Welkom bij onze nieuwe maandelijkse blog. Eens per maand zullen we kort ingaan op het belangrijkste privacynieuws.
Wat is er vorige maand gebeurd? Laten we het uitzoeken!
- EU-parlement onderzoekt spionagesoftware van de staat, de EDPS doet mee
- Koop een brander voor het WK
- Google betaalt recordschikking voor locatiegegevens
- Apple wordt geconfronteerd met privacyrechtszaak
- Indiase regering stelt nieuwe privacywet voor
- Beëindiging van Google Analytics 360 uitgesteld
- Class action tegen Github Copilot project
- Hongaarse gegevensbeschermingsautoriteit spreekt zich uit tegen het gebruik van Google Analytics
- Voormalig Uber CSO veroordeeld voor belemmering van de rechtsgang
- HvJEU doet uitspraak over compensatie voor GDPR-inbreuken
EU-parlement onderzoekt spionagesoftware van de staat, de EDPS doet mee
Op 8 november heeft een onderzoekscommissie van het Europees Parlement een rapport gepubliceerd over het gebruik van spyware door Europese regeringen.
Volgens de bevindingen maakten verschillende EU-lidstaten gebruik van Pegasus en andere bewakingssoftware om politieke tegenstanders, journalisten, activisten en prominente figuren in het bedrijfsleven en de financiële wereld te controleren, zowel legaal als illegaal, meestal onder het mom van nationale veiligheid. Het onderzoek schetst een somber beeld en roept op tot dringende maatregelen, waaronder een moratorium op het gebruik en de verspreiding van spyware in de Unie en de totstandbrenging van een gemeenschappelijk rechtskader voor het gebruik van spyware.
Kort na de publicatie van het verslag riep de Europese Toezichthouder voor gegevensbescherming in zijn advies over het voorstel voor een Europese mediavrijheidwet op tot een algemeen verbod op spyware van militaire kwaliteit.
Koop een brander voor het WK
Tussen de onmenselijke behandeling van de migrantenarbeiders en de beschuldigingen van corruptie tegen FIFA-functionarissen, is er geen gebrek aan controverse rond het WK in Qatar. Staatsspionage is de kers op de taart.
Het Koninkrijk Qatar eist dat buitenlanders twee apps op hun telefoon installeren om het WK te kunnen bijwonen. Verschillende Europese gegevensbeschermingsautoriteiten vonden onlangs dat deze apps zeer invasief zijn en waarschuwden tegen het gebruik ervan. Volgens de Duitse DPA verwerkt de app veel meer gegevens dan de privacyverklaringen suggereren, zozeer zelfs dat de gesprekken van de gebruiker kunnen worden gevolgd. Met andere woorden, de apps zijn in wezen staatsspionage. De Noorse en Franse gegevensbeschermingsautoriteiten onderschreven deze bezorgdheid en gingen zelfs zover dat zij het gebruik van telefoons met een brander aanraadden om het WK bij te wonen.
Google betaalt recordschikking voor locatiegegevens
Op 14 november ging Google akkoord met een schikking van 391 miljoen dollar voor het bedrieglijk bijhouden van de locatie van gebruikers in een schikking waarbij advocaten-generaal uit 40 Amerikaanse staten betrokken waren.
Het onderzoek begon in 2018 nadat een artikel van Associated Press informeerde naar de verwerking van locatiegegevens van gebruikers door Google. Volgens de advocaten-generaal gebruikte Google een bedrieglijk ontworpen interface met afzonderlijke en slecht uitgelegde opt-out-mechanismen voor het volgen van de locatie, waardoor gebruikers in feite werden misleid en dachten dat hun locatie niet werd gevolgd.
Naast de recordbetaling beloofde Google in het kader van de schikking een duidelijkere interface te gebruiken en gebruikers meer informatie te verstrekken.
Apple wordt geconfronteerd met privacyrechtszaak
Op 10 november werd een rechtszaak tegen Apple aangespannen in een arrondissementsrechtbank in Californië. Het bedrijf zou activiteiten op Apple apps monitoren, ongeacht de voorkeur van de gebruiker. Twee beveiligingsonderzoekers en medewerkers van Mysk die een jailbroken iPhone gebruikten, merkten een verdachte verzameling van apparaatgegevens op in de App Store. Volgens Gizmodo gaat het om het volgen van verschillende andere apps, waaronder Apple Music, Apple TV en Stocks.
Dit wordt zeker een interessante zaak. First-party data is al een tijdje een strategische prioriteit voor Apple. Verwerkt Apple deze gegevens rechtmatig, en zal het zijn zorgvuldig opgebouwde reputatie als privacy-vriendelijk bedrijf waarmaken wanneer zijn gegevensverwerking aan een juridisch onderzoek wordt onderworpen?
Indiase regering stelt nieuwe privacywet voor
Vorige week publiceerde de Indiase regering het ontwerp voor de bescherming van digitale persoonsgegevens, een langverwacht voorstel voor een federale privacywet.
