Tag: toezichthouder

About toezichthouder

Subscribe Feeds

Wacht even, nu gaan privacytoezichthouders ook al notice/takedown verzoeken doen?

Geplaatst op in Privacy, Regulering, 15 reacties

De Ierse privacytoezichthouder DPC heeft noyb, de organisatie van privacyactivist Max Schrems, een take down request gestuurd waarin wordt verzocht een document te verwijderen. Dat meldde Security.nl vorige week. Het document is het conceptbesluit op noyb’s handhavingsverzoek tegen Facebook, waarin een opmerkelijke interpretatie van de AVG wordt geïntroduceerd die een joekel van een loophole oplevert. De DPC wil deze publicatie offline omdat ze interfereert met het overlegproces om het besluit te finaliseren.

Er is al jaren kritiek op de Ierse privacytoezichthouder omdat het niet zou optreden tegen techbedrijven, die vaak in Ierland hun Europees hoofdkantoor hebben. Iets wat de DPC ontkent. De nieuwe kritiek gaat over de opmerkelijke draai die Facebook op 25 mei 2018 maakte: vanaf toen hoefde niemand meer toestemming te geven onder de AVG voor wat Facebook deed, dat was sindsdien namelijk allemaal een noodzakelijk deel van de dienstverlening en voor verwerkingen die nodig voor een contractsuitvoering zijn, is geen toestemming nodig.

Ik ken werkelijk niemand behalve Facebook die met een serieus gezicht volhoudt dat “als wij in de voorwaarden zetten dat het nodig is, dan is het nodig” een valide interpretatie van de AVG is. Maar goed, nu dus de Ierse toezichthouder ook. Ik snap dus wel dat iemand als Schrems daar een publicatie over doet.

Dat valt juridisch een beetje slecht, want formeel is deze interpretatie van de DPC (disclaimer: er zijn geen aanwijzingen dat Facebook het conceptbesluit heeft voorgekookt of geschreven) slechts een concept, dat nu gedeeld wordt met belanghebbenden en andere toezichthouders, die dan commentaar mogen leveren, waarna er een definitief, openbaar besluit komt. Het is niet heel gebruikelijk dat conceptbesluiten in de pers komen, want er kunnen immers fouten in staan, slordigheden en ga zo maar door. Precies daarom wil je feedback verwerken voor je het besluit oplegt.

In veel procedures zijn dan ook expliciete geheimhoudingsregels opgenomen. De AVG kent die niet, en ook in de Ierse Uitvoeringswet AVG kan ik zoiets niet vinden. De DPC verwijst naar artikel 26 daarvan, maar zo te lezen gaat dat alleen over medewerkers van de DPC. Desondanks is de takedownbrief heel stellig: weg met die publicatie, en wel meteen. Maar wie als cynische jurist leest, komt tot de conclusie dat er veel bangmakerij staat maar géén “op grond van artikel 26 van de wet beveel ik u”. En reken maar dat een jurist die zin opneemt als hij daar aanleiding toe ziet, weinig dingen zo heerlijk als keihard in je recht te staan en met wapperende toga de wederpartij tot de orde te roepen.

De discussie wordt wat complex omdat noyb in de eerdere onderzoeksfase had toegezegd documenten vrijwillig geheim te houden om het onderzoek niet te schaden. De DPC citeert passages van noyb die zonder voorbehoud lijken te zeggen dat men die documenten gewoon, altijd geheim zal houden. noyb stelt daar tegenover dat de volledige toezeggingsmails duidelijk maken dat het alleen ging om de onderzoeksfase, die ondertussen allang is afgerond.

Ondertussen is het mij een raadsel wat de DPC dacht te bereiken nu hun conceptbesluit al wereldnieuws bleek te zijn geworden toen men de boze brief ging sturen.

Arnoud

Autoriteit Persoonsgegevens gaat toezien op AI en algoritmes

Geplaatst op in Ondernemingsvrijheid, Privacy, 2 reacties

De Autoriteit Persoonsgegevens gaat toezien op het gebruik van kunstmatige intelligentie (AI) en algoritmes waarbij persoonsgegevens worden gebruikt. Dat las ik bij Security.nl. De grens tussen ‘wat geweldig dat dit kan’ en ‘bloedlink wat hier gebeurt’ kan juist hier soms akelig dicht bij elkaar komen, aldus de toezichthouder. Iedereen die verantwoordelijk is voor de inzet van algoritmes en AI moet weten wat hij doet en daar transparant over zijn. Mogelijk gaat de AP AI inzetten voor dit toezicht; men heeft immers een zwaar menstekort.

Oké dat was nodeloos cynisch en/of clickbait. Maar toch: het voelt gek om zo’n technisch pittig onderwerp tot focus te verklaren als je nu maar 138 van de 20.000 klachten tot onderzoek bombardeert, en het aantal boetes met binair stelsel op de vingers van één hand te tellen zijn. Desondanks is het een goede stap, omdat veel organisaties tot nu toe AI aangereikt kregen in mooie brochures als prachtige beloftes van objectiviteit, en nu de FG en/of jurist van zo’n organisatie met enige onderbouwing kan wapperen dat er toch risico’s aan deze nieuwe technologie zitten.

