Data Protection - March 2021
European supervisory authorities 🇫🇷🇪🇸🇮🇹🇳🇱 keep fining organisations for clear GDPR and ePrivacy violations. The current ePrivacy Directive enforceforment keeps clear from one-stop-shop mechanisms under the GDPR. This might change when the final text of the ePrivacy Regulation 🇪🇺 will be adopted.
🇪🇺 European developments
EDPB 🇪🇺 raised pre-Trilogue concerns on the ePrivacy Regulation
In no way the ePrivacy Regulation can be used to de facto change the GDPR.In this regard, the Council’s position is raising a series of concerns and the EDPB wishes to point issues, which should be addressed in the upcoming negotiations.
Bavarian SA 🇩🇪 declares transfers to Mailchimp prohibited due to lack of controller’s assessment and supplementary measures
On March 15, 2021, the state Supervisory Authority of Bavaria declared the use of U.S. e-mail marketing service Mailchimp by a fashion magazine (acting as controller) in Bavaria impermissible due to non-compliance with Schrems II mitigation steps in relation to the transfer of e-mail addresses to Mailchimp in the U.S. However, the Bavarian SA decided not to impose a fine for the following reasons:
- The DPA accepted the controller’s argument that the final version of the draft European Data Protection Board’s recommendations on supplementary measures post Schrems II has not yet been issued;
- The use of Mailchimp’s services by the company was limited, since the service was only used to send newsletters twice. Therefore, “only a few cases of inadmissible data were transmitted.” In addition, the types of personal data involved (i.e., e-mail addresses) are “still relatively manageable in sensitivity.” Taken together, the “present infringement is still to be classified as minor with regard to its nature and gravity, and in particular only a slight degree of negligence;” and
- The company cooperated and committed that it will immediately stop using Mailchimp’s services.
The CNIL's 🇫🇷 cookies transition period has ended: organizations in France must comply with the CNIL’s revised guidelines on cookies and trackers
In order to enable stakeholders to implement the necessary measures to comply with the Revised Guidelines, the CNIL announced in October 2020 a transition period during which the authority stated that it will not enforce the new obligations regarding cookies and other trackers resulting from the Revised Guidelines (i.e., additional data subject information, end of implicit consent, obligation to enable users to refuse cookies “as easily” as it is to consent – i.e., the “refuse all” button, obligation to retain evidence of users’ choices) and Recommendations.
These Guidelines and Recommendations include:
- Conditions of valid consent: granular per-purpose consent must be collected, which means that a general consent for all cookies is not acceptable, as it does not provide the user with a real specific choice. A consent must be collected for each purpose of cookie and manifested by a clear and positive action of the user
- Cookie walls: Challengeable when not having buttons or links for “accept all cookies”/ “refuse all cookies” options displayed with the same format, size, and type in the cookie banner. The CNIL provides an example of a cookie banner with similar buttons for “accept all”, “refuse all” and “personalize my choices.” Combined with the first recommendation, "all" presumably refers to a single purpose.
- A list of cookies and trackers exempt from consent
- Withdrawal of consent: Users must be able to withdraw consent at any time and easily as providing consent or indicating refusal. Cookie consent configuration from web browsers or operating system is not sufficient
The AEPD 🇪🇸 imposed a record fine of EUR 8.125m on Vodafone España due to the continuous and numerous violations of several provisions, including Articles 28 and 44 GDPR, the Spanish Information Society Services Act implementing the e-Privacy Directive and the Spanish Telecommunications Act
The AP 🇳🇱 issues EUR 450K euro fine over late breach reporting
The Dutch Supervisory Authority, Autoriteit Persoonsgegevens, fined Booking.com 450,000 euros for violations related to a 2018 breach. The AP alleges the reservation service provider did not report a breach involving more than 4,100 customers until 22 days after the incident came to light. The delay fell outside of the 72-hour breach notification requirement. AP Vice President Monique Verdier said breaches can "happen anywhere" despite "good precautions," however, she added that "you have to report this in time" to protect customers. Some data protection experts are critical on the approach to fine the late reports instead of going after the breaches that haven't been reported at all.
The Polish SA 🇵🇱 (Urząd Ochrony Danych Osobowych) fined energy company EUR 30k for failing to report a data breach
District court of Amsterdam 🇳🇱: Uber has a selected duty to provide right of access when firing drivers 'automated'
The court holds there are no decisions based solely on automated processing, therefore Article 22 GDPR does not apply. Uber still has to provide some information about the specific accusations that led to the decision to deactivate the accounts and individual passenger rating, driving behaviour, phone use data during rides, percentage of accepted rides and, if deactivated; the access to data supporting the decision in so far necessary to understand the decision. Uber doesn't have to provide access to to other elements of the driver profile, such as manual notes on driver, tags, reports. With reference to the strict interpretation of Article 22 GDPR in this CoE report by F. Zuiderveen Borgesius. In responce to the verdict R. Mahieu published a Q&A. Side note: the court also published a case regarding the drivers app 'Ola'.
