Dit was zeker een drukke maand op het gebied van privacy! Na lange onderhandelingen is de EU weer een stap dichter bij de AI Act. Ondertussen hebben toezichthouders belangrijke beslissingen genomen tegen Uber en Amazon, werkt de EDPB aan het hete hangijzer van pay-or-ok, heeft de Senaat CEO's van sociale media gehoord over online veiligheid van kinderen, en nog veel meer!
- EU komt dichter bij AI-wet nu Data Act in werking treedt
- EDPB bespreekt pay-or-ok
- Verhitte hoorzitting Senaat over veiligheid kinderen
- Twee hoge boetes van de Franse waakhond
- Nederlandse toezichthouder slaat toe bij Uber
- FTC treedt hard op tegen het delen van gegevens
- GPDP nog steeds niet blij met ChatGPT
- EU en VS werken aan overeenkomst over toegang politie tot gegevens
- EU Commissie bevestigt 11 adequaatheidsbesluiten
- Amazon vereist nu een bevelschrift voor Ring-beelden
EU komt dichter bij AI-wet nu Data Act in werking treedt
DeEU-lidstaten hebben** unaniem voor de AI-wet gestemd**. Er zijn nog drie stemmingen nodig, waaronder de cruciale plenaire stemming van het Europees Parlement in april.
Ondertussen is de Data Act van de EU in werking getreden. De verordening is bedoeld om het gebruik en de uitwisseling van gegevens, met name industriële en IoT-gegevens, te vergemakkelijken en tegelijkertijd een evenwicht te vinden met cyberbeveiliging en gebruikerscontrole.
EDPB bespreekt pay-or-ok
De EDPB (dat is de instelling die EU privacytoezichthouders samenbrengt) besprak de pay-or-ok benadering van privacy in januari en is van plan om richtlijnen over deze kwestie te publiceren. Met andere woorden, de EDPB wil duidelijk maken of, en in welke mate, bedrijven persoonlijke gegevens als handelswaar kunnen behandelen.
Pay-or-ok is op dit moment een veelbesproken onderwerp, aangezien Meta's nieuwste nalevingsstrategie gericht is op het aanbieden van betaalde, advertentievrije abonnementen voor Facebook en Instagram als alternatief voor de gratis abonnementen. Maar de kwestie is groter dan dat en heeft enorme gevolgen voor de EU-privacywetgeving als geheel.
Als je nieuwsgierig bent naar het onderwerp, onze blog onderzoekt Meta's nalevingsstrategieën en de implicaties van pay-or-ok voor de GDPR.
Verhitte hoorzitting Senaat over veiligheid kinderen
Als reactie op de toenemende publieke bezorgdheid over de veiligheid van kinderen op sociale media heeft een commissie van de Amerikaanse Senaat de CEO's van grote sociale platforms ondervraagd over de online veiligheid van kinderen.
CEO's van Meta, X, Snap, TikTok en Discord waren aanwezig. De ondervraging was nogal gespannen, waarbij Mark Zuckerberg (Meta) en Shou Zi Chew (TikTok) de meeste kritiek te verduren kregen. Evan Spiegel (Snap) en Linda Yaccarino (X) spraken hun steun uit voor de Kids Online Safety Act, terwijl andere CEO's sceptische geluiden lieten horen.
Twee hoge boetes van de Franse waakhond
De Franse privacytoezichthouder (CNIL) legde Amazon Frankrijk een boete op van €32 miljoen voor zijn toezichtpraktijken op de werkplek en legde Yahoo een boete op van €10 miljoen voor het illegaal gebruik van tracking cookies.
De toezichthouder gaf een zeer sterk signaal af dat de beruchte invasieve werkplekmonitoring van Amazon niet zal worden getolereerd in Frankrijk: €32M is ongeveer 3% van de omzet van Amazon Frankrijk voor 2021 en komt dicht in de buurt van het maximum van 4% onder de GDPR.
Nederlandse toezichthouder slaat toe bij Uber
De Nederlandse toezichthouder heeft Uber een boete opgelegd van €10M voor het niet informeren van chauffeurs over het dataretentiebeleid en het moeilijk maken voor chauffeurs om toegang te krijgen tot hun persoonlijke gegevens.
