Kickin off 2024 met alweer een nieuwe Privacy Monthly- en deze keer steelt Google de schijnwerpers. De reus uit Silicon Valley verloor een grote antitrustzaak over zijn Play Store, moest een schikking treffen in een privacy-actie over de Incognitomodus van Chrome en moet afrekenen met een grote (en nog niet gepatchte) exploit in zijn veelgebruikte OAuth-autorisatiesysteem. Afgezien van Google staat de EU op het punt de AI-wet af te ronden, versleutelt Meta (eindelijk) Messenger-chats en nog veel meer!
- Grote problemen voor Google
- AI-wet bijna afgerond
- Messenger nu standaard versleuteld
- Congres verlengt tijdelijk FISA 702
- EDPB bespreekt pay-or-ok-benadering van privacy
- Belangrijke uitspraken van het HvJEU over kredietscores
- X onder DSA-onderzoek
- Noyb daagt X uit over politieke reclame
- Morgan Stanley treft schikking over beschamend datalek
Grote problemen voor Google
In december heeft Google een schikking getroffen in een collectieve rechtszaak over het volgen van de Incognitomodus. De rechtszaak eiste $5 miljard aan schadevergoeding, maar het bedrag van de schikking is niet bekend gemaakt. We schreven hier meer over de Incognito-modus blunder van Google.
Ondertussen heeft de IJslandse privacy-autoriteit verschillende gemeenten beboet voor het gebruik van Google Workspace en andere Google Cloud-diensten op scholen. Hoewel Google zelf niet verantwoordelijk was voor een overtreding, suggereert de beslissing dat sommige van zijn diensten mogelijk te privacy-invasief zijn voor gebruik in een educatieve omgeving.
In niet-privacy gerelateerd nieuws verloor Google een grote antitrust rechtszaak tegen Epic Games over de Google Play Store. Als Google in hoger beroep verliest, kan de zaak een gevaarlijk precedent scheppen voor Google en het lucratieve monopolie van de Play Store op de distributie van apps op het Android-platform verzwakken.
Alsof juridische kwesties nog niet genoeg zijn, heeft een beveiligingsonderzoeker onlangs een grote kwetsbaarheid in de OAuth-systemen van Google onthuld. Door een onoplettendheid in het e-mailkoppelingssysteem voor Google-accounts kunnen voormalige werknemers toegang behouden tot de serviceproviders van hun organisatie nadat hun bedrijfs-Google-account is gedeactiveerd. Deze kwetsbaarheid kan leiden tot inbreuken op persoonlijke gegevens en bedrijfsinformatie van onschatbare waarde, waaronder bedrijfsgeheimen.
De onderzoeker bracht Google in augustus op de hoogte en maakte de details pas bekend nadat Google de kwetsbaarheid niet had verholpen. Grote serviceproviders zoals Slack werden al op voorhand op de hoogte gebracht van de kwetsbaarheid om de negatieve gevolgen van de onthulling te beperken. Tot op heden heeft Google deze kwetsbaarheid niet vermeld op zijn blog of een fix aangekondigd.
AI-wet bijna afgerond
Na een onderhandelingsmarathon van drie dagen hebben EU-wetgevers een voorlopig akkoord bereikt over de AI-wet.
Het akkoord werd mogelijk gemaakt door wederzijdse concessies tussen het Parlement en de Raad: het Parlement stemde er bijvoorbeeld mee in om smalle uitzonderingen te maken voor het gebruik van realtime biometrische identificatie bij wetshandhaving, in ruil voor een verbod op emotieherkenningstechnologie op het werk en in scholen.
De wet zal waarschijnlijk snel worden afgerond, omdat de EU-wetgevers van plan zijn om de laatste hand te leggen voordat er een nieuw Parlement wordt gekozen.
Messenger nu standaard versleuteld
Meta heeft aangekondigd dat het end-to-end encryptie uitrolt voor Messenger. De end-to-endencryptie van Messenger maakt gebruik van hetzelfde Signal-protocol als WhatsApp.
End-to-end encryptie was al beschikbaar sinds 2016 via gebruikersinstellingen, maar zal nu standaard zijn. Beter laat dan nooit, denk ik.