Regional Court Berlin 🇩🇪 stopped the fine proceeding against the company Deutsche Wohnen SE, which the SA fined €14.5m for violating erasure periods (Article 5(1)(c) and (e) GDPR)
Regional court of Rostock 🇩🇪 held that tracking cookies can only be placed with the user's active consent. A preset permission that is only to be confirmed via an "OK" button is not sufficient.
The court also held that the use of Google Analytics results in joint controllership of the website provider using this tool and Google.
CNIL 🇫🇷 investigates Clubhouse for possibly ignoring GDPR at all
France's supervisory authority announced an investigation into Clubhouse's privacy compliance. The CNIL noted its review of GDPR compliance does not fall under the one-stop-shop mechanism because the audio-based social media application has no establishment in the EU.
The investigation must confirm that the GDPR is applicable to the company and determine whether it is being ignored. If it is confirmed that the application published by this company does not comply with the GDPR, the CNIL may, if necessary, use its own repressive powers.
The superior administrative court of Saarland 🇩🇪 found that for direct marketing processing consent wasn't validly registered, can be challenged under competition law and legitimate interest can't be the legal basis
The AEPD 🇪🇸 issued a warning to a pub for recording and disseminating the image of its customers on their social networks without a legal basis
The complainant alleged that the dissemination of the images caused him serious harm, since he could be seen kissing a person who was not his couple.
The AEPD 🇪🇸 held that providing users with only a “generic” means for giving consent breaches Article 7 GDPR and that the website’s cookie policies breached Spanish national law
The privacy policy stated that personal data would only be used for “strictly necessary purposes”, but also that marketing was an object of the processing, without providing an option to reject cookies. The AEPD also held the website breached Article 22(2) of the Law 34/2002 (LSSI), the Spanish law implementing the e-Privacy Directive. For this, Canary Click was fined €8,000, i.e. €2,000 per URL.
The Garante 🇮🇹 fined the national social security institute EUR 300k for various Covid aid processing violations
The Italian national social security institute (INPS) has provided financial aids to Italian citizens in order to face the Covid crisis. To access this aids, citizens were required to satisfy certain criteria. The INPS, in order to speed up the process to obtain the aid, first assessed the request only on the basis of the documentation provided in the request by the applicant, and just in a second moment, after the dispensing of the aid, carried out a more specific investigation for every applicant.
- The examination of holders of public offices has been carried out before the excluding them from financial aid. This found to be a violation of the principles of lawfulness, fairness and transparency from Article 5(1)(a) GDPR.
- The processing was not limited to who received the aid, but included who had already been refused, which was in violation of the principle of adequacy and data minimisation from Article 5(1)(c) GDPR.
- The fact that tax information has been generated from open data and not obtain by official sources and thus potentially erroneous, was violating the principle of adequacy from Article 5(1)(d) GDPR.
- The SA also considered that all the previous violations constituted together the violation of privacy by default and by design from Article 25 GDPR and the liability principle of 5(2) GDPR.
- The SA finally found out that the provision on impact assessment, from Article 35 GDPR was also violated because the existence of a high risk was not adequately weighed, requiring the conduct of a DPIA, and the DPO was not adequately involved.
The Garante 🇮🇹 fined a local public health body EUR 30k for using an attendance detection system based on biometric data of employees
The Datatilsynet 🇳🇴 fined a municipality approx. EUR 5k for requiring students to use the fitness app Strava in gym classes
The municipality did not conducted a risk assessment and a DPIA first, and for the lack of security routines, thus breaching Article 32(1)(b) cf. Article 5 GDPR, Article 35 and Article 24(1), respectively.
The AEPD 🇪🇸 fined the owner of a property that he rented out EUR 5k
The defendant had placed a video camera inside the rented property which went beyond filming the entrance as he claimed. This breached Article 5(1)(c) GDPR.
