Privacy Maandelijks: Oktober 2023

Image of Carlo Cilento

Gepubliceerd op 6 okt 2023 en bijgewerkt op 18 okt 2023 door Carlo Cilento

  1. Frans parlementslid vecht kader EU-VS gegevensoverdracht aan
  2. Google betaalt $93 miljoen voor schikking locatiegegevens
  3. TikTok beboet met €345M voor verkeerd omgaan met gegevens van kinderen
  4. Buitenlandse surveillance in het VK schendt het EVRM
  5. Google en X worden geconfronteerd met Nederlandse class actions
  6. Google Privacy Sandbox nu op grote schaal beschikbaar
  7. EDPB behandelt zaak over Meta-reclame
  8. Verbod op reclame voor bewakingsdoeleinden voorgesteld in het Amerikaanse Congres
  9. Europese Data Governance Act nu van toepassing
  10. UK Online veiligheidswet wordt wet
  11. PCLOB weegt mee over FISA
  12. Finse gegevensbeschermingsautoriteit geeft groen licht voor gegevensoverdracht aan Russisch bedrijf
Logo of MichelinMichelin chose Simple AnalyticsJoin them

Frans parlementslid vecht kader EU-VS gegevensoverdracht aan

Op 6 september diende het Franse parlementslid en CNIL-lid Philippe Latombe een verzoek in tot nietigverklaring van het EU-VS Data Privacy Framework bij het Hof van Justitie van de EU, zoals eerst gemeld door Politico.

Gezien de problematische juridische geschiedenis van de gegevensoverdracht tussen de EU en de VS, was het grotendeels te verwachten dat er juridische stappen zouden worden genomen tegen het nieuwe trans-Atlantische kader voor gegevensbescherming. Het is echter onduidelijk of het Hof de zaak op zijn merites zal beoordelen, aangezien de procedurele vereisten voor directe actie nogal streng zijn.

We hebben dit nieuws in meer detail besproken op onze blog.

Google betaalt $93 miljoen voor schikking locatiegegevens

Google heeft een ** schikking** getroffen van $93 miljoen met het Californische Ministerie van Justitie over beschuldigingen van het illegaal verzamelen van locatiegegevens van gebruikers. Het bedrijf werd ook opgedragen om meer transparantie te tonen over de manier waarop het omgaat met locatiegegevens.

Google zou locatiegegevens hebben bijgehouden en opgeslagen voor profilering en advertentiedoeleinden zonder toestemming van de gebruiker. Volgens advocaat-generaal Rob Bonta negeerde het bedrijf ook de voorkeuren van gebruikers die de "locatiegeschiedenis"-instelling van hun apparaten uitschakelden en zich afmeldden voor gerichte reclame op basis van locatie.

TikTok beboet met €345M voor verkeerd omgaan met gegevens van kinderen

Op 1 september heeft de Ierse gegevensbeschermingsautoriteit (DPC) TikTok een boete opgelegd van €345M voor het verkeerd omgaan met gegevens van minderjarige gebruikers. Het Europees Comité voor gegevensbescherming was er direct bij betrokken, zoals vaak het geval is wanneer de DPC te maken heeft met Big Tech.

Volgens de DPC heeft TikTok geen rekening gehouden met de gevolgen voor de privacy van de standaardinstellingen voor kinderaccounts. Daarnaast bracht de Family Pairing functie van het platform ernstige risico's met zich mee voor minderjarige gebruikers, omdat deze werd geïmplementeerd zonder verificatieproces.

Buitenlandse surveillance in het VK schendt het EVRM

Op 12 september veroordeelde het Europees Hof voor de Rechten van de Mens (EHRM) het Verenigd Koninkrijk voor het uitvoeren van toezicht op buitenlandse onderdanen zonder de mogelijkheid van gerechtelijk verhaal.

In deze zaak richtte het VK zich met digitale surveillance op twee buitenlandse journalisten. De twee legden de zaak voor aan het Investigatory Powers Tribunal van het Verenigd Koninkrijk, maar werden niet gehoord omdat ze geen Britse ingezetenen waren. In zijn uitspraak oordeelde het EHRM dat het Verenigd Koninkrijk het Europees Verdrag voor de Rechten van de Mens had geschonden door de journalisten geen actie te laten ondernemen.

