Happy Data Protection day! Een uitstekende dag om eens terug te kijken naar vorig jaar.

28 januari 2019, oftewel Data Protection Day! Het doel van deze dag is om meer bewustzijn omtrent privacy te creëren en om best practices te promoten. Dit is een uitstekende dag om eens terug te kijken naar vorig jaar.

Het jaar 2018 is overduidelijk een belangrijk jaar voor privacy en gegevensbescherming: de Algemene Verordening Gegevensbescherming is van kracht geworden! Daarnaast zijn de grote technologiebedrijven zelden zo vaak in het nieuws geweest en meer mensen dan ooit tevoren zijn bewust geworden van privacy en hun bijbehorende rechten.

Wat is nu allemaal ook alweer gebeurd in 2018?

Hieronder worden enkele van de belangrijkste punten behandeld.

In januari start de Autoriteit Persoonsgegevens (AP) de voorlichtingscampagne over de ‘nieuwe’ Europese privacywet. De campagne heet “Privacy gaat iedereen wat aan” en moet mensen bewuster maken van hun privacyrechten, maar moet ook organisaties praktische hulp bieden door helder uit te leggen hoe zij zich aan de nieuwe wetgeving houden.[1]

Hoe effectief deze campagne is blijkt later in het jaar als uit een onderzoek van KPMG naar voren komt dat “vrijwel alle Nederlanders” op de hoogte zijn van het bestaan van de AVG. Echter, de meerderheid blijkt ook niet bekend te zijn met de rechten die de wetgeving aan hen toekent[2]. Een tweeslachtige uitkomst! 

In februari doet het Europese Hof voor de Rechten van de Mens uitspraak over de vraag of de werkgever in de computer mag rondkijken van de werknemer. De werknemer in kwestie had op diens werkcomputer pornografische bestanden staan en vervalste documenten die naar derde partijen waren gestuurd. De werkgever had dit ontdekt, maar de werknemer stelde dat zijn recht op eerbiediging van zijn privéleven was geschonden. Het Hof ging daar echter niet in mee.[3] Het Hof stelt dat de werkgever rechtmatig de computer had doorzocht, omdat desbetreffende bestanden niet duidelijk als ‘privé’ waren aangemerkt. Daarnaast heeft de werkgever ook een belang erbij dat de werkcomputer niet gebruikt wordt voor handelingen die niet in lijn zijn met de contractuele arbeidsverplichtingen.

In maart komt Facebook onder vuur te liggen vanwege het Cambridge Analytica-schandaal.[4] Het laatstgenoemde bedrijf heeft via een applicatie (een quiz-app) bij Facebook de persoonsgegevens van ruim 87 miljoen gebruikers te pakken weten te krijgen en deze informatie, naar het lijkt, onder andere ingezet ter beïnvloeding van de Amerikaanse verkiezingen en de Brexit-campagne. Zuckerberg (en Facebook) worden publiekelijk aan de tand gevoeld en moet zelfs voor het Amerikaanse Congres verschijnen om kritische vragen te beantwoorden. Daarnaast plaatst hij een brief in Britse kranten ter excuses en stelt hij dat er een “breach of trust” is en dat Facebook het beter zal moeten gaan doen.

In maart wordt in de Verenigde Staten ook de CLOUD Act van toepassing.[5] Deze wetgeving verplicht Amerikaanse aanbieders van elektronische communicatiediensten om gegevens te bewaren en onder omstandigheden te verstrekken op verzoek van de Amerikaanse overheid. Een dergelijke opvraging kan plaatsvinden wanneer er een verdenking is van een ‘ernstig misdrijf’ en de opvraging moet gaan om een specifiek individu. Met de invoering van deze wetgeving is in één klap een rechtszaak beëindigd (Digital Rights Ireland) en kan de Verenigde Staten onder omstandigheden toegang krijgen tot informatie op servers buiten het territorium van Amerikaanse aanbieders van elektronische communicatiediensten.

