Privacy Maandelijks: Augustus 2023

Image of Carlo Cilento

Gepubliceerd op 24 aug 2023 en bijgewerkt op 13 sep 2023 door Carlo Cilento

  1. Europese Commissie rondt kader voor Amerikaanse gegevensoverdracht af
  2. Europese Commissie wil Google's bedrijven opsplitsen
  3. Meta wijzigt privacybeleid opnieuw na uitspraak HvJEU
  4. EU gaat verder met digitale wetgeving
  5. 24 VS-staten roepen op tot schadebeperking na Dobbs vs. Jackson
  6. Franse waakhond beboet grote adtechspeler met € 40M
  7. Belangrijke uitspraak HvJEU over GDPR-schadevergoeding
  8. OpenAI wordt geconfronteerd met class action over web scraping
  9. Meta stelt lancering EU Threads uit
  10. Amerikaanse inlichtingendienst kocht consumentengegevens
Logo of MichelinMichelin chose Simple AnalyticsJoin them

Europese Commissie rondt kader voor Amerikaanse gegevensoverdracht af

Op 10 juli heeft de Europese Commissie een adequaatheidsbesluit genomen voor de Verenigde Staten. Dit is de laatste stap in de implementatie van het langverwachte Trans Atlantic Data Privacy Framework, een bilateraal kader tussen de EU en de VS dat gegevensstromen tussen de VS en EU/EER-landen eenvoudiger maakt.

Het raamwerk is een poging van de EU en de VS om de juridische onzekerheid rond gegevensoverdrachten als gevolg van de Schrems I en II uitspraken van het Europese Hof van Justitie op te lossen. Niet iedereen is er blij mee: het Europees Parlement was met een overweldigende meerderheid tegen het kader in een niet-bindende stemming, en noyb - een NGO die al betrokken is bij het juridische drama rond gegevensoverdrachten - heeft al aangekondigd dat het de beslissing zal aanvechten bij het Europese Hof van Justitie.

Alleen de tijd zal leren of het nieuwe kader het onderzoek van het Hof zal overleven of hetzelfde lot beschoren zal zijn als de kaders van Safe Harbor en Privacy Shield.

Kijk voor meer informatie over het kader op onze blog.

Europese Commissie wil Google's bedrijven opsplitsen

De Europese Commissie heeft Google-eigenaar Alphabet Inc. op de hoogte gesteld van haar voorlopige standpunt dat Google de antitrustwetgeving overtreedt en mogelijk wordt veroordeeld tot het opsplitsen van haar activiteiten.

De mededeling is het resultaat van een onderzoek naar de rol van Google op de markt voor online advertenties, waarin de Commissie heeft vastgesteld dat Google een dominante positie heeft op ten minste twee verschillende markten - advertentieservers voor uitgevers en tools voor het online kopen van advertenties. De Commissie is van mening dat Google misbruik maakt van haar machtspositie door haar eigen diensten te bevoordelen op advertentiebeurzen die via haar AdX-platform lopen.

Volgens de Commissie is het afstoten van sommige van Google's diensten de enige manier om het misbruik te stoppen. Het onderzoek loopt nog en is de moeite waard om op de voet te volgen.

Meta wijzigt privacybeleid opnieuw na uitspraak HvJEU

In de recente uitspraak van het Bundeskartellamt oordeelde het Hof van Justitie van de EU dat de trackingtools van Facebook gevoelige gegevens verwerkenen dat Meta gebruikers niet mag volgen voor behavioral advertising zonder hun toestemming.

De opmerkingen van het Hof over behavioral advertising in het bijzonder kunnen de doodsteek betekenen voor het nieuwe privacybeleid van Meta. Meta kondigde onlangs aan dat ze van plan waren om toestemming van gebruikers te vragen voor gerichte reclame. De aangekondigde wijziging zou de tweede update van het privacybeleid van het bedrijf binnen het jaar betekenen, nadat Meta zijn rechtsgrondslagen al had gewijzigd als reactie op de boetes van de Ierse privacywaakhond.

Ondertussen heeft de Noorse gegevensbeschermingsautoriteit gerichte reclame op Facebook en Instagram tijdelijk verbodenvanwege de uitspraak van het Hof.

Bundeskartellamt is een zeer belangrijke beslissing, dus we hebben deze in twee blogs in detail geanalyseerd (klik hier voor deel één).

EU gaat verder met digitale wetgeving

Het Europees Parlement heeft een nieuwe versie van het ontwerp van de AI-wet aangenomen. Het voorstel moet nu onderhandeld worden tussen het Parlement, de Europese Commissie en de Europese Raad. Het nieuwe ontwerp bevat momenteel strengere regels voor generatieve AI en biometrisch toezicht in openbare ruimtes.

Tegelijkertijd hebben de Europese Raad en vertegenwoordigers van het Parlement een akkoord bereikt over het ontwerp van de Data Act. Het voorstel moet nu worden goedgekeurd door het Europees Parlement en de Commissie. Als de Data Act wordt aangenomen, zal deze het recht op gegevensportabiliteit in de hele EU versterken en contractuele onevenwichtigheden met betrekking tot het delen van gegevens aanpakken, in een poging om te komen tot een interne gegevensmarkt.

