Privacy Alerts #20: Facebook’s poging om strikte toestemmingsvereiste uit de AVG te omzeilen wordt ‘goedgekeurd’ door Ierse DPC

Share
Share on linkedin
Share on facebook
Share on twitter

De Ierse DPC geeft groen licht voor de ‘AVG-omzeiling’ door Facebook. Facebook probeert de strenge toestemmingsregels van de AVG te omzeilen door verwerking van gegevens te scharen onder een ‘contract’. Daardoor kan het gebruik van klantgegevens zonder toestemming worden gelegitimeerd. Dit druist absoluut in tegen de bedoelingen van de AVG, die expliciet verbiedt toestemming in algemene voorwaarden te verstoppen. Verder in deze publicatie: Nederlandse toezichthouders gaan intensief samenwerken om toezicht op digitale activiteiten te versterken, gebruik van gezichtsherkenning in Schotse scholen en scholen voldoen vaak niet aan bewaartermijn.

Facebook’s poging om strikte toestemmingsvereiste uit de AVG te omzeilen wordt ‘goedgekeurd’ door Ierse DPC

De Ierse privacytoezichthouder (DPC) wil Facebook een boete van tussen de 28 en 36 miljoen euro opleggen. Dit blijkt uit een conceptvoorstel dat is opgesteld door de DPC. Het voorstel is onderdeel van een onderzoek naar Facebook en is gepubliceerd op de website van NOYB, de stichting van Max Schrems. De Ierse toezichthouder is de leidende toezichthouder in het onderzoek, maar ook andere toezichthouders hebben zich bij het onderzoek aangesloten.

Uit het conceptvoorstel blijkt dat Facebook voor het verzamelen van gebruikersdata (slim) gebruikmaakt van een zogeheten ‘maas in de wet’. Facebook heeft er namelijk voor gekozen om de verwerking van gegevens in een ‘contract’ op te nemen, waardoor de strikte vereisten voor ‘toestemming’ niet meer van toepassing zouden zijn. Deze omzeiling van de ‘toestemmingsgrondslag’ is volgens de DPC echter niet problematisch.

Onder de AVG zijn er zes verwerkingsgrondslagen (artikel 6 lid 1 AVG). Een daarvan is toestemming. Een gebruiker kan zijn ‘uitdrukkelijke’ toestemming geven voor de verwerking van zijn gegevens. De meeste Europese toezichthouders zijn van mening dat Facebook deze ‘toestemmingsbasis’ (artikel 6 lid 1 sub a AVG) nodig heeft om gebruikersgegevens te (mogen) verzamelen. Facebook beroept zich echter zelf op een andere wettelijke grondslag, namelijk dat het verwerken van gegevens ‘noodzakelijk is om een overeenkomst uit te voeren’ (artikel 6 lid 1 sub b AVG). Volgens Facebook tekenen gebruikers ‘een overeenkomst’ met het bedrijf wanneer ze een Facebook-account aanmaken. Daarmee wordt de toestemmingsgrondslag ‘’omzeild’’.

De regels die van toepassing zijn op de ‘toestemmingsgrondslag’ zijn anders dan de regels die gelden wanneer het verwerken van gegevens wordt gebaseerd op de ‘overeenkomst’. Als de verwerking van gegevens wordt gebaseerd op toestemming van de betrokkene, dan heeft de betrokkene op grond van artikel 7 lid 3 AVG het recht om de verleende toestemming op ieder moment (en zonder opgaaf van redenen) weer in te trekken. Voor zover de verwerking uitsluitend is gebaseerd op de toestemming van de betrokkene komt de grondslag voor de verwerking volledig te vervallen zodra de toestemming wordt ingetrokken.

Wanneer de gegevensverwerking daarentegen wordt gebaseerd op artikel 6 lid 1 sub b AVG zouden alle strikte regels inzake toestemming niet van toepassing zijn. Dit houdt in dat Facebook in principe alle gegevens kan verzamelen die het bedrijf nodig acht. De gegevens waarover Facebook beschikt mogen vervolgens worden gebruikt voor alle producten die het aanbiedt, waaronder advertenties en online tracking, zonder gebruikers daartoe om toestemming te vragen. Toestemming is immers in dat geval niet vereist.

