Nieuws uit Brussel

Het hart van de Europese privacywetgeving wordt ‘verlamd’ door het disfunctioneren van de Ierse toezichthouder, concludeert de Ierse burgerrechtenorganisatie ICCL in een rapport dat vandaag verschijnt. Liefst 98 procent van alle grote, grensoverschrijdende zaken die op het Ierse bordje terechtkomen, blijft onopgelost, blijkt uit de analyse van de organisatie.

Veel internationale techbedrijven hebben hun Europese hoofdkwartier in Dublin, waaronder reuzen als Google, Facebook, Apple en TikTok. Maar liefst 21 procent van alle door andere Europese toezichthouders doorgeschoven klachten komt in Ierland terecht.

Van de door ICCL onderzochte 164 grote zaken tussen mei 2018 en mei 2021 werden er uiteindelijk slechts vier aangepakt (2 procent). Hiermee scoort Ierland zowel procentueel als absoluut verreweg het slechtst van alle toezichthouders...

...Volgens Frederik Zuiderveen Borgesius, hoogleraar ict & recht aan de Radboud Universiteit, is er naast het gebrek aan budget, nog een extra probleem bij de Ieren: ze zijn te aardig. ‘De cultuur daar is nog steeds; ga een kop koffie drinken. Twintig jaar geleden werkte dat goed, toen de regels over persoonsgegevens nog nieuw waren.’ Maar inmiddels hebben bedrijven al lang ervaring met die regels. Zuiderveen Borgesius: ‘Ze geven tonnen uit aan de duurste advocaten. Als ze iets fout doen, is het vaak bewust.’ 

Vorig jaar pleitte de hoogleraar tegenover de Tweede Kamer al voor de komst van een centrale Europese toezichthouder voor de grote techbedrijven als oplossing voor de gebrekkige handhaving door de Ieren, iets wat ICCL ook wil. Deze zou dan naast de nationale waakhonden moeten bestaan, met een budget en specialisten om tegenwicht te kunnen bieden tegen de diepe zakken van de techbedrijven.

In reactie op het rapport noemt Europarlementariër Kim van Sparrentak (GroenLinks) de komst van een Europese toezichthouder als aanvulling op de nationale ‘een heel goed idee’. ‘Iedereen ziet dat het op deze manier niet werkt. Wat in heel Europa speelt, moet ook op Europees niveau worden aangepakt.’ Het budget- en capaciteitsprobleem kan volgens haar goed worden opgelost door de techbedrijven zelf te laten betalen voor het toezicht, net zoals nu al bij banken gebeurt. Ze hoopt dat dit idee het haalt in de komende Europese techwetgeving Digital Services Act.

Alles bij de bron; Volkskrant


 

De Ierse privacytoezichthouder DPC heeft WhatsApp een boete van 225 miljoen euro opgelegd wegens het overtreden van de AVG. De populaire chatapp voldoet volgens de toezichthouder niet aan de eisen die de Europese privacywetgeving stelt aan transparantie en informatievoorziening, zoals het uitleggen van hoe de persoonlijke informatie van mensen wordt gebruikt. Het gaat dan onder andere om informatie over de gegevensverwerking tussen WhatsApp en andere Facebookbedrijven.

In juli kreeg Amazon van de Luxemburgse privacytoezichthouder nog een AVG-boete van 746 miljoen euro opgelegd, de hoogste boete die tot nu toe onder de Europese privacywetgeving is uitgedeeld.

De bekende privacyactivist Max Schrems heeft op de boete gereageerd. Hij stelt dat de boete van 225 miljoen euro nog altijd slechts 0,08 procent van de wereldwijde omzet van de Facebook Group is. De AVG staat privacytoezichthouders toe om een boete van vier procent van de wereldwijde omzet op te leggen. "Dit laat zien dat de DPC nog altijd zeer disfunctioneel is", aldus Schrems. De activist voegt toe dat WhatsApp in beroep gaat en het dan ook nog jaren kan duren voordat er een boete wordt betaald.