Het beoogde toezicht van de AP bevat voor mij geen écht nieuwe stappen. Het komt neer op invullen van de eisen uit de AVG, met name transparantie en uitlegbaarheid van wat je doet en de verantwoordingsplicht waarmee je moet onderbouwen waarom je transparant bent en hoe je echte uitleg geeft. (De verantwoordingsplicht is het grofste geschut dat de AVG heeft; hele hordes doen het keurig maar kunnen het niet verantwoorden en overtreden dus alsnog de AVG.)

De leukste hobbel om te moeten nemen alvorens je een algoritme in gaat zetten is dat je een DPIA moet uitvoeren. Het valt al heel snel onder een “systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen” (art. 35 AVG), of dat nou gaat om het weigeren van leningen of het niet uitnodigen van sollicitanten. Daar zitten risico’s aan omdat je niet weet hoe zo’n algoritme werkt, terwijl je de klant of sollicitant dat wél moet kunnen uitleggen.

En de kicker: als je die DPIA uitvoert en je concludeert dat je niet eenvoudig aan de AVG kunt voldoen, dan mag het niet totdat je toestemming van de AP hebt. Wat volgens mij de overgrote meerderheid gaat krijgen, want hoe ga je die risico’s managen als je niet weet hoe de tool werkt? Of iets preciezer gezegd, als je niet weet hoe de dataset opgebouwd is en hoe je geborgd hebt dat deze alleen de gewenste, eerlijke factoren betrekt in de analyse? Dan is een bulletpoint op de doos “free of bias” van de fabrikant echt niet genoeg.

En ja, ik kan ook nog een hele tirade voeren over het feit dat we het steeds hebben over “inzet van algoritmes” terwijl het hele punt van AI juist is dat je geen algoritme inzet maar een enorme Excelsheet die correlaties presenteert als harde regels. Maar dat is niet goed voor de bloeddruk.

Arnoud

Hoe kan WhatsApp alle Duitse klanten uitzonderen van haar Facebookkoppeling?

Geplaatst op in Privacy, Regulering, 12 reacties

whatsappFacebook moet WhatsApp-data wissen van Duitse privacywaakhond, meldde Tweakers vorige week. De privacytoezichthouder van de deelstaat Hamburg (waar Facebook gevestigd is) heeft bepaald dat de recente Facebook/Whatsapp-koppeling in strijd is met de Duitse Wet bescherming persoonsgegevens. Facebook mag nu geen gegevens van Duitse WhatsApp-gebruikers meer hebben. Maar hoe kan Facebook dat doen, vroegen diverse mensen me.

De reden voor het Duitse stakingsbevel is dat WhatsApp nooit vooraf heeft gevraagd of zij gegevens aan andere bedrijven mag geven. Zoiets mag alleen met toestemming, ook als het gaat om je nieuwe moederbedrijf. En die toestemming heeft WhatsApp noch Facebook geregeld. Dat is dus gewoon een overtreding van de privacywet, de Wbp.

(Facebook kletst dan ook uit haar nek in haar persbericht dat zij zich zou houden aan Europese privacywetgeving. Allereerst omdat die er niet is – de Richtlijn is geen wet maar een instructie om wetten te máken. En ten tweede omdat in heel Europa die wetten hetzelfde zijn, en de Duitse interpretatie correct is.)

Maar goed, stel dat WhatsApp zegt, prima, we houden ons hieraan, we blokkeren dit voor Duitsers. Hoe moet dat dan? Want er is geen paspoortcontrole als je WhatsApp neemt, dus hoe weten zij dan welke accounts Duits zijn?

Er zijn natuurlijk diverse benaderingen te verzinnen. Accounts met Duitse telefoonnummers (kengetal +49) zullen vermoedelijk aan personen uit Duitsland behoren. Je kunt een landinstelling doen via je account. De taalinstelling zegt misschien ook iets (hoewel Oostenrijk en Zwitserland, en wellicht België, daar anders over zullen denken). Wellicht logt WhatsApp de landen waar je bent, het land waar je 90% van de tijd bent zal dan wel ‘jouw’ land zijn. Een optelsom van een aantal van die factoren zou voor mij een prima manier zijn. Maar toegegeven, 100% zekerheid heb je niet.

Is dat een probleem? Voor de wet niet. Wetten bepalen zelden hoe je dingen moeten doen, ze zeggen wat het gewenste eindresultaat is en verlangen van jou dat je dat doet of uitlegt waarom dat niet kan. En de lat bij dat laatste ligt hoog. In het algemeen moet je alles doen dat je redelijkerwijs kan om aan zo’n bevel te voldoen.

Honderd procent zekerheid wordt niet verlangd, en het is dus geen argument dat je die niet kunt geven. Laat maar zien wat je wél kunt doen en hoe goed dat resultaat is.