Eerder dit jaar werd een ander wetsontwerp bij het parlement ingediend, dat later door de regering werd ingetrokken. In het nieuwe ontwerp zijn enkele van de talrijke amendementen verwerkt die het parlement op het geschrapte wetsontwerp had voorgesteld. Het wetsontwerp zal zeker de aandacht trekken van privacyprofessionals wereldwijd, aangezien India een belangrijk knooppunt is voor internationale gegevensoverdracht.
Beëindiging van Google Analytics 360 uitgesteld
Op 27 oktober kondigde Google aan dat het de afschaffing van Universal Analytics 360-eigenschappen zou uitstellen tot juli 2024. Universal Analytics-eigenschappen zullen zoals gepland nog steeds in 2023 worden afgeschreven.
Dit is de tweede keer dat Google de afschrijving van UA, die aanvankelijk gepland stond voor 2022, uitstelt. Eerder dit jaar heeft het bedrijf ook de ondersteuning voor cookies van derden in Google Chrome uitgebreid. UA maakt gebruik van cookies van derden, dus het uitstel voor Universal Analytics zit Google waarschijnlijk al een tijdje dwars.
Class action tegen Github Copilot project
Deze maand werd in een federale rechtbank in Californië een class action aangespannen tegen het Copilot-project van Github in verband met auteursrechten.
Github is een hostingdienst voor softwareontwikkeling die Microsoft vier jaar geleden overnam. Copilot is een generatief AI-project dat code schrijft op basis van instructies in natuurlijke taal, waardoor code sneller kan worden gecompileerd. De AI van Copilot is getraind op de open source code die wordt gehost door de Github-database en kan regels code reproduceren die door Github worden gehost. Voorstanders van de class action protesteren dat de reproductie van code neerkomt op een schending van open source licentievoorwaarden omdat Copilot verzuimt het werk toe te schrijven aan de oorspronkelijke ontwikkelaar.
Hongaarse gegevensbeschermingsautoriteit spreekt zich uit tegen het gebruik van Google Analytics
In een nog niet gepubliceerd besluit heeft de Hongaarse gegevensbeschermingsautoriteit (NAIH) zich uitgesproken tegen het gebruik van Google Analytics wegens bezorgdheid over de overdracht van gegevens, in navolging van de Oostenrijkse, Franse en Italiaanse gegevensbeschermingsautoriteiten.
Van wat we nu weten, lijkt het besluit vergelijkbaar met de andere Europese precedenten. Het gaat om het gebrek aan effectieve waarborgen tegen Amerikaanse bewaking van buitenlandse gegevens. Het besluit suggereert dat de trend naar strikte handhaving van regels inzake gegevensoverdracht kan aanhouden, ondanks het recente uitvoeringsbevel van de Amerikaanse president Joe Biden. We schreven hier meer over het onderwerp.
Merk op dat gdprhub momenteel de enige bron van dit nieuws is. De gdprhub is een project van noyb, een privacy NGO die direct betrokken is bij de zaak. Wij achten de informatie betrouwbaar, maar een waarschuwing blijft op zijn plaats.
Voormalig Uber CSO veroordeeld voor belemmering van de rechtsgang
Op 3 oktober is voormalig Uber Chief Security Officer Joe Sullivan veroordeeld voor belemmering van de rechtsgang.
In 2016 onderzocht de Federal Trade Commission een enorme inbreuk op de gegevens van Uber-chauffeurs en -klanten. Een federale jury oordeelde dat de heer Sullivan het datalek toedekte en naliet informatie aan de Federal Trade Commission bekend te maken. Zoals benadrukt door de IAPP is dit de eerste keer in de Amerikaanse jurisprudentie dat een CSO strafrechtelijk aansprakelijk werd gesteld in verband met een datalek. De zaak kan daarom een belangrijk precedent scheppen.
HvJEU doet uitspraak over compensatie voor GDPR-inbreuken
Drie jaar geleden was de Oostenrijkse postdienst betrokken bij een schandaal wegens het opstellen van profielen van burgers en het verkopen van de gegevens aan derden voor reclame en politieke propaganda. Een burger eiste voor een Oostenrijkse rechtbank schadevergoeding nadat hij door de postdienst als rechtse aanhanger was bestempeld. Het Oostenrijkse Hooggerechtshof heeft het Hof van Justitie drie vragen voorgelegd.
Het Hof zal verduidelijken of schade een vereiste is voor compensatie voor schendingen van de GDPR en of louter ontsteltenis over een schending schade oplevert. Het Hof zal zich ook buigen over vraagstukken in verband met de harmonisatie van het privaatrecht van de lidstaten. De uitspraak kan verstrekkende gevolgen hebben voor de handhaving van de GDPR in de rechtbanken.
Advocaat-generaal Campos Sánchez-Bordona heeft vorige maand advies uitgebracht over de zaak.