Data Protection - February 2021

In February 2021 more calls for 🇪🇺 regulation and enforcement have been made. In Dutch 🇳🇱 news, more clearance on legal grounds from case law and from (academic) articles.

Data Protection - February 2021

🇪🇺 European developments

The CoE 🇪🇺 calls for strict regulation on facial recognition to prevent human rights violations

The Council of Europe (CoE) has called for strict rules to avoid the significant risks to privacy and data protection posed by the increasing use of facial recognition technologies. Furthermore, certain applications of facial recognition should be banned altogether to avoid discrimination.

In a new set of guidelines addressed to governments, legislators and businesses, the 47-state human rights organisation proposes that the use of facial recognition for the sole purpose of determining a person’s skin colour, religious or other belief, sex, racial or ethnic origin, age, health or social status should be prohibited.
Facial recognition: strict regulation is needed to prevent human rights violations
The Council of Europe has called for strict rules to avoid the significant risks to privacy and data protection posed by the increasing use of...

The‌ EDPS 🇪🇺wants to complement competition, consumer protection and data protection law through the online platform economy (in the DSA & DMA)

The European Data Protection Supervisor (EDPS) has published Opinions on the European Commission’s proposals for a Digital Services Act and a Digital Markets Act. Both Opinions aim to assist the EU legislators to shape a digital future rooted in EU values, including the protection of individuals’ fundamental rights, such as the right to data protection.

The EDPS wants the EU to "consider a phase-out leading to a prohibition of targeted advertising on the basis of pervasive tracking".

EDPS Opinions on the Digital Services Act and the Digital Markets Act
The EDPS published Opinions today on the European Commission’s proposals for a Digital Services Act and a Digital Markets Act. Both Opinions aim to assist the EU legislators to shape a digital future rooted in EU values, including the protection of individuals’ fundamental rights, such as the ...

Article19 calls on focus for end-users' rights in DSA & DMA

ARTICLE 19 and a coalition of digital rights defenders sent an open letter to Parliament 🇪🇺, regarding the Digital Services Acts (DSA) and the Digital Markets Act (DMA) to focus on the rights of end-users and power concentration.

EU: Joint letter on protecting end users’ rights in the Digital Markets Act - ARTICLE 19
Dear Members of the European Parliament, We, a collective of civil society organisations and digital rights defenders in the EU, welcome the European Commission’s focus on improving the way digital markets work. We also share its concerns about gatekeeper platforms’ behaviour in many of these mark…

CoEU 🇪🇺 agrees on ePrivacy rules for confidentiality of electronic communications

Member states in the Council of the EU (CoEU) have agreed on a negotiating mandate for revised rules on the protection of privacy and confidentiality in the use of electronic communications services. These updated ‘ePrivacy’ rules will define cases in which service providers are allowed to process electronic communications data or have access to data stored on end-users’ devices.

Confidentiality of electronic communications: Council agrees its position on ePrivacy rules
Member states agreed on a negotiating mandate for revised rules on the protection of privacy and confidentiality in the use of electronic communications services (ePrivacy).

The trialogue for ePrivacy will be hard as the positions of the Council 🇪🇺 and Parliament 🇪🇺 could hardly be further apart

Privacy Company's Sjoera Nas lists some difficult discussion topics, such as further processing of traffic and location data, of data processed by end-user devices, tracking walls, privacy-by-default and bulk data retention.

ePrivacy: the never ending story - Blogpost
Mid February 2021 Brussels took a step forward in the process to modernise the existing rules on cookies, spam and the confidentiality of digital communications. After more than 2.5 years of haggling, the representatives of the EU Member States have reached a compromise on the new ePrivacy Regulatio…

Adequacy Decision: European Commission 🇪🇺 launches process on personal data flows to UK 🇬🇧

the Commission launched the process towards the adoption of two adequacy decisions for transfers of personal data to the United Kingdom, one under the General Data Protection Regulation and the other for the Law Enforcement Directive. The publication of the draft decisions is the beginning of a process towards their adoption. This involves obtaining an opinion from the European Data Protection Board (EDPB) and the green light from a committee composed of representatives of the EU Member States. Once this procedure will have been completed, the Commission could proceed to adopt the two adequacy decisions.
Press corner
Highlights, press releases and speeches

Two Dutch Ministeries 🇳🇱 published their DPIA on 'G Suite' focusing on the role of Google as independent data controller and on transparency

The DPIA, which Privacy Company conducted between December 2019 and June 2020, showed that there were 10 high and 3 low privacy risks resulting from the use of G Suite Enterprise. Google has taken or announced a number of measures over the past six months to mitigate those risks. However, even if Google has properly implemented all announced measures, there are still 8 high privacy risks (in addition to the 3 unchanged low privacy risks).
Privacy assessment Google Workspace (G Suite) Enterprise : Dutch government consults Dutch Data Protection Authority on high privacy risks - Blogpost
Commissioned by the Ministry of Justice and Security, Privacy Company investigated the privacy risks of G Suite Enterprise, with work and communication apps such as Gmail, Chat, Meet, Forms, Docs and Slides. Meanwhile, Google has renamed these services into Google Workspace.

