Data protection - October 2020

The first monthly data protection newsletter with 🇪🇺 and 🇳🇱 developments, ideas and resources for October 2020.

Data protection - October 2020

🇪🇺 European developments

Dutch government expects EDPB to clarify impact of Schrems II any day now and new SCCs this November

The Dutch Minister of Legal Protection states that the joint European privacy regulators are working together on tools to help companies and organisations determine what additional measures they could take to ensure an adequate level of protection after Schrems II. These guidelines are expected in October and the modernisation of the SCCs in November, although not stated in this document. The Minster will request further information on this modernisation. Also, he states that the European Commission is in talks with the US for an adequacy decision and in preparations for an adequacy decision for the UK (which may not be in time).

Sources (in Dutch):
Answers given by Minister Dekker (Legal Protection), also on behalf of the State Secretary for Finance - Tax and Customs Administration and the Minister for Finance (received on 12 October 2020) to Parliamentary questions and a Letter from the Minister for Legal Protection regarding questions from NL-digital (Dutch ICT branch organisation) regarding Schrems II.

Wel is de Europese Commissie op dit moment in gesprek met de VS met het oog op het nemen van een nieuw adequaatheidsbesluit ter reparatie van de door het Hof geconstateerde gebreken in het Privacy Shield. Het is ingewikkeld om een snelle oplossing voor het ongeldig verklaarde Privacy Shield te bieden. Sinds Schrems II kan niet langer gezegd worden dat persoonsgegevens in de VS voldoende beschermd worden en veilig zijn. Verwerkingsverantwoordelijken dienen betrokkenen hierover duidelijk te informeren.

The Minister states that preparations for an adequacy decision for the UK 🇬🇧 may possibly not be concluded in time (this year) and concluding SCCs or BCRs will be therefore be necessary for structural data transfers to the UK. The Minister refers to the statement by the EDPB there will be no 'grace period' regarding Privacy Shield transfers.

Wanneer het onderzoek van de Commissie en de procedurele vervolgstappen niet vóór 31 december 2020 naar tevredenheid zijn afgerond, zullen bedrijven en organisaties die (structureel) persoonsgegevens doorgeven aan het VK eveneens moeten terugvallen op SCC’s of BCR’s.
Bij een eerstvolgende gelegenheid zal ik de Commissie vragen naar de stand van zaken omtrent de reeds aankondigde modernisering van deze SCCs
EDPB eerder heeft laten weten geen ruimte te zien voor een transitieperiode waarin nog niet direct handhavend wordt opgetreden tegen doorgifte gebaseerd op het ongeldig verklaarde PS-besluit

Interestingly, the minister of Finance sees no reason to assume that the US does not provide adequate data protection when it comes to exchanging personal data on the basis of the FATCA (a US standard for automatic exchange of financial accounts data) and specifically the Dutch-US treaty NL IGA based on this standard.

[De optimale score van de US bij de Global Forum on Transparancy and Exchange of Information for Tax Purposes] geeft de Minister van Financiën geen aanleiding om te veronderstellen dat de VS geen adequate gegevensbescherming biedt als het gaat om het uitwisselen van persoonsgegevens op basis van de NL IGA.

French Court refuses to suspend Microsoft’s hosting of a public health data lake despite CNIL opinion based on Schrems II

The French Administrative Supreme Court (Conseil d’Etat) ruling did not follow CNIL’s strong position and did not grant a requested suspension of a health data lake hosted by Microsoft. The Conseil d’Etat ruled that (i) the health data lake hosted by Microsoft should not yet be suspended and (ii) Microsoft has 15 days to demonstrate that its hosting and processing does not entail any transfer of personal data outside of the EU.

French Court refuses to suspend Microsoft’s hosting of a public health data lake despite CNIL opinion (the Health Data Hub case – Part 2)
On October 14, 2020, the French Administrative Supreme Court (Conseil d’Etat) published its decision in a lawsuit requesting that the French health data platform (Health Data Hub) be suspended f...

German and Dutch case-law on immaterial damages for GDPR infringements

Claims for damages under Article 82 GDPR are becoming increasingly popular among data subjects to file claims for damages against organisations for alleged GDPR infringements. The German case-law concludes that a mere GDPR infringement does not automatically justify a damage claim, according to Hogan Lovells' Henrik Hanssen.

A similar line can be found in Dutch 🇳🇱 cases under 'Overheid' in this newsletter. In these cases the Dutch Council of State found that a violation of the GDPR does not generally entitle the data subject to claim for damages. It found that the claimant must always provide sufficient evidence of the actual damages suffered.

Germany: New case-law on immaterial damages for GDPR infringements
When it comes to infringements of the EU General Data Protection Regulation (GDPR), the first thing that comes to mind are proceedings and fines imposed by the data protection authorities. It is often...

Three Uber drivers request Amsterdam court to overrule the automated decisions regarding alleged fraudulent activities and the deactivation of their account

The unions of the drivers have filed a complaint in the Amsterdam district court to challenge Uber’s practice of robo-firing of drivers by algorithm. The court request refers to the right to certain protections from automated decisions which create negative affects carried out without meaningful human intervention, Article 22 of the GDPR.

