Privacy Alerts #18: Verenigd Koninkrijk wil Europese gegevensbeschermingsregels herzien

Share
Share on linkedin
Share on facebook
Share on google
Share on twitter

De Britse regering heeft een ingrijpende herziening aangekondigd van EU-wetgeving. De aankondiging houdt het risico in van nieuwe botsingen met Brussel, nu de Britse regering heeft gezegd dat zij de Europese regels omtrent gegevensbescherming wil vervangen door nieuwe, specifiek op het VK gerichte wetgeving. Verder in Privacy Alerts #18: de Italiaanse toezichthouder wil duidelijkheid over ‘slimme bril’ van Facebook en China’s beperkingen op de grensoverschrijdende overdracht van persoonsgegevens in het kader van de PIPL.

Verenigd Koninkrijk wil Europese gegevensbeschermingsregels herzien             

De Britse overheid heeft recentelijk een advies uitgebracht dat wel eens een afzwakking kan inhouden van het recht van individuen om beslissingen aan te vechten die over hen worden genomen door kunstmatige intelligentie.

Na de Brexit is er een verschil ontstaan in wetgeving tussen het Verenigd Koninkrijk (VK) en de Europese Unie (EU). Dit betekent dat er op dit moment twee wetgevingen inzake gegevensbescherming naast elkaar bestaan. Voor Britse websites, bedrijven en organisaties die persoonsgegevens van personen binnen de EU verwerken, betekent dit dat zij aan twee sets wetgeving moeten voldoen.

Bij de implementatie van de AVG door het Verenigd Koninkrijk (via de Data Protection Act 2018) kregen mensen het recht om niet te worden onderworpen aan een uitsluitend geautomatiseerd besluitvormingsproces met aanzienlijke gevolgen (artikel 22 AVG). Artikel 22 AVG garandeert een menselijke toetsing van beslissingen genomen door algoritmen (‘human in the loop’) op gebieden als kredietverstrekking of personeelswerving.

Dit recht moet echter volgens het Britse Ministerie voor Digitale zaken, Cultuur, Media en Sport (DCMS) nu worden herzien. Volgens het DCMS is het nodig om dit recht te bekijken in de context van het toenemende gebruik van geautomatiseerde besluitvorming in veel industrieën. “Het is van cruciaal belang dat de bepalingen van de Britse AVG met betrekking tot geautomatiseerde besluitvorming en profilering werken voor organisaties en voor individuen’’, aldus het DCMS. Met de herziening beoogt de regering innovatie te stimuleren. Daarom moet worden onderzocht of artikel 22, gezien de waarschijnlijke ontwikkeling van een data-gestuurde samenleving, nog de noodzakelijke bescherming kan bieden.

Deze riskante beslissing van het VK om de regels van Brussel te schrappen, zou het Verenigd Koninkrijk tot buitenbeentje kunnen maken nu zelfs landen als China stappen zetten in de richting van meer menselijk toezicht op algoritmische besluitvorming.

Het VK overweegt ook om een einde te maken aan de (irritante) pop-ups die het mogelijk maken om cookies te weigeren. De informatiecommissaris Elizabeth Denham stelt voor dat gebruikers eenmalig voorkeuren instellen in hun browser. Dat zou echter wereldwijde samenwerking vereisen.

Afwijking van de EU-beginselen inzake gegevensbescherming kan ernstige gevolgen hebben. Het gevaar daarbij is dat het VK de (onlangs verworven) status van ‘’land met adequaat of passend beschermingsniveau’’ verliest. Om rechtmatig gegevens uit te wisselen met landen buiten de EU, moet het ‘derde land’ een adequaat niveau van gegevensbescherming bezitten. Dit houdt in dat het beschermingsniveau van dat land gelijk is aan het niveau dat door EU-wetgeving wordt gehanteerd. Het verlies van deze status zou rampzalige gevolgen kunnen hebben voor bedrijven. Het valt nog maar te bezien wat de hervormingen in de praktijk zullen betekenen.

China’s beperkingen op de grensoverschrijdende overdracht van persoonsgegevens in het kader van de PIPL

China heeft in augustus 2021 een nieuwe wet aanvaard voor de bescherming van persoonlijke informatie (PIPL), die op 1 november 2021 van kracht moet worden. De wet regelt de verwerking en het gebruik van persoonsgegevens. De goedkeuring van de PIPL betekent dat China de stap zet naar een robuustere en uitgebreidere regeling voor de bescherming van persoonsgegevens door een centrale en sectoroverschrijdende wet vast te stellen, zoals de Europese Unie heeft gedaan met de Algemene verordening gegevensbescherming (GDPR).

De PIPL vertoont sterke gelijkenissen met de AVG. Net als bij de AVG hebben personen het recht om kennis te nemen van, en beslissingen te nemen over de verwerking van hun persoonsgegevens. Zij hebben bijvoorbeeld het recht om een correctie of verwijdering van hun gegevens te verzoeken. Maar er zijn ook verschillen tussen de PIPL en de AVG. Anders dan in de AVG is onder de PIPL een ‘gerechtvaardigd belang’ bijvoorbeeld geen rechtsgeldige rechtsgrondslag voor organisaties om gegevens te verzamelen en te verwerken. Bovendien schrijft de PIPL een strengere controle voor op grensoverschrijdende gegevensoverdracht.