Toename in meldingen van datalekken

Naast deze enorme ophef komt de AP met het nieuws dat er in 2017 10.000 datalekmeldingen zijn geweest. Het grootste deel van deze datalekken betreft het versturen van persoonsgegevens naar de verkeerde ontvanger en het kwijtraken van USB-sticks en laptops.[6]

In mei is het dan eindelijk zover! De AVG is vanaf 25 mei 2018 van kracht geworden en hiermee is wel het één en ander veranderd. Ten eerste hebben mensen van wie persoonsgegevens worden verwerkt nieuwe rechten erbij gekregen: het recht om vergeten te worden en het recht op dataportabiliteit. Ten tweede hebben organisaties een grotere verantwoordingsplicht gekregen dan voorheen. Zij moeten kunnen aantonen dat zij persoonsgegevens verwerken op een transparante, veilige en verantwoorde wijze door middel van passende technische en organisatorische maatregelen. Ten derde hoeven verwerkingen niet meer gemeld te worden bij de AP, maar moeten deze zelf worden bijgehouden door de organisatie in een verwerkingsregister.

Verder moeten organisaties in bepaalde gevallen een Data Protection Impact Assessment (DPIA) verrichten en moeten een aantal categorieën organisaties verplicht een Functionaris Gegevensbescherming (FG) aanstellen.

In dezelfde maand, terwijl het Cambridge Analytica-schandaal nog niet uit het nieuws verdwenen is, stelt Zuckerberg dat Facebook de privacystandaarden zal veranderen en de AVG wereldwijd als standaard zal hanteren ter bescherming van persoonsgegevens.[7]

In juni kondigt de AP aan dat het gaat controleren of aan de verplichtingen van de AVG wordt voldaan. Eerst wordt bij overheidsinstanties gekeken of zij een FG hebben aangesteld. Uit deze controle blijkt dat slechts minder dan 4% geen FG heeft aangesteld. Verder waarschuwt de AP voor organisaties die stellen dat zij een AVG-keurmerk kunnen afgeven, die door de AP is goedgekeurd. De AP stelt dat ze geen AVG-keurmerk hebben goedgekeurd en ook nog geen instelling heeft geaccrediteerd om dergelijke keurmerken af te geven.[8] Oppassen dus

Na één maand AVG maakt de AP in juni ook bekend dat al 600 mensen een klacht hebben ingediend. Veel van deze klachten gaan over de moeilijk- of onmogelijkheid voor mensen om hun persoonsgegevens te laten verwijderen. Daarnaast klagen mensen dat zij hun persoonsgegevens niet mogen inzien van organisaties.[9]

Of deze aanpassingen voldoende zijn, wordt door de AP in het midden gelaten. Verwezen wordt naar de nieuwe verplichting onder de AVG om samen te werken met andere betrokken en de leidende toezichthouder in grensoverschrijdende zaken.  

Privacyonderzoek naar de Belastingdienst 

Niet alleen multinationals komen echter in het nieuws, ook de Nederlandse Belastingdienst wordt bevraagd door de AP. De AP heeft duidelijk gemaakt dat de Belastingdienst geen wettelijke basis heeft om het BSN te gebruiken in het BTW-identificatienummer van ZZP-ers. De Belastingdienst moet zo snel mogelijk deze verwerking beëindigen. Desalniettemin blijkt aan het einde van het jaar dat de Belastingdienst dit nog niet heeft doorgevoerd. De AP heeft nog net voor het einde van het jaar een verwerkingsverbod ingesteld voor de Minister van Financiën, die op 1 januari 2020 ingaat.[11] 

Verder komen regeringspartijen VVD en D66 met een voorstel om een ‘digitale kluis’ voor burgers aan te maken met daarin persoonlijke gegevens als adres, leeftijd en burgerlijke staat. Om zodoende efficiëntie te verbeteren bij overheidsinstanties en fouten te verminderen. Dit is, volgens Bits of Freedom, een slecht idee, want zoveel gegevens op één plek vraagt volgens hen om problemen.

In dezelfde maand beslist een Duitse rechter dat de sociale media-account van een persoon te erven is. Hier gaat het om een moeder die de account van haar overleden dochter wil inzien, vanwege haar vermoeden dat het geen zelfmoord was maar dat iets anders is voorgevallen. De rechter stelt dat de Facebook-account eigendom is van de dochter en dus kan de moeder deze account erven van haar dochter.[12]

Augustus vliegt voorbij zonder al te veel privacygerelateerde nieuwtjes. Wel komt naar buiten dat de EDPS kritisch is over het plan van de Europese Commissie om het opnemen van de vingerafdruk op alle Europese identiteitskaarten verplicht te maken.[13] Desondanks is de Europese Commissie het wel eens geworden over dit plan tegen het einde van het jaar en is het voorstel naar het Europese Parlement gegaan ter goedkeuring. Als het Parlement het goedkeurt, dan hebben EU-landen twee jaar de tijd om het besluit door te voeren.