Uber Drivers challenge dismissal by algorithm - Ekker Advocatuur
On 26 October 2020, three drivers from the United Kingdom and a driver from Portugal filed an application with the District Court of Amsterdam. The drivers request a court order...

The Dutch SA has started investigations for not notifying of data breaches within 72 hours

The Dutch Supervisory Authority has informed certain organisations that an investigation has been started into data breach(es) that were (possibly) reported too late to the SA. My translation of two excerpts of a letter to these organisations:

Your justification for reporting the data breach to the SA later than 72 hours after the discovery is considered to be unfounded. As soon as your organisation became aware of the incident referred to above, your organisation should have recognised the incident not only as a personal data breach, but also, based on the nature of the personal data (...) present, made a risk assessment and then, without unreasonable delay, reported the breach to the SA within 72 hours. It is at the expense and risk of your organisation that the breach, after being recognised as a breach, has not been passed on directly to the person with final responsibility for the breach.


If the SA finds that your organisation again reports a data breach too late, or in the event that the SA receives new signals and/or complaints about data breaches that should be reported to the SA under the GDPR but have not been reported by your organisation, the SA can start an investigation and possibly take additional enforcement measures.

The EDPS strongly encourages EU institutions to avoid transfers of personal data to the US for new processing operations or new contracts with service providers

EUIs will be asked to carry out case-by-case Transfer Impact Assessments (TIAs) to identify for the specific transfer at stake whether an essentially equivalent level of  protection, as provided in the EU/EEA, is afforded in the third country of destination. Based on these assessments that are to be carried out with the help of data importers, EUIs should reach a decision as to whether it is possible to continue the transfers identified in the mapping exercise.
Strategy for EU institutions to comply with “Schrems II” Ruling - European Data Protection Supervisor - European Data Protection Supervisor
Strategy for EU institutions to comply with “Schrems II” Ruling

EDPB adopts guidelines on 'Data Protection by Design and by Default'

The Guidelines also contain guidance on how to effectively implement the data protection principles in Article5, listing key design and default elements as well as practical cases for illustration. The controller should consider the appropriateness of the suggested measures in the context of the particular processing in question
Guidelines 4/2019 on Article 25 Data Protection by Design and by Default - European Data Protection Board - European Data Protection Board
Guidelines 4/2019 on Article 25 Data Protection by Design and by Default

The CJEU has ruled that mass data retention and collection practices for national security purposes undertaken by member states, must comply with EU law, and therefore must be subjected to its privacy safeguards.

Q&A: EU’s top court rules that UK, French and Belgian mass surveillance regimes must respect privacy - European Digital Rights (EDRi)
The Court of Justice of the European Union issued judgments in three cases in the UK, France and Belgium. Privacy International answers some of the main questions.

The CNIL's 🇫🇷 innovation lab has published two studies visualised on real-time bidding

  • The Ads.txt standard allowing website publishers to declare which companies are authorised to sell the advertising space they have available.
  • The Sellers.json standard allows advertising space sellers (SSP for supply-side platform) to list their advertising inventory suppliers, whether they are publishers or intermediaries.
Discover the advertising web with the files Ads.txt and Sellers.json | LINC
Targeted advertising, and particularly programmatic targeted advertising, often involves many intermediaries when selling advertising inventory from a publisher’s website. In order to allow greater trust between online advertising professionals, the IAB (Interactive Advertisement Bureau) proposes…

Hamburg SA 🇩🇪 fines H&M EUR 35.3m for monitoring of several hundred employees in Service Center

In a case concerning the monitoring of several hundred employees of the  H&M Service Center in Nuremberg by its management, the Hamburg  Commissioner for Data Protection and Freedom of Information (HmbBfDI) has issued a fine of 35,258,707.95 Euros against H&M Hennes  & Mauritz Online Shop A.B. & Co KG.

ICO 🇬🇧 fines Marriott International Inc £18.4m for failing to keep customers’ personal data secure

ICO fines Marriott International Inc £18.4million for failing to keep customers’ personal data secure
The ICO has fined Marriott International Inc £18.4million for failing to keep millions of customers’ personal data secure.

ICO 🇬🇧 takes enforcement action against Experian after data broking investigation

ICO takes enforcement action against Experian after data broking investigation
The Information Commissioner’s Office (ICO) orders the credit reference agency Experian Limited to make fundamental changes to how it handles people’s personal data within its direct marketing services. The enforcement notice follows a two-year investigation by the ICO into how Experian, Equifax an…

ICO 🇬🇧 fines British Airways £20m for data breach affecting more than 400,000 customers

ICO fines British Airways £20m for data breach affecting more than 400,000 customers
The Information Commissioner’s Office (ICO) has fined British Airways (BA) £20m for failing to protect the personal and financial details of more than 400,000 of its customers.

