Welkom bij de privacy maandelijkse januari 2023 editie. Eens per maand zullen we kort enkele van de belangrijkste privacynieuwtjes behandelen.
Dus, wat is er afgelopen maand gebeurd? Laten we het uitzoeken!
- Europese Commissie stelt ontwerpbesluit inzake adequaatheid op
- EU ondertekent verklaring over digitale rechten
- Meer juridische problemen voor Meta
- Slovenië neemt wet op de bescherming van persoonsgegevens aan
- Office 365 niet GDPR-conform volgens Duitse waakhonden
- Amerikaanse Senaat stemt voor verbod op TikTok op apparatuur van de federale overheid
- Meta verbiedt surveillance-voor-huur bedrijven
- Record schikkingen voor Epic Games
- Britse waakhond maakt bedrijven aan de schandpaal vanwege datalekken
Europese Commissie stelt ontwerpbesluit inzake adequaatheid op
Op 13 december publiceerde de EU Commissie een ontwerp voor een adequaatheidsbesluit voor de VS. De volgende stap in de procedure is een niet-bindend advies van het Europees Comité voor gegevensbescherming. Ten slotte zal het ontwerp door de lidstaten in stemming worden gebracht en formeel door de Commissie worden goedgekeurd.
Goedkeuring van het ontwerp is vrijwel zeker, gezien de langdurige onderhandelingen tussen de EU en de VS over het trans-Atlantische gegevensbeschermingskader. Het is echter ook vrijwel zeker dat het komende besluit inzake adequaatheid zal worden getoetst door het Hof van Justitie. Het HvJEU heeft in de zaken Schrems I en II al twee kaders voor gegevensoverdracht ongeldig verklaard, en het is moeilijk te zeggen hoe een "Schrems III"-zaak zal uitpakken - maar het Europees Comité voor gegevensbescherming kan ons in zijn komende advies enige terugblik geven.
EU ondertekent verklaring over digitale rechten
Op 15 januari werd de verklaring over de Europese digitale rechten en beginselen ondertekend door de Europese Commissie, de Raad van Europa en de voorzitter van het Europees Parlement. De verklaring wil een digitale overgang bevorderen op basis van een mensgerichte visie.
De verklaring is gebaseerd op zes beginselen (de mens centraal, solidariteit en inclusie, keuzevrijheid, participatie, veiligheid en beveiliging, duurzaamheid) en is bedoeld als aanvulling op de digitale strategie van de EU. In de praktijk is de verklaring niet bindend, maar ze kan dienen als inspiratiebron en referentiepunt voor de interpretatie van de GDPR en het EU-kader voor gegevensbescherming in het algemeen.
Meer juridische problemen voor Meta
Op 22 december stemde Meta Platforms in met een ** schikking van 725 miljoen dollar** voor een class action over de Cambridge Analytica-zaak. Facebook kreeg al een boete van maar liefst 5 miljard dollar opgelegd door de Amerikaanse Federal Trade Commission over het schandaal, bovenop de boete van 500.000 pond aan de Britse privacywaakhond.
Daarnaast legde de Ierse waakhond Meta Platforms Ireland op 4 januari een boete op van in totaal 390 miljoen euro voor het onrechtmatig targeten van Facebook- en Instagram-gebruikers met gepersonaliseerde reclame. De boete volgt op een beslissing van de European Data Protection Board in het kader van het geschillenbeslechtingsmechanisme van de GDPR. We hebben de beslissing van het EDPB uitvoeriger besproken op onze blog.
Tot slot heeft het Hof van Justitie van de EU een beroep van Meta-dochter Whatsapp Ireland tegen een beslissing van de EDPB verworpen. De procedure heeft betrekking op een boete van €225 die de DPC in 2021 heeft opgelegd. Het beroep werd verworpen op procedurele gronden, omdat de beslissing van de EDPB alleen bindend is voor de DPC en Whatsapp niet rechtstreeks aangaat.
Slovenië neemt wet op de bescherming van persoonsgegevens aan
Op 15 december heeft de Nationale Vergadering van de Republiek Slovenië de wet op de bescherming van persoonsgegevens aangenomen.
Slovenië is onderworpen aan de GDPR sinds de inwerkingtreding ervan, aangezien de EU-regelgeving rechtstreeks van toepassing is. De GDPR vereist echter nationale tenuitvoerlegging van specifieke regels, en het gebrek aan tenuitvoerlegging maakte de handhaving problematisch. Met de nieuwe wet werd Slovenië eindelijk de laatste EU-lidstaat die de GDPR in zijn nationale wetgeving heeft geïmplementeerd.
