Het is een nieuw seizoen, en net op tijd voor een nieuwe Privacy Monthly! Het is niet de beste maand geweest voor big tech. Meta moet misschien over twee maanden Facebook voor Europa sluiten en kan veel geld verliezen in een class action. Google Analytics kwam onder vuur te liggen van meer gegevensbeschermingsautoriteiten, en de Tsjechische regering schaft het af op haar websites. Ondertussen wordt TikTok links en rechts verboden op overheidsapparaten. Lees verder!
- Europa krijgt mogelijk te maken met Meta black-out
- Meer slecht nieuws voor Meta
- Ook slecht nieuws voor Google
- EDPB brengt een lauw advies uit over het nieuwe kader voor gegevensoverdracht
- Meer problemen voor TikTok
- Encryptiecontroverse houdt aan
- De EDPS zou Microsoft Office kunnen schrappen
Europa krijgt mogelijk te maken met Meta black-out
De Ierse DPA stelde vorig jaar een besluit op om de gegevensoverdracht van Meta Ierland naar de VS stop te zetten en legde dit later voor aan de EDPB in het kader van de geschillenbeslechting van de GDPR. Politico meldde dat het Europees Comité voor gegevensbescherming verwacht de zaak over de gegevensoverdrachten van Meta tegen 14 april te regelen. De Ierse DPA heeft dan een maand de tijd om de opmerking van de EDPB in zijn definitieve besluit te verwerken.
Alle ogen zijn op deze zaak gericht. Dit is een opvallende zaak waarbij de EDPB betrokken is en die zeker een belangrijk precedent zal scheppen. Afhankelijk van de uitkomst kan dit ook leiden tot een black-out van Facebook en Instagram in Europa, aangezien de Ierse DPA de gegevensoverdrachten van Meta kan stopzetten voordat het besluit van de Europese Commissie inzake adequaatheid voor de VS is afgerond.
Meer slecht nieuws voor Meta
Op 15 maart verloor Facebook een class action voor de rechtbank van Amsterdam. De uitspraak luidde dat Facebook Ierland geen rechtsgrondslag had voor het aanbieden van gepersonaliseerde advertenties - in overeenstemming met de recente uitspraken van het Europees Comité voor gegevensbescherming. De rechtbank stelde ook andere inbreuken vast, waaronder de onrechtmatige verwerking van gevoelige gegevens en schendingen van de richtlijn oneerlijke handelspraktijken en de nationale implementaties daarvan in de Nederlandse wetgeving.
De schadevergoeding zal bij een andere uitspraak worden toegekend en zou aanzienlijk kunnen zijn, aangezien bij de class action ongeveer 190 000 gebruikers betrokken zijn. Meta is van plan tegen de uitspraak in beroep te gaan.
Ook slecht nieuws voor Google
De Finse DPA heeft in een recente uitspraak vastgesteld dat Google Analytics onverenigbaar is met de regels voor gegevensoverdracht van de GDPR. De uitspraak gaat over het gebruik van Google Analytics door een individuele website, maar schept een precedent dat praktisch neerkomt op een landelijk verbod. De Noorse gegevensbeschermingsautoriteit kwam tot dezelfde voorlopige conclusie als haar Finse tegenhanger in een hangende zaak.
De Finse Ombudsman voor Gegevensbescherming is de vijfde Europese autoriteit die zich uitspreekt tegen het gebruik van Google Analytics. De Oostenrijkse, Franse en Italiaanse autoriteiten deden soortgelijke uitspraken na een gecoördineerde reeks klachten van de privacy NGO noyb. De Deense autoriteit omarmde hetzelfde standpunt in een persbericht.
Tegelijkertijd verwijdert de Tsjechische regering Google Analytics van veel van haar websites uit privacyoverwegingen. De Tsjechische privacy-ngo IuRe speelde een belangrijke rol bij het overtuigen van de regering dat Google Analytics de privacy van bezoekers niet kan waarborgen.
