Data Protection - January 2021
In 2021, Supervisory Authorities 🇩🇪🇮🇹🇫🇷🇧🇪🇪🇸 are still handing out GDPR-fines and courts are affirming them. Dutch 🇳🇱 case law discovers nuance in GDPR requests and Dutch politics bans nationality as variable in risk models.
🇪🇺 European developments
EDPB 🇪🇺 publishes Guidelines on Examples regarding Data Breach Notification for consultation
The guidelines list common types of data breaches, such as ransomware attacks and lost or stolen equipment. For each category, the measures that an organisation should take in advance are indicated and the measures the organisation should take after the incident.
In addition, the EDPB emphasises a number of other obligations concerning the duty to report data breaches. For example, having policies and procedures in place to quickly identify and address data breaches. But also the duty to report a data breach to the Supervisory Authority as soon as possible. Even if the investigation into the full impact of the data leak has not yet been completed.
“Every controller should have plans, procedures in place for handling eventual data breaches. Organizations should have clear reporting lines and persons responsible for certain aspect of the recovery process.”
EDPB & EDPS 🇪🇺 adopt joint opinions on SCCs for general processor clauses and for transfers (published in Dec 2020)
Several amendments were requested in order to bring more clarity to the text and to ensure its practical usefulness in day-to-dayoperations of the controllers and processors. These include the interplay between the two documents, the so-called "docking clause" which allows additional entities to accede to the SCCs,and otheraspects relating to obligations for processors. Additionally, the EDPB and EDPS suggest that the Annexes to the SCCs clarify as much as possible theroles and responsibilities of each of the parties with regard to each processing activity - any ambiguity would make it more difficult for controllers or processorsto fulfil their obligations under the accountability principle.
The Regional Court Bonn 🇩🇪 upheld a EUR 900k fine for a telecommunication operator violating Article 32(1) GDPR
The call centre agents worked with a user interface based on the customer database, providing the call centre agent with the personal data necessary for processing customer enquiries. For certain topics, the call centre agents of the first-level support forwarded the callers to other employees on the basis of an authorisation concept. For example, only the billing office could enter new bank details.
A repeated or stricter authentication was not carried out towards these other employees after the authentication by the first-level support. It was also standard practice at the person concerned that persons who introduced themselves as members of the customer's family or other close persons and were able to provide the customer's name and date of birth for authentication were considered to be authorised to act on behalf of the customer. Translation and interpretation by GDPRhub.eu.
openJur e.V.
The Austrian Federal Administrative Court 🇦🇹 held a non-recording camera does not process personal data
Since the CCTV installed in the building did not work (did not record any images), there was no processing of personal data, and furthermore, there was no infringement. The Court also pointed out that the mere impression of being "observed" does not constitute a violation of Section 1 (1) of the Data Protection Act.
🚨Retro website alert, see below:
French Supreme Administrative Court 🇫🇷 holds that 'national security' restricts right of access to SIS II based on Article 23 GDPR
The applicant claims to have personal data stored on the French National Schengen Information System (“N-SIS II database”). Under Regulation (EU) 2018/1862, the Schengen Information System is composed of, on one hand, a central system (“C-SIS”), and, on the other hand, national systems (“N-SIS”) that communicate with the central system. The system as a whole allows Member States to share alerts on persons, which include personal data, for several purposes in relation with police and judicial cooperation.
The applicant exercised his rights of access and erasure against the Ministry of the Interior (“Ministère de l’intérieur”), without success. Her demand was processed in accordance with the procedure applicable to personal data processed for national security purposes. The applicant demands that the Court reviews the lawfulness of this procedure and the decision of the Ministry.
The Court finds this process compliant with Article 15 GDPR, on the right of access, and Article 23 GDPR on restrictions to the rights of data subject by legislative measures. Subsequently, it finds that the Ministry of Interior has acted pursuant to this procedure and thus lawfully. Translation and interpretation by GDPRhub.eu.
The CNIL 🇫🇷 imposed a fine of EUR 20k and 7.3k for sending commercial prospecting emails without proof of prior consent and without providing satisfactory information
The companies sent commercial emails without gathering consent (Article L. 34-5 Postal and Electronic Communication law), it did not provide sufficient information to data subjects (Articles 12 and 13 GDPR), it failed to respect data subjects' right of access (Article 15) and finally, it did not afford sufficient security to personal data it processed (Article 32). Translation and interpretation by GDPRhub.eu.