The Supreme Court of Austria (OGH) 🇦🇹 confirmed that data subject's right of access also covers his or her own health data, such as data in the patient's file, diagnoses, test results, doctors' findings after treatment and information about treatments or interventions

The Court pointed out that the right of access under Article 15 GDPR can be restricted under Article 23 GDPR when the interests pursued by the responsible parties (hospitals) and the persons limited in their rights (patients) under the proportionality test have been balanced. The Court indicated that it could not make such a definitive assessment on the basis of the current results of the proceedings. It considered that it was necessary to repeal the judgments, so that the proportionality test could be conducted by the court of first instance. Translation and interpretation by

RIS - 6Ob138/20t - Entscheidungstext - Justiz (OGH, OLG, LG, BG, OPMS, AUSL)

The Austrian Federal Administrative Court (BVwG) 🇦🇹 held that publicly available data is not per se exempt from personal data protection

The assessment of whether protection should be granted in a given case to personal data accessible to the public which are subsequently published elsewhere must take into account the purpose of the further use of the personal data. It must also be considered whether the further use of the data is necessary to achieve the other purpose. Thus, the Court found that the publication of a post on Facebook about prison conditions was unrelated to the purpose for which the court guard's data was published on a website containing officials' details and functions. Translation and interpretation by

RIS - W274 2224363-1 - Entscheidungstext - Bundesverwaltungsgericht (BVwG)

The Federal Administrative Court 🇦🇹 found that the necessity criterion must be interpreted narrowly.

The decisive factor for necessity in Article 6 GDPR is whether the data processing is objectively necessary for the purpose pursued. The Court also held that even if such transfer was necessary, this would not necessarily lead to an authorisation to pass on such data. Translation and interpretation by

RIS - W274 2233705-1 - Entscheidungstext - Bundesverwaltungsgericht (BVwG)

Rostock Regional Court 🇩🇪 decided against dark patterns

In September 2020, the Court decided non-binding that cookie banners have to be designed in such a way that, on the first layer, both declining and consenting are presented as equivalent options beside each other. Also:

When websites use third-party plug-ins, such as Google Analytics and the Facebook pixel, this usually results in joint controllership under Art. 26 GDPR, which is why information on “the essence of the arrangement” between the joint controllers, as required under Art. 26(2) Sentence 2 GDPR, must be made available to users.
The end of dark patterns in “cookie walls”: German court bans deceptive designs | JD Supra
Website operators are not permitted to use cookies and similar tracking technologies for analysis and marketing purposes without the informed consent...

The DPC 🇮🇪 fined the University College Dublin EUR 70k for failing to implement appropriate security measures

The Univeristy also stored data longer than necessary and failed to notify the Irish SA of a personal data breach without undue delay. The DPC noted that this personal data breach was notified 13 days after the University became aware of it.

The Garante 🇮🇹 fined the municipality of Rome EUR 500k for illicitly processing personal data of users and employees,

The Italian SA stated that the processing through the "TuPassi" appointment booking system violated Articles 5, 13, 14, 28 and 32 GDPR. See for more information on this sensitive system

The AEPD 🇪🇸 fined a data protection services consultancy EUR 5k for having a web form to collect personal data without providing adequate information

In addition to using the logo of the Spanish SA, the AEPD found that the website had a form to fill in with personal data to contact the company. This form did not contain adequate information on how the data would be processed, for how long, neither by which controller (following Article 13 GDPR). Translation and interpretation by

The Spanish SA issued a warning, according to translation by

According to the Belgian SA the personal data collected was then transferred to this company's network of partners which processed the data for direct marketing purposes and sold it to other third parties in breach of the GDPR. Translation and interpretation by

The APD/GBA 🇧🇪 held that sharing a phone number posed a high risk to the data subject  

In this case the the Belgian DPA received a complaint that a customer's phone number has been SIM swapped for fraud. The APD/GBA held that this must be classified as a critical data breach, even if it concerns just one person and for a very short time.

The APD/GBA 🇧🇪 found a "maze" to enact GDPR rights and therefore advised on best practices

The SA set out best practices for transparency in a layered privacy policy and how to facilitate the right to object to direct marketing in the telecom sector. The advice follows from a complaint stating that finding how to exercise their right to opt-out of receiving direct marketing on the website of the telecom provider (Telenet) was very difficult. Sending a request for further information also led to no solution, according to

The German Federal Network Agency 🇩🇪 (Bundesnetzagentur) fined a call center EUR 260k for telephone advertising without permission

The Agency therefore concluded the company violated Article 6 GDPR. The company just checked the consents in an insufficient way or in some cases also not at all. They also kept making that calls although the consumers complained about the calls. Translation and interpretation by

Bundesnetzagentur - Pressemitteilungen - Bußgeld gegen Call-Center wegen unerlaubter Telefonwerbung

Paper: The Myth of the Privacy Paradox

The “privacy paradox” is the phenomenon where people say that they value privacy highly, yet in their behavior relinquish their personal data for very little in exchange or fail to use measures to protect their privacy. Professor Solove argues that the privacy paradox is a myth created by faulty logic.

