Oktober was op zijn zachtst gezegd een bewogen maand. Meta staat weer eens in het vizier van de toezichthouder nu de EDPB gepersonaliseerde reclame op Facebook en Instagram verbiedt; landen over de hele wereld blijven doorgaan met AI-regulering; Californië neemt een innovatieve wet aan over het recht om te verwijderen, en nog veel meer. Oh, en hadden we al een van de ergste datalekken in de geschiedenis genoemd?
- EDPB verbiedt gepersonaliseerde reclame voor Meta.
- Grootschalig genetisch datalek bevestigd
- Een hete maand voor AI-regulering
- Duitse mededingingsautoriteit veroordeelt Facebook
- Amazon lanceert Europese cloud
- UK neemt controversiële online veiligheidswet aan
- Eerste rechtszaak tegen kader voor gegevensoverdracht afgewezen
- Congres overweegt tijdelijke herauthorisatie FISA
- Ontwikkelingen in de Californische privacywetgeving
- Argentinië op weg naar nieuwe wet gegevensbescherming
EDPB verbiedt gepersonaliseerde reclame voor Meta.
Op 27 oktober heeft de European Data Protection Board een urgent en bindend besluit uitgevaardigd dat moet worden uitgevoerd door de Ierse privacywaakhond. Hoewel het besluit nog niet is gepubliceerd, blijkt uit het persbericht van het College dat het praktisch neerkomt op een EU-breed verbod op gepersonaliseerde reclame op Facebook en Instagram.
Meta worstelt al bijna een jaar om zijn datagestuurde bedrijfsmodel op basis van gebruikersprofielen en gerichte reclame te rechtvaardigen. Twee verschillende versies van Meta's privacybeleid werden verworpen door EU regelgevers over kwesties met betrekking tot gepersonaliseerde reclame op Facebook en Instagram, en de Noorse privacy autoriteit vaardigde later een tijdelijk verbod uit tegen gerichte reclame met betrekking tot Noorse gebruikers. Uiteindelijk heeft de urgente beslissing van de EDPB het Noorse verbod omgezet in een permanent, EU-breed verbod dat in de nabije toekomst zal worden uitgevaardigd door de Ierse autoriteit voor gegevensbescherming.
Terzijde: Meta heeft onlangs aangekondigd dat het betaalde, advertentievrije Facebook-abonnementen beschikbaar zal maken voor Europese gebruikers als alternatief voor de huidige gratis, advertentiegestuurde lidmaatschappen. We vermoeden dat deze controversiële stap vooral is ingegeven door de behoefte om het huidige bedrijfsmodel te legitimeren met betrekking tot niet-betalende gebruikers - die naar alle waarschijnlijkheid in de toekomst de overgrote meerderheid van Facebooks gebruikersbestand zullen uitmaken.
Grootschalig genetisch datalek bevestigd
Het Amerikaanse genetische testbedrijf 23andMe heeft te maken gehad met een grootschalig datalek. De volledige omvang van het lek is niet bekend, maar vroege rapporten geven aan dat de genetische gegevens van ten minste 4 miljoen gebruikers zijn uitgelekt.
Eerder deze maand kondigde een hacker aan dat hij de gegevens had gehackt en gelekt op het Dark Web. 23andMe kondigde eerst aan dat ze de gelekte gegevens aan het analyseren waren om de claims te verifiëren. Later stuurde het bedrijf waarschuwingsmails naar de getroffen gebruikers, waarmee het impliciet bevestigde dat de gelekte gegevens echt zijn.
Het uitlekken van genetische gegevens is bijzonder riskant omdat het niet alleen gevolgen heeft voor de mensen aan wie de gelekte gegevens toebehoren, maar ook voor hun familieleden, of ze nu genetische testdiensten gebruiken of niet. In het geval van grootschalige datalekken van commercieel beschikbare diensten, kunnen zelfs verre familieleden van gebruikers worden getroffen.
Een hete maand voor AI-regulering
Oktober was een bewogen maand voor AI-regulering. De VN heeft een wereldwijde adviesraad voor AI opgericht; de G7 is het eens geworden over een gedragscode voor de ontwikkeling van AI; de Britse top over AI-veiligheid heeft belangrijke resultaten opgeleverd, waaronder een overeenkomst tussen 27 regeringen over het testen van AI; en de president van de VS heeft een uitvoerend bevel getekend waarin de veiligheids- en privacykwesties van AI worden aangepakt.
Wat de EU betreft, meldt Euractiv dat een akkoord over de AI-wet mogelijk nabij is. Het definitieve ontwerp van de wet probeert een akkoord te bereiken door een middenweg te vinden tussen het Parlement en de Commissie: het Parlement is misschien bereid om een beetje ruimte te laten voor realtime biometrische identificatie in het kader van wetshandhaving, in ruil voor een langere lijst van verboden AI-toepassingen.
Duitse mededingingsautoriteit veroordeelt Facebook
Naar aanleiding van een onderzoek van de Duitse mededingingsautoriteit (Bundeskartellamt) heeft Google toegezegd gebruikers meer controle te geven over het kruisgebruik van gegevens tussen verschillende Google-diensten, evenals de combinatie van gegevens die zijn verzameld via apps en diensten van derden. Met andere woorden, consumenten zullen nu de mogelijkheid hebben om af te zien van het kruisgebruik van gegevens wanneer dat niet nodig is.
De autoriteit kondigde aan dat soortgelijke onderzoeken lopen tegen andere Big Tech bedrijven.
Deze beslissing houdt verband met de recente uitspraak van het Bundeskartellamt van het Hof van Justitie van de EU - een belangrijke beslissing die we uitgebreid hebben besproken in deze blog.
Amazon lanceert Europese cloud
Amazon kondigde onlangs de AWS European Sovereign Cloud aan, een nieuwe en in de EU gebaseerde cloudservice. De dienst is bedoeld om bedrijven en publieke organisaties te helpen voldoen aan de normen voor gegevensprivacy en de regels voor het lokaliseren van gegevens.
Amazon is niet de enige datagigant die inzet op datalokalisatie: in januari introduceerde Microsoft het EU Data Boundary-programma voor zijn Microsoft Cloud-service. Deze diensten maken Microsoft en Amazons aantrekkelijke leveranciers voor overheden, publieke organisaties en bedrijven die grote hoeveelheden gevoelige gegevens verwerken.
UK neemt controversiële online veiligheidswet aan
De Britse Online Safety Act is op 26 oktober van kracht geworden. De wet bevat verplichtingen voor platforms om inhoud te modereren en zal geleidelijk van kracht worden naarmate de Britse telecomautoriteit nieuwe regelgeving uitrolt.
De wet verplicht aanbieders van berichtendiensten ook om afbeeldingsbestanden te scannen om materiaal over seksueel misbruik van kinderen te identificeren en te markeren. Dit dwingt sommige providers om achterdeurtjes in te bouwen in end-to-end encryptie, waardoor de privacy en veiligheid van communicatie mogelijk wordt ondermijnd. Privacyvoorvechters uitten in de ontwerpfase felle kritiek op het wetsvoorstel, terwijl Whatsapp en Signal dreigden de Britse markt te verlaten als de wet zou worden aangenomen.
Eerste rechtszaak tegen kader voor gegevensoverdracht afgewezen
Het Gerecht van de Europese Unie heeft het verzoek van Philippe Latombe om de adequaatheidsbeschikking voor de VS op te schorten afgewezen vanwege procedurele kwesties. Volgens de International Association of Privacy Professionals is de heer Latombe in beroep gegaan tegen de beslissing van het Hof.
Het toereikendheidsbesluit van de EU-Commissie voor de VS is de laatste stap in de gezamenlijke inspanning van de VS en de EU om al lang bestaande juridische problemen met gegevensoverdracht op te lossen. Het Hof van Justitie van de EU heeft de afgelopen tien jaar twee kaders voor gegevensoverdracht tussen de EU en de VS ongeldig verklaard. Het huidige kader - waarop de adequaatheidsbeslissing betrekking heeft - zal in de toekomst zeker met meer juridische uitdagingen te maken krijgen.
Congres overweegt tijdelijke herauthorisatie FISA
Nu de onderhandelingen over de herauthorisatie van FISA in het Amerikaanse Congres vertragen, overwegen sommige congresleden een tijdelijke herauthorisatie om te voorkomen dat de zaak vastloopt.
De Foreign Information Surveillance Act (FISA) is een Amerikaanse wet die de surveillanceactiviteiten van Amerikaanse inlichtingendiensten op buitenlandse burgers reguleert. De toekomst van FISA kan een belangrijke impact hebben op de gegevensoverdracht tussen de EU en de VS, aangezien de ruime surveillancebevoegdheden die de wet verleent een cruciale juridische kwestie waren in de Schrems I en II arresten van het Hof van Justitie van de EU.
Ontwikkelingen in de Californische privacywetgeving
Op 11 oktober heeft de gouverneur van Californië de Delete Act ondertekend. De Delete Act versterkt het recht op verwijdering van inwoners van Californië door een éénloketsysteem te ontwerpen voor verwijderingsverzoeken die gericht zijn aan gegevensmakelaars. Zo kunnen inwoners van Californië eisen dat alle gegevensmakelaars hun persoonlijke gegevens verwijderen door één enkel verzoek in te dienen.
De Delete Act is een ambitieuze en innovatieve wet en zal waarschijnlijk een grote impact hebben op de digitale advertentiemarkt en andere markten die gedreven worden door commercieel beschikbare persoonlijke informatie. We hebben de wet in meer detail besproken in deze blog.
De staat heeft ook de California Consumer Privacy Act (CCPA) gewijzigd om de immigratiestatus en gegevens over reproductieve gezondheid beter te beschermen.
Argentinië op weg naar nieuwe wet gegevensbescherming
De Argentijnse regering heeft het wetsontwerp over de bescherming van persoonsgegevens gepresenteerd. Het nieuwe wetsvoorstel is gebaseerd op een ontwerp van de Argentijnse privacy-autoriteit en moet de huidige Argentijnse wet op gegevensbescherming vervangen. Het voorstel voorziet in de extraterritoriale reikwijdte van privacyregels, vergelijkbaar met regelgeving zoals de GDPR, de Braziliaanse LGPD en de Californische CCPA.
Het is vermeldenswaard dat Argentinië een van de weinige landen is waarvoor een adequaatheidsbesluit beschikbaar is onder de EU-wetgeving. Daarom kunnen persoonlijke gegevens van mensen in de EU en de Europese Economische Ruimte gemakkelijk naar het land worden verzonden.