Data Protection - Summer 2022

A quarterly update with updates on transfers, many academic articles on algorithms and AI, and supervisory authorities handing out fines.

Data Protection - Summer 2022

đŸ‡ȘđŸ‡ș European developments

European Commission đŸ‡ȘđŸ‡ș sued for violating transfer rules by using Amazon Web Services

The European Commission faces a lawsuit over allegations it is violating its own data protection rules by transferring citizens’ personal data on one of its websites to Amazon Web Services in the United States.

European Commission sued for violating EU’s data protection rules
The European Commission is to face a lawsuit over allegations it is violating its own data protection rules when transferring citizens’ personal data from one of its websites to the United States.

EDPB & EDPS: Proposal to combat child sexual abuse online presents serious risks for fundamental rights

The European Data Protection Board (EDPB) and the European Data Protection Supervisor (EDPS) adopted a Joint Opinion on the Proposal for a Regulation to prevent and combat child sexual abuse.
News

EDPB adopts statement on European Police Cooperation Code & picks topic for next coordinated action

The EDPB adopted a statement on the European Commission’s proposal for an EU Police Cooperation Code. This proposal aims to enhance law enforcement cooperation across Member States, in particular the information exchange between the competent authorities. The code is comprised of three main measures: proposal for a PrĂŒm II Regulation, proposal for a Police Information Exchange Directive and the proposal for a Council Recommendation on operational police cooperation.

EDPB adopts statement on European Police Cooperation Code & picks topic for next coordinated action | European Data Protection Board

EDPB: Lack of resources puts enforcement of individuals’ data protection rights at risk

“We are deeply concerned that the 2023 budget, if not substantially increased, will be significantly too small to allow the EDPB and the EDPS to fulfil their tasks appropriately,” Andrea Jelinek, Chair of the European Data Protection Board (EDPB), and Wojciech Wiewiórowski, European Data Protection Supervisor (EDPS), write in an Open Letter to the European Parliament and the European Council.
Lack of resources puts enforcement of individuals’ data protection rights at risk | European Data Protection Board

European Commission introduces AI liability redress proposal

The European Commission adopted a proposal for harmonizing rules around consumer redress in the Artificial Intelligence Liability Directive. The proposed rules will allow consumers to bring claims for damages "caused due to wrongful behaviour" with AI technologies. The Commission said the basis for claims could include "breaches of privacy, or damages caused by safety issues," while also noting claims can be brought "if someone has been discriminated in a recruitment process involving AI technology."
Press corner
Highlights, press releases and speeches

UN đŸ‡ș🇳 report details threats to global digital privacy, human rights

The United Nations Office for the High Commissioner of Human Rights issued a report detailing how “modern networked digital technologies” threaten individuals’ privacy. The report examined three areas:
* spyware abuse by world governments,
* the role of encryption in protecting human rights online and
* the impacts of digital surveillance of public spaces. According to the report, “urgent steps” are required to rein in the use of spyware “until adequate safeguards to protect human rights are in place.”
Spyware and surveillance: Threats to privacy and human rights growing, UN report warns
GENEVA (16 September 2022) – People’s right to privacy is coming under ever greater pressure from the use of modern networked digital technologies whose features make them formidable tools for surveillance, control and oppression, a new UN report has warned. This makes it all the more essential that


AEPD-EDPS Joint Paper - 10 Misunderstandings about Machine Learning

The EU has identified artificial intelligence (AI) as one of the most relevant technologies of the 21st century and highlighted 1 its importance on the strategy for EU’s digital transformation. Having a wide range of applications, AI can contribute in areas as disparate as helping in the treatment of chronic diseases, fighting climate change or anticipating cybersecurity threats.
News

UK data protection reform: How the UK's GDPR may change

The current version of the Bill seeks to maintain the majority of key principles that underpin the UK data protection law framework, while at the same time modifying certain key provisions in relation to accountability, lawful grounds for processing, data subject access requests and cookies, amongst others.

A consolidated redline version of the UK GDPR by Hogan Lovells, including the amendments made by the draft DPDI Bill, as of 5th September 2022.

UK data protection reform: How the UK GDPR may change
On 18 July 2022, the UK government introduced the Data Protection and Digital Information Bill to Parliament for its first reading. Following the UK leaving the European Union in 2020, the Bill sets o...

Civil Rights Organisations Criticise automated data exchange for police cooperation (PrĂŒm II Proposal)

The European Digital Rights (EDRi) network published a position paper on the proposed Regulation on automated data exchange for police cooperation, known as “PrĂŒm II”. This currently primarily consists of a data-sharing network (interlinking national DNA, fingerprint and vehicle registration databases). It foresees the expansion of the data-sharing network to the interconnection of facial images and, on a voluntary basis, “police records”.

The position paper raises several critical issues of the proposal, among others: insufficient alignment to Directive 2016/680 on the protection of personal data with regard to the processing of data by police and criminal justice authorities (the “Law Enforcement Directive”, LED); failure of the draft law to demonstrate the necessity and proportionality of its measures; causation of serious fundamental rights risks, such as undermining the presumption of innocence, enabling mass surveillance and criminalising migration by the expansion to other data categories; exacerbation of trends like systemic discrimination in policing and the broader rule-of-law crisis in Europe.

Civil Rights Organisations Criticise PrĂŒm II Proposal
On 7 September 2022, the European Digital Rights (EDRi) network published a position paper on the proposed Regulation on automated data exchange for police cooperation, known as “PrĂŒm II”. The position paper raises several critical issues of the proposal, such


The EU-US Data Privacy Framework: Ever changing landscape of data transfers to the US

Legally, until an adequacy determination is granted, companies should continue to follow the European Data Protection Board’s recommendations on measures that supplement transfer tools. But, once the EU is named as a “qualifying state” (assuming it will be) and complaints can be summited, this should become less daunting. The EDPB recommendations state that companies must “assess if there is anything in the law or practice of the third country that may impinge on the effectiveness of the appropriate safeguards of the transfer tools you are relying on, in the context of your specific transfer.”

The Excutive Order adds new safeguards for US SIGINT activities, including:

  • Defining permitted national security objectives and explicitly prohibiting some activities;
  • Requiring that activities take into consideration the privacy and civil liberties of all persons regardless of nationality; and
  • That they be conducted only when necessary and proportionately to a validated intelligence priority.

In addition to changing SIGINT policy, the Executive Order also sets up a review and redress mechanism. Citizens from qualifying states can complain to a newly established Data Protection Review Court if they feel that "their personal information collected through U.S. signals intelligence was collected or handled by the United States in violation of applicable U.S. law". Decisions of this court will be binding on the US intelligence community.

Hogan Lovells advises to "Monitor how European data protection authorities react and position themselves on the EO until an adequacy decision is adopted. In ongoing enforcement proceedings regarding data transfers to the U.S., data protection authorities would need to consider the new EO when assessing the lawfulness of the transfer."

New Hope for EU-US Data Transfer Mechanism Following White House Executive Order
The White House has issued its Executive Order on Enhancing Safeguards for United States Signal Intelligence Activities (“EO”), which provides additional due process protections to the use...

The Baden-WĂŒrttemberg's SA assesses in the Frankfurter Allgemeine that the US President's decree on data protection is not enough and that companies will have to wait even longer for a viable solution for their transatlantic data traffic.

DatenschĂŒtzer hĂ€lt neue Regeln zum Datentransfer fĂŒr unzureichend
Der amerikanische PrĂ€sident Joe Biden hat der EU versprochen, den Datenschutz zu verbessern. Der DatenschĂŒtzer Stefan Brink findet nun: Das reicht noch nicht.
The EU-US Data Privacy Framework: A new era for data transfers?
IAPP VP and Chief Knowledge Officer Caitlin Fennessy analyses the newly published executive orders implementing the EU-US Data Privacy Framework.

Europol told to hand over personal data to Dutch activist

The European Data Protection Supervisor ordered Europol to hand over personal data to Dutch activist Frank van der Linde. The decision is the result of a two-year investigation into Europol's possession and storage of van der Linde's personal data.

Europol told to hand over personal data to Dutch activist - Fair Trials
Fair Trials welcomes a decision by the European Data Protection Supervisor (EDPS), ordering Europol to hand over personal data to Dutch activist Frank van der Linde.

Case law

CJEU: processing personal data liable to disclose indirectly sexual orientation constitutes processing of special categories of personal data

In 'Vyriausioji Tarnybinės Etikos Komisija' the CJEU held that the name of civil servants' spouse, cohabitant or partner and of the subject of their transactions (indirectly sexual orientation) are special categories of personal data. The Court relies on the broad definition of "data concerning health" in article 4(15) GDPR & the guidance in Recital 35 to highlight that context must be taken into account when interpreting what constitutes "special categories of data" & extrapolates to sexual orientation data.

CURIA - Documents

CJEU: The PNR is only for terrorist threat and the 5 year retion period only for targeted passengers

Thomas Wahl has a great analysis:

[
] in these situations restrictions to citizens’ rights are only proportional, if there is a genuine and present or foreseeable terrorist threat to which the Member State concerned is confronted or, in the absence of that, application is limited to certain routes or travel patterns or to certain airports/stations/seaports (see above). Furthermore, EU law precludes national legislation that wishes to use such system for the purposes of improving external border controls and combating illegal immigration.
CURIA - Documents
CJEU: PNR Directive Valid if Limited to the “Strictly Necessary”
In a landmark ruling of 21 June 2022, the CJEU (Grand Chamber), upheld the EU’s regime to collect and use records of travellers, provided that it is strictly interpreted in line with the EU’s fundamental rights. In addition, indiscriminate processing


ECHR: Collection and retention by the French blood donation service (EFS), of personal data reflecting applicant’s presumed sexual orientation without proven factual basis: violation of Article 8 of the Convention

HUDOC - European Court of Human Rights
The HUDOC database provides access to the case-law of the Court (Grand Chamber, Chamber and Committee judgments and decisions, communicated cases, advisory opinions and legal summaries from the Case-Law Information Note), the European Commission of Human Rights (decisions and reports) and the Commit


CJEU Clarifies Exceptions to Data Retention in Irish Case

On 5 April 2022, the CJEU added another chapter to the long history of the admissibility of data retention in the EU. In a case concerning the data retention law in Ireland, the CJEU confirmed that general and indiscriminate retention of traffic and location data relating to electronic communication is contrary to Union law even if it intends to combat serious crime.
CJEU Clarifies Exceptions to Data Retention in Irish Case
On 5 April 2022, the CJEU added another chapter to the long history of the admissibility of data retention in the EU. In a case concerning the data retention law in Ireland, the CJEU confirmed that general and indiscriminate retention


Regional Labour Court of Schleswig-Holstein: controller to pay EUR 2k in non-material damages for publishing a promotional video with the data subject

The controller filmed the data subject in their work environment and published a thirty-six second video on Youtube for promotional purposes. The data subject had previously given verbal consent to the filming but had not received any further information about the purpose of the filming or their rights.

https://gdprhub.eu/index.php?title=LAGSchleswig-Holstein-6Ta_49/22&mtc=today

AG Pforzheim: Right of access, abuse of right by swearing

AG Pforzheim - 4 C 1845/21 - GDPRhub

VK Baden-WĂŒrttenmberg: Tender rejected because in breach of GDPR due to transfer to sub-processor Amazon

VK Baden-WĂŒrttemberg - 1 VK 23/22 - GDPRhub

LfDI: Self-driving VW without any information stickers, processing agreement, DPIA, technical/org measures in register

LfDI (Lower Saxony) - Volkswagen - GDPRhub

LfDI: Insolvency information on law firm websites must go to separate registry

LfDI (Bremen) - DPA of Bremen causes stop of inadmissible publications of personal insolvency data - GDPRhub

LG Kassel: bedrag dat iemand uitgeeft aan zijn ziektekostenverzekering zijn geen persoonsgegevens, daarom geen inzagerecht

LG Kassel - 5 O 1954/21 - GDPRhub

OLG Köln: Non-material damage for loss of control of personal data

the Court examined whether the data subject had suffered non-material damage within the meaning of Article 82(1) GDPR. In light of Recitals 146 and 75 GDPR, it held that she had, as she had suffered loss of control over her data as well as potential economic loss arising from the loss of time crucial for the settlement of her traffic accident claim. The Court did not rule on whether a violation of a GDPR provision alone is sufficient or whether a proof of concrete damage is required, as the data subject provided comprehensive evidence of the non-material damage suffered by her. Similarly, the question of de minimis threshold was irrelevant in this case because the damage suffered was held to go beyond a mere triviality.
Taking into account that the controller did not did not make the data available to any third party, the court awarded the data subject damages of €500.

