikt in het model maar de gegevens worden nog wel verwerkt als bron. Ze zijn onderdeel van de datapreparatie
3. Toeslagpartner heeft bijstand WWB uitkering
10 Nederlanderschap ja/nee
12 Wanbetaler zorg status

Zie ook de indicatoren gebruikt bij het risicoclassificatiemodel voor KOT door de jaren heen.

Juridisch toetsingskader van het etnisch profileren en mensenrechtelijk toetsingskader 'Discriminatie door risicoprofielen' van het College voor de Rechten van de Mens