Automated Decision Making systems affect the distribution of services to millions of European citizens – and their access to their rights, this Automating Society report finds

In principle, ADM systems have the potential to benefit people’s lives – by processing huge amounts of data, supporting people in decision-making processes, and providing tailored applications. In practice, however, we found very few cases that convincingly demonstrated such a positive impact.
Automating Society Report 2020
Life in the automated society: How automated decision-making systems became mainstream, and what to do about it. Introduction of the Automating Society Report by AlgorithmWatch and Bertelsmann Stiftung

Report on 'the new EU data protection regime: setting global standards  for the right to personal data protection' - FIDE congress in The Hague 2020

The work takes stock of the implementation, application and interpretation of the EU’s regulatory framework for data protection. A unique comparative perspective and state of the art overview of the EU’s data protection rules in the Member States, the EEA and Switzerland. Orla Lynskey Herke Kranenborg and Anna Buchta have brought together the findings of the national reports and an overview of developments at the EU level.

Ransomware groups target high-profile organisations for large ransoms and publicity

The French maritime transport and logistics company CMA CGM was hit by the Ragnar Locker ransomware, and a likely cybercriminal attack that disabled the International Maritime Organization’s website and intranet. The company released a statement about an attack impacting its servers. “As soon as the security breach was detected, external access to applications was interrupted to prevent the malware from spreading.” The vulnerability was allotted to Remote Desktop servers with weak credentials and phishing attempts.

US government software supplier has paid a ransom for a decryption key to recover files encrypted in ransomware attack. Tyler Technologies is one of the largest US software vendors supplying the US government. Operators of the RansomExx ransomware targeted the internal corporate network and phone systems of the company.

Health service providers were targeted with ransomware in Germany and the US, through software provider Software AG and Universal Health Services respectively. The video game companies Ubisoft and Crytek and US bookseller Barnes & Noble were also attacked, likely leveraging unsecured Pulse Secure virtual private network (VPN) enterprise servers.

In Hungary multiple DDoS attacks were aimed at telecommunications providers and banks including Magyar Telekom, the country’s largest telecommunications provider. Also, nearly 3,000 e-commerce stores were attacked as these stores were running the Magento1 plugin, which stopped receiving security updates.

The GDPR reduced the number of third-party cookies and tracking responses in both US and EU websites

The GDPR reduced the number of third-party cookies and tracking responses in both US and EU websites. Furthermore, the enactment of the GDPR may have to some extent negatively affected traffic to EU websites, relative to US websites. However, the enactment does not seem to have negatively affected the amount of content that EU websites were able to publish (relative to US websites), or the degree of average social media engagement and interaction with such content.

Browser fingerprints change over time and are hard to match

In this paper, we perform the first, large-scale study of millions of fingerprints to analyze fingerprint dynamics in a real-world website. Our measurement study answers the question of how and why fingerprints change over time by classifying fingerprint dynamics into three categories based on their causes. We also observed several insights from our measurement, e.g., we show that state-of-the-art fingerprinting tool performs poorly in terms of F1-Score and matching speed in this real-world setting.
[…] we quantify the purposes and lawful bases used to justify processing personal data. A controlled experiment on a public website provides novel insights into how the time-to-complete of two leading CMPs' consent dialogues varies with the preferences expressed, showing how privacy aware users incur a significant time cost.

🇳🇱 Nederlandse ontwikkelingen

De Autoriteit Persoonsgegevens (AP) heeft onderzoek gedaan naar verwerkersovereenkomsten

De geheel te verwachten conclusie is dat er zeer diverse verwerkersovereenkomsten in gebruik zijn bij de 31 onderzochte organisaties in de private sector.

De AP adviseert:

  1. Maak op basis van uw verwerkingsregister inzichtelijk welke organisaties u inschakelt, welke verwerkingen zij doen, wat de risico’s zijn en of er een verwerkersovereenkomst geldt of vereist is.
  2. Veranker het opstellen, beoordelen en aanpassen van verwerkersovereenkomsten in bestaande processen. Sluit aan op bestaande processen voor contractmanagement en herzie de overeenkomsten periodiek.
  3. Maak afspraken en maatregelen concreet. Een verwerkersovereenkomst is bedoeld om open normen uit de AVG voor een specifieke situatie te concretiseren. Benoem bijvoorbeeld concrete bewaartermijnen of maak concreet welke beveiligingsmaatregelen worden getroffen.
Onderzoek in private sector: ‘de’ verwerkers-overeenkomst bestaat niet

De AP heeft ook gezichtsherkenningscamera’s geïnventariseerd

Gezichtsherkenningcamera's worden het meest ingezet bij bedrijven in de detailhandel, beveiliging, sport & entertainment en vervoer, en bij gemeenten. De AP waarschuwt dat dat eigenlijk alleen mag met uitdrukkelijk toestemming of als het voor beveiligings- of authenticatiedoeleinden wordt ingezet met een ‘zwaarwegend algemeen belang’.

