Jaaroverzicht privacy

Het was weer een bewogen op het gebied van privacy. Met dekomst van de Algemene verordening gegevensbescherming (hierna: “AVG”) vanaf 25mei 2018 staan gegevensbescherming en privacy meer dan ooit in deschijnwerpers: nieuwe wet-en regelgeving, ontwikkelingen in de rechtspraak(hieren hier),bigdata, Tinder,Uberen NS.Ontzettend veel nieuws om over te bloggendus, daarom blikken we graag samen terug op (bijna) al het moois dat dit jaarin de wereld van privacy is gebeurd.

AutoriteitPersoonsgegevens

Natuurlijk heeft de Autoriteit Persoonsgegevens (hierna:“AP”) ook dit jaar niet stilgezeten. Zoals gebruikelijk heeft de AP ook begindit jaar de belangrijkste thema’svoor 2017 gepresenteerd. Hierbij geeft zij aan dat het een belangrijk jaar is,omdat dit het laatste jaar is dat de Wet bescherming persoonsgegevens geldt. Naastde nieuwe privacywetgeving zijn de belangrijkste thema’s voor de AP in 2017:profiling, bijzondere persoonsgegevens en beveiliging van persoonsgegevens. Endat laatste is met name een aandachtspunt want zelfs de TweedeKamer is niet veilig voor ransomware.

De AP lijkt daad bij woord te voegen en heeft begin dit jaaraangekondigd onderzoek te gaan naar de beveiliging van gegevens  bij de Data & Analyse-afdeling van de Belastingdienst.En als het om privacy gaat, komt de belastingdienst er niet zo snel mee weg. Op24 februari 2017 oordeelde de Hoge Raad in drie zaken dat de belastingdienst geengebruik mag maken van foto’s die zijn vastgelegd met ANPR-camera’svoor de controle van rittenregistraties in het kader van privégebruik van eenauto van de zaak. Voor het gebruik van deze beelden door de belastingdienstbestaat namelijk geen toereikende wettelijke grondslag waardoor debelastingdienst inbreuk maakt op de privacy.

En ook Instagram wordt niet ontzien: begin september kwam Instagrammet een statement waarin verklaard werd dat hackers middels een lek toeganghebben gekregen tot de e-mailadressen en telefoonnummers van Instagramgebruikers. Daarnaast heeft  minister Plasterkvan Binnenlandse Zaken begin dit jaar opnieuw zijn zorgen geuit wat betreft hethuidige kwetsbare identificatiesysteem DigiD.

Ten aanzien van bijzondere persoonsgegevens is de AP eenonderzoek gestart naar het gebruik van het burgerservicenummer (BSN) in btw-nummersvan zzp-ers. Reden voor het onderzoek is volgens de AP verzoeken vanzzp-ers die de AP heeft ontvangen om zich over dit onderwerp uit te spreken.Als het om bijzonder persoonsgegevens gaat roept de AP roept scholenop om zorgvuldig om te gaan met beeldmateriaal van leerlingen. Reden hiervooris de vele vragen die de AP krijgt over scholen die foto’s van leerlingenonline publiceren en heeft de AP geoordeeld dat assessmentbureau BrainCompassin strijd met de wet bijzondere persoonsgegevens verwerkt.

Verder heeft de AP samen met de privacytoezichthouders uitBeieren, Frankrijk, Hongarije, Slovenië, Spanje en het Verenigd Koninkrijkonderzoek gedaan naar de verwerking van persoonsgegevens door Microsoftvia het besturingssysteem Windows 10. Uit het onderzoek blijkt dat Microsoft,met de nieuwste versie van Windows, persoonsgegevens van de gebruikers instrijd met de wet verwerkt. Ook heeft de AP geoordeeld dat het verwerkenvan persoonsgegevens van prostitueesdoor de gemeente Den Haag strijdig is met de Wbp.

Natuurlijk besteedt ook de AP aandacht aan de AVG. Eind meikondigde de AP daarom aan om elke week antwoordte geven op de meestgestelde vragen over de AVG. In dat verband staat de AP ook nog heel wat tewachten. Niet gek ook dat de AP driekeer zo groot moet worden.