In september wordt door Uber voor 148 miljoen dollar een schikking getroffen met alle Amerikaanse staten, omdat zij in 2016 een groot datalek had verzwegen.[14] De AP doet ook mee met het handhaven naar aanleiding van het datalek dat Uber heeft verzwegen en legt een boete op van 600.000 euro.[15] Ook deelt de AP een ander mooi getal mee; er zijn deze maand 8000 FGs officieel aangemeld.[16]

Verder is men aan de andere kant van de oceaan in het Witte Huis ook bezig met AVG-achtige wetgeving op federale schaal. In Californië heeft men eerder in het jaar namelijk privacywetgeving van kracht laten worden, maar hier zijn de technologiebedrijven niet blij mee. Zij hopen met haar input, en wat lobbykracht, dat de federale wetgeving minder strikt is dan de Californische wetgeving.[17]

Aan het einde van oktober maakt de AP bekend dat nog een groot overheidsorgaan een last onder dwangsom opgelegd krijgt, namelijk het UWV. Het UWV heeft een last onder dwangsom opgelegd gekregen van 150.000 euro per maand met een maximum van 900.000 euro, omdat het werkgeversportaal van het UWV niet voldoende beveiligd is. Dit portaal heeft geen meerfactorauthenticatie, terwijl dit systeem wel zeer gevoelige persoonsgegevens kan bevatten, zoals ziekteverzuimgegevens.

Verder heeft het Europese Hof van Justitie een uitspraak gewezen ten aanzien van de toegang van nationale autoriteiten tot persoonsgegevens die een serviceprovider heeft. In de uitspraak stellen zij dat het toegang krijgen tot de naam en het adres van de vermeende dader geen serieuze inbreuk is op de fundamentele rechten, omdat geen gedetailleerde conclusies daaruit getrokken kunnen worden over het privéleven van de betrokkene. Daarnaast is deze inbreuk bij uitzondering toegestaan op basis het doel om misdrijven te voorkomen, te onderzoeken, te detecteren en te vervolgen.[18]

Aan de andere kant van de wereld, in Nieuw-Zeeland, heeft de overheid besloten dat de beveiliging van elektronische apparatuur een obstakel is voor een andere vorm van veiligheid. Bij de grensbewaking kunnen ‘verdachte reizigers’ voortaan verzocht worden om hun smartphone of laptop te ontgrendelen om deze zodoende te doorzoeken en zelfs data van het apparaat te kopiëren. Wie weigert kan een boete tot 5000 Nieuw-Zeelandse dollars verwachten.[19]

In november geeft de AP uitleg over het gebruik van camera’s voor het beveiligen van eigendom. Dit deden zij naar aanleiding van een specifieke situatie, waarin omwonenden hadden geklaagd over een beveiligingscamera van een bedrijf. In desbetreffende situatie was er volgens de AP sprake van gerechtvaardigd belang, want het beveiligen kon niet op een andere minder nadelige wijze. Verder waren mensen van de openbare weg alleen zichtbaar vanaf de voeten, maakte de eigenaar bekend dat er camera’s hingen en werden de opgeslagen beelden na twee weken gewist. Dat bleek voldoende te zijn voor de AP.[20]

Daarnaast gaf de AP meer guidance ten aanzien van het gebruik van Wifi-tracking en maakten ze duidelijk dat dit volgens de AP nagenoeg altijd een no-go is. Alleen wanneer de tracking strikt noodzakelijk is en wanneer er geen minder ingrijpende alternatieven aanwezig zijn, is Wifi-tracking geoorloofd.

