Privacy Alerts #25: Ollongren over mogelijke Amerikaanse spionage en datalek bij Booking.com

Share
Share on linkedin
Share on facebook
Share on twitter

Afgelopen november berichtte NRC over een datalek bij Booking.com dat al in 2016 had plaatsgevonden. Een Amerikaanse spion brak in bij Booking.com, maar de hotelsite hield dat stil. Over het datalek werd geen melding gedaan. SP-Kamerlid Leijten vroeg minister Ollongren om opheldering over het datalek en de mogelijke spionage van Nederlandse bedrijven door Amerikaanse autoriteiten. Verder in deze Privacy Alerts: de Franse privacywaakhond deelt ‘cookieboetes’ uit aan Google en Facebook en de aanhoudende onzekerheid met betrekking tot data-uitwisseling tussen de VS en de EU is voor veel bedrijven een groeiend probleem.

Ollongren kan niets kwijt over mogelijke Amerikaanse spionage en datalek bij Booking.com

Toenmalig demissionair minister Ollongren kan niets zeggen over het datalek bij Booking.com en de mogelijke spionage van Nederlandse bedrijven door Amerikaanse autoriteiten. Afgelopen november berichtte NRC over een datalek bij Booking.com dat al in 2016 had plaatsgevonden en dat niet door de hotelboekingssite werd gemeld aan de Autoriteit Persoonsgegevens (AP) en getroffen klanten.

Volgens NRC zou de aanvaller, een Amerikaanse spion, vanaf een server van Booking.com informatie hebben opgevraagd over duizenden hotelboekingen met behulp van codes die bij specifieke reserveringen horen. Het gaat om hotels in landen in het Midden-Oosten, waaronder Saoedi-Arabië, Qatar en de Verenigde Arabische Emiraten. Volgens de krant had de hacker nauwe banden met Amerikaanse inlichtingendiensten.

Booking.com had besloten het datalek niet te melden. Wel zou de Amsterdamse hotelboekingssite de Nederlandse inlichtingendienst (AIVD) hebben gevraagd om hen te helpen bij het onderzoek naar de gegevensdiefstal.

SP-Kamerlid Leijten vroeg minister Ollongren om opheldering over deze situatie en wilde onder meer weten of het bedrijf klanten (wél) had moeten informeren. De privacywet die toen van kracht was, de Wet bescherming persoonsgegevens, bepaalde immers dat betrokkenen bij een datalek op de hoogte moesten worden gesteld van een datalek, als dit voor hen ‘waarschijnlijk nadelige gevolgen zou kunnen hebben’. De minister merkt op dat het onder deze wet inderdaad verplicht was om datalekken te melden. Ollongren kon geen verdere details geven. ‘’Het is niet aan mij om over het mogelijke datalek een oordeel te geven, nu dit bij uitstek toekomt aan de toezichthouder’’, antwoordde Ollongren.

Leijten wilde ook van de minister weten hoe vaak de Amerikaanse autoriteiten hebben geprobeerd om in te breken in het netwerk van in Nederland gevestigde bedrijven. Ollongren stelt verder dat de AIVD en de MIVD onderzoek doen wanneer er aanwijzingen zijn dat Nederlandse bedrijven of in Nederland opgerichte bedrijven zijn getroffen door statelijke actoren. De minister liet weten dat ‘’over het actuele kennisniveau van de inlichtingen-en veiligheidsdiensten in het openbaar geen mededelingen kunnen worden gedaan’’.

Ook vroeg Leijten of de AIVD volledig is toegerust om deze vorm van spionage te bestrijden. “De genoemde berichtgeving maakt onvoldoende duidelijk of er in dit geval sprake is van spionage. In het algemeen beschermt de AIVD Nederland door onderzoek te doen naar (onzichtbare) bedreigingen van de nationale veiligheid. Dat geldt onder meer voor digitale spionage”, antwoordde Ollongren.

De aanhoudende onzekerheid over het gegevensverkeer tussen de VS en de EU is voor veel bedrijven een groeiend probleem

De aanhoudende onzekerheid over hoe dataverkeer tussen de Verenigde Staten (VS) en de Europese Unie (EU) kan plaatsvinden volgens de juiste wet- en regelgeving is een groeiend probleem voor veel bedrijven. Dat bevestigt de Amerikaanse krant Wall Street Journal in een recent artikel.

Volgens de zakenkrant vragen steeds meer bedrijven zich af hoe ze in de nabije toekomst, met inachtneming van compliance-regels, hun data tussen de VS en de EU kunnen overdragen zonder complicaties. De Amerikaanse bedrijven vragen zich met name af in hoeverre de strengere Europese regelgeving hun activiteiten in de EU zal beperken. Het afgelopen jaar heeft de EU immers strengere regels ingevoerd die het sommige bedrijven verbieden om van Amerikaanse techbedrijven gebruik te maken om gegevens op te slaan en te verwerken.

De VS en de EU hebben nog geen onderhandelingsakkoord bereikt over de opvolger van de Privacy Shield-overeenkomst. Het Privacy Shield was een overeenkomst uit 2016 over de bescherming van persoonsgegevens van burgers van de EU die in de Verenigde Staten worden verwerkt. Medio 2020 werd de overeenkomst vernietigd door het Hof van Justitie van de EU (HvJEU). De in het Privacy Shield overeengekomen regels voor de uitwisseling van gegevens en in het bijzonder de verwerking tussen de Verenigde Staten en de Europese Unie werden geacht niet in overeenstemming te zijn met de bepalingen van de AVG. Volgens het Europese Hof van Justitie blijft het Europese privacyrecht de norm als gegevens op enigerlei wijze in andere landen worden gebruikt of verwerkt.

De VS en de EU hebben onderhandeld over een opvolger, maar tot op heden zonder resultaat. Hoewel het bekend is dat dergelijke juridische processen veel tijd in beslag nemen, stelt de businesskrant dat deze onzekerheid in toenemende mate leidt tot problemen voor bedrijven. Verder wijst de Wall Street Journal erop dat het ontbreken van duidelijke (privacy)wetgeving naast Europese regelgeving ertoe leidt dat Amerikaanse techbedrijven in toenemende mate hun diensten niet kunnen verlenen in de EU. De zakenkrant roept daarom op tot meer duidelijkheid.

De Franse CNIL beboet Google en Facebook voor foute cookietoestemming

Facebook en Google waren te nalatig bij het toepassen van de Franse privacyregels en kregen daarom ‘cookieboetes’ van 60 en 150 miljoen euro van de Franse privacytoezichthouder (CNIL).

De techbedrijven maken het Franse consumenten niet makkelijk genoeg om cookies in hun browser te weigeren. Volgens de Franse regels moet het net zo makkelijk zijn om cookies te weigeren als ze te accepteren. Daarvan is in de praktijk bij deze techgiganten geen sprake. De bedrijven voorzien in een knop waarmee de gebruiker onmiddellijk cookies kan aanvaarden. Zij bieden echter geen gelijkwaardige oplossing waarmee de internetgebruiker gemakkelijk cookies kan weigeren. Er zijn meerdere klikken nodig om alle cookies te weigeren. Daar staat tegenover dat er slechts één enkele klik nodig is om ze te aanvaarden.

Cookies worden veel gebruikt in webbrowsers om het surfgedrag van consumenten te volgen. Deze gegevens worden vervolgens verkocht aan adverteerders zodat zij online doelgroepen kunnen construeren om vervolgens gerichte advertenties te presenteren. Volgens de Europese privacyregels mag dit alleen met uitdrukkelijke toestemming van de consument.

Franse gebruikers van YouTube (Google) en Facebook (Meta) hebben volgens de Franse privacywaakhond onvoldoende keuzevrijheid om cookie-tracking te weigeren of toe te staan. Dit betekent dat er van ‘eerlijk en uitdrukkelijk gegeven toestemming’ geen sprake is. De CNIL heeft bovendien ook aanbevelingen gedaan over de wijze van het verkrijgen van toestemming. De Amerikaanse afdeling van Google heeft een boete van 90 miljoen euro gekregen, en de Ierse afdeling een boete van 60 miljoen euro. Wat Facebook betreft, zal de boete van 60 miljoen euro uitsluitend door het Ierse departement worden gedragen.

De CNIL kon actie ondernemen tegen de Amerikaanse en Ierse afdelingen van de techgiganten omdat de foutieve cookietoestemming in dit geval betrekking heeft op overtredingen van de e-Privacyverordening (ePV) en niet de AVG.

Een organisatie kan in verschillende EU-lidstaten persoonsgegevens verwerken. Of in slechts één lidstaat, maar wel van mensen uit meer dan één lidstaat. In het verleden waren dan meerdere privacytoezichthouders bevoegd om ervoor te zorgen dat de organisatie zich aan de privacywetgeving hield. Dit veranderde met de introductie van de AVG. De AVG kent het een-loketmechanisme (ook wel ‘onestopshop’ genoemd). Dit betekent dat organisaties die grensoverschrijdende verwerkingen uitvoeren, maar met één privacytoezichthouder te maken hoeven te hebben. Deze toezichthouder wordt de ‘leidende toezichthouder’ genoemd. De primaire toezichthouder is als eerste verantwoordelijk voor het toezicht op organisaties met grensoverschrijdende gegevensverwerkingsactiviteiten. De leidende toezichthouder is in de regel de toezichthouder van de EU-lidstaat waar de hoofdvestiging van een verwerkingsverantwoordelijke of verwerker is gevestigd. Daarom kan de AVG in principe alleen worden toegepast door de bevoegde autoriteit(en) van het EU-land waar de overtredende organisatie is gevestigd. Als Google en Meta zich schuldig maken aan overtredingen van de regels met betrekking tot het verwerken van persoonsgegevens, dan ligt de verantwoordelijkheid voor handhaving derhalve bijna altijd bij de Irish Data Protection Commission (DPC) omdat het Europese hoofdkantoor van deze bedrijven in Ierland is gevestigd.

De e-Privacyverordening heeft tot doel alle vormen van digitale communicatie te beschermen. Toestemming voor de verwerking van persoonsgegevens, bijvoorbeeld in de vorm van het definiëren van duidelijke regels over volgtechnologieën zoals cookies, speelt daarbij een rol. Hierdoor kunnen de elektronische privacyregels worden afgedwongen door autoriteiten buiten het land van de overtredende organisatie. Europese toezichthouders kunnen ook een bedrijf in een ander land aansprakelijk stellen als het bedrijf de communicatie(regels) tussen Europese en buitenlandse gebruikers schendt. Frankrijk waagt zich daarmee op Ierse (en Amerikaanse) bodem.

De AVG en de ePrivacy-verordening hebben enige overlap, maar waar de AVG in grote lijnen regelt hoe organisaties met persoonlijke gegevens moeten omgaan, beoogt de ePrivacy-verordening de beveiliging en vertrouwelijkheid van digitale communicatie te verbeteren en specificeert daarbij de gewenste (marketing)methoden. De AVG gaat bovendien over elke vorm van verwerking van persoonsgegevens, terwijl de e-Privacyverordening zich uitsluitend richt op de rechten en vrijheden van consumenten op het gebied van online privacy. Het Europese wetgevingsproces van de ePrivacy-verordening is te volgen via deze link.

Ivy Woanya

Ivy Woanya

Ivy Woanya is jurist bij The Privacy Factory. Momenteel volgt zij de Master Internet, IE en ICT aan de Vrije Universiteit Amsterdam. Zij heeft een passie voor privacy, big data en artificial intelligence.

Recente publicaties

Privacy Weekly

Meld u aan voor Privacy Weekly en blijf op de hoogte van recente trends en ontwikkelingen rondom privacy.

Op zoek naar

Gratis AVG|Check

Volg ons op social media

Meld u aan voor Privacy Weekly

Aanmelden Privacy Weekly
Elke donderdag een privacy alert, blog of whitepaper in uw inbox!
cookie

Wij gebruiken alleen functionele en analytische cookies om u een optimale gebruikerservaring te bieden op onze website. Onze cookies verzamelen geen persoonsgegevens. Meer informatie.