Door te ‘parasiteren’ op deze verwerkingsgrondslag kan Facebook belangrijke regels uit de AVG – welke de Facebookgebruiker moeten beschermen – omzeilen. Opvallend is dan ook dat de Ierse gegevensbeschermingsautoriteit het eens lijkt te zijn met het betoog van Facebook. Toch stelt de DPC een boete van 28 tot 36 miljoen euro voor omdat Facebook transparanter had moeten zijn over deze omleiding. Facebook handelt – door niet voldoende transparant te zijn – in strijd met de transparantieverplichtingen uit de AVG (artikel 5 lid 1 sub a en artikel 13 lid 1 sub c AVG), aldus de DPC.

De andere Europese toezichthouders bestempelen Facebooks poging om te ontglippen aan de verplichtingen die voortvloeien uit het wetssysteem als illegaal. Op Europees niveau zijn door de gegevensbeschermingsautoriteiten richtsnoeren uitgevaardigd waaruit dat blijkt. De Europese toezichthouders hoopten dat hun Ierse collega’s daarmee akkoord zouden gaan. Uit het conceptvoorstel blijkt echter dat de DPC ‘niet overtuigd’ is door de argumenten van de andere toezichthouders. De zaak kan nog ter behandeling worden voorgelegd aan de European Data Protection Board (EDPB). Dat is de koepelorganisatie van Europese privacytoezichthouders. De EDPB kan in het uiterste geval bezwaar maken tegen de uitspraak van de DPC zodra deze officieel is.

Nederlandse toezichthouders gaan intensief samenwerken om toezicht op digitale activiteiten te versterken

De Autoriteit Persoonsgegevens (AP), de Autoriteit Consument & Markt (ACM), de Autoriteit Financiële Markten (AFM) en het Commissariaat voor de Media zijn gezamenlijk het Samenwerkingsplatform Digitale Toezichthouders (SDT) gestart. De toezichthouders gaan nauwer samenwerken om op die manier het toezicht op digitale activiteiten te versterken.

In onze digitale samenleving zijn de bescherming van persoonsgegevens (AP), consumentenbescherming (ACM) en de integriteit van digitale inhoud (Commissariaat voor de Media) en mededinging (AFM) – meer dan ooit tevoren – erg nauw met elkaar verweven.

Daarnaast kunnen nieuwe Europese regels leiden tot verplichtingen voor bedrijven die mogelijk onder het bereik vallen van meer dan één toezichthouder. Met het oog daarop is samenwerking essentieel, aldus Aleid Wolfsen, voorzitter van de AP. Wanneer de toezichtstaken gezamenlijk op elkaar worden afgestemd, schept dat duidelijkheid voor zowel bedrijven als consumenten.

Toezichthouders zullen binnen de SDT samenwerken door kennis en ervaring uit de toezichtspraktijk uit te wisselen over onderwerpen zoals kunstmatige intelligentie, algoritmen en gegevensverwerking, online design en manipulatie. Dat is een positieve ontwikkeling. Ook bekijken de toezichthouders waar ze elkaar kunnen versterken in handhavingstrajecten.

Gegevens van studenten en docenten worden te lang bewaard

Uit twee datalekken, bij het ROC Mondriaan in de regio Haaglanden en de Hogeschool van Arnhem en Nijmegen (HAN), blijkt dat onderwijsinstellingen vaak te veel – en te lang – informatie opslaan van hun studenten en docenten.

De onderwijsinstellingen HAN en ROC Mondriaan werden het slachtoffer van hacks waarbij losgeld werd geëist, ook wel bekend als ‘ransomware-aanval’. In beide gevallen weigerden de scholen te betalen en werden gegevens gelekt. De gelekte gegevens waren erg privacygevoelig. Het gaat daarbij onder andere om sollicitatielijsten en overlijdenskaarten van studenten maar ook klachtenafhandelingen, mails en financiële gegevens van ROC Mondriaan. Bij de HAN werden zelfs formulieren bewaard met de politieke voorkeuren van honderd studenten. Bij het HAN-datalek zijn ook medische gegevens van ruim 2000 studenten buitgemaakt. Denk bijvoorbeeld aan informatie met betrekking tot psychische problemen en stoornissen. De gegevens werden door de cybercriminelen online gepubliceerd.

Gegevens mogen alleen worden bewaard als daar een geldige reden voor is. Van een aantal van de gelekte gegevens (zoals formulieren met politieke voorkeuren en overlijdenskaarten van studenten) is het maar de vraag of deze bewaard hadden mogen blijven. Volgens de Europese privacywet moeten gegevens bovendien worden verwijderd als ze niet meer nodig zijn.

Er is op grond van de Algemene verordening gegevensbescherming (AVG) geen concrete bewaartermijn voor persoonsgegevens. Organisaties bepalen in principe zelf hoe lang zij persoonsgegevens bewaren. Hierbij kijken zij naar hoe lang de gegevens nodig zijn voor het doel waarvoor deze zijn verzameld of worden gebruikt.

Er is vaak wel een wettelijke bewaartermijn opgenomen in andere wet- en regelgeving dan de AVG. Aan deze bewaartermijnen moeten organisaties zich dan ook houden. Denk bijvoorbeeld aan Bekostigingsbesluit WPO art. 9 lid 1 (juncto art. 6 lid 1), op grond waarvan een school die gegevens van leerlingen verwerkt met als doel registratiebeheer deze gegevens voor 5 jaar mag bewaren.

Is de bewaartermijn van persoonsgegevens voorbij? Of is het bewaren van de gegevens niet meer noodzakelijk? Dan moeten organisaties de gegevens vernietigen. ICT-jurist en hoogleraar Frederik Zuiderveen Borgesius meldt dat onderwijsinstellingen en organisaties hier soms slordig mee omgaan.

Gezichtsherkenning bij kantine in Schotse scholen

Negen scholen in Schotland zijn maandag begonnen met gezichtsherkenning bij het afrekenen van lunch in de schoolkantines. Dat meldt de Britse krant Financial Times.

Voorheen werden pincodes en vingerafdrukscanners gebruikt als identiteitscontrole in kantines, maar gezichtsherkenning zou efficiënter zijn en bovendien ook de verspreiding van het coronavirus tegengaan. De scholenkoepel waarbinnen de negen scholen zich hebben verenigd, geeft aan dat ruim 97 procent van de leerlingen het eens is met de invoering van de nieuwe manier van betalen in de kantines.

Ouders en critici zijn echter bezorgd over de invoering van gezichtsherkenning. In sommige gevallen zouden leerlingen niet volledig zijn ingelicht over het gebruik van gezichtsherkenning. Fraser Simpson (biometrie commissaris bij de Britse overheid) die toeziet op het gebruik van gezichtsherkenning en andere vormen van biometrische identiteitscontrole, is ook van mening dat altijd gebruik moet worden gemaakt van andere identificatie- en betaalmethoden voor zover dat mogelijk is.

Ivy Woanya

Ivy Woanya

Ivy Woanya is jurist bij The Privacy Factory. Momenteel volgt zij de Master Internet, IE en ICT aan de Vrije Universiteit Amsterdam. Zij heeft een passie voor privacy, big data en artificial intelligence.

Recente publicaties

Privacy Weekly

Meld u aan voor Privacy Weekly en blijf op de hoogte van recente trends en ontwikkelingen rondom privacy.

Op zoek naar

Gratis AVG|Check

Volg ons op social media

Meld u aan voor Privacy Weekly

Aanmelden Privacy Weekly
Elke donderdag een privacy alert, blog of whitepaper in uw inbox!
cookie

Wij gebruiken alleen functionele en analytische cookies om u een optimale gebruikerservaring te bieden op onze website. Onze cookies verzamelen geen persoonsgegevens. Meer informatie.