The Datatilsynet 🇳🇴 fined a company approx. EUR 25k for requiring an employee to forward all emails to a shared inbox, on a continuous basis, despite her objections
The Urząd Ochrony Danych Osobowych 🇵🇱 fined the National School of Judiciary and Public Prosecution approx. EUR 22k for failing to apply security measures and concluding processor clauses
The Garante fined an outpatient clinic EUR 2k for failing to respond to an access request within the time limits imposed by Article 12(3) GDPR
Belgian SA 🇧🇪 publishes new data protection toolkit
New practical documents for data controllers, processors and DPOs were prepared, such as simple registry templates of processing activities for controllers and processors
Guide book by EDRi “Targeted Online” sheds light on opaque data industry and explores how EU law should regulate it
This is the first blog post in a new series dedicated to the EU’s proposed Digital Services Act and Digital Markets Act.
EDRi and Politico on racism in artificial intelligence
Human rights mustn’t come second in the race to innovate, they should rather define innovations that better humanity.
Douwe Korff: inadequacy of the EU Commission’s 🇪🇺 Draft GDPR Adequacy Decision on the UK 🇬🇧
The UK ICO continues to fail to properly enforce the law in the vast majority of cases – even when it itself concludes that the law has been broken.
The elephant in the room: The Draft Decision completely fails to assess (or even note) the UK’s intelligence agencies’ actual surveillance practices.
Thesis: Between empowerment and manipulation - The ethics and regulation of for-profit health apps
In the digital society, many of our everyday activities take place within digital choice architectures that become increasingly good at understanding and shaping our behavior. Health apps are a perfect example of this trend: they are easy to download and use and promise user empowerment. By collecting and analyzing user data, health apps promise to be able to ‘get to know’ their users and deliver personalized feedback and suggestions for better health outcomes. But this promise of user empowerment also comes with a risk of user manipulation.
AI story: Nothing Breaks Like A.I. Heart - An essay about artificial intelligence, emotional intelligence, and finding an ending
Technology: Solitude, a privacy analysis tool by NCCgroup
Article: "I Tried to Use the Ad Tech Industry’s Tool to Opt Out of Personalized Ads. Did It Work?"
NGOs: “Ban Surveillance Advertising.”
In an open letter posted today, a coalition defines surveillance advertising as “the practice of extensively tracking and profiling individuals and groups, and then microtargeting ads at them based on their behavioral history, relationships, and identity.”
Game: Cookie consent speed run
Since GDPR came into our lives, we've all had to struggle with obtaining our basic privacy rights. With each cookie banner we have all been honing our skills, learning to navigate ambiguous options and distrust obvious buttons.
Now is your chance to show what you have learnt.
🇳🇱 Nederlandse ontwikkelingen
Jurisprudentie
Rechtbank: Ministerie van Buitenlandse Zaken is met feitelijke invloed en zonder verwerkersbepalingen zelf de verwerkingsverantwoordelijke van een onderzoek ter plaatse
5.3. Naar het oordeel van de rechtbank moet verweerder in dit geval, gelet op het voorgaande, worden aangemerkt als verwerkingsverantwoordelijke. Hoewel verweerder zich op het standpunt heeft gesteld dat de Nederlandse ambassade in Baku in opdracht van de DT&V onderzoek ter plaatse heeft laten verrichten door een vertrouwenspersoon, dat het door de DT&V vastgestelde doel een identiteitsonderzoek was en dat hij slechts als bemiddelaar heeft gefungeerd, heeft hij hiermee niet afdoende (met stukken) onderbouwd dat de doelen en de middelen van de verwerking door verweerder door de DT&V zijn vastgesteld en dat hij zelf geen feitelijke invloed heeft gehad op de verwerking van de persoonsgegevens van eiser. De stellingen van verweerder ter zitting dat een identiteitsonderzoek in opdracht van DT&V altijd wordt uitgevoerd door inschakeling van een vertrouwenspersoon en dat hij slechts een kleine rol heeft bij het doorgeven van een onderzoeksvraag aan een vertrouwenspersoon, doen daaraan – de ruime uitleg van het begrip ‘verwerkingsverantwoordelijke’ indachtig – niet af. Ook heeft verweerder geen overeenkomst overgelegd of toegelicht in welke andere rechtshandeling krachtens het Unierecht of het lidstatelijke recht de verwerking is geregeld.
Rechtbank stelt dat inzagerecht beperkt is tot de ruime persoonsgegevens die op betrokkene betrekking hebben, niet op vader en moeder
De uitspraak is in het verlengde gedaan van de hiervoor genoemde uitspraak waar de rechtbank Rotterdam concludeerde dat het Ministerie van Buitenlandse Zaken verwerkingsverantwoordelijke is en niet het Ministerie van Justitie en Veiligheid (DT&V).
