Privacy Maandelijks: December

Michelin chose Simple AnalyticsJoin them

EU neemt gegevenswet aan

Op 27 november heeft de Raad van de Europese Unie de Data Act aangenomen. De nieuwe verordening is een belangrijk onderdeel van de datastrategie van de EU, samen met de Digital Services Act en de Digital Markets Act.

De wet is bedoeld om het delen van gegevens die worden gegenereerd door onderling verbonden producten te vergemakkelijken. Het einddoel is het stimuleren van economische groei door gebruik te maken van de enorme hoeveelheden ongebruikte industriële gegevens in de EU.

Het zal interessant zijn om te zien hoe de verplichtingen voor het delen van gegevens onder de Data Act zullen interageren met de GDPR. Naar alle waarschijnlijkheid zal het een tijdje duren voordat de juridische wereld alle knikken heeft gladgestreken.

Meta wordt geconfronteerd met golf van rechtszaken in de EU

In oktober is Meta begonnen met het aanbieden van betaalde, advertentievrije abonnementen aan EU-gebruikers als alternatief voor het gratis, advertentiegedreven servicemodel. De stap maakt deel uit van de nieuwe compliance-strategie van Meta: het bedrijf hoopt de toezichthouders ervan te overtuigen dat niet-betalende gebruikers vrij zijn om toestemming te geven voor de uitgebreide profilering die nodig is voor gerichte reclame.

Deze nieuwe strategie werd onmiddellijk aangevochten door privacy NGO noyb en door de European Consumer Organization. De twee organisaties vechten het beleid van Meta op verschillende gronden aan, maar uiteindelijk beweren ze allebei dat gebruikers niet echt vrij zijn om toestemming te geven voor profilering en gerichte reclame, met of zonder de optie om te betalen voor een reclamevrij abonnement.

Dezelfde week dienden 83 Spaanse media een collectieve rechtszaak in en eisten 550 miljoen euro schadevergoeding. Volgens de media heeft Meta een oneerlijk concurrentievoordeel behaald door het onrechtmatig verwerken van persoonlijke gegevens over een periode van vijf jaar. De advocaten van Meta zullen het druk krijgen tijdens de feestdagen.

Nederlandse privacywaakhond onderzoekt belastingdienst

De Autoriteit Persoonsgegevens (AP) onderzoekt de Belastingdienst wegens vermeende privacyschendingen in verband met het gebruik van een risicoanalysemodel voor belastingfraude in het verleden.

Het systeem werd in 2018 stopgezet en bevatte grote hoeveelheden informatie over Nederlandse belastingbetalers, waaronder gegevens die door andere systemen van de Belastingdienst waren verzameld en informatie die van sociale media was geschraapt. Volgens de AP maakte het systeem discriminerende zoekopdrachten mogelijk op basis van de nationaliteit van de belastingbetaler en was het niet goed beschermd tegen aanvallen met voorkennis.

De belastingdienst heeft een minder goede staat van dienst als het gaat om risicoanalysesystemen: nog niet zo lang geleden veroorzaakte het schandaal met de kinderopvangtoeslag enorme schade voor duizenden huishoudens met een laag inkomen, het wierp ernstige vragen op over raciale vooroordelen in AI-systemen en leidde uiteindelijk tot het aftreden van de Nederlandse regering.

noyb daagt Europese Commissie uit over politieke reclame

In een klacht die is ingediend bij de Europese Toezichthouder voor gegevensbescherming beweert noyb dat de politieke reclame van de Europese Commissie in strijd is met de GDPR.

Volgens noyb gebruikte de Commissie gevoelige gegevens om gebruikers van de X-platforms te targeten met politieke advertenties ten gunste van een controversieel wetsvoorstel over chatcontrole. Dit ziet er nogal gênant uit voor de Commissie: zo te zien hebben ze precies de Cambridge Analytica-strategieën gebruikt die de EU met toekomstige wetgeving wil verbieden.

De klacht roept ook vragen op met betrekking tot X. In theorie staat het platform geen advertenties toe op basis van gevoelige gegevens, maar in de praktijk doet het misschien niet veel om het te voorkomen.

