In onze nieuwsbrief van februari vindt u de volgende onderwerpen: |
|
|
|
|
|
|
|
Tien gemeenten beboet voor onrechtmatige verwerking van bijzondere persoonsgegevens |
Op 3 februari heeft de Autoriteit Persoonsgegevens (AP) tien afzonderlijke boetebesluiten gepubliceerd. Aanleiding hiervoor was het gebruik van zogenoemde krachtenveldanalyses en quickscans van lokale islamitische gemeenschappen.
De analyses werden tussen 2017 en 2021 gebruikt in het kader van lokale radicaliseringsaanpakken, vaak op advies van de Nationaal Coördinator Terrorismebestrijding en Veiligheid. De onderzoeken brachten sociale structuren, sleutelfiguren en interne verhoudingen binnen moslimgemeenschappen in kaart.
De AP stelt vast dat gemeenten deze documenten niet alleen hebben ontvangen, maar ook hebben opgeslagen, geraadpleegd en gedeeld. De documenten bevatten per gemeente tussen de 16 en 266 persoonsdossiers, waaronder persoonlijke profielen met daarin gegevens over religieuze overtuiging, afkomst, familieverhoudingen, sociale rollen en in diverse gevallen ook strafrechtelijke gegevens. In geen enkel geval kon de betreffende gemeente een specifieke wettelijke verplichting of voldoende nauwkeurig omschreven publieke taak aanwijzen op basis waarvan de verwerking van deze gegevens noodzakelijk is.
De AP benadrukt dat gemeenten ook in een politiek‑bestuurlijk complexe context gebonden blijven aan het beginsel van dataminimalisatie en het verbod op verwerking van bijzondere persoonsgegevens, tenzij ze zich kunnen beroepen op een van de limitatieve uitzonderingen uit de AVG. Openbaar beschikbare gegevens uit sociale media konden in sommige gevallen onder een uitzondering vallen, maar dit gold niet voor de samengestelde gegevens en interpretaties uit niet-openbare bronnen, waar de kern van de analyses uit bestond.
Als relevante verzwarende omstandigheden noemt de AP onder meer de aard en gevoeligheid van de verwerkte gegevens, de context van veiligheids- en radicaliseringsbeleid, het ontbreken van een expliciet mandaat en de aanzienlijke impact op de betrokken moslimgemeenschappen. Tegelijk merkt de toezichthouder op dat de overtredingen zich veelal in het verleden hebben afgespeeld en dat de meeste gemeenten inmiddels maatregelen hebben genomen om relaties met lokale gemeenschappen te herstellen.
De AP concludeert in alle gevallen dat gemeenten zonder geldige grondslag en uitzondering op het verwerkingsverbod persoonsgegevens en bijzondere categorieën persoonsgegevens hebben verwerkt. Elke gemeente ontvangt een bestuurlijke boete van € 25.000 en, in de meeste gevallen, een aanvullende verplichting om de documenten uitsluitend te bewaren ten behoeve van het faciliteren van rechten van betrokkenen (zoals inzage) en voor gebruik in gerechtelijke procedures. |
|
|
|
| |
|
|
Meer dan 6 miljoen gebruikers van Odido slachtoffer van datalek |
Op 8 februari heeft Odido bekendgemaakt dat een omvangrijke cyberaanval heeft plaatsgevonden waarbij persoonsgegevens uit haar klantcontactsysteem zijn gelekt. Het incident betreft persoonsgegevens van zowel bestaande als voormalige klanten van Odido. De AP houdt toezicht op de afhandeling van het incident.
De criminelen hadden via phishing de inloggegevens van individuele medewerkers verkregen. Vervolgens wisten zij door zich telefonisch voor te doen als Odido’s ICT‑afdeling een tweede beveiligingsstap te omzeilen waardoor zij toegang kregen tot het Salesforce‑systeem van Odido waarin klantgegevens opgeslagen worden.