Rechtbank: Samenwerkingsverband is geen verwerkingsverantwoordelijke, dat zijn de convenantpartners (gezamenlijk)
De rechtbank Noord-Nederland stelt dat daarom het inzageverzoek tegen het samenwerkingsverband niet-ontvankelijk is.
Het feit dat het RIEC Noord-Nederland een eigen postadres, telefoonnummer en e-mailadres heeft maakt nog niet dat het RIEC Noord Nederland een zelfstandige entiteit is die voor eigen doeleinden gegevens verwerkt. Dit volgt evenmin uit het feit dat er op het internet bepaalde uitlatingen staan, waar [verzoekers] ter onderbouwing van zijn standpunt naar verwijst. De stelling van [verzoekers] dat uit artikel 5 van het Privacyprotocol RIECs-LIEC zou blijken dat het RIEC een zelfstandige entiteit is die voor eigen doeleinden gegevens verwerkt kan de rechtbank niet volgen. (r.o. 4.6)
RvS: Niet álle chatberichten bewaren voor de Archiefwet
H.S. ten Cate schrijft in AB Rechtspraak Bestuursrecht (afl 11 2021/86) over de WhatsApp, sms en vergelijkbare berichtendiensten binnen het toepassingsbereik van de Wob op basis van een uitspraak van de Raad van State van 11 oktober 2020. De Archiefwet verplicht niet tot het bewaren van álle chatberichten. Dat kan zelfs in strijd zijn met de AVG. De Wob schrijft wel voor dat vanaf het moment dat een Wob-verzoek wordt ingediend, het behoud van de archiefbescheiden (ook uit berichtendiensten) volledig dient te worden gewaarborgd.
Een bestuursorgaan dient dan ook na de indiening van een verzoek om informatie op grond van de Wob de documenten waarop dat verzoek ziet, te bewaren. Omdat de minister hoger beroep had ingesteld kon hij hiermee wachten. Wel moest de minister zorgen dat de sms- en WhatsApp berichten niet verloren zouden gaan. De Afdeling constateert dat de minister eerst na de uitspraak van de Afdeling van 20 maart 2019 actie heeft ondernomen wat betreft de op de bestuurlijke aangelegenheid betrekking hebbende sms- en WhatsApp-berichten. De minister heeft er daarom onvoldoende op toegezien dat deze tot die tijd niet werden vernietigd. Derhalve kan niet worden geoordeeld dat de minister heeft voldaan aan zijn bewaarplicht. De mededeling van de minister dat er geen sms- of WhatsApp-berichten onder hem berusten die onder de reikwijdte van het Wob-verzoek vallen, is niet ongeloofwaardig. Berichtenapps zijn niet in beheer van de overheid en de technische functionaliteit voor informatiebeheer binnen de berichtenapps is zeer beperkt. De Afdeling ziet daarom geen grond voor het oordeel dat de door de minister verrichte zoekslag onvoldoende, dan wel onvolledig is geweest.
RvS geeft kader voor verdere verwerking van persoonsgegevens (art. 6 lid 4 AVG) door de overheid
In de Gemeentestem (Gst. 2021/29) schreven C.N. van der Sluis & R. Wiekeraad over een verzoek tot wissing bij de gemeente Bladel en een uitspraak van de Raad van State van 30 september 2020. Daar ging het over de afwijzing van een verzoek tot wissing. Daarbij werd onderzocht of de verwerking noodzakelijk is wegens een lopende of dreigende (civiele) procedure.
Het is een opvallende uitspraak, omdat de Afdeling hierin een kader heeft gegeven voor secundair gebruik door een bestuursorgaan van de gemeente (verdere verwerking van persoonsgegevens die niet door het bestuursorgaan van de gemeente zijn verzameld; zie artikel 6 lid 4 Algemene Verordening Gegevensverwerking (AVG)). Opvallend ook, omdat in dit geval het college van burgemeester en wethouders (het college) op enig moment de grondslag voor de bestreden beslissing heeft gewijzigd. [...] Daarnaast staan we stil bij het belang van artikel 17 lid 3 AVG en het idee van secundair gebruik.
Rechtbank concludeert dat betrokke geen toestemming hoeft te verlenen voor het inschakelen van een verwerker door verwerkingsverantwoordelijke
4.6 Naar het oordeel van de rechtbank stond het [naam partij] als verwerkingsverantwoordelijke vrij om te besluiten de persoonsgegevens binnen de organisatie te verwerken, of om de verwerkingen uit te besteden aan een externe organisatie als verwerker, zijnde in dit geval DEX Online Services.