OLG Köln - 15 U 137/21 - GDPRhub

Supervisory Authorities

Cookies: closure of the injunction issued against FACEBOOK

On 31 December 2021, in addition to imposing a fine of 60 million euros, the CNIL's restricted committee ordered FACEBOOK IRELAND LIMITED to allow users of the website " facebook.com" located in France to refuse the cookies placed on their terminal as easily as to accept them, within three months.Failure to comply with this order exposed the company to the payment of a fine of 100,000 euros per day overdue.In view of the response provided, within the time limit, by META PLATFORMS IRELAND LIMITED, which installed a refusal button entitled "Only allow essential cookies" above the acceptance button entitled "Allow essential and optional cookies", and considering that the company had complied with the injunction issued, the restricted committee decided to close the procedure on 11 July 2022.
Cookies: closure of the injunction issued against FACEBOOK | CNIL
On 31 December 2021, in addition to imposing a fine of 60 million euros, the CNIL’s restricted committee ordered FACEBOOK IRELAND LIMITED to allow users of the website ” facebook.com” located in France to refuse the cookies placed on their terminal as easily as to accept them, within three months. F


CNIL Proposes EUR 60M Fine Against French AdTech Company For Non-Compliance with GDPR

The proposed fine follows complaints filed by privacy NGO ‘Privacy International’ against Criteo. [
] Under the CNIL’s sanction procedure, Criteo has the right to respond to the report, both with respect to the alleged infringements and the proposed sanction.
CNIL Proposes 60 Million Euros Fine Against French AdTech Company For Non-Compliance with GDPR
On August 5, 2022, French AdTech company Criteo announced that it had received a report from the French Data Protection Authority on August 3, 2022, claiming various infringements of the EU General Data Protection Regulation and proposing to impose 60 million euros fine against Criteo.

Irish Data Protection Commissioner Fines Instagram EUR 405M for Children Privacy Violations

The fine is the result of an investigation that began in 2020 and focused on the company’s processing of children’s personal data. Based on press reports, the investigation focused on children between the ages of 13 and 17 who were allowed to operate business or creator Instagram accounts. As a result, children’s phone numbers and email addresses were publicly accessible.
Irish Data Protection Commissioner Fines Instagram for Children’s Privacy Violations
On September 5, 2022, the Irish Data Protection Commissioner imposed a €405,000,000 fine on Instagram for violations of the EU General Data Protection Regulation’s rules on the processing of children’s personal data.

Danish SA Declares Use of Google Analytics Unlawful Without Supplementary Measures

The Danish Data Protection Agency has looked into the tool Google Analytics and its settings, and the terms under which the tool is provided. On the basis of this review, the Danish Data Protection Agency concludes that the tool cannot, without more, be used lawfully. Lawful use requires the implementation of supplementary measures in addition to the settings provided by Google.

Press release: Use of Google Analytics for web analytics
The Danish Data Protection Agency has looked into the tool Google Analytics, its settings, and the terms under which the tool is provided. On the basis of this review, the Danish Data Protection Agency concludes that the tool cannot, without more, be used lawfully. Lawful use requires the implementa

The Garante notes that the European legislation on the protection of personal data does not in principle preclude the owner of a site from making access to content by users subject to their consent for profiling purposes (through cookies or other tracking tools) or, alternatively, to the payment of a sum of money. This is in reference to the initiatives taken in recent days by several online newspapers, websites and companies operating on the Internet.

https://www.gpdp.it/home/docweb/-/docweb-display/docweb/9816536

Record fine for Instagram following EDPB intervention

Following the EDPB’s binding dispute resolution decision of July 28th, the Irish Data Protection Authority (DPA) has adopted its decision regarding Instagram (Meta Platforms Ireland Limited (Meta IE)) and has issued a record GDPR fine of €405 million.
Record fine for Instagram following EDPB intervention | European Data Protection Board

Berlin SA imposes 525K euro fine over DPO violation

The Berlin Commissioner for Data Protection and Freedom of Information issued a 525,000 euro fine to a Berlin-based retailer for violation of data protection officer requirements under the [GDPR]. An investigation found an alleged conflict of interest concerning the DPO's employment status and decision-making responsibilities that violated Article 38(6) of the GDPR. The company received a warning from the regulator in 2021.
Berlin DPA imposes 525K euro fine over DPO violation
The Berlin Commissioner for Data Protection and Freedom of Information issued a $525,000 fine to a Berlin-based retailer for violation of GDPR DPO requirements.

ICO 🇬🇧: TikTok faces potential GBP 27M fine

The U.K. Information Commissioner's Office announced a notice of intent to fine TikTok 27 million GBP for alleged U.K. data protection violations. The ICO's investigation found potential violations concerning nonconsensual processing of minors' data, unlawful processing of special category data and insufficient transparency.
TikTok faces potential 27M GBP fine from ICO
The U.K. Information Commissioner’s Office announced a notice of intent to fine TikTok 27 million GBP for alleged U.K. Age-Appropriate Design Code violations.

Belgian SA fined a medical laboratory EUR 20k due to a lack of security and a privacy policy

The Belgian SA fined a medical laboratory €20,000 for violating Articles 5(1)(f), 12, 13, 14, 24, 25, 32, 35(1), and 35(3) GDPR due to a lack of security and a privacy policy on its website as well as its nonexistent data protection impact assessment.

https://www.gegevensbeschermingsautoriteit.be/publications/beslissing-ten-gronde-nr.-127-2022.pdf

Danish SA reprimanded Region Syddanmark for not having sufficiently clear processor auditing procedures

The DPA (SA) highlighted that entering into a data processing agreement that contains security obligations is not sufficient, and that the controller must also oversee that the processor actually adheres to the agreement. The fact that the controller had auditing procedures in place was not good enough if these auditing procedures were not being followed in practice.
Tilsyn med Region Syddanmarks brug af personoplysninger til forskning
Datatilsynet udvalgte tre forskningsprojekter som genstand for tilsynet inden for emnerne ”behandlingsgrundlag” og ”ansvar og roller”. Datatilsynet fandt ikke anledning til at udtale kritik af regionens vurdering af behandlingsgrundlaget i projekterne, men udtalte til gengéld kritik af to af regione


https://gdprhub.eu/index.php?title=Datatilsynet(Denmark)-_2020-422-0026&mtc=today

Danish SA temporarily suspended its processing ban for Google Workspace ordered to change the data processing agreement with Google

Danish DPA temporarily suspended its processing ban against Helsingor municipality for the use of Google Chromebooks and Workspace for Education until 5 November 2022 and, amongst other things, ordered them to change their data processing agreement with Google.

The SA ordered the same to the Aarhus municipality for using Google services:

Chromebooks: Datatilsynet suspenderer forbud og giver pÄbud om lovliggÞrelse
I sagen om brug af Google Workspace i HelsingÞr Kommune har Datatilsynet nu suspenderet det gÊldende forbud, men har samtidig givet pÄbud om lovliggÞrelse af brugen. Et tilsvarende pÄbud er givet til Aarhus Kommune.
VedrĂžrende Aarhus Kommunes behandling af personoplysninger.
1. AfgÞrelse Datatilsynet meddeler Aarhus Kommune et pÄbud om at fÄ Êndret den indgÄende aftale med databehandleren pÄ en sÄdan mÄde, at de forhold,...

https://gdprhub.eu/index.php?title=Datatilsynet(Denmark)-2020-431-0061(Helsingordecisionno._4)&mtc=today

The Italian SA acted against a municipality due to the use of its video surveillance system and by appointing its DPO to defend it in court proceedings

Lastly, the DPA held that the controller, by entrusting its DPO with its defence in court proceedings, placed the DPO in a position of conflict of interest in violation of Article 38(6) GDPR. This was especially because it led to the data subject feeling unable to contact the DPO with regard to issues related to processing of their personal data and to the exercise of their rights under Article 38(4) GDPR.

https://gdprhub.eu/index.php?title=Garanteperlaprotezionedeidatipersonali(Italy)-_9794895&mtc=today

The Spanish SA fined an individual EUR 10k for doxing a person on an online blog

The Spanish DPA (SA) fined an individual 10,000€ for publishing personal data of a third person without their consent on an online blog.

https://www.aepd.es/es/documento/ps-00134-2022.pdf

https://gdprhub.eu/index.php?title=AEPD(Spain)-_PS-00134-2022&mtc=today

The Icelandic SA held that a there is a conflict of interest when a DPO is simultaneously also a company's senior lawyer

The Icelandic DPA (SA) held that a there is a conflict of interest when a DPO is simultaneously also a company's senior lawyer, deputy CEO or board member. However, a DPO can hold the position of compliance officer.

https://gdprhub.eu/index.php?title=Pers%C3%B3nuvernd(Iceland)-_2020061979&mtc=today

The Belgian DPA (SA) held that discussing a data subject's health-related personal data in a staff meeting where she was absent and consequently including the data in the minutes of the meeting was incompatible with the purpose of the original processing (personnel management) and did not have any other legal basis to rely on.

https://gdprhub.eu/index.php?title=APD/GBA(Belgium)-_115/2022&mtc=today

The Belgian SA held that a controller can rely on legitimate interest for direct marketing to former customers if the relationship ended 'not that long ago'

The Belgian DPA (SA) held that a controller can rely on legitimate interest as a legal basis to send former customers direct marketing if the relationship ended 'not that long ago' and the data subject did not object to this processing.

https://gdprhub.eu/index.php?title=APD/GBA(Belgium)-_117/2022&mtc=today

The SA of Lower Saxony fined a bank EUR 900k for profiling enriched with third-party data for advertising purposes based on legitimate interests

The DPA [SA] of Lower Saxony fined a bank €900,000 for creating customer profiles, enriched with third-party data, for advertising purposes, without consent. The DPA held that such processing cannot be based upon legitimate interest

https://gdprhub.eu/index.php?title=LfD(LowerSaxony)-FineEUR900,000againstbank

ICO 🇬🇧 finds multiple public, private entities 'repeatedly' failed to meet SAR deadlines

The U.K. Information Commissioner’s Office issued reprimands and practice recommendations for seven public and private entities for failure to respond to subject access requests. The entities included the Ministry of Defence, the Home Office, Kent police and Virgin Media. The ICO found the organizations “repeatedly failed" to meet the deadline to respond to SAR requests of one to three months. For instance, the MoD has a backlog 9,000 SAR requests dating back to March 2020.Full Story
ICO finds multiple public, private entities ‘repeatedly’ failed to meet SAR deadlines
The U.K Information Commissioner’s Office issued reprimands and practice recommendations for seven public and private entities for failure to respond to SARs.

