Onze visie op nieuws en actualiteiten in ICT-recht. Wilt u onze blogs maandelijks in uw mailbox ontvangen? Meldt u zich dan aan voor onze nieuwsbrief
Viewing entries tagged
AVG
In de meeste online formulieren wordt gevraagd om een aanspreektitel als ‘de heer’ of ‘mevrouw’ te selecteren. Is dit echter een schending van de privacy en de AVG als het gaat om zoiets als de aankoop van een online vervoersticket? Deze vraag lag voor bij het Europese Hof van Justitie. Het antwoord zal u misschien verrassen.
Afgelopen maand stonden de Staat (het Ministerie van Justitie en Veiligheid) en SoftwareONE in de rechtbank tijdens een kortgeding over een aanbestedingsprocedure rondom standaardprogrammatuur. SoftwareONE maakte bezwaar tegen de voorwaarden die het Ministerie stelde op het gebied van de AVG, waaronder onbeperkte aansprakelijkheid voor resellers. De rechtbank gaat mee in het bezwaar van SoftwareONE en noemt deze voorwaarden disproportioneel.
De Europese privacytoezichthouders hebben een advies gepubliceerd over het verantwoord inzetten van AI-modellen in het kader van de Europese privacywetgeving. Streven naar anonimiteit lijkt de belangrijkste manier om AI-modellen te kunnen ontwikkelen én te gebruiken. In deze blog leest u over het advies van de European Data Protection Board.
Europese organisaties ontvangen geregeld verzoeken van niet-Europese autoriteiten om data met hen te delen. Bijvoorbeeld op het gebied van strafrecht, de controle van financiële transacties of de goedkeuring van nieuwe medicatie. De European Data Protection Board heeft nu guidelines opgesteld om aan te geven hoe organisaties met dergelijke verzoeken om moeten gaan. Bottom line? Als er persoonsgegevens bij betrokken zijn, mag data alleen onder hele strenge voorwaarden de EU uit.
Aan het einde van het jaar blikken we graag met u terug op de belangrijkste ontwikkelingen in ICT-recht. Dit was met recht het jaar van AI en de AI Act, de eerste AI-wetgeving ter wereld. Daarnaast waren onze ogen gericht op de NIS2-richtlijn voor cybersecurity, die in Nederland nog altijd geïmplementeerd moet worden in de Cyberbeveiligingswet. In ons jaaroverzicht zetten we alle belangrijke ontwikkelingen van 2024 op een rij.
In juli 2023 werd het Data Privacy Framework goedgekeurd door de Europese Commissie. Dit adequaatheidsbesluit voor veilige gegevensuitwisseling met de Verenigde Staten is de opvolger van het nietig verklaarde Privacy Shield. Nu ruim een jaar later heeft de eerste evaluatie van het Data Privacy Framework plaatsgevonden. De uitkomsten zijn overwegend positief, maar er zijn ook verbeterpunten gevonden. Belangrijkste aandachtspunt? De toegang tot persoonsgegevens door Amerikaanse inlichtingendiensten.
Het Europese Hof heeft uitspraak gedaan in een zaak over een Duitse online apotheek die onder meer via Amazon medicijnen zonder recept verkocht. Het Hof concludeert dat er ook dan sprake kan zijn van de verwerking van bijzondere persoonsgegevens, zoals vermeld in de AVG. Een belangrijke uitspraak, omdat nu blijkt dat er eerder sprake kan zijn van bijzondere persoonsgegevens dan velen aannemen. Let op! Bij bijzondere persoonsgegevens horen ook strengere eisen voor de verwerking ervan.
Persoonsgegevens verwerken? Alleen op basis van een geldige grondslag, aldus de AVG. Geen van de 6 grondslagen roept echter zoveel vragen op als het gerechtvaardigd belang. Na diverse rechtszaken over deze grondslag, werd er binnen Europa aangedrongen op meer duidelijkheid over de uitleg ervan. Die duidelijkheid is er nu. Een uitspraak van het Europees Hof toont aan dat een zuiver commercieel belang wél een gerechtvaardigd belang kan zijn en de European Data Protection Board komt met nieuwe guidelines over het gerechtvaardigd belang.
AI-chatbots als ChatGPT en Copilot winnen nog steeds aan populariteit. Zeker op de werkvloer. Werknemers ontdekken massaal hoe hun werk eenvoudiger wordt met behulp van chatbots. Dit is echter niet zonder risico’s. Voor je het weet worden er persoonsgegevens ingevoerd en wordt de werkgever geconfronteerd met een datalek.