The Landesbeauftragte für den Datenschutz (LfD) Niedersachsen 🇩🇪 fined notebooksbilliger.de EUR 10,4m for CCTV-monitoring their employees without legal basis
The SA of Lower Saxony, Germany reminded notebooksbilliger.de that a company must always first consider milder means than videos surveillance for purposes of crime prevention and solving. Moreover, a video surveillance to detect criminal acts would only have been lawful if there had been reasonable suspicion against specific persons, which was not given in this case. What would have been possible, was to monitor people for only a limited period of time. At notebooksbilliger.de, however, the video surveillance was neither limited to a specific period nor to specific employees.
For the surveillance of customers, the LfD Niedersachsen considered the data subjects to have high interest worthy of protection, especially where they would spend longer periods of time to test the equipment. In that regard, the video surveillance was not proportionate. LfD Niedersachsen fined notebooksbilliger.de €10,4 million, their highest fine issued so far under the applicability of the GDPR. Translation and interpretation by GDPRhub.eu.
The Garante 🇮🇹 imposed a fine of EUR 20k for checking an employee's professional email account in order to protect the company's interests
The Italian SA found that this violated Article 5(1)(a), (c) and (e) and Articles 12, 13 and 88 GDPR, even though it was carried out on the basis of the company regulations internally adopted. Translation and interpretation by GDPRhub.eu.
The AEPD imposed a fine of EUR 6m to a bank for infringing transparancy and legal ground obligations (Articles 6, 13, and 14 of the GDPR)
https://www.aepd.es/es/documento/ps-00477-2019.pdf
The ANSPDCP 🇷🇴 imposed a EUR 1k fine for disclosing 295 e-mail addresses to other recipients
🚨Retro website alert, see below:
The AEPD 🇪🇸 imposed fines for non-compliance with accuracy data processing principles.
Vodafone Espana, SAU and Banco Bilbao Vizcaya Argentaria, SA. (BBVA) were subject to similar enforcement by the Spanish Supervisory Authority. Translation and interpretation by GDPRhub.eu.
The GBA 🇧🇪 imposed a fine of EUR 10k on a music company for not transferring the fanpage of the musician after exercising the right to data portability (Article 20 GDPR) and right to object (Article 21).
After a contractual relationship with the music producer who owned the Facebook fanpage of the musician, the latter wanted to get back control of this page. The SA had already issued an order to transfer the page on the basis of data portability but the order was annulled by the Court of Appeal. The litigation chamber of the SA issued this second decision after the page was finally transferred to the musician.
Data portability can extend to all data of the Fanpage since they "relate" to the artist. The performance of the contract with the artist does not make it necessary to maintain a Fanpage on behalf of the artist. Therefore, on the artist can get his page back in the absence of other contractual agreement specific on this point. Translation and interpretation by GDPRhub.eu.
Garante 🇮🇹 imposes limitation on processing for TikTok after the death of the girl from Palermo
The Italian SA imposed an immediate limitation on the processing performed by TikTok with regard to the data of users whose age could not be established with certainty. The ban will last until 15 February 2021.
In December, the Italian SA had already notified several infringements to TikTok including poor attention to the protection of minors, the easy dodging of the registration ban the company applies to children under 13 years, non-transparent and unclear information provided to users, and default settings falling short of privacy requirements.
The minor also subscribed to Facebook, according to Politico.
Vincent Manancourt
Datatilsynet 🇳🇴 intents to issue EUR 10m fine to Grindr LLC
Our preliminary conclusion is that Grindr needs consent to share these personal data and that Grindr’s consents were not valid. Additionally, we believe that the fact that someone is a Grindr user speaks to their sexual orientation, and therefore this constitutes special category data that merit particular protection.
Italian court 🇮🇹 concludes that the algorithm Deliveroo uses to choose couriers is discriminatory, EUR 50k fine
Els Bellens
ICO 🇬🇧 describes how to set out data sharing agreements
A data sharing agreement:
➡️ helps all the parties be clear about their roles;
➡️ sets out the purpose of the data sharing;
➡️ covers what happens to the data at each stage; and sets standards.
Having a data sharing agreement in place helps you to demonstrate you are meeting your accountability obligations under the GDPR.
ICO 🇬🇧 resumes investigation into Ad tech
“Our work will continue with a series of audits focusing on digital market platforms and we will be issuing assessment notices to specific companies in the coming months. The outcome of these audits will give us a clearer picture of the state of the industry.
“Data broking also plays a large part in RTB and following our data broking investigation into offline direct marketing services and enforcement action for Experian in October 2020, we will be reviewing the role of data brokers in this adtech eco-system.
DLA Piper published a GDPR fines and data breach report
"The supervisory authorities responsible for enforcing GDPR have not been idle; some notable fines have been imposed relating to a wide variety of infringements" and "the current trend for breach notifications continues to see double digit growth".
