Categorie: Regulering

About Regulering

Subscribe Feeds

AP verlaagt Kruidvat-boete voor trackingcookies van 600.000 naar 50.000 euro

Geplaatst op in Privacy, Regulering, 5 reacties
Photo by Rai Vidanes on Unsplash

De Autoriteit Persoonsgegevens verlaagt de boete die zij eerder aan Kruidvat gaf voor het plaatsen van trackingcookies van 600.000 euro naar 50.000 euro. Dat meldde Tweakers onlangs. Inderdaad, 90% eraf. De belangrijkste reden is dat de AP lang deed over het onderzoek en omdat boetes voor vergelijkbare overtredingen lager waren.

Tweakers legt uit:

Kruidvat kreeg de boete omdat het te snel trackingcookies plaatste bij bezoekers van de Kruidvat-website. In de cookiebanner stond standaard aangevinkt dat gebruikers toestemming gaven om die cookies te plaatsen. Het weigeren was volgens de toezichthouder te moeilijk, omdat gebruikers te veel stappen moesten doorlopen. Ook rekende de AP het Kruidvat aan dat er daardoor gevoelige gegevens werden verzameld, omdat de keten zaken als zwangerschapstests, voorbehoedsmiddelen en medicatie verkoopt.
De hiervoor toegekende boete was dus zes ton, wat ik op zich al fors vond maar het ‘specifieke karakter van drogisterijproducten’ woog mee: bij de Kruidvat koop je ook producten als zwangerschapstests, voorbehoedsmiddelen of zelfzorgmedicatie dus dat riekt naar bijzondere persoonsgegevens over gezondheid.

In het besluit op bezwaar komt men toch een beetje terug op die enorme boete, zij het nogal kortaf. Op zich was de opgelegde boete binnen de kaders van de Europese AVG-toezichthouders, en sloot deze ook aan bij de bandbreedte die de AP zelf hanteert. Echter:

De lange duur van de procedure bij de AP,zonder dat het onderzoek en de daaropvolgende handhavingsfase deze behandelduur rechtvaardigen, de erkenning van de (volledige) overtreding door [Kruidvat-moederbedrijf] AS Watson, de geringe ernst van de overtreding en de omstandigheid dat in een vergelijkbare procedure inzake (tracking) cookies de AP tot een (in relatief opzicht) vergelijkbare boete is gekomen, zijn voor de AP aanleiding om de boete in dit besluit vast te stellen op een bedrag van € 50.000,-.
In de comments wordt gereageerd dat AS Watson vorig jaar 53 miljard euro omzet had, dus dat maakt die 50k een schijntje zonder afschrikwekkende werking zeg maar. Daar wil ik wel tegenover stellen dat het bedrijf direct meegewerkt heeft (zie onderzoeksrapport) en ook nergens heeft betoogd vrij van schuld te zijn. Ik maak me vooral zorgen dat dit andere bedrijven aanmoedigt om tegen alles maar in bezwaar te gaan, want zulke korting is toch mooi meegenomen.

Arnoud

 

Mogen bedrijven van de AI Act en AVG een AI-chatbot in hun shop integreren?

Geplaatst op in Ondernemingsvrijheid, Privacy, Regulering, 12 reacties
Alexandra_Koch / Pixabay

Een lezer vroeg me:

Steeds vaker zie ik dat bedrijven bij klantenservice een AI-chatbot inzetten als eerste lijn. Die hebben vaak ook toegang tot je bestellingen en andere gegevens. Ik maak me daar zorgen over, wat zeggen de AVG en AI Act hierover?
De trend om menselijke ondersteuning te vervangen door chatbots is niet te stoppen, zo lijkt het. (Hoewel ze het bij Klarna een “flop” lijken te vinden.) Maar laten wij ons focussen op de juridische kant: mag dit?

De AI Act stelt eigenlijk geen eisen aan AI voor klantenservice, afgezien van de algemene eis (artikel 50) dat het duidelijk moet zijn voor de klant dát men met een bot communiceert. Dat moet expliciet en in het gesprek, dus niet een zinnetje in de algemene voorwaarden of ergens in de veelgestelde vragen. En afhankelijk van de lengte van het gesprek kan het nodig zijn deze boodschap periodiek te herhalen.