The behavior involved in privacy paradox studies involves people making decisions about risk in very specific contexts. In contrast, people’s attitudes about their privacy concerns or how much they value privacy are much more general in nature. It is a leap in logic to generalize from people’s risk decisions involving specific personal data in specific contexts to reach broader conclusions about how people value privacy.

[...] privacy law should focus on regulating the architecture that structures the way information is used, maintained, and transferred.
The Myth of the Privacy Paradox by Daniel J. Solove :: SSRN
In this Article, Professor Daniel Solove deconstructs and critiques the privacy paradox and the arguments made about it. The “privacy paradox” is the phenomenon

Keynote: Schrems II: Article 49 GDPR derogations may not be so narrow and restrictive after all?

Judge Von Danwitz mentioned that Article 49 derogations are in particular an option for intra-group transfers and that they should be more attentively explored. “(…) In my opinion, the opportunities granted by Article 49 have not been fully explored yet. I believe they are not so narrow that they restrict any kind of transfer, especially when we’re talking about transfers within one corporation or group of companies.”

Schrems II: Article 49 GDPR derogations may not be so narrow and restrictive after all? - Future of Privacy Forum
by Rob van Eijk and Gabriela Zanfir-Fortuna On January 28, 2021, the German Federal Ministry of the Interior organized a conference celebrating the 40th Data Protection Day, the date on which the Council of Europe’s data protection convention, known as “Convention 108”, was opened for signature. One…

Webinar: Europe's Digital Services Act by Stanford, with Marietje Schaake and Joris van Hoboken

Panel: DPA's supervision and compliance of ICT, cloud and communication's providers by CPDP

Overview: Data protection expectations of 2021 by NGO Access Now

The future of data protection: what we expect in 2021 - Access Now
On the occasion of Data Protection Day 2021, Access Now explores what the future of data protection could look like this year.

Paper: User Tracking in the Post-cookie Era: How Websites Bypass GDPR Consent to Track Users

In this paper, we explore whether websites use more persistent and sophisticated forms of tracking in order to track users who said they do not want cookies. Such forms of tracking include first-party ID leaking, ID synchronization, and browser fingerprinting. Our results suggest that websites do use such modern forms of tracking even before users had the opportunity to register their choice with respect to cookies.

EDPB 🇪🇺 clarifies the consistent application of the GDPR in health research

The Guidance spends some time examining issues associated with re-purposing data for scientific research and whether there is any exemption available from transparency (i.e. privacy notice) requirements for controllers who collect data from data subjects, and then want to further process it for research purposes. The EDPB confirms the clear statutory position that there is no exemption from the Article 13 GDPR requirement for transparency for such a controller.

Europe: Interim EDPB guidance on the application of GDPR to health research
In response to a set of questions from the European Commission, the European Data Protection Board (“EDPB”) has published some high level guidance on the application of the GDPR to health research (“Guidance”). This article summarises the key takeaway points from that guidance. For obvious re

Analysis: Large-scale Analysis of DNS-based Tracking Evasion, might include broad data leaks

Lukasz Olejnik analyses a technique called CNAME cloaking on the DNS level and discovers lare-scale privacy and security consquences.

Large-scale Analysis of DNS-based Tracking Evasion - broad data leaks included?
User tracking technologies are ubiquitous on the web. In recent times webbrowsers try to fight abuses. This led to an arms race where new tracking andanti-tracking measures are being developed. The use of one of such evasiontechniques, the CNAME cloaking technique is recently quickly gaining popu…

🇳🇱 Nederlandse ontwikkelingen

AP beboet Amsterdamse ziekenhuis OLVG EUR 440k

Het OLVG nam te weinig maatregelen om toegang door onbevoegde medewerkers tot medische dossiers te voorkomen uit artikel 32 AVG. Het ziekenhuis had twee-factor authenticatie moeten instellen en de toegang tot medische gegevens moeten loggen en monitoren. Tijdens het onderzoek van de AP heeft het OLVG verbeteringen doorgevoerd. Het ziekenhuis controleert nu structureel de logging en heeft sindsdien tweefactor-authenticatie in het ziekenhuis geregeld.

Ziekenhuis OLVG beboet om onvoldoende beveiliging medische dossiers

AP hoopt op zelfstandige schadevergoeding voor betrokkenen via de rechter

Aleid Wolfsen maakt in een blogpost helaas niet duidelijk hoe deze immateriële schadevergoeding (een "kras op de ziel") zich verhoudt tot het Nederlandse aansprakelijkheidsrecht.