24 VS-staten roepen op tot schadebeperking na Dobbs vs. Jackson

24 Amerikaanse staten, onder leiding van de procureurs-generaal van Californië en New York, hebben het Congres opgeroepen om de HIPAA (Health Insurance Portability and Accountability Act) te versterken, slechts enkele maanden nadat de Amerikaanse gezondheids- en gezondheidsdiensten de wetgever hadden aangespoord om hetzelfde te doen.

De drang naar een betere bescherming van gezondheidsgegevens is een reactie op de uitspraak Doobs tegen Jackson van het Amerikaanse Hof van Justitie, die de poort opende voor een golf van anti-abortuswetgeving in conservatieve staten. Dit leidde tot een grootschalige mensenrechten- en privacycrisis: gezondheidsgegevens van vrouwen worden vaak gebruikt om hen te vervolgen en zijn in handen van bedrijven die vaak meer dan bereid zijn om ze te verkopen aan de hoogste bieder.

Franse waakhond beboet grote adtechspeler met € 40M

De Franse autoriteit voor gegevensbescherming (CNIL) heeft online advertentiebedrijf Criteo een boete opgelegd van € 40M voor het niet kunnen leveren van bewijs van toestemming van de consument en voor andere zaken, waaronder een gebrek aan transparantie.

Het besluit raakt aan interessante juridische kwesties. Volgens de CNIL kunnen reclametussenpersonen zoals Criteo zich niet afzijdig houden en hun partners volledig laten afrekenen met toestemming. In plaats daarvan moeten ze van hun partners eisen dat ze gegevens op wettige wijze verzamelen en moeten ze in staat zijn om het bewijs van toestemming van de gebruiker te leveren.

De CNIL is een invloedrijke autoriteit in Europa. Als andere autoriteiten haar voorbeeld volgen, kan deze aanpak een grote impact hebben op de positie van tussenpersonen op de online advertentiemarkt.

Belangrijke uitspraak HvJEU over GDPR-schadevergoeding

Het Hof van Justitie van de EU heeft enkele belangrijke aspecten van het schadevergoedingssysteem onder de GDPR verduidelijkt in een uitspraak over de Oostenrijkse postdienst.

De uitspraak is vrij technisch en draait om het schadevergoedingssysteem waarin artikel 82 van de verordening voorziet. Het Hof stelde dat er geen drempel is voor schadevergoeding onder de GDPR. Het Hof verduidelijkte ook dat er geen schadevergoeding kan worden toegekend voor een eenvoudige schending van de GDPR: de eiser moet enige vorm van schade hebben geleden - materieel of immaterieel - als gevolg van de schending.

OpenAI wordt geconfronteerd met class action over web scraping

In de federale rechtbank van San Francisco iseen class action aangespannen tegen OpenAI. De eisers klagen dat de ChatGPT en DALL-E engines enorme hoeveelheden persoonlijke informatie van het internet schrapen zonder de internetgebruikers te informeren of om toestemming te vragen.

Dataschrapen is een heet juridisch hangijzer aan beide kanten van de oceaan. Het schrapen van de gegevens van miljoenen onwetende internetgebruikers was een van de zorgen die leidden tot het verbod van een maand van ChatGPT uit Italië. In het kielzog van het Italiaanse onderzoek onderzoeken andere Europese waakhonden momenteel de privacyproblemen van ChatGPT en de European Data Protection Board heeft een taskforce opgericht om hun inspanningen te coördineren.

Meta stelt lancering EU Threads uit

Een woordvoerder van Meta heeft aangekondigd dat het sociale platform Threads niet beschikbaar zal zijn in de EU. Nieuwsbronnen waaronder de Irish Independent en Politico melden dat de beslissing mogelijk te maken heeft met de Digital Markets Act van de EU, die het poortwachterbedrijven verbiedt om datasets van verschillende platforms te combineren.

Meta is overigens al bezig met het samenvoegen van gegevens van Facebook- en Instagram-gebruikers. Het zal interessant zijn om te zien of Meta stappen zal ondernemen om de naleving van de DMA met betrekking tot het samenvoegen van databases aan te pakken.

Amerikaanse inlichtingendienst kocht consumentengegevens

In nieuws dat niemand zal verbazen, bevestigt een vrijgegeven rapport van het Office of the Director of National Intelligence dat Amerikaanse inlichtingendiensten ten minste tot 2022 consumentengegevens hebben gekocht van gegevensmakelaars.

Het is een publiek geheim dat inlichtingendiensten over de hele wereld steeds meer vertrouwen op commercieel beschikbare informatie. Dit is een diplomatieke manier om te zeggen dat ze enorme hoeveelheden persoonlijke gegevens kopen van bedrijven en gegevensmakelaars. Het kopen van gegevens op de markt is makkelijker dan ze zelf te verzamelen en stelt de inlichtingendiensten soms in staat om beperkingen te omzeilen die anders op hun operaties van toepassing zouden zijn. Deze praktijk werpt problemen op met betrekking tot privacy en burgerrechten, zoals in het rapport zelf wordt benadrukt.

GA4 is complex. Probeer Simple Analytics

GA4 is als in de cockpit van een vliegtuig zitten zonder een pilotenlicentie

Start 14-dagen proefperiode