AP: Pas op met camera’s met gezichtsherkenning

Als de AP een klacht van betrokkene niet binnen 3 maanden afrondt, dient de AP blijvend te informeren over de voortgang

Dat bepaalde de rechter voor een eiser die gebruik wilde maken van zijn recht op gegevenswissing uit art. 17 AVG. De eiser klaagde over dit verzoek bij de AP op basis van art. 77 AVG, gezien als een verzoek om handhaving. Vervolgens stelde eiser beroep in bij de rechtbank, omdat de AP volgens hem niet tijdig tot een afronding van de klacht is gekomen. De rechtbank stelde vast wat de verplichtingen zijn van de AP bij de afhandeling van deze klacht. Hierbij heeft de rechtbank art. 78 AVG toegepast en daarbij de uitleg in overweging 141 AVG en de parlementaire geschiedenis van de UAVG betrokken. De rechtbank komt tot de conclusie dat de AP verplicht is om:

  • eiser binnen drie maanden ófwel een bericht van de voortgang te sturen ófwel zijn klacht geheel af te handelen.

Als de klacht niet binnen drie maanden is afgerond moet de AP:

  • de klacht binnen een redelijke termijn afhandelen;
  • en eiser tussentijds binnen een redelijke termijn op de hoogte houden van de voortgang en informeren of er onderzoek of coördinatie met een andere toezichthoudende autoriteit is vereist.
ECLI:NL:RBMNE:2020:4442, Rechtbank Midden-Nederland, UTR- 20 _ 817 en UTR 20_3081

De AP bemoedigt private handhavingsinitiatieven

The Privacy Collective daagt twee grote techbedrijven (Oracle en Salesforce) voor de rechter om via art. 82 AVG compensatie te eisen voor het grootschalige binnenslepen en verkopen van de data van miljoenen Nederlanders, zonder geldige toestemming. Lees ook de dagvaarding op

Volgens Privacyweb ziet de AP het feit dat burgers het recht in eigen hand nemen als een signaal dat de bescherming van privacy veel mensen aan het hart gaat.

Voor de privacy van iedereen is het goed dat burgers ook collectief via de rechter kunnen opstaan tegen schending van hun privacy. Publieke handhaving door de AP en private handhaving via claims voor de rechter kunnen elkaar versterken. Dat is goed nieuws voor de bescherming van de privacy van iedereen.

Een AVG-jurist verzocht de rechtbank haar persoonsgegevens in een uitspraak te wissen, in ieder geval de juridische analyses en de beschrijving van haar persoon

Dat kan niet zomaar, volgens de rechter. Als er al persoonsgegevens in de 'geanonimiseerde' uitspraak stonden, staat art. 17 lid 3 onder b AVG aan verwijdering in de weg. De rechtbank Den Haag voldoet namelijk met de publicatie van de uitspraak aan de verdragsrechtelijke en grondwettelijke taak dat rechterlijke uitspraken in het openbaar moeten plaatsvinden. Ook is voldaan aan de beginselen van proportionaliteit en subsidiariteit. Het maatschappelijk belang weegt zwaarder dan het belang van verzoekster (r.o. 4.13).

de juridische analyse naar aanleiding van persoonsgegevens niet kan worden gekwalificeerd als persoonsgegeven. […] Dit blijkt ook uit de omstandigheid dat de inhoud van de rechterlijke beslissing zich niet voor controle op de juistheid daarvan en voor correctie leent. De beschikking valt dus niet onder het toepassingsbereik van de AVG. Het verzoek tot verwijdering van de gehele beschikking van zal reeds daarom worden afgewezen. (r.o. 4.7)
Op de mondelinge behandeling heeft [verzoekster] gesteld dat de in de gepubliceerde beschikking onder de feiten opgenomen beschrijving van haar persoon naar haar herleidbaar is, omdat maar weinig AVG-juristen de daarin genoemde functies combineren. Deze omschrijving luidt: “Verzoekster is een gepromoveerd jurist en sociaal-wetenschappelijk onderzoeker. Zij is als zelfstandig ondernemer werkzaam als docent, auteur en adviseur, met als specialisme het staats- en bestuursrecht, waaronder ook privacyrecht en openbaarheid van bestuur.” (r.o. 4.10)
Voor zover [verzoekster] met de hiervoor genoemde overweging redelijkerwijs identificeerbaar is voor enig ander persoon, dan geldt dat [verzoekster] met een beroep op artikel 17 AVG geen wissing van de daarin genoemde gegevens kan verkrijgen, omdat het bepaalde in lid 3 onder b AVG van artikel 17 AVG daaraan in de weg staat. De rechtbank Den Haag voldoet namelijk met de publicatie van de beschikking aan haar verdragsrechtelijke en grondwettelijke taak dat rechterlijke uitspraken in het openbaar moeten plaatsvinden (artikel 6 lid 1 EVRM, artikel 14 lid 1 Internationaal Verdrag inzake burgerrechten en politieke rechten, artikel 21 Gw en artikel 5 lid 1 Wet op de Rechterlijke Organisatie). [verzoekster] heeft hierdoor niet het in artikel 17 lid 1 AVG neergelegde recht op gegevenswissing ter beschikking. (r.o. 4.11)
ECLI:NL:RBAMS:2020:2112, Rechtbank Amsterdam, c/13/673085 / HA ZA 19-340