Italian SA bans use of Google Analytics. No adequate safeguards for data transfers to the USA

The Italian SA came to this conclusion after a complex fact-finding exercise it had started in close coordination with other EU data protection authorities following complaints it had received.

https://www.garanteprivacy.it/garante/doc.jsp?ID=9782874

CNIL fines CLEARVIEW AI for EUR 20M

Facial recognition: 20 million euros penalty against CLEARVIEW AI | CNIL
How does the CLEARVIEW AI’s facial recognition service works? CLEARVIEW AI collects photographs from many websites, including social media. It collects all the photographs that are directly accessible on these networks (i.e. that can be viewed without logging in to an account). Images are also extra


Greek SA fines Clearview AI for EUR 20M

A rundown of the fine on IAPP:

A rundown of the Greek DPA’s Clearview AI fine, findings
Antonios Broumas and Panagiotis Charalampakis parse through the HDPA’s Clearview AI decision and breakdown key findings and orders.
Greek DPA imposes 20M euro fine on Clearview AI for unlawful processing of personal data
This article looks at the Greek data protection authority’s fine on Clearview AI, the largest fine the DPA has ever issued.

ICO 🇬🇧 fined construction company 4.4M GBP fine over employee privacy violations

The U.K. Information Commissioner's Office fined construction company Interserve Group 4.4 million GBP over alleged employee data protection issues. The ICO found insufficient security measures that left 113,000 Interserve employees exposed to a phishing scheme that affected contact information, national insurance numbers, and bank account information. Information Commissioner John Edwards said a lack of security measures is "never acceptable" and onlookers can "can expect a similar fine" if a business "doesn't regularly monitor for suspicious activity in its systems and fails to act on warnings."Full Story
ICO fined construction company 4.4M GBP fine over employee privacy violations
The U.K. Information Commissioner’s Office fined construction company Interserve Group 4.4 million GBP over alleged employee data protection issues.

Danish SA: fine of of approx. EUR 67k for a law firm hit by ransomware for its insufficient security safeguards

The Danish DPA held that the law firm lacked basic security measures, especially considering the fact that its processing involved special categories of personal data. The DPA emphasized that in such cases a data breach would almost certainly entail a high risk to the data subjects' rights. Therefore, the controller must have especially strict security measures in place to avoid unauthorised accesses. Hence, when creating remote access to such IT systems, the controller could, for instance, implement multifactor authentication.

https://gdprhub.eu/index.php?title=Datatilsynet%28Denmark%29-_2022-63-0003&mtc=today

European regulators are finalizing a decision blocking Meta from transferring data to the US

“Based on the facts of the case, we do not see how [Meta] could have continued its personal data transfers following the Schrems II judgment had it acted in accordance with the GDPR,” the Norwegian objection reads.
Norway wants Facebook fined for illegal data transfers
European regulators are finalizing a decision blocking Meta from transferring data to the US.

Government

Non-paper on the principles of a Cyber Resilience Act (DK, D, NL)

The Cyber Resilience Act should be an essential building block in a European and holistic approach to the cybersecurity of digital products, processes and services. It should propose security requirements for digital products, processes and services, which should cover all forms of digital products, processes and services, including stand-alone software, apps and software as a service (“SaaS”). In addition, the CRA should designate a limited list of digital products, processes and services for which conformity assessment by a certified body is required. Finally, the Cyber Resilience Act should inform users about the cybersecurity of the products and services they buy.

Non-paper on the principles of a Cyber Resilience Act
Non-paper (Engelstalig) van Nederland, Denemarken en Duitsland over de Cyber Resilience Act (CRA).

Guidance

DLA Piper: Who’s who under the DMA, DSA, DGA and Data Act?

As part of its data strategy, the European Commission has presented a number of legislative instruments, including the Digital Markets Act (DMA), the Digital Services Act (DSA), the Data Governance Act (DGA) and the Data Act. Our article analysing these four new instruments in more detail
EU: Who’s who under the DMA, DSA, DGA and Data Act?
As part of its data strategy, the European Commission has presented a number of legislative instruments, including the Digital Markets Act (DMA), the Digital Services Act (DSA), the Data Governance Act (DGA) and the Data Act. Our article analysing these four new instruments in more detail - in pa

EC publishes own DPIA on implementing legislation

EUR-Lex - 52022SC0211 - NL - EUR-Lex (europa.eu)

CNIL publishes compliance checklist for health data warehouse controllers

France’s data protection authority, the Commission nationale de l'informatique et des libertĂ©s, created a compliance checklist for controllers operating health data warehouses. The checklist is intended to help data controllers corroborate their compliance against CNIL’s reference system. If an entity does not meet a criteria in the checklist, then their warehouse would not be in compliance.
EntrepÎts de données de santé : la CNIL publie une « check-list » de conformité à son référentiel | CNIL
Évaluer sa conformitĂ© au rĂ©fĂ©rentiel La « check-list » a pour objectif d’aider les responsables de traitement Ă  vĂ©rifier facilement leur conformitĂ© au rĂ©fĂ©rentiel. Elle peut ĂȘtre utilisĂ©e par tout acteur souhaitant constituer un entrepĂŽt de donnĂ©es dans le domaine de la santĂ©.

ICO: How can Privacy Enhancing Technologies help with data protection compliance?

How can PETs help with data protection compliance? At a glance ‱ PETs can help you demonstrate a ‘data protection by design and by default’ approach to your processing. ‱ PETs can help you to comply with the data minimisation principle by ensuring you only process the data you need for your purposes, and provide an appropriate level of security for your processing. ‱ You can use PETs to give access to datasets which would otherwise be too sensitive to share, while ensuring individuals’ data is protected. ‱ However, you should not regard PETs as a “silver bullet” for data protection compliance. Your processing still needs to be lawful, fair and transparent. ‱ You should perform a case-by-case assessment (eg, through a data protection impact assessment (DPIA)) to determine if PETs are appropriate for your aims.

https://ico.org.uk/media/about-the-ico/consultations/4021464/chapter-5-anonymisation-pets.pdf

ICO Publishes Draft Employee Monitoring Guidance for Consultation

On October 14, 2022, the Federal Trade Commission announced it is extending the deadline by one month to submit comments on its Advanced Notice of Proposed Rulemaking on commercial surveillance and lax data security practices.
UK ICO Publishes Draft Employee Monitoring Guidance for Consultation
On October 12, 2022, the UK Information Commissioner’s Office launched a public consultation on its draft guidance on employers’ obligations when monitoring at work.

The operation of the CLOUD Act in data storage in Europe

GreenbergTraurig has assessed the scope of the US CLOUD Act on commission by the Dutch government. The CLOUD Act applies to EU entities that process data outside of the US, even if the EU entities are located outside of the US. To completely avoid being subject to the CLOUD Act, an EU entity would need to process data using a non-U.S. entity, which either does not have a corporate relation to any company with a presence in the US (such as a U.S. subsidiary) or if it does have a corporate relationship with a company based in the US, the US company must not have possession, custody, or control over the data that is stored in the EU.

the CLOUD Act may also reach data via sub-contractors/providers of hardware and software from/to cloud providers. As an example, if Microsoft uses Cisco routers and Cisco has access to data from EU customers/data subjects via these routers, this will also need to be adressed.

Read the Dutch blogpost on the matter.

Cloud Act Memo

Hunton summarises two articles from the new SCCs: the 'local laws and government access' section

Under Clause 14 of the Data Transfer SCCs, the data importer must carry out a transfer risk assessment to verify whether the laws and practices of the receiving third country could prevent the data importer from complying with the Data Transfer SCCs. If the risk assessment shows that the Data Transfer SCCs alone will not ensure an essentially equivalent level of protection for the personal data in the receiving third country, supplementary safeguards will need to be implemented, such as end-to-end encryption of data in transit and at rest. If no supplementary safeguards can be implemented for the data transfers at hand, the data exporter must take steps to terminate the Data Transfer SCCs or suspend the transfers.

Clause 15.1 of the Data Transfer SCCs requires the data importer to promptly notify the data exporter and concerned data subjects when receiving a government authority request to disclose personal data transferred under the Data Transfer SCCs or when becoming aware of any direct access by public authorities to such personal data. Notification to the data subjects is only required where feasible in practice, potentially with the assistance of the data exporter who has direct relationship with individuals. If notifying the data exporter of a government authority request is prohibited by law, then using best efforts should be used to obtain a waiver and communicate as much information about request as possible to data exporter.

EU: Deep dive into Q&As regarding the ‘local laws and government access’ section of the new SCCs
Background

Literature

Regulating the Risks of AI

This Article observes that constructing AI harms as risks is a choice with consequences. Risk regulation comes with its own policy baggage: a set of tools and troubles that have emerged in other fields. Moreover, there are at least four models for risk regulation, each with divergent goals and methods. Emerging conflicts over AI risk regulation illustrate the tensions that emerge when regulators employ one model of risk regulation, while stakeholders call for another.
Regulating the Risks of AI
Companies and governments now use Artificial Intelligence (AI) in a wide range of settings. But using AI leads to well-known risks—that is, not yet realized fut

Legacy Switches: A Proposal to Protect Privacy, Security, Competition, and the Environment from the Internet of Things

Georgetown University Law Center researchers propose that every IoT device manufacturer build a switch into their devices that disables any smart feature that contributes to security or privacy risks. This will render a smart thermostat just a thermostat and a smart doorbell just a doorbell, and will disable microphones, sensors, and wireless connectivity. Any user should find it easy to use and easy to verify whether the switch has been toggled.

Legacy Switches: A Proposal to Protect Privacy, Security, Competition, and the Environment from the Internet of Things
The Internet of Things (IoT) promises us a life of automated convenience. Bright and shiny—if cheaply made and plasticky—“smart” thermostats, doorbells, cameras

University of Twente: On the Efficacy of Online Proctoring using Proctorio

The results of a controlled experiment using Proctorio, an online proctoring system, show that it is ineffective at detecting cheating.

https://ris.utwente.nl/ws/portalfiles/portal/275927505/3e2a9e5b2fad237a3d35f36fa2c5f44552f2.pdf

Digital Privacy Rights and CLOUD Act Agreements between US and UK

The CLOUD Act agreements between the US and UK will likely improve the digital privacy rights of US and UK citizens, but they will further undermine these rights for Third Country Persons (eg from EU). The US and UK should voluntarily extend Fourth Amendment and Article 8 protections to these persons, according to an article in the Brooklyn Journal of International Law.

Digital Privacy Rights and CLOUD Act Agreements
The United States (US) and United Kingdom (UK) will soon bring into force a new international law enforcement data sharing ‘CLOUD Act agreement’ (US-UK Agreement), the first of its kind under the Clarifying Lawful Overseas Use of Data Act 2018 (CLOUD Act). These agreements enable law enforcement in


Quod erat demonstrandum? - Towards a typology of the concept of explanation for the design of explainable AI

  • We propose a framework for defining different types of explanations of AI systems.
  • We contextualize current XAI discourses within the proposed framework.
  • We highlight two broad perspectives for defining quality criteria for explainability.
  • We discuss the relevance of our framework in light of current and upcoming AI regulation.

https://www.sciencedirect.com/science/article/pii/S0957417422019066?via=ihub

What Happened to the Risk-Based Approach to Data Transfers?