Elke organisatie die binnen de grenzen van de Volksrepubliek China met persoonsgegevens omgaat, zal aan de wet moeten voldoen. Maar China’s nieuwe wet raakt ook Nederlandse bedrijven. Internationale organisaties buiten China die producten of diensten leveren aan personen die woonachtig zijn in China, of die daarvan gegevens analyseren en evalueren, zullen aan de PIPL moeten voldoen.

Bedrijven die buiten de grenzen van China persoonsgegevens verwerken – en dat geldt ook voor datagiganten zoals Facebook, dat Chinese klanten bedient -, moeten een contract voor grensoverschrijdende overdracht ondertekenen. Ook moet de gegevensverwerker alvorens persoonsgegevens naar het buitenland door te geven, de betrokkene op de hoogte brengen van de informatie over de ontvanger in het buitenland (zoals de naam van de ontvanger, zijn contactpersoon, het doel van de gegevensverwerking, enzovoort) en de afzonderlijke toestemming van de betrokkene verkrijgen. Ook kunnen bedrijven worden onderworpen aan veiligheidsbeoordelingen of certificeringsvereisten van de cyberbeveiligings- en informatieafdeling van de staat (de CAC).

Voor Europese bedrijven betekent de nieuwe wet dat AVG-compliance geen PIPL-compliance garandeert. Het is daarom aan te raden dat bedrijven de beperkingen omtrent grensoverschrijdende gegevensoverdracht tijdig evalueren en de formaliteiten daaromtrent voorbereiden.

Italiaanse toezichthouder wil duidelijkheid over ‘slimme bril’ van Facebook

Facebook heeft zijn eerste ‘slimme bril’ gelanceerd. De bril is sinds twee weken in verschillende versies beschikbaar in onder andere de Verenigde Staten (VS), het Verenigd Koninkrijk (VK) en Italië.

De slimme bril van Facebook, die tot stand is gekomen in samenwerking met Ray-Ban, stelt dragers onder andere in staat om telefoongesprekken te voeren of foto’s en video’s op te nemen en deze te delen via de diensten van Facebook zoals Instagram, WhatsApp, Twitter en TikTok. De technologie is niet nieuw. In het verleden was er al zoveel ophef over de vergelijkbare Google Glass dat Google besloot de bril niet langer aan consumenten te verkopen.

Facebook investeert volop in virtual en augmented reality (AR), maar het duurt volgens het bedrijf nog vijf tot tien jaar voor een ‘echte’ AR-bril op de markt komt. Zo’n bril zal in staat zijn digitale informatie in te passen in de fysieke werkelijkheid, bijvoorbeeld om navigatie te vergemakkelijken. De huidige bril heeft deze mogelijkheden (nog) niet.

Technologische ontwikkelingen roepen vaker vragen en uitdagingen op ten aanzien van privacy. De Italiaanse gegevensbeschermingsautoriteit (GPDP) heeft Facebook al direct om opheldering gevraagd over de slimme bril. De GPDP wil beoordelen of het product in overeenstemming is met de privacywetgeving.

Slimme brillen kunnen tot een flinke inbreuk op de privacy leiden. Tijdens het doen van dagelijkse boodschappen kunnen de slimme brillen bijvoorbeeld videobeelden maken – de informatie die daarmee wordt verzameld kan vervolgens worden gebruikt door het supermarktconcern en haar adverteerders. Ook kunnen slimme brillen data over de locatie van de gebruiker opslaan.

De Italiaanse autoriteit heeft met name gevraagd naar de rechtsgrondslag op basis waarvan Facebook persoonsgegevens verwerkt, de maatregelen die zijn genomen om mensen die af en toe worden gefilmd (met name minderjarigen) te beschermen, en de systemen die zijn gebruikt om de verzamelde gegevens te anonimiseren.

Facebook heeft gemeld dat het al contact had opgenomen met de Ierse DPC, de leidende toezichthouder, om informatie te delen over de functionaliteit van de bril en de manier waarop privacy is ingebouwd in het productontwerp (‘privacy by design’ volgens artikel 25 AVG). Zo zou de bril privacy-gerichte functies bevatten, zoals een aan/uit-schakelaar om de camera’s en de microfoon uit te schakelen.

Facebook heeft ook een ruim privacybeleid op zijn website gezet, volgens hetwelk het bedrijf geen toegang zal krijgen tot de media van gebruikers zonder hun toestemming. Ook geeft Facebook aan dat de inhoud van foto’s en video’s die met de slimme bril zijn gemaakt en opgeslagen, niet zal worden gebruikt voor gepersonaliseerde advertenties.

Ivy Woanya

Ivy Woanya

Ivy Woanya is jurist bij The Privacy Factory. Momenteel volgt zij de Master Internet, IE en ICT aan de Vrije Universiteit Amsterdam. Zij heeft een passie voor privacy, big data en artificial intelligence.

Meld u aan voor Privacy Weekly

Aanmelden Privacy Weekly
Elke donderdag een privacy alert, blog of whitepaper in uw inbox!
cookie

Wij gebruiken alleen functionele en analytische cookies om u een optimale gebruikerservaring te bieden op onze website. Onze cookies verzamelen geen persoonsgegevens. Meer informatie.