De Ierse privacytoezichthouder DPC heeft WhatsApp een boete van 225 miljoen euro opgelegd wegens het overtreden van de AVG. De populaire chatapp voldoet volgens de toezichthouder niet aan de eisen die de Europese privacywetgeving stelt aan transparantie en informatievoorziening, zoals het uitleggen van hoe de persoonlijke informatie van mensen wordt gebruikt. Het gaat dan onder andere om informatie over de gegevensverwerking tussen WhatsApp en andere Facebookbedrijven.
In juli kreeg Amazon van de Luxemburgse privacytoezichthouder nog een AVG-boete van 746 miljoen euro opgelegd, de hoogste boete die tot nu toe onder de Europese privacywetgeving is uitgedeeld.
De bekende privacyactivist Max Schrems heeft op de boete gereageerd. Hij stelt dat de boete van 225 miljoen euro nog altijd slechts 0,08 procent van de wereldwijde omzet van de Facebook Group is. De AVG staat privacytoezichthouders toe om een boete van vier procent van de wereldwijde omzet op te leggen. "Dit laat zien dat de DPC nog altijd zeer disfunctioneel is", aldus Schrems. De activist voegt toe dat WhatsApp in beroep gaat en het dan ook nog jaren kan duren voordat er een boete wordt betaald.
Alles bij de bron; Security
EU-instanties mogen geen vaccinatiebewijs van hun personeel eisen, zo stelt de Europese privacytoezichthouder EDPS. Het verzamelen van geaggregeerde geanonimiseerde vaccinatiegegevens van het personeel om risico-assessments voor de werkvloer uit te kunnen voeren zijn wel toegestaan. Dat stelt de privacytoezichthouder in een advies voor EU-instanties die aan een "terug naar werk" strategie werken (pdf)...
...Sommige instanties overwegen om het controleren van de immuniteit of infectiestatus van het personeel of bezoekers een onderdeel te maken van hun "terug naar werk" strategie.
De Europese privacytoezichthouder benadrukt dat instanties zich hierbij aan bestaande Europese wetgeving moeten houden en de impact op de rechten en vrijheden van individuen zo klein mogelijk moeten maken. Zo voldoet het eisen van een vaccinatiebewijs niet aan de regels. "Gegeven de huidige vrijwillige aard van coronavaccinaties in de EU, en zonder afbreuk te doen aan het gebruik van een coronabewijs waar gepast, vindt de EDPS dat er geen juridische basis voor EU-instanties is om een vaccinatiebewijs van individuen te eisen."
Ook het overwegen om een coronatoegangsbewijs te verplichten kan alleen als er eerst naar alternatieve oplossingen is gekeken die een kleinere impact op de privacy van het personeel hebben. Zo wordt het handmatig controleren van een testresultaat of coronabewijs, zonder verdere registratie of vastlegging, niet als het verwerken van persoonlijke data gezien. Wanneer er met qr-codes wordt gewerkt of de resultaten worden vastgelegd gelden er wel regels uit de EU-verordening.
Alles bij de bron; Security
Beslissingen worden steeds vaker deels of volledig geautomatiseerd genomen met algoritmen en kunstmatige intelligentie. Om het gebruik van kunstmatige intelligentie in goede banen te leiden heeft de Europese Commissie een wetsvoorstel gepubliceerd dat gaat over kunstmatige intelligentie. Dé aangewezen plek om ervoor te zorgen dat ook (deels) geautomatiseerde beslissingen transparant, gemotiveerd en controleerbaar zijn, dachten wij. Maar daar dacht de Europese Commissie anders over. Voor mensen die door uitkomsten van kunstmatige intelligentie geraakt kunnen worden, wordt in het wetsvoorstel geen enkele mogelijkheid geboden om die uitkomsten te begrijpen of te controleren. Mensen mogen hooguit in sommige gevallen geïnformeerd worden over het feit dat ze te maken hebben met kunstmatige intelligentie (artikel 52 van het wetsvoorstel).
Er wordt wel wat geregeld voor gebruikers van AI-systemen, zoals gemeenten of banken die kunstmatige intelligentie afnemen van een ontwikkelaar. Zij mogen wel weten hoe het systeem tot uitkomsten is gekomen, maar kunnen alsnog niet afdwingen dat ze ook kunnen controleren of een beslissing juist en rechtmatig is genomen.
Hiermee gaat de Europese Commissie op een ontzettend laag beschermingsniveau zitten, die geen recht doet aan ons mensenrechtelijk kader. Dit terwijl de Commissie juist de uitgesproken wens heeft met deze wet fundamentele rechten goed te beschermen en te zorgen voor een mensgerichte benadering bij het gebruik van kunstmatige intelligentie. We hebben daarom de Europese Commissie opgeroepen daad bij woord te voegen en voor een passend beschermingsniveau te zorgen.
Hoewel we vanuit een juridisch en ethisch oogpunt transparantie, motivering en controleerbaarheid onmisbaar vinden, zijn we ons er ook van bewust dat die behoefte nog niet aansluit bij de technische werkelijkheid. Vind in een algoritme maar terug welke van de honderden 'beslisbomen' doorslaggevend was voor de beslissing. Bij kunstmatige intelligentie, waarin een systeem (deels) zelfstandig aan de slag gaat met data, is het nog moeilijker grip te krijgen op wat er binnen het systeem gebeurt.
We vinden daarom dat algoritmen en kunstmatige intelligentie niet gebruikt mogen worden als onvoldoende openheid gegeven kan worden over de totstandkoming, juistheid en rechtmatigheid van de beslissingen die daaruit komen.
We hebben daarom de Nederlandse ministeries en de Europese Commissie opgeroepen ervoor te zorgen dat er goede wetgeving komt voor het gebruik van kunstmatige intelligentie, waarin recht wordt gedaan aan onze rechten en vrijheden. Het goede nieuws is dat zowel de ministeries als de Europese Commissie zich daar al op vastgelegd hebben. Nu moeten ze wel nog hun beloften inlossen.
Lees hier onze positie die we hebben ingediend bij de Europese Commissie
Alles bij de bron; Bits-of-Freedom
De Luxemburgse privacytoezichthouder CNPD heeft Amazon wegens het overtreden van de Algemene verordening gegevensbescherming (AVG) een boete van 746 miljoen euro opgelegd. Dat heeft Amazon in een document aan de Amerikaanse beurswaakhond SEC bekendgemaakt.
Amazon noemt de AVG-boete ongegrond en is van plan om beroep aan te tekenen.
Alles bij de bron; Security
Artikel 17 van de auteursrechtrichtlijn van de EU, waarin de uploadfilterverplichting is opgenomen, hoeft niet te worden geschrapt. Dat adviseert advocaat-generaal Henrik Saugmandsgaard Øe bij het Europese Hof van Justitie. Hij toont zich wel kritisch ten aanzien van de reikwijdte van de filterverplichting.
Saugmandsgaard Øe stelt dat alleen duidelijk inbreukmakende content geblokkeerd mag worden, of zoals dat in het Engels wordt omschreven: manifestly infringing content. Er mag geen sprake zijn van het blokkeren van bewerkt auteursrechtelijk materiaal. Hierbij gaat het om gebruik van auteursrechtelijk bescherm materiaal waar bijvoorbeeld iets nieuws aan is toegevoegd. Het kan dan gaan om een parodie of het gebruik van quotes om het werk te beoordelen.
Platforms mogen alleen content detecteren of blokkeren die identiek is aan of het equivalent is van het beschermde materiaal van de rechthebbende. In alle minder duidelijke situaties, zoals korte fragmenten die worden gebruikt of bewerkt materiaal, waarbij de uitzonderingen op het auteursrecht ook voorzienbaar zijn, mag er geen sprake zijn van een preventief blokkeermechanisme. Daarmee is volgens de advocaat-generaal het risico op overblokkering geminimaliseerd.
Hiermee lijkt Saugmandsgaard Øe ook in te gaan tegen de lijn van de Europese Commissie, die nog niet zo lang geleden met een aantal richtsnoeren kwam over hoe de auteursrechtrichtlijn moet worden uitgelegd.
Als de Hof van Justitie de lezing van Saugmandsgaard Øe overneemt, betekent dat dat veel of zelfs alle lidstaten terug naar de tekentafel moeten, schrijft Communicia. Dat is een Europese organisatie die uit onderzoekers en activisten bestaat en als doel heeft om het publieke domein te beschermen. De lidstaten moeten dan waarschijnlijk hun wetgeving aanpassen, omdat de door Saugmandsgaard Øe geadviseerde standaard van bescherming van gebruikers en de grondrechten niet overeenkomt met de lagere standaard zoals die in de omgezette richtlijn staat.
Nederland was tegenstander van artikel 17, maar heeft uiteindelijk wel als eerste de regels omgezet, waarbij in feite de tekst van de richtlijn een-op-een is overgenomen. Dat betekent dat de standaard van bescherming te laag is of in ieder geval niet in voldoende mate overeenstemt met de visie van de advocaat-generaal. Vooralsnog is onbekend of het Hof daadwerkelijk aansluit bij de advocaat-generaal. Waarschijnlijk is over een paar maanden bekend of het advies wordt overgenomen.
Alles bij de bron; Tweakers
Margrethe Verstager, de Eurocommissaris voor Mededinging, waarschuwt dat Apple terughoudend moet zijn met de inzet van zijn privacy- en veiligheidsmaatregelen als concurrentiemiddel. Volgens haar gebruikt de techgigant zijn regels om het downloaden van software van buiten de App Store tegen te houden en concurrenten buiten te sluiten.
Vestager, die ook uitvoerend vicevoorzitter van de Europese Commissie is, diende vorig jaar een voorstel in onder de naam Digital Markets Act (DMA). Als het voorstel wet wordt, dan moet het voor iOS-gebruikers mogelijk zijn om apps van buiten de App Store te downloaden. Dit wordt ook wel side-loading genoemd.
Apple is fel tegen het wetsvoorstel van de Eurocommissaris. Tijdens een videoconferentie in juni zei Apple-topman Tim Cook dat delen van het wetsvoorstel "niet in het belang van de gebruiker" zijn. Het toestaan van side-loading zou volgens de topman de privacy en veiligheid van de gebruikers schaden.
"Privacy en veiligheid zijn voor iedereen van het grootste belang. Ik denk niet dat de privacy of veiligheid van gebruikers op het spel staat wanneer zij een andere appwinkel gebruiken", zei de Deense politica tegen Reuters.
Alles bij de bron; NU
De Raad heeft gesproken over de voortgangsrapportages over de Data Governance Act en de herziening van de Netwerk- en Informatiebeveiliging (NIB) richtlijn. Vervolgens heeft een beleidsdebat plaatsgevonden over de mededeling over het Digitaal Kompas 2030.
Tevens stond de Raad stil bij verschillende diversenpunten. Het voorzitterschap en de Europese Commissie hebben de Raad geïnformeerd over lopende wetsvoorstellen waaronder de ePrivacyverordening, de Roamingverordening, de Artificial Intelligence Act en het raamwerk voor een Europese digitale identiteit....
....Diversenpunten ePrivacyverordening
Het voorzitterschap informeerde de Raad over de laatste stand van zaken ten aanzien van de onderhandelingen over de ePrivacyverordening. Uw Kamer is geïnformeerd over de ontwikkeling omtrent dit dossier in het verslag van de informele Raad voor Concurrentievermogen van 22 maart 2021.
Op 22 mei jl. heeft de eerste triloog met het Europees Parlement plaatsgevonden. Het Europees Parlement heeft tijdens deze triloog onderhandeling aangegeven niet lager te willen gaan met de privacy-standaarden dan de huidige ePrivacy-richtlijn. Verder heeft het Europees Parlement een aantal aandachtspunten aangegeven.
Het Europees Parlement wenst geen further processing van persoonsgegevens, een verbod op tracking (in ieder geval voor minderjarigen) en meer voorzichtigheid met het gebruik van data voor onderzoek....
....Diversenpunten raamwerk voor een Europese digitale identiteit
Commissaris Breton gaf een presentatie over het voorstel voor een verordening voor een raamwerk voor een Europese digitale identiteit. Het voorstel herziet de huidige eIDAS-verordening, die beoogt met wederzijdse erkenning van elektronische identificatiemiddelen (eID's) en harmonisatie van vertrouwensdiensten veilige en betrouwbare elektronische transacties tussen burgers, bedrijven en overheden te bevorderen.
In vervolg hierop wordt de markt voor elektronische vertrouwensdiensten verder versterkt en worden alle lidstaten verplicht om een ‘European Digital Identity Wallet’ te ontwikkelen. Daarbij krijgen gebruikers zelf de regie om hun identiteitsgegevens en andere digitale gegevens en documenten te delen bij transacties in het publieke en het private domein.
De Commissaris gaf aan dat lidstaten worden uitgenodigd om te werken aan een gezamenlijke toolbox om voorbereidingen te treffen voor een succesvolle uitrol. Uw Kamer zal binnenkort geïnformeerd worden over het kabinetsstandpunt via een BNC-fiche.
Alles bij de bron; Rijksoverheid
De aanbevelingen van de European Data Protection Board (EDPB) voor de doorgifte van persoonsgegevens naar landen buiten de EU (derde landen) zijn definitief. De aanbevelingen zijn opgesteld om het bedrijfsleven meer duidelijkheid geven, nadat het Europese Hof van Justitie het EU-VS Privacy Shield ongeldig verklaarde in de zogeheten Schrems II-uitspraak.
Het gaat om een aangepaste versie van de aanbevelingen, nadat onder meer bedrijven en brancheverenigingen reageerden op het eerder opgestelde concept.
Doorgifte van persoonsgegevens naar de VS en de meeste andere landen buiten de EU kan nog wel op basis van modelcontracten (ook wel standaardcontractbepalingen of standard contractual clauses genoemd). Begin juni heeft de Europese Commissie een nieuw modelcontract gepubliceerd.
De voorwaarde voor doorgifte op basis van een modelcontract is dat een bedrijf voldoende aanvullende maatregelen neemt om de veiligheid van de doorgifte te waarborgen. Dat is de eigen verantwoordelijkheid van dat bedrijf. Is er na nader onderzoek nog steeds enige twijfel over de veiligheid van doorgifte van persoonsgegevens? Dan adviseert de AP om de doorgifte te stoppen en data in de EU te houden.
Als de VS persoonsgegevens beter gaan beschermen, kunnen er nieuwe afspraken komen tussen de EU en de VS, vergelijkbaar met het Privacy Shield. De doorgifte van persoonsgegevens naar de VS zal dan makkelijker en veiliger zijn. De Europese Commissie is dan ook in onderhandeling met de VS over nieuwe afspraken.
Alles bij de bron; AP
De EU-lidstaten hebben zich achter besluiten geschaard om het belemmeren van gegevensstromen na het vertrek van Groot-Brittannië uit de EU te voorkomen. De Britse waarborgen voor de bescherming van de data zouden voldoende zijn.
De stap betekent dat bedrijven en organisaties persoonsgegevens van de EU naar Groot-Brittannië mogen blijven doorgeven. De goedkeuring opent de weg naar vrije gegevensstromen voor langere tijd, schrijft Netzpolitik. Volgens de site moet het college van Eurocommissarissen nu nog officiële goedkeuring geven, maar dat zou een formaliteit zijn.
Netzpolitik wijst er op dat het EU-Hof vorig jaar een streep haalde door het Privacy Shield-verdrag tussen de EU en de VS. Het EU-Hof wees daarbij op 'beperkingen bij de bescherming van persoonsgegevens die voortkomen uit de Amerikaanse wetgeving over de toegang tot en het gebruik van die data door Amerikaanse autoriteiten', en benadrukte de verregaande surveillanceprogramma's in de VS.
Volgens critici doen de Britse inlichtingendiensten GCHQ en MI6 niet onder voor de Amerikanen, wat onder andere uit de Snowden-onthullingen zou blijken. Ook het Europees Hof van Justitie en het Europees Hof voor de Rechten van de Mens spraken zich uit over massaal verzamelen van communicatie- en locatiegegevens van gebruikers van een telecommunicatiedienst door het GCHQ. Dit is in strijd met grondrechten, zo luidde het oordeel.
Alles bij de bron; Tweakers
Het Hof van Justitie van de EU heeft bepaald dat het systematisch registreren van IP-adressen van gebruikers van peer-to-peernetwerken die mediabestanden delen, onder voorwaarden is toegestaan. Het gaat hier om het verzamelen van namen en adressen voor een schadevordering...
...In zijn beoordeling verduidelijkt het Hof dat het uploaden van bestanden via een peer-to-peernetwerk een openbaarmaking oplevert en dus in strijd met het auteursrecht kan zijn. Het Hof zegt dat de gebruiker geen minimaal aantal onderdelen van een bewust mediabestand hoeft te downloaden en dat er al sprake is van beschikbaarstelling aan het publiek als hij toegang verleent tot de beschermde werken, mits hij daarbij volledige kennis heeft over de gevolgen hiervan.
Daarnaast stelt het Hof dat het een bedrijf is toegestaan om een schadevergoeding bij de vermeende inbreukmakers te vorderen, mits er bij een dergelijk verzoek geen sprake is van misbruik. Het Hof onthoudt zich van het geven van voorbeelden om gevallen van misbruik helder te krijgen; het is dus aan de nationale rechters om te bepalen of en zo ja wanneer er sprake is van misbruik.
Tot slot onderstreept het Hof dat het systematisch registreren van IP-adressen niet in strijd is met het EU-recht. Dat geldt ook voor het meedelen van de namen en postadressen van de gebruikers aan een partij om een schadevergoeding in te kunnen stellen. Dergelijke handelingen moeten echter wel 'gerechtvaardigd en evenredig' zijn en mogen geen misbruik maken van de feiten en omstandigheden.
Het Hof merkt daarbij op dat het EU-recht 'geen verplichting inhoudt om persoonsgegevens aan particulieren mee te delen met het oog op de civielrechtelijke vervolging van inbreuken op het auteursrecht. Het Unierecht staat de lidstaten evenwel toe een dergelijke verplichting op te leggen'.
Alles bij de bron; Tweakers