Paper: Identification in EU Data Protection Law
AdTech stresses that Article 11 GDPR now requires that individuals are actually identified (not just identifiable) before many duties apply. But Article 11 is much less sweeping than suggested:
Paper: Public Actors Without Public Values: Legitimacy, Domination and the Regulation of the Technology Sector
If people have lost the right to disengage with commercial technologies, we may need to hold the companies that offer them to the same standards to which we hold the public sector. This paper first defines the problem and demonstrates that it is significant and widespread, and then argues for the development of an overarching normative framework for what constitutes non-domination with regard to digital technologies.
Linnet Taylor
Fingerprints, not everyone has certain biometrics
A short and thoughtproviking blog on the assumptions programmers make and on the family with no fingerprints. "Even if this genetic issue didn’t exist, it should be obvious that not everyone has fingers, or hands. Some people are born without hands, some people lose them later in life."
Tony Finch
Report: Student Privacy Communications Toolkit: For Schools & Districts
Paper: My Mouse, My Rules - Privacy Issues of Behavioral User Profiling via Mouse Tracking
🇳🇱 Nederlandse ontwikkelingen
Prijsafspraken met verwerkers voor de taken vanuit hun rol, dat mag (niet?)
Vorige maand ontging me het blog-duel tussen Privacy Management Partners en Dirkzwager. De eerste stelde dat een veel gemaakte fout in verwerkersovereenkomsten is dat "de verwerker alleen tegen betaling mee[werkt] aan een AVG-rechtsverzoek".
pmpartners.nl.jpg)
Dirkzwager reageerde twee weken later met een blogpost over zulke opgelegde verplichtingen aan verwerkers: "Sommige mensen denken dat dit (dus) betekent dat verwerkers al die (verplichte) werkzaamheden kosteloos moeten verrichten. Dat is niet juist."
Een tegenreactie van Privacy Management Partners is nog niet verschenen.
Louwers Advocaten publiceerde een jaaroverzicht Privacy 2020
Het Coronavirus dicteerde het afgelopen jaar bij velen de agenda. Dat was ook merkbaar binnen het privacyrecht. Niet in de laatste plaats vanwege de introductie van de CoronaMelder en de verwerking van persoonsgegevens door middel van deze app. Daarnaast zijn de regels rondom de doorgifte van persoonsgegevens aan de VS en anderelanden buiten de EER in 2020 ingrijpend veranderd. Verder heeft de toezichthouder een aantal fikse boetes opgelegd en heeft de rechterlijke macht een aantal belangwekkende uitspraken gedaan. Al met al een bewogen jaar. Onderstaand treft u een kort en bondig overzicht van de belangrijkste juridische ontwikkelingen op het gebied van privacy en gegevensbescherming in 2020.
Jurisprudentie
Kortgedingrechter: Recht op eerbiediging van de eer en goede naam van artsen weegt zwaarder dan recht op vrijheid van meningsuiting met zwarte lijst
Met name door de blootstelling aan zware verdachtmaking met zeer ernstige feiten en vaak zonder feitelijke basis. Stichting Slachtoffers Iatrogene Nalatigheid-Nederland (SIN-nl) vermeldde zowel artsen als zorgverleners en zette deze neer als plegers van 'medische misdrijven'. Daarop heeft Stiching Stop Online Shaming (Stichting SOS) een vordering ingesteld om SIN.nl deze uitlatingen, die volgens hen in strijd zijn met de Algemene Verordening Gegevensbescherming, te doen laten stoppen.
Opvallend is dat lijfsdwang in het dictum wordt toegepast:
5.9. [De voorzieningenrechter] verleent Stichting SOS verlof om, zo SIN.nl en [gedaagde sub 2] niet tijdig voldoen aan de onder 5.1. t/m 5.4. en 5.6. uitgesproken hoofdveroordeling en een maximum van € 150.000,- aan dwangsommen heeft voldaan, deze veroordeling ten uitvoer te leggen door middel van lijfsdwang en deswege [gedaagde sub 2] in gijzeling te doen stellen totdat SIN.nl en [gedaagde sub 2] aan deze veroordeling hebben voldaan, met dien verstande dat de gijzeling ten hoogste zes maanden zal duren,
Rechtbank: Weeg het inzagerecht per verzoek af
Verzoekster heeft Samen Veilig verzocht om haar “afschriften van alle volledige logoverzichten tot het moment van verstrekken met daarin opgenomen alle namen van personen die inzage hebben gehad in het dossier” bij Veilig Thuis en SAVE te verstrekken. Samen Veilig verstrekt alleen loggingoverzichten tot functieniveau van de medewerkers. De rechtbank Midden-Nederland beveelt op 2 december 2020 vervolgens om de verzoekster inzage te geven in de loggingoverzichten betreffende de dossiers van haar zoon, bijgewerkt tot de datum van deze beschikking, waaruit blijkt welke personen op welke datum en welk tijdstip (delen van) deze dossiers hebben geraadpleegd en/of hebben bewerkt en/of andere acties hebben uitgevoerd ten aanzien van de gegevens in deze dossiers.