Tracking cookies liggen onder vuur. Zonder expliciete toestemming mogen ze niet geplaatst worden, maar naleving is in de praktijk niet altijd makkelijk. Zeker niet als het gaat om third-party tracking cookies. Een recente uitspraak in een kort geding toont aan dat cookie-aanbieders als Microsoft en LinkedIn hun verantwoordelijkheid moeten nemen.
Vorig jaar werd een hostingprovider getroffen door een cyberaanval. De provider meldt het datalek tijdig bij de Autoriteit Persoonsgegevens (AP) en schakelt een derde partij in voor nader onderzoek. So far, so good. Als de AP echter het onderzoeksrapport opvraagt, komt er onvoldoende reactie van de hostingprovider. Daarom klopt de toezichthouder aan bij het securitybedrijf dat het onderzoek uitvoerde en legt zelfs een last onder dwangsom op. Dat mag zomaar niet, aldus de rechtbank…
De Autoriteit Persoonsgegevens heeft deze maand haar jaarlijkse rapportage datalekken gepubliceerd. Grootste punt van zorg? Organisaties schatten de risico’s van datalekken in veel gevallen te laag in, waardoor de risico’s voor betrokkenen toenemen. Hoe dat zit en wanneer betrokkenen geïnformeerd moeten worden, bespreken we in deze blog.
De Autoriteit Persoonsgegevens controleert organisaties de komende tijd op het naleven van de regels rondom het recht op inzage. De toezichthouder laat weten regelmatig klachten te krijgen over organisaties die niet of te laat reageren op een inzageverzoek van een betrokkene. Hoe zit het ook alweer met het inzagerecht én heeft uw organisatie het inzageproces helemaal op orde?
De Autoriteit Persoonsgegevens heeft onlangs een hoge boete opgelegd aan creditcardbedrijf ICS. Reden? Het ontbreken van een wettelijk verplichte DPIA. Dit instrument om privacyrisico’s in kaart te brengen wordt nog weleens door bedrijven over het hoofd gezien. Daarom lichten we deze casus toe en delen we de ins & outs van de DPIA nog een keer met u.
De AVG blijft vragen oproepen in de praktijk. Wanneer is iemand bijvoorbeeld verwerkingsverantwoordelijke? Is een contract of verwerkersovereenkomst daarvoor noodzakelijk? Het Europese Hof van Justitie heeft onlangs een verhelderend antwoord gegeven op deze vragen. Wat blijkt? Er is vrij weinig nodig om een partij als verwerkingsverantwoordelijke aan te merken.
De tijd dat u een phishing mail kon herkennen aan slecht taalgebruik of overduidelijk neppe logo’s is voorbij. Cybercriminelen worden steeds beter in het verpakken van hun geïnfecteerde bijlage of valse link. Dat vormt een risico voor uw organisatie. Hoe u phishing ontdekt en wat u ertegen kunt doen, leest u in deze blog.
Eind oktober liet de European Data Protection Board aan Meta weten dat het moet stoppen met het aanbieden van gepersonaliseerde advertenties in Europa. Reden? Onrechtmatige verwerking van persoonsgegevens en dus een schending van de AVG. Meta legt zich natuurlijk niet zomaar neer bij deze uitspraak en slaat direct terug met betaalde versies van Facebook en Instagram zonder advertenties. Of dit genoeg is, moet echter nog blijken.
Berichten over datalekken bereiken regelmatig het nieuws. Het kan iedere organisatie overkomen en dat op talloze manieren: van een geslaagde hackpoging tot een verkeerd geadresseerd mailtje. Zodra een datalek zich voordoet moet u overgaan tot actie. In sommige gevallen moeten ook de betrokkenen geïnformeerd worden, maar hoe doet u dat eigenlijk?
De Autoriteit Persoonsgegevens (AP) houdt toezicht op de naleving van de AVG. Vooral bij kwetsbare groepen als minderjarigen is de AP extra alert. TikTok kreeg mede daarom een boete opgelegd van 345 miljoen euro voor het onvoldoende beschermen van de privacy van deze doelgroep. Daarnaast stelt de toezichthouder kritische vragen over de toepassing van AI in apps voor kinderen.
De rechtbank Amsterdam heeft uitspraak gedaan in een zaak tussen DPG Media en de Autoriteit Persoonsgegevens (AP). Het mediabedrijf kreeg een boete van 525.000 euro van de AP voor het overtreden van de AVG. De rechter oordeelt dat er inderdaad sprake was van een overtreding, maar schrapt de boete. Hoe zit dat?
