Welkom bij onze nieuwe maandelijkse blog. Eens per maand zullen we kort ingaan op het belangrijkste privacynieuws.
Wat is er afgelopen maand gebeurd? Laten we het uitzoeken!
- Biden ondertekent executieve order over surveillance
- EU-Raad keurt wet digitale diensten goed
- EDPS onderneemt juridische stappen tegen Europol
- HvJEU treedt hard op tegen Duitse bewakingswetgeving
- Ierse DPC dient ontwerpbesluit in over inbreuk op Facebook-gegevens
- Recordboete voor Meta over Instagram-kinderaccounts
- Amerikaans Congres bespreekt ADPPA preemption
- Wie zijn wij?
Biden ondertekent executieve order over surveillance
Op 7 oktober ondertekende de Amerikaanse president Joe Biden een lang verwacht uitvoerend bevel om surveillancepraktijken met betrekking tot Europese gegevens in te perken.
Het bevel is het resultaat van langdurige onderhandelingen tussen het Witte Huis en de Europese Commissie en de eerste stap naar een trans-Atlantisch kader voor gegevensoverdracht. De Europese Commissie zal vrijwel zeker een adequaatheidsbesluit nemen op basis van het uitvoeringsbevel. Idealiter zullen Europese bedrijven die nu vertrouwen op standaard contractuele clausules voor gegevensoverdracht in de VS (zie onze blog over gegevensoverdracht voor meer informatie) in plaats daarvan kunnen vertrouwen op het besluit inzake adequaatheid, wat de gegevensstromen aanzienlijk zal vereenvoudigen.
Het besluit zal waarschijnlijk worden aangevochten bij het Hof van Justitie van de EU, zoals in de historische Schrems I en II arresten. Het nieuwe kader kan in sommige opzichten problematisch zijn, en het is moeilijk te voorspellen hoe Schrems III zal uitpakken.
EU-Raad keurt wet digitale diensten goed
Op 4 oktober heeft de Europese Commissie de definitieve versie van de Digital Services Act goedgekeurd. De verordening is van toepassing op online platforms en intermediaire diensten. Zij bevat regels voor transparantie en verantwoordingsplicht, met name wat betreft inhoudmatiging, gerichte reclame en het aanbieden van illegale goederen en diensten. Voor zeer grote online-platforms en zoekmachines die door de Commissie zijn aangewezen, gelden speciale verplichtingen.
De DSA is een nieuw onderdeel van de digitale strategie van de EU. De strategie omvat ook andere regelgeving inzake gegevensbeheer, zoals de GDPR, de Digital Markets Act en de voorgestelde AI-wet en ePrivacy-verordening. De DSA en de DMA overlappen soms met de GDPR, dus bedrijven en privacyprofessionals zullen de privacygevolgen van de nieuwe regelgeving moeten uitzoeken.
EDPS onderneemt juridische stappen tegen Europol
Op 16 september heeft de Europese Toezichthouder voor gegevensbescherming het Hof van Justitie verzocht twee artikelen van de onlangs gewijzigde Europol-verordening ongeldig te verklaren.
Eerder dit jaar beval de EDPS Europol om persoonsgegevens van burgers die niet in verband staan met criminele activiteiten te wissen. De Europese wetgever wijzigde later de verordening van Europol om een ruimere verwerking van persoonsgegevens mogelijk te maken. De EDPS beweert dat de wijziging neerkomt op een legalisering met terugwerkende kracht van de activiteiten van Europol, die in strijd is met de rechtsstaat en de onafhankelijkheid van de EDPS bedreigt. Dit wordt een controversiële en politiek beladen zaak.
HvJEU treedt hard op tegen Duitse bewakingswetgeving
In een recente uitspraak heeft het Hof van Justitie verduidelijkt dat "het EU-recht zich verzet tegen het algemeen en willekeurig bewaren van verkeers- en locatiegegevens, behalve in geval van een ernstige bedreiging van de nationale veiligheid".
De zaak werd aan het HvJEU voorgelegd nadat internetproviders Telekom Deutschland en SpaceNet een Duitse wet hadden aangevochten die het in bulk bewaren van gegevens voor telecomaanbieders voorschrijft. Het arrest strookt met de eigen rechtspraak van het Hof en consolideert het hardere standpunt van het HvJEU over gegevensbewaring dan het Europees Hof voor de Rechten van de Mens.
Ierse DPC dient ontwerpbesluit in over inbreuk op Facebook-gegevens
Op 3 oktober kondigde het Ierse DPC aan dat het een besluit over een grote inbreuk op de Facebook-gegevens heeft opgesteld en aan de EDPB heeft voorgelegd. Het ontwerpbesluit volgt op een onderzoek uit eigen beweging naar aanleiding van berichten in de media over de inbreuk.
Dit is niet het enige "hangende" ontwerpbesluit over Meta. In juli kondigde de EDPB aan een besluit te hebben opgesteld en ingediend om de gegevensoverdracht van Meta Platforms Ireland naar de VS stop te zetten.
Recordboete voor Meta over Instagram-kinderaccounts
De Ierse DPC heeft Meta Platform Irelands Ltd. een boete opgelegd van 405 miljoen euro.
De autoriteit stelde vast dat Instagram de GDPR schond met betrekking tot de verwerking van persoonsgegevens van kinderaccounts. Het platform schond het beginsel van privacy by default door profielen standaard openbaar te maken en contactinformatie voor zakelijke accounts zonder rechtsgrondslag te verwerken. De boete volgt op een onderzoek uit eigen beweging van de Ierse toezichthouder en overleg met de EDPB.
Dit is de op één na hoogste boete die ooit in het kader van de GDPR is opgelegd. De hoogste tot nu toe is een boete van 746 miljoen euro tegen Amazon die vorig jaar door de Luxemburgse gegevensbeschermingsautoriteit is opgelegd.
Amerikaans Congres bespreekt ADPPA preemption
De onderhandelingen over de Amerikaanse Data Protection and Privacy Act worden voortgezet in het Amerikaanse Congres, en preemption is een veelbesproken onderwerp.
De wisselwerking tussen de ADPPA en bestaande nationale wetgeving is een delicate kwestie. De ADPPA zal de eerste federale privacywet zijn en een beschermingsnorm vaststellen voor alle burgers van de VS als hij wordt goedgekeurd. Verschillende staten hebben echter al eigen privacywetten aangenomen, waardoor het Congres voor een wetgevingspuzzel staat. Enerzijds zal het naast elkaar bestaan van nationale en federale privacywetgeving het juridische landschap in de VS versnipperen. Anderzijds zouden staten met hun eigen privacywetgeving niet blij zijn als de ADPPA de wetsvoorstellen van de staten terzijde schuift.
Wie zijn wij?
Simple Analytics is het privacy-first Google Analytics alternatief dat geen cookies gebruikt en 100% GDPR compliant is. Wij zijn een klein onafhankelijk team van privacy enthousiastelingen die een vriendelijker web willen creëren voor website bezoekers. Als dit resoneert met je, voel je vrij om ons te bekijken.