Arnoud

Drones en dashcams krijgen strenge nieuwe privacyregels

Geplaatst op in Security, 27 reacties

drone-camera-vliegenEen drone met camera moet een encrypted filesystem hebben, en wie met een dashcam gaat rijden, moet eerst in de buurt gaan flyeren dat hij rondrijdend cameratoezicht gaat toepassen. Dat maak ik op uit de nieuwe Beleidsregels Cameratoezicht die de Autoriteit Persoonsgegevens (het blijft wennen, die naam) vorige week publiceerde. Met deze regels wil de AP verduidelijken wat er wel en vooral wat er niet mag met cameratoezicht.

Cameratoezicht is een verwerking van persoonsgegevens, begint het. Ook als je alleen live kijkt. Een beeld van een persoon is een persoonsgegeven, en alles dat je daarmee doet is een verwerking. Dus ook het bekijken van dat beeld via een computersysteem. Je kunt dus – afgezien van de particulier die zijn eigen huis van binnen van camera’s voorziet – nooit meer onder de Wbp, de privacywet uit.

Daar komt dan nog even een vervelende hobbel tussendoor: eigenlijk zijn het bijzondere persoonsgegevens, en die mag je überhaupt niet verwerken behalve in een paar gevallen die bij cameratoezicht niet opgaan. Maar om “opportune redenen” besluit de AP dat camerabeelden alleen bijzondere persoonsgegevens zijn als je het doel hebt informatie over bijvoorbeeld ras of gezondheid van mensen te vergaren. (Dat “doel”-vereiste geldt overigens alleen bij dit onderdeel. Als je per ongeluk mensen in beeld brengt met je schoorsteen-inspectiedrone, dan is dat gewoon een verwerking en moet je de camera maar later aanzetten.)

Wil je camerabeelden verwerken, dan moet je daar een rechtvaardiging voor hebben onder de Wbp. Dat zal gewoonlijk het eigen dringende belang zijn, oftewel u kunt niet anders én u heeft alles gedaan om de privacy zo veel mogelijk te beschermen. Maar de AP zit er streng in: denk vooral niet te snel dat je een voldoende belangrijk belang hebt. Je kunt heel vaak ook alternatieven invoeren, en dat die een beetje duurder of voor jou ingewikkelder zijn, is minder van belang.

Beveiliging van personen of goederen is in principe een legitiem doel, maar de privacy van anderen weegt zwaar. Zorg dus dat je beleid hebt dat rechtvaardigt waarom je er zonder camera niet komt. Zijn er geen poortjes te plaatsen of tassen te doorzoeken? Moet de camera de hele werkvloer filmen of kan hij ook beperkt tot die kassa waar soms geld uit verdwijnt?

Verder heb je beveiligings- en informatieplichten. Camerabeelden kunnen ook datalekken, dus logisch dat je de opslag en het gebruik daarvan netjes moet regelen. Documenteer wat je doet, en zorg ervoor dat dat wordt nageleefd. Hier staat niets geks, het is eigenlijk al lang best practice om dit gewoon goed uit te werken en op te letten wat er gebeurt met je beelden.

Maar dat pakt wel gek uit bij drones en dashcams. Als een drone uit de lucht valt, aldus de AP, dan kan de vinder bij de beelden en dat is een datalek. Daarom moeten de beelden versleuteld opgeslagen zijn. Ja, dat vind ik een tikje gezocht.

Informeren dat je cameratoezicht hanteert, is ook een belangrijke. Een bedrijf kan dat prima: hang een bordje op en leg een kopie van dat beleid bij de receptie. Inzage is dan ook nog wel te regelen. Maar hoe doe je dat bij een drone? Nou, zo:

Te denken valt aan het plaatsen van borden aan de randen van het vlieggebied, een vooraankondiging en het verstrekken van actuele informatie op de website van de verantwoordelijke en via (sociale) media en bijvoorbeeld gemeentelijke nieuwsbrieven, het ter plekke uitdelen van informatiefolders en het zichtbaar en hoorbaar maken van de drones door middel van bijvoorbeeld felle kleuren, (knipperende) lichten en geluidssignalen.

Voor dashcams doet men niet eens een póging dit uit te werken, en ik zou ook werkelijk niet weten hoe je daaraan zou kunnen voldoen.

Afijn. Een heel nobel streven deze richtlijnen, maar het bevestigt bij mij alleen maar het beeld van die kaartenbakwet die overal op toegepast wordt. Een drone of dashcam ís geen personeelsadministratie of klantrelatiedatabank. En regels die goed passen bij die twee dingen, werken gewoon niet als je het vertaalt naar een drone. Desalniettemin, het idee van sectorspecifieke privacywetgeving gaat hem voorlopig echt niet worden. Dus voorzie die drone van knipperlichten en strooifolders, en laat een mannetje vooruit lopen als je met je dashcam gaat rijden.

Arnoud