Schendingen van dit specifieke grondrecht zijn daardoor vaak schendingen in het kwadraat. Dus als het dan mis gaat, heb je als slachtoffer zelf meer aan persoonlijke compensatie, aan rechtsherstel, dan aan een boete die in de schatkist verdwijnt. Ook al blijven ook die boetes onverminderd belangrijk.
Privacyblog Aleid Wolfsen: Smartengeld


Rechtbank: Concurrenten kunnen naleving AVG niet afdwingen

Deze eerste business-to-businesszaak over de AVG twee vragen op. Heeft deze zaak juridisch kans van slagen? In Nederland (nog) niet. En vinden we het als samenleving wenselijk als bedrijven elkaar de maat nemen bij de rechter op basis van de AVG? Volgens sommigen is dat zeker wenselijk voor een level-playing-field en het beschermen van persoonsgegevens. Zie bijvoorbeeld Axel Arnbak's column in het FD:

Privacywet AVG moet ook gelden voor bedrijven onderling
Eerste Nederlandse datarechtszaak tussen bedrijven laat zien dat verruiming van de privacywetgeving noodzakelijk is.

De eerste Nederlandse AVG-zaak tussen bedrijven speelde tussen twee smartwatchmakers, en een concurrent. De twee bedrijven zagen een evidente schending van de AVG en daarmee concurrentievervalsing, omdat de ontwikkelkosten en daarmee de prijs van het product mede afhangen van het moeten naleven van de AVG. De rechterbank Zeeland-West-Brabant ging hier (in een spoedprocedure) niet in mee:

ECLI:NL:RBZWB:2021:446, Rechtbank Zeeland-West-Brabant, C/02/379795 / KG ZA 20-652

Rechtbank Den Haag: Ambassadeur dient ook Twitterbericht te corrigeren

Twee klokkenluiders bij de Office of the High Commissioner of Human Rights (OHCHR) hebben een verzoek tot inzage en correctie gedaan bij de minister van Buitenlandse Zaken. De persoonsgegevens van de klokkenluiders werden onder andere verwerkt in de beantwoording van Kamervragen. De verzoeken van de klokkenluiders werd gedeeltelijk gehonoreerd. Ze ontvingen een overzicht gekregen van de persoonsgegevens die verwerkt worden en de beantwoording van de Kamervragen gecorrigeerd. De rechtbank concludeerde dat ook een Twitterbericht van de ambassadeur voor de VN persoonsgegevens waren van de verzoekers en dient te worden gecorrigeerd.

5.5.2 … De rechtbank is – anders dan verweerder – van oordeel dat het Twitterbericht persoonsgegevens van eisers bevatte, omdat het was te herleiden tot eisers. Het bericht zag immers op de beantwoording van de Kamervragen waarin eisers werden genoemd. De stelling van verweerder dat het Twitterbericht slechts een mening was van de ambassadeur doet daaraan niet af. Ook doet daaraan niet af dat het Twitterbericht in de tijdlijn op het Twitteraccount van de ambassadeur niet meer is terug te vinden, omdat het een reactie was op een bovenliggend bericht en dat bovenliggende bericht is verwijderd. Dit geldt te meer nu verweerder ter zitting heeft erkend dat het Twitterbericht door te zoeken op de exacte tekst via Google nog wel is terug te vinden. …
5.7.2. De rechtbank is van oordeel dat de AVG geen grondslag biedt voor inwilliging van een verzoek tot het aanbieden van openbare excuses. De gecorrigeerde beantwoording van de Kamervragen zijn bij brief van 15 januari 2019 aangeboden aan de Voorzitter van de Tweede kamer. Daarmee zijn de correcties op dezelfde wijze bekendgemaakt als de oorspronkelijke beantwoording van de Kamervragen. Daarmee heeft verweerder voldaan aan artikel 19 van de AVG, behoudens, zoals hiervoor in 5.5.2. is overwogen, ten aanzien van het Twitterbericht van de ambassadeur bij de VN.
5.13 … Het bestreden besluit dient te worden vernietigd voor zover het betreft de weigering om ten aanzien van het genoemde Twitterbericht van de ambassadeur bij de VN toepassing te geven aan artikel 19 van de AVG.
De rechtbank ziet aanleiding om zelf in de zaak te voorzien door het primaire besluit voor zover daarin is nagelaten ten aanzien van het genoemde Twitterbericht toepassing te geven aan artikel 19 van de AVG te herroepen en de ambassadeur bij de VN op te dragen een nieuw Twitterbericht te verzenden waarin met verwijzing naar het eerdere Twitterbericht en opneming van de tekst daarvan is vermeld dat de persoonsgegevens van eisers in de beantwoording van de Kamervragen op 4 september 2018 zijn gecorrigeerd bij Nader antwoord van verweerder op 18 januari 2019 (Tweede Kamer, Vergaderjaar 2018-2019, Aanhangsel, nummers 1234 en 1235).
ECLI:NL:RBDHA:2021:931, Rechtbank Den Haag, AWB - 19 _ 3393