Congres verlengt tijdelijk FISA 702
Het Amerikaanse Congres heeft FISA Sectie 702 met vier maanden verlengd en daarmee de voorgestelde en veelbesproken hervorming van de wet uitgesteld. De voorgestelde hervormingen zijn gericht op het beperken van reverse targeting - een vorm van onwettige observatie die een deel van de wettelijke bescherming van Amerikaanse burgers omzeilt.
FISA is zeer relevant voor de EU privacywetgeving. Door uitgebreide surveillance van Europese gegevens mogelijk te maken, creëert Sectie 702 een privacyrisico voor de overdracht van gegevens tussen de EU en de VS. Een hervorming van Sectie 702 kan belangrijke gevolgen hebben voor gegevensoverdrachten en voor de toekomst van het nieuwe kader voor gegevensprivacy tussen de EU en de VS.
EDPB bespreekt pay-or-ok-benadering van privacy
In december besprak het Europees Comité voor gegevensbescherming (het Europees orgaan dat alle gegevensbeschermingsautoriteiten van de EER samenbrengt) de pay-or-ok-benadering van privacy en de verenigbaarheid ervan met de GDPR. De Board heeft nog geen documenten over dit onderwerp gepubliceerd.
Hoewel pay-or-ok zeker niet nieuw is, werd het een heet hangijzer nadat Meta betaalde, advertentievrije abonnementen begon aan te bieden als onderdeel van zijn nieuwe (en controversiële) nalevingsstrategie voor gerichte reclame. Het is een lang verhaal en we hebben er hier over geschreven.
Belangrijke uitspraken van het HvJEU over kredietscores
Het Europese Hof van Justitie heeft twee uitspraken gedaan over credit scoring praktijken. Gezien het steeds wijder verbreide gebruik van credit rating kunnen deze uitspraken een belangrijke rol spelen in de toekomst.
De belangrijkste conclusie is dat personen die te maken krijgen met credit scoring specifieke rechten en waarborgen genieten onder de GDPR (in het bijzonder de rechten en waarborgen voor bepaalde vormen van geautomatiseerde besluitvorming onder artikel 22). Het Hof oordeelde ook dat een kredietscorende instantie informatie over insolventie niet langer mag bewaren dan openbare registers.
X onder DSA-onderzoek
Op 18 december startte de Europese Commissie een onderzoek naar de naleving door X van de Digital Services Act - een recente verordening die grote online platforms verplichtingen oplegt op het gebied van content moderatie.
Dit is niet verrassend. X (toen nog Twitter geheten) stapte in juni 2023 uit de EU-gedragscode inzake desinformatie, vlak voordat de DSA van kracht werd. In feite keerde het platform vrijwillige verbintenissen die binnen enkele maanden wettelijke verplichtingen zouden worden, de rug toe. Deze verwarrende zet maakte van het platform een voor de hand liggend doelwit voor handhaving van de DSA en leidde tot kritiek van de EU-Commissie.
Lang verhaal kort, het onderzoek was te verwachten en X heeft een slechte start gemaakt.
Noyb daagt X uit over politieke reclame
Meer X-gerelateerd nieuws is dat NGO noyb een klacht heeft ingediend over gerichte politieke reclame die X namens de Europese Commissie heeft gemaakt. Deze klacht is een vervolg op een andere recente klacht tegen de Commissie zelf.
Noyb beweert dat een Nederlandse burger advertenties te zien kreeg op basis van politiek-gerelateerde trefwoorden, waaronder namen van prominente rechtse politici. De organisaties zijn van mening dat deze targetingstrategie een schending is van zowel de GDPR als de Digital Services Act (en we zijn het ermee eens, voor wat het waard is).
Het komt erop neer dat de** Commissie zich bezighoudt met precies die praktijken die de EU probeert te verbieden**. Deze zaak is behoorlijk gênant voor de Commissie, ongeacht de uitkomst.
Morgan Stanley treft schikking over beschamend datalek
Financieringsgigant Morgan Stanley heeft een schikking getroffen van $6,5 miljoen over een datalek. De rechtszaak was aangespannen door een coalitie uit meerdere staten nadat het bedrijf persoonlijke gegevens in gevaar had gebracht door deze niet te wissen van buiten gebruik gestelde apparaten.
Morgan Stanley had de ontmanteling uitbesteed aan een verhuisbedrijf zonder IT-expertise. Dit resulteerde in bedrijfscomputers en servers die op de markt werden gebracht met bedrijfsgegevens en persoonlijke gegevens nog in het geheugen van het apparaat - soms in onversleutelde vorm.