Even voorstellen: Deniz Deveci

Lumen Group groeit en daarom stellen we je hierbij graag voor aan Deniz Deveci. Hij is deze maand als Senior Privacy Consultant gestart bij Lumen Group. We stelden hem wat vragen.

Kun je ons iets vertellen over je achtergrond en interesses?

Ik ben 31 jaar oud, geboren en getogen in Krommenie. Binnenkort verhuis ik naar het mooie Brabant waar ik samen met mijn vrouw ga wonen. In een ver verleden heb ik een studie Rechtsgeleerdheid aan de Vrije Universiteit te Amsterdam gevolgd, waarna ik aan dezelfde universiteit een master Strafrecht en een master Internet, Intellectueel Eigendom en ICT heb afgerond. Ook heb ik meegedaan aan een uitwisselingsprogramma waar ik voor 6 maanden in Istanbul heb mogen wonen & studeren.

Naast mijn professionele achtergrond heb ik een diepe liefde voor het ontdekken van de wereld. Verre reizen zijn mijn manier om nieuwe culturen te leren kennen, en Zuidoost-Azië en Zuid-Amerika staan bovenaan mijn lijst van favoriete bestemmingen. Het verkennen van exotische plaatsen, leren van lokale tradities en het delen van ervaringen met mensen van over de hele wereld zijn voor mij onbetaalbaar.

Daarnaast ben ik een gepassioneerde fijnproever die geniet van culinaire ontdekkingen. De diversiteit van smaken en de kunst van het koken fascineren me, en ik ben altijd op zoek naar nieuwe culinaire avonturen, zowel tijdens mijn reizen als in mijn eigen keuken. Een belangrijke side note: mijn vakantiebestemmingen kies ik uit door op YouTube te zoeken naar wat er allemaal te eten valt in een bepaald land.

Andere passies die mij drijven zijn sim-racen, waarbij ik de uitdaging van virtueel autoracen aanga, doe ik aan kickboksen en alles wat maar met technologie & gadgets te maken heeft.

Wat is je huidige functie bij Lumen Group en wat houdt deze precies in?

Onlangs ben ik gestart als Senior Privacy Consultant (met focus op Management) bij Lumen Group. In mijn rol als Senior Privacy Consultant zal mijn dagelijkse missie zijn om onze klanten binnen Lumen Group te ondersteunen bij het waarborgen van gegevensbescherming, naleving van privacywetten en het creëren van een omgeving waarin privacy en veiligheid voorop staan. Dit omvat het ontwikkelen en managen van beleid en strategieën, het beoordelen van privacy risico’s, het waarborgen van compliance met wetgeving en het trainen van ons team om bewustzijn en bekwaamheid op het gebied van gegevensbescherming te vergroten.

Wat motiveert jou om te werken in het privacy vakgebied?

Wat me het meest motiveert in het privacy vakgebied, is de mogelijkheid om een positieve impact te hebben op het leven van mensen. Door te werken aan de bescherming van persoonsgegevens en het naleven van privacywetten, draag ik bij aan het waarborgen van de fundamentele rechten van individuen. Dit geeft me een diep gevoel van vervulling en betekenis in mijn werk.

Bovendien is privacy een dynamisch veld met voortdurend veranderende regelgeving en technologische ontwikkelingen. Deze complexiteit daagt me uit om voortdurend te leren en me aan te passen, wat mijn werk spannend en boeiend maakt. Het biedt ook kansen om innovatieve oplossingen te vinden en samen te werken met getalenteerde collega’s en experts in het vakgebied.

Welke doelen hoop je te bereiken in je loopbaan op de lange termijn?

Op de lange termijn wil ik me graag focussen op het opstarten en meebouwen aan startups, scale-ups en vooral focussen op het ontwikkelen van nieuwe technologieën. Wat mij hierin vooral aanspreekt is dat je van zero begint, het onbekende verkent en verloop van tijd iets bijzonders weet te realiseren.

Als je een superkracht zou kunnen hebben op de werkvloer, welke zou je dan kiezen?

Teleportatie. Met een focus op koffie. Het zou toch geweldig zijn om kopjes koffie van de beste koffiehuizen ter wereld direct naar jezelf of je collega’s op de werkplek te teleporteren? Dit zou ervoor zorgen dat je altijd toegang hebt tot de meest heerlijke koffie, ongeacht waar je je bevindt, en het zou koffiepauzes op het werk een heel nieuwe dimensie geven.