Rechtbank Gelderland: De indrukken, suggesties en gedachten van een medewerker van de Reclassering over betrokkene zijn geen persoonsgegevens van de medewerker

Verzoeker is eerder veroordeeld tot een onvoorwaardelijke gevangenisstraf van achttien jaar en is voorwaardelijk in vrijheid gesteld. Aan zijn vrijlating zijn voorwaarden verbonden, waaronder een meldplicht bij de Reclassering. Deze voorwaarden zijn op 30 april 2020 beëindigd. Verzoeker doet een beroep op artikel 12 en 15 eerste lid van de AVG. Verzoeker wil weten of de Reclassering zijn persoonsgegevens verwerkt en zo ja, op welke wijze verzoeker aanspraak kan maken op inzage in de interne communicatie tussen de medewerkers van de Reclassering en de communicatie tussen de Reclassering en het OM en de DJI.

De rechtbank oordeelt dat een meldplichtverslag, persoonsgegevens zijn, waardoor verzoeker dus in beginsel recht op inzage heeft. Vervolgens wordt gekeken of de Reclassering een beroep toekomt op de wettelijke uitzondering op het recht van inzage, op grond van artikel 23 AVG en artikel 41 UAVG. De Reclassering mag de documenten anonimiseren om ervoor te zorgen dat de uitlatingen over verzoeker niet herleidbaar zijn tot de persoon die de uitlating heeft gedaan.

4.17 … Zonder een nadere toelichting - die ontbreekt - valt niet in te zien waarom het verstrekken van inzage in de interne notities en correspondentie zodanige afbreuk doet aan de positie en de taakuitoefening van de Reclassering en dat een beperking van het inzagerecht een noodzakelijke en evenredige maatregel is. De rechtbank acht in dit kader van belang dat het toezichttraject van [naam verzoeker] eind april 2020 is geëindigd. De terecht door de Reclassering uitgesproken onwenselijke situatie dat door de inzage in de interne notities en correspondentie (en daarmee inzage in de strategische afwegingen en methodische werkwijze) de onder toezicht gestelde kan gaan inspelen op deze informatie en/of haar gedrag daarop kan gaan aanpassen is in onderhavig geval daarom ook niet aan de orde. De conclusie is dat de Reclassering geen beroep toekomt op de uitzonderingsgronden van artikel 41 UAVG lid 1 onder d en e.
4.18 … De Reclassering mag de documenten die zij aan [naam verzoeker] ter inzage overlegt, anonimiseren, in die zin, dat de Reclassering (ter bescherming van de privacy-rechten van derden) ervoor zorgt dat uitlatingen over [naam verzoeker] niet herleidbaar zijn tot de persoon die de uitlating heeft gedaan. Wie de uitlating heeft gedaan is immers niet relevant voor de beoordeling van de rechtmatigheid van de gegevensverwerking (waarvoor de AVG bedoeld is), terwijl het wel een aantasting kan opleveren van de rechten van de persoon die de uitlating heeft gedaan. Voor zover de Reclassering het standpunt inneemt dat de indrukken, suggesties en gedachten van een medewerker van de Reclassering over [naam verzoeker] moeten worden aangemerkt als persoonsgegevens van die betreffende medewerker kan de rechtbank haar daarin niet volgen. Dat zijn immers geen gegevens op basis waarvan die medewerker geïdentificeerd kan worden, dan wel feitelijke of waarderende gegevens over eigenschappen, opvattingen of gedragingen van die medewerker.
ECLI:NL:RBGEL:2020:7103, Rechtbank Gelderland, 365592

Kantonrechter: Een gekocht klantenbestand waarin de klanten geen toestemming hebben gegeven levert niet nietigheid of grond voor ontbinding op

2.12 Het gegeven dat aan klanten geen toestemming is gevraagd, levert echter geen gebrek in de nakoming van de overeenkomst op. In de eerste plaats is dat zo omdat dit voor [A] en [B] geen onderwerp van gesprek is geweest voorafgaan aan het sluiten van de koopovereenkomst. [A] heeft in ieder geval volgens de koopovereenkomst geen verplichting op zich genomen om toestemming van zijn klanten te krijgen om de gegevens over te dragen aan [B] , laat staan dat hij daarvoor een garantie heeft verstrekt. Ook [B] heeft niet aangedrongen op een wijze van overdracht die in lijn is met de regels uit de AVG. Partijen hebben dus niet afgesproken dat [A] toestemming zou vragen, en het nalaten dat te doen levert dus geen gebrek op. In zoverre komt de kantonrechter een beroep door [B] op mogelijke strijd met de AVG bovendien ook oneigenlijk voor.
In de tweede plaats is het zo dat dat het handelen in strijd met de AVG bestraft kan worden met een bestuurlijke boete, die de Autoriteit Persoonsgegevens aan betrokkenen kan opleggen. Dat betekent nog niet dat een koopovereenkomst waarbij gegevens van derden worden ‘verhandeld’ met nietigheid bedreigd wordt. Een grond voor ontbinding levert het ook niet op.
ECLI:NL:RBOVE:2021:649, Rechtbank Overijssel, 8403670 \ CV EXPL 20-1229