Nieuwe wetgeving

AVG

De AVG is op 25 mei 2016 in werking getreden. Alleorganisaties, in zowel de publieke en private sector, worden geacht om vanafdie datum hun bedrijfsvoering met de AVG in overeenstemming te brengen enkrijgen daarvoor tot 25 mei 2018 de tijd, vanaf dan geldt nog maar éénprivacywet in de hele EU. De AVG introduceert nieuwe regels en verplichtingenten opzichte van de huidige privacywetgeving. Zo zijn organisaties diepersoonsgegevens willen verwerken onder bepaalde omstandigheden verplicht omeen PrivacyImpact Assessment uit te voeren of om een privacy officer aan te stellen. geldener ruimere informatieverplichtingenen dienen organisaties een registervan verwerkingsactiviteiten bij te houden. Daarnaast is  het toepassingsbereik van de AVG ruimerwaardoor er nieuwe regels zijn over de leidendetoezichthouder, krijgen betrokkenen meer rechten ten aanzien van hunpersoonsgegevens, waaronder het rechtop dataportabiliteiten kunnen er hogere boetes wordenopgelegd. Weetjij al wat je moet doen om jouw bedrijf AVG klaar te maken?

e-Privacy

Op 10 januari 2017 heeft de Europese Commissie (hierna: deCommissie) een voorstel tot een verordening op het gebied van privacy enelektronische communicatie gepubliceerd, die de ePrivacyrichtlijn moetvervangen. Met het voorstel beoogt de Commissie de veiligheid van digitalecommunicatiediensten te vergroten door te voorzien in een hoogbeschermingsniveau van de privacy van gebruikers van dergelijke diensten. Erkomen onder andere nieuwecookieregels en regels met betrekking tot spam. Daarnaast heeftvoorgestelde verordening ten doel om voor consistentie te zorgen met de AVG. DeEuropese privacytoezichthouders, verzameld in de zogeheten Artikel 29 Werkgroep,hebben zich inmiddels gebogen over het voorstel van de Commissie en daarovereen opiniedocumentvan welgeteld 35 pagina’s gepubliceerd.

Over cookies gesproken: uit een steekproef van deConsumentenbond onder twintig gezondheidswebsitesbleek dat de websites die informatie bieden over ziekten en verslavingen de cookiewetgevingovertreden. De betreffende websites laten zonder toestemming van dewebsitebezoekers advertentiebedrijven meekijken met het zoekgedrag vanconsumenten en informeren niet goed genoeg over de cookies.

Aftapwet

De Eerste Kamer heeft dit jaar ingestemd met de nieuwe Wetop de inlichtingen- en veiligheidsdiensten (Wiv). Deze zogenaamde‘aftapwet’ geeft de inlichtingendiensten meer mogelijkheden om meer soortengegevens grootschalig te onderscheppen en gaat per 1 januari 2018 in werking.

Facebook

Waar Facebook sinds de overname in 2014 de persoonsgegevensvan Whatsapp en Facebook, zoals beloofd, nog strikt gescheiden hield, begonFacebook sinds de zomer van 2016 de gegevens tussen de partijen te delen.Dit gebeurde door de gebruikersvoorwaarden aan te passen en er werd geenexpliciete toestemming gevraagd. De Duitse Autoriteit gegevensbeschermingbesloot toen dan ook direct dat in Duitsland de verwerking niet rechtmatig werdgeacht. Facebook moest hiervoor een boetevan 3 miljoen euro betalen.

Facebooklaat haar gebruikers nog wel in het duister tasten als het gaat om de herkomstvan (een deel van de) informatie. Naast de gegevens die Facebook verkrijgt overgebruikers bij het gebruik van haar eigen dienst, blijkt Facebook namelijk veelmeer informatie over haar gebruikers te kopen bij externe dataproviders,bijvoorbeeld over hun inkomen, restaurant die ze bezoeken en zelfs het aantalcreditcards in hun portemonnee. Daarmee is ons offline leven ook voor Facebookgeen geheim meer. Met deze handelswijze kan Facebook nog gedetailleerderegebruikersprofielen opstellen waarmee nog gerichter kan worden geadverteerd.

Nog meer Facebook-nieuws: de Duitse rechter heeft het Hofvan Justitie van de EU gevraagd of een websitehouder die de Facebooklike-knop op zijn website plaatst, waardoor persoonsgegevens vanwebsitebezoekers worden doorgegeven aan Facebook, beschouwd kan worden als deverantwoordelijke in de zin van de privacywetgeving.

Het hoogtepunt voor Facebook dit jaar was toch wel hetuitgebreide onderzoek van de AP: de AP heeft na onderzoek geconcludeerd datFacebook in strijd handelt met Nederlandse privacywetgeving bij het gebruik vanpersoonsgegevens voor advertentiedoeleindendoor gebruikers niet of onvoldoende te informeren over de verwerking van hunpersoonsgegevens bij het tonen van gerichte advertenties.

Google: het recht omvergeten te worden en nepnieuws

Het recht om vergeten te worden bestaat al driejaar. Inmiddels heeft de Nederlandse rechter meerdere interessanteuitspraken gedaan. In meerdere uitspraken stond dezelfde vraag centraal: of hettonen van zoekresultaten door Googleeen verwerking van strafrechtelijkepersoonsgegevens behelst. Strafrechtelijke persoonsgegevens kwalificerenals bijzondere persoonsgegevens in de zin Wbp. Voor de verwerking van bijzonderepersoonsgegevens geldt een strenger regime dan voor gewone persoonsgegevens.Het uitgangspunt van de Wbp is dat bijzondere persoonsgegevens niet mogenworden verwerkt, tenzij een van de wettelijke uitzonderingen van toepassing is.Zoals nu geformuleerd, schiet het absolute verbod daarom te kort en ook de AVGlost dit probleem niet op. Een weeffoutdus.

Verder heeft de HogeRaad dit jaar voor het eerst uitspraak gedaan over het recht om vergeten teworden: een zoekmachine moet een verwijderingsverzoek in beginsel altijdhonoreren, tenzij er sprake is van bijzondere omstandigheden die het weigerenvan zo’n verzoek rechtvaardigen.

Zelfs het Hof van Justitie van de EU heeft besloten dat bestuurdersvan vennootschappen in beginsel geen beroep kunnen doen op het recht omvergeten te worden ten aanzien van gegevens die over hen zijn opgenomen in hetvennootschapsregister. Verder mag het Europese Hof zich weer uit gaan latenover het recht om vergeten te worden. De Franse Raad van State heeft namelijkeen aantal prejudiciëlevragen voorgelegd aan het Hof. De vragen hebben te maken met de reikwijdtevan het verwijderen van zoekresultaten. De vragen worden gesteld naaraanleiding van een zaak tussen de Franse privacywaakhond Commission Nationalede l’Informatique et des Libertés (CNIL) en Google die al langere tijd speelt.

Tot slot gaat ook Google, in navolging van Facebook,voortaan aangeven of nieuws nep is of niet.De fact checks die ten grondslag liggen aan het bovenstaande, worden uitgevoerddoor externe partijen. De aankondiging in dit kader kwam al in oktober 2016,maar wordt nu dus voor het eerst in Nederland uitgerold.

SOLV ACADAMY

Met trots konden wij jullie dit jaar informeren dat wij zijngestart met SOLVAcademy. SOLV Academy biedt intensieve, specialistische opleidingen metbetrekking tot privacy voor in-house counsels, advocaten en andere juristen. Deopleidingen worden gegeven door topdocenten en vinden plaats in kleine groepen(maximaal 8 personen) waardoor er veel ruimte is voor interactie. Op verzoekkan er ook op locatie, bijvoorbeeld in-house bij uw organisatie, gedoceerd worden.Indien u geïnteresseerd bent, kunt u zich via deze website aanmelden. Wij zullen udan de beschikbare cursusdata toesturen.