Office 365 niet GDPR-conform volgens Duitse waakhonden
De Duitse conferentie voor gegevensbescherming heeft in een recent rapport benadrukt dat de Office 365-suite van Microsoft niet voldoet aan bepaalde belangrijke bepalingen van de GDPR.
De Duitse conferentie voor gegevensbescherming (DSK) is een commissie die wordt gevormd door de federale gegevensbeschermingsautoriteit van Duitsland en door de gegevensbeschermingsautoriteiten van de afzonderlijke Duitse deelstaten. Het rapport werd eind november gepubliceerd en is het resultaat van twee jaar overleg tussen een DSK-werkgroep en Microsoft zelf. In het rapport worden verschillende nalevingsproblemen belicht, waaronder onvoldoende waarborgen voor de doorgifte van gegevens tussen de EU en de VS, een gebrekkig gegevensbewaringsbeleid en een algemeen gebrek aan duidelijkheid over de rol van Microsoft als controleur of verwerker met betrekking tot individuele gegevensverwerkingen.
Microsoft heeft onlangs aangekondigd dat het zijn EU Data Boundary Program in 2023 zou uitrollen om de doorgifte van gegevens naar de EU te beperken. Deze stap van Microsoft zou van cruciaal belang kunnen zijn voor de naleving van de GDPR. Microsofts nieuwe beleid voor Europese gegevens zal echter zeker kritisch moeten worden bekeken, aangezien sommige gegevensoverdrachten naar de VS in bepaalde scenario's waarschijnlijk nog steeds nodig zullen zijn.
Het rapport van de werkgroep is beschikbaar op de website van de DSK (alleen in het Duits).
Amerikaanse Senaat stemt voor verbod op TikTok op apparatuur van de federale overheid
Op 14 december stemde de Amerikaanse Senaat unaniem voor een wetsvoorstel om federale werknemers te verbieden de app TikTok op hun apparaten te downloaden. Om wet te worden moet het voorstel nog worden goedgekeurd door het Congres en ondertekend door de Amerikaanse president.
Amerikaanse politici van beide partijen zijn bezorgd dat TikTok door de Chinese regering kan worden gebruikt om inlichtingen te verzamelen. Daarnaast ondergaat de app een veiligheidsonderzoek bij het Committee on Foreign Investment in the U.S. (CFIUS), nadat TikTok-eigenaar ByteDance in 2019 de musical.ly-app kocht en zijn gebruikersbestand samenvoegde met dat van TikTok.
Meta verbiedt surveillance-voor-huur bedrijven
Op 14 december kondigde Meta aan dat het zeven surveillance-for-hire bedrijven verbant van Facebook, waardoor ze hun diensten niet meer kunnen promoten via het sociale netwerk. Het bedrijf presenteerde ook een beleidsdocument, waarin het overheden aanspoort om actie te ondernemen tegen de surveillance-industrie.
Volgens Meta vormen spyware en "surveillance-for-hire" bedrijven een aanzienlijke bedreiging voor de privacy en de samenleving. Veel van dergelijke bedrijven zijn aanwezig op Facebook, en sommigen van hen voeren hun activiteiten uit op het platform, met behulp van valse accounts en spywarelinks om hun merken te bespioneren. Hoewel Meta prioriteit heeft gegeven aan anti-spywareacties op zijn platform, wijst het erop dat actie van beleidsmakers nodig is om de bedreigingen van de "surveillance-for-hire"-bedrijven tegen te gaan.
Record schikkingen voor Epic Games
De Federal Trade Commission heeft met Fortnite-bedenker Epic Games twee overeenkomsten gesloten voor een recordbedrag van $520M. Het bedrag omvat een boete van $275 miljoen voor het schenden van de Children's Online Privacy Protection Act via de standaard privacy-instellingen van Fortnite, en een grote terugbetaling voor onbedoelde aankopen door misleidend design. Epic moet ook de standaardprivacyinstellingen van Fortnite wijzigen en een opt-in vereisen voor de tekst- en voicechat in het spel voor gebruikers jonger dan 13 jaar.
Britse waakhond maakt bedrijven aan de schandpaal vanwege datalekken
In een nogal ongebruikelijke zet is de Britse gegevensbeschermingsautoriteit (ICO) begonnen met het publiceren van uitgebreide lijsten van bedrijven die zijn berispt voor datalekken. Commissaris John Edwards lichtte in een recente toespraak de motieven voor dit besluit toe, waarbij hij wees op de behoefte aan transparantie en zekerheid bij de handhaving van de regels en het belang van verantwoordingsplicht voor bedrijven.