De aanvallers hebben grote hoeveelheden data geautomatiseerd gedownload. Volgens Odido gaat het om persoonsgegevens waaronder volledige naam, adresgegevens, telefoonnummer, klantnummer, e-mailadres, IBAN, geboortedatum en identificatiedocumentnummers van ongeveer 6,2 miljoen klantaccounts. Wachtwoorden, factuur- en belgegevens en BSN’s zijn volgens Odido niet gelekt. Odido benadrukt dat de operationele dienstverlening niet is geraakt en dat externe cybersecurity‑experts zijn ingeschakeld.
Het datalek kan grote gevolgen hebben voor de betrokkenen. Met de omvangrijke combinatie van contact‑ en identificatiegegevens kunnen overtuigende vormen van phishing en social engineering worden uitgevoerd. Odido raadt klanten aan alert te zijn op onverwachte communicatie, geen vertrouwelijke gegevens te delen en facturen zorgvuldig te controleren. De NOS berichtte op 24 februari nog dat de cybercriminelen die verantwoordelijk zeggen te zijn voor de hack op Odido, dreigen de gestolen data te publiceren op het dark web. |
|
|
|
| |
|
|
Bindende besluiten EDPB kunnen worden aangevochten door organisaties |
Op 10 februari heeft het Hof van Justitie van de Europese Unie (HvJEU) een belangrijk arrest gewezen over bindende besluiten van het Europees Comité voor gegevensbescherming (EDPB) en de mogelijkheden om een beroep tot nietigverklaring in te stellen hiertegen.
Het arrest vormt het sluitstuk van een hoger beroep van WhatsApp tegen bindende beslissing 1/2021 van de EDPB van 28 juli 2021. Dat besluit was genomen in het kader van de geschilbeslechtingsprocedure uit de AVG nadat diverse toezichthouders bezwaar hadden gemaakt tegen het conceptbesluit van de Ierse Data Protection Commission (DPC). De EDPB verplichtte de DPC onder meer om extra overtredingen vast te stellen, waaronder overtredingen van het transparantiebeginsel, en hogere boetes te overwegen.
Het HvJEU benadrukt dat een besluit van de EDPB een definitief oordeel vormt van een EU‑orgaan en bindende rechtsgevolgen in het leven roept voor de betrokken toezichthouders. Een bindende beslissing van de EDPB bindend voor alle betrokken autoriteiten en verplicht hen om hun definitieve besluit daarop te baseren. Daarmee is volgens het HvJEU voldaan aan het criterium dat het gaat om een rechtshandeling met rechtsgevolgen voor derden in de zin van artikel 263 VWEU. Dat de EDPB‑beslissing formeel niet aan de verwerkingsverantwoordelijke is gericht doet daar niets aan af. Relevant is dat de EDPB-beslissing de rechtspositie van WhatsApp rechtstreeks aantast, onder meer door een bindende kwalificatie van bepaalde gegevens als persoonsgegevens en door het verplicht stellen van aanvullende vaststellingen van AVG-overtredingen. WhatsApp is zowel individueel als rechtstreeks geraakt door de EDPB‑beslissing.
Ook laat het bindend karakter van de EDPB‑beslissing de DPC geen discretionaire ruimte meer binnen de onderwerpen die aan de EDPB waren voorgelegd. Daarmee voldoet de bindende beslissing aan het criterium dat het geen verdere uitvoeringshandelingen vergt en dus “rechtstreeks” ingrijpt in de rechtspositie van de verwerkingsverantwoordelijke. Dat de uiteindelijke boetebeschikking alsnog door de DPC wordt genomen is irrelevant: de EDPB dicteert juridisch bindend welke overtredingen moeten worden vastgesteld, zodat de nationale autoriteit die instructies zonder afwijking moet volgen.
Dit arrest heeft belangrijke gevolgen voor de praktijk van grensoverschrijdende AVG‑handhaving. Verwerkingsverantwoordelijken kunnen een bindende beslissing van de EDPB rechtstreeks aanvallen wanneer deze hun rechtspositie aantast. Het HvJEU bevestigt dat het consistentiemechanisme uit de AVG niet slechts een interne afstemmingsprocedure is voor toezichthouders, maar een waarborg van uniforme toepassing van het EU-recht waarbij de EDPB als EU‑orgaan bindende besluiten kan nemen die zelfstandig vatbaar zijn voor beroep. In lopende en toekomstige handhavingszaken kan dit leiden tot parallelle procedures: één bij het Hof van Justitie tegen de EDPB‑beslissing en één bij de nationale rechter tegen de uiteindelijke beslissing van de leidende autoriteit. |
|
|
|
| |
|
|
Belgisch Hof van Cassatie bevestigt dat opleggen symbolische boete AVG mogelijk is |
Op 10 februari is een arrest van het Belgische Hof van Cassatie gepubliceerd in een procedure tussen de Belgische Gegevensbeschermingsautoriteit (GBA) en de Nationale Maatschappij der Belgische Spoorwegen (NMBS). Centraal stond de vraag of een symbolische boete van één euro verenigbaar is met de doeltreffende en afschrikwekkende functies van boetes onder de AVG en of het Belgisch Marktenhof die boete zelf mag vaststellen.
De zaak vindt haar oorsprong in de verdeling van de Hello Belgium Railpass in 2020. De NMBS stuurde aan miljoenen aanvragers een e‑mail over het gebruik van de pas en reisbestemmingen. De Inspectiedienst van de GBA concludeerde dat de NMBS geen geldige grondslag had voor deze mailactiviteit en dat het recht van bezwaar onvoldoende was gefaciliteerd. De Geschillenkamer legde daarom op 4 mei 2022 een geldboete op van 10.000 euro wegens inbreuken op onder meer de artikelen 5, 6, 12 en 21 AVG. Het Marktenhof vernietigde die sanctie gedeeltelijk en verminderde de boete, gelet op meerdere verzachtende omstandigheden, tot een symbolisch bedrag van één euro.
In cassatie betoogde de GBA dat het Marktenhof buiten de grenzen van diens bevoegdheden had gehandeld. Volgens de GBA mocht het Marktenhof het besluit van de GBA enkel vernietigen en terugverwijzen, en niet zelf een nieuw boetebedrag vaststellen. Ook stelde de GBA dat een symbolische sanctie niet voldoet aan de eisen van doeltreffendheid en afschrikking.
Het Hof van Cassatie heeft beide argumenten verworpen. Het Hof oordeelde dat het Marktenhof bij beroepsprocedures onder de AVG “met volle rechtsmacht” oordeelt. Dit impliceert dat het Marktenhof zowel de wettigheid als de proportionaliteit van de boete beoordeelt en, indien nodig, het bedrag kan aanpassen. Daarmee bevestigt het Hof dat het Marktenhof zijn beslissing in de plaats van het besluit van de GBA mag stellen.
Daarnaast oordeelt het Hof van Cassatie dat de AVG geen minimumboetes voorschrijft en dat ook een symbolische sanctie niet uitgesloten is. Een boete van één euro kan, afhankelijk van de omstandigheden, nog steeds voldoen aan de criteria van effectiviteit, proportionaliteit en afschrikking. Het Hof benadrukt dat de beoordeling casuïstisch is en dat het aan de toezichthoudende en rechtsprekende instanties is om rekening te houden met alle relevante feiten en omstandigheden van het geval.
Het arrest onderstreept dat, binnen het Belgische handhavingsmodel, rechterlijke toetsing van beslissingen van de AVG-toezichthouder een daadwerkelijke en volledige herbeoordeling van de sanctie omvat. Voor organisaties betekent dit dat het Marktenhof substantiële ruimte heeft om boetes bij te stellen en dat ook lage of symbolische boetes juridisch toegestaan zijn, mits deugdelijk gemotiveerd aan de hand van de AVG. Binnen het Nederlandse handhavingsmodel kan eveneens een herbeoordeling plaatsvinden: de rechter toetst of de AP in het concrete geval een boete mocht opleggen en of de hoogte daarvan evenredig is, waarbij de rechter de boete zo nodig kan bijstellen. |
|
|
|
| |
|
|
EDPB en EDPS publiceren gezamenlijke opinie over Digital Omnibus‑voorstel |
Op 10 februari hebben de EDPB en de Europees Toezichthouder voor gegevensbescherming (EDPS) een tweede gezamenlijke opinie gepubliceerd over de digitale Omnibusverordening (de Opinie). Het voorstel bevat een breed pakket aan voorgestelde wijzigingen in de digitale EU‑wetgeving, waaronder de AVG, de e-Privacy Richtlijn en de Dataverordening.
De Opinie benadrukt dat verschillende voorgestelde wijzigingen in de AVG‑systematiek verder gaan dan louter technische aanpassingen. De toezichthouders hebben stevige kritiek op de beoogde wijziging van de definitie van “persoonsgegevens”. De voorgestelde toevoeging aan artikel 4 lid 1 AVG zou ertoe leiden dat gegevens niet langer als persoonsgegeven gelden voor een verwerkingsverantwoordelijke die individuen niet zelf kan identificeren, zelfs als een andere partij dat wél zou kunnen. Volgens de EDPB en EDPS wijkt dit af van vaststaande jurisprudentie van het HvJEU, waaronder het SRB-arrest van vorig jaar. In het SRB-arrest werd bevestigd dat gegevens ook indirect als persoonsgegevens moeten worden aangemerkt wanneer een ontvanger redelijke middelen heeft om de betrokkene te identificeren. De instanties waarschuwen dat de voorgestelde wijziging het toepassingsbereik van de AVG aanzienlijk zou beperken en omzeiling door verwerkingsverantwoordelijken kan uitlokken. Zij bevelen aan de wijziging volledig te laten vervallen. Het schijnt dat de Raad van de Europese Unie in zijn onderhandelingsvoorstel de wijziging van artikel 4 lid 1 AVG ook heeft geschrapt.
Ook bij pseudonimisering plaatsen de toezichthouders kanttekeningen. De mogelijkheid om via uitvoeringshandelingen te bepalen wanneer gepseudonimiseerde gegevens niet langer persoonsgegevens zijn, achten de toezichthouders onverenigbaar met de rolverdeling uit de AVG. De beoordeling of gegevens persoonsgegevens zijn betreft een kernbegrip van de AVG, dat onder toezicht van nationale toezichthouders en het HvJEU moet blijven. Een dergelijke bevoegdheidsverschuiving zou volgens de toezichthouders tot rechtsonzekerheid leiden.
Over andere onderdelen van het voorstel is de Opinie positiever. Zo ondersteunen de EDPB en EDPS de toevoeging van een afgebakende definitie van wetenschappelijk onderzoek in de AVG, de verduidelijking van de toepassing van artikel 6(4) AVG bij verdere verwerkingen, en nieuwe uitzonderingen voor informatieplichten bij wetenschappelijk onderzoek. Ook verwelkomen zij de voorgestelde uitzondering voor verwerking van biometrische gegevens voor verificatiedoeleinden, mits de templates enkel onder de uitsluitende controle van de betrokkene blijven en de noodzakelijkheidsstoets strikt wordt toegepast. Daarnaast onderschrijven de toezichthouders de maatregelen die administratieve lasten verminderen, zoals een hogere drempel voor het melden datalekken, een verlening van de meldtermijn naar 96 uur, en gezamenlijke templates voor datalekmeldingen en DPIAs. Wel pleiten zij voor een prominente rol van de EDPB bij het opstellen en vaststellen van deze templates.
Op het gebied van e-Privacy ondersteunen de EDPB en EDPS de doelstelling om ‘cookiemoeheid’ te verminderen, onder meer via machine‑leesbare voorkeuren. Tegelijk wijzen zij op risico’s van het naast elkaar laten bestaan van verschillende regimes voor toegang tot randapparatuur, wat tot inconsistenties kan leiden. Ook hier pleiten zij voor duidelijke afbakening, beperkte uitzonderingen en een stevige basis voor toezicht.
Ten aanzien van de Dataverordening verwelkomen zij de integratie van de Datagovernanceverordening en de Open Data Richtlijn, maar adviseren zij onder meer om pseudonimisering als vereiste te behouden bij doorgifte van persoonsgegevens in noodsituaties, toezichtstructuren te verduidelijken en de informatie‑uitwisseling tussen autoriteiten te versterken. |
|
|
|
| |
|
|
AP waarschuwt voor ernstige beveiligingsrisico’s bij autonome AI‑agents zoals OpenClaw |
Op 12 februari heeft de AP een waarschuwing over het gebruik van OpenClaw en vergelijkbare autonome AI‑assistenten gepubliceerd. Aanleiding hiervoor is de snelle en toenemende populariteit van deze open‑sourcesystemen, die volgens de AP vaak niet voldoen aan basisveiligheidseisen en daardoor aanzienlijke risico’s vormen voor de bescherming van persoonsgegevens.
OpenClaw stelt gebruikers in staat een lokale AI‑assistent te installeren die autonoom taken uitvoert op de computer van de gebruiker. Dit betekent dat de assistent volledige toegang krijgt tot computersystemen, bestanden, e‑mailaccounts en gekoppelde onlinediensten, zonder dat voorafgaande menselijke toestemming noodzakelijk is.
De AP karakteriseert dergelijke autonome agents als een Trojaans paard: aantrekkelijk voor aanvallers en kwetsbaar voor misbruik. Beveiligingsonderzoek laat zien dat ongeveer twintig procent van de aangeboden plug‑ins malware bevat, gericht op het stelen van inloggegevens of cryptovaluta. Daarnaast is OpenClaw gevoelig voor indirecte promptinjecties, waarbij opdrachten verborgen zijn in reguliere websites, e‑mails of berichten, met risico op accountovernames, het uitlezen van persoonlijke data en het stelen van toegangscodes. Ook zijn kritieke kwetsbaarheden vastgesteld die volledige systeemovername op afstand mogelijk maken.
De AP adviseert organisaties en particulieren dergelijke AI‑agents niet te installeren op systemen waarop privacygevoelige informatie wordt verwerkt, zoals klantbestanden, personeelsadministratie, financiële gegevens of identiteitsdocumenten. Gebruikers wordt dringend geadviseerd terughoudend te zijn met externe plug‑ins, strikte toegangscontroles te hanteren en inloggegevens te vernieuwen wanneer er sprake is van mogelijke blootstelling. Ouders worden gewezen op het risico dat kinderen dergelijke systemen kunnen installeren op privéapparaten met toegang tot gevoelige gegevens.
Volgens de AP is het noodzakelijk dat op EU‑niveau wordt verduidelijkt dat autonome AI‑agents onder de AI-verordening vallen. De AI-verordening bevat productveiligheidseisen voor AI‑systemen, waaronder verplichtingen ter voorkoming van onveilige toepassingen. De AP benadrukt dat organisaties die AI‑agents inzetten altijd verantwoordelijk blijven voor naleving van de AVG, ongeacht of zij open‑sourcesoftware gebruiken. Het gebruik van experimentele systemen ontslaat gebruikers niet van de verplichting risico’s te beperken en passende technische en organisatorische maatregelen te treffen.
Organisaties doen er verstandig aan om autonome AI‑agents niet zonder grondige voorafgaande risicoanalyse in te zetten in bedrijfsomgevingen. De verwachting is dat met de implementatie van de AI‑verordening het toezicht op dergelijke toepassingen zal worden versterkt, maar tot die tijd rust op gebruikers en organisaties een eigen verantwoordelijkheid om zorgvuldig te handelen. |
|
|
|
| |
|
|
|
|
Marc Elshof
advocaat | partner
T: +31 70 376 06 87
M:+31 6 46 37 61 08
marc.elshof@barentskrans.nl
|
|
|
|
|
Lars Groeneveld
advocaat
T: +31 70 376 06 48
M:+31 6 46 11 04 57
lars.groeneveld@barentskrans.nl
|
|
|
|
|
Job Julicher
advocaat
T: +31 70 376 08 10
M:+31 6 27 42 99 77
job.julicher@barentskrans.nl
|
|
|
|
|
Julius Louter
advocaat
T: +31 70 376 06 40
M:+31 6 15 43 37 52
julius.louter@barentskrans.nl
|
|
|
|
|
|
BarentsKrans
Den Haag | Amsterdam
+31 70 376 06 06
communicatie@barentskrans.nl
www.barentskrans.nl |
| |
|
|
| |
|
|
|