The GDPR incorporates the RBA for all obligations of the controller in the GDPR. Where the transfer rules are stated as obligations of the controller (rather than as absolute principles), the RBA of Article 24 therefore applies. Other than the DPAs assume, this is not contradicted by the ECJ in Schrems II nor by the EDPB recommendations on additional measures following the Schrems II judgment, according to Lokke Moerel, Professor of Global ICT Law at Tilburg University and a Dutch Cyber Security Council member.

What Happened to the Risk-Based Approach to Data Transfers?
In my earlier FPF guest blog on the geopolitics of trans-Atlantic data transfers, I flagged that Schrems II companies increasingly find themselves in a catch-22. Frustrations are running high as companies work towards Schrems II compliance by executing measures to mitigate the risk that US governmen


On dark patterns and manipulation of website publishers by CMPs

This paper studies the installation and configuration process of consent pop-ups and their potential effects on website publishers' decision making. It finds that Consent Management Providers often violate the law, and that configuration options may lead to non-compliance.

https://petsymposium.org/popets/2022/popets-2022-0082.pdf

The right to lodge a data protection complaint: OK, but then what?

DPAs are independent authorities entrusted with the consistent application of the GDPR, and are obliged to facilitate the submission of complaints. However, according to this paper, current practices related to this obligation are lacking in clarity, and there is a need for DPAs to provide more information to data subjects about their rights under the GDPR.

https://www.ivir.nl/publicaties/download/GDPR-Complaint-study-1.pdf

Manipulation by Algorithms. Exploring the Triangle of Unfair Commercial Practice, Data Protection, and Privacy Law

Machine learning can be used to optimize sales practices in consumer markets, but it also raises concerns about manipulation. According to this article, in order to mitigate these risks, we need to understand how unfair commercial practice, data protection, and privacy law interact.

Manipulation by Algorithms. Exploring the Triangle of Unfair Commercial Practice, Data Protection, and Privacy Law
The optimization of sales practices in consumer markets through machine learning not only harbours the potential to better match consumer preferences with produ

Beyond Data Ownership

Data ownership proposals are misguided and would be self-defeating if implemented. Instead, privacy law reform should focus on strengthening ongoing use restrictions over personal data, according to this article.

Beyond Data Ownership
Data ownership proposals are widely misunderstood, aim at the wrong goal, and would be self-defeating if implemented. This Article, first, shows that data owner

Self-Sovereignty for Refugees? The Contested Horizons of Digital Identity

Self-sovereign identity is an embryonic technology with uncertain benefits for refugees. It may help to empower them, but it also risks reinforcing the power of states and corporations over them, according to this article.

Self-Sovereignty for Refugees? The Contested Horizons of Digital Identity
This paper critically examines the implications of ‘self-sovereign identity’ (SSI) for border politics and migration management. SSI refers to user-controlled, decentralised forms of digital identi...

CPDP: Workshop state-of-play of de-identification techniques

Thought the Top 250 GDPR Fines Were High? The New EDPB Methodology May Make You Think Again

Thought the Top 250 GDPR Fines Were High? The New EDPB Methodology May Make You Think Again | Keller and Heckman
Since it started in May 2018, enforcement of the rules of the General Data Protection Regulation (GDPR) across the EU

GDPR Fines: A Graphic Calculation Guide – Part 1

European supervisory authorities’ varying practices of calculating GDPR administrative fines can be viewed, on the one hand, as inconsistent and in conflict with the principle of uniform interpretation and application of the GDPR in general and uniform sanction for GDPR infringements in particular, as enshrined in GDPR recital 10, 11 and 13.
GDPR Fines: A Graphic Calculation Guide – Part 1
The EDPB has developed a methodology consisting of five steps for calculating administrative fines for breaches of the GDPR.

Data Protection Officer or Chief Privacy Officer?

Do we need an Chief Privacy Officer, a Data Protection Officer, or do we need both?In the following article, I will examine the benefits of both roles, but I will also look at some of the challenges related to each of the roles and why these have impelled both Data Protection Officers and organisations to question what the ideal setup is for them.
Data Protection Officer or Chief Privacy Officer? | White Label Consultancy
The rise of the Data Protection Officer In the final months of preparation for GDPR, Europe witnessed the proliferation of a new work function. All over

Exploring the Unprecedented Privacy Risks of the Metaverse

Thirty study participants playtested an innocent-looking "escape room" game in virtual reality (VR). Behind the scenes, an adversarial program had accurately inferred over 25 personal data attributes, from anthropometrics like height and wingspan to demographics like age and gender, within just a few minutes of gameplay. As notoriously data-hungry companies become increasingly involved in VR development, this experimental scenario may soon represent a typical VR user experience.
Exploring the Unprecedented Privacy Risks of the Metaverse
Thirty study participants playtested an innocent-looking “escape room” gamein virtual reality (VR). Behind the scenes, an adversarial program hadaccurately inferred over 25 personal data attributes, from anthropometrics likeheight and wingspan to demographics like age and gender, within just a fe


On proportionality in the data protection jurisprudence of the CJEU

The concept of proportionality is at the very core of the modern understanding of human rights. Proportionality is, first and foremost, a condition for the limitation of a qualified fundamental right.

On proportionality in the data protection jurisprudence of the CJEU
The concept of proportionality is at the very core of the modern understanding of human rights.1 Proportionality is, first and foremost, a condition for the lim

There is a wide gap between legal and ethical governance rules and the everyday practices of public sector data professionals. Frameworks are integrated implicitly, subtly influencing decision making. According to this article, mainstreaming literacy, rather than specialization, is a necessary consequence.

Paper vs. practice: How legal and ethical frameworks influence public sector data professionals in the Netherlands
Recent years have seen a massive growth in ethical and legal frameworks to governdata science practices. This paper looks at two cases in the Netherlands: public sectordata professionals at municipalities and the Netherlands Police. The paper concludesthat there is a wide gap between legal and et


Smartphone platforms as privacy regulators

Recent developments underscore the increasingly important role of online platforms in impacting data privacy in today's digital economy. Platform policies can make or break the enjoyment of privacy by users, and platforms should be required to make official disclosures about their privacy-related policies and practices for their respective ecosystems, according to this article.

https://www.sciencedirect.com/science/article/pii/S0267364921000303?via=ihub

Law can play an important role in safeguarding trust in organisations that use news personalisation. Control and transparency measures are crucial to enabling individuals to trust these organisations. The law’s current focus on informing individuals about and empowering them to stop personalisation does not account for the importance of enabling individuals to control how news is personalised.

Recommenders you can rely on: A legal and empirical perspective on the transparency and control individuals require to trust news personalisation
JIPITEC 13 (2022) 3 - This article explores the role law can play to support trust in the context of news personalisation. The need to ensure trust in the face of technological changes in information dissemination is an important aspect of both recent horizontal legislation such as the Digital Servi


Directly Discriminatory Algorithms

There is a broad consensus that algorithmic systems should be approached principally through the lens of indirect discrimination and their impact, but researchers argue that this approach is both normatively undesirable and legally flawed. In some cases, algorithmic bias may constitute direct discrimination, and the law should be better equipped to deal with this.

Empirical evidence of bias in automated decision-making will require us to revisit many of the fundamental challenges to the conceptual apparatus of discrimination law – from academic debates about the discipline's normative foundations to courts’ reluctance to approach causation through a ‘legalistic’ lens in the equality context.

https://onlinelibrary.wiley.com/doi/full/10.1111/1468-2230.12759?campaign=wolearlyview

Big Data Analytics, Insurtech and Consumer Contracts: A European Appraisal

Automated personalization in consumer insurance contracts is not yet a reality in Europe, but mass customization and robotization of insurance contracts are a growing problem, according to this article in European Review of Private Law.

https://kluwerlawonline.com/journalarticle/European+Review+of+Private+Law/30.4/ERPL2022030

Tools

DeFine is a calculator for GDPR fines based on method of the EDPB

DeFine is a translation into a calculator of part of the methodology proposed by the European Data Protection Board to calculate GDPR fines (see EDPB, Guidelines 04/2022 on the calculation of administrative fines under the GDPR, 12 May 2022, available online; it was subject to a public consultation until 27 June 2022).
DeFine | Keller and Heckman
What is DeFine? DeFine is a translation into a calculator of part of the methodology proposed by the European Data Protection Board to calculate GDPR fines (see EDPB, Guidelines 04/2022 on the calculation of administrative fines under the GDPR, 12 May 2022, available onlin

AEPD publishes GDPR Risk Assessment

GDPR RISK ASSESSMENT is intended to assist controllers and processors to identify the risk factors for the rights and freedoms of data subjects whose data are present in the processing, to make an initial assessment of the intrinsic risk, including the need to perform a DPIA, and to estimate the residual risk if measures and safeguards are used to mitigate the specific risk factors.
GDPR Risk Assessment

Media

Who Is Collecting Data from Your Car?Who Is Collecting Data from Your Car?

A firehose of sensitive data from your vehicle is flowing to a group of companies you’ve probably never heard of
Who Is Collecting Data from Your Car? – The Markup
A firehose of sensitive data from your vehicle is flowing to a group of companies you’ve probably never heard of

How anyone can track your car using only your license plate

Registering the target's license plate in parking apps and enabling license plate recognition (ANPR). I could add as many plates as I wanted. Doesn't matter if they already used parking apps: I could claim their plate as if it were my own

Analysis: DPC’s Meta fine heralds a new frontier in children’s privacy

The Irish Data Protection Commission’s 405 million euro fine against Meta represents a “watershed moment” in EU General Data Protection Regulation enforcement, write Bird & Bird’s Head of Privacy and Data Protection, Ireland, Anna Morgan and Associate Heather Catchpole. Morgan and Catchpole said the penalty represents “a critical staging post 
 for protecting children as users of digital services.” This was also the first GDPR cross-border data processing case involving children’s personal data where all of the EU and European Economic Area data protection regulators participated in the Article 60 decision-making process.
Analysis: DPC’s Meta fine heralds a new frontier in children’s privacy
This article discusses the Irish Data Protection Commission’s 405 million euro fine against Meta and how it is a major moment for children’s data rights.

This Surveillance Artist Knows How You Got That Perfect Instagram Photo

Mr. Depoorter realized that he could come up with an automated way to combine these publicly available cameras with the photos that people had posted on Instagram. So, over a two-week period, he collected EarthCam footage broadcast online from Times Square in New York, Wrigley Field in Chicago and the Temple Bar in Dublin.
Rand Hammoud, a campaigner against surveillance at the global human rights organization Access Now, said the project illustrated how often people are unknowingly being filmed by surveillance cameras, and how easy it has become to stitch those movements together using automated biometric-scanning technologies.
“It’s a dystopian reality that a lot of people don’t realize is now present,” Ms. Hammoud said.

Privacy activists warn against removing compensation for data protection breaches

The Advocate General of the Court of Justice of the European Union (CJEU) issued a non-binding opinion, which privacy advocates fear could further limit users’ possibilities to enforce their privacy rights under the GDPR.
According to the opinion delivered last week, Europeans would hardly get compensated if their rights are violated under the General Data Protection Regulation, even though the EU’s data protection rulebook foresees a claim for non-material damages.
Privacy activists warn against removing compensation for data protection breaches
The Advocate General of the Court of Justice of the European Union (CJEU) issued a non-binding opinion, which privacy advocates fear could further limit users’ possibilities to enforce their privacy rights under the GDPR.