Niet alleen werd er uitleg gegeven, maar er werden ook aanbevelingen gedaan, over onder andere het verwerkingsregister, een heikel punt voor veel organisaties. Een van de aanbevelingen was dat het oneindig bewaren van persoonsgegevens zonder enige motivering niet mag volgens de AVG en dat organisaties in hun verwerkingsregister moeten benoemen hoe lang zij de persoonsgegevens willen bewaren. Daarnaast moet duidelijk zijn waar persoonsgegevens worden opgeslagen en in welk bestand dat precies gebeurt.[21]

Als de spreekwoordelijke kers op de taart van november is er ook een relevante nieuwe wetgeving van kracht geworden, namelijk de Wet Beveiliging Netwerk- en Informatiesystemen (WBNI). Deze wetgeving leidt ertoe dat organisaties, die worden bestempeld als essentiële diensten en digitale dienstverleners, een meldplicht hebben bij ernstige cyberincidenten. Melden zij niet, dan kunnen zij een boete krijgen van enkele miljoenen euro’s.[22] 

De maand december kan natuurlijk niet zonder enkele statistieken. De AP brengt naar buiten dat bijna 10.000 mensen een privacyklacht hebben ingediend bij hen, waarvan de meeste klachten (32%) gaan over een schending van een zogenoemd recht van betrokkenen, zoals het recht op inzage en het recht op verwijdering.[23] Daarnaast staat deze maand, en vele maanden ervoor en ook daarna, in het teken van Brexit. De AP heeft aangegeven snel duidelijkheid te willen geven over de mogelijke gevolgen voor de juiste naleving van de privacyregels bij het vertrek van het Verenigd Koninkrijk uit de EU. Mocht alles goed gaan, dan zal er meer duidelijkheid zijn in het begin van dit jaar.

In het kort is 2018 als volgt samen te vatten:

  • De AVG is van kracht geworden. Daarmee is er op het gebied van privacy en gegevensbescherming veel veranderd en deze wetgeving lijkt navolging te krijgen want andere landen zijn aan de slag gegaan om privacywetgeving van hetzelfde niveau te kunnen introduceren;
  • Grote technologiebedrijven en Nederlandse overheidsorganen zijn in het nieuws, omdat zij onvoldoende maatregelen hebben genomen ter bescherming van persoonsgegevens; en
  • De AP geeft gedurende het gehele jaar informatie ter verduidelijking van de nieuwe wetgeving, zodat organisaties beter kunnen inschatten wat van hen wordt verwacht. 

Er is natuurlijk nog veel meer gebeurd in 2018, zoals de eerste vergaderingen van de European Data Protection Board en hun guidance over bijvoorbeeld de territoriale reikwijdte.

Mocht u vragen hebben over één van de onderwerpen die we hier hebben aangesneden of een andere vraag over privacy of de bescherming van persoonsgegevens? Stuurt u deze vragen vooral naar ons op!

 

[1] ‘AP start campagne over nieuwe Europese privacywet’, Security.nl, 29-01-2018. (https://www.security.nl/posting/547941/AP+start+campagne+over+nieuwe+Europese+privacywet)

[2] ‘Nederlanders nauwelijks op de hoogte van nieuwe rechten privacywet AVG’, NU.nl, 16-10-2018. (https://www.nu.nl/tech/5515520/nederlanders-nauwelijks-hoogte-van-nieuwe-rechten-privacywet-avg.html)

[3] G.Hervey, ‘Europe’s human rights court rules in favor of employer in French privacy case’, Politico.eu, 22-02-2018. (https://www.politico.eu/article/europes-human-rights-court-rules-in-favor-of-employer-in-french-privacy-case/)

[4] ‘Politicians worldwide raise questions about Cambridge Analytica’s use of Facebook data’, Politico.eu, 18-03-2018. (https://www.politico.eu/article/europes-human-rights-court-rules-in-favor-of-employer-in-french-privacy-case/)

[5] De CLOUD Act was opgenomen aan het einde van een ruim 2000 pagina tellende wetgeving over de begroting. (T.Hatmaker, ‘As the CLOUD Act sneaks into the omnibus, big tech butts heads with privacy advocates’, TechCrunch, 22-03-2018.)

