Europese privacytoezichthouders handhaven de AVG niet en lijken vooral bezig te zijn met het laten liggen of het verwerpen van privacyklachten van burgers, zo stelt de bekende privacyactivist Max Schrems, tevens oprichter van privacyorganisatie noyb.
Schrems deed zijn uitspraak op basis van Europese cijfers en een uitspraak van het Europees Hof van Justitie. Het Hof gaf de Oostenrijkse privacytoezichthouder DSB een tik op de vingers omdat het burgers maar twee privacyklachten per maand laat insturen. Volgens het Hof moeten burgers alle AVG-schendingen bij de DSB kunnen melden, ook als dit er meer dan twee per maand zijn.
Volgens Schrems is het probleem van privacytoezichthouders die zich van privacyklachten proberen te ontdoen Europabreed.
In 2022, het laatste jaar met EU-brede cijfers, bleek dat de Europese privacytoezichthouders gecombineerd meer dan 140.000 privacyzaken hadden opgepakt, maar iets meer dan 1800 AVG-boetes aan bedrijven hadden uitgedeeld. "Dit houdt in dat in slechts 1,3 procent van de gevallen er een ernstige consequentie was. Dit laat duidelijk zien dat er een EU-breed probleem is met de inactiviteit van privacytoezichthouders en toezichthouders procedures vertragen", laat Schrems weten.
Alles bij de bron; Security
.
Privacywaakhond Autoriteit Persoonsgegevens heeft Netflix een Europese boete van 4,75 miljoen euro opgelegd. De streamingdienst heeft klanten tussen 2018 en 2020 onvoldoende geïnformeerd over hoe het bedrijf omgaat met de persoonsgegevens van gebruikers.
Ook schoot de streamingdienst tekort in het informeren over de reden (de zogenoemde grondslag) waarom persoonsgegevens worden verzameld en was Netflix onduidelijk over hoe het bedrijf ervoor zorgt dat de persoonsgegevens veilig blijven wanneer het bedrijf die naar landen buiten Europa verstuurt.
De boete is het gevolg van een klacht die was ingediend door de Oostenrijkse privacyorganisatie None of your business (noyb).
Alles bij de bron; NU
De Europese Commissie heeft via een reclamecampagne op het socialemediaplatform X geprobeerd om Nederlanders te beïnvloeden door gevoelige persoonsgegevens te gebruiken. Daarmee overtreedt het de wetten die de Commissie zelf moet controleren.
De Commissie zocht met de campagne steun voor een omstreden wetsvoorstel om online kindermisbruik tegen te gaan. Volgens experts is het wetsvoorstel niet effectief tegen online kindermisbruik en schendt het mensenrechten en de privacy van burgers.
Om te zorgen dat de kritiek niet de overhand kreeg, probeerde de Europese Commissie de stemming te draaien. Dat gebeurde met een gerichte advertentiecampagne op X, ontdekte technologie-onderzoeker Danny Mekic.
Toen Mekic op onderzoek uit ging, zag hij dat de Commissie de campagne specifiek tot bepaalde groepen mensen richtte. "Ze maakten gebruik van reclametargeting op basis van politieke en geloofsovertuigingen. Dat mag gewoon niet volgens de wet." Ook werden de reclames alleen getoond in landen die niet vóór het wetsvoorstel hadden gestemd, waaronder Nederland.
Via een Nederlandse klacht kwam de zaak terecht bij de Europese privacytoezichthouder EDPS. Die heeft nu bepaald dat de Europese Commissie inderdaad een beïnvloedingscampagne heeft ingezet. En dat mag niet.
Sterker nog, de EU overtreedt daarmee zijn privacywetgeving. Bizar, vindt Mekic. "Ze hebben iets gedaan wat niet moet kunnen, op basis van de wet waarop de Commissie zelf toezicht moet houden."
Alles bij de bron; NU
De geplande online openbaarmaking van het oorlogsarchief op 2 januari aanstaande is na een formele waarschuwing van de Autoriteit Persoonsgegevens (AP) uitgesteld.
De Autoriteit waarschuwde het Nationaal Archief voor het online openbaar maken van het oorlogsarchief, omdat dit in strijd met de Archiefwet en de Algemene verordening gegevensbescherming (AVG) is.
Het CABR is het grootste en meest geraadpleegde archief over de Tweede Wereldoorlog in Nederland. In het archief zijn dossiers opgenomen van personen die na de Tweede Wereldoorlog verdacht werden van collaboratie met de Duitse bezetter.
Het archief bevat ongeveer 485.000 dossiers van personen die verdacht werden van collaboratie of hiervoor berecht zijn. Het archief bevat veel strafrechtelijke gegevens, ook van mogelijk nog levende mensen, bijvoorbeeld in processen-verbaal, verhoren en getuigenverklaringen. In de dossiers zitten ook persoonlijke documenten zoals brieven, dagboeken en foto’s. Daarmee bevat het CABR ook veel gevoelige gegevens over bijvoorbeeld de religie, politieke voorkeur, gezondheid of etniciteit van mensen, aldus de Autoriteit Persoonsgegevens.
"Deze gevoelige gegevens hebben niet alleen betrekking op de verdachten, maar bijvoorbeeld ook op slachtoffers, getuigen en nabestaanden die in 2025 mogelijk nog in leven zijn. De wet – ook de Archiefwet – schrijft voor dat gevoelige gegevens niet zomaar voor iedereen beschikbaar mogen worden gemaakt als ze gaan over mensen die in leven zijn", laat de toezichthouder weten.
De AP had naar eigen zeggen geen andere keuze dan de minister van Onderwijs formeel te waarschuwen dat de geplande online openbaarmaking van het CABR op deze manier niet kan doorgaan. Een wettelijke grondslag kan volgens de AP wel gecreëerd worden in de Archiefwet. Daarom komt de minister met een wetswijziging met daarin een grondslag voor verwerking van bijzondere, strafrechtelijke en gewone persoonsgegevens die zijn bewaard voor archiveringsdoeleinden.
Alles bij de bron; Security
Het Nederlandse Nationaal Cybersecurity Centrum (NCSC) heeft onthuld dat het gevoelige informatie heeft gedeeld met buitenlandse overheden zonder de juiste juridische bevoegdheid.
De gegevens, waaronder IP-adressen van systemen die zijn gecompromitteerd door een door de Chinese staat gesponsorde cyberaanval, werden gedeeld met cybersecurity-instanties in Canada, Japan, het Verenigd Koninkrijk en de Verenigde Staten.
Een interne beoordeling heeft uitgewezen dat het NCSC zijn wettelijke bevoegdheid heeftoverschreden door deze informatie te delen met landen buiten de EU.
Als gevolg hiervan heeft het agentschap het incident gemeld als een datalek bij de Nederlandse gegevensbeschermingsautoriteit.
Alles bij de bron; Dutch-IT-Channel
Vodafone heeft wegens het jarenlang illegaal gebruik van verkeersgegevens van klanten van de Rijksinspectie Digitale Infrastructuur (RDI) een boete van 160.000 euro gekregen. De verkeersgegevens werden door Vodafone gepseudonimiseerd en samengevoegd tot tellingen van groepen mensen op een bepaald moment binnen een bepaald gebied.
Een aanbieder van mobiliteitsinformatie kreeg via een softwaresysteem toegang tot deze tellingen, waar deze zoekopdrachten op kon uitvoeren. "Verkeersgegevens zijn privacygevoelig, omdat het bijvoorbeeld informatie geeft over de locaties van bellers en tijdstippen van telefoongesprekken. Vodafone mag deze gegevens alleen gebruiken voor wettelijk toegestane doelen, zoals haar eigen facturering. Vodafone had de verkeersgegevens niet intern mogen verwerken voor dit samenwerkingsproject", aldus de RDI.
Alles bij de bron; Security
Privacygevoelige informatie van chauffeurs is door Uber gedeeld met opsporingsinstanties buiten de Europese Unie (EU). Het gaat onder meer om namen, foto's en gegevens over inkomsten van Europese chauffeurs.
Uit uitgelekte data die in handen is van een internationaal journalistencollectief blijkt dat Uber in 2019 gehoor heeft gegeven aan een verzoek van de Colombiaanse overheid, die gegevens opvroeg over een chauffeur. Uber zou hierop een lijst met alle ritten, de persoonsgegevens en de inkomsten van deze persoon aan de Colombiaanse autoriteiten hebben overhandigd.
Ook zou uit de uitgelekte data blijken dat Uber zich actief inzet om mee te werken met buitenlandse autoriteiten, met als doel de banden met deze overheden aan te halen.
Het taxibedrijf benadrukt zich aan de Europese wet te houden. Zo meldt het alle verzoeken te beoordelen en daarbij alle regelgeving, de rechten en de vrijheden van gebruikers in acht te nemen. Dat is opvallend, aangezien Europese bedrijven niet zo maar gegevens mogen delen met buitenlandse opsporingsdiensten; dat loopt normaliter altijd via politiediensten.
Vorige week kreeg Uber van de Autoriteit Persoonsgegevens nog een boete van 290 miljoen euro opgelegd vanwege het doorgegeven van gegevens van Europese taxichauffeurs naar de Verenigde Staten.
Het ging toen onder meer om foto's, betaalgegevens, identiteitsbewijzen en locatiegegevens van Europese chauffeurs. In sommige gevallen zouden ook medische informatie en strafrechtelijke gegevens zijn gedeeld.
Alles bij de bron; Dutch-IT-Channel
De Zweedse privacytoezichthouder IMY heeft twee apotheken een AVG-boete opgelegd voor het gebruiken van de Meta-pixel op hun website om hun marketing op Facebook en Instagram te verbeteren. Beide apotheken schakelden een nieuwe subfunctie van de Meta-pixel in, waardoor onbedoeld gedurende een lange tijd de privacygevoelige gegevens van een groot aantal klanten naar het Amerikaanse techbedrijf werden doorgestuurd, aldus IMY.
De doorgestuurde data ging onder andere over medicijnen voor de behandeling van allerlei gezondheidsproblemen, zelftests en behandelingen voor geslachtsziektes en seksspeeltjes. Volgens de Zweedse privacytoezichthouder hadden de apotheken vanwege de gevoelige aard van de data maatregelen moeten nemen om die te beschermen.
De hoogste boete was omgerekend 3,3 miljoen euro opgelegd de ander moet een bedrag van omgerekend 706.000 euro betalen.
Alles bij de bron; Security
Privacyorganisatie noyb heeft de Zweedse privacytoezichthouder IMY voor de rechter gesleept wegens het doorsturen van privacyklachten, zonder die daarna verder te behandelen. Volgens noyb komt het geregeld voor dat IMY klachten van burgers over een organisatie of bedrijf ontvangt dat onrechtmatig persoonsgegevens verwerkt. De Zweedse privacytoezichthouder stuurt vervolgens de klacht door naar de vermeende overtreder en sluit daarna meteen de klacht, zonder te controleren of de situatie echt is verholpen of verder onderzoek te doen.
Volgens noyb-oprichter Max Schrems is er zes jaar na de introductie van de AVG een situatie ontstaan waarbij toezichthouders zich gedragen alsof ze kunnen kiezen om de rechten van burgers te handhaven.
"EU-wetgeving vereist dat elke klacht wordt onderzocht en elke AVG-overtreding opgelost. De IMY lijkt te vergeten dat het een handhavende autoriteit is", merkt Schrems op.
"De IMY lijkt zijn eigen rol te verwarren met die van de post. Voor alleen het doorsturen van documenten hebben we niet nog een kostbare en onafhankelijke toezichthouder nodig", stelt Schrems. "Er is geen reden waarom mensen in Zweden niet dezelfde rechten zouden hebben als de rest van de EU."
Alles bij de bron; Security
Er ging van alles mis toen de gemeente Eindhoven een paar jaar geleden een nieuwe sportpas voor inwoners introduceerde. Privacychecks werden overgeslagen en waarschuwingen genegeerd. Dit blijkt uit onderzoek dat de gemeente liet uitvoeren.
De nieuwe sportpas werd in 2021 ingevoerd voor vaste bezoekers van gemeentelijke zwembaden, voordat er een wettelijke privacytoets was uitgevoerd. De sportpas moest de stadspas opvolgen die juist afgeschaft werd vanwege problemen met de privacy van Eindhovenaren.
De gemeente liet het onderzoek uitvoeren, toen een ethisch hacker de gemeente vorig jaar wees op de problemen, onder meer met de QR-code.
Toen de hacker contact opnam met de gemeente, werden de digitale poortjes van twee zwembaden direct gesloten. De hack en het datalek zijn een dag later gemeld bij privacywaakhond Autoriteit Persoonsgegevens.
Alles bij de bron; Studi040