3.6 De rechtbank ziet het belang van Samen Veilig, maar is van oordeel dat zij niet de juiste afweging van de belangen heeft gemaakt. Zoals in r.o. 3.4 overwogen, is de uitzondering op het inzagerecht alleen mogelijk als het strikt noodzakelijk is in het individueel geval. De belangen die Samen Veilig naar voren heeft gebracht zijn van algemene aard. Gesteld noch gebleken is dat in het geval van [verzoekster] aanleiding bestaat dat zij oneigenlijk gebruik zal maken van de informatie die aan haar zal worden verstrekt. Het verweer van Samen Veilig slaagt daarom niet. De rechtbank zal het verzoek van [verzoekster] tot inzage in de loggingoverzichting toewijzen.
Rechtbank: Schadevergoeding voor benadeelde wegens datalek op de website gemeente Oldambt, alleen immateriele schade
De kantonrechter in Groningen heeft vonnis gewezen in een zaak die de aanvrager van een omgevingsvergunning voor het uitbaten van een schietbaan had aangespannen tegen de gemeente Oldambt. Eiser stelde dat hij doordat delen van zijn vergunningsaanvraag die niet openbaar gemaakt mochten worden, bijna twee jaar lang ten onrechte voor iedereen zichtbaar op de website van de gemeente hebben gestaan, zowel materiële als immateriële schade had geleden. De onrechtmatig gepubliceerde persoonsgegevens betroffen onder meer zijn e-mailadres, mobiele telefoonnummer en BSN.
4.21 Het is de kantonrechter niet ontgaan dat [eiser] met de schietsport in verband kan worden gebracht. Die omstandigheid kan de gemeente echter bezwaarlijk worden toegerekend. Zoals hiervoor reeds overwogen, [eiser] heeft er allereerst zelf bewust aan meegewerkt dat zijn adresgegevens zouden worden gepubliceerd in verband met de aanvraag van een omgevingsvergunning voor de schietbaan. Daar komt nog bij dat [eiser] bewust heeft meegewerkt aan publicatie van een artikel in het Dagblad van het Noorden over de komst van de schietbaan, waarin hij duidelijk in verband wordt gebracht met deze schietbaan. Dit alles zo zijnde, heeft [eiser] naar het oordeel van de kantonrechter zelf bewerkstelligd dat derden hem met de schietbaan c.q. de schietsport zouden kunnen associëren. Zijn vrees dat kwaadwillende personen het om die reden op hem gemunt zouden (kunnen) hebben, ligt daarmee in zijn eigen risicosfeer. Hier staat de gemeente buiten. Het ligt voor de hand dat [eiser] gelet op zijn - door hemzelf kenbaar gemaakte - bezit van wapens sowieso tot beveiliging van zijn woning zou zijn overgegaan.
4.28. De kantonrechter is wél van oordeel dat [eiser] anderszins in zijn persoon is aangetast [en geen aantasting van de integriteit van een persoon]. De persoonlijke levenssfeer van [eiser] is bij herhaling door de gemeente geschonden vanwege het - in strijd met de AVG - meermalen publiceren van het BSN-nummer, het e-mailadres en het telefoonnummer van [eiser] op de gemeentelijke website, zonder dat [eiser] daarvoor toestemming aan de gemeente had verleend (vgl. r.o. 36 van de uitspraak van de Afdeling). Het gaat hierbij ook om naar hun aard gevoelige gegevens, zeker waar het betreft het BSN-nummer van [eiser] . De nadelige gevolgen van het lekken daarvan, zoals identiteitsfraude, liggen voor de hand. Daarom heeft [eiser] naar het oordeel van de kantonrechter recht op toekenning van een naar billijkheid vast te stellen vergoeding voor geleden immateriële schade. Gelet op de omstandigheden van het onderhavige geval, waaronder de aard, duur, frequentie en ernst van de inbreuk, afgezet tegen de omstandigheid dat niet is gebleken dat de datalekken tot concrete negatieve gevolgen hebben geleid, zal de kantonrechter deze schadevergoeding naar billijkheid vaststellen op een bedrag van € 500,00. Dit bedrag zal hierna worden toegewezen.
