Welkom terug bij ons privacy maandblad! April was een maand vol gebeurtenissen op het gebied van privacy: de ChatGPT-zaak deed golven door Europa gaan, Meta riskeert een Europese black-out van Facebook, de LIBE-commissie van het EU-parlement verzette zich tegen het kader voor gegevensoverdracht tussen de EU en de VS, en nog veel meer.
- Een hete maand voor ChatGPT
- Europarlementariërs in de EU verzetten zich tegen besluit adequaatheid VS
- EPPO onderzoekt gebruik Pegasus in Griekenland
- Komt er een black-out van Facebook?
- EU-Commissie publiceert eerste reeks diensten die onder de DSA vallen
- Cambridge Analytica 2.0?
- Frankrijk ratificeert Verdrag 108+
- EDPB publiceert personeelsrapport over klachten over Google Analytics
- Meta wijzigt zijn privacybeleid na EDPB-beslissing
- TikTok opnieuw verkeerd omgegaan met gegevens van kinderen
- Inwoners van de VS kunnen een schikking aanvragen bij Facebook
Een hete maand voor ChatGPT
OpenAI's populaire ChatGPT AI staat de laatste tijd in het middelpunt van het privacydebat. Op 30 maart blokkeerde de Italiaanse autoriteit voor gegevensbescherming ChatGPT voorlopig vanwege privacyproblemen(zoals we in detail hebben uitgelegd). Open AI heeft sindsdien enkele wijzigingen aangebracht in de gegevensverwerking van ChatGPT, waardoor de Italiaanse autoriteit het verbod op 28 april heeft opgeheven. De autoriteit voert echter nog steeds een diepgaand onderzoek uit en kan indien nodig verdere actie ondernemen.
De zaak zette een domino-effect in de hele EU in gang. De Europese Raad voor gegevensbescherming (EDPB) heeft een taskforce opgericht om de juridische problemen in verband met ChatGPT te onderzoeken en de aanpak tussen de autoriteiten te coördineren. Naar alle waarschijnlijkheid zullen de gevolgen van de werkzaamheden van de taskforce verder reiken dan ChatGPT en gevolgen hebben voor de regulering van generatieve AI. Ondertussen voeren de Franse en Duitse gegevensbeschermingsautoriteiten hun eigen onderzoek naar ChatGPT uit.
Last but not least heeft het Europees Parlement ingestemd met een nieuw ontwerp van de AI-wet, waarin generatieve AI's zoals ChatGPT als zeer riskant worden aangemerkt en aan strengere regels inzake risicobeheer en gegevensbeheer worden onderworpen.
Europarlementariërs in de EU verzetten zich tegen besluit adequaatheid VS
Op 13 april heeft de Commissie burgerlijke vrijheden, justitie en binnenlandse zaken van het Europees Parlement unaniem gestemd tegen het komende besluit van de Europese Commissie over de adequaatheid van de VS. De resolutie is niet bindend voor de Commissie, maar zal waarschijnlijk de discussie over het nieuwe kader voor gegevensoverdracht tussen de EU en de VS beïnvloeden, vooral gezien de verrassende unanimiteit achter de stemming.
In de resolutie wordt erkend dat het trans-Atlantische kader voor de bescherming van persoonsgegevens een verbetering is ten opzichte van het Privacy Shield, maar wordt de nadruk gelegd op kwesties als de criteria voor de verzameling van gegevens in bulk, de regels voor het bewaren van gegevens en de transparantie van het verhaalmechanisme.
Het ontwerpbesluit inzake adequaatheid zal waarschijnlijk nog door de Commissie worden goedgekeurd. Naar alle waarschijnlijkheid zal de voorspelbare rechtszaak voor het Hof van Justitie de vuurproef zijn voor het nieuwe kader voor gegevensoverdracht.
EPPO onderzoekt gebruik Pegasus in Griekenland
Op verzoek van leden van het Europees Parlement heeft het Europees Openbaar Ministerie een onderzoek ingesteld naar het gebruik en de verkoop van spyware van militaire kwaliteit in Griekenland.
Het gebruik van spyware van militaire kwaliteit (met name Pegasus) door overheidsinstanties is een actueel onderwerp op Europees niveau en is op grote schaal bekritiseerd door mensenrechtenorganisaties. Vorig jaar publiceerde de PEGA commissie van het EU parlement een rapport dat een zorgwekkend beeld schetst van het gebruik van spyware in de EU. Kort daarna riep de Europese Toezichthouder voor gegevensbescherming in zijn advies over de Europese wet inzake mediavrijheid op tot een verbod op spyware van militaire kwaliteit.
Griekenland staat momenteel in het middelpunt van het spywareschandaal. De Griekse regering zou de Predator-spionagesoftware hebben gebruikt om politici en journalisten te controleren en Predator-licenties hebben verkocht aan het buitenland (waaronder Soedan, dat nu verwikkeld is in een burgeroorlog).
Komt er een black-out van Facebook?
Volgens de IAPP kan de Ierse commissaris voor gegevensbescherming binnenkort de doorgifte van gegevens tussen de EU en de VS voor Facebook opschorten, wat kan leiden tot een black-out van Facebook in de hele EU.
Het besluit zal een volgende stap zijn in een lange juridische strijd over de regels voor gegevensoverdracht van de GDPR waarbij de privacy-ngo noyb en het Europees Comité voor gegevensbescherming betrokken zijn. Het College heeft het geschil al op 13 april opgelost met een nog niet gepubliceerd besluit. De commissaris, die juridisch gebonden is aan het besluit van het College, zal naar verwachting op 12 mei haar eigen definitieve besluit publiceren. Mochten de gegevensoverdrachten worden opgeschort, dan zal Meta het besluit zeker aanvechten voor de Ierse rechter.
Tal van Amerikaanse bedrijven hebben hun Europese dochterondernemingen in de Republiek Ierland, waaronder techgiganten als Meta, Google en Apple. Het besluit van de commissaris kan dan ook grote gevolgen hebben voor de doorgifte van gegevens tussen de EU en de VS.
EU-Commissie publiceert eerste reeks diensten die onder de DSA vallen
Op 25 april heeft de Europese Commissie een eerste reeks online platforms en zoekmachines gepubliceerd die als "zeer groot" zijn aangemerkt voor de toepassing van de Digital Services Act.
Deze diensten omvatten Facebook, de Apple App Store, TikTok en verschillende diensten van Google, waaronder Google Search en Youtube. Wikipedia is de enige dienst op de lijst die door een non-profit organisatie wordt aangeboden.
Onder de wet zijn zeer grote online platforms en zoekmachines onderworpen aan strengere regels met betrekking tot transparantie, gerichte reclame, moderatie van inhoud en bescherming van minderjarigen.
Cambridge Analytica 2.0?
Privacy-ngo noyb heeft een reeks klachten ingediend tegen grote politieke partijen in Duitsland, die beweren dat zij tijdens de federale verkiezingen van 2021 kiezers illegaal microtargeten voor politieke reclame via Facebook.
In de woorden van noyb-lid Felix Micolash: "alle gegevens over iemands politieke opvattingen worden bijzonder streng beschermd door de GDPR. Dergelijke gegevens zijn niet alleen uiterst gevoelig, maar maken ook grootschalige manipulatie van kiezers mogelijk, zoals Cambridge Analytica heeft aangetoond".
In een recente, spraakmakende zaak waarbij de ngo betrokken was, oordeelde de EDPB dat gerichte reclame op Facebook onrechtmatig was (zoals we op onze blog hebben uitgelegd). Dit precedent zou noyb de overhand kunnen geven in de klachten.
Profilering op basis van gevoelige gegevens op sociale netwerken is een urgent privacyvraagstuk en een zaak die de rechtbank Amsterdam onlangs heeft behandeld in een civiele zaak (die wij uitvoerig hebben besproken). Ongeacht de uitkomst en de verdiensten van de rechtszaak van noyb, is het reden tot bezorgdheid dat politieke microtargeting in de stijl van Cambridge-Analytica in Europa heeft plaatsgevonden na de GDPR.
Toevallig hebben het Europees Parlement en de Europese Toezichthouder voor gegevensbescherming beide opgeroepen tot een verbod op politieke microtargeting in de voorgestelde verordening voor de transparantie en targeting van politieke reclame. Zouden ze iets op het spoor zijn?
Frankrijk ratificeert Verdrag 108+
Op 30 maart heeft Frankrijk, dat reeds partij was bij Verdrag 108, het gemoderniseerde Verdrag 108 (beter bekend als Verdrag 108+) geratificeerd.
De oorspronkelijke en gemoderniseerde verdragen zijn verdragen van de Raad van Europa, maar staan ook open voor staten buiten de Raad. Tot op heden zijn de verdragen de enige juridisch bindende overeenkomsten inzake gegevensbescherming in het internationale recht. Verdrag 108 is bekrachtigd door 55 staten over de hele wereld (waarvan de meeste Europese), maar niet alle staten hebben Verdrag 108+ ondertekend en bekrachtigd.
EDPB publiceert personeelsrapport over klachten over Google Analytics
In 2021 heeft de EDPB een taskforce gevormd voor de behandeling van 101 klachten van NGO noyb tegen de doorgifte van gegevens door Google in verband met Google Analytics. Een rapport voor de werkzaamheden van de taskforce werd op 28 maart gepubliceerd, na een verrassend lange vertraging.
Het verslag is enigszins voorzichtig van toon, maar benadrukt dat standaardcontractbepalingen voor de doorgifte van gegevens naar de VS moeten worden geïntegreerd door aanvullende maatregelen - zoals het Hof van Justitie in het Schrems II-arrest heeft verklaard. Ook wordt benadrukt dat de IP-anonimiseringsoptie van Google Analytics en de (niet end-to-end) encryptie van gegevens door Google niet voldoende zijn om persoonsgegevens vertrouwelijk te houden.
Dit is niets nieuws, aangezien verschillende gegevensbeschermingsautoriteiten in hun vonnissen reeds hetzelfde hebben verklaard (wij hebben deze kwestie grondig onderzocht in onze blog). Uiteindelijk hangt de toekomst van de gegevensoverdracht tussen de EU en de VS nog steeds af van de komende Schrems III-uitspraak over het trans-Atlantische gegevensbeschermingskader.
Meta wijzigt zijn privacybeleid na EDPB-beslissing
Op 5 april heeft Meta het privacybeleid voor zijn Facebook- en Instagram-platforms gewijzigd. Volgens het nieuwe beleid is Meta's rechtsgrondslag voor het aanbieden van gerichte reclame een legitiem belang. Bovendien hebben gebruikers in de EU nu de mogelijkheid om af te zien van gerichte reclame.
De stap komt nadat de Ierse privacywaakhond het bedrijf een boete van in totaal 390 miljoen euro had opgelegd omdat het gebruikers van beide platforms onrechtmatig had getarget met gepersonaliseerde reclame. De boetes waren het resultaat van een controversiële, geruchtmakende zaak waarbij de EDPB betrokken was (zoals we in onze blog hebben uitgelegd).
Noyb is sceptisch over de nieuwe rechtsgrondslag van Meta (terecht, vinden wij) en heeft aangekondigd Meta op dit punt verder aan te vechten. Ze bieden ook een opt-out tool om gebruikers van Facebook en Instagram te helpen gerichte reclame van de platforms af te wijzen.
TikTok opnieuw verkeerd omgegaan met gegevens van kinderen
Op 4 april heeft de Britse privacywaakhond (ICO) TikTok een boete van 12,7 miljoen pond opgelegd voor het onrechtmatig verwerken van kindergegevens. Volgens de ICO deed het sociale platform te weinig om de leeftijd van nieuwe gebruikers te verifiëren en bestaande accounts van kinderen onder de 13 te verwijderen.
Dit is niet de eerste keer dat TikTok in de problemen komt met gegevensbeschermingsautoriteiten vanwege zijn ontoereikende beleid voor leeftijdsverificatie. In 2021 schorste de Italiaanse GPDP drie keer de activiteiten van TikTok in verband met minderjarige gebruikers. Een jaar later stelde de Ierse DPC een besluit op om het platform te beboeten voor soortgelijke overtredingen en legde dit voor aan haar Europese tegenhangers. Momenteel loopt de procedure nog.
Inwoners van de VS kunnen een schikking aanvragen bij Facebook
Afgelopen december stemde Meta ermee in om $725M te betalen om een class action in verband met het Cambridge Analytica-schandaal te schikken. Volgens de beschuldigingen maakte Meta (toen nog Facebook Inc.) zonder toestemming van de gebruiker persoonlijke gegevens bekend aan Cambridge Analytica, waardoor het inmiddels verdwenen Britse bedrijf zich tijdens de presidentsverkiezingen van 2016 kon richten op Amerikaanse kiezers.
Facebook-gebruikers hebben nu het recht om de schikking aan te vragen, mits ze op enig moment tussen 2007 en 2022 inwoners van de VS waren.