EU-US Privacy Framework needs a long hard look

The Commission has endorsed enthusiastically a recent US order to implement a new framework to protect the privacy of personal data shared between the US and Europe. Dick Roche begs to differ.

The redress mechanism in the Privacy Shield successor: On the independence and effective powers of the DPRC
This article looks at certain specific aspects of the signals intelligence redress mechanism established by the U.S. legal reforms.
EU-US Privacy Framework needs a long hard look
The Commission has endorsed enthusiastically a recent US order to implement a new framework to protect the privacy of personal data shared between the US and Europe. Dick Roche begs to differ.

đŸ‡łđŸ‡± Nederlandse ontwikkelingen

Raad van State kritisch over kabinetsvoorstel voor hergebruik persoonsgegevens

Na de Autoriteit Persoonsgegevens is ook de Raad van State (RvS) kritisch over een wetsvoorstel van het kabinet voor het hergebruik van overheidsinformatie, waaronder persoonsgegevens. De RvS adviseert het kabinet het wetsvoorstel niet in te dienen bij de Tweede Kamer, tenzij het wordt aangepast. Ook de AP adviseerde een grondige aanpassing.
Raad van State kritisch over kabinetsvoorstel voor hergebruik persoonsgegevens
Na de Autoriteit Persoonsgegevens is ook de Raad van State (RvS) kritisch over een wetsvoorstel van het kabinet voor het ...

AP: ongevraagd doorgeven persoonsgegevens aan kerken moet stoppen

De AP concludeert in het wetgevingsadvies over het experiment dat het zonder toestemming doorgeven van persoonsgegevens uit de BRP aan kerken niet mag. En dat dit geldt voor alle kerkleden, dus ook voor mensen die al langer lid zijn van een kerk.
AP: ongevraagd doorgeven persoonsgegevens aan kerken moet stoppen

AP is zeer kritisch op de nieuwe voorgenomen FSV-verwerking door de Belastingdienst

[Scope]
Wat voor de AP geldt geldt overigens ook voor de Belastingdienst zelf. Zonder een volledig beeld van de risico’s voor de betrokkenen is een oordeel over de rechtmatigheid van de eigen verwerkingen niet goed denkbaar. De AP adviseert de minister voor de start van de verwerking een totaalbeeld op te stellen waarin alle risico’s voor alle betrokkenen in deze hele keten van verwerkingen binnen en buiten de Belastingdienst zijn meegewogen en op basis waarvan de minister tot het oordeel is gekomen dat deze verwerkingen in overeenstemming met de AVG zijn. (uit 7.1)
[Grondslag]
Ook in de Nederlandse jurisprudentie zijn eisen geformuleerd ten aanzien van de vereiste duidelijkheid en nauwkeurigheid van de rechtsgrond en de voorspelbaarheid van de toepassing van deze rechtsgrond voor de betrokkenen in de bij u bekende ANPR zaak, ECLI NL HR, hierin overwoog de Hoge Raad “Uit de eis dat een inmenging in de uitoefening van het recht op respect voor het priveleven moet zijn voorzien bij wet (in accordance with the law) vloeit voort dat die inmenging moet berusten op een naar behoren bekendgemaakt wettelijk voorschrift waaruit de burger met voldoende precisie kan opmaken welke op zijn priveleven betrekking hebbende gegevens met het oog op de vervulling van een bepaalde overheidstaak kunnen worden verzameld en vastgelegd en onder welke voorwaarden die gegevens met dat doel kunnen worden bewerkt, bewaard en gebruikt. De woorden “behoudens bij of krachtens de wet te stellen beperkingen” in artikel 10 van de Grondwet brengen bovendien mee dat beperkingen op het recht op eerbiediging van de persoonlijke levenssfeer slechts kunnen worden gerechtvaardigd door of krachtens een wet in formele zin (r.o.2.3.2). De AP adviseert de minister per verwerking te onderzoeken of aan bovenstaande eisen is voldaan (uit 7.15)
Ook bij het raadplegen van openbare internet bronnen moet worden nagegaan of er voor het verwerken van persoonsgegevens afkomstig uit deze openbare internetbronnen een voldoende duidelijke en precieze grondslag is en dat moet zijn afgewogen of deze verwerkingen noodzakelijk zijn en voldoen aan de eisen van proportionaliteit en subsidiariteit (uit 7.17)
[Rol van de FG]
In de aangepaste versies van de GEB die zijn opgesteld nadat de FG adviezen heeft uitgebracht niet steeds duidelijk is op welke wijze de adviezen en opmerkingen van de FG over de eerdere versie van de GEB zijn verwerkt ofwaarom deze adviezen en opmerkingen niet zijn overgenomen of opgevolgd Bij de overgelegde stuldcen zijn twee voor zover de AP kan waarnemen zorgvuldige en onderbouwde adviezen van de FG verstrekt. Hoewel niet altijd alle adviezen van een FG dienen te worden overgenomen of opgevolgd is het wel wenselijk om toe te lichten waarom adviezen van de FG niet zijn overgenomen of opgevolgd als dit het geval is In dit geval had het opnemen van een motivatie hieromtrent des te meer voor de hand gelegen nu de FG daar ook zelf op heeft gewezen in zijn advies van 27 januari 2022.

https://zoek.officielebekendmakingen.nl/blg-1047614.pdf

https://www.tweedekamer.nl/downloads/document?id=2022D33681

AP: Nieuwe wet opent deur naar ongekende massasurveillance door banken

Onderdeel van het voorstel is het monitoren van alle banktransacties van alle Nederlandse rekeninghouders in Ă©Ă©n gecentraliseerde database, met gebruik van algoritmes.
Nieuwe wet opent deur naar ongekende massasurveillance door banken

Jurisprudentie

Raad van State: VoetbalTV en de normuitleg van de AP

Op 27 juli 2022 heeft de Afdeling Bestuursrechtspraak van de Raad van State de uitspraak inzake VoetbalTV bekrachtigd. De boete die de Autoriteit Persoonsgegevens (AP) moet opnieuw worden beoordeeld. De Afdeling staat niet direct stil bij de gewraakte normuitleg van de AP over gerechtvaardigd belang.

Mark Jansen van Dirkzwager schreef een treffende samenvatting en commentaar:

De Afdeling stelt allereerst vast dat uit o.a. de uitspraak FashionID volgt dat er voor een geslaagd beroep op het gerechtvaardigd belang aan drie voorwaarden moet worden voldaan: een gerechtvaardigd belang, noodzakelijkheid en een belangenafweging (r/o 7.1).
De Afdeling onderschrijft het oordeel van de rechtbank dat het aan de verwerkingsverantwoordelijke is het belang te onderbouwen en daar naar te handelen. Het is vervolgens aan de AP om dat gestelde belang te toetsen (r/o 8). Ook wordt geoordeeld dat de belangen in kwestie niet louter commercieel van aard zijn. De vraag of een louter commercieel belang gerechtvaardigd is, hoeft dus niet te worden getoetst. Wel oordeelt de Afdeling dat de AP ten onrechte niet de door VoetbalTV gestelde belangen heeft meegewogen.
Vervolgens onderschrijft de Afdeling het oordeel van de rechtbank dat de AP de driestappentoets ten onrechte niet volledig heeft verricht en dat het besluit dus onvoldoende gemotiveerd is. De rechtbank heeft bovendien terecht geen kans geboden de boete alsnog beter te motiveren (r/o 10).
Uitspraak 202100045/1/A3

Hof Arnhem-Leeuwarden: Niet zomaar mailbox van werknemer doorzoeken, pas bij redelijke verdenking

Verzoek tot ontbinding arbeidsovereenkomst met bankmedewerker vanwege het verrichten van niet gemelde nevenactiviteiten en het structureel gebruik van onder andere zijn werk-e-mail en -laptop voor privédoeleinden (e-grond).
Onderzoek zakelijke e-mail toegestaan? Bărbulescu richtsnoeren. Bewijsopdracht aan werkgever van feiten en omstandigheden waaruit blijkt dat er voldoende reden was voor onderzoek van de e-mails van werknemer, en dus sprake was van een ‘redelijke verdenking’;
ECLI:NL:GHARL:2022:6203, Gerechtshof Arnhem-Leeuwarden, 200.307.830

Hof Amsterdam: Inzageverzoek beperkt toewijsbaar na transactieweigering

Appellant wilde in april 2018 geld omwisselen voor dollars bij Travelex, maar deze transactie werd geweigerd. Appellant verzocht om mededeling van de belastende gegevens op grond waarvan de transactie geweigerd werd. Travelex heeft dit niet gedaan omdat zij meent deze gegevens niet te mogen mededelen op grond van wetgeving betreffende het voorkomen van witwassen en het financieren van terrorisme (Wwft). De vordering van appellant wordt door de rechtbank Amsterdam afgewezen. Appellant vordert in hoger beroep dat Travelex meedeelt wat de belastende gegevens zijn op grond waarvan de transactie geweigerd werd. Het hof stelt vast dat als Travelex de gevraagde gegevens aan appellant had verstrekt, Travelex haar geheimhoudingsplicht zou hebben geschonden. Het hof begrijpt echter niet waarom er door Travelex geen kopie van de direct verwerkte gegevens als bedoeld in artikel 15 lid 3 AVG is verstrekt. Het hof komt tot het oordeel dat het verzoek zal worden afgewezen met betrekking tot de gevraagde belastende gegevens. Het verzoek zal echter worden toegewezen voor zover het ziet op de verwerkte persoonsgegevens.

https://uitspraken.rechtspraak.nl/inziendocument?id=ECLI:NL:GHAMS:2022:2192f

Rb Oost-Brabant: T-Mobile komt goed weg met gebrekkig informeren via privacyverklaring, bijv. geen rechtsgrond noemen omdat dat niet expliciet is verzocht (r.o. 2.11.5)

ECLI:NL:RBOBR:2022:3257, Rechtbank Oost-Brabant, C/01/371762 / EX RK 21-90 (rechtspraak.nl)

Rb Overijssel: Ex-medewerker kijkt mee bij wissen van werklaptop

2.8. De kantonrechter is daarom van oordeel dat de oplossing in het midden ligt. Die oplossing komt neer op het praktische voorstel dat [A] tijdens de mondelinge behandeling, kort voor de schorsing, deed en dat door [gedaagde] ook is geaccepteerd. Dat voorstel houdt in dat de laptop naar Eega wordt gebracht en dat de laptop daar door iemand van Eega, niet zijnde [A] of [B], wordt geschoond zodat de vertrouwelijke gegevens van [gedaagde] worden verwijderd. [gedaagde] mag daarbij aanwezig zijn.