Raad van State: Verzoeker heeft de beroepsgroep verlaten dus is publicatie van tuchtuitspraak niet meer noodzakelijk
De Raad van State heeft onlangs geoordeeld dat een voormalig advocaat terecht heeft gevraagd om een oude tuchtrechtelijke beslissing over hem niet langer online te publiceren. Nu de man de advocatuur heeft verlaten, dient verdere publicatie geen redelijk doel meer en kan verzoek tot wissing worden toegewezen.
Mark Jansen van Dirkzwager analyseert in een blogpost enkele elementen uit de uitspraak. De beslissing op het "ontkoppelingsverzoek" moet inderdaad gezien worden als een besluit. Hij redeneert dat 'noodzakelijkheid' streng moet worden geinterpreteerd:
Het Hof van Justitie heeft in 2008 alweer in het Huber-arrest geoordeeld dat het begrip "noodzakelijk" Europees uniform moet worden uitgelegd en vooral ook beperkt en streng moet worden geïnterpreteerd (woorden als: "geen andere informatie dan noodzakelijk").
Rechtbank: Afwijzing van een inzageverzoek, want 'interne correspondentie en notities' zijn geen relevante persoonsgegvens en het verzoek strookt niet met het doel van de AVG
4.28. Daarbij komt dat het inzageverzoek van [verzoekster] niet strookt met het doel en de strekking van de AVG. De persoon van wie gegevens worden verwerkt komt - gelet op de bescherming van het recht op eerbiediging van de persoonlijke levenssfeer met betrekking tot de verwerking van die gegevens – het recht op inzage toe teneinde te kunnen controleren of zijn persoonsgegevens juist zijn en rechtmatig worden verwerkt. Uit de stukken en de op de zitting door [verzoekster] gegeven toelichting kan worden afgeleid dat haar inzageverzoek voortkomt uit een bij haar in de familierechtelijke procedure gerezen wantrouwen jegens Jeugdbescherming en haar ex-partner [belanghebbende] ; zij vermoedt dat niet alle informatie met haar wordt gedeeld en dat zaken achter haar rug om worden beslist. Haar verzoek is er kennelijk op gericht om door middel van het inzageverzoek voor haar onbekende informatie te achterhalen met het oog op die familierechtelijke procedure en tegelijkertijd bevestigd te krijgen dat haar wantrouwen gerechtvaardigd is.
Rechtbank: Gemeente Maastricht hoeft veelpleger niet van Top-X-lijst te halen, want verwerking valt nog onder 'algemeen belang'-grondslag
11.1 In artikel 172 van de Gemeentewet is bepaald dat verweerder belast is met de handhaving van de openbare orde. Taken die verband houden met de handhaving van de openbare orde zijn taken van algemeen belang. Uit het bestreden besluit blijkt dat het nodig is dat eiser Top X geprioriteerd blijft om naar behoren een taak van algemeen belang te kunnen vervullen, als bedoeld in artikel 6, eerste lid, aanhef en onder e, van de AVG. Gelet op de overlast die eiser veroorzaakt, zijn psychische problematiek en de behandeling die hij daarvoor nodig heeft, maar nog niet krijgt, in samenhang bezien, kan de rechtbank dit standpunt volgen. De rechtbank heeft hierbij in aanmerking genomen dat eiser deze feiten en omstandigheden niet betwist. […] Ingevolge artikel 17, derde lid, aanhef en onder b, van de AVG was verweerder daarom niet verplicht de persoonsgegevens van eiser die in het kader van zijn Top X-prioritering binnen het Veiligheidshuis op grond van de AVG worden verwerkt te wissen.
Raad van State: Misbruik van recht in Wob-procedure is niet hetzelfde als misbuik van recht in AVG-procedure
Het achterhalen welke gemeenten persoonsgegevens van de verzoeker verwerker sluit aan bij het doel van de AVG. Dat het achterliggende doel is om schade te verzoeken op grond van artikel 82 AVG van dit verzoek, en ook van de andere inzageverzoeken die hij heeft ingediend, maakt niet dat het doel van het verzoek niet meer in overeenstemming is met het doel van de AVG. De rechtbank heeft terecht geoordeeld dat het college van B&W van Almere zich niet kon beroepen op misbruik van recht en het bezwaar ten onrechte niet-ontvankelijk heeft verklaard.