De KNLTB-boete van € 525k zou geen stand moeten houden

De boete van € 525.000 van de AP aan de vereniging Koninklijke Nederlandse Lawn Tennisbond (KNLTB) voor het verstrekken van ledengegevens aan twee sponsors houdt volgens Mark Jansen op meerdere gronden geen stand. Hij komt in Computerrecht tot de conclusie dat de boete gebrekkig lijkt te zijn gemotiveerd (botsing van grondrechten, grondslag, verantwoordelijkheid partijen) en op diverse punten in strijd is met de EDPB, wetsgeschiedenis en rechtspraak (doelbinding, gerechtvaardigd belang, zekerheidsbeginsel, motiveringseis) en werpt ook de vraag op welk redelijk belang de AP met de handhaving lijkt te dienen.

KNLTB-boete: wie kaatst kan de bal verwachten of toch een misslag?
In het Tijdschrift Computerrecht geeft Mark Jansen een kritische beschouwing op het boetebesluit van de AP waarbij aan de KNLTB een boete is opgelegd,


De Raad van State oordeelde op 1 april 2020 in vier zaken dat de bestuursrechter bevoegd is om te oordelen over schadevergoeding tot EUR 25.000 bij AVG-overtredingen  

Deze bevoegdheid van de bestuursrechter geldt als de gestelde schade ‘verband houdt’ met een besluit als bedoeld in artikel 34 van de Uitvoeringswet AVG, zoals een besluit op een verzoek om inzage of rectificatie van persoonsgegevens via artikel 82 AVG . De RvS oordeelt dat het uitgangspunt geldt dat diegene die stelt schade te hebben geleden wegens ‘aantasting in de persoon’, ook bij immateriële schade wegens schending van de AVG, dit aannemelijk moet maken en met concrete gegevens moet onderbouwen.

De RvS wijst slechts in een van de vier zaken een schadevergoeding toe. Een vergoeding van € 500 wordt namelijk toegekend wegens het onrechtmatig verstrekken van medische gegevens door het Pieter Baan Centrum aan een tuchtcollege (rov. 36-37):

ECLI:NL:RVS:2020:898, Raad van State, 201901006/1/A2

Het B&W Deventer hoeft geen schadevergoeding aan de appellant te betalen vanwege het verlies van controle over persoonsgegevens door het e-mailen van de naam en woonplaats van appellant aan andere gemeenten:

ECLI:NL:RVS:2020:899, Raad van State, 201905087/1/A2

Het plaatsen van persoonsgegevens van een vermeende Wob-misbruiker door een ambtenaar van de gemeente Borsele op een forum van de Vereniging van Nederlandse Gemeenten (VNG) geeft uiteindelijk ook geen aanspraak op schadevergoeding (r.o. 27):

ECLI:NL:RVS:2020:900, Raad van State, 201902699/1/A2

De gemeente Harderwijk stopte NAW-gegevens in een postregistratiesysteem. Dat was geen reden om tot een schadevergoeding te komen:

ECLI:NL:RVS:2020:901, Raad van State, 201902417/1/A2

Rijksoverheid start 'AI en publieke waarden'-kennisbank

Een interdepartementaal samenwerkingsplatform met een beleidsgroep, nieuwsbrief, kennisbijeenkomsten en een themapagina met overzicht van recente beleidsstukken en rapporten en publicaties:

Artificiële Intelligentie en publieke waarden
Kennisbank Openbaar Bestuur

Inzageverzoek bij Gemeente Den Haag ziet op een overzicht van persoonsgegevens, niet op de gehele documenten

De rechter beoordeelde het beroep op inzageverzoek dat de Gemeente Den Haag voor de kiezen kreeg, dat zag op "gegevens over dan wel verbonden aan het IP adres, serienummers en kenmerken van voertuigen/fietsen die door de gemeente zijn weggehaald en communicatie met personen werkzaam bij de gemeente. Naderhand is ook informatie gevraagd over zijn lidmaatschap bij het stembureau, de mutatie van de verhuizing uit Den Haag, de specificatie van de schoolgegevens de e-learnings die hij als stembureaulid heeft voltooid alsmede hoe uitslagen van zijn online verkiezingsexamen zijn verwerkt." (r.o. 1)

Het beroep is ongegrond, omdat artikel 15 AVG geen recht geeft op een kopie van de fysieke of digitale documenten waarin de persoonsgegevens worden verwerkt. Documenten zijn als zodanig geen persoonsgegevens en de AVG spreekt volgens de rechter niet van het verstrekken van een kopie van de documenten waarin de persoonsgegevens zijn verwerkt.