Alles bij de bron; Security


 

EU-instanties mogen geen vaccinatiebewijs van hun personeel eisen, zo stelt de Europese privacytoezichthouder EDPS. Het verzamelen van geaggregeerde geanonimiseerde vaccinatiegegevens van het personeel om risico-assessments voor de werkvloer uit te kunnen voeren zijn wel toegestaan. Dat stelt de privacytoezichthouder in een advies voor EU-instanties die aan een "terug naar werk" strategie werken (pdf)...

...Sommige instanties overwegen om het controleren van de immuniteit of infectiestatus van het personeel of bezoekers een onderdeel te maken van hun "terug naar werk" strategie.

De Europese privacytoezichthouder benadrukt dat instanties zich hierbij aan bestaande Europese wetgeving moeten houden en de impact op de rechten en vrijheden van individuen zo klein mogelijk moeten maken. Zo voldoet het eisen van een vaccinatiebewijs niet aan de regels. "Gegeven de huidige vrijwillige aard van coronavaccinaties in de EU, en zonder afbreuk te doen aan het gebruik van een coronabewijs waar gepast, vindt de EDPS dat er geen juridische basis voor EU-instanties is om een vaccinatiebewijs van individuen te eisen."

Ook het overwegen om een coronatoegangsbewijs te verplichten kan alleen als er eerst naar alternatieve oplossingen is gekeken die een kleinere impact op de privacy van het personeel hebben. Zo wordt het handmatig controleren van een testresultaat of coronabewijs, zonder verdere registratie of vastlegging, niet als het verwerken van persoonlijke data gezien. Wanneer er met qr-codes wordt gewerkt of de resultaten worden vastgelegd gelden er wel regels uit de EU-verordening.

Alles bij de bron; Security


 

Beslissingen worden steeds vaker deels of volledig geautomatiseerd genomen met algoritmen en kunstmatige intelligentie. Om het gebruik van kunstmatige intelligentie in goede banen te leiden heeft de Europese Commissie een wetsvoorstel gepubliceerd dat gaat over kunstmatige intelligentie. Dé aangewezen plek om ervoor te zorgen dat ook (deels) geautomatiseerde beslissingen transparant, gemotiveerd en controleerbaar zijn, dachten wij. Maar daar dacht de Europese Commissie anders over. Voor mensen die door uitkomsten van kunstmatige intelligentie geraakt kunnen worden, wordt in het wetsvoorstel geen enkele mogelijkheid geboden om die uitkomsten te begrijpen of te controleren. Mensen mogen hooguit in sommige gevallen geïnformeerd worden over het feit dat ze te maken hebben met kunstmatige intelligentie (artikel 52 van het wetsvoorstel).

Er wordt wel wat geregeld voor gebruikers van AI-systemen, zoals gemeenten of banken die kunstmatige intelligentie afnemen van een ontwikkelaar. Zij mogen wel weten hoe het systeem tot uitkomsten is gekomen, maar kunnen alsnog niet afdwingen dat ze ook kunnen controleren of een beslissing juist en rechtmatig is genomen.

Hiermee gaat de Europese Commissie op een ontzettend laag beschermingsniveau zitten, die geen recht doet aan ons mensenrechtelijk kader. Dit terwijl de Commissie juist de uitgesproken wens heeft met deze wet fundamentele rechten goed te beschermen en te zorgen voor een mensgerichte benadering bij het gebruik van kunstmatige intelligentie. We hebben daarom de Europese Commissie opgeroepen daad bij woord te voegen en voor een passend beschermingsniveau te zorgen.