Overheid
Algoritmes bij de overheid onder vergrootglas door risico op discriminatie
De NOS, de Algemene Rekenkamer en ACM onderzoeken algoritmes toegepast door de overheid:
Joost Schellevis en Winny de Jong
Rapport van de Algemene Rekenkamer: 'Aandacht voor Algoritmes'
De Algemene Rekenkamer heeft onderzocht hoe de rijksoverheid algoritmes gebruikt. Net als bedrijven zet de rijksoverheid steeds vaker algoritmes in om handelingen te automatiseren, een probleem op te lossen of een voorspelling te doen. Een verantwoorde ontwikkeling naar complexere geautomatiseerde toepassingen vereist beter overzicht
Oproep aan de overheid: pas de risicoprofielen aan
Zet alvast die eerste belangrijke stap en zorg ervoor dat de risicoprofielen aangepast worden: nationaliteit en etniciteit mogen nooit onderdeel uitmaken van een (geautomatiseerd) risicoprofiel.
De Belastingdienst heeft nationaliteit in beginsel uit de risicoprofielen gehaald, zo blijkt uit een nota van de DG van de Belastingdienst 'Gebruik van nationaliteit in risicomodellen' van 20 januari 2020, gepubliceerd op 21 januari 2021:
In de risicomodellen die DF&A ontwikkelt wordt geen gebruik meer gemaakt van nationaliteit, tenzij daar een wettelijke grondslag voor is. Waar die er niet was, is nationaliteit inmiddels niet meer zichtbaar of bruikbaar voor de gebruiker en wordt nationaliteit uitgebouwd.
Op 19 januari 2021 werd de motie van Jesse Klaver aangenomen waarin de Tweede Kamer de regering verzoekt om datavariabelen die nationaliteit (kunnen) inhouden in risicoselecties volledig uit te sluiten en een algoritmeregister op te zetten.
overwegende dat het risico op discriminerende algoritmen niet wegge-nomen is door de indicator «nationaliteit» te verwijderen, omdat ook op basis van andere datavariabelen zoals geboorteplaats, postcode of zelfs IP-adres een profiel gebouwd kan worden, waartegen gediscrimineerd kan worden;
verzoekt de regering, het gebruik van nationaliteit, etniciteit en geboorte-plaats als datavariabele in alle risicomodellen, -profielen, -systemen, -selectie en zwarte lijsten die binnen het overheidswezen gebruikt worden volledig uit te sluiten;
verzoekt de regering, tevens te verzekeren dat ook zelflerende algoritmen in risicoclassificatiemodellen deze indicatoren niet gebruiken;
verzoekt de regering, voorts een algoritmeregister op te zetten waarin beschreven wordt welke algoritmen de overheid gebruikt, voor welk doel en op basis van welke datasets opdat iedereen toezicht kan houden op al dan niet discriminerende algoritmen,
Tweede Kamer publiceert verslag over 'Twee jaar toepassing van de AVG'
Het algemene verslag is voor professionals weinig interessant door de algemene conclusies.
Concluderend kan gesteld worden dat de AVG tot een veel grotere bewustwording heeft geleid bij de overheid, het bedrijfsleven en burgers van het belang van de bescherming van persoonsgegevens. Tegelijkertijd bestaat er ook veel onzekerheid door de onduidelijkheid over de interpretatie en handhaving van de regels, ook tussen de verschillende Europese lidstaten. Dit schaadt tevens het algemeen belang, bijvoorbeeld in het geval van medische zorg en onderzoek. Ook als politiek hebben we de verantwoordelijkheid om deze onzekerheid en onduidelijkheid zo veel mogelijk weg te nemen en harmonisatie in Europa na te streven.
Het viel me wel op dat de rapporteur voorstelt meer sectorale privacyregels op te stellen.
Een veelgehoorde klacht over de toepassing van de AVG is dat deze soms tot zeer onpraktische of onwenselijke gevolgen leidt. Als voorbeelden worden dan bijvoorbeeld de beperkingen genoemd die de wet zou opleggen aan de informatie-uitwisseling over fraudeurs of het delen van groepsfoto’s in het onderwijs of bij sportverenigingen. Vaak wordt in reactie op dergelijke klachten gesteld dat dit het gevolg is van een gebrek aan kennis en dat er binnen de AVG veel meer mogelijk is dan vaak wordt verondersteld. Dit gaat echter zeker niet in alle gevallen op. Een oplossing hiervoor kan soms sectorale wetgeving zijn. De (algemeen geformuleerde) AVG biedt de ruimte om voor specifieke sectoren duidelijke privacyregels op te stellen.
Het voorstel voor een nieuw regelgevend kader voor de gegevensverwerking door samenwerkingsverbanden
Een artikel van M.P. Beijer bespreekt de WGS en beschrijft hoe het bereik van de WGS op grond van het huidige voorstel nog kan worden uitgebreid tot andere samenwerkingsverbanden, als "die zich richten op – kortgezegd – de aanpak van ernstige criminaliteit en fraude".
Wanneer geautomatiseerde gegevensverwerking en profilering plaatsvindt, zal, zoals aan de orde is gekomen in de uitspraak inzake SyRI, ook duidelijkheid moeten worden gebracht over de precieze werking van de (technische) systemen die kunnen worden ingezet door de samenwerkingsverbanden. Daarover bestaan nog veel zorgen en vragen, zoals blijkt uit de vragen die in de voorbereiding van de behandeling van het wetsvoorstel in de Tweede Kamer al zijn opgekomen.
ADR onderzocht tekortkomingen in 'meldplicht datalekken'-proces van DUO
Het algemene beeld is dat DUO het proces rondom de meldplicht datalekken afdoende heeft ingericht overeenkomstig de Handreiking Autoriteit Persoonsgegevens. Op onderdelen zijn verbeteringen aan te brengen, maar er is geen sprake van tekortkomingen.
Raad van State deelt niet-geanonimiseerde uitspraak met Kluwer die deze publiceert
De Afdeling bestuursrechtspraak van de Raad van State heeft onterecht een niet- geanonimiseerde uitspraak naar Kluwer heeft gestuurd, die dit op zijn beurt online heeft gezet. Betrokkene krijgt vervolgens EUR 500 schadevergoeding. (via @BartSchellekens)
Ministeries EZK en LNV publiceren Brochure informatiebeveiliging en privacy
Gids voor leveranciers met informatie over: wat wij van u verwachten als leverancier en de aanpak voor informatiebeveiliging en privacy van EZK [en LNV].
De brochure beschrijft normenkaders, voorwaarden en Te Beschermen Belangen van de ministerie voor leveranciers:
Zorg
Factsheet evaluatie CoronaMelderApp
Zorgaanbieder is verantwoordelijk voor logging en inzage in logging, naast inzage in medische dossiers, volgens minister Medische zorg en Sport
In antwoorden op Kamervragen over het datalek bij het Brabantse ziekenhuis merkt de minister op dat logging verplicht is en inzage daarin ook.
Ook neemt het Bravis ziekenhuis deel aan een landelijk programma waarbij alle Nederlandse ziekenhuizen zich in 2021 laten auditen op de toegangsbeveiliging van digitale patiëntendossiers.
Op grond van artikel 15 van de Algemene Verordening Gegevensbescherming (AVG) hebben mensen recht op inzage in hun medische gegevensen is er een klachtenmogelijkheid via de Autoriteit Persoonsgegevens (AP). Daarom is het verplicht loggegevens bij te houden.
In de VIPP-regeling stimuleer ik de ontwikkeling van patiëntportalen om patiënten zelf de regie over hun medische gegevens te kunnen laten voeren. In diverse portalen is het voor een patiënt mogelijk de logging direct online in te zien.
Media & politiek
COA deelde onrechtmatig gegevens van asielzoekers met politie
Zeker zeven jaar lang deelde het COA dagelijks structureel gegevens van al zijn bewoners met het Nationaal Vreemdelingen Knooppunt (NVIK) van de politie. Het ging om zeer persoonlijke en gevoelige informatie van alle asielzoekers – als godsdienst, etniciteit, naam, leeftijd, land van herkomst. Volgens juristen is het delen van die gegevens in strijd met de wet. Ook kan het leiden tot criminalisering van een groep onschuldige asielzoekers.
Tijdens hun intakegesprek net na hun aankomst in Nederland vroegen COA-medewerkers vluchtelingen een toestemmingsverklaring te tekenen. Daarin stond dat het COA hun gegevens deelt met de politie. Ook zou hun medische informatie met betrokken organisatiesgedeeld kunnen worden. Op het formulier van april 2020 kon alleen ‘ja’ worden aangekruist.
Martin Kuiper/s3/static.nrc.nl/images/gn4/stripped/data66450161-e94fdc.jpg)
De minister van JenV heeft de uitkomsten externe toetsing van de verstrekking van persoonsgegevens van COA aan politie gepubliceerd, samen met de DPIA 'COA NVIK' (uit 2015, er wordt een nieuwe gemaakt) en het Rapport externe toets Privacy Management Partners: 'Grondslag en verstrekkingen COA, een externe toets op de rechtmatigheid'.
PMP stelt dat in het onderzoek de evenredigheid van de verwerking bij NVIK van de dagelijkse bezettingsgegevensvan het COAonvoldoende vast is komen te staan. […] Het COA zal deze gegevens dan ook niet langer verstrekken.
Conform de bevindingen en het advies van de functionaris gegevensbescherming (FG) van de politie, worden de betreffende verzameling van persoonsgegevens verwijderd en de systemen geschoond.
