Title Text

In onze nieuwsbrief van mei vindt u de volgende onderwerpen:

Boetes voor TikTok voor onrechtmatige gegevensdoorgiften naar China
De ACM introduceert de DSA-check
Belgische rechter oordeelt dat de TCF van IAB in strijd is met de AVG
Ministerie van Economische Zaken introduceert de Gids Cyber Resilience Act
Europese Commissie doet voorstel voor uitbreiding van verzachtende maatregelen voor kleine en middelgrote ondernemingen

Boetes voor TikTok voor onrechtmatige gegevensdoorgiften naar China

Op 2 mei heeft de Ierse Commissie voor Gegevensbescherming (DPC) boetes opgelegd aan TikTok Technology Limited (TikTok) van in totaal EUR 530 miljoen. Volgens de DPC heeft TikTok de Algemene Verordening Persoonsgegevens (AVG) geschonden bij het doorsturen van persoonsgegevens naar China en de gebrekkige informatievoorziening hierover aan de betrokkenen.

Hoofdstuk 5 AVG verplicht organisaties om passende waarborgen te implementeren bij doorgiftes van persoonsgegevens aan landen buiten de EER waarvoor geen adequaatheidsbesluit is genomen door de Europese Commissie (Commissie). Zo wordt het hoge beschermingsniveau dat de AVG biedt gewaarborgd. Een veelgebruikt instrument hiervoor zijn de zogenaamde standard contractual clauses (SCCs). Op dit moment is er geen adequaatheidsbesluit genomen met betrekking tot China.

Uit onderzoek van de DPC blijkt dat TikTok persoonsgegevens van inwoners van de Europese Economische Ruimte (EER) naar China doorgaf door middel van remote access. TikTok heeft onvoldoende aangetoond dat de maatregelen die zij had genomen en SCCs de risico’s op toegang tot die gegevens door Chinese autoriteiten op grond van de Chinese wetgeving beperken, aldus de DPC. Bovendien kwam TikTok in februari tijdens het onderzoek terug op haar stelling dat zij geen persoonsgegevens van betrokkenen in de EER op heeft geslagen op servers in China. TikTok heeft aangegeven deze gegevens inmiddels te hebben verwijderd van de Chinese servers. Volgens de DPC schendt TikTok Artikel 46 AVG, wat de DPC bestraft met een boete van EUR 485 miljoen.

De DPC stelt ook vast dat de privacyverklaring van TikTok in de periode van oktober 2021 tot en met december 2022 geen informatie bevatte over de landen waarnaar zij persoonsgegevens doorgaf, waaronder China. Evenmin was de aard van de doorgiftes genoemd in de privacyverklaring, namelijk dat er door middel van remote access toegang was door organisaties gevestigd in China en Singapore. Dit levert een schending van artikel 13 lid 1 sub f AVG op volgens de DPC waarvoor een boete van EUR 45 miljoen is opgelegd.

Naast het opleggen van de boetes, verplicht de DPC TikTok om de doorgifte van persoonsgegevens naar China op te schorten en binnen 6 maanden in overeenstemming te brengen met hoofdstuk 5 AVG.

De DPC publiceert het volledige besluit later. Een samenvatting kan via de onderstaande knop gelezen worden.

Samenvatting van het besluit van de DPC

De ACM introduceert de DSA-check

Op 7 mei heeft de Autoriteit Consument & Markt (ACM) een online hulpmiddel genaamd ‘DSA-check’ gelanceerd waarmee organisaties kunnen controleren of, en zo ja aan welke verplichtingen uit de Digital Services Act (DSA) zij moeten voldoen.

De DSA is sinds februari 2024 van toepassing. De DSA is van toepassing op aanbieders van onlinediensten en is bedoeld om gebruikers van onlinediensten beter te beschermen tegen illegale content, desinformatie en nepadvertenties.

De DSA-check is bedoeld voor eigenaren van webwinkels en marktplaatsen, en websites en apps met user generated content. Zowel grote als kleine bedrijven moeten aan de DSA voldoen. De DSA heeft echter een gelaagde structuur, wat betekent dat niet voor alle bedrijven dezelfde verplichtingen gelden.

Lees hier het persbericht van de ACM

Vind hier de DSA-check

Belgische rechter oordeelt dat de TCF van IAB in strijd is met de AVG

Op 14 mei heeft de sectie Marktenhof van het Hof van beroep Brussel (het Marktenhof) uitspraak gedaan in de zaak tussen de Belgische gegevensbeschermingsautoriteit (GBA) en IAB Europe over het Transparency & Consent Framework (TCF).

Het TCF is een systeem dat aanbieders van websites, apps, gegevensmakelaars en reclameplatformen in staat stelt om persoonsgegevens van gebruikers te verwerken. Het TCF-systeem slaat onder andere gegevens over cookie voorkeuren van gebruikers op in een Transparancy & Consent string (TC-string). Met de TC-string kunnen online adverteerders controleren of specifieke betrokkenen toestemming hebben gegeven voor de verwerking van hun persoonsgegevens ten behoeve van Real-time bidding (RTB).

In 2022 heeft de GBA IAB Europe een boete op van EUR 250.000 opgelegd voor inbreuken op de AVG. De GBA besliste dat IAB Europe gezamenlijk verwerkingsverantwoordelijke is voor alle verwerkingen van persoonsgegevens die in de TC-string staan tijdens het RTB-proces. Het Marktenthof oordeelt nu dat IAB Europe inderdaad gezamenlijk verwerkingsverantwoordelijke is voor het verkrijgen van de in de TC-string opgenomen gegevens. IAB Europe biedt de TC-string namelijk aan in de context van het TCF, en legt haar partners deze verwerkingsmethode ook contractueel op. Zij verwerkt deze gegevens ook voor eigen doeleinden, namelijk het behartigen van de belangen van de digitale reclamesector.

Het Marktenhof stelt vast dat de GBA onvoldoende heeft gemotiveerd dat IAB óók invloed uitoefent op de manier waarop adverteerders deze gegevens in de TC-string in de RTB-sector verder verwerken. Het hof vernietigt het besluit van de GBA dat IAB Europe ook voor die verwerkingen verwerkingsverantwoordelijke zou zijn.

De boete van EUR 250.00 blijft echter staan. Het Marktenhof is het namelijk met de GBA eens dat IAB Europe geen geldige grondslag had voor de verwerkingen van persoonsgegevens via de TC-string.

Ook heeft IAB Europe niet voldaan aan de transparantieverplichtingen – de privacyverklaring zag enkel op de verwerking van gegevens via de website – en heeft zij onvoldoende technische en organisatorische beveiligingsmaatregelen getroffen, ten onrechte geen DPIA uitgevoerd en geen F-G aangesteld.

De uitspraak sluit aan bij het arrest van het Europese Hof van Justitie (HvJEU) van 7 maart 2024 naar aanleiding van prejudiciële vragen van het Marktenhof in deze zaak. Het HvJEU oordeelde toen dat de TC-strings persoonsgegevens zijn in de zin van AVG, en dat IAB Europe hier gezamenlijke verwerkingsverantwoordelijke voor kan zijn met haar TCF-partners als vaststaat dat zij haar voor eigen doeleinden invloed uitoefent op de verwerkingen. Daarbij is van belang dat IAB Europe contractuele mogelijkheden heeft om van haar partners inzage te vorderen in de gegevens die in de TC-string staan. Het Marktenhof past in haar uitspraak dus de uitleg van het HvJEU toe en bevestigt dat hier feitelijk sprake van is.

Lees hier de volledige uitspraak van het Marktenhof

Ministerie van Economische Zaken introduceert de Gids Cyber Resilience Act

Op 23 mei heeft het Ministerie van Economische Zaken (het Ministerie) de Gids Cyber Resilience Act (CRA) gepubliceerd. De Gids CRA beoogt organisaties te helpen met het bepalen of zij onder de CRA vallen en zo ja, in welke hoedanigheid en met welke plichten.

De CRA is gericht op fabrikanten, distributeurs en importeurs van producten met digitale elementen die op de Europese markt aangeboden worden (Digitale Producten). Digitale Producten moeten aan uitgebreide veiligheidsvoorschriften voldoen om te garanderen dat consumenten en bedrijven veilig gebruik kunnen blijven maken van deze producten.

Het toepassingsgebied van de CRA gaat verder dan alleen vereisten stellen aan Digitale Producten. Er worden ook eisen gesteld aan processen die fabrikanten hebben ingericht om hun producten te ontwikkelen, ontwerpen, fabriceren en te onderhouden.

De Gids CRA bevat een stapsgewijs overzicht waarmee organisaties kunnen vaststellen of zij onder de CRA vallen, in welke hoedanigheid en aan welke verplichtingen zij moeten voldoen. Daarnaast worden ook alle klassen Digitale Producten opgenoemd met daarbij behorende voorbeelden.

De CRA is op 10 december 2024 in werking getreden en zal over een periode van 3 jaar gefaseerd van toepassing worden. Vanaf 11 september 2026 geldt de meldplicht voor actief misbruikte kwetsbaarheden en vanaf 11 december 2027 zijn alle verplichtingen uit de CRA van toepassing. Het is verstandig voor organisaties om nu alvast te beoordelen of zij onder de CRA vallen omdat de vereisten uit de CRA betekenen dat mogelijk (flinke) aanpassingen aan producten noodzakelijk zijn.

Lees hier de Gids CRA

Europese Commissie doet voorstel voor uitbreiding van verzachtende maatregelen voor kleine en middelgrote ondernemingen

Op 21 mei heeft de Commissie een wetsvoorstel gedaan dat strekt tot ontlasting van de administratieve plichten uit de AVG voor organisaties die onder het kleine mid-cap segment vallen.

Onderzoek van de Commissie heeft uitgewezen dat ondernemingen die aan de onderkant van het mid-cap segment zitten, een zwaardere administratieve last dragen dan grote ondernemingen. Er is echter nog geen Europese definitie van ‘small mid-cap ondernemingen’; alle ondernemingen met meer dan 250 werknemers worden momenteel als ‘groot’ gedefinieerd. Zodoende bevat het voorstel van de Commissie een aanbeveling voor een nieuw begrip voor ondernemingen voor tussen de 250 en 750 werknemers met ofwel een jaaromzet van maximaal EUR 150 miljoen, dan wel een jaarbalans van maximaal EUR 129 miljoen.

Het voorstel bevat een uitzondering op de plicht om een verwerkingsregister te houden voor organisaties met minder dan 750 werknemers (ongeacht omzet en balanscijfers), behalve als zij verwerkingen met een hoog risico voor de betrokkenen uitvoeren. Daarnaast worden de lidstaten, toezichthouders, en de Commissie opgedragen om gedragscodes en certificeringsmechanismen te bevorderen voor alle organisaties tot en met het small mid-cap segment.

De maatregelen zijn onderdeel van een breder plan van de Commissie om de administratieve last van ondernemers te verlichten. In 2023 heeft de Commissie als doel gesteld om deze voor bedrijven met 25% te verminderen, en voor kleine bedrijven zelfs met 35%.