EDPB brengt een lauw advies uit over het nieuwe kader voor gegevensoverdracht
Eind februari bracht de EDPB zijn advies uit over het ontwerp voor een adequaatheidsbesluit van de Europese Commissie. Het ontwerp wacht op goedkeuring door de lidstaten en is bedoeld om het nieuwe EU-VS kader voor gegevensoverdracht (het Trans-Atlantic Data Privacy Framework) te implementeren.
De EDPB merkt op dat het nieuwe kader een verbetering is ten opzichte van het Privacy Shield (zijn voorganger), maar wijst ook op enkele mogelijke problemen. Daartoe behoren de criteria voor de verzameling van gegevens in bulk, de reikwijdte van bepaalde uitzonderingen, de verdere doorgifte van gegevens en specifieke aspecten van het beroepsmechanisme. Over het geheel genomen is het advies enigszins voorzichtig en lauw.
Goedkeuring van het ontwerpbesluit door de lidstaten is vrijwel zeker, maar het is even zeker dat het besluit bij het Hof van Justitie zal worden aangevochten. De echte vraag is of het nieuwe kader een "Schrems III"-arrest zal overleven.
Meer problemen voor TikTok
Op 23 februari verbood de Europese Commissie TikTok op bedrijfsapparaten uit veiligheidsoverwegingen. Een paar dagen later deed Canada hetzelfde en verbood TikTok van overheidsapparaten.
Canada en de Europese Commissie zijn niet de eersten die TikTok onder de loep nemen en een sterk standpunt innemen. Afgelopen december verbood het Amerikaanse Congres TikTok op alle apparaten van de federale overheid, en veel Amerikaanse staten hebben wetten met hetzelfde effect. Een wetsvoorstel om TikTok volledig te verbieden uit de VS werd ook ingediend in het Congres, en senator Michael Bennet drong er bij Apple en Google op aan om de app uit hun winkels te verwijderen.
TikTok CEO Shou Chew wordt komende donderdaggehoord door het Amerikaanse Congres, en gezien de recente ontwikkelingen zal de sfeer waarschijnlijk gespannen zijn.
Encryptiecontroverse houdt aan
Whatsapp en Signal hebben aangekondigd dat ze hun diensten in het VK mogelijk stopzetten als de Online Safety Bill wordt aangenomen. In zijn huidige ontwerp verplicht het wetsontwerp de aanbieders van berichtendiensten berichten te scannen op illegale en schadelijke inhoud. Tegenstanders van de wet beschouwen het systematisch scannen van inhoud als een onaanvaardbare inbreuk op de privacy. Voor het scannen van de inhoud zouden ook achterdeurtjes in end-to-end versleutelde systemen moeten worden aangebracht, wat veiligheidsproblemen oplevert.
Ook in de EU is een dergelijk debat al enige tijd aan de gang. Vorig jaar werd een controversiële EU-verordening tegen seksueel misbruik van kinderen voorgesteld. Hoewel de voorgestelde verordening aanzienlijk verschilt van het Britse wetsontwerp, schrijft zij nog steeds maatregelen voor die end-to-endencryptie ondermijnen om de verspreiding van kinderpornografie tegen te gaan.
Zowel het Europees Comité voor gegevensbescherming als de Europese Toezichthouder voor gegevensbescherming hebben zich tegen het voorstel verzet. Vorig jaar wees een gezamenlijk advies van de twee instellingen op verschillende problemen met het ontwerp en wees erop dat het ondermijnen van end-to-end encryptie de bescherming van de privacy ernstig verzwakt.
De EDPS zou Microsoft Office kunnen schrappen
De Europese Toezichthouder voor gegevensbescherming is van plan Microsoft Office te dumpen uit bezorgdheid over de privacy in verband met de overdracht van persoonsgegevens aan de VS. In februari begon de Toezichthouder met de implementatie van Nextcloud en Collabora Online, twee open source software gebaseerd op LibreOffice code.