ECLI:NL:RBOVE:2022:2365, Rechtbank Overijssel, 9965129 \ CV EXPL 22-2279 (rechtspraak.nl)

RvS: Misbruik van recht door veel verzoeken te sturen, niet te communiceren, termijnoverschrijding bezwaren te sturen

Uitspraak 202006960/1/A3 - Raad van State

Rb Rotterdam: College Rotterdam handelt in strijd met AVG door medische persoonsgegevens te vorderen

Verweerder eiseres een boete opgelegd van € 325,--, wegens het nalaten om geschriften over te leggen binnen de gestelde termijn. [
] De boete kan niet in stand blijven, want er worden persoonsgegevens over de gezondheid gevorderd in strijd met de AVG.
Medische gegevens mochten niet gevorderd worden

Rb Rotterdam: Verzoeker vraagt complete stukken op waar artikel 15 AVG niet voor is bedoeld

ECLI:NL:RBROT:2022:7239, Rechtbank Rotterdam, C/10/626193 / HA RK 21-1122

Hof Amsterdam: Belangenafweging van 'gerechtvaardigd belang' valt niet uit in het voordeel van appellant

De belangenafweging overeenkomstig artikel 6 lid 1 aanhef en onder f AVG valt niet uit in het voordeel van appellant. Verzekeraar kan zich niet beroepen op het bepaalde in art. 7:941 lid 5 BW aangezien appellant geen verzekerde of tot uitkering gerechtigde is als daar bedoeld. Nu appellant de beschadigde goederen niet heeft afgegeven, komt niet de dagwaarde maar slechts de waardevermindering voor vergoeding in aanmerking. Deze waardevermindering wordt door het hof begroot op nihil.
ECLI:NL:GHAMS:2021:1716, Gerechtshof Amsterdam, 200.278.586/01

EU-Hof: gegevens waaruit indirect de seksuele geaardheid van een persoon kan worden afgeleid vormen gevoelige gegevens in de zin van de AVG

De verwerking van persoonsgegevens die indirect gevoelige informatie over een persoon aan het licht kunnen brengen, zoals informatie over zijn seksuele geaardheid, kan worden aangemerkt als een verwerking van ‘bijzondere categorieĂ«n van persoonsgegevens’ in de zin van de AVG. De verwerking van dergelijke gevoelige gegevens is in beginsel verboden. Dat is het antwoord van het EU-Hof op vragen van een Litouwse rechter.

Zie ook de blogpost van Mark Jansen van Dirkzwager:

Wetgeving geen excuus om gegevens online te publiceren en ruime uitleg bijzondere persoonsgegevens
De Grote Kamer van het EU Hof van Justitie heeft onlangs een principiĂ«le uitspraak gewezen in het privacyrecht. Twee kwesties komen aan de orde: (1) wetten die verplichten tot het verwerken van persoonsgegevens kunnen zelf worden getoetst aan grondrechten en (2) het begrip ’bijzondere persoonsgegeve

EU-Hof: gegevens waaruit indirect de seksuele geaardheid van een persoon kan worden afgeleid vormen gevoelige gegevens in de zin van de AVG - ECER

EU-Hof: consumentenbeschermings-verenigingen mogen representatieve vorderingen instellen tegen inbreuken op de bescherming van persoonsgegevens

Een vereniging die consumentenbelangen behartigt kan een representatieve vordering instellen tegen de vermeende dader van een inbreuk op de bescherming van persoonsgegevens. Voor het instellen van een dergelijke vordering is een specifieke inbreuk op het recht van een betrokkene op bescherming van zijn of haar persoonsgegevens niet vereist. Daarnaast kan die vordering worden ingesteld los van de vraag of een betrokkene een opdracht tot het instellen daartoe heeft gegeven. Dat is het antwoord van het EU-Hof op vragen van een Duitse rechter.
EU-Hof: consumentenbeschermings-verenigingen mogen representatieve vorderingen instellen tegen inbreuken op de bescherming van persoonsgegevens - ECER

EU-Hof: het aan journalisten ter beschikking stellen van gerechtelijke stukken waarin persoonsgegevens zijn opgenomen behoort tot uitoefening van rechtelijke taak

Het behoort tot de uitoefening van rechterlijke taken door een gerecht in de zin van de AVG om uit een gerechtelijke procedure afkomstige stukken -waarin persoonsgegevens zijn opgenomen- tijdelijk ter beschikking te stellen aan journalisten om hen in staat te stellen beter verslag te doen van het verloop van die procedure. Dat is het antwoord van het EU-Hof op prejudiciële vragen van de Nederlandse rechter.

https://ecer.minbuza.nl/-/eu-hof-het-aan-journalisten-ter-beschikking-stellen-van-gerechtelijke-stukken-waarin-persoonsgegevens-zijn-opgenomen-behoort-tot-uitoefening-van-rechtelijke-taak?redirect=%2Fecer%2Fnieuws%3Fq%3Dprivacy%2520OR%2520avg%26f%3D%

RvS: Interne correspondentie bevat persoonsgegevens om in te zien voor controle op juistheid

5.2.    Tussen partijen is niet in geschil dat als uitgangspunt geldt dat het begrip persoonsgegevens, zoals bedoeld in artikel 4, eerste lid, van de AVG, een ruime betekenis toekomt. Dit volgt ook onder meer uit het door [appellant] aangehaalde arrest van het Hof van Justitie van de Europese Unie van 20 december 2017, ECLI:EU:C:2017:994, waarin is bepaald dat de door een examenkandidaat geformuleerde schriftelijke antwoorden op een beroepsexamen en de eventuele opmerkingen van de examinator bij deze antwoorden persoonsgegevens zijn. Dit betekent dat in beginsel ook interne correspondentie valt onder het begrip persoonsgegevens.
5.3.    De Afdeling is anders dan de rechtbank van oordeel dat de overgelegde interne correspondentie tussen de IND en TOELT niet gelijk kan worden gesteld met een juridische analyse in een minuut. Bij een juridische analyse gaat het om de analyse van de gegevens over een persoon met het oog op een door het de staatssecretaris te nemen besluit. Daarin hoeft geen inzage te worden verstrekt op grond van artikel 15 van de AVG, omdat het geen gegevens betreft die door de betrokkene zelf op juistheid kunnen worden gecontroleerd. Gelet op het arrest van de Hoge Raad van 16 maart 2018, ECLI:NL:HR:2018:365 geldt hetzelfde voor een medische analyse van dergelijke gegevens. De Afdeling is van oordeel dat de in het geding zijnde interne correspondentie als zodanig niet is te kwalificeren als een analyse van gegevens over [appellant]. Verder is niet in geschil dat de interne correspondentie persoonsgegevens van [appellant] bevat. Ook anderszins valt niet in te zien waarom [appellant] de in de interne correspondentie opgenomen persoonsgegevens niet voor controle op juistheid zou mogen inzien.
ECLI:NL:RVS:2022:1974, Raad van State, 202101518/1/A3

EU-hof: FG moet beschermd zijn tegen iedere beslissing die een einde maakt aan zijn positie, die hem nadeel toebrengt of  waarbij een sanctie wordt opgelegd

Het Hof overweegt dat art. 38 lid 3 tweede volzin AVG inhoudt dat de functionaris beschermd moet zijn tegen iedere beslissing die een einde maakt aan zijn positie, die hem nadeel toebrengt of waarbij een sanctie wordt opgelegd. De regel is  bedoeld om de functionele onafhankelijkheid van de functionaris en de nuttige werking van de AVG-voorschriften te waarborgen. Daarbij wordt geen onderscheid gemaakt tussen functionarissen die in dienst van de werkgever zijn dan wel de taak op grond van een dienstverleningsovereenkomst uitoefenen. Een functionaris kan niet worden ontslagen vanwege een reden die met de uitvoering van zijn taken te maken heeft. De AVG heeft evenwel niet tot doel om de arbeidsverhouding tussen de werkgever en de personeelsleden in algemene zin te regelen. Op het gebied van  sociaal beleid beschikken de Unie en de lidstaten over een gedeelde bevoegdheid. Lidstaten mogen regels op het gebied van ontslag van de functionaris vaststellen die een grotere bescherming biedt mits die regels verenigbaar zijn met het Unierecht en in het bijzonder de AVG. De verhoogde bescherming mag niet tot gevolg hebben dat een werkgever een functionaris niet kan ontslaan die niet meer over de voor de uitvoering van zijn taken noodzakelijke professionele kwaliteiten beschikt of de taken niet volgens de AVG uitvoert

https://eur-lex.europa.eu/legal-content/NL/TXT/?uri=ecli:ECLI:EU:C:2022:495

Rb Zeeland-West-Brabant: Ziekenhuis aansprakelijk op OD (6:162 BW) omdat zij ten aanzien van de controle van de logging geen passende beveiligingsmaatregelen heeft getroffen

Risicoaansprakelijkheid (artikel 6:170 BW) ziekenhuis voor “fout” van medewerker die veelvuldig onrechtmatig het patiĂ«ntendossier van eiseres heeft ingezien en medische informatie heeft gedeeld en gepubliceerd in een boek. Ziekenhuis ook aansprakelijk op grond van onrechtmatige daad (6:162 BW) omdat zij ten aanzien van de controle van de logging geen passende beveiligingsmaatregelen heeft getroffen in de zin van de artikelen 13 Wbp en 32 AVG. ImmateriĂ«le schade. Persoonsaantasting op andere wijze.
ECLI:NL:RBZWB:2022:5457, Rechtbank Zeeland-West-Brabant, C/02/387229

Rb Midden-Nederland: Verzoeker maakt misbruik van recht op inzage

Van 15 juni 2004 tot 1 augustus 2011 was verzoeker werkzaam als ambtenaar bij de gemeente. KPMG heeft in opdracht van de gemeente in de periode 2012 en 2015 een tweetal onderzoeken uitgevoerd naar mogelijke onregelmatigheden in relatie tot verzoeker en aan hem gelieerde personen. Verzoeker heeft KPMG verzocht om een overzicht te sturen van de verwerkte persoonsgegevens. KPMG heeft dit overzicht gestuurd, maar verzoeker heeft KPMG medegedeeld dat het overzicht onvolledig is. De rechtbank wijst het verzoek KPMG te bevelen een volledig overzicht van de persoonsgegevens te verstrekken af, omdat verzoeker misbruik maakt van zijn recht op inzage.
Verzoeker maakt misbruik van recht op inzage

Rb Noord-Holland: Geen schadevergoeding na datalek, omdat geestelijk letsel onvoldoende was onderbouwd

Een inwoonster van de gemeente Heemskerk komt niet in aanmerking voor een schadevergoeding na een datalek in 2019 bij de gemeente. De vrouw vroeg om een vergoeding van 2.000 euro omdat ze stress- en angstklachten zou hebben als gevolg van het datalek, maar de rechtbank vindt dat onvoldoende onderbouwd en wijst het verzoek af.

Sven Wakker schreef een overzicht voor immateriĂ«le schadevergoeding onder de AVG. Daarbij wordt aansluiting gezocht bij het civiele schadevergoedingsrecht. Op basis van artikel 6:106 BW kan immateriĂ«le schade vanwege een schending van de AVG kwalificeren als een ‘aantasting van de persoon’.