Rechtbank komt tot onbevredigende slotsom dat ziekenhuis door overmacht de identiteit van zaaddonor niet hoeft prijs te geven
Een vordering van moeder en dochter tot verstrekking van gegevens van de zaaddonor door het ziekenhuis waar de ivf-behandeling heeft plaatsgevonden slaagt niet. De donor trekt zijn aanvankelijke instemming met het delen van zijn gegevens naderhand in. Beroep op overmacht van het ziekenhuis, gebaseerd op het overgangsrecht van de Wet donorgegevens kunstmatige bevruchting, die anonieme donatie verboden maakt, op basis van onmogelijke belangenafweging uit art. 7 lid 1 IVRK en art. 8 EVRM.
Overheid
Ombudsman: Overheid dient actief uit te leggen op basis waarvan de burger geselecteerd wordt
Iedereen moet op dezelfde manier behandeld worden. Maar toch vertellen burgers de Nationale ombudsman dat zij eruit worden gepikt vanwege hun etniciteit. En daardoor het vertrouwen in de overheid kwijt zijn geraakt. De ombudsman heeft onderzocht hoe de overheid moet omgaan met klachten over etnisch profileren.
In reactie nog een scherpe beschouwing van A. Engelfriet: "deze criteria zijn geen voorspellers. Desondanks blijft het idee hardnekkig, met name nu we steeds vaker met data-analyses werken die dan objectief zouden zijn."
Daarnaast schreef Prof. mr. Janneke Gerards over haar gepubliceerde studie 'Algorithmic Discrimination in Europe', die is voorbereid in samenwerking met het European network of legal experts in gender equality and non-discrimination.
Een pleidooi voor meer gegevensbescherming in het bestuursrecht
F. Çapkurt publiceert in het Nederlands Tijdschrift voor Bestuursrecht (NTB 2021/62) over de toeslagaffaire en de aansluiting van de Awb op de AVG.
Wel is al duidelijk hoe desastreus het kan uitpakken voor burgers wanneer bestuursorganen zich voor het nemen van ingrijpende beslissingen laten leiden door onrechtmatige, onjuiste en geheime persoonsgegevensregistraties. Maar heeft het bestuursrecht hier oog voor? Te weinig, helaas. Dat heeft alles te maken met het besluitbegrip. De Algemene wet bestuursrecht (Awb) normeert primair de publiekrechtelijke rechtshandeling waarmee het bestuursorgaan eenzijdig ingrijpt in de rechtspositie van de burger: het besluit. Dat is de kracht van de Awb, maar tegelijkertijd ook haar achilleshiel. Hetgeen aan een besluit voorafgaat, blijft daardoor buiten het zicht van het bestuursrecht. Dat geldt ook voor de verwerking van persoonsgegevens. Die wordt bestuursrechtelijk beschouwd als een feitelijke handeling, omdat de registratie van persoonsgegevens als zodanig niet gericht is op enig rechtsgevolg. De toeslagenaffaire laat echter zien dat deze benadering niet langer houdbaar is.
Ministerie van J&V publiceert samenvatting indrukken en leerpunten leerevaluatie respons Citrix
Mede-overheden: Een belangrijke les is dat er geen centraal informatieknooppunt voor provincies is en er tevens geen computercrisisteamis ingeregeld. Verder gaven de mede-overheden aan vaker cyber te willen beoefenen. Dit past ook bij de inspanningen van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) en de Vereniging Nederlandse Gemeenten (VNG) om tot cyberoefenpakketten te komen. Wat het voor sommigen lastig maakte gedurende de Citrix-gebeurtenissen is het feit dat de situatie een politieke lading kreeg. Hierdoor raakten bestuurlijke aspecten en meer operationele informatie en acties verweven.
De Eerste Kamer publiceerde opnieuw WRR rapport Voorbereiden op digitale ontwrichting
Zorg
ADR publiceert onderzoeksrapport na datalek donorregister
De Auditdienst Rijk heeft de werkwijze en procedures van het CIBG voor de omgang met externe gegevensdragers onderzocht en gepubliceerd in de "inventarisatie maatregelen t.a.v. beheer externe gegevensdragers Donorregister".
Handelingsperspectief: in het belang van de burger dient het aantal medewerkers dat diens gegevens verwerkt in het kader van de AVG tot een minimum beperkt te worden & Verwerkersovereenkomsten-/afspraken zijn niet op orde
Georganiseerde hackersgroep SilverFish richt zich op Nederlandse zorg
Tekenen van SilverFish zijn gezien bij zeker een tiental Nederlandse zorgorganisaties. Onderzoek moet uitwijzen wat de gevolgen daarvan zijn. In deze blogpost geven we alvast antwoord op de meest gestelde vragen over SilverFish.