Eindrapport: 'Klem tussen balie en beleid'

De Tijdelijke commissie Uitvoeringsorganisaties doet in haar onderzoeksrapport zeven aanbevelingen voor een betere balans tussen departementen, Kamer en uitvoeringsorganisaties. Die balans leidt uiteindelijk tot een betere overheidsdienstverlening waarin de burger weer centraal staat en waarin oog is voor de menselijke maat. Onder de ‘menselijke maat’ verstaat de commissie het recht doen aan de belangen van burgers bij de totstandkoming en uitvoering van beleid, wet- en regelgeving.

  1. Praat met de burger en de uitvoeringsorganisaties.
  2. Schenk meer aandacht aan de uitvoerbaarheid van beleid en aan doenvermogen (burgers moeten de wet niet alleen kennen, maar ook ‘kunnen’: ze moeten ernaar kunnen handelen).
  3. Signaleer en adresseer problemen in de uitvoering zo snel mogelijk.
  4. Creëer meer vertrouwen binnen de driehoek Tweede Kamer, departementen en uitvoeringsorganisaties.
  5. Verbeter de kennis- en informatiepositie van de Tweede Kamer.
  6. Geef de uitvoering meer waardering en de professionals meer zeggenschap.
  7. Evalueer de impact van deze aanbevelingen een jaar na behandeling in de Tweede Kamer.
Eindrapport Tijdelijke commissie Uitvoeringsorganisaties

Het Ministerie van Financiën publiceerde in een Wob-verzoek over FSV/zwarte lijsten ook twee DPIA's

Zie daarvoor de GEB 052 (deel 2) en de GEB 241 (deel 20/21).

Besluit Wob-verzoek FSV/zwarte lijsten (Financiën)
Besluit van het ministerie van Financiën op een verzoek om documenten over FSV, zwarte lijsten en andere applicaties die kunnen leiden tot ‘selectie-bias’. Het gaat om een verzoek op basis van de Wet openbaarheid van bestuur (Wob).

Kamervragen over naleving van de AVG bij (uitvoerings)instanties

Kees Verhoeven van D66 heeft zeven ministers om opheldering gevraagd of een groot aantal overheidsinstanties zich wel aan de AVG: "Kunt u toelichten of (uitvoerings)instantie Dienst Uitvoering Onderwijs (DUO) persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de Algemene verordening gegevensbescherming (AVG)? Zo nee, op welke onderdelen voldoet de organisatie nog niet?", aan onder andere het Centraal Bureau Rijvaardigheidsbewijzen, Sociale Verzekeringsbank, Rijksdienst Wegverkeer, Dienst Justitiële Inrichtingen, Reclassering Nederland, Fiscale Opsporingsdienst, Kadaster en De Nederlandsche Bank.

Detail 2021D07475 | Tweede Kamer der Staten-Generaal

Antwoorden op Kamervragen over de rol van het Inlichtingenbureau bij de opsporing van bijstandsfraude

De rol van verwerker van het Inlichtingenbureau wordt veranderd per Besluit SUWI in gezamenlijk verwerkingsverantwoordelijke:

In het huidige stelsel fungeert het IB [Inlichtingenbureau], vanuit zijn eigen dienstenaanbod, als intermediair tussen gemeenten en bronpartijen. Deze bronpartijen zijn wettelijk bepaald en ten aanzien daarvan biedt het IB standaard-informatieproducten aan die individuele gemeenten kunnen afnemen. De Autoriteit Persoonsgegevens (AP) constateerde dat de gegevensverwerkingen die gepaard gaan met deze intermediaire rol de reikwijdte overstijgen van de verantwoordelijkheden van individuele gemeenten. Daarom is in samenspraak met de AP een wijziging van het Besluit SUWI opgesteld om de situatie te verduidelijken en meer in lijn te brengen met de rol van het IB als stelselvoorziening. Hierbij is de aanwijzing van het IB als gezamenlijk verwerkingsverantwoordelijke, samen met de per geval betrokken gemeente, passender.
Kamervragen (Aanhangsel) 2020-2021, nr. 1557 | > Officiële bekendmakingen

Kabinetsreactie maakt nog eens duidelijk dat risicoprofilering op nationaliteit verboden is

Discriminatie is verboden. Dat geldt zowel voor directe discriminatie als voor indirecte discriminatie. Ook bij risicoprofilering en het gebruik van algoritmen mag niet worden gediscrimineerd. De Autoriteit Persoonsgegevens bevestigt dat ook naar aanleiding van de kinderopvangtoeslagaffaire. Om discriminatie te voorkomen is het niet toegestaan om nationaliteit, etniciteit en geboorteplaats te gebruiken als indicator in risicomodellen voor fraudebestrijding, tenzij er een objectieve rechtvaardiging voor die gegevensverwerking is en het gemaakt onderscheid proportioneel is.