Hoewel we vanuit een juridisch en ethisch oogpunt transparantie, motivering en controleerbaarheid onmisbaar vinden, zijn we ons er ook van bewust dat die behoefte nog niet aansluit bij de technische werkelijkheid. Vind in een algoritme maar terug welke van de honderden 'beslisbomen' doorslaggevend was voor de beslissing. Bij kunstmatige intelligentie, waarin een systeem (deels) zelfstandig aan de slag gaat met data, is het nog moeilijker grip te krijgen op wat er binnen het systeem gebeurt. 

We vinden daarom dat algoritmen en kunstmatige intelligentie niet gebruikt mogen worden als onvoldoende openheid gegeven kan worden over de totstandkoming, juistheid en rechtmatigheid van de beslissingen die daaruit komen. 

We hebben daarom de Nederlandse ministeries en de Europese Commissie opgeroepen ervoor te zorgen dat er goede wetgeving komt voor het gebruik van kunstmatige intelligentie, waarin recht wordt gedaan aan onze rechten en vrijheden. Het goede nieuws is dat zowel de ministeries als de Europese Commissie zich daar al op vastgelegd hebben. Nu moeten ze wel nog hun beloften inlossen.

Lees hier onze positie die we hebben ingediend bij de Europese Commissie

Alles bij de bron; Bits-of-Freedom


 

De Luxemburgse privacytoezichthouder CNPD heeft Amazon wegens het overtreden van de Algemene verordening gegevensbescherming (AVG) een boete van 746 miljoen euro opgelegd. Dat heeft Amazon in een document aan de Amerikaanse beurswaakhond SEC bekendgemaakt.

Amazon noemt de AVG-boete ongegrond en is van plan om beroep aan te tekenen. 

Alles bij de bron; Security


 

Artikel 17 van de auteursrechtrichtlijn van de EU, waarin de uploadfilterverplichting is opgenomen, hoeft niet te worden geschrapt. Dat adviseert advocaat-generaal Henrik Saugmandsgaard Øe bij het Europese Hof van Justitie. Hij toont zich wel kritisch ten aanzien van de reikwijdte van de filterverplichting.

Saugmandsgaard Øe stelt dat alleen duidelijk inbreukmakende content geblokkeerd mag worden, of zoals dat in het Engels wordt omschreven: manifestly infringing content. Er mag geen sprake zijn van het blokkeren van bewerkt auteursrechtelijk materiaal. Hierbij gaat het om gebruik van auteursrechtelijk bescherm materiaal waar bijvoorbeeld iets nieuws aan is toegevoegd. Het kan dan gaan om een parodie of het gebruik van quotes om het werk te beoordelen.

Platforms mogen alleen content detecteren of blokkeren die identiek is aan of het equivalent is van het beschermde materiaal van de rechthebbende. In alle minder duidelijke situaties, zoals korte fragmenten die worden gebruikt of bewerkt materiaal, waarbij de uitzonderingen op het auteursrecht ook voorzienbaar zijn, mag er geen sprake zijn van een preventief blokkeermechanisme. Daarmee is volgens de advocaat-generaal het risico op overblokkering geminimaliseerd.

Hiermee lijkt Saugmandsgaard Øe ook in te gaan tegen de lijn van de Europese Commissie, die nog niet zo lang geleden met een aantal richtsnoeren kwam over hoe de auteursrechtrichtlijn moet worden uitgelegd. 

Als de Hof van Justitie de lezing van Saugmandsgaard Øe overneemt, betekent dat dat veel of zelfs alle lidstaten terug naar de tekentafel moeten, schrijft Communicia. Dat is een Europese organisatie die uit onderzoekers en activisten bestaat en als doel heeft om het publieke domein te beschermen. De lidstaten moeten dan waarschijnlijk hun wetgeving aanpassen, omdat de door Saugmandsgaard Øe geadviseerde standaard van bescherming van gebruikers en de grondrechten niet overeenkomt met de lagere standaard zoals die in de omgezette richtlijn staat.