Ten aanzien van de communicatie van eiser met de gemeente is van belang dat eiser reeds over de e-mails die hij zelf heeft gestuurd en de reactie van verweerder daarop beschikt. Voorts geeft artikel 15 van de AVG geen recht op verstrekking van een kopie van de fysieke of digitale stukken waarin de persoonsgegevens worden verwerkt. Stukken als zodanig zijn geen persoonsgegevens en nergens in de AVG wordt gesproken over het verstrekken van een kopie van de stukken waarin de persoonsgegevens zijn verwerkt. Het recht op inzage van persoonsgegevens betekent dan ook niet dat de betrokkene zonder meer recht heeft op inzage in of kopieën van de stukken of bestanden als zodanig als daarin zijn persoonsgegevens voorkomen. (r.o. 9)
ECLI:NL:RBDHA:2020:9590, Rechtbank Den Haag, AWB - 19 _ 6782

Raad van State deed uitspraak over Archiefwet, Wob en Whatsapp

In de uitspraak van 21 oktober 2020 maakte de Raad van State duidelijk dat:

  • Whatsappberichten maken onderdeel uit van een Wob-verzoek.
  • Een bestuursorgaan hoeft geen aparte database/postvak bij te houden met alle appberichten (voor het geval er ooit een Wob-verzoek komt).
  • Wat wel moet is, ná een Wob-verzoek, alle informatie bewaren c.q. veiligstellen die betrekking heeft op het verzoek. Daar vallen dus ook appberichten onder.
  • In het geval van deze uitspraak heeft de betreffende minister hier onvoldoende op toegezien en zijn er appberichten verloren gegaan.
Uitspraak 201905713/1/A3

Bestandskoppeling voor fraudebestrijding, waaronder profilering

Verschillende sociale zekerheidsinstanties gebruiken bestandskoppeling en geautomatiseerde gegevensanalyse om potentiële fraudeurs op te sporen. Welke eisen stelt het gegevensbeschermingsrecht stelt deze grootschalige gegevensver- werking in het kader van fraudeonderzoek sinds het Systeem Risico Indicatie (SyRI)? Mr. dr. I. van der Helm benadrukt in Privacy & Informatie de beginselen van doelbinding, de noodzakelijkheid en de transparantie van de gegevensverwerking. De gegevensverwerking moet volgens hem worden vastgelegd in een wettelijke regeling, de verwerking transparant gemaakt en de werking van het algoritme (voor eventuele profilering) inzichtelijk.

Daarnaast verdient het de aanbeveling dat bij amvb bepaald wordt dat betrokkene in ieder geval na afronding van een project van bestandsvergelijking door de deelnemende instantie van wie de gegevens afkomstig zijn, wordt geïnformeerd dat hij onderdeel heeft uitgemaakt van onderzoek en voorts of er ten aanzien van hem een risicomelding is gedaan. Dit was niet het geval bij SyRI en had volgens de rechtbank wel moeten gebeuren.

Ministerie van Binnenlandse Zaken en Koninkrijksrelaties gaat BPR niet versleutelen at-rest

De Minister is tot de conclusie gekomen dat (extra) versleuteling in de Basisregistratie Personen (BRP) en andere basisregistratiesop dit moment niet de meest passende maatregel is voor het verbeteren van de bescherming van privacygevoelige informatie in  de basisregistraties. Er valt meer winst te behalen door het nemen van andere maatregelen, zodat privacygevoelige gegevens alleen door bevoegden kunnen worden ingezien en bewerkt.

Kamerbrief over beveiliging van privacygevoelige informatie BRP en andere basisregistraties
Staatssecretaris Knops stuurt een brief over de beveiliging van privacygevoelige informatie in de Basisregistratie Personen (BRP) en andere basisregistraties.

Ministerie van Financiën publiceert DPIA over voorstel Wvut

Bijlage van de Gegevensbeschermingseffectbeoordeling op de Wet verbetering uitvoerbaarheid toeslagen door het ministerie van Financiën. Dit wetsvoorstel zorgt voor een wijziging van de Wet inkomstenbelasting 2001 Wet IB 2001, de Algemene wet inkomensafhankelijke regelingen (Awir), de Wet kinderopvang (Wko) en de Wet op de zorgtoeslag (Wzt).

De AP adviseert kritisch over het concept voor Wijziging van de Vreemdelingenwet 2000 ter bestendiging van verwerking biometrie

De bezwaren van de AP op de Wet biometerie vreemdelingenketen (Wbvk) houden in dat:

  1. De noodzaak voor en effectiviteit van de bestendiging van de huidige praktijk wordt na twee evaluaties nog onvoldoende aangetoond, met name door een gebrek aan de cijfermatige onderbouwing van het probleem van identiteitsfraude en documentfraude voor de categorieën vreemdelingen waar de Wbvk op ziet.
  2. Onduidelijk is bovendien waarom de regeling uit een oogpunt van proportionaliteit niet kan worden beperkt tot bepaalde categorieën voor de afname en verwerking van biometrische gegevens.
  3. Uit de praktijk blijkt dat onvoldoende duidelijkheid bestaat voor ketenpartners wanneer zij wel of niet gegevens uit de vreemdelingenadministratie mogen verwerken, waardoor een risico ontstaat dat verwerkingen van biometrie plaatsvinden zonder dat daarvoor een grondslag aanwezig is.
  4. Uit de praktijk blijkt eveneens dat sommige specifieke regels voor het verwijderen van biometrische gegevens uit de vreemdelingenadministratie moeilijk zijn toe te passen, waardoor onnodig lang biometrische gegevens opgeslagen kan blijven.
  5. In de praktijk worden in het kader van opsporing en vervolging van strafbare feiten gezichtsopnames gebruikt in de vreemdelingenadministratie zonder dat de Wbvk daarvoor een specifieke regeling kent.
Informatie over Bijlage 951904 | > Officiële bekendmakingen

Zie ook de Memorie van Toelichting op de Wijziging van de Vreemdelingenwet 2000 in verband met de tijdelijke verlenging van de bevoegdheid om biometrische gegevens van vreemdelingen af te nemen en te verwerken.


Wijzigen van diagnose valt niet onder recht op rectificatie

Het Centraal Tuchtcollege voor de Gezondheidszorg Den Haag concludeerde op 15 oktober 2020 dat op grond van het bepaalde in artikel 16 van de AVG de klager weliswaar het recht heeft om feitelijke onjuistheden in haar medisch dossier te laten rectificeren, maar dat het recht op rectificatie zich niet uitstrekt tot een wijziging van de diagnose. Het College onderschrijft het standpunt van de gz-psycholoog dat hij de diagnose niet op verzoek van klager kan wijzigen, aangezien niet is vastgesteld dat er een onjuist onderzoek is uitgevoerd. | Tuchtrecht

Ontwikkelen van cliëntprofielen in de wijkverpleging om zorginzet te voorspellen

Een onderzoeksrapport naar de Pilot cliëntprofielen wijkverpleging van 9 september 2020 beschrijft de opzet van deze toepassing. De verantwoordelijkheid van de zorgaanbieders onder AVG blijft in dit rapport sterk onderbelicht:

De wisselwerking tussen de Medical Device Regulation (MDR) en de AVG bij de ontwikkeling van medische software

De Medical Device Regulation & privacy #2: Aandachtspunten bij de ontwikkeling van medische software
In deze blog geven we aandachtspunten uit de MDR en AVG waarmee u rekening moet houden bij de ontwikkeling en instandhouding van medische software.

Memorie van Toelichting van de Wijziging van de Wet medisch-wetenschappelijk onderzoek met mensen (WMO) in verband met de derde evaluatie van die wet alsmede enkele wijzigingen van technische aard

Kamerstuk 35587, nr. 3 | > Officiële bekendmakingen

Media & politiek

Het administratiesysteem van UWV met uitkeringsgerechtigden kent grote privacyproblemen

Van bijna een miljoen mensen zijn de naam, adres, geboortedatum, nationaliteit, opleidingsniveau, bsn en belastbaarheid te zien door heel veel UWV-medewerkers en gemeente-ambtenaren

UWV zoekt oplossingen voor dit probleem in organisatorische maatregelen zoals " het UWV [gaat] al eerder de wachtwoorden resetten, en gaat het medewerkers beter informeren over het belang van privacy" en "medewerkers moeten een verklaring omtrent gedrag (VOG) bezitten, een ondertekende geheimhoudingsverklaring afleggen en de e-learning integriteit volgen."

De betrokken consultant (KPMG) twijfelt of dat genoeg is, en adviseert "om eerder oplossingen te zoeken voor de grootste risico’s".

De privacy van werkzoekenden wordt bij het UWV onvoldoende beschermd
Te veel mensen kunnen de persoonsgegevens van werkzoekenden inzien doordat het IT-systeem van het UWV niet voldoet aan de privacywet AVG.

Moxie Marlinspike wordt beschreven in The New Yorker:

Taking Back Our Privacy
Anna Wiener on the founder of the end-to-end encrypted messaging service Signal, who wants to bring secure communication to the masses.

'Herover je data' van VPRO Tegenlicht, met onder andere Evgeny Morozov:

Herover je data - VPRO Tegenlicht
Onze (Europese) data zijn veelal in handen van niet-Europese multinationals. Is daaraan te ontkomen? Op zoek naar uitwegen in een tijd van online surveillance, datatracking en microtargeting, zowel op het niveau van individuele apparaten als op wijkniveau en in gemeenschappelijke ruimten. Het borgen…

Tegen dit verhaal over 5G kan geen samenzweringstheorie op Evgeny Morozov bij De Correspondent:

Tegen dit verhaal over 5G kan geen samenzweringstheorie op
Amerika gaat de strijd aan met 5G-bouwer Huawei en andere Chinese technologiebedrijven. China’s antwoord: technologie bouwen die losstaat van de VS. En juist dat kan ervoor zorgen dat China technologisch veel geavanceerder en onafhankelijker uit deze handelsoorlog komt.

Sophie in 't Veld over het betrekken van Palantir bij EU-zaken

Not only should Palantir be kept out of our institutions and security fabric, it is high time for the EU to gain more strategic technological independence, so that it may defend and assert its status as the last bastion of privacy.
Palantir is not our friend - about:intel
Why the EU must kick its addiction to US technology.


Het tijdschrift Financiering, Zekerheden en Insolventierechtpraktijk besteedt aandacht aan de invloed van de AVG op de faillisementspraktijk in de volgende artikelen:

De curator treft administratie met persoonsgegevens van derden bij zijn failliet aan en houdt zelf ook administratie met persoonsgegevens van derden aan

In 'De administratie in het‌‌ faillissement en de AVG‌‌' zien Mr. J.B.A. Jansen en Mr. Drs. H. Hommes dat de kerntaak van de curator als verwerkingsverantwoordelijke nog onduidelijkheid is. De curator is namelijk niet vanzelfsprekend gerechtigd om te beschikken over alle persoonsgegevens en treedt niet in de plaats van de failliet of de bestuurder van de failliet. De curator is niet de failliet en heeft dus niet de verwerkingsverantwoordelijk van de failliet.

Over de mate waarin de curator gehouden is bij de afwikkeling van het faillissement de regels uit de AVG toe te passen, zal de komende jaren nog volop worden gediscussieerd en naar verwachting ook worden geprocedeerd. In elk geval is het duidelijk dat curatoren zich bewust moeten worden van de gevolgen van de AVG voor hun werkwijze binnen faillissementen en het aansprakelijkheidsrisico dat zij hiermee lopen.

Uitbreiding van het Centraal Insolventieregister en de AVG: Meer informatie voor schuldeisers, meer privacyrisico’s door mr. W. Weijland

Het Centraal Insolventieregister (het ‘CIR’) is een actuele en voor iedereen toegankelijke bron van informatie over het verloop van een faillissement. De informatie geeft schuldeisers en derden de mogelijkheid te anticiperen op ontwikkelingen in het faillissement. Omdat er in de praktijk behoefte is aan meer informatie, is de wetgever voornemens deze informatie uit te breiden.
Het voorgestelde CIR Besluit zorgt ervoor dat (afschriften van) stukken, belangrijke gegevens en informatie uit beschikkingen over het faillissement aan het CIR worden toegevoegd. Al deze informatie dient ervoor te zorgen dat schuldeisers en belanghebbenden nog sneller en efficiënter informatie over de gefailleerde kunnen verzamelen. […] Bij het opnemen van de persoonsgegevens zullen ze [de griffier en rechter-commissaris] telkens opnieuw een belangafweging moeten maken.

‘De AVG is een prima wet,‌‌maar in een faillissement werkt‌‌het niet’ – Interview met MC‌‌ Slotervaart-curator Marlous de‌‌ Groot door mr. M.D. (Minke) Reijneveld

bij iedere stap moet je je als curator goed realiseren of en wanneer je persoonsgegevens verwerkt. je moet je telkens afvragen of je de persoonsgegevens echt nodig hebt of dat je ook zonder kan

AVG in de faillissementsprocedure: post van de AP‌‌

De AP bracht bij curatoren de invloed van de AVG op het faillissementsrecht onder de aandacht met een brief. In dit artikel werkt mr L.P. (Luc) Buitelaar zes relevante  scenario's uit.

De belangrijkste boodschap  van  de  brief  is  dan  ook  dat  de  AVG  gevolgen  heeft  voor de afwikkeling van een faillissement. Over de exacte invloed  is  het  laatste  woord  naar  mijn  mening  nog  niet  gezegd.  Dit  komt  deels  vanwege  het  feit  dat  de  brief  geen  formele status heeft. Daarnaast zijn de opvattingen van de AP niet altijd even duidelijk en soms voor de nodige kritiek vatbaar. Curatoren zullen in de toekomst alert moeten blij-ven indien zij persoonsgegevens in de boedel aantreffen


Teams die transparant prestaties bespreken, bespreken makkelijker observaties en zijn daarop aanspreekbaar.

Wet- en regelgeving blijken slechte drivers voor intrinsieke verandering. Wanneer morele verantwoordelijkheid om ethisch te handelen bij werknemers zelf ligt creëer je eigenaarschap en bouw je écht aan een integere cultuur. Dat concluderen L. Hafkamp MSc en S. Hogenbirk MSc in 'Goede prestaties en een integere cultuur gaan hand in hand, met transparantie als de sleutel‌'. Zij geven vier verbetertips om transparantie te versterken binnen teams:

  1. Expliciteer je mensbeeld of veranderfilosofie. Hoe
    zie je jouw eigen collega’s? Wat kunnen ze (binnen een organisatiecontext) wel of niet? En wat betekent dat voor je integriteitsprogramma?
  2. Als je veel (externe) regelgeving moet implementeren, denk dan eens na over waar je vooruit wilt lopen op de regel- en wetgeving. Daar is creativiteit voor nodig (zie het voorbeeld van Philips)
  3. Combineer prestatie-verbeterprogramma’s met integriteitprogramma’s. Bespreek zowel de prestatie als de observatie over hoe je presteert.
  4. Expliciteer in leiderschapsprogramma’s welk gedrag hoort bij transparantie. Voorbeeldgedrag is hierbij essentieel.