Het ontbreken van een effectief verhaalsysteem is een problematisch aspect van de overdracht van persoonsgegevens tussen de EU en de VS, en een van de belangrijkste redenen waarom het Hof van Justitie van de EU in het verleden twee kaders voor gegevensoverdracht met de VS ongeldig heeft verklaard. Zou dit gebrek aan verhaalsmogelijkheden ook een probleem kunnen worden voor gegevensoverdrachten tussen de EU en het VK?

Google en X worden geconfronteerd met Nederlandse class actions

Google wordt in Nederland geconfronteerd met een class action vanwege vermeende privacyschendingen. De zaak is aangespannen door de Consumentenbond en de Privacy Protection Foundation.

Zoals vermeld in een gezamenlijk persbericht, omvatten de klachten de illegale overdracht van persoonlijke gegevens buiten de EU, het illegaal verzamelen van locatiegegevens en het opzettelijke gebruik van donkere patronen om gebruikers te manipuleren om toestemming te geven voor zeer ingrijpende gegevensverzamelingspraktijken.

X Corp (voorheen bekend als Twitter) wordt ook geconfronteerd met een class action over illegale gegevensverzameling, geleid door het Nederlandse non-profid SDBN.

Volgens SDBN verzamelden de Twittter (nu X) app en het MoPub mobiele app platform (momenteel eigendom van een ander bedrijf) persoonlijke gegevens zonder geïnformeerde toestemming te vragen. Het is vermeldenswaard dat MoPub-trackers zijn ingebed in een enorm aantal gratis apps, waaronder wijdverspreide diensten zoals Shazam, Duolingo en Grindr.

Google Privacy Sandbox nu op grote schaal beschikbaar

In september werd de API voor Google's Privacy Sandbox algemeen beschikbaar voor ontwikkelaars. De vrijgave van de API is een belangrijke stap in de aangekondigde strategie van Google om cookies van derden geleidelijk uit de eigen omgeving te verwijderen.

De Google Privacy Sandbox gebruikt browserinformatie om gebruikers in te delen in groepen op basis van locatie, demografie en interesses. Het kernidee achter de Sandbox is dat het delen van gegevens over deze groepen, en niets anders, effectieve gerichte reclame mogelijk maakt met een kleinere impact op de privacy van gebruikers in vergelijking met traditionele, op cookies gebaseerde trackingstrategieën.

De Privacy Sandbox is een privacy-beschermend systeem dat op enige kritiek is gestuit. Laten we eens kijken of de Sandbox zijn beloften waarmaakt, of slechts een verfje blijkt te zijn voor Google's zeer invasieve bedrijfsmodel.

EDPB behandelt zaak over Meta-reclame

Op 28 september vroeg de Noorse gegevensbeschermingsautoriteit het Europees Comité voor gegevensbescherming om een bindend besluit over gerichte reclame op Facebook en Instagram. De autoriteit zoekt bevestiging voor een tijdelijk verbod op de gepersonaliseerde advertenties van Meta dat maanden geleden werd opgelegd via een spoedprocedure. Kort voor het verbod oordeelde het Hof van Justitie van de EU dat Meta's advertentiemodel illegaal was.

In de kern gaat de zaak over het gebrek aan toestemming van gebruikers voor profilering en gerichte reclame. De zaak is het waard om in de gaten te houden, omdat het kan leiden tot verboden in andere Europese landen en een brede impact kan hebben op het pay-with-your-data bedrijfsmodel dat veel online platforms drijft.

Lees voor meer informatie onze blog over de uitspraak van het Bundeskartellamt van het Hof van Justitie.

Verbod op reclame voor bewakingsdoeleinden voorgesteld in het Amerikaanse Congres

Democratische afgevaardigden hebben op 18 september de Banning Surveillance Advertising Act ingediend in het Amerikaanse Congres.

Het wetsvoorstel wil reclame verbieden die gebaseerd is op informatie die gekocht is van gegevensmakelaars en op beschermde informatie zoals ras en religie. In de woorden van afgevaardigde Anna Eshoo is reclame op basis van surveillance "een giftig bedrijfsmodel dat onherstelbare schade toebrengt aan consumenten, bedrijven en de Amerikaanse democratie".