Nederland was tegenstander van artikel 17, maar heeft uiteindelijk wel als eerste de regels omgezet, waarbij in feite de tekst van de richtlijn een-op-een is overgenomen. Dat betekent dat de standaard van bescherming te laag is of in ieder geval niet in voldoende mate overeenstemt met de visie van de advocaat-generaal. Vooralsnog is onbekend of het Hof daadwerkelijk aansluit bij de advocaat-generaal. Waarschijnlijk is over een paar maanden bekend of het advies wordt overgenomen.

Alles bij de bron; Tweakers


 

Margrethe Verstager, de Eurocommissaris voor Mededinging, waarschuwt dat Apple terughoudend moet zijn met de inzet van zijn privacy- en veiligheidsmaatregelen als concurrentiemiddel. Volgens haar gebruikt de techgigant zijn regels om het downloaden van software van buiten de App Store tegen te houden en concurrenten buiten te sluiten. 

Vestager, die ook uitvoerend vicevoorzitter van de Europese Commissie is, diende vorig jaar een voorstel in onder de naam Digital Markets Act (DMA). Als het voorstel wet wordt, dan moet het voor iOS-gebruikers mogelijk zijn om apps van buiten de App Store te downloaden. Dit wordt ook wel side-loading genoemd.

Apple is fel tegen het wetsvoorstel van de Eurocommissaris. Tijdens een videoconferentie in juni zei Apple-topman Tim Cook dat delen van het wetsvoorstel "niet in het belang van de gebruiker" zijn. Het toestaan van side-loading zou volgens de topman de privacy en veiligheid van de gebruikers schaden.

"Privacy en veiligheid zijn voor iedereen van het grootste belang. Ik denk niet dat de privacy of veiligheid van gebruikers op het spel staat wanneer zij een andere appwinkel gebruiken", zei de Deense politica tegen Reuters.

Alles bij de bron; NU


 

De Raad heeft gesproken over de voortgangsrapportages over de Data Governance Act en de herziening van de Netwerk- en Informatiebeveiliging (NIB) richtlijn. Vervolgens heeft een beleidsdebat plaatsgevonden over de mededeling over het Digitaal Kompas 2030.

Tevens stond de Raad stil bij verschillende diversenpunten. Het voorzitterschap en de Europese Commissie hebben de Raad geïnformeerd over lopende wetsvoorstellen waaronder de ePrivacyverordening, de Roamingverordening, de Artificial Intelligence Act en het raamwerk voor een Europese digitale identiteit....

....Diversenpunten ePrivacyverordening

Het voorzitterschap informeerde de Raad over de laatste stand van zaken ten aanzien van de onderhandelingen over de ePrivacyverordening. Uw Kamer is geïnformeerd over de ontwikkeling omtrent dit dossier in het verslag van de informele Raad voor Concurrentievermogen van 22 maart 2021.

Op 22 mei jl. heeft de eerste triloog met het Europees Parlement plaatsgevonden. Het Europees Parlement heeft tijdens deze triloog onderhandeling aangegeven niet lager te willen gaan met de privacy-standaarden dan de huidige ePrivacy-richtlijn. Verder heeft het Europees Parlement een aantal aandachtspunten aangegeven.

Het Europees Parlement wenst geen further processing van persoonsgegevens, een verbod op tracking (in ieder geval voor minderjarigen) en meer voorzichtigheid met het gebruik van data voor onderzoek....

....Diversenpunten raamwerk voor een Europese digitale identiteit

Commissaris Breton gaf een presentatie over het voorstel voor een verordening voor een raamwerk voor een Europese digitale identiteit. Het voorstel herziet de huidige eIDAS-verordening, die beoogt met wederzijdse erkenning van elektronische identificatiemiddelen (eID's) en harmonisatie van vertrouwensdiensten veilige en betrouwbare elektronische transacties tussen burgers, bedrijven en overheden te bevorderen.