Wat is je favoriete boek/film/Tv-serie en waarom?

Ik heb heel lang stilgestaan bij deze vraag, misschien wel langer dan bij de andere vragen. Een favoriet boek, film of Tv-serie heb ik niet, maar ik heb wel een favoriet filmgenre; Sci-Fi!

Sciencefiction-films hebben altijd een speciale plaats in mijn hart ingenomen vanwege hun vermogen om de verbeelding te prikkelen. Ze nemen ons mee naar werelden die buiten onze eigen realiteit liggen, waar buitenaardse beschavingen, geavanceerde technologieën en onbekende horizonnen de norm zijn. De creatieve verbeelding achter deze verhalen is ronduit inspirerend en nodigt ons uit om zelf ook creatief te denken.

Het gaat zelfs verder dan alleen onze verbeelding prikkelen. Het biedt ook een platform voor diepgaande reflectie over complexe ethische en maatschappelijke vraagstukken. Deze verhalen stellen ons in staat om na te denken over de impact van technologie, wetenschap en menselijke keuzes op onze samenleving en op onszelf.

 

Gezichtsherkenning: een inbreuk op privacy of een nuttig hulpmiddel?

Gezichtsherkenning[1] is tegenwoordig  geen onbekend fenomeen meer op vliegvelden.[2] Denk bijvoorbeeld aan de geautomatiseerde controle op Schiphol voor elektronische reisdocumenten zoals paspoorten en identiteitskaarten middels de zogenaamde eGate.[3] Op deze manier kunnen reizigers de douane passeren zonder tussenkomst van een grenswacht van de Marechaussee. Dit kan positief uitpakken in het kader van kortere wachttijden. Ook kan gezichtsherkenning in het algemeen leiden tot een betere beveiliging op vliegvelden (en elders). Niet enkel vliegvelden maken overigens gebruik van deze technologie, maar ook luchtvaartmaatschappijen. Ryanair kwam bijvoorbeeld onlangs nog in het nieuws, omdat zij gezichtsherkenning inzette als verificatiemiddel van contactgegevens. Uit andere hoeken van de maatschappij is er ook belangstelling voor deze technologie. Zo wordt gezichtsherkenning benut voor een variëteit aan toepassingen, zoals voor rechtshandhaving middels cameratoezicht, het opsporen van vermiste personen, het identificeren van (bij de politie bekende) winkeldieven, het verbeteren van de winkelervaring, online bankieren, de gezondheidszorg, en zelfs voor marketing en reclame doeleinden.[4] Vanuit een privacy perspectief blijft de vraag of gezichtsherkenning in haar gebruik als hulpmiddel in genoemde gevallen niet ten koste gaat van onze privacy. In deze blog zullen wij hierom stilstaan bij een aantal vereisten die bij de inzet van gezichtsherkenning gelden.

Biometrische persoonsgegevens

Gezichtsafbeeldingen zijn biometrische persoonsgegevens. Biometrische persoonsgegevens zijn volgens de Algemene Verordening Gegevensbescherming (AVG) persoonsgegevens die het resultaat zijn van een specifiek technische verwerking van fysieke kenmerken, fysiologische kenmerken of gedragskenmerken van een persoon. Denk hierbij bijvoorbeeld aan een vingerafdruk, een iris- of netvliesscan, maar ook stemherkenning. Als biometrisch persoonsgegevens worden gebruikt om iemand uniek te identificeren, gaat het om bijzondere persoonsgegevens. Camera’s met gezichtsherkenning verwerken dus bijzondere persoonsgegevens.

In beginsel is het  verboden om bijzondere persoonsgegevens te verwerken, tenzij er sprake is van een wettelijke uitzondering.[5] Dit betekent dat gezichtsherkenning enkel mag worden ingezet in situaties waarbij er sprake is van een wettelijke uitzondering. De twee meest voor de hand liggende uitzonderingen zijn de volgende in het geval van toepassing van gezichtsherkenning om iemand uniek te identificeren: 

  1. Gezichtsherkenning is noodzakelijk voor authenticatie of beveiliging.[6] Deze noodzakelijkheid is er echter niet snel van toepassing. Het moet namelijk gaan om een zwaarwegend algemeen belang. Bijvoorbeeld in situaties waarbij het om staatsgeheimen gaat of bijvoorbeeld als het de beveiliging van een kerncentrale betreft.
  2. Er is uitdrukkelijke toestemming gegeven door de mensen die worden gefilmd. Deze toestemming moet een actieve handeling van de betrokkene zijn, waaruit blijkt dat deze akkoord gaat met de verwerking van haar/zijn persoonsgegevens.[7] Deze wilsuiting dient voldoende specifiek te zijn. Een voorwaarde hierbij is dat duidelijk moet zijn waar toestemming voor wordt gevraagd. Dit betekent dat de betrokkene vooraf is geïnformeerd over de doeleinden van het gebruik van zijn of haar persoonsgegevens. Een opt-out is bijvoorbeeld een voorbeeld waarin géén toestemming is gegeven. Toestemming kan daarnaast te allen tijde weer worden ingetrokken. Bovendien moet je kunnen aantonen dat er toestemming is gegeven, dus je zult de verlening van toestemming ook vast moeten leggen (schriftelijk of digitaal).

Los hiervan moet er afgewogen worden of bijvoorbeeld een gebouw of een informatiesysteem zó goed beveiligd moet worden dat het gebruik van biometrie de enige optie is. Hierbij spelen de volgende vragen een rol: Is het gebruik van biometrie de minst ingrijpende manier? Staat het gebruik van biometrie in verhouding tot de inbreuk op de privacy? Is er sprake van een zwaarwegend algemeen belang zoals bijvoorbeeld beveiliging?

Is het antwoord op een of meerdere van deze vragen ‘nee’, dan is het niet noodzakelijk om biometrie te gebruiken voor authenticatie- of beveiligingsdoeleinden. En mag gezichtsherkenning dus niet worden ingezet. Als een dergelijke maatregel waarbij gezichtsherkenning wordt gebruikt wél noodzakelijk is, ben je verplicht een Data Protection Impact Assessment (DPIA) uit te voeren op deze verwerking. Ook mag je de gezichtsafbeeldingen niet zelf opslaan, maar moet dat in de vorm van een versleutelde code. De achterliggende gedachte is herleiding van de gezichtsafbeelding voorkomen naar de persoon in kwestie. Tot slot ben je wettelijk verplicht om een goede beveiliging te hebben op het systeem dat deze code opslaat.

Vragen?

Heb je nog vragen naar aanleiding van deze blog of wil je meer weten? Neem dan vrijblijvend contact met ons op om over dit onderwerp te sparren. Wij zijn bereikbaar per e-mail op info@lumengroup.nl of via telefoonnummer 030 – 889 65 75.

[1] Gezichtsherkenning is volgens de Algemeen Verordening Gegevensbescherming (AVG) een ‘automatische verwerking van digitale afbeeldingen, die de gezichten van personen bevatten met als doel identificatie, authenticatie/verificatie of categorisering van deze personen’. WP-opinie 02/2012 “On facial recognition in online and mobile devices.”

[2] https://www.theverge.com/2023/7/1/23781040/the-tsa-will-use-facial-recognition-in-over-400-airports

[3] https://www.schiphol.nl/nl/pagina/paspoort-en-reisdocumenten/

[4] https://www.kaspersky.nl/resource-center/definitions/what-is-facial-recognition

[5] Art. 9 AVG

[6] Art. 29 UAVG

[7] Art. 7 AVG

 

Even voorstellen: Ernst Braakman

Lumen Group groeit en daarom stellen we je hierbij graag voor aan Ernst Braakman. Wij stelden hem wat vragen, zodat je hem meteen een beetje leert kennen.

Kun je ons iets vertellen over je achtergrond en interesses?

Mijn naam is Ernst Braakman, 27 lentes jong, geboren in Rotterdam en vlak daarnaast getogen in Nieuwerkerk aan den IJssel. Acht jaar geleden ben ik naar Utrecht verhuisd om de studie Rechtsgeleerdheid te volgen. Deze studie sloot ik af met de master Privaatrecht met als specialisatie Intellectueel Eigendom, waar ook Privacyrecht een onderdeel van was. In mijn vrije tijd houd ik ervan om de krant te lezen en sport te kijken (voornamelijk voetbal maar als dat er niet is kun je elke willekeurige sport voor me aanzetten). Voor mijn laatste verjaardag heb ik van mijn vrienden een platenspeler gekregen dus ook daar ben ik geregeld mee in de weer. Qua sporten vind ik het leuk om te padellen en ben ik daarnaast al jaren met onwijs veel plezier onderdeel van een bowlingteam dat nét iets te lang in een studentenbowlingcompetitie is blijven hangen. Gelukkig niet zonder succes: het afgelopen seizoen stonden we voor het eerst in de finale waarin we vervolgens kansloos ten onder gingen. Er is dus nog ruimte om te groeien en voorlopig nog geen reden om af te haken!

Wat is je huidige functie bij Lumen Group en wat houdt deze precies in?

Onlangs ben ik gestart als Privacy Consultant, een breed begrip en daarom een garantie voor een grote diversiteit in werkzaamheden. Een groot deel van mijn werk bestaat uit het inkleden van de rol van externe Functionaris Gegevensbescherming (FG). De FG is een onafhankelijke privacyfunctionaris ten dienste van de klanten van Lumen Group. De klant is verantwoordelijk voor het opstellen en uitvoeren van het privacybeleid. Vervolgens zie ik als FG toe op de naleving hiervan en breng advies uit over de risico’s van bestaande verwerkingen en voorgenomen nieuwe producten en diensten.

Wat motiveert jou om te werken in het privacy vakgebied?

Privacy heeft op alles en iedereen betrekking, ondanks dat niet iedereen dat dagelijks zo zal ervaren. Werken in het privacy vakgebied betekent bezig zijn met de actualiteit en is ontzettend dynamisch, omdat technologische ontwikkelingen nooit stilstaan. De wijze waarop er met persoonsgegevens om wordt gegaan verandert daardoor continu. De Algemene Verordening Gegevensbescherming (AVG) is inmiddels 5 jaar van kracht, toch zijn veel ondernemingen qua beleid en processen nog onvoldoende ingericht om op een correcte en veilige manier om te gaan met persoonsgegevens. Dit motiveert mij om hierover mee te denken met klanten en samen op zoek te gaan naar praktische en effectieve oplossingen. Het geeft mij voldoening wanneer ik het gevoel heb dat ik iemand daadwerkelijk vooruit heb kunnen helpen, in plaats van enkel te voorzien in advies dat slechts in theorie een antwoord geeft.

Welke doelen hoop je te bereiken in je loopbaan op de lange termijn?

Het is mijn ambitie om me alle ins en outs van het privacy domein eigen te maken. Hiervoor zal ik in ieder geval mijn CIPP/E certificering behalen. In de toekomst lijkt het mij interessant om hier kennis op het gebied van informatiebeveiliging aan toe te voegen, omdat dit vaak hand in hand gaat met privacy vraagstukken. Daarnaast kijk ik er naar uit om een persoonlijke band op de bouwen en te onderhouden met de contactpersonen uit mijn klantenportefeuille. Korte lijntjes met genoeg ruimte voor formele én informele gespreksonderwerpen, daar streef ik naar.

Als je een superkracht zou kunnen hebben op de werkvloer, welke zou je dan kiezen?

De gave om direct iedereens naam te onthouden.

Wat is je favoriete boek/film/TV-serie en waarom?

Game of Thrones! Ik heb eerst de serie gekeken en daarna besloten om ook de boekenreeks te lezen. De boeken zijn zo goed geschreven dat het voor mij niet uitmaakt dat de hoofdlijnen van het verhaal al bekend zijn, door de fantastische manier van schrijven word je namelijk toch weer het boek ingezogen. Ook zijn de boeken en serie gelukkig niet identiek. In het begin lopen de twee nog volledig gelijk maar vanaf het tweede boek beginnen de verhaallijnen al uiteen te lopen. Dus mocht je de serie al hebben gezien en erover twijfelen om de boeken te lezen: wees niet bang, begin bij het begin en laat je verrassen!

‘De Dag van de FG 2023’, digitalisering en Lumen Group was erbij

Met het vijfjarig bestaan van de AVG is de rol van de FG meer van belang binnen onze maatschappij, vanwege deze digitale tijd waarin we leven! Lumen Group heeft een aantal inspirerende deelsessies gevolgd bij de dag van de FG, dit jaar door de Autoriteit Persoonsgegevens georganiseerd.

De “takeaway” is dat we ons moeten richten op de digitalisering van onze wereld en de impact op de privacy daarvan. Denk hierbij aan Human Right Impact Assessments bij nieuwe AI applicaties zoals ChatGPT in het onderwijs. Inge Brattinga heeft verwonderend de mogelijkheden toegelicht.   

Tijdens de deelsessie verzorgd door Vonne Laan en Eliëtte Vaal  kwamen de best practices en inzichten aan bod op het gebied van datalekken, maar ook cyberaanvallen zoals ransomware en phishing.

Paolo Balboni heeft tot slot inspirerend onder de aandacht gebracht wat “Data Protection as a Corporate Social Responsibility” betekent: focus leggen op onze maatschappelijke verantwoordelijkheid met betrekking tot privacy en dat dit onze samenleving kan verbeteren. #GDPR+

Even voorstellen: Hannah Den Dunnen-Yusuf

Lumen Group groeit en daarom stellen we je hierbij graag voor aan Hannah Den Dunnen-Yusuf. Wij stelden haar wat vragen, zodat je haar meteen een beetje leert kennen.

Wat is jouw rol bij Lumen Group?

In april ben ik aan de slag gegaan bij Lumen Group in de rol van Privacy Consultant. Wat dat precies inhoudt is dat ik onze klanten ondersteun bij vragen omtrent privacy en de AVG.  

Hoe zien jouw werkdagen eruit?

Eerst begin ik mijn dag met een kop koffie natuurlijk. Dan plan ik mijn dag vanuit mijn agenda, daarbij hou ik rekening mee met meetings en eventuele werkzaamheden zoals het opstellen van rapportages, nieuwsbrieven, blogs, LinkedIn posts etc. Iedere dag is anders en daarmee moet je ook rekening houden, maar daarom blijft het altijd leuk en spannend bij Lumen Group.

Waarom heb jij ervoor gekozen om bij Lumen Group te gaan werken?

Deze quote van Lumen Group sprak mij aan “LUMEN REFEREERT AAN LICHT EN HELDERHEID. WIJ STELLEN DATA PRIVACY EN INFORMATIEBEVEILIGING IN HET LICHT”. De wereld verandert in een snel tempo en de digitalisering om ons heen brengt veel plezier maar ook nieuwe uitdagingen. Vooral op het gebied van privacy moeten wij extra voorbereid zijn om onze vrijheden en fundamentele rechten te beschermen of het nu gaat om een individu, consument of organisatie. Wanneer wij samenwerken, kunnen wij privacy vraagstukken gezamenlijk aanpakken en beantwoorden.

Wat zijn jouw 3 opvallendste eigenschappen?

Ik ben een extravert, leergierig en ambitieus.

Heb je onlangs een goede film gezien die je kan aanraden?

Ik heb recent “The Woman King” met Viola Davis gekeken. Het is een geweldige film die iedereen een keer moet zien. Het betreft een historisch verhaal over ware gebeurtenissen die zich afspeelden in het Koninkrijk Dahomey, een van de machtigste staten van Afrika in de 18e en 19e eeuw.

Staat er iets op de planning voor komend jaar dat je nog nooit hebt gedaan?

Ik ga naar Jamaica met mijn nicht dit jaar. Daar kijk ik enorm naar uit!

En tot slot: heb jij misschien nog een leuke boodschap voor de lezers van deze blog?

Ook al lijkt privacy voor sommigen een lastig onderwerp te zijn, is het van primair belang dat wij er zorgvuldig mee omgaan. Vooral in dit digitale tijdperk lijkt dat maar al te vaak een uitdaging te zijn. Deze uitdaging maakt privacy voor mij eigenlijk juist weer extra ‘fun’. Een voorbeeld hiervan is de opkomst van kunstmatige intelligentie in onze wereld. De elementen waarmee wij hierbij rekening moeten houden betreffen het ethische aspect, de toegankelijkheid, privacy en natuurlijk het waarborgen van fundamentele rechten en vrijheden.

 

Welke privacyrisico’s zijn verbonden aan het gebruik van TikTok?

Een aantal landen heeft de populaire video-sharing app TikTok geblokkeerd voor ambtenaren. Dit om hen te beschermen tegen risico’s op het gebied van data, privacy en cybersecurity die verbonden zijn aan het gebruik van de app. In deze blog worden de recente gebeurtenissen omtrent het verbod van TikTok weergegeven, in het bijzonder Nederland en de Verenigde Staten. In deze blog zoomen we in op het onrechtmatig verzamelen en verhandelen van persoonsgegevens door TikTok binnen de Verenigde Staten en de Europese Unie. Het beleid in de Verenigde Staten geeft een “kijkje” in de toekomst voor de Europese Unie, die hoogstwaarschijnlijk dezelfde acties zal ondernemen als de Verenigde Staten.

De toenemende roep om een verbod op TikTok?

TikTok probeert zijn problemen met privacy en mogelijke spionage voor de Chinese Communistische Partij op te lossen.

In de Europese Unie werd het verbod van TikTok aangekondigd op 23 februari 2023 voor werknemers van onder meer de Europese Commissie, de Raad van de Europese Unie, het Europees Parlement en de Europese Rekenkamer.

In het Nederlands kabinet is op 21 maart 2023 besloten dat ambtenaren TikTok niet langer op hun werktelefoon mogen hebben, schrijft staatssecretaris Van Huffelen in een brief aan de Tweede Kamer. Het gebruik van de app wordt onmiddellijk afgeraden en aan medewerkers wordt gevraagd de app te verwijderen.

Op 23 maart 2023 verscheen TikTok topman Shou Zi Chew voor het Amerikaanse Congres vanwege een onderzoek naar de app. Aanleiding voor het onderzoek zijn de toenemende zorgen over de stelselmatige verzameling van informatie door TikTok over de app-gebruikers en de doorgifte van deze informatie aan de Chinese overheid. Het wantrouwen tegenover TikTok is overgewaaid van de Verenigde Staten naar onder meer de Europese Unie en Nederland.

Onderzoek naar risico op spionage en risico’s voor minderjarige gebruikers

Het onderzoek van het Amerikaanse Congres heeft onder meer betrekking op het risico dat TikTok gevoelige persoonsgegevens over de app-gebruikers deelt met de Chinese overheid. Hoewel TikTok aangeeft dat verzamelde informatie over app-gebruikers niet met de Chinese overheid wordt gedeeld. Geldt onder Chinese regelgeving een verplichting voor Chinese technologiebedrijven om de Chinese overheid toegang te verlenen tot de persoonsgegevens van hun klanten. De doorgifte van informatie over app-gebruikers kan ertoe leiden dat de Chinese overheid informatie verkrijgt over het bedrijfsleven of overheidsinstanties binnen andere landen.

Zo zijn FBI en de Amerikaanse Justitie een onderzoek gestart naar het moederbedrijf van TikTok vanwege gelekte data van TikTok app-gebruikers over Amerikaanse journalisten. In de Verenigde Staten mogen ambtenaren uit veiligheidsoverwegingen geen TikTok op hun werktelefoons gebruiken en is er een wetsvoorstel uitgebracht op grond waarvan het mogelijk kan worden om technologiebedrijven uit het buitenland zoals TikTok geheel te verbieden.

Verder onderzoekt het Amerikaanse Congres in hoeverre de veiligheid van minderjarige app-gebruikers door TikTok gewaarborgd is. In 2019 is door de Amerikaanse consumentenwaakhond (FTC) een boete aan TikTok opgelegd van $ 5,7 miljoen omdat TikTok informatie over minderjarige gebruikers verzamelde zonder toestemming van de ouders.

De discussie binnen Nederland

Daarnaast is de Autoriteit Persoonsgegevens in 2020 een onderzoek gestart naar de bescherming van minderjarige app-gebruikers omdat kinderen als een extra kwetsbare groep worden gezien. In verband hiermee heeft de Autoriteit Persoonsgegevens een boete van € 750.000 aan TikTok opgelegd, omdat de privacyverklaring alleen in het Engels werd getoond. Volgens de Autoriteit Persoonsgegevens kan er niet vanuit worden gegaan dat kinderen altijd Engels begrijpen. De Consumentenbond en Stichting Take Back Your Privacy zijn in 2021 begonnen met een collectieve actie tegen TikTok. Zoals beschreven in onze vorige blog eisten zij een schadevergoeding van minimaal € 2 miljard voor het onrechtmatig verzamelen en verhandelen van gegevens van minderjarige TikTok-gebruikers in Nederland.

Kan TikTok een verbod binnen de Verenigde Staten en Europese Unie voor komen?

Mocht in de Verenigde Staten een algeheel verbod gaan gelden op het gebruik van TikTok, dan is het mogelijk dat binnen de Europese Unie eenzelfde verbod ter sprake zal komen. Om dergelijke verboden te voorkomen heeft TikTok aan het Amerikaanse Congres een oplossing aangedragen genaamd ‘Project Texas’. De kern van Project Texas is dat Amerikaanse persoonsgegevens worden opgeslagen bij softwarebedrijf Oracle (in Austin, Texas) in wezen zal functioneren als een ‘firewall’. Dit zou volgens Chew voorkomen dat de Chinese overheid toegang heeft tot de persoonsgegevens van Amerikaanse gebruikers.

Een kernpunt dat Chew aanduidde tijdens de hoorzitting is dat in Beijing gevestigde werknemers van TikTok nog steeds Amerikaanse gebruikersgegevens kunnen inzien. Maar dat de herstructurering die als firewall functioneert, zou voorkomen dat werknemers toegang hebben tot persoonlijke informatie van Amerikanen. Of dit nu echt als een oplossing beschouwd kan zijn, moet in de toekomst gezien worden en of de Amerikaanse overheid daarmee instemt.

Project Texas is de redding voor TikTok, maar de Amerikaanse overheid vindt het niet genoeg. Als het bedrijf niet vrijwillig verkoopt, zou een verbod het bedrijf daartoe dwingen, het is de vraag of dat lukt. TikTok’s CEO heeft aangegeven dat het geen oplossing is. Chinese autoriteiten zullen bovendien de verkoop moeten toestaan. Het is de verwachting dat het land daar niet toe bereid is. Als TikTok niet aan Europese eisen voldoet volgens de Digital Services Act en de Digital Markets Act kan het verboden worden voor privaatrechtelijke burgers volgens de Europese Unie. Mochten er ontwikkelingen zijn, dan zullen wij de updates in deze blog weergeven.

Vragen?

Heb je nog vragen naar aanleiding van deze blog? Neem dan vrijblijvend contact met ons op om over dit onderwerp te sparren. Wij zijn een innovator in privacy, data en informatiebeveiliging. Verder beschikken wij over vakinhoudelijke kennis met betrekking tot dit onderwerp. Wat het zou kunnen betekenen voor consumenten, organisaties en bedrijven. Wij zijn bereikbaar per e-mail op info@lumengroup.nl of via telefoonnummer 030 – 889 65 75.

 

Even voorstellen: Pieter

Even voorstellen: Pieter van den Houten

Lumen Group groeit en daarom stellen we je hierbij graag voor aan Pieter van den Houten. Wij stelden hem wat vragen, zodat je hem meteen een beetje leert kennen.

Wat is jouw rol bij Lumen Group?

De dag begint om half 9 met een heerlijke espresso. Het eerste uur van de dag werk ik mijn mail bij en probeer ik mijn netwerk binnen het privacy domein verder uit te breiden. Einde ochtend en begin van de middag heb ik vaak afspraken staan met (potentiële) klanten of met onze opdrachtgevers. Tussendoor maak ik tijd vrij om de sales campagnes verder uit te werken en uit te rollen, zodat we niet achterlopen op onze accountplanning.

Waarom heb jij ervoor gekozen om bij Lumen Group te gaan werken?

In mijn vorige rol bij SoftwareOne was ik als solution advisor verantwoordelijk voor alle back-up & recovery vraagstukken vanuit de klanten. Hier merkte ik dat de enorme berg aan data kansen creëerde maar ook risico’s met zich mee bracht. Ik wilde graag een verdiepingsslag maken en meer vanuit de inhoud sales doen. Bij de gesprekken met Lumen Group merkte ik dat ik te maken had met een echte kennis-club. Lumen Group staat op het punt om een volgende stap te zetten, daar hoort ook bij dat de commerciële processen moeten worden geoptimaliseerd en dat er een sales team gebouwd moet worden. Die uitdaging heeft mij uiteindelijk doen besluiten om een maand geleden de overstap te wagen.

Wat zijn jouw 3 opvallendste eigenschappen?

Sociaal, ondernemend en sportief.

Heb je onlangs een goede film gezien die je kan aanraden?

Nee, maar wel de miniserie Onorthodox op Netflix!

Staat er iets op de planning voor komend jaar dat je nog nooit hebt gedaan?

We gaan dit jaar de grote stad (Amsterdam) verlaten. We hebben namelijk een nieuwbouw huis in Muiden gekocht.

En tot slot: heb jij misschien nog een leuke boodschap voor de lezers van deze blog?

Boodschap!!

Even voorstellen: Zafer

Mogelijkheid tot collectieve schadevergoeding op basis van de AVG?

Sinds 2020 is het voor collectieve belangenbehartigers mogelijk om collectief schade te verhalen op basis van de Wet Afwikkeling Massaschade in Collectieve Actie (hierna: WAMCA). De vraag of het mogