Data Protection - January 2021

In 2021, Supervisory Authorities 🇩🇪🇮🇹🇫🇷🇧🇪🇪🇸 are still handing out GDPR-fines and courts are affirming them. Dutch 🇳🇱 case law discovers nuance in GDPR requests and Dutch politics bans nationality as variable in risk models.

Data Protection - January 2021

🇪🇺 European developments

EDPB 🇪🇺 publishes Guidelines on Examples regarding Data Breach Notification for consultation

The guidelines list common types of data breaches, such as ransomware attacks and lost or stolen equipment. For each category, the measures that an organisation should take in advance are indicated and the measures the organisation should take after the incident.

In addition, the EDPB emphasises a number of other obligations concerning the duty to report data breaches. For example, having policies and procedures in place to quickly identify and address data breaches. But also the duty to report a data breach to the Supervisory Authority as soon as possible. Even if the investigation into the full impact of the data leak has not yet been completed.

Every controller should have plans, procedures in place for handling eventual data breaches. Organizations should have clear reporting lines and persons responsible for certain aspect of the recovery process.
Guidelines 01/2021 on Examples regarding Data Breach Notification - European Data Protection Board - European Data Protection Board
Guidelines 01/2021 on Examples regarding Data Breach Notification

EDPB & EDPS 🇪🇺 adopt joint opinions on SCCs for general processor clauses and for transfers (published in Dec 2020)

Several amendments were requested in order to bring more clarity to the text and to ensure its practical usefulness in day-to-dayoperations of the controllers and processors. These include the interplay between the two documents, the so-called "docking clause" which allows additional entities to accede to the SCCs,and otheraspects relating to obligations for processors. Additionally, the EDPB and EDPS suggest that the Annexes to the SCCs clarify as much as possible theroles and responsibilities of each of the parties with regard to each processing activity - any ambiguity would make it more difficult for controllers or processorsto fulfil their obligations under the accountability principle.
EDPB-EDPS Joint Opinion 2/2021 on standard contractual clauses for the transfer of personal data to third countries - European Data Protection Board - European Data Protection Board
EDPB-EDPS Joint Opinion 2/2021 on standard contractual clauses for the transfer of personal data to third countries

The Regional Court Bonn 🇩🇪 upheld a EUR 900k fine for a telecommunication operator violating Article 32(1) GDPR

The call centre agents worked with a user interface based on the customer database, providing the call centre agent with the personal data necessary for processing customer enquiries. For certain topics, the call centre agents of the first-level support forwarded the callers to other employees on the basis of an authorisation concept. For example, only the billing office could enter new bank details.

A repeated or stricter authentication was not carried out towards these other employees after the authentication by the first-level support. It was also standard practice at the person concerned that persons who introduced themselves as members of the customer's family or other close persons and were able to provide the customer's name and date of birth for authentication were considered to be authorised to act on behalf of the customer. Translation and interpretation by GDPRhub.eu.

LG Bonn, Urteil vom 11.11.2020 - 29 OWi 1/20 - openJur
Die Betroffene ist des Verstoßes gegen die Verpflichtung, durch geeignete technische und organisatorische Maßnahmen ein angemessenes Schutzniveau für personenbezogene Daten zu gewährleisten, schuldig. ...

The Austrian Federal Administrative Court 🇦🇹 held a non-recording camera does not process personal data

Since the CCTV installed in the building did not work (did not record any images), there was no processing of personal data, and furthermore, there was no infringement. The Court also pointed out that the mere impression of being "observed" does not constitute a violation of Section 1 (1) of the Data Protection Act.
🚨Retro website alert, see below:

RIS - W214 2230473-1 - Entscheidungstext - Bundesverwaltungsgericht (BVwG)

French Supreme Administrative Court 🇫🇷 holds that 'national security' restricts right of access to SIS II based on Article 23 GDPR

The applicant claims to have personal data stored on the French National Schengen Information System (“N-SIS II database”). Under Regulation (EU) 2018/1862, the Schengen Information System is composed of, on one hand, a central system (“C-SIS”), and, on the other hand, national systems (“N-SIS”) that communicate with the central system. The system as a whole allows Member States to share alerts on persons, which include personal data, for several purposes in relation with police and judicial cooperation.

The applicant exercised his rights of access and erasure against the Ministry of the Interior (“Ministère de l’intérieur”), without success. Her demand was processed in accordance with the procedure applicable to personal data processed for national security purposes. The applicant demands that the Court reviews the lawfulness of this procedure and the decision of the Ministry.

The Court finds this process compliant with Article 15 GDPR, on the right of access, and Article 23 GDPR on restrictions to the rights of data subject by legislative measures. Subsequently, it finds that the Ministry of Interior has acted pursuant to this procedure and thus lawfully. Translation and interpretation by GDPRhub.eu.

Conseil d’État, Formation spécialisée, 21/12/2020, 433555, Inédit au recueil Lebon - Légifrance
Conseil d’État, Formation spécialisée, 21/12/2020, 433555, Inédit au recueil Lebon

The companies sent commercial emails without gathering consent (Article L. 34-5 Postal and Electronic Communication law), it did not provide sufficient information to data subjects (Articles 12 and 13 GDPR), it failed to respect data subjects' right of access (Article 15) and finally, it did not afford sufficient security to personal data it processed (Article 32). Translation and interpretation by GDPRhub.eu.

Délibération SAN-2020-018 du 8 décembre 2020 - Légifrance
Autorités administratives indépendantes > Délibération SAN-2020-018 du 8 décembre 2020
Délibération SAN-2020-016 du 7 décembre 2020 - Légifrance
Autorités administratives indépendantes > Délibération SAN-2020-016 du 7 décembre 2020

The SA of Lower Saxony, Germany reminded notebooksbilliger.de that a company must always first consider milder means than videos surveillance for purposes of crime prevention and solving. Moreover, a video surveillance to detect criminal acts would only have been lawful if there had been reasonable suspicion against specific persons, which was not given in this case. What would have been possible, was to monitor people for only a limited period of time. At notebooksbilliger.de, however, the video surveillance was neither limited to a specific period nor to specific employees.

For the surveillance of customers, the LfD Niedersachsen considered the data subjects to have high interest worthy of protection, especially where they would spend longer periods of time to test the equipment. In that regard, the video surveillance was not proportionate. LfD Niedersachsen fined notebooksbilliger.de €10,4 million, their highest fine issued so far under the applicability of the GDPR. Translation and interpretation by GDPRhub.eu.

LfD Niedersachsen verhängt Bußgeld über 10,4 Millionen Euro gegen notebooksbilliger.de | Die Landesbeauftragte für den Datenschutz Niedersachsen

The Garante 🇮🇹 imposed a fine of EUR 20k for checking an employee's professional email account in order to protect the company's interests

The Italian SA found that this violated Article 5(1)(a), (c) and (e) and Articles 12, 13 and 88 GDPR, even though it was carried out on the basis of the company regulations internally adopted. Translation and interpretation by GDPRhub.eu.

https://www.aepd.es/es/documento/ps-00477-2019.pdf

The ANSPDCP 🇷🇴 imposed a EUR 1k fine for disclosing 295 e-mail addresses to other recipients

🚨Retro website alert, see below:

Comunicat_Presa_29_12_2020

The AEPD 🇪🇸 imposed fines for non-compliance with accuracy data processing principles.

Vodafone Espana, SAU and Banco Bilbao Vizcaya Argentaria, SA. (BBVA) were subject to similar enforcement by the Spanish Supervisory Authority. Translation and interpretation by GDPRhub.eu.

The GBA 🇧🇪 imposed a fine of EUR 10k on a music company for not transferring the fanpage of the musician after exercising the right to data portability (Article 20 GDPR) and right to object (Article 21).

After a contractual relationship with the music producer who owned the Facebook fanpage of the musician, the latter wanted to get back control of this page. The SA had already issued an order to transfer the page on the basis of data portability but the order was annulled by the Court of Appeal. The litigation chamber of the SA issued this second decision after the page was finally transferred to the musician.

Data portability can extend to all data of the Fanpage since they "relate" to the artist. The performance of the contract with the artist does not make it necessary to maintain a Fanpage on behalf of the artist. Therefore, on the artist can get his page back in the absence of other contractual agreement specific on this point. Translation and interpretation by GDPRhub.eu.

Garante 🇮🇹 imposes limitation on processing for TikTok after the death of the girl from Palermo

The Italian SA imposed an immediate limitation on the processing performed by TikTok with regard to the data of users whose age could not be established with certainty. The ban will last until 15 February 2021.

In December, the Italian SA had already notified several infringements to TikTok including poor attention to the protection of minors, the easy dodging of the registration ban the company applies to children under 13 years, non-transparent and unclear information provided to users, and default settings falling short of privacy requirements.

The minor also subscribed to Facebook, according to Politico.

Italy targets Facebook after death of 10-year-old
The order comes after a 10-year-old girl died from asphyxiation after taking part in a social media challenge on the video-sharing platform TikTok.

Datatilsynet 🇳🇴 intents to issue EUR 10m fine to Grindr LLC

Our preliminary conclusion is that Grindr needs consent to share these personal data and that Grindr’s consents were not valid. Additionally, we believe that the fact that someone is a Grindr user speaks to their sexual orientation, and therefore this constitutes special category data that merit particular protection.
Intention to issue € 10 million fine to Grindr LLC
The Norwegian Data Protection Authority has notified Grindr LLC (Grindr) that we intend to issue an administrative fine of NOK 100 000 000 for not complying with the GDPR rules on consent.

Italian court 🇮🇹 concludes that the algorithm Deliveroo uses to choose couriers is discriminatory, EUR 50k fine

Italiaanse rechtbank veroordeelt Deliveroo voor discriminatie
Een Italiaanse rechtbank heeft Deliveroo een boete opgelegd. Het algoritme dat het leveringsplatform gebruikt om koeriers te kiezen, is discriminerend.

ICO 🇬🇧 describes how to set out data sharing agreements

A data sharing agreement:

➡️ helps all the parties be clear about their roles;
➡️ sets out the purpose of the data sharing;
➡️ covers what happens to the data at each stage; and sets standards.

Having a data sharing agreement in place helps you to demonstrate you are meeting your accountability obligations under the GDPR.
Data sharing agreements

ICO 🇬🇧 resumes investigation into Ad tech

“Our work will continue with a series of audits focusing on digital market platforms and we will be issuing assessment notices to specific companies in the coming months. The outcome of these audits will give us a clearer picture of the state of the industry.
“Data broking also plays a large part in RTB and following our data broking investigation into offline direct marketing services and enforcement action for Experian in October 2020, we will be reviewing the role of data brokers in this adtech eco-system.
Adtech investigation resumes
Statement from Simon McDougall, ICO Deputy Commissioner, on the ICO’s investigation into the adtech industry.

DLA Piper published a GDPR fines and data breach report

"The supervisory authorities responsible for enforcing GDPR have not been idle; some notable fines have been imposed relating to a wide variety of infringements" and "the current trend for breach notifications continues to see double digit growth".

From DLA Piper GDPR fines and data breach survey: January 2021

Paper: Identification in EU Data Protection Law

AdTech stresses that Article 11 GDPR now requires that individuals are actually identified (not just identifiable) before many duties apply. But Article 11 is much less sweeping than suggested:
Identification in EU Data Protection Law by David Erdos :: SSRN
Although the new EU data protection framework includes new pan-European limits based on notions of non-identification, these provisions cannot be construed in a

Paper: Public Actors Without Public Values: Legitimacy, Domination and the Regulation of the Technology Sector

If people have lost the right to disengage with commercial technologies, we may need to hold the companies that offer them to the same standards to which we hold the public sector. This paper first defines the problem and demonstrates that it is significant and widespread, and then argues for the development of an overarching normative framework for what constitutes non-domination with regard to digital technologies.
Public Actors Without Public Values: Legitimacy, Domination and the Regulation of the Technology Sector
The scale and asymmetry of commercial technology firms’ power over people through data, combined with the increasing involvement of the private sector in public governance, means that increasingly, people do not have the ability to opt out of engaging with technology firms. At the same time, those f…

Fingerprints, not everyone has certain biometrics

A short and thoughtproviking blog on the assumptions programmers make and on the family with no fingerprints. "Even if this genetic issue didn’t exist, it should be obvious that not everyone has fingers, or hands. Some people are born without hands, some people lose them later in life."

Falsehoods programmers believe about… Biometrics
(For the new reader, there is a famous essay called Falsehoods Programmers Believe About Names. It has since spawned a long list of Falsehoods Programmers Believe About….) Everyone has finger…

Report: Student Privacy Communications Toolkit: For Schools & Districts

Student Privacy Communications Toolkit: For Schools & Districts - Student Privacy Compass
Designed to help school and district leaders communicate about student privacy, the toolkit includes high-level best practices and template communications materials.

Paper: My Mouse, My Rules - Privacy Issues of Behavioral User Profiling via Mouse Tracking

🇳🇱 Nederlandse ontwikkelingen

Prijsafspraken met verwerkers voor de taken vanuit hun rol, dat mag (niet?)

Vorige maand ontging me het blog-duel tussen Privacy Management Partners en Dirkzwager. De eerste stelde dat een veel gemaakte fout in verwerkersovereenkomsten is dat "de verwerker alleen tegen betaling mee[werkt]  aan een AVG-rechtsverzoek".

De 20 meest gemaakte fouten in de verwerkersovereenkomst (deel 2)
Auteur: Alfonso Okué De afgelopen weken is het binnen privacyland weer een hot topic: de verwerkersovereenkomst. Er werden hier en

Dirkzwager reageerde twee weken later met een blogpost over zulke opgelegde verplichtingen aan verwerkers: "Sommige mensen denken dat dit (dus) betekent dat verwerkers al die (verplichte) werkzaamheden kosteloos moeten verrichten. Dat is niet juist."

Een verwerker is tot van alles verplicht, maar niet om gratis te werken
De AVG legt diverse verplichtingen op aan verwerkers. Sommige mensen denken dat dit (dus) betekent dat verwerkers al die (verplichte) werkzaamheden kosteloos moeten verrichten. Dat is niet juist.

Een tegenreactie van Privacy Management Partners is nog niet verschenen.

Louwers Advocaten publiceerde een jaaroverzicht Privacy 2020

Het Coronavirus dicteerde het afgelopen jaar bij velen de agenda. Dat was ook merkbaar binnen het privacyrecht. Niet in de laatste plaats vanwege de introductie van de CoronaMelder en de verwerking van persoonsgegevens door middel van deze app. Daarnaast zijn de regels rondom de doorgifte van persoonsgegevens aan de VS en anderelanden buiten de EER in 2020 ingrijpend veranderd. Verder heeft de toezichthouder een aantal fikse boetes opgelegd en heeft de rechterlijke macht een aantal belangwekkende uitspraken gedaan. Al met al een bewogen jaar. Onderstaand treft u een kort en bondig overzicht van de belangrijkste juridische ontwikkelingen op het gebied van privacy en gegevensbescherming in 2020.

Jurisprudentie

Kortgedingrechter: Recht op eerbiediging van de eer en goede naam van artsen weegt zwaarder dan recht op vrijheid van meningsuiting met zwarte lijst

Met name door de blootstelling aan zware verdachtmaking met zeer ernstige feiten en vaak zonder feitelijke basis. Stichting Slachtoffers Iatrogene Nalatigheid-Nederland (SIN-nl) vermeldde zowel artsen als zorgverleners en zette deze neer als plegers van 'medische misdrijven'. Daarop heeft Stiching Stop Online Shaming (Stichting SOS) een vordering ingesteld om SIN.nl deze uitlatingen, die volgens hen in strijd zijn met de Algemene Verordening Gegevensbescherming, te doen laten stoppen.

Opvallend is dat lijfsdwang in het dictum wordt toegepast:

5.9. [De voorzieningenrechter] verleent Stichting SOS verlof om, zo SIN.nl en [gedaagde sub 2] niet tijdig voldoen aan de onder 5.1. t/m 5.4. en 5.6. uitgesproken hoofdveroordeling en een maximum van € 150.000,- aan dwangsommen heeft voldaan, deze veroordeling ten uitvoer te leggen door middel van lijfsdwang en deswege [gedaagde sub 2] in gijzeling te doen stellen totdat SIN.nl en [gedaagde sub 2] aan deze veroordeling hebben voldaan, met dien verstande dat de gijzeling ten hoogste zes maanden zal duren,
ECLI:NL:RBMNE:2021:23, Rechtbank Midden-Nederland, C/16/511941 / KG ZA 20-581

Rechtbank: Weeg het inzagerecht per verzoek af

Verzoekster heeft Samen Veilig verzocht om haar “afschriften van alle volledige logoverzichten tot het moment van verstrekken met daarin opgenomen alle namen van personen die inzage hebben gehad in het dossier” bij Veilig Thuis en SAVE te verstrekken. Samen Veilig verstrekt alleen loggingoverzichten tot functieniveau van de medewerkers. De rechtbank Midden-Nederland beveelt op 2 december 2020 vervolgens om de verzoekster inzage te geven in de loggingoverzichten betreffende de dossiers van haar zoon, bijgewerkt tot de datum van deze beschikking, waaruit blijkt welke personen op welke datum en welk tijdstip (delen van) deze dossiers hebben geraadpleegd en/of hebben bewerkt en/of andere acties hebben uitgevoerd ten aanzien van de gegevens in deze dossiers.

3.6 De rechtbank ziet het belang van Samen Veilig, maar is van oordeel dat zij niet de juiste afweging van de belangen heeft gemaakt. Zoals in r.o. 3.4 overwogen, is de uitzondering op het inzagerecht alleen mogelijk als het strikt noodzakelijk is in het individueel geval. De belangen die Samen Veilig naar voren heeft gebracht zijn van algemene aard. Gesteld noch gebleken is dat in het geval van [verzoekster] aanleiding bestaat dat zij oneigenlijk gebruik zal maken van de informatie die aan haar zal worden verstrekt. Het verweer van Samen Veilig slaagt daarom niet. De rechtbank zal het verzoek van [verzoekster] tot inzage in de loggingoverzichting toewijzen.
ECLI:NL:RBMNE:2020:5410, Rechtbank Midden-Nederland, C/16/501697 / HA RK 20-117

Rechtbank: Schadevergoeding voor benadeelde wegens datalek op de website gemeente Oldambt, alleen immateriele schade

De kantonrechter in Groningen heeft vonnis gewezen in een zaak die de aanvrager van een omgevingsvergunning voor het uitbaten van een schietbaan had aangespannen tegen de gemeente Oldambt. Eiser stelde dat hij doordat delen van zijn vergunningsaanvraag die niet openbaar gemaakt mochten worden, bijna twee jaar lang ten onrechte voor iedereen zichtbaar op de website van de gemeente hebben gestaan, zowel materiële als immateriële schade had geleden. De onrechtmatig gepubliceerde persoonsgegevens betroffen onder meer zijn e-mailadres, mobiele telefoonnummer en BSN.

4.21 Het is de kantonrechter niet ontgaan dat [eiser] met de schietsport in verband kan worden gebracht. Die omstandigheid kan de gemeente echter bezwaarlijk worden toegerekend. Zoals hiervoor reeds overwogen, [eiser] heeft er allereerst zelf bewust aan meegewerkt dat zijn adresgegevens zouden worden gepubliceerd in verband met de aanvraag van een omgevingsvergunning voor de schietbaan. Daar komt nog bij dat [eiser] bewust heeft meegewerkt aan publicatie van een artikel in het Dagblad van het Noorden over de komst van de schietbaan, waarin hij duidelijk in verband wordt gebracht met deze schietbaan. Dit alles zo zijnde, heeft [eiser] naar het oordeel van de kantonrechter zelf bewerkstelligd dat derden hem met de schietbaan c.q. de schietsport zouden kunnen associëren. Zijn vrees dat kwaadwillende personen het om die reden op hem gemunt zouden (kunnen) hebben, ligt daarmee in zijn eigen risicosfeer. Hier staat de gemeente buiten. Het ligt voor de hand dat [eiser] gelet op zijn - door hemzelf kenbaar gemaakte - bezit van wapens sowieso tot beveiliging van zijn woning zou zijn overgegaan.
4.28. De kantonrechter is wél van oordeel dat [eiser] anderszins in zijn persoon is aangetast [en geen aantasting van de integriteit van een persoon]. De persoonlijke levenssfeer van [eiser] is bij herhaling door de gemeente geschonden vanwege het - in strijd met de AVG - meermalen publiceren van het BSN-nummer, het e-mailadres en het telefoonnummer van [eiser] op de gemeentelijke website, zonder dat [eiser] daarvoor toestemming aan de gemeente had verleend (vgl. r.o. 36 van de uitspraak van de Afdeling). Het gaat hierbij ook om naar hun aard gevoelige gegevens, zeker waar het betreft het BSN-nummer van [eiser] . De nadelige gevolgen van het lekken daarvan, zoals identiteitsfraude, liggen voor de hand. Daarom heeft [eiser] naar het oordeel van de kantonrechter recht op toekenning van een naar billijkheid vast te stellen vergoeding voor geleden immateriële schade. Gelet op de omstandigheden van het onderhavige geval, waaronder de aard, duur, frequentie en ernst van de inbreuk, afgezet tegen de omstandigheid dat niet is gebleken dat de datalekken tot concrete negatieve gevolgen hebben geleid, zal de kantonrechter deze schadevergoeding naar billijkheid vaststellen op een bedrag van € 500,00. Dit bedrag zal hierna worden toegewezen.
ECLI:NL:RBNNE:2021:106, Rechtbank Noord-Nederland, 8187989

Raad van State: Verzoeker heeft de beroepsgroep verlaten dus is publicatie van tuchtuitspraak niet meer noodzakelijk

De Raad van State heeft onlangs geoordeeld dat een voormalig advocaat terecht heeft gevraagd om een oude tuchtrechtelijke beslissing over hem niet langer online te publiceren. Nu de man de advocatuur heeft verlaten, dient verdere publicatie geen redelijk doel meer en kan verzoek tot wissing worden toegewezen.

ECLI:NL:RVS:2021:111, Raad van State, 201907939/1/A3

Mark Jansen van Dirkzwager analyseert in een blogpost enkele elementen uit de uitspraak. De beslissing op het "ontkoppelingsverzoek" moet inderdaad gezien worden als een besluit. Hij redeneert dat 'noodzakelijkheid' streng moet worden geinterpreteerd:

Het Hof van Justitie heeft in 2008 alweer in het Huber-arrest geoordeeld dat het begrip "noodzakelijk" Europees uniform moet worden uitgelegd en vooral ook beperkt en streng moet worden geïnterpreteerd (woorden als: "geen andere informatie dan noodzakelijk").
RvS: publicatie tuchtrechtelijke beslissing niet langer relevant na verlaten beroepsgroep
Hoe lang blijft het publiceren van gegevens over tuchtmaatregelen relevant? In ieder geval niet meer zodra betrokkene de beroepsgroep heeft verlaten. Dit arrest laat tevens tevens dat het begrip “noodzakelijkheid” eng moet worden uitgelegd. Lees er meer over in de blog.

Rechtbank: Afwijzing van een inzageverzoek, want 'interne correspondentie en notities' zijn geen relevante persoonsgegvens en het verzoek strookt niet met het doel van de AVG

4.28. Daarbij komt dat het inzageverzoek van [verzoekster] niet strookt met het doel en de strekking van de AVG. De persoon van wie gegevens worden verwerkt komt - gelet op de bescherming van het recht op eerbiediging van de persoonlijke levenssfeer met betrekking tot de verwerking van die gegevens – het recht op inzage toe teneinde te kunnen controleren of zijn persoonsgegevens juist zijn en rechtmatig worden verwerkt. Uit de stukken en de op de zitting door [verzoekster] gegeven toelichting kan worden afgeleid dat haar inzageverzoek voortkomt uit een bij haar in de familierechtelijke procedure gerezen wantrouwen jegens Jeugdbescherming en haar ex-partner [belanghebbende] ; zij vermoedt dat niet alle informatie met haar wordt gedeeld en dat zaken achter haar rug om worden beslist. Haar verzoek is er kennelijk op gericht om door middel van het inzageverzoek voor haar onbekende informatie te achterhalen met het oog op die familierechtelijke procedure en tegelijkertijd bevestigd te krijgen dat haar wantrouwen gerechtvaardigd is.
ECLI:NL:RBAMS:2020:2250, Rechtbank Amsterdam, C/13/673049 / HA RK 19-338

Rechtbank: Gemeente Maastricht hoeft veelpleger niet van Top-X-lijst te halen, want verwerking valt nog onder 'algemeen belang'-grondslag

11.1 In artikel 172 van de Gemeentewet is bepaald dat verweerder belast is met de handhaving van de openbare orde. Taken die verband houden met de handhaving van de openbare orde zijn taken van algemeen belang. Uit het bestreden besluit blijkt dat het nodig is dat eiser Top X geprioriteerd blijft om naar behoren een taak van algemeen belang te kunnen vervullen, als bedoeld in artikel 6, eerste lid, aanhef en onder e, van de AVG. Gelet op de overlast die eiser veroorzaakt, zijn psychische problematiek en de behandeling die hij daarvoor nodig heeft, maar nog niet krijgt, in samenhang bezien, kan de rechtbank dit standpunt volgen. De rechtbank heeft hierbij in aanmerking genomen dat eiser deze feiten en omstandigheden niet betwist. […] Ingevolge artikel 17, derde lid, aanhef en onder b, van de AVG was verweerder daarom niet verplicht de persoonsgegevens van eiser die in het kader van zijn Top X-prioritering binnen het Veiligheidshuis op grond van de AVG worden verwerkt te wissen.
ECLI:NL:RBLIM:2020:10272, Rechtbank Limburg, AWB 19/1801

Raad van State: Misbruik van recht in Wob-procedure is niet hetzelfde als misbuik van recht in AVG-procedure

Het achterhalen welke gemeenten persoonsgegevens van de verzoeker verwerker sluit aan bij het doel van de AVG. Dat het achterliggende doel is om schade te verzoeken op grond van artikel 82 AVG van dit verzoek, en ook van de andere inzageverzoeken die hij heeft ingediend, maakt niet dat het doel van het verzoek niet meer in overeenstemming is met het doel van de AVG. De rechtbank heeft terecht geoordeeld dat het college van B&W van Almere zich niet kon beroepen op misbruik van recht en het bezwaar ten onrechte niet-ontvankelijk heeft verklaard.

ECLI:NL:RVS:2021:107, Raad van State, 202000041/1/A3

Overheid

Algoritmes bij de overheid onder vergrootglas door risico op discriminatie

De NOS, de Algemene Rekenkamer en ACM onderzoeken algoritmes toegepast door de overheid:

Overheid gebruikt op grote schaal voorspellende algoritmes, ‘risico op discriminatie’
De overheid gebruikt steeds vaker algoritmes om bijvoorbeeld schooverlaters of fraude te voorspellen, maar dat brengt risico’s met zich mee.
Betere kwaliteitscontrole en meer inzicht voor burgers nodig bij algoritmes overheid
Algemene Rekenkamer ontwikkelt toetsingskader Net als bedrijven zet de rijksoverheid steeds vaker algoritmes in om handelingen te automatiseren, een probleem op te lossen of een voorspelling te doen. Een verantwoorde ontwikkeling naar complexere geautomatiseerde toepassingen vereist beter overzicht…
Onderzoek naar toezicht op algoritmische toepassingen | ACM.nl
Dit position paper is een vertrekpunt van waaruit de ACM het toezicht op algoritmische toepassingen verder wil ontwikkelen. Het biedt algemene handvatten voor onderzoeken naar overtredingen waarbij algoritmes een rol spelen.

Rapport van de Algemene Rekenkamer: 'Aandacht voor Algoritmes'

De Algemene Rekenkamer heeft onderzocht hoe de rijksoverheid algoritmes gebruikt. Net als bedrijven zet de rijksoverheid steeds vaker algoritmes in om handelingen te automatiseren, een probleem op te lossen of een voorspelling te doen. Een verantwoorde ontwikkeling naar complexere geautomatiseerde toepassingen vereist beter overzicht
Aandacht voor algoritmes
De Algemene Rekenkamer heeft onderzocht hoe de rijksoverheid algoritmes gebruikt. Net als bedrijven zet de rijksoverheid steeds vaker algoritmes in om handelingen te automatiseren, een probleem op te lossen of een voorspelling te doen. Een verantwoorde ontwikkeling naar complexere geautomatiseerde t…

Oproep aan de overheid: pas de risicoprofielen aan

Zet alvast die eerste belangrijke stap en zorg ervoor dat de risicoprofielen aangepast worden: nationaliteit en etniciteit mogen nooit onderdeel uitmaken van een (geautomatiseerd) risicoprofiel.
Dit nooit meer - zegt het kabinet | Controle Alt Delete
Oproep aan de overheid: pas de risicoprofielen aan

De Belastingdienst heeft nationaliteit in beginsel uit de risicoprofielen gehaald, zo blijkt uit een nota van de DG van de Belastingdienst 'Gebruik van nationaliteit in risicomodellen' van 20 januari 2020, gepubliceerd op 21 januari 2021:

In de risicomodellen die DF&A ontwikkelt wordt geen gebruik meer gemaakt van nationaliteit, tenzij daar een wettelijke grondslag voor is. Waar die er niet was, is nationaliteit inmiddels niet meer zichtbaar of bruikbaar voor de gebruiker en wordt nationaliteit uitgebouwd.

Op 19 januari 2021 werd de motie van Jesse Klaver aangenomen waarin de Tweede Kamer de regering verzoekt om datavariabelen die nationaliteit (kunnen) inhouden in risicoselecties volledig uit te sluiten en een algoritmeregister op te zetten.

overwegende dat het risico op discriminerende algoritmen niet wegge-nomen is door de indicator «nationaliteit» te verwijderen, omdat ook op basis van andere datavariabelen zoals geboorteplaats, postcode of zelfs IP-adres een profiel gebouwd kan worden, waartegen gediscrimineerd kan worden;

verzoekt de regering, het gebruik van nationaliteit, etniciteit en geboorte-plaats als datavariabele in alle risicomodellen, -profielen, -systemen, -selectie en zwarte lijsten die binnen het overheidswezen gebruikt worden volledig uit te sluiten;

verzoekt de regering, tevens te verzekeren dat ook zelflerende algoritmen in risicoclassificatiemodellen deze indicatoren niet gebruiken;

verzoekt de regering, voorts een algoritmeregister op te zetten waarin beschreven wordt welke algoritmen de overheid gebruikt, voor welk doel en op basis van welke datasets opdat iedereen toezicht kan houden op al dan niet discriminerende algoritmen,
Motie van het lid Klaver c.s. over opzetten van een algoritmeregister | Tweede Kamer der Staten-Generaal

Tweede Kamer publiceert verslag over 'Twee jaar toepassing van de AVG'

Het algemene verslag is voor professionals weinig interessant door de algemene conclusies.

Concluderend kan gesteld worden dat de AVG tot een veel grotere bewustwording heeft geleid bij de overheid, het bedrijfsleven en burgers van het belang van de bescherming van persoonsgegevens.   Tegelijkertijd   bestaat   er   ook   veel   onzekerheid   door   de onduidelijkheid  over  de interpretatie  en  handhaving  van  de  regels,  ook  tussen  de verschillende Europese lidstaten. Dit schaadt tevens het algemeen belang, bijvoorbeeld in het  geval  van  medische  zorg  en  onderzoek.  Ook  als  politiek  hebben  we de verantwoordelijkheid om deze onzekerheid en onduidelijkheid zo veel mogelijk weg te nemen en harmonisatie in Europa na te streven.

Het viel me wel op dat de rapporteur voorstelt meer sectorale privacyregels op te stellen.

Een  veelgehoorde  klacht  over  de  toepassing  van  de  AVG  is  dat  deze soms tot zeer onpraktische of onwenselijke gevolgen leidt. Als voorbeelden worden dan bijvoorbeeld de beperkingen genoemd die de wet zou opleggen aan de informatie-uitwisseling over fraudeurs of het delen van groepsfoto’s in het onderwijs of bij sportverenigingen. Vaak wordt in reactie op dergelijke klachten gesteld dat dit het gevolg is van een gebrek aan kennis en dat er binnen de AVG veel meer mogelijk is dan vaak wordt verondersteld. Dit gaat  echter  zeker  niet  in  alle  gevallen  op. Een oplossing  hiervoor  kan  soms  sectorale wetgeving zijn. De (algemeen geformuleerde) AVG biedt de ruimte om voor specifieke sectoren duidelijke privacyregels op te stellen.
Verslag rapporteur Twee jaar toepassing van de AVG | Tweede Kamer der Staten-Generaal

Het voorstel voor een nieuw regelgevend kader voor de gegevensverwerking door samenwerkingsverbanden

Een artikel van M.P. Beijer bespreekt de WGS en beschrijft hoe het bereik van de WGS op grond van het huidige voorstel nog kan worden uitgebreid tot andere samenwerkingsverbanden, als "die zich richten op – kortgezegd – de aanpak van ernstige criminaliteit en fraude".

Wanneer geautomatiseerde gegevensverwerking en profilering plaatsvindt, zal, zoals aan de orde is gekomen in de uitspraak inzake SyRI, ook duidelijkheid moeten worden gebracht over de precieze werking van de (technische) systemen die kunnen worden ingezet door de samenwerkingsverbanden. Daarover bestaan nog veel zorgen en vragen, zoals blijkt uit de vragen die in de voorbereiding van de behandeling van het wetsvoorstel in de Tweede Kamer al zijn opgekomen.
Het voorstel voor een nieuw regelgevend kader voor de gegevensverwerking door samenwerkingsverbanden · Tijdschrift voor Bijzonder Strafrecht & Handhaving · BJu Tijdschriften
BJu Tijdschriften is een online tijdschriftenplatform van Boom uitgevers Den Haag (Boom juridisch, Boom criminologie, Boom bestuurskunde en Eleven International publishing)

ADR onderzocht tekortkomingen in 'meldplicht datalekken'-proces van DUO

Het algemene beeld is dat DUO het proces rondom de meldplicht datalekken afdoende heeft ingericht overeenkomstig de Handreiking Autoriteit Persoonsgegevens. Op onderdelen zijn verbeteringen aan te brengen, maar er is geen sprake van tekortkomingen.

Rapport Proces Meldplicht Datalekken DUO
De ADR is gevraagd middels een onderzoek inzicht te geven in eventuele tekortkomingen in het proces van “meldplicht datalekken”. Het algemene beeld is dat DUO het proces rondom de meldplicht datalekken afdoende heeft ingericht overeenkomstig de Handreiking Autoriteit Persoonsgegevens. Op onderdelen …

Raad van State deelt niet-geanonimiseerde uitspraak met Kluwer die deze publiceert

De Afdeling bestuursrechtspraak van de Raad van State heeft onterecht een niet- geanonimiseerde uitspraak naar Kluwer heeft gestuurd, die dit op zijn beurt online heeft gezet. Betrokkene krijgt vervolgens EUR 500 schadevergoeding. (via @BartSchellekens)

Ministeries EZK en LNV publiceren Brochure informatiebeveiliging en privacy

Gids voor leveranciers met informatie over: wat wij van u verwachten als leverancier en de aanpak voor informatiebeveiliging en privacy van EZK [en LNV].

De brochure beschrijft normenkaders, voorwaarden en Te Beschermen Belangen van de ministerie voor leveranciers:

Brochure informatiebeveiliging en privacy
Gids voor leveranciers met informatie over: wat wij van u verwachten als leverancier en de aanpak voor informatiebeveiliging en privacy van LNV.

Zorg

Factsheet evaluatie CoronaMelderApp

Onderzoek: hoe weten we of CoronaMelder helpt tegen Corona? - CoronaMelder
Het coronavirus is er nog altijd. Dus is het belangrijk om juist nu alert te blijven. Daarom is CoronaMelder nu te gebruiken in heel Nederland.

Zorgaanbieder is verantwoordelijk voor logging en inzage in logging, naast inzage in medische dossiers, volgens minister Medische zorg en Sport

In antwoorden op Kamervragen over het datalek bij het Brabantse ziekenhuis merkt de minister op dat logging verplicht is en inzage daarin ook.

Ook neemt het Bravis ziekenhuis deel aan een landelijk programma waarbij alle Nederlandse ziekenhuizen zich in 2021 laten auditen op de toegangsbeveiliging van digitale patiëntendossiers.
Op grond van artikel 15 van de Algemene Verordening Gegevensbescherming (AVG) hebben mensen recht op inzage in hun medische gegevensen is er een klachtenmogelijkheid via de Autoriteit Persoonsgegevens (AP). Daarom is het verplicht loggegevens bij te houden.
In de VIPP-regeling stimuleer ik de ontwikkeling van patiëntportalen om patiënten zelf de regie over hun medische gegevens te kunnen laten voeren. In diverse portalen is het voor een patiënt mogelijk de logging direct online in te zien.
Beantwoording Kamervragen over het bericht Brabants ziekenhuis merkte jarenlang datalekken niet op’
Minister van Ark beantwoordt vragen over het bericht ‘Brabants ziekenhuis merkte jarenlang datalekken niet op’.

Media & politiek

COA deelde onrechtmatig gegevens van asielzoekers met politie

Zeker zeven jaar lang deelde het COA dagelijks structureel gegevens van al zijn bewoners met het Nationaal Vreemdelingen Knooppunt (NVIK) van de politie. Het ging om zeer persoonlijke en gevoelige informatie van alle   asielzoekers – als godsdienst,  etniciteit, naam, leeftijd, land van herkomst. Volgens juristen is het delen van die gegevens in strijd met de wet. Ook kan het leiden tot criminalisering van een groep onschuldige asielzoekers.
Tijdens hun intakegesprek net na hun aankomst in Nederland vroegen COA-medewerkers vluchtelingen een toestemmingsverklaring te tekenen. Daarin stond dat het COA hun gegevens deelt met de politie. Ook zou hun medische informatie met betrokken organisatiesgedeeld kunnen worden. Op het formulier van april 2020 kon alleen ‘ja’ worden aangekruist.
Grapperhaus erkent: delen van gegevens asielzoekers met politie was onrechtmatig
Schenden privacy: Door het COA gedeelde data behelsden persoonlijke en gevoelige informatie, als godsdienst, etniciteit, naam, leeftijd, land van herkomst.

De minister van JenV heeft de uitkomsten externe toetsing van de verstrekking van persoonsgegevens van COA aan politie gepubliceerd, samen met de DPIA 'COA NVIK' (uit 2015, er wordt een nieuwe gemaakt) en het Rapport externe toets Privacy Management Partners: 'Grondslag en verstrekkingen COA, een externe toets op de rechtmatigheid'.

PMP stelt dat in het onderzoek de evenredigheid van de verwerking bij NVIK van de dagelijkse bezettingsgegevensvan het COAonvoldoende vast is komen te staan. […] Het COA zal deze gegevens dan ook niet langer verstrekken.
Conform de bevindingen en het advies van de functionaris gegevensbescherming (FG) van de politie, worden de betreffende verzameling van persoonsgegevens verwijderd en de systemen geschoond.

NVIK blijft echter een beperktere set van individuele verblijfsgegevens van de vreemdelingen verwerken:

De FG van het COA is akkoord gegaan met verstrekken vanuit het COA aan de politie en de  FG  van  de  politie  is  akkoord  gegaan  met  het  verwerken  door  NVIK  van  deze beperkte set gegevens.
TK Uitkomsten externe toetsing verstrekking persoonsgegevens van COA aan politie

Inlichtingenbureau spoort fraudeurs op voor gemeenten, als 'verwerker'(?)