Een overzicht van (alle) wetgeving rond cyber security:

Informatie over Bijlage 968364 | > Officiële bekendmakingen

AP adviseert over Wet kwaliteit incassodienstverlenin om de proportionaliteit en subsidiariteit van de voorgestelde maatregelen in relatie tot drie verschillende probleempunten nader te onderbouwden

Nader rapport voorstel van wet Wet kwaliteit incassodienstverlenin
Minister Dekker stuurt het nader rapport met het advies van de Raad van State over het wetsvoorstel Wet kwaliteit incassodienstverlening naar de Koning en de Tweede Kamer.

De RvS en AP adviseren over de 'Implementatiewet richtlijnen verkoop goederen en levering digitale inhoud'

Nadruk ligt op de mogelijkheid om bij het sluiten van een overeenkomst als tegenprestatie toestemming voor de verwerking van persoonsgegevens te geven in plaats van een betaling in geld. In het belang van consumentenbescherming ontstaat zo frictie met de AVG. De formeel onverkorte toepasselijkheid van de AVG volstaat niet om de risico’s voor de bescherming van persoonsgegevens te ondervangen.

De RvS stip grote risico’s aan: Oneigenlijke druk op mensen die minder te besteden hebben om inbreuk op grondrechten toe te staan "is denkbaar". Door ongelijke machtspositie en te ruime mogelijkheden van toestemming dreigt daarnaast "ernstige uitholling van de bescherming van persoonsgegevens." "De AP adviseert in de wetgeving vormen van toestemming aan te wijzen die als tegenprestatie vermoed worden onaanvaardbaarte zijn en leiden tot vernietigbaarheid van de overeenkomst."

De Afdeling acht de door de AP gesignaleerde problematiek reëel, in het bijzonder ten aanzien van overeenkomsten die zien op de levering van digitale inhoud en diensten, waar het verstrekken van persoonsgegevens als tegenprestatie vaker plaatsvindt. In de toelichting wordt echter opgemerkt dat deze problematiek in een breder kader moet worden geregeld voor alle overeenkomsten, op grond waarvan een product of dienst wordt geleverd in ruil voor het verstrekken van persoonsgegevens. Het is, aldus de toelichting, niet wenselijk dit in dit voorstel te regelen, omdat dat verder gaat dan de strikte implementatie van de richtlijn.11 De Afdeling heeft er begrip voor dat in dit voorstel geen regels worden opgenomen ten aanzien van de door de AP gesignaleerde problematiek. Dat neemt niet weg dat zij het aangewezen acht in de toelichting wel reeds in te gaan op de wijze waarop de regering deze problematiek beoogt te adresseren. Dat deze problematiek bij voorkeur op Europees niveau wordt geregeld, ontslaat de regering er niet van initiatieven op dat vlak te ontplooien. Zo is het uit oogpunt van bescherming van de consument voorstelbaar dat, in afwachting van Europese regels, op nationaal niveau al tot regulering wordt overgegaan. De AP doet daartoe enkele concrete suggesties. In de toelichting wordt onvoldoende ingegaan op de vraag waarom deze, mede gelet op het belang van de door de AP gesignaleerde problematiek, niet thans reeds kunnen worden gevolgd.
Nader rapport implementatie RL verkoop goederen levering digitale inhoud
Minister Dekker stuurt het nader rapport met het advies van de Raad van State over het wetsvoorstel Implementatiewet richtlijnen verkoop goederen en levering digitale inhoud naar de Koning en de Tweede Kamer.


Ethische en juridische afwegingen COVID-19-vaccinatie

Op grond van de wet kunnen private partijen in principe vragen om een vaccinatiebewijs bij de toegang tot diensten of voorzieningen. Maar een dergelijke maatregel mag niet leiden tot verboden discriminatie of ongelijke behandeling en moet de privacyregels respecteren.

Ethische en juridische afwegingen COVID-19-vaccinatie
Het demissionaire kabinet is op dit moment niet van plan drang toe te passen bij vaccinatie. Het is echter mogelijk dat instellingen en bedrijven wel vaccinatiebewijzen willen gaan inzetten om de toegang tot bedrijven of instellingen te reguleren. Economische belangen kunnen daarbij een rol spelen m…

Cyberdreigingsbeeld voor de Zorg beschrijft dreigingen voor de Nederlandse zorgsector

Z-Cert stipt kort de dreigingen DDOS, financiele fraude, ransomware, datalekken en cyberspionage aan in het rapport.

Eerste Cyberdreigingsbeeld voor de zorg gepubliceerd - Z-CERT


De curator als verwerkingsverantwoordelijke heeft volop mogelijkheden voor een grondslag

Zwenne en Van Vlijmen stellen dat zelfs de invulling van de criteria van artikel 6, vierde lid, AVG, in voorkomende gevallen ruimte laat voor de verkoop van een klantenbestand in het kader van de afwikkeling van een faillissement.

Drie vragen over de toepassing van de AVG in faillissementen - OpenRecht

Gerechtshof Arnhem-Leeuwaarden: Registratie en instandhouding BKR-coderingen is niet meer nodig voor wettelijke plicht van de Volksbank, maar voor een gerechtvaardigd belang van andere banken

De wettelijke plicht uit de Wft heeft uitsluitend de doestelling tot bescherming consumenten tegen overkreditering. De instandhouding van BKR-coderingen zijn daarom op dit moment niet meer noodzakelijk om te voldoen aan wettelijke verplichtingen Wft.

4.14 De Volksbank heeft meermaals aangevoerd dat zij de BKR coderingen niet wenst te verwijderen, omdat andere financiële instellingen op de hoogte moeten zijn van het betalingsgedrag van [verzoeker] en de Volksbank geen verwijt wenst te krijgen van andere kredietaanbieders als zij ook problemen zouden krijgen na het verstrekken van krediet aan [verzoeker] . Deze belangen volgen niet uit de doelstelling van de Wft. De Wft heeft uitsluitend als doelstelling om consumenten te beschermen tegen overkreditering en niet om kredietaanbieders te beschermen tegen consumenten. Dit brengt het hof tot het oordeel dat de Volksbank de huidige instandhouding van de BKR coderingen niet (meer) baseert op artikel 6 lid 1 onder c AVG, maar op artikel 6 lid 1 onder f AVG. De Volksbank heeft in haar verweerschriften aangegeven ook een beroep te doen op die verwerkingsgrondslag.
4.15 Het voorgaande brengt mee dat de Volksbank geen beroep toekomt op de uitzondering van artikel 17 lid 3 AVG, omdat de instandhouding van de BKR coderingen op dit moment niet meer noodzakelijk is om te voldoen aan de wettelijke verplichtingen van de artikelen 4:32 en 4:34 Wft. Hierbij wijst het hof erop dat een afzonderlijke zogenoemde ‘Santander-toets’3 bij dit verwijderingsverzoek niet nodig is, omdat deze toets verankerd is in het noodzakelijkheidsvereiste van artikel 17 lid 3 AVG, zoals hiervoor verwoord.
ECLI:NL:GHARL:2021:1679, Gerechtshof Arnhem-Leeuwarden, 200.279.200

Media & politiek

Bits of Freedom lanceerde een cursus in manipulatie via media

Aan de hand van de vijf onderwerpen Censuur, Profileren, Curatiemacht, Dark patterns en Zelf manipulatie legt Bits of Freedom met animaties (of als longread) uit hoe we online gemanipuleerd worden.

Korte Cursus Manipulatie - Bits of Freedom
Je wordt gemanipuleerd! Facebook, Instagram en YouTube creëren onzichtbare fabeltjesfuiken, houden informatie achter en maken ons verslaafd aan likes en posts.… Met deze Korte Cursus Manipulatie maken wij het onzichtbare zichtbaar.

De Tweede Kamer stemt in met WGS waarmee ingrijpende ‘risico-indicatiesystemen’ kunnen worden opgetuigd

Siri Beerends vraagt zich af waarom algoritmes zoveel macht krijgen, waardoor het het wachten is op een toeslagenaffaire 2.0…

Met deze nieuwe wet is het wachten op een toeslagenaffaire 2.0 - OneWorld
Waarom zien we het gevaar van zelflerende algoritmes niet?

Naleving & toezicht

Schrems II-vervolg is het delen van kennis en best practices

Zwenne en Van der Eijk beschrijven de Schrems II-uitspraak en laten zich niet verleiden tot vergaande conclusies. Meer onderzoek blijkt nodig:

Er is op dit moment daarom vooral behoefte aan informatie over welke derdelanden wel of niet een beschermingsniveau hebben dat in grote lijnen overeenkomt met dat in de unie, en welke soort van maatregelen gegevensexporteurs en importeurs kunnen nemen om de tekortkomingen in verschillende in derdelanden te verhelpen.
Schrems II: Deja Vu All Over Again - OpenRecht

Eerder deze maand schreven Zivali en Thole in 'Privacy en Informatie' al over de gevolgen van Schrems II dat:

Van alle organisaties, hoe lastig ook in de praktijk, wordt verwacht dat zij voortdurend zich ervan bewust zijn van óf en wanneer zij persoonsgegevens doorgeven naar derde landen, wat het beschermingsni- veau is van het land van bestemming, en elkaar daarbij bij de les te houden. Dit schept over en weer een grote verantwoordelijkheid en vereist een enorme alertheid bij organisaties, die over het algemeen eerder geneigd zijn naar hun commerciële belangen te kijken.