NVIK blijft echter een beperktere set van individuele verblijfsgegevens van de vreemdelingen verwerken:
De FG van het COA is akkoord gegaan met verstrekken vanuit het COA aan de politie en de FG van de politie is akkoord gegaan met het verwerken door NVIK van deze beperkte set gegevens.
Inlichtingenbureau spoort fraudeurs op voor gemeenten, als 'verwerker'(?)
Het Inlichtingenbureau is een vrij onbekende instantie, maar het verzamelt toch al sinds 2001 alle overheidsdata van bijstandsgerechtigden en koppelt deze met elkaar, op zoek naar mogelijke fraudeurs. De data komen van organisaties zoals het Uitvoeringsinstituut Werknemersverzekeringen (UWV), de Sociale Verzekeringsbank (SVB), de Belastingdienst, Dienst Uitvoering Onderwijs (DUO), gemeenten en de Rijksdienst voor het Wegverkeer (RDW) Ja, ook het RDW, want zo kunnen ze zien wat voor type auto je hebt.
Barbara Vollebregt
AP eist opheldering over dataverwerking van Inlichtingenbureau
Maarten van Gestel
AP waarschuwt over het conceptvoor wijziging van de Telecommunicatiewet in verband met informatieverstrekking aan het RIVM
De AP acht de noodzaak voor deze ingrijpende maatregelen nog onvoldoende onderbouwd, de gekozen systematiek nog niet evenwichtig-ook in Europees perspectief -en is van oordeel datbelangrijke waarborgenin de wetstekst nog ontbreken
Nando Kasteleijn
Daarnaast is ook de Gegevensbeschermings-effectbeoordeling (PIA) van het Ministerie EZK – DG B&I Directie Digitale Economie van 25 mei 2020 gepubliceerd over deze voorgestelde wijziging.
Bij het onderzoek naar binnenlandse afstand en adoptie tussen 1956 en 1984 was een inbreuk op de persoonsgegevens
Aan de mensen die hun verhaal hebben gedaan, had schriftelijk om toestemming gevraagd moeten worden voor het gebruiken en bewaren van het gesprekverslag. Ook hadden alle aanmelders de mogelijkheid moeten krijgen hun verslag te controleren en te corrigeren.
De Minister voor Rechtsbescherming laat de Auditdienst Rijk onderzoeken of de verificatie- en correctieprocedure zo is ingericht dat de persoonsgegevens van u en alle andere aanmelders goed beschermd blijven.
'Overheid en overheidsbestuur digitaliseren helemaal als een razende. Maar rechter en parlement blijven hierbij ver, ver, ver achter.'
Maxim Februari:format(jpeg):fill(f8f8f8,true)/s3/static.nrc.nl/wp-content/uploads/2019/07/februari-maxim-online-artikel.png)
Evaluatie 2020 op de 'Wet op de inlichtingen- en veiligheidsdiensten 2017'
De Wiv 2017 sluit onvoldoende aan op de technologische complexiteit en de dynamiek van de operationele praktijk van de diensten. Daarnaast zijn belangrijke begrippen van de wet niet altijd even consistent, duidelijk en techniekonaf hankelijk geformuleerd en afgebakend. In geval van geschillen over die begrippen of over de open normen uit de wet, biedt de wet geen mogelijkheid tot geschilbeslechting. Het ontbreekt de Wiv 2017 verder aan een regeling voor de omgang met bulkdata en aan voldoende uitgewerkte normering van de internationale samen-werking tussen diensten.
FOD Financiën haalt UBO-register offline na mogelijk uitlekken persoonsgegevens
De Belgische Federale Overheidsdienst Financiën heeft het UBO-register offline gehaald na een mogelijke kwetsbaarheid. In het register staan gegevens van vennootschappen en andere organisaties, maar het bleek mogelijk er rijksregisternummers van Belgen uit te achterhalen.
In Nederland is Privacy First een zaak tegen de Staat begonnen over het onlangs ingevoerde UBO-register. In kort geding wordt de ongeldigheid ingeroepen van de regelgeving waarop het UBO-register is gebaseerd. Alle ruim 1,5 miljoen juridische entiteiten die in het Handelsregister zijn ingeschreven moeten informatie over hun UBO’s (‘ultimate beneficial owners’ of wel ‘uiteindelijk belanghebbenden’) openbaar maken. Het UBO-register is voor iedereen toegankelijk, voor € 2,50 per opvraging.
Call center workers pay for the privilege
If you only learn one technical term from labor economics, make it "chickenization" – Christopher Leonard's term for the way that the Big Three poultry processors have structured the chicken-farming industry (I learned it from Zephyr Teachout).
Cory Doctorow
Naleving & toezicht
AVG-quiz voor organisaties opgezet door BDO