Controle over gegevens is cruciaal voor de machtsverhouding tussen bedrijven en gig economy werknemers. Het recht op toegang tot gegevens kan werknemers soms helpen om hun gegevens terug te krijgen, waardoor de balans in hun voordeel doorslaat. Dit gebeurde nog niet zo lang geleden in een baanbrekende zaak die Uber verloor(Uber BV tegen Aslam).
FTC treedt hard op tegen het delen van gegevens
Na een officieel onderzoek heeft de Federal Trade Commission X opgedragen zijn privacybeleid voor locatiegegevens aan te scherpen. X mag geen locatiegegevens verzamelen zonder toestemming en mag geen "gevoelige" locatiegegevens (zoals medische faciliteiten of religieuze instellingen) delen met zijn partners.
De FTC heeft ook [gegevensaggregator InMarket Media verboden om precieze geolocatiegegevens te delen.
GPDP nog steeds niet blij met ChatGPT
De Italiaanse privacywaakhond heeft een (nog niet gepubliceerde) kennisgeving van vermeende privacyschendingen uitgebracht voor Open AI met betrekking tot ChatGPT . Toekomstige ontwikkelingen zijn de moeite waard om in de gaten te houden, aangezien generatieve AI's belangrijke en nog onopgeloste privacykwesties opwerpen.
De toezichthouder richtte zich vorig jaar voor het eerst tot ChatGPT toen het bedrijf werd bevolen de dienstverlening voor Italiaanse gebruikers stop te zetten vanwege privacyproblemen (we bespraken de zaak hier). De autoriteit hief later de beperking op, maar slechts tijdelijk: de zaak bleef open en het onderzoek leidde uiteindelijk tot de mededeling van januari 2024.
EU en VS werken aan overeenkomst over toegang politie tot gegevens
Volgens Politico zegt Europees Justitiecommissaris Didier Reynders dat de EU en de VS binnen het jaar tot een overeenkomst zullen komen over de toegang van de politie tot persoonlijke gegevens.
De EU en de VS hebben al een verdrag voor wederzijdse bijstand, maar de bestaande procedures voor toegang tot gegevens zijn traag en omslachtig. De omstreden Cloud Act van de VS kan de rechtshandhaving in de VS versnellen, maar werpt problemen op in het kader van de GDPR en is alom bekritiseerd vanwege het unilaterale karakter ervan. Een nieuwe overeenkomst zou een aantal problemen met de Cloud Act kunnen oplossen en tegelijkertijd de rechtshandhaving in de EU snellere toegang geven tot gegevens uit de VS.
Natuurlijk moet de toekomstige overeenkomst een balans vinden tussen effectieve wetshandhaving en het recht op privacy - en de Europese Toezichthouder voor gegevensbescherming zal zich ongetwijfeld over dit onderwerp uitspreken.
EU Commissie bevestigt 11 adequaatheidsbesluiten
De Europese Commissie heeft de bestaande adequaatheidsbesluiten voor Andorra, Argentinië, Canada, de Faeröer, Guernsey, het eiland Man, Israël, Jersey, Nieuw-Zeeland, Zwitserland en Uruguay herzien en bevestigd. De besluiten voor Japan, Zuid-Korea, het Verenigd Koninkrijk en de VS zijn nog niet bevestigd.
Een adequaatheidsbesluit is een unilateraal besluit dat gegevensoverdracht enorm vereenvoudigt door een niet-EU-land "groen licht" te geven als veilige bestemming voor persoonlijke gegevens. Een adequaatheidsbesluit is gebaseerd op een complexe beoordeling van het juridische kader van het ontvangende land en moet periodiek worden herzien.
Amazon vereist nu een bevelschrift voor Ring-beelden
Amazon heeft aangekondigd dat het nu een huiszoekingsbevel nodig heeft voor het delen van Ring-beelden met wetshandhavers. Hopelijk pakt Amazon uiteindelijk ook de andere privacyproblemen van Ring aan, zoals de ernstige kwetsbaarheden in de cyberbeveiliging en het onverantwoord lakse beleid van Amazon voor de toegang tot gegevens voor Ring-medewerkers.