In vervolg hierop wordt de markt voor elektronische vertrouwensdiensten verder versterkt en worden alle lidstaten verplicht om een ‘European Digital Identity Wallet’ te ontwikkelen. Daarbij krijgen gebruikers zelf de regie om hun identiteitsgegevens en andere digitale gegevens en documenten te delen bij transacties in het publieke en het private domein.

De Commissaris gaf aan dat lidstaten worden uitgenodigd om te werken aan een gezamenlijke toolbox om voorbereidingen te treffen voor een succesvolle uitrol. Uw Kamer zal binnenkort geïnformeerd worden over het kabinetsstandpunt via een BNC-fiche.

Alles bij de bron; Rijksoverheid


 

De aanbevelingen van de European Data Protection Board (EDPB) voor de doorgifte van persoonsgegevens naar landen buiten de EU (derde landen) zijn definitief. De aanbevelingen zijn opgesteld om het bedrijfsleven meer duidelijkheid geven, nadat het Europese Hof van Justitie het EU-VS Privacy Shield ongeldig verklaarde in de zogeheten Schrems II-uitspraak.

Het gaat om een aangepaste versie van de aanbevelingen, nadat onder meer bedrijven en brancheverenigingen reageerden op het eerder opgestelde concept

Doorgifte van persoonsgegevens naar de VS en de meeste andere landen buiten de EU kan nog wel op basis van modelcontracten (ook wel standaardcontractbepalingen of standard contractual clauses genoemd). Begin juni heeft de Europese Commissie een nieuw modelcontract gepubliceerd.

De voorwaarde voor doorgifte op basis van een modelcontract is dat een bedrijf voldoende aanvullende maatregelen neemt om de veiligheid van de doorgifte te waarborgen. Dat is de eigen verantwoordelijkheid van dat bedrijf. Is er na nader onderzoek nog steeds enige twijfel over de veiligheid van doorgifte van persoonsgegevens? Dan adviseert de AP om de doorgifte te stoppen en data in de EU te houden.

Als de VS persoonsgegevens beter gaan beschermen, kunnen er nieuwe afspraken komen tussen de EU en de VS, vergelijkbaar met het Privacy Shield. De doorgifte van persoonsgegevens naar de VS zal dan makkelijker en veiliger zijn. De Europese Commissie is dan ook in onderhandeling met de VS over nieuwe afspraken.

Alles bij de bron; AP


 

De EU-lidstaten hebben zich achter besluiten geschaard om het belemmeren van gegevensstromen na het vertrek van Groot-Brittannië uit de EU te voorkomen. De Britse waarborgen voor de bescherming van de data zouden voldoende zijn.

De stap betekent dat bedrijven en organisaties persoonsgegevens van de EU naar Groot-Brittannië mogen blijven doorgeven. De goedkeuring opent de weg naar vrije gegevensstromen voor langere tijd, schrijft Netzpolitik. Volgens de site moet het college van Eurocommissarissen nu nog officiële goedkeuring geven, maar dat zou een formaliteit zijn.

Netzpolitik wijst er op dat het EU-Hof vorig jaar een streep haalde door het Privacy Shield-verdrag tussen de EU en de VS. Het EU-Hof wees daarbij op 'beperkingen bij de bescherming van persoonsgegevens die voortkomen uit de Amerikaanse wetgeving over de toegang tot en het gebruik van die data door Amerikaanse autoriteiten', en benadrukte de verregaande surveillanceprogramma's in de VS.

Volgens critici doen de Britse inlichtingendiensten GCHQ en MI6 niet onder voor de Amerikanen, wat onder andere uit de Snowden-onthullingen zou blijken. Ook het Europees Hof van Justitie en het Europees Hof voor de Rechten van de Mens spraken zich uit over massaal verzamelen van communicatie- en locatiegegevens van gebruikers van een telecommunicatiedienst door het GCHQ. Dit is in strijd met grondrechten, zo luidde het oordeel.

Alles bij de bron; Tweakers


 

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha