Het was weer een bewogen op het gebied van privacy. Met de komst van de Algemene verordening gegevensbescherming (AVG) vanaf 25 mei 2018 staan gegevensbescherming en privacy meer dan ooit in de schijnwerpers: nieuwe wet-en regelgeving, ontwikkelingen in de rechtspraak, big data, Tinder, Uber en NS. Ontzettend veel nieuws om over te bloggen dus, daarom blikken we graag samen terug op (bijna) al het moois dat dit jaar in de wereld van privacy is gebeurd.
Natuurlijk heeft de Autoriteit Persoonsgegevens (AP) ook dit jaar niet stilgezeten. Zoals gebruikelijk heeft de AP ook begin dit jaar de belangrijkste thema’s voor 2017 gepresenteerd. Hierbij geeft zij aan dat het een belangrijk jaar is, omdat dit het laatste jaar is dat de Wet bescherming persoonsgegevens geldt. Naast de nieuwe privacywetgeving zijn de belangrijkste thema’s voor de AP in 2017: profiling, bijzondere persoonsgegevens en beveiliging van persoonsgegevens. En dat laatste is met name een aandachtspunt, want zelfs de Tweede Kamer is niet veilig voor ransomware.
De AP lijkt daad bij woord te voegen en heeft begin dit jaar aangekondigd onderzoek te gaan doen naar de beveiliging van gegevens bij de Data & Analyse-afdeling van de Belastingdienst. En als het om privacy gaat, komt de belastingdienst er niet zo snel mee weg. Op 24 februari 2017 oordeelde de Hoge Raad in drie zaken dat de belastingdienst geen gebruik mag maken van foto’s die zijn vastgelegd met ANPR-camera’s voor de controle van rittenregistraties in het kader van privégebruik van een auto van de zaak. Voor het gebruik van deze beelden door de belastingdienst bestaat namelijk geen toereikende wettelijke grondslag, waardoor de belastingdienst inbreuk maakt op de privacy.
En ook Instagram wordt niet ontzien: begin september kwam Instagram met een statement waarin verklaard werd dat hackers middels een lek toegang hebben gekregen tot de e-mailadressen en telefoonnummers van Instagram-gebruikers. Daarnaast heeft minister Plasterk van Binnenlandse Zaken begin dit jaar opnieuw zijn zorgen geuit wat betreft het huidige kwetsbare identificatiesysteem DigiD.
Ten aanzien van bijzondere persoonsgegevens is de AP een onderzoek gestart naar het gebruik van het burgerservicenummer (BSN) in btw-nummers van zzp-ers. Reden voor het onderzoek is volgens de AP verzoeken van zzp-ers die de AP heeft ontvangen om zich over dit onderwerp uit te spreken.Als het om bijzonder persoonsgegevens gaat, roept de AP scholen op om zorgvuldig om te gaan met beeldmateriaal van leerlingen. Reden hiervoor is de vele vragen die de AP krijgt over scholen die foto’s van leerlingen online publiceren en het oordeel van AP dat assessmentbureau BrainCompass in strijd met de wet bijzondere persoonsgegevens verwerkt.
Verder heeft de AP samen met de privacytoezichthouders uit Beieren, Frankrijk, Hongarije, Slovenië, Spanje en het Verenigd Koninkrijk onderzoek gedaan naar de verwerking van persoonsgegevens door Microsoft via het besturingssysteem Windows 10. Uit het onderzoek blijkt dat Microsoft, met de nieuwste versie van Windows, persoonsgegevens van de gebruikers in strijd met de wet verwerkt. Ook heeft de AP geoordeeld dat het verwerken van persoonsgegevens van prostituees door de gemeente Den Haag strijdig is met de Wbp.
Natuurlijk besteedt ook de AP aandacht aan de AVG. Eind mei kondigde de AP daarom aan om elke week antwoord te geven op de meestgestelde vragen over de AVG. In dat verband staat de AP ook nog heel wat te wachten. Niet gek dat de AP drie keer zo groot moet worden.
De AVG is op 25 mei 2016 in werking getreden. Alle organisaties, in zowel de publieke en private sector, worden geacht om vanaf die datum hun bedrijfsvoering met de AVG in overeenstemming te brengen en krijgen daarvoor tot 25 mei 2018 de tijd, vanaf dan geldt nog maar één privacywet in de hele EU. De AVG introduceert nieuwe regels en verplichtingen ten opzichte van de huidige privacywetgeving. Zo zijn organisaties die persoonsgegevens willen verwerken onder bepaalde omstandigheden verplicht om een Privacy Impact Assessment uit te voeren of om een privacy officer aan te stellen, gelden er ruimere informatieverplichtingen en dienen organisaties een register van verwerkingsactiviteiten bij te houden. Daarnaast is het toepassingsbereik van de AVG ruimer, waardoor er nieuwe regels zijn over de leidende toezichthouder, betrokkenen meer rechten krijgen ten aanzien van hun persoonsgegevens (waaronder het recht op dataportabiliteit) en er hogere boetes kunnen worden opgelegd. Weet jij al wat je moet doen om jouw bedrijf AVG klaar te maken?
Op 10 januari 2017 heeft de Europese Commissie (hierna: de Commissie) een voorstel tot een verordening op het gebied van privacy en elektronische communicatie gepubliceerd, die de ePrivacyrichtlijn moet vervangen. Met het voorstel beoogt de Commissie de veiligheid van digitale communicatiediensten te vergroten door te voorzien in een hoog beschermingsniveau van de privacy van gebruikers van dergelijke diensten. Er komen onder andere nieuwe cookieregels en regels met betrekking tot spam. Daarnaast heeft voorgestelde verordening ten doel om voor consistentie te zorgen met de AVG. De Europese privacytoezichthouders, verzameld in de zogeheten Artikel 29-werkgroep, hebben zich inmiddels gebogen over het voorstel van de Commissie en daarover een opiniedocument van welgeteld 35 pagina’s gepubliceerd.
Over cookies gesproken: uit een steekproef van de Consumentenbond onder twintig gezondheidswebsites bleek dat de websites die informatie bieden over ziekten en verslavingen de cookiewetgeving overtreden. De betreffende websites laten zonder toestemming van de websitebezoekers advertentiebedrijven meekijken met het zoekgedrag van consumenten en informeren niet goed genoeg over de cookies.
De Eerste Kamer heeft dit jaar ingestemd met de nieuwe Wet op de inlichtingen- en veiligheidsdiensten (Wiv). Deze zogenaamde ‘aftapwet’ geeft de inlichtingendiensten meer mogelijkheden om meer soortengegevens grootschalig te onderscheppen en gaat per 1 januari 2018 in werking.
Waar Facebook sinds de overname in 2014 de persoonsgegevensvan Whatsapp en Facebook, zoals beloofd, nog strikt gescheiden hield, begon Facebook sinds de zomer van 2016 de gegevens tussen de partijen te delen.Dit gebeurde door de gebruikersvoorwaarden aan te passen en er werd geen expliciete toestemming gevraagd. De Duitse Autoriteit gegevensbescherming besloot toen dan ook direct dat in Duitsland de verwerking niet rechtmatig werd geacht. Facebook moest hiervoor een boete van 3 miljoen euro betalen.
Facebook laat haar gebruikers nog wel in het duister tasten als het gaat om de herkomst van (een deel van de) informatie. Naast de gegevens die Facebook verkrijgt over gebruikers bij het gebruik van haar eigen dienst, blijkt Facebook namelijk veel meer informatie over haar gebruikers te kopen bij externe dataproviders, bijvoorbeeld over hun inkomen, restaurants die ze bezoeken en zelfs het aantal creditcards in hun portemonnee. Daarmee is ons offline leven ook voor Facebook geen geheim meer. Met deze handelswijze kan Facebook nog gedetailleerdere gebruikersprofielen opstellen waarmee nog gerichter kan worden geadverteerd.
Nog meer Facebook-nieuws: de Duitse rechter heeft het Hof van Justitie van de EU gevraagd of een websitehouder die de Facebook like-knop op zijn website plaatst, waardoor persoonsgegevens van websitebezoekers worden doorgegeven aan Facebook, beschouwd kan worden als de verantwoordelijke in de zin van de privacywetgeving.
Het hoogtepunt voor Facebook dit jaar was toch wel het uitgebreide onderzoek van de AP: de AP heeft na onderzoek geconcludeerd dat Facebook in strijd handelt met Nederlandse privacywetgeving bij het gebruik van persoonsgegevens voor advertentiedoeleinden door gebruikers niet of onvoldoende te informeren over de verwerking van hun persoonsgegevens bij het tonen van gerichte advertenties.
Het recht om vergeten te worden bestaat al drie jaar. Inmiddels heeft de Nederlandse rechter meerdere interessante uitspraken gedaan. In meerdere uitspraken stond dezelfde vraag centraal: of het tonen van zoekresultaten door Google een verwerking van strafrechtelijke persoonsgegevens behelst. Strafrechtelijke persoonsgegevens kwalificeren als bijzondere persoonsgegevens in de zin Wbp. Voor de verwerking van bijzondere persoonsgegevens geldt een strenger regime dan voor gewone persoonsgegevens.Het uitgangspunt van de Wbp is dat bijzondere persoonsgegevens niet mogen worden verwerkt, tenzij een van de wettelijke uitzonderingen van toepassing is. Zoals nu geformuleerd, schiet het absolute verbod daarom te kort en ook de AVG lost dit probleem niet op. Een weeffout dus.
Verder heeft de Hoge Raad dit jaar voor het eerst uitspraak gedaan over het recht om vergeten te worden: een zoekmachine moet een verwijderingsverzoek in beginsel altijd honoreren, tenzij er sprake is van bijzondere omstandigheden die het weigeren van zo’n verzoek rechtvaardigen.
Zelfs het Hof van Justitie van de EU heeft besloten dat bestuurders van vennootschappen in beginsel geen beroep kunnen doen op het recht om vergeten te worden ten aanzien van gegevens die over hen zijn opgenomen in he tvennootschapsregister. Verder mag het Europese Hof zich weer uit gaan laten over het recht om vergeten te worden. De Franse Raad van State heeft namelijk een aantal prejudiciële vragen voorgelegd aan het Hof. De vragen hebben te maken met de reikwijdte van het verwijderen van zoekresultaten. De vragen worden gesteld naar aanleiding van een zaak tussen de Franse privacywaakhond Commission Nationale De l'Informatique et des Libertés (CNIL) en Google die al langere tijd speelt.
Tot slot gaat ook Google, in navolging van Facebook,voortaan aangeven of nieuws nep is of niet. De fact checks die ten grondslag liggen aan het bovenstaande, worden uitgevoerd door externe partijen. De aankondiging in dit kader kwam al in oktober 2016, maar wordt nu dus voor het eerst in Nederland uitgerold.
Meer artikelen van SOLV Advocaten