De privacysituatie in de VS is verre van rooskleurig. Het Congres heeft geprobeerd een federale privacyregeling door te drukken (de ADPPA), maar de onderhandelingen over het voorstel zijn tot stilstand gekomen. De Banning Surveillance Advertising Act zou een cruciale rol kunnen spelen in het beschermen van privacyrechten totdat de ADPPA er (hopelijk) komt.

Europese Data Governance Act nu van toepassing

De Data Governance Act (DGA) van de EU is na een aflossingsvrije periode van 15 maanden in september van kracht geworden.

De wet is bedoeld om de dataruimte in de EU te bevorderen door bedrijven en publieke organisaties toe te staan zowel persoonlijke als niet-persoonlijke gegevens te delen met vertrouwde tussenpersonen, die de gegevens vervolgens onder bepaalde voorwaarden beschikbaar stellen aan andere entiteiten. Fabrikanten zouden bijvoorbeeld

De DGA creëert echter geen verplichting voor organisaties om gegevens te delen. Naar alle waarschijnlijkheid zal het succes van de digitale dataruimte afhangen van het vermogen van de Commissie om grote bedrijven te overtuigen om hun gegevens te delen.

UK Online veiligheidswet wordt wet

De controversiële Online Safety Bill van het VK werd op 19 september goedgekeurd door het parlement en zal binnenkort wet worden. De wet bevat verplichtingen voor online platforms om inhoud te modereren en maatregelen tegen de verspreiding van kinderpornografie (ook wel kindermisbruikmateriaal of CSAM genoemd) via persoonlijke berichtenplatforms.

De controverse rond het wetsvoorstel draait om de verplichting voor persoonlijke berichtenplatforms om illegale inhoud, waaronder CSAM, te identificeren en te verwijderen. Deze verplichting zou bedrijven kunnen dwingen om end-to-end encryptie te doorbreken door client-side scanning te implementeren voor hun diensten, wat privacy- en veiligheidsrisico's met zich meebrengt. Privacyorganisaties en verschillende berichtenplatforms hebben zich fel verzet tegen het wetsvoorstel. Whatsapp en Signal hebben zelfs aangekondigd dat ze de Britse markt zullen verlaten als het wetsvoorstel wordt aangenomen.

PCLOB weegt mee over FISA

In gerelateerd nieuws heeft de U.S.Privacy and Civil Liberties Oversight Board de buitenlandse surveillance activiteiten van de NSA onder FISA sectie 702 - een van de wetten die surveillance van buitenlandse burgers toestaat - beoordeeld. Het rapport van de Board benadrukt dat bepaalde vormen van gegevensverzameling - in het bijzonder "US person queries" en "batch queries" - potentieel zeer indringend zijn en beperkt zouden kunnen worden zonder de effectiviteit van buitenlandse surveillance ernstig te beïnvloeden.

De herauthorisatie van FISA wordt binnenkort verwacht in het Congres en het rapport van de Board kan het onderhandelingsproces beïnvloeden. Het is de moeite waard om de situatie in de gaten te houden, omdat operaties die onder FISA worden uitgevoerd het middelpunt vormen van decennia oude juridische problemen met gegevensoverdracht tussen de EU en de VS.

Finse gegevensbeschermingsautoriteit geeft groen licht voor gegevensoverdracht aan Russisch bedrijf

Op 27 september heeft de Finse gegevensbeschermingsautoriteit een tijdelijk verbod op gegevensoverdracht opgeschort dat in augustus was uitgevaardigd voor Yango- een Russische app-hailing app.

De oorspronkelijke beslissing had te maken met een nieuwe Russische wet die toezichthoudende instanties toestaat om persoonlijke gegevens op te vragen bij bepaalde bedrijven. Na verder onderzoek oordeelde de Finse autoriteit dat de Russische wet niet van toepassing was op ride-hailing diensten.

GA4 is complex. Probeer Simple Analytics

GA4 is als in de cockpit van een vliegtuig zitten zonder een pilotenlicentie

Start 14-dagen proefperiode