Geen schadevergoeding na datalek: geestelijk letsel niet onderbouwd
Betrokkene vordert immateriële schadevergoeding van de gemeente, omdat zij angst- en stressklachten ervaart na een datalek. Vordering niet onderbouwd.
ECLI:NL:RBNHO:2022:7329, Rechtbank Noord-Holland, HAA 22-1049

Rb Rotterdam: vergoeding voor immateriële schade door tien jaar onrechtmatige bewaring van persoonsgegevens, ondanks verschillende verzoeken van verzoekster tot vernietiging van de gegevens

ECLI:NL:RBROT:2021:6822, Rechtbank Rotterdam, ROT 20/3286

Rb Noord-Holland: Geen immateriële schadevergoeding na datalek

Eiseres stelt dat zij immateriĂ«le schade lijdt door een datalek en heeft op 1 juni 2021 het college van B&W van de gemeente Heemskerk verzocht om schadevergoeding op grond van artikel 82 AVG. Het college heeft dit verzoek afgewezen en handhaaft de afwijzing in de beslissing op bezwaar. Eiseres gaat tegen de beslissing op bezwaar in beroep. De rechtbank wijst het verzoek om immateriĂ«le schadevergoeding af omdat eiseres niet voldoende heeft onderbouwd dat zij geestelijk letsel heeft ondervonden ten gevolge van het datalek.9.3. Niet gebleken is dat de gegevens van eiseres bij derden terecht zijn gekomen. Eiseres heeft geen identiteitsfraude ondervonden en geen verdachte brieven, fishing mails of telefoontjes ontvangen die in verband kunnen worden gebracht met het datalek. Naar het oordeel van de rechtbank komt eiseres niet in aanmerking voor schadevergoeding nu zij niet met concrete en objectieve gegevens heeft onderbouwd dat zij ten gevolge van het datalek geestelijk letsel heeft opgelopen en van een aantasting in de persoon ‘op andere wijze’ als hiervoor bedoeld niet reeds sprake is bij de enkele schending van een fundamenteel recht. Uit de e-mails van de maatschappelijk werker en de huisarts blijkt enkel dat zij praat over haar dossiervermissing respectievelijk de kwestie met de gemeente. De overgelegde e-mails rechtvaardigen niet de conclusie dat sprake is van geestelijk letsel.
Geen immateriële schadevergoeding na datalek

Hof 's-Hertogenbosch: sociaal-emotionele ontwikkeling in leerlingvolgsysteem heeft wettelijke grondslag in Wet op primair onderwijs

Volgens appellant c.s. bestaat er geen voldoende rechtsgrondslag voor het verwerken van de persoonsgegevens. Naar het oordeel van het hof is de verwerking echter rechtmatig, omdat deze verwerking noodzakelijk is om te voldoen aan een wettelijke verplichting die op de basisschool rust, te weten art. 6 lid 1 onder c AVG en art. 8 Wpo. Een basisschool is namelijk verplicht om een leerlingen onderwijsvolgsysteem te hebben waaruit de vorderingen in kennis en vaardigheden van de leerling blijken. Naar het oordeel van het hof kan een leerlingvolgsysteem ook inzicht geven in de vorderingen van een leerling op het gebied van de emotionele en verstandelijke ontwikkeling. Voorts oordeelt het hof dat het onderwijskundig rapport in de zin van art. 42 lid 1 Wpo gegevens van de leerling bevatten over de sociaal-emotionele ontwikkeling en het gedrag van de leerling. Hier is nader invulling aangegeven in art. 5 en 7a Besluit uitwisseling leer- en begeleidingsgegevens.
ECLI:NL:GHSHE:2022:1511, Gerechtshof 's-Hertogenbosch, 200.304.406_01

Rb Midden-Nederland: Minister voor Medische Zorg dient meer inzicht te geven in welke documenten gevonden zijn en per document duidelijk te maken waarom dit niet onder inzagerecht valt

De vraag die de rechtbank dient te beoordelen is of het verstrekte overzicht volledig is. Eiseres heeft toegelicht dat er drie klachtenprocedures zijn gevoerd waarbij een aantal van de door haar genoemde instanties betrokken waren. Deze instanties zijn niet in het overzicht opgenomen. Verweerder stelt dat hij wel heeft gezocht naar stukken met betrekking tot deze instanties, maar deze of niet heeft kunnen vinden, of heeft beoordeeld dat deze niet onder het inzagerecht vielen. Volgens de rechtbank heeft eiseres voldoende aannemelijk gemaakt dat verweerder mogelijk meer documenten onder zich heeft waarin persoonsgegevens van haar zijn verwerkt, dan nu in het overzicht staan vermeld. Daarbij had verweerder ten aanzien van de documenten die zij niet heeft opgenomen, omdat deze niet onder de reikwijdte van art. 15 AVG zouden vallen, uitgebreider moeten motiveren hoe zij tot die conclusie is gekomen. De rechtbank en eiseres moeten immers ook kunnen nagaan of deze conclusie juist is.
ECLI:NL:RBMNE:2021:3243, Rechtbank Midden-Nederland, UTR 20_3806

ABRvS: AVG-begrip "de instelling, uitoefening of onderbouwing van een rechtsvordering"

Privacybescherming is niet absoluut. Dat staat zelfs letterlijk zo in de privacywetgeving. De AVG bevat daarom ook allerlei uitzonderingen. Een van de uitzonderingen die enkele keren terugkomt in de AVG ziet op de verwerking van persoonsgegevens in het kader van "de instelling, uitoefening of onderbouwing van een rechtsvordering". Tot op heden was echter niet heel erg duidelijk wat die woorden nu precies betekenen. Een recente uitspraak van de Afdeling bestuursrechtspraak van de Raad van State geeft meer helderheid.

Mark Jansen van Dirkzwager schreef het volgende artikel:

Privacy vs. juridische procedures. Hoogste bestuursrechter over AVG-begrip “de instelling, uitoefening of onderbouwing van een rechtsvordering”
Wanneer gaat de uitzondering in de AVG op voor “de instelling, uitoefening of onderbouwing van een rechtsvordering”? De ABRvS gaf onlangs uitleg. Lees erover in de blog.

Overheid

Versterkt mandaat voor Europol

Europol beschikt over meer mogelijkheden om samen te werken met derde landen, waaronder de mogelijkheid om persoonsgegevens uit te wisselen met landen waar voldoende waarborgen bestaan. Daarnaast moet Europol nauwer samenwerken met het Europees Openbaar Ministerie. Verder kan de directeur van Europol voorstellen om een nationaal onderzoek in te stellen naar niet-grensoverschrijdende misdrijven die een gemeenschappelijk belang schaden dat onder een beleidsgebied van de EU valt.
Versterkt mandaat voor Europol - ECER

EU-wetgeving inzake datagovernance definitief vastgesteld

De nieuwe datagovernanceverordening bevat de voorwaarden voor het hergebruik van bepaalde overheidsgegevens. Daarnaast voorziet de verordening in een aanmeldings- en toezichtskader voor het aanbieden van databemiddelingsdiensten. Verder bevat de verordening een kader voor de vrijwillige registratie van entiteiten die voor altruĂŻstische doeleinden beschikbaar gestelde gegevens verzamelen en verwerken. De regels zijn van toepassing vanaf september 2023.
EU-wetgeving inzake datagovernance definitief vastgesteld - ECER

Risicomodellen Broedkamer

Documenten over risicomodellen die de zogeheten Broedkamer heeft ontwikkeld.
Risicomodellen Broedkamer
Documenten over risicomodellen die de zogeheten Broedkamer heeft ontwikkeld. Risicomodellen Broedkamer deel 1 (PDF | 111 pagina’s | 29,0 MB) Risicomodellen Broedkamer deel 2 (PDF | 49 pagina’s | 18,4 MB)

Antwoorden op Kamervragen over gegevenslek bij zorgdata

Minister Kuipers (VWS) stuurt zijn antwoorden op vragen over een gegevenslek bij zorgdata ('lekkende' zorgdata waardoor de privacy van patiënten niet goed is beschermd door een commercieel softwarebedrijf). De vragen zijn gesteld door de Tweede Kamerleden Leijten en Hijink (SP).
Antwoorden op Kamervragen over gegevenslek bij zorgdata
Minister Kuipers (VWS) stuurt zijn antwoorden op vragen over een gegevenslek bij zorgdata (‘lekkende’ zorgdata waardoor de privacy van patiĂ«nten niet goed is beschermd door een commercieel softwarebedrijf). De vragen zijn gesteld door de Tweede Kamerleden Leijten en Hijink (SP). Antwoorden op Kamer


Antwoorden op Kamervragen over bericht 'Toezichthouder verzamelt ongevraagd info over 800.000 ggz-patiënten'

Minister Helder (Langdurige Zorg en Sport) answers questions on the message 'Supervisor collects unsolicited info on 800,000 mental health patients'. Lower House members Raemakers and Van Ginneken (D66) asked the questions. Minister Helder (Langdurige Zorg en Sport) geeft antwoord op vragen over het bericht 'Toezichthouder verzamelt ongevraagd info over 800.000 ggz-patiënten'. De Tweede Kamerleden Raemakers en Van Ginneken (D66) hebben de vragen gesteld.

Antwoorden op Kamervragen over bericht ‘Toezichthouder verzamelt ongevraagd info over 800.000 ggz-patiĂ«nten’
Minister Helder (Langdurige Zorg en Sport) geeft antwoord op vragen over het bericht ‘Toezichthouder verzamelt ongevraagd info over 800.000 ggz-patiĂ«nten’. De Tweede Kamerleden Raemakers en Van Ginneken (D66) hebben de vragen gesteld. Antwoorden op Kamervragen over bericht ’Toezichthouder verzamelt


Minister van Justitie en Veiligheid: Opruimen van nrechtmatige en onbehoorlijke verwerkingen met afkomstgerelateerde indicatoren

De rapportage gaat over het gebruik van afkomstgerelateerde indicatoren bij 3 organisaties en de manier waarop het ministerie onrechtmatige en onbehoorlijke verwerkingen gaat opruimen.
Bijlage bij Nazending over het gebruik afkomstgerelateerde indicatoren en aanpak opruimen onrechtmatige en onbehoorlijke verwerkingen
De rapportage gaat over het gebruik van afkomstgerelateerde indicatoren bij 3 organisaties en de manier waarop het ministerie onrechtmatige en onbehoorlijke verwerkingen gaat opruimen. Bijlage bij Nazending over het gebruik afkomstgerelateerde indicatoren en aanpak opruimen onrechtmatige en onbehoo


Kabinetsreactie WRR-rapport 'Opgave AI: de nieuwe systeemtechnologie'

De samenleving staat volgens de WRR momenteel op een keerpunt wat betreft het gebruik van AI. Door wetenschappelijke doorbraken op het gebied van machine learning en daarbinnen deep learning, gecombineerd met een toename van rekenkracht en beschikbare data, heeft de technologie de overstap van het laboratorium naar de praktijk in sneltreinvaart kunnen maken. Het aantal AI- gerelateerde patenten stijgt en de investeringen in AI groeien aanzienlijk, waardoor er in het bedrijfsleven en bij de overheid steeds meer toepassingen van deze technologie te vinden zijn.
Het is duidelijk dat de rol van de overheid volgens de WRR zal groeien naarmate AI verder ingebed raakt in de samenleving. De vijf opgaven die de WRR destilleert uit de omgang met eerdere systeemtechnologieën zijn: 1) Demystificatie: het vergroten van kennis over AI en het adresseren van onrealistische beelden; 2) Contextualisering: het creëren van een goede omgeving om AI te laten functioneren; 3) Engagement: het betrekken van maatschappelijke partijen bij de technologie; 4) Regulering: het opstellen van toekomstvaste kaders; en 5) Positionering: het strategisch nadenken over de positie van Nederland op het internationale toneel.
Kamerbrief met kabinetsreactie op WRR-rapport ‘Opgave AI: de nieuwe systeemtechnologie’
Minister Adriaansens (EZK), minister YeƟilgöz-Zegerius (JenV), minister Weerwind (Rechtsbescherming), minister Hoekstra (BZ), minister Schreinemacher (Buitenlandse Handel en Ontwikkelingssamenwerking) en staatssecretaris Van Huffelen (Koninkrijksrelaties en Digitalisering) reageren op het rapport ’O


Verzamelbrief publieke controle op algoritmen

Staatssecretaris van Huffelen (Koninkrijksrelaties en Digitalisering biedt de Tweede Kamer de Verzamelbrief publieke controle op algoritmen aan.
Verzamelbrief publieke controle op algoritmen
Staatssecretaris van Huffelen (Koninkrijksrelaties en Digitalisering biedt de Tweede Kamer de Verzamelbrief publieke controle op algoritmen aan.