Het Inlichtingenbureau is een vrij onbekende instantie, maar het verzamelt toch al sinds 2001 alle overheidsdata van bijstandsgerechtigden en koppelt deze met elkaar, op zoek naar mogelijke fraudeurs. De data komen van organisaties zoals het Uitvoeringsinstituut Werknemersverzekeringen (UWV), de Sociale Verzekeringsbank (SVB), de Belastingdienst,  Dienst Uitvoering Onderwijs (DUO), gemeenten en de Rijksdienst voor het Wegverkeer (RDW) Ja, ook het RDW, want zo kunnen ze zien wat voor type auto je hebt.
Een uitkering gehad? Het Inlichtingenbureau ziet álles
Hoe werkt het Inlichtingenbureau dat gemeenten helpt te controleren of mensen recht hebben op een bijstandsuitkering?

AP eist opheldering over dataverwerking van Inlichtingenbureau

Autoriteit Persoonsgegevens eist opheldering over dataverwerking van burgers
De Autoriteit Persoonsgegevens vreest dat burgers opnieuw slachtoffer kunnen worden van onrechtmatig overheidshandelen, en eist daarom opheldering van het Inlichtingenbureau over de manier waarop ze gegevens van burgers verwerkt.

AP waarschuwt over het conceptvoor wijziging van de Telecommunicatiewet in verband met informatieverstrekking aan het RIVM

De AP acht de noodzaak voor deze ingrijpende maatregelen nog onvoldoende onderbouwd, de gekozen systematiek nog niet evenwichtig-ook in Europees perspectief -en is van oordeel datbelangrijke waarborgenin de wetstekst nog ontbreken
Privacywaakhond: huidig wetsvoorstel telecomdata delen RIVM niet invoeren
In het voorstel worden providers verplicht data geanonimiseerd beschikbaar te stellen. De Autoriteit Persoonsgegevens heeft grote bezwaren tegen de wetgeving.

Daarnaast is ook de Gegevensbeschermings-effectbeoordeling (PIA) van het Ministerie EZK – DG B&I Directie Digitale Economie van 25 mei 2020 gepubliceerd over deze voorgestelde wijziging.

Bij het onderzoek naar binnenlandse afstand en adoptie tussen 1956 en 1984 was een inbreuk op de persoonsgegevens

Aan de mensen die hun verhaal hebben gedaan, had schriftelijk om toestemming gevraagd moeten worden voor het gebruiken en bewaren van het gesprekverslag. Ook hadden alle aanmelders de mogelijkheid moeten krijgen hun verslag te controleren en te corrigeren.
De Minister voor Rechtsbescherming laat de Auditdienst Rijk onderzoeken of de verificatie- en correctieprocedure zo is ingericht dat de persoonsgegevens van u en alle andere aanmelders goed beschermd blijven.
Stand van zaken onderzoek naar binnenlandse afstand en adoptie tussen 1956 en 1984
Alle mensen die zich in de periode tussen september 2019 en 31 juli 2020 bij het Aanmeldpunt Binnenlandse afstand en adoptie hebben gemeld, ontvangen deze week een bericht van Fiom of het Verwey-Jonker Instituut. Daarin informeert het ministerie van Justitie en Veiligheid hen over de stand van zake…

'Overheid en overheidsbestuur digitaliseren helemaal als een razende. Maar rechter en parlement blijven hierbij ver, ver, ver achter.'

De macht ligt allang niet meer bij het parlement
Niet iedereen hoeft dit te lezen. Het is gepriegel. Of, nee, juist geen gepriegel, het is de grote lijn, maar het oogt als gepriegel. Het gaat over de veranderingen in het recht, en zoals Herman Tjeenk Willink vorige week in NRC schreef: „Belangstelling voor de veranderende rol van het recht in de s…

Evaluatie 2020 op de 'Wet op de inlichtingen- en veiligheidsdiensten 2017'

De  Wiv  2017  sluit  onvoldoende  aan  op  de  technologische  complexiteit  en  de  dynamiek  van  de  operationele  praktijk  van  de  diensten.  Daarnaast  zijn  belangrijke  begrippen  van  de  wet  niet  altijd  even  consistent,  duidelijk  en  techniekonaf hankelijk  geformuleerd  en  afgebakend.  In  geval  van  geschillen  over  die  begrippen  of  over  de  open  normen  uit  de  wet,  biedt  de  wet  geen  mogelijkheid tot geschilbeslechting. Het ontbreekt de Wiv 2017 verder aan een regeling voor de omgang  met  bulkdata  en  aan  voldoende  uitgewerkte  normering  van  de  internationale  samen-werking  tussen  diensten.

FOD Financiën haalt UBO-register offline na mogelijk uitlekken persoonsgegevens

De Belgische Federale Overheidsdienst Financiën heeft het UBO-register offline gehaald na een mogelijke kwetsbaarheid. In het register staan gegevens van vennootschappen en andere organisaties, maar het bleek mogelijk er rijksregisternummers van Belgen uit te achterhalen.
Tweakers

In Nederland is Privacy First een zaak tegen de Staat begonnen over het onlangs ingevoerde UBO-register. In kort geding wordt de ongeldigheid ingeroepen van de regelgeving waarop het UBO-register is gebaseerd. Alle ruim 1,5 miljoen juridische entiteiten die in het Handelsregister zijn ingeschreven moeten informatie over hun UBO’s (‘ultimate beneficial owners’ of wel ‘uiteindelijk belanghebbenden’) openbaar maken. Het UBO-register is voor iedereen toegankelijk, voor € 2,50 per opvraging.

Privacy First start rechtszaak tegen privacyschendend UBO-register
Privacy First maakt een principiële procedure aanhangig tegen de Staat over het onlangs ingevoerde UBO-register. In kort geding wordt de ongeldigheid...

Call center workers pay for the privilege

If you only learn one technical term from labor economics, make it "chickenization" – Christopher Leonard's term for the way that the Big Three poultry processors have structured the chicken-farming industry (I learned it from Zephyr Teachout).
Pluralistic: 02 Oct 2020 – Pluralistic: Daily links from Cory Doctorow

Naleving & toezicht

AVG-quiz voor organisaties opgezet door BDO

Quiz - BDO Privacy Dilemma Quiz
Quiz - BDO Privacy Dilemma Quiz