De VS bespioneert zichzelf

Twee projecten - het ene van Duke University, het andere van de Irish Council of Civil Liberties - hebben onafhankelijk van elkaar onderzoek gedaan naar de adtech-omgeving en ontdekten dat persoonlijke informatie over Amerikaanse service-leden gemakkelijk kan worden gekocht van gegevensmakelaars. Dit bevestigt nog eens wat privacy voorstanders al jaren herhalen: in zijn huidige staat is de ad tech industrie een ernstige bedreiging voor zowel individuele privacy als nationale veiligheid.

In een notendop, de VS bespioneert zichzelf door middel van online tracking en web analytics, en data brokers zijn meer dan blij om de intelligentie te verkopen aan iedereen die bereid is om te betalen. Deze surveillance free-for-all kan gemakkelijk worden uitgebuit door actoren zoals criminele groepen of buitenlandse inlichtingendiensten (en naar alle waarschijnlijkheid is dat ook al gebeurd).

Hoewel beide onderzoeken zich richtten op de VS, verwachten we niet dat het de EU veel beter zal vergaan.

Privacyverdediger vecht YouTube's optreden tegen ad-blockers aan

In november begon Youtube het afspelen van video's te blokkeren voor gebruikers van ad-blockers. Deze gebruikers moesten zich abonneren op het reclamevrije Youtube Premium-abonnement of de reclameblokkering uitschakelen en de advertenties op het platform bekijken.

Sindsdien speelt YouTube een kat-en-muisspel tegen het internet: ad-blockers en browsers blijven manieren vinden om Youtube's ad-blocking detectiescripts te omzeilen, waardoor het platform dagelijks gedwongen wordt om een inhaalslag te maken.

YouTube's oorlog tegen ad-blockers kan ook juridische gevolgen hebben. Privacy-activist Alexander Hanff diende een klacht in tegen Youtube bij de Ierse commissie voor gegevensbescherming. Volgens Hanff vallen de Java-scripts die YouTube's ad-blocker detectiemaatregelen aansturen binnen het bereik van de ePrivacy Richtlijn en kunnen ze niet worden ingezet zonder toestemming van de gebruiker - net als browsercookies.

Is Brazilië de volgende in de rij voor een besluit over gepastheid?

EU-commissaris voor Justitie Didier Reynders kondigde aan dat de Commissie van plan is een conferentie te organiseren met huidige en toekomstige partners voor internationale gegevensstromen. Volgens Reynders overweegt de Commissie ook Brazilië als kandidaat voor een adequaatheidsbesluit (een rechtshandeling van de Commissie die gegevensstromen tussen de EU/EER en een niet-EU-land aanzienlijk vergemakkelijkt).

Ierse commissaris voor gegevensbescherming verlaat haar functie

Helen Dixon heeft aangekondigd dat ze niet herbenoemd zal worden als commissaris voor gegevensbescherming in Ierland na haar mandaat dat in februari afloopt.

Dixon kreeg veel kritiek te verduren tijdens haar tienjarig mandaat bij de Commissie: veel mensen binnen de privacygemeenschap - vooral privacyvoorvechters - bekritiseerden haar omdat ze Big Tech met fluwelen handschoenen aanpakte.

De Commissie heeft lang tussen twee vuren gestaan. Terwijl het mandaat van de Commissie is om de wet te handhaven, heeft de Republiek Ierland er een nauwelijks verholen belang bij om Meta, Google en talloze andere multinationals met Europese hoofdkantoren in Dublin te paaien.

Het is geen verrassing dat de actie van de Commissie tegen Big Tech timide en laattijdig was. Dit belemmerde de oplossing van belangrijke grensoverschrijdende zaken en maakte van Ierland in wezen een knelpunt voor handhaving in Europa.

Na verloop van tijd dreef deze situatie een wig tussen de commissaris en haar collega's. Nu de ambtstermijn van Dixon ten einde loopt, is de Commissie politiek geïsoleerd binnen het Europees Comité voor gegevensbescherming en worden beslissingen van groot belang vaak door het Comité verworpen.

Het zal niet gemakkelijk zijn om de relatie tussen de Commissie en het College te herstellen, maar het zou desalniettemin een prioriteit moeten zijn voor de volgende commissaris.