IAMA verplichting door Stibbe

Het gebruik van algoritmes door overheden leidt te vaak tot discriminatie en andere mensenrechtelijke knelpunten: biedt het Impact Assessment Mensenrechten en Algoritmes een oplossing? | Stibbeblog

Voorbeeldregistratie in het algoritmeregister

In Algoritmeregister worden aspecten van algoritmische toepassingen op een begrijpelijke manier vastgelegd. Zo bieden wij transparantie en leggen we verantwoording af over de inzet van algoritmes. In het register vind je technische elementen terug, zoals de dataverwerking en broncode, maar bijvoorbeeld ook afspraken tussen overheden en leveranciers en een beschrijving van de werking van het algoritme.

https://beheer.algoritmeregister.nl/details/5db8dd64-075c-11ed-a754-5be474e3f9fa

WODC: Rapport Bescherming gegeven Evaluatie UAVG meldplicht datalekken en de boetebevoegdheid

Het onderzoek laat zien dat de duidelijkheid en toegankelijkheid van de UAVG kritisch wordt beoordeeld. Mede de ‘beleidsneutrale’ invulling van de wet en de korte tijd waarin deze tot stand moest komen hebben daartoe geleid. Wanneer wordt bezien hoe AP en de jurisprudentie nader invulling hebben gegeven aan de normen in de wet is de conclusie dat dit deels is gebeurd, maar voor een ander deel ook nog verder dient te worden uitgewerkt. In het onderzoeksrapport worden daarvan op verschillende plaatsen voorbeelden gegeven. Een duidelijk voorbeeld is de lijn die de Afdeling bestuursrechtspraak van de Raad van State met haar uitspraken van 1 april 2020 en de uitspraak van 2 februari 2022 heeft uitgezet. Daarin achtte de Afdeling zich op grond van artikel 8:88, eerste lid, aanhef en onder a Awb in samenhang met artikel 34 UAVG, bevoegd om te beslissen op een verzoek om schadevergoeding vanwege schade ontstaan uit een verwerking van persoonsgegevens. Uit het onderzoek onder FG’s komt naar voren dat zij over het algemeen redelijk hun weg weten te vinden binnen de normstelling. Er doen zich op onderdelen wel knelpunten voor (zoals bij de uitzonderingen op verwerking van bijzondere persoonsgegevens en/of gegevens van strafrechtelijke aard), maar over het geheel genomen stellen de FG’s zich goed te kunnen redden met de normen.

https://www.rijksoverheids.nl/documenten/kamerstukken/2022/09/06/tk-aanbiedingsbrief-rapport-bescherming-gegeven-evaluatie-uavg-meldplicht-datalekken-en-de-boetebevoegdheid

Literatuur

Fraude Signalering analyse: Olievlek op vlek

Risicoprofielen in het bestuursrecht In het reguliere bestuursrecht, meer in het bijzonder het socialezekerheidsrecht, zijn ook voorbeelden te vinden waarin risicoprofielen en het discriminatieverbod centraal staan. In zijn algemeenheid geldt daarbij dat het gebruik van risicoprofielen is toegestaan, maar dat niet in strijd mag worden gehandeld met het discriminatieverbod van artikel 14 EVRM en artikel 1 Protocol 12 bij het EVRM.35 Bij een ‘verdacht’ onderscheid – zoals naar nationaliteit – is van een rechtvaardiging niet snel sprake,36 zodat het op basis van die risicoselectie verkregen bewijs doorgaans ontoelaatbaar zal worden geacht.
Met andere woorden: risicoprofielen gebruiken waarbij wordt aangeknoopt bij het fiscaal relevante gedrag van de belastingplichtigen, al dan niet in combinatie met andere kenmerken is toegestaan, mits dit niet leidt tot discriminatie op grond van ‘sex, race, colour, language, religion, political or other opinion, national or social origin, association with a national minority, property, birth or other status’

https://hooghiemstra-en-partners.nl/wp-content/uploads/2022/07/NJB20_Olievlek-op-vlek.pdf

Computerrecht: Mogelijkheid voor massaschadeclaims in verband met AVG-schendingen op opt-out-basis

In het artikel "De verhouding tussen de AVG en de WAMCA: is een collectieve privacyschadeclaim zonder dat daartoe opdracht is gegeven door betrokkene (opt-out) mogelijk op grond van de AVG?" beargumenteren E.A.J. Schoenmakers & A.P. Koburg dat de weg open ligt voor collectieve actie met opt-out-mogelijkheid als basis.

Navigator – dĂ© website voor de jurist en fiscalist
Navigator biedt onmisbare informatie voor de fiscale, juridische, en financiële professional

Online volgen (met of zonder nepaccounts) gaat veel verder dan het doorspitten van de lokale krant

Gemeenten gebruiken anonieme nepaccounts om online informatie in te winnen over hun burgers. Gemeenteambtenaren gebruiken deze accounts om bijvoorbeeld uitkeringsfraude op te sporen, of om demonstraties of rellen te kunnen onderzoeken of voorspellen, die zouden kunnen leiden tot verstoringen van de openbare orde. Ondanks dat dit niet is toegestaan zonder dat daar een wettelijke grondslag voor is gaan sommige gemeenten hier toch gewoon mee door.
Online volgen (met of zonder nepaccounts) gaat veel verder dan het doorspitten van de lokale krant.

Open normen in het privacyrecht

Ook voor de privacywet geldt immers, in de woorden van de rechter, dat de wet "niet voorschrijft op welke wijze" een bepaalde verplichting "moet worden verricht". Bovendien heeft de afdeling advisering van de Raad van State, zoals hiervoor geciteerd, al gesignaleerd dat er een verzwaarde motiveringsplicht voor de Autoriteit Persoonsgegevens geldt bij de invulling van open normen. Op stellige interpretaties van de privacywetgeving door de AP zal dus mogelijk best wat af te dingen zijn.

Mark Jansen van Dirkzwager:

Voldoen aan open normen; hoe de ruimte die Bunq van de hoogste bestuursrechter krijgt breder interessant kan zijn
Open normen komen veel in het recht voor. Er wordt niet zo vaak over geprocedeerd. Deze kwestie bij het CBB laat zien dat de normadressant de norm zelf mag interpreteren en dat het vervolgens aan de handhaver is te onderbouwen dat die interpretatie niet redelijk is.

Het contracteren van cloudcomputing (SaaS) – oplossingen

Bart van Reeken noemt enkele tips bij het contracteren van SaaS in het tijdschrift Contracteren:

Bij jonge leveranciers is borging van de functionaliteit belangrijk, omdat daar een reĂ«el risico bestaat dat door innovatie functionaliteit verdwijnt. Als de SaaS moet functioneren in een omgeving die snel verandert, is de kwaliteit van het onderhoud belangrijker dan wanneer de SaaS een vrij statische behoefte vervult. Het toegelaten gebruik moet altijd minimaal het initieel beoogde gebruik dekken en dat is meer een kwestie van opletten dan van lastige onderhandelingen. Bij leveranciers die veel verschillende producten hebben of veel maatstaven ter bepaling van de vergoedingen is het belangrijk te bedingen dat daartussen kan worden geruild. Bij kritieke toepassingen (waar al snel veel schade ontstaat bij niet-beschikbaarheid) is het belangrijk dat de beschikbaarheid goed is geborgd, liefst ook met aansprakelijkheid naast ‘service credits’. Naarmate de software moeilijker te vervangen is, is bescherming tegen prijsverhoging bij verlenging van de overeenkomst belangrijker.
Boomportaal

Media

Lokke Moerel: We kampen met een ‘cocktail van cyberdreigingen’, maar kunnen de controle op onze data terugpakken

Hoe riskant het is om op dataverzamelingen van burgers algoritmes los te laten – datamodellen die vrij autonoom beslissingen nemen – bewijst de Toeslagenaffaire. Die laat ook zien wat het effect is van ‘verkeerde’ registraties die zich als onkruid door overheidssystemen lijken voort te planten, zonder dat iemand ze nog kan stoppen of wijzigen.En zijn al die gegevens van burgers en klanten wel veilig? Wie kan erbij, wie mag erbij, wat als ze gehackt of gegijzeld worden? Hoe kwetsbaar maakt onze afhankelijkheid van data ons?
‘We geven op dit moment te veel data weg aan Amerika en China. 92 procent van de Europese gegevens staat in buitenlandse clouds, waarvan 80 procent bij slechts vijf Amerikaanse aanbieders. Deze vijf spelers zijn inmiddels zo groot dat als Ă©Ă©n van hen uitvalt, de gevolgen even ingrijpend zullen zijn als die van een stroomstoring: hele EU-sectoren zullen uitvallen.’
We kampen met een ‘cocktail van cyberdreigingen’, maar kunnen de controle op onze data terugpakken
Jurist en hoogleraar Lokke Moerel is een autoriteit op het gebied van cyberveiligheid. Als lid van het cyber-adviesorgaan van het kabinet luidde ze vorig jaar de noodklok: de digitale systemen die Nederland draaiend houden, worden steeds vaker bedreigd. De raad pleitte daarom – vergeefs – voor een f


Uw FG is er niet om kennisgebrek te compenseren

De FG geeft richting en advies, maar hakt geen knopen door. De FG is er niet om een gebrek aan juridische en technische kennis in uw organisatie te compenseren.
Uw FG is er niet om kennisgebrek te compenseren
De FG (Functionaris Gegevensbescherming) wordt vaak ‘de AVG-politie’ genoemd. Wie de rol van FG in een organisatie vervult verschilt nogal.

Een internationaal cyberleger tegen Rusland met een Nederlander in de hoofdrol

Een Nederlandse oud-commando blijkt intensief betrokken bij de oorlog tussen OekraĂŻne en Rusland. Hij maakt deel uit van het elitegezelschap van het eerste internationale cyberleger. De Volkskrant spoorde hem op en sprak hem op zijn zolderkamer.
Een internationaal cyberleger tegen Rusland met een Nederlander in de hoofdrol
Een Nederlandse oud-commando blijkt intensief betrokken bij de oorlog tussen OekraĂŻne en Rusland. Hij maakt deel uit van het elitegezelschap van het eerste internationale cyberleger. De Volkskrant spoorde hem op en sprak hem op zijn zolderkamer.

De politie vraagt opvallend vaak gegevens op van toeslagenouders, maar kan niet zeggen waaromKPN vecht voor nieuw monopolie, de toezichthouder helpt meeGeheime diensten forceren nieuwe inlichtingenwet

[Het] blijkt dat de politie tussen 2013 en 2022 tientallen tot honderden keren gevoelige gegevens uit deze database opvroeg van deze gedupeerden en hun familieleden. Dat is opvallend veel vaker dan bij mensen die niets met de toeslagenaffaire van doen hebben.
De politie vraagt opvallend vaak gegevens op van toeslagenouders, maar kan niet zeggen waarom
De politie verzamelt systematisch persoonsgegevens van miljoenen Nederlanders uit de landelijke basisregistratie. Maar de gegevens van gedupeerden van de toeslagenaffaire halen ze opvallend veel vaker op dan die van andere mensen. Niemand lijkt te weten waar dit verschil vandaan komt, ook de politie