Nu de Algemene Verordening Gegevensbescherming (AVG) reeds meer dan een jaar van toepassing is, lijken de (Europese) toezichthouders stilaan op kruissnelheid te komen. Deze update biedt u een overzicht van de belangrijkste ontwikkelingen uit het voorbije kwartaal.
Toezichthouders leggen boetes op wegens onder meer onvoldoende beveiliging en maken ook gebruik van alternatieve sancties
Organisaties moeten passende maatregelen nemen om de bescherming van persoonsgegevens te waarborgen (artikel 32 AVG). Enkele recente uitspraken van de toezichthoudende autoriteiten uit onze buurlanden tonen aan dat de niet-naleving van deze verplichting zware financiële gevolgen kan hebben:
- In Nederland heeft de Autoriteit Persoonsgegevens ("AP") het HagaZiekenhuis een boete van EUR 460.000 opgelegd wegens een onvoldoende beveiliging van patiëntendossiers, waardoor tientallen werknemers van het ziekenhuis onnodig toegang hadden tot het digitale patiëntendossier van een bekende Nederlander. Volgens de AP had het ziekenhuis door middel van logbestanden regelmatig moeten controleren wie welk dossier raadpleegt en had zij de identiteit van de medewerkers die toegang hebben tot het digitale patiëntendossier door middel van tweefactor-authenticatie moeten vaststellen.
- De Britse toezichthouder ("ICO") overweegt om zowel luchtvaarmaatschappij British Airways, als hotelketen Marriott International (in het Engels) een monsterboete van respectievelijk meer dan 180 en 99 miljoen pond op te leggen omwille van een schending van hun verplichtingen op het gebied van gegevensbeveiliging naar aanleiding van cyberaanvallen. Bij British Airways werd het verkeer naar haar officiële website door cybercriminelen omgeleid naar een frauduleuze website waardoor cybercriminelen persoonsgegevens van ongeveer 500.000 klanten zouden hebben verkregen. Bij Marriott International zouden cybercriminelen erin geslaagd zijn om persoonsgegevens van ongeveer 339 miljoen klanten te ontvreemden via een slecht beveiligd reservatiesysteem.
Recent kondigde de Belgische Gegevensbeschermingsautoriteit (GBA) aan dat zij een gegevenslek bij een leverancier van toegangscontrolesystemen van Adecco van nabij zal opvolgen. Bij dat gegevenslek zouden miljoenen biometrische gegevens, zoals vingerafdrukken en afbeeldingen die gezichtsherkenning toelieten, van werknemers van klanten (waaronder een 2000-tal van Adecco) onbeschermd en onversleuteld op het internet te vinden zijn. Het valt af te wachten welk gevolg de GBA hieraan zal geven.
Het opleggen van een administratieve geldboete is overigens niet de enige mogelijkheid waarover toezichthouders beschikken om gevolg te geven aan inbreuken op de AVG. Zo besliste de Geschillenkamer van de GBA om de FOD Volksgezondheid te berispen omwille van het niet-beantwoorden van een verzoek tot inzage, ondanks een eerder bevel daartoe (artikel 15 AVG). De GBA wees in het bijzonder op het feit dat de FOD geen of onvoldoende interne maatregelen had getroffen om tijdig op dergelijke verzoeken te kunnen antwoorden hoewel de AVG al sinds 25 mei 2018 van toepassing is.
Eerder verduidelijkte de GBA de rol van de functionaris voor gegevensbescherming (FGB) bij verzoeken van betrokkenen om hun rechten uit te oefenen. In haar beslissing van 28 mei 2019 oordeelde de GBA dat het de verwerkingsverantwoordelijke is, en dus niet de FGB, die de uiteindelijke beslissing neemt over die verzoeken. Uit een onderzoek van de inspectiedienst van de GBA was gebleken dat de FGB zelf had beslist om persoonsgegevens uit een mailinglist van de verwerkingsverantwoordelijke te wissen, wat volgens de GBA in strijd is met de positie van de FGB. De GBA besliste uiteindelijk om een waarschuwing te formuleren en om de beslissing bekend te maken op haar website.
Websites die de Facebook "Vind ik leuk"-knop gebruiken, kunnen zelf (mede-) verantwoordelijke zijn met Facebook
In een bijdrage van maart 2019, berichtten we reeds over de conclusie van de Advocaat-Generaal (AG) Bobek in de Fashion ID-zaak. In die zaak was de AG van oordeel dat de beheerder van een website die een plug-in van een derde partij, zoals de "Vind ik leuk"-knop van Facebook, in zijn website integreert, samen met die derde partij verantwoordelijk is voor de verwerking van persoonsgegevens die via de plug-in worden verzameld.
In zijn arrest van 29 juli 2019 lijkt het Hof van Justitie de conclusie van de AG te volgen. Het Hof van Justitie nuanceert de conclusie van de AG wel door te oordelen dat de verwijzende rechter finaal moet nagaan of de websitebeheerder en Facebook effectief samen het doel van en de middelen voor de verwerking van persoonsgegevens vaststellen. Net zoals de AG, verduidelijkt het Hof van Justitie dat deze medeverantwoordelijkheid van websitebeheerders niet slaat op de verwerking van persoonsgegevens die Facebook uitvoert nadat zij de persoonsgegevens van de beheerders heeft ontvangen.
Praktisch gezien betekent deze uitspraak dat websitebeheerders bezoekers van hun website voldoende informatie over de verwerking van hun gegevens, ook via de Facebookknop, moeten geven. Dat kunnen zij doen in bijvoorbeeld de privacy policy van de website. De websitebeheerder zal verder de toestemming van de bezoeker moeten verkrijgen voor diens persoonsgegevens worden verzameld en doorgegeven aan derde partijen, zoals Facebook. Ten slotte zullen websitebeheerders desgevallend een overeenkomst moeten sluiten met de aanbieder van de sociale plug-in, waarin de respectieve verantwoordelijkheden en verplichtingen worden geregeld zoals vereist door artikel 26 AVG.
Europees Comité voor Gegevensbescherming publiceert (ontwerp)richtsnoeren inzake de verwerking van persoonsgegevens via videoapparatuur
Het Europees Comité voor Gegevensbescherming (ECG) heeft op 10 juli 2019 (ontwerp)richtsnoeren (in het Engels) gepubliceerd over de verwerking van persoonsgegevens via zowel traditionele als slimme videoapparatuur. De richtsnoeren bespreken onder meer de rechtmatigheid van de verwerking van videobeelden, de uitzondering voor persoonlijk of huishoudelijk gebruik, de verwerking van biometrische gegevens (zoals gezichtsherkenning) en het delen van beeldmateriaal met derde partijen, waaronder handhavings- en opsporingsdiensten, zoals de politie.
Gegevensbeschermingsautoriteit lanceert bewustmakingscampagne voor KMO's
De GBA lanceert binnenkort een bewustmakingscampagne voor micro-, kleine en middelgrote ondernemingen (KMO's) over de toepassing van de AVG. De GBA plant verschillende acties, waaronder een herziening van de handleiding voor KMO's die zij eerder publiceerde en de oprichting van een collectief communicatieplatform om informatie uit te wisselen tussen de GBA, de vertegenwoordigde beroepsorganisaties en de professionele netwerken van functionarissen voor gegevensbescherming.
Britse en Franse toezichthouders publiceren nieuwe richtlijnen over het gebruik van cookies
Op 4 juli 2019 publiceerde de ICO nieuwe richtlijnen over het gebruik van cookies en gelijkaardige technologieën (in het Engels) zoals (tracking) pixels en plug-ins. Enkele weken later, op 23 juli 2019, maakte ook de CNIL nieuwe richtlijnen over cookies (in het Frans) bekend. De nieuwe richtlijnen actualiseren eerdere richtlijnen van beide toezichthouders over het gebruik van cookies en houden onder meer rekening met de verstrengde vereisten voor toestemming in de AVG.
Te onthouden uit deze richtlijnen zijn de standpunten van de toezichthouders over "cookie walls" en "further browsing". De Franse toezichthouder (en eerder ook al de Nederlandse toezichthouder (zie hierover onze eerdere bijdrage) oordeelt dat "cookie walls" niet zijn toegestaan. De Britse toezichthouder lijkt gedeeltelijke "cookie walls" daarentegen wel te aanvaarden wanneer zij de toegang tot de website enkel beperken tot bepaalde inhoud.
Beide toezichthouders zijn het wel met elkaar eens dat de toestemming van de websitebezoeker een duidelijke en actieve handeling veronderstelt. Het louter verder surfen op de website door de websitebezoeker ("further browsing") kan hierdoor niet aanzien worden als een positieve actie waarmee de websitebezoeker zijn geldige toestemming geeft.
ECG publiceert zijn jaarverslag 2018 en geeft inkijk in toekomstige prioriteiten
Het ECG heeft op 16 juli 2019 haar jaarverslag 2018 gepubliceerd waarin het de belangrijkste activiteiten uit 2018 en zijn toekomstige prioriteiten toelicht. In zijn jaarverslag (in het Engels) verwijst het ECG naar haar werkprogramma 2019-2020 (in het Engels) om zijn toekomstige prioriteiten opnieuw in de verf te zetten. Deze prioriteiten hebben onder meer betrekking op de rechten van de betrokkenen, het concept van verwerkingsverantwoordelijke en verwerker, het gerechtvaardigd belang als rechtsgrondslag voor de verwerking van persoonsgegevens en het gebruik van nieuwe technologieën, zoals geconnecteerde voertuigen, blockchain en artificiële intelligentie.
Anneleen Van de Meulebroucke
Dries Van Briel