Heroverweging gebruik social media door scholen geadviseerd
Kennisnet en SIVON, twee toonaangevende ict-dienstverleners in het onderwijs, adviseren Nederlandse scholen en onderwijsinstellingen om het gebruik van social media te heroverwegen. Dit advies volgt op een recente uitspraak van de Autoriteit Persoonsgegevens, waarin wordt gesteld dat onderwijsinstellingen alleen sociale media mogen gebruiken als er duidelijke afspraken zijn gemaakt met de betreffende bedrijven over de verwerking van gegevens van studenten en docenten.
In de praktijk blijkt het voor scholen lastig om de juiste toestemming te verkrijgen van leerlingen, ouders en medewerkers, en om concrete afspraken te maken met socialemediabedrijven. Bovendien is er een ethisch vraagstuk met betrekking tot het gebruik van persoonsgegevens van minderjarigen voor commerciële doeleinden door deze bedrijven.
Kennisnet en SIVON raden onderwijsinstellingen aan om alternatieven te overwegen, zoals schoolapplicaties, oudercommunicatieplatforms en de eigen schoolwebsite, om informatie over onderwijsactiviteiten te delen. Mochten scholen toch besluiten social media te blijven gebruiken, dan moet er aan strenge AVG-eisen worden voldaan, waaronder het verkrijgen van toestemming en het maken van goede contractafspraken. Het zal voor veel scholen een uitdaging zijn om aan al deze voorwaarden te voldoen.
EU Commissie: Meta's 'betaal of accepteer'-advertentiemodel in strijd met Digital Markets Act
De Europese Commissie heeft Meta geïnformeerd over haar voorlopige bevindingen dat het recent gelanceerde 'betaal of accepteer'-advertentiesysteem niet voldoet aan de vereisten van de Digital Markets Act (DMA). Volgens de Commissie dwingt deze binaire keuze gebruikers om in te stemmen met het combineren van hun persoonlijke gegevens en biedt het hen geen minder gepersonaliseerde maar gelijkwaardige versie van Meta's sociale netwerken.
Deze bevindingen volgen op de uitspraak van het Europees Hof van Justitie in juli 2023, waarin werd bepaald dat Meta zich niet kan beroepen op legitiem belang om gebruikersgegevens voor advertenties te gebruiken. Sindsdien rekent Meta een maandelijks bedrag aan gebruikers die niet willen worden gevolgd. Privacyexperts benadrukken dat dit gebruikers juist beperkt in hun keuzevrijheid.
De Europese Raad voor gegevensbescherming (EDPB) kwam in april tot eenzelfde conclusie en stelde dat grote onlineplatforms in de meeste gevallen niet kunnen voldoen aan de vereisten voor geldige toestemming als ze gebruikers slechts een binaire keuze bieden tussen instemmen met gegevensverwerking voor gedragsgerichte advertenties of het betalen van een vergoeding.
De bevindingen van de Commissie kunnen gevolgen hebben voor alle bedrijven die soortgelijke 'betaal of accepteer'-systemen hanteren, aangezien de DMA-definitie van toestemming verwijst naar de AVG. Meta heeft nu de mogelijkheid om de bevindingen te beoordelen en schriftelijk te reageren. Het onderzoek zal binnen 12 maanden na de opening van de procedure op 25 maart 2024 worden afgerond. Bij niet-naleving kan de Commissie boetes opleggen tot 10% van de wereldwijde omzet van een poortwachter, of tot 20% bij herhaalde overtredingen van de DMA.
Uber krijgt privacyboete van 10 miljoen euro
De Autoriteit Persoonsgegevens (AP) heeft Uber een boete van 10 miljoen euro opgelegd wegens onduidelijkheid over de verwerking van persoonlijke gegevens van Europese chauffeurs. Volgens de AP gaf Uber onvoldoende openheid over de bewaartermijn van deze gegevens en naar welke landen buiten Europa de informatie werd doorgestuurd. Daarnaast was het voor chauffeurs moeilijk om inzage te krijgen in hun persoonlijke gegevens, ondanks dat bedrijven volgens Europese privacyrichtlijnen verplicht zijn deze informatie op aanvraag te delen.
De boete kwam er na een klacht namens 170 Franse chauffeurs. Het Europese hoofdkantoor van Uber staat in Amsterdam. Hierdoor valt Uber onder de jurisdictie van de Nederlandse toezichthouder als het gaat om de naleving van de Europese privacywetgeving. Hoewel Uber inmiddels maatregelen heeft genomen om zaken te verbeteren, heeft het bedrijf toch bezwaar gemaakt tegen de boete. Uber stelt dat het de gemelde incidenten heeft opgelost en blijft werken aan het optimaliseren van de afhandeling van dataverzoeken. De AP benadrukt het belang van transparantie over de verwerking van persoonsgegevens voor de bescherming van privacy.
Banken herzien gezamenlijk antiwitwasproject vanwege nieuwe Europese wetgeving
Vijf Nederlandse banken, waaronder ABN Amro, ING en Rabobank, hebben besloten hun gezamenlijke initiatief ter bestrijding van witwassen, genaamd Transactie Monitoring Nederland (TMNL), te herzien. Deze beslissing is genomen naar aanleiding van nieuwe Europese wetgeving, de Anti-Money Laundering Regulation (AMLR), die in juli 2027 van kracht wordt. TMNL, opgericht in 2020, had als doel om ongebruikelijke transacties op te sporen door transactiedata van zakelijke klanten te delen tussen de deelnemende banken. De nieuwe wetgeving beperkt echter de mogelijkheid om klantdata uit te wisselen, tenzij er een hoog risico op witwassen is geconstateerd. Als gevolg hiervan zal TMNL de bestaande activiteiten afbouwen en het project aanpassen aan de nieuwe Europese regels. De herziene werkwijze moet nog worden goedgekeurd door de Autoriteit Persoonsgegevens en De Nederlandsche Bank (DNB). Het is nog onduidelijk hoeveel van de zestig medewerkers van TMNL hun baan zullen behouden na de herziening van het project.
Jaarverslag Autoriteit Persoonsgegevens 2023
Algoritmes en discriminatie spelen nog altijd een hoofdrol in het werk van de Autoriteit Persoonsgegevens, zo blijkt uit het jaarverslag 2023. Ondanks de lessen uit de toeslagenaffaire, gingen verschillende overheidsorganisaties door met het gebruik van ondoordachte algoritmes voor fraudedetectie. De AP benadrukt het belang van waakzaamheid voor de risico's van algoritmes en kunstmatige intelligentie (AI) om de rechtsstaat en grondrechten te beschermen.
Als coördinerend toezichthouder op algoritmes en AI werkt de AP samen met andere toezichthouders, ook in het toezicht op bigtechbedrijven. Een voorbeeld hiervan is de boete van 345 miljoen euro die de Ierse toezichthouder oplegde aan TikTok na onderzoek door de AP.
De AP constateert dat de overheid bij eigen privacyschendingen steeds vaker private onderzoeksbureaus inhuurt, terwijl de AP als onafhankelijke toezichthouder de aangewezen partij is. De AP pleit voor versterking van haar 'waakhondfunctie' door verhoging van het jaarbudget naar minimaal 100 miljoen euro.
Door een gebrek aan personeel blijven klachten en tips langer liggen. In 2023 ontving de AP 12.300 klachten en tips, 6% minder dan in 2022. Het personeelstekort bedroeg eind 2023 ongeveer 37 fte. De AP kreeg zelf ook te maken met datalekken en ontving 110 klachten over de eigen organisatie.
Vinted beboet voor schenden privacyrechten gebruikers
De Litouwse privacytoezichthouder (SDPI) heeft een boete van ruim 2 miljoen euro opgelegd aan Vinted, een digitaal platform voor tweedehands kleding. Het bedrijf informeerde gebruikers onvoldoende over de verwerking van persoonsgegevens en reageerde niet correct op verzoeken tot inzage of verwijdering van data. Hiermee heeft Vinted de AVG overtreden.
Het onderzoek naar Vinted is gestart naar aanleiding van klachten uit verschillende Europese landen, waaronder Nederland. De Autoriteit Persoonsgegevens (AP) ontvangt regelmatig klachten over het bedrijf en heeft deze overgedragen aan de Litouwse toezichthouder, omdat het Europese hoofdkantoor van Vinted in Litouwen gevestigd is.
Tijdens het onderzoek is vastgesteld dat Vinted klanten ten onrechte vroeg om een specifieke reden voor het verwijderen van persoonsgegevens en zelf geen duidelijke uitleg gaf bij het weigeren van een verwijderverzoek. Daarnaast zou Vinted 'shadow blocking' hebben toegepast, waarbij gebruikers zonder hun medeweten werden uitgesloten van het platform na overtreding van de gedragsregels. Deze maatregel belemmerde gebruikers in het uitoefenen van hun privacyrechten onder de AVG.
De Litouwse toezichthouder heeft nauw samengewerkt met de AP en de Franse en Poolse toezichthouders binnen het samenwerkingsmechanisme van de Europese privacytoezichthouders (EDPB) voor de beoordeling van de klachten en de totstandkoming van het boetebesluit.
Europese Commissie daagt EDPS voor de rechter vanwege gebruik Microsoft 365
In een opmerkelijke juridische strijd heeft de Europese Commissie een rechtszaak aangespannen tegen de Europese Toezichthouder voor Gegevensbescherming (EDPS). De aanleiding is een onderzoek van de EDPS waaruit bleek dat het gebruik van Microsoft 365 door de Commissie in strijd zou zijn met verschillende bepalingen van de AVG.
De EDPS had de Commissie in maart 2024 opgedragen om de gegevensstromen naar Microsoft en haar dochterondernemingen buiten de EU/EER op te schorten. Daarnaast moest de Commissie haar verwerkingsactiviteiten uiterlijk 9 december 2024 in overeenstemming brengen met de regelgeving.
De Commissie betwist deze bevindingen echter en eist met de rechtszaak de nietigverklaring van het EDPS-besluit. Volgens de Commissie heeft de EDPS ten onrechte aangenomen dat er directe overdrachten van persoonsgegevens plaatsvonden tussen de Commissie en Microsoft Corporation in de Verenigde Staten. Bovendien zouden de opgelegde corrigerende maatregelen in strijd zijn met het evenredigheidsbeginsel.
De uitkomst van deze zaak kan verstrekkende gevolgen hebben, aangezien de Commissie lang niet de enige instelling is die gebruikmaakt van Microsoft 365-diensten. Als het Hof de uitspraak van de EDPS handhaaft, kan dit grote implicaties hebben voor veel organisaties op zowel EU- als nationaal niveau.