[6] ’10.000 datalekken gemeld in 2017’, Autoriteit Persoonsgegevens, 29-03-2018. (https://autoriteitpersoonsgegevens.nl/nl/nieuws/10000-datalekken-gemeld-2017)

[7] M.Scott, ‘Zuckerberg: Facebook will apply EU data privacy standards globally’, Politico.eu, 04-05-2018. (https://www.politico.eu/article/zuckerberg-facebook-eu-data-will-apply-privacy-standards-globally/)

[8] ‘AP waarschuwt voor misleidend AVG-keurmerk’, Autoriteit Persoonsgegevens, 07-06-2018. (https://autoriteitpersoonsgegevens.nl/nl/nieuws/ap-waarschuwt-voor-misleidend-avg-keurmerk)

[9] ‘Ruim 600 mensen dienen privacyklacht in bij AP’, Autoriteit Persoonsgegevens, 29-06-2018. (https://www.politico.eu/article/zuckerberg-facebook-eu-data-will-apply-privacy-standards-globally/)

[10] ‘Facebook past beleid aan na onderzoek AP’ Autoriteit Persoonsgegevens, 03-07-2018. (https://autoriteitpersoonsgegevens.nl/nl/nieuws/facebook-past-beleid-aan-na-onderzoek-ap)

[11] ‘Belastingdienst mag BSN niet meer gebruiken in btw-identificatienummer’, Autoriteit Persoonsgegevens, 19-12-2018. (https://autoriteitpersoonsgegevens.nl/nl/nieuws/facebook-past-beleid-aan-na-onderzoek-ap)

[12] P. Oltermann, ‘Facebook told to grant grieving mother access to daughter’s account’, The Guardian, 12-07-2018. (https://www.theguardian.com/world/2018/jul/12/facebook-told-grant-grieving-mother-access-daughters-account)

[13] ‘EU-privacywaakhond hekelt verplichte vingerafdruk op ID-kaart’, Security.nl, 15-08-2018. (https://www.theguardian.com/world/2018/jul/12/facebook-told-grant-grieving-mother-access-daughters-account)

[14] ‘Uber schikt voor 148 miljoen dollar in rechtszaak rond verzwegen datalek’, NU.nl, 26-09-2018. (https://www.theguardian.com/world/2018/jul/12/facebook-told-grant-grieving-mother-access-daughters-account)

[15] ‘AP legt Uber boete op voor te laat melden datalek’, Autoriteit Persoonsgegevens, 27-11-2018. (https://autoriteitpersoonsgegevens.nl/nl/nieuws/ap-legt-uber-boete-op-voor-te-laat-melden-datalek)

[16] ‘8.000 privacyfunctionarissen aangemeld bij de Autoriteit Persoonsgegevens’, Security.nl, 17-09-2018. (https://www.security.nl/posting/577369/8_000+privacyfunctionarissen+aangemeld+bij+Autoriteit+Persoonsgegevens)

[17] D. Shepardon, ‘Tech companies back U.S. privacy law if it preempts California’s’, Reuters, 26-09-2018. (https://www.reuters.com/article/us-usa-tech-congress/tech-companies-back-u-s-privacy-law-if-it-preempts-californias-idUSKCN1M62TE)

[18] ‘Criminal Offences that are not particularly serious may justify access to personal data retained by providers of electronic communications services provided that that access does not constitute a serious infringement of privacy’, Court of Justice of the European Union, Press Release No 141/18, 02-10-2018.

[19] ‘Nieuw-Zeeland kan reizeigers grens vragen pincode smartphone’, NU.nl, 01-10-2018. (https://www.nu.nl/internet/5490143/nieuw-zeeland-kan-reizigers-grens-vragen-pincode-smartphone.html)

[20] ‘AP doet uitspraak over gebruik camera’s voor beveiligen’, Security.nl, 01-11-2018. (https://www.security.nl/posting/585327/AP+doet+uitspraak+over+gebruik+camera%27s+voor+beveiligen+eigendom)

[21] ‘AP doet aanbevelingen voor registers van verwerkingen’, Autoriteit Persoonsgegevens, 28-11-2018. (https://autoriteitpersoonsgegevens.nl/nl/nieuws/ap-doet-aanbevelingen-voor-registers-van-verwerkingen)

[22] ‘Wet beveiliging netwerk- en informatiesystemen van kracht’, Security.nl, 09-11-2018. (https://www.security.nl/posting/586431/Wet+beveiliging+netwerk-+en+informatiesystemen+van+kracht)

[23] ‘Bijna 10.000 mensen dienen privacyklacht in bij Autoriteit Persoonsgegevens’, Autoriteit Persoonsgegevens, 13-12-2018. (https://autoriteitpersoonsgegevens.nl/nl/nieuws/bijna-10000-mensen-dienen-privacyklacht-bij-autoriteit-persoonsgegevens)

 

 

 

Ka Wing Falkena Legal Consultant