Lastiger ligt het met de AVG. Een AI-tool die een klantdossier leest, verwerkt daarmee persoonsgegevens. Het doel daarvan is legitiem, namelijk de klant helpen met een probleem bij diens aankoop of ander contract. Een menselijke medewerker zou dit net zo goed mogen. En in de praktijk zie je ook dat de tool er pas bij kan als jij een ordernummer of andere referentie kan geven, wat je kunt zien als een vorm van instemmen.

Een grotere zorg is wie er allemaal nog méér toegang heeft tot die persoonsgegevens. Want dat is wel even anders dan bij de menselijke medewerker. Veel van deze technologieën worden door een leverancier beschikbaar gesteld, en als je dan een paar tegels omdraait kom je al snel bij een Amerikaans foundation model zoals OpenAI’s GPT familie.

Oftewel: alle chats mét klantdossier gaan naar Amerika en dat is zoals bekend AVG-technisch een lastige situatie. Formeel mag het, om de simpele reden dat de EU heeft gezegd dat de VS een met Europa vergelijkbare bescherming van persoonsgegevens heeft. En tot men dat formeel intrekt, is er geen vuiltje aan de lucht.

(Sommigen zouden nu de woordgrap maken dat de lucht vol met stratocumuli zit.) We weten allemaal dat dit nergens op slaat, eigenlijk al sinds het Safe Harbor regime uit 2000. Maar dit is waar juridisch en werkelijkheid afscheid nemen: puur praktisch is het een probleem, maar juridisch klopt het gewoon. Althans, totdat de Europese Commissie of het Hof van Justitie zegt van niet. Want dan moet per direct iedere verbinding met alle Amerikaanse dienstverleners worden gestaakt.

Voor de webshop met AI-klantenservice is dit een nogal abstract en ver verwijderd probleem, en dat snap ik. Je kunt hier helemaal niets aan doen en je zocht alleen een handige extra chatbot omdat je zelf niet 24/7 achter je webshop kunt zitten typen. Mee bewegen met de massa en vooral met al je concurrenten is dan ook prima in die situatie. Uiteindelijk is de situatie met de VS een politiek probleem en niet jouw individueel juridisch probleem.

Uiteraard zoek je wel een goede dienstverlener die de beveiliging goed op orde heeft, zodat er niet bijvoorbeeld chatlogs mét bestelgegevens ergens bij de leverancier terecht komen en langdurig bewaard blijven.

Arnoud

Crypto’s in box 3 zijn belast vermogen, zegt de Hoge Raad. Maar of het ‘geld’ is blijft ongewis

Geplaatst op in Ondernemingsvrijheid, Regulering, 4 reacties
Photo by David McBee on Pexels

Aan cryptogeld kun je geen rechten ontlenen, dus is het geen vermogen. Zo opende NRC onlangs over een belastinggeschil inzake cryptovaluta.

De aangeefster had 71.000 euro aan cryptovaluta, maar wilde geen vermogensrendementheffing (box 3) daarover betalen. Het onderliggende argument:

  1. Cryptovaluta zijn geen vermogensrechten in de zin van artikel 3:6 BW. Daarvoor is immers vereist dat ze “overdraagbaar zijn, of er toe strekken de rechthebbende stoffelijk voordeel te verschaffen”.
  2. Ook is een eis dat is van een verplichting (schuld) van een ander aan de belastingplichtige, en dat ontbreekt in het geval van cryptovaluta.
In haar arrest is de Hoge Raad daar snel klaar mee. In belastingwetgeving wordt gesproken van “vermogensrechten”, maar dat is een breder begrip dan “vermogensrechten” uit het BW. Belastingtechnisch is genoeg dat ze overdraagbaar zijn (en dat is zo) en dat dit tot voordeel leidt (je krijgt geld).

Weinig spannend uiteindelijk, en ook wel binnen de lijn de verwachting. Jammer is vooral dat de Hoge Raad open laat wát voor vermogensrechten in fiscale zin dit zijn. NRC citeert Sonja Dusarduijn, universitair hoofddocent belastingrecht aan Tilburg University, die uitlegt:

Vallen crypto’s in box 3 onder de categorie ‘geld’ of onder ‘overige bezittingen’? Bij ‘geld’ gaat de fiscus ervan uit dat je minder rendement maakt op je vermogen dan bij ‘overige bezittingen’. Maar het gerechtshof ontweek het antwoord op die vraag met de merkwaardige redenering dat als het geen geld is, het toch in elk geval onder ‘overige bezittingen’ valt.
Die redenering is genoeg om het argument te pareren dat het geen van beide is. Maar het is jammer dat niet is doorgepakt:
Het verschil doet zich ook voelen bij het zogenaamde ‘herstelrecht’, vertelt Dusarduijn. De Hoge Raad heeft in 2021 korte metten gemaakt met het door de fiscus gehanteerde fictieve rendement op vermogen, dat voor sommigen veel hoger lag dan hun daadwerkelijke rendement. Dusarduijn: „De wetgever moet daarom bepaalde vermogensbezitters rechtsherstel bieden. Je moet dan wel aantonen dat het werkelijke rendement op je héle vermogen in een bepaald jaar lager blijkt te zijn dan het fictieve rendement.”
Dit geldt dus ook voor het deel van je vermogen dat in crypto’s bestaat.

Mensen vragen nogal eens: waarom zou je je cryptovaluta opgeven, gezien de blockchainregistratie in principe anoniem is. De belangrijkste reden is natuurlijk dat je identiteit snel zichtbaar wordt bij aan- en verkopen tegen echt geld, want dat betreedt dan het gereguleerde systeem.

Arnoud

Meta krijgt 200 miljoen euro boete voor ‘betaal of oké’ model Facebook

Geplaatst op in Privacy, Regulering, 23 reacties
Photo by Pixabay on Pexels

De Europese Commissie heeft Meta een boete van 200 miljoen euro opgelegd wegens het overtreden van de Digital Markets Act (DMA) met het ‘betaal of oké’ model op Facebook en Instagram. Dat meldde Security.nl vorige week. Dit lijkt het finale doek voor de strategie waarbij je óf een betaald abonnement neemt óf toestemming voor toegang tot je dienst.

In 2023 oordeelde het Hof van Justitie inzake Meta dat het mogelijk moet zijn om toestemming voor tracking in te tracken, sorry trekken, zonder dat je geheel uit de dienst werd gegooid. Er moet een alternatief komen, desnoods tegen een gepaste vergoeding, waar geen tracking in zit:

Thus, those users must be free to refuse individually, in the context of the contractual process, to give their consent to particular data processing operations not necessary for the performance of the contract, without being obliged to refrain entirely from using the service offered by the online social network operator, which means that those users are to be offered, if necessary for an appropriate fee, an equivalent alternative not accompanied by such data processing operations.

Cruciaal hierbij was dat Meta een enorme machtspositie heeft, zodat argumenten van het soort “dan gebruik je het toch gewoon niet” niet opgaan. Meta kwam daarop met een dubbele constructie die men “Pay or consent” noemde: of je betaalt geld, of je betaalt met je persoonsgegevens. Bekt lekker, maar was direct problematisch. Want de AVG eist dat er geen nadeel mag zitten aan het weigeren van toestemming, en ineens moeten betalen terwijl de buurman gratis mag, dat voelt wel nadelig (zeker voor Nederlanders).

Ik blogde toen:

Als ik terugga in waar die term “detriment” of “nadelig gevolg” vandaan kom, dan kom ik bijvoorbeeld bij WP 187 van wat nu de EPDB is. Hieruit haal ik dat iets nadelig is als het zeg maar bestraffend is, je afschrikt die optie te kiezen. Dit halen ze uit eerdere papers over consent bij medische zaken (bij weigering consent geen behandeling, WP 131) en bij het werk (WP 48, bij weigering geen promotie/nieuwe baan).
Helaas komt er geen fundamenteel criterium, maar wordt “als je elke dag op Facebook moet, dan is betalen een vorm van nadeel” als waarheid geponeerd:
Data subjects may suffer detriment if it becomes impossible for them to use a service that is part of their daily lives and has a prominent role.
Let ook op de “may”, die met z’n vriendje “might” regelmatig terugkomt in dit stuk van de analyse. Alles kan – koffie kan, thee kan – maar is dit een theoretische zijsprong of gaat dit over 90% van de gevallen?

Nu is er dus een boete voor deze constructie, zij het opgelegd onder de DMA omdat die het directst toepasbaar is bij het machtige Meta. Het probleem was dat

… it did not give users the required specific choice to opt for a service that uses less of their personal data but is otherwise equivalent to the ‘personalised ads’ service. Meta’s model also did not allow users to exercise their right to freely consent to the combination of their personal data.
Gezien Meta’s macht had zij dus voor een gratis-zonder-tracking versie moeten zorgen naast de betaalde versie. Specifiek omdat de DMA (artikel 5(2) om precies te zijn) dat nadrukkelijk voorschrijft. Dit is dus géén algemene regel die uit de AVG voortvloeit.

Meta heeft in de tussentijd een alternatief opgetuigd met minder tracking. Deze is nog in onderzoek.

Arnoud

Zorgtoezichthouder krijgt gelijk van rechter: geen schending privacy ggz-patiënten

Geplaatst op in Privacy, Regulering, Security, 2 reacties
Photo by Tim Cooper on Unsplash

De Nederlandse Zorgautoriteit (NZa) heeft met het verzamelen van gedetailleerde persoonlijke gegevens niet de privacy geschonden van ongeveer 800.000 patiënten in de geestelijke gezondheidszorg. Dat meldde de NOS vorige week. Ook andere wetgeving is niet in gevaar gebracht, zo oordeelde de rechtbank Midden-Nederland.

In 2023 werd de toezichthouder in een collectieve procedure door diverse stichtingen aangeklaagd. Zij wilden dat de NZa zou stoppen met het opvragen van informatie over de gezondheidssituatie van individuele cliënten in de geestelijke gezondheidszorg bij hun behandelaren en ook met het verwerken van die gegevens, omdat dit het recht op privacy en het medische beroepsgeheim schendt.

Waar gaat het om? Het tussenvonnis uit 2024 (dat ging over de ontvankelijkheidsvraag van de eisers) legt uit:

Op 1 januari 2022 is er een nieuw bekostigingsstelsel voor de geestelijke gezondheidszorg en forensische zorg ingevoerd. Dat is het zorgprestatiemodel. In dat model wordt gewerkt met een systeem van ‘zorgvraagtypering’. Met de zorgvraagtypering wordt de zorgvraag van cliënten in kaart gebracht en wordt er een verband gelegd tussen de zorgvraag en de mogelijke behandelwijzen.
Behandelaren vullen hiervoor zogenoemde HoNOS+-vragenlijsten in, met allerlei scores over sociale en mentale problemen. Met de ingevulde lijsten kan een algoritme worden geijkt en worden de zorgvraagtyperingen ingedeeld. Bij dat laatste ontstond discussie: dat zijn toch bijzondere (medische) persoonsgegevens, hoezo mag de NZa dat opvragen en hergebruiken?

De rechtbank oordeelt nu dat hier sprake is van anonieme gegevens:

De gepseudonimiseerde declaratiegegevens die de NZa ontvangt zijn daardoor geen direct herleidbare persoonsgegevens meer. Hooguit zijn deze declaratiegegevens dan nog indirect herleidbaar,(…)

Drie werknemers van de NZa hebben toegang tot de HoNOS+-gegevens. Van die drie werknemers hebben twee werknemers ook toegang tot de gepseudonimiseerde declaratiegegevens. … [Z]elfs al zouden de twee werknemers binnen de NZa de HoNOS+-gegevens koppelen aan declaratiedata, dat het voor de NZa redelijkerwijs niet mogelijk is om de gegevens te herleiden tot individuen. Doordat de declaratiedata door hashing zijn gepseudonimiseerd, zijn ze versleuteld. De NZa kan deze gegevens niet ‘ontsleutelen’. Zij beschikt namelijk niet over de sleutel om de hashing, en daarmee de pseudonimisering, ongedaan te maken. Ook heeft zij – zoals de NZa heeft aangevoerd – niet de benodigde quantumcomputer om deze hashing te ‘kraken’, omdat die computer simpelweg nog niet bestaat.

De discussie over anoniem versus pseudoniem heeft er dus weer een ronde bij. De verwijzing naar quantumcomputers is wel een leuke: regelmatig wordt gespeculeerd dat deze nieuwe technologie in staat zal zijn om alle bestaande encryptie en hashing te kraken, in de zin dat deze triviaal ongedaan te maken is. Daarbij hoort de filosofische vraag of gegevens dan nu anoniem zijn als ze in de toekomst herleidbaar worden.

Iets concreter is: wat als de NZa wordt gehackt en de brongegevens worden buitgemaakt, waarna de aanvaller alles combineert en de gegevens blootlegt. Maakt dat de gegevens persoonsgegevens? Ja, dan wel. Maar niet nu al. Dat is dus op zichzelf geen redelijk middel om tot herleiding te komen.

In dit specifieke geval geldt overigens dat bij een mogelijke hack bij de NZa de HoNOS+-gegevens anoniem blijven en de declaratiegegevens versleuteld. Ook voor een hacker zal het daardoor technisch gezien vrijwel onmogelijk (en in ieder geval verboden) zijn om de gegevens te herleiden tot individuen, omdat hij dan meerdere partijen zou moeten hacken.
Meer algemeen is er nog de discussie over patiëntprivacy, want ook als je heel formeel de gegevens anoniem noemt, blijft het een verplichting voor patiënten om zeer gevoelige informatie af te staan aan een grote, onzichtbare organisatie.

Net als bij de EHDS van gisteren is de conclusie hier: dat zit wel goed, want het is uitgebreid onderzocht en gemotiveerd, en bovendien verbonden aan een wettelijke regeling. Dat moet genoeg zijn in een democratische samenleving.

Hetzelfde geldt voor het medisch beroepsgeheim: ook dat mag worden doorbroken als dat wettelijk geregeld is, en die regeling op zichzelf maatschappelijk aanvaardbaar is. Daar heeft de wetgever over nagedacht en een redelijke afweging gemaakt, dus ook dat is in orde.

Arnoud

Maak op tijd bezwaar tegen trainen van Meta AI met jouw data, moet dat?

Geplaatst op in Privacy, Regulering, 13 reacties
Photo by Idi Parinduan on Pexels

Mensen die niet willen dat hun gegevens worden gebruikt om de AI van techbedrijf Meta te trainen, hebben nog tot 27 mei de tijd om daar bezwaar tegen te maken. Dat meldde Nu.nl gisteren, op gezag van de Autoriteit Persoonsgegevens.

Vanaf 27 mei gaat het bedrijf de gegevens van gebruikers van  Meta-diensten Facebook en Instagram inzetten om haar AI-model mee te trainen. Bezwaar maken is in ieder geval de snelste methode om hier wat tegen te doen.

Het kan via het bezwaarformulier van Instagram of dat van Facebook. Wie niet kan of wil inloggen, zo ziet het eruit en het lijkt er op dat een AI je bezwaren leest dus gebruik termen als “EU burger”, “GDPR”, “objection” voor een snelle approval.

Maar moet het ook? Je zou zeggen dat hier toestemming nodig is, gezien het gaat om persoonsgegevens. (Auteursrechtelijk ook, maar dat is makkelijker af te dichten in de algemene voorwaarden dus pech gehad wat dat betreft.) Onder de AVG is toestemming (consent) niet de enige grond, en Meta is gaan zitten op de alternatieve grondslag van gerechtvaardigd belang.

Daarbij is opt-out (artikel 21) een verplichting, zij het dat je die moet onderbouwen met persoonlijke omstandigheden. Vandaar de naam van dat veld op het formulier.

Meer algemeen is het een open vraag – ook na de Guidelines van eind vorig jaar – of legitiem belang in te roepen is bij de toepassing “hergebruik voor trainen taalmodel”. In juni blogde ik hierover toen Meta haar plannen voor het eerst bekend maakte:

[Dat ondernemen een legitieme activiteit is] betekent [niet] dat het dus mág, want bij gerechtvaardigd belang hoort een afweging. Zo zien de Europese toezichthouders (verenigd in de EDPB) het ook: in principe moet dit kunnen, maar je moet wel een goede belangenafweging hebben, zo vat ik het maar even samen. Daarbij weegt zwaar wat mensen redelijkerwijs mochten verwachten. Gezien de ophef bij Meta kun je daar dus wel vraagtekens bij stellen.
Helaas is er nog geen toezichthouder die concrete stappen heeft genomen, wat gezien de tijdsspanne tussen vorig jaar juni en nu toch wel had gemogen.

Arnoud

 

 

Hoe bewijs je dat iemand een telefoon in de hand hield als een algoritme dat zag?

Geplaatst op in Regulering, 24 reacties
Foto: Monocam Zakelijk

Doorslaggevend is wat op de foto’s is te zien, aldus een recent arrest uit Arnhem-Leeuwarden inzake het vasthouden van een mobiele telefoon tijdens het rijden. Logisch, maar wél ergerlijk, want de foto kwam pas bij de agent in beeld nadat MONOcam deze had aangewezen. Dit was een kans geweest om het eens te hebben over algoritmische bevooroordeling.

Monocam is “een grotendeels door de Nederlandse politie zelf ontwikkelde camera gemonteerd op een driepoot, geschikt voor zowel binnen als buiten de bebouwde kom”, zoals ook op de bijgaande foto te zien is. Iedereen die passeert, gaat op de foto.

De camera heeft een AI systeem aan boord, dat iedere foto analyseert op de vraag of de persoon in beeld een telefoon in de hand heeft. Als dat zo lijkt te zijn, gaat de foto naar een agent die deze bekijkt en een oordeel op ambtseed geeft. Een collega controleert dit apart. Pas daarna wordt het proces-verbaal opgemaakt.

Het bezwaar in deze zaak: de agent heeft hem niet zien rijden met een telefoon in de hand, maar kreeg een foto uit MONOcam en heeft enkel daarop een oordeel geveld. Maar dat is an sich geen argument: op grond van artikel 3.2 Wahv kan mag worden beboet voor een gedraging die “op geautomatiseerde wijze is vastgesteld”. Dus naar de foto kijken in plaats van in de auto is toegestaan.

Maar was er wel een telefoon te zien? Helaas staat er geen flitsfoto in het arrest, maar wel een beschrijving door het Hof:

De bestuurder houdt met zijn linkerhand het stuur vast, terwijl hij met zijn rechterhand een donkerkleurig rechthoekig voorwerp vasthoudt ter hoogte van het stuur. Daarbij bevindt de duim van de betrokkene zich aan de ene kant van het voorwerp en de andere vingers zich aan de andere zijde. De blik van de bestuurder lijkt te zijn gericht op het voorwerp dat hij vasthoudt.
Dan kijkt men nog eens goed:
Gelet op de wijze waarop de bestuurder van het voertuig het voorwerp vasthoudt en de interactie van de bestuurder met dit voorwerp, in het bijzonder de blik die de bestuurder op het voorwerp heeft, zijn de foto’s in het dossier redengevend voor de vaststelling dat de bestuurder tijdens het rijden een mobiele telefoon met zijn hand vasthoudt.
Ik lees hier dus niet “er is een telefoon gespot” maar “we zagen je een zwart ding vasthouden en bekijken zoals iedereen met een telefoon zou doen.” Je zult maar net een plak roggebrood in de hand hebben gehouden.

Wat mij aan deze casus dus frustreert, is dat ik vrees voor confirmation bias of automation bias: het systeem geeft je alleen foto’s waar de AI telefoons op meende te herkennen. Dat zal vaak kloppen (want hoe vaak heb je nou écht roggebrood in de auto of krab je aan je oor bij het rijden), maar zeker niet altijd. Het risico lijkt me dan levensgroot dat je ook bij die vals positieven op “had telefoon vast” klikt, want de AI heeft meestal gelijk.

Dit is voor mij het algemene probleem van menselijk toezicht, dat we vaak als panacee zien voor problemen met AI. Je kunt wel een mens achter de AI-uitvoer zetten, maar hoe borg je dat die ook werkelijk een zinnige ingreep kan doen? Alleen maar “hij is er op getraind” of “hij werkt op ambtseed” is dan gewoon nogal weinig.

Wat bijvoorbeeld wél zou kunnen werken, is dat de AI af en toe een nepfoto laat zien. Als de menselijke beoordelaar die te vaak als “had telefoon vast” beoordeelt, dan gaat er iets mis met het toezicht – of met de kwaliteit van de AI.

Arnoud

 

 

Moet mijn accountant een kopie van mijn identiteitsbewijs maken?

Geplaatst op in Privacy, Regulering, Security, 14 reacties
Photo by OpenClipart-Vectors on Pixabay

Een lezer vroeg me:

Ik ben ZZP’er en mijn accountant vraagt om een kopie van mijn identiteitsbewijs in het kader van de Wwft. Mijn vraag is: is het echt noodzakelijk dat mijn accountant een kopie van mijn identiteitsdocument bewaart? Kan hij niet gewoon alleen het nummer daarvan opschrijven, als bewijs dat hij het heeft gezien?
Korte antwoord: Dat is hij wettelijk verplicht, en nee er mogen geen doorhalingen of watermerken op gezet.

De Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft) eist van organisaties zoals accountants dat zij cliëntenonderzoek doen. Hiermee wordt het moeilijker voor criminelen om illegaal verkregen gelden in het financiële systeem te brengen of terroristische activiteiten te financieren, is de gedachte. Dit wordt ook wel de “poortwachtersfunctie” genoemd.

De accountant moet dus met zekerheid kunnen vaststellen wie de cliënt is. Dit moet met een wettig identiteitsbewijs. (Er is wat discussie over het rijbewijs, maar dat terzijde.) En de accountant moet kunnen aantonen dat aan de wettelijke verplichtingen is voldaan bij eventuele controles door toezichthouders.

De kopie dient dus als bewijs bij zo’n controle dat de accountant de identificatie van de cliënt heeft gedaan (artikel 33 Wwft). En de reden dat daar geen strepen of watermerken overheen mogen, is omdat dan bepaalde echtheidskenmerken niet meer te verifiëren zijn. Nee, ik weet ook niet welke dat zijn die verifieerbaar zijn op een kopie maar dat is consequent wat banken zeggen en rechters accepteren, dus daar moeten we het mee doen.

In strijd met de AVG is dit ook allemaal niet. Omdat artikel 33 Wwft de kopie verplicht (en het bewaren daarvan), is er een AVG-grondslag – de wettelijke plicht. De AP bevestigt dit in een publicatie over identificatie bij financiële ondernemingen, maar ik weet dat de Rijksoverheid wat losser is met haar uitspraak dat “Banken en financiële dienstverleners zijn niet verplicht om een kopie of een scan van uw identiteitsbewijs te maken.”

Arnoud

Proton dreigt Zwitserland te verlaten bij aannemen nieuwe surveillancewet

Geplaatst op in Privacy, Regulering, Security, 4 reacties
Photo by kreatikar on Pixabay

Het Zwitserse Proton dreigt Zwitserland te verlaten als de regering een herziening van de surveillancewet aanneemt, las ik bij Tweakers. Nee, geen deeltje ontsnapt uit de Large Hadron Collider maar de versleuteldemaildienst ook wel bekend als Proton Mail. Het roept de vraag op, wat zouden ze werkelijk kunnen doen?

Proton is het bedrijf achter de dienst ProtonMail, maar men heeft ook aanverwante diensten zoals VPN, opslag en kalender. Unique selling point van het bedrijf is een volledige commitment aan data privacy en klantgeheim, inclusief client side encryption waarbij ook het bedrijf niet bij klantdata kan.

Voor veel mensen was het in 2021 raar te horen dat Protonmail op bevel toch bleek te loggen, ondanks dat men overal zegt niet te loggen. De reden was simpel: bij een concrete verdenking van een persoon moet ook Proton de in- en uitkomende mail loggen. De inhoud kan men niet bij, dus die hoeft niet te worden gegeven.

De aankomende wijziging van de Zwitsere surveillancewet zou dit moeten veranderen. Die wijziging ligt nu in internetconsultatie, dus er kan nog veel wijzigen, maar inderdaad staat hier een decryptieplicht in van mails die jouw dienstafnemers versturen, voor zover dat voor jou technisch haalbaar is.

Als ik zelf met GPG uitgaande mails versleutel, hoeft Proton dus niets te doen. Maar als ik hún encryptie gebruik, dan moet Proton dus een achterdeur hebben voor het geval Justitie eist dat mijn mail toegankelijk moet worden. En dat is precies wat Proton niet wil.

Inderdaad gaat dit erg ver, veel verder nog dan ook in Europa ter discussie staat. Een algemene decryptieplicht ligt al een tijdje niet meer op tafel, de discussie hier gaat over het automatisch meekijken bij verstuurde afbeeldingen of er kindermisbruik op te zien is.

Of het wetsvoorstel het gaat halen, kan ik zo niet inschatten. In het bronartikel bij Der Bund staat nog dat het voorstel tegen een arrest van de hoogste Zwitserse rechter in gaat, maar dat is natuurlijk geen argument. Een wetgever mág wetten maken die jurisprudentie aan de kant schuift, dat is hun goed recht. Tenzij de wet tegen hoger recht aanbotst, zoals het EVRM (waar Zwitserland bij zit), maar dat is hier geen uitgemaakte zaak.

Arnoud

Hoe kan ik met SCC’s nou regelen dat de NSA van mijn data afblijft?

Geplaatst op in Privacy, Regulering, Security, 9 reacties

Een lezer vroeg me:

Mocht het Data Privacy Framework (DPF) komen te vervallen, dan schrijft het kabinet dat we kunnen terugvallen op de modelcontractbepalingen (SCC’s) in onze contracten met cloud-providers om de privacy te waarborgen. Echter, hoe kan een contract met een cloud-provider nu zaken opvangen als het inperken van de toegang tot EU-gegevens door Amerikaanse inlichtingendiensten, zoals nu door DPF wordt gedaan?
Het Data Privacy Framework of DPF is een set afspraken tussen de VS en de EU, waarmee een zogeheten “adequaat niveau” van omvang met persoonsgegevens in de VS wordt vastgelegd. Op grond van het DPF is vervolgens door de Europese Commissie gesteld dat de VS een adequaat land is om persoonsgegevens heen te brengen, mits je dat doet binnen de kaders van het DPF.

Recent heeft president Trump leden van het voor het DPF essentieel orgaan, de Privacy and Civil liberties Oversight Board (PCLOB), ontslagen. Hierdoor is er geen quorum meer voor deze board om beslissingen te nemen, zodat ze effectief machteloos is geworden. Daarmee lijkt het DPF niet meer te voldoen aan de afspraken en is de kans groot dat het adequaatheidsbesluit moet worden ingetrokken.

Als dat gebeurt, kun je dus geen persoonsgegevens meer overbrengen naar de VS. Oftewel: geen US clouddiensten gebruiken voor opslag of verwerking daarvan. (Bij Europese dochterbedrijven met datacenters alhier is een ander verhaal.)

Naast dat adequaatheidsbesluit zijn er ook de zogeheten modelcontractbepalingen (SCC’s). Hiermee regel je het zelf: je spreekt met je Amerikaanse wederpartij regels af waarmee zij zich conformeren aan de AVG, kort gezegd. Daaronder valt ook het nemen van maatregelen die AVG overtredingen borgen, zoals het in strijd met de AVG afgeven van persoonsgegevens aan Amerikaanse justitie.

Een terecht punt is hoe je dat doet als de lokale wetgeving je daartoe juist verplicht. Dat punt was even minder relevant, omdat de redenering was dat dóórdat het DPF en het adequaatheidsbesluit er waren je mocht aannemen dat dit niet zomaar zou gebeuren. Een adequaat land mág haar justitie dingen laten vorderen, die kaders zijn gewoon AVG-conform – dat is het punt van het land adequaat achten. Het zit wel goed daar.

Dat argument staat natuurlijk op losse schroeven als dat adequaatheidsbesluit nu ingetrokken wordt door het wegvallen van het DPF. Wat heb je dan nog om te zeggen, mijn Amerikaanse wederpartij kan zich gewoon aan de SCC afspraken houden?

In een recente kamerbrief zegt onze staatssecretaris Digitalisering en Koninkrijksrelaties daarover dat “Mocht het DPF komen te vervallen, dan zal mogelijk middels een DTIA gekeken moeten worden naar de vraag of er (en zo ja welke) aanvullende waarborgen of maatregelen moeten worden genomen om de in de AVG vereiste rechtsbescherming voor natuurlijke personen te waarborgen.” Dat schuift dus het probleem voor ons uit.

Terzijde: Of Amerikaanse inlichtingendiensten stiekem bij data kunnen is volledig irrelevant voor deze discussie. Dat is een beveiligingskwestie, maar staat los van de vraag of je van de AVG je data mág opslaan daar. Die vraag gaat pas spelen als overheidsinstellingen op grond van de wet vorderen dat ze data mogen hebben, dus juridisch in plaats van gewoon praktisch er bij willen. De NSA is hetzelfde als iedere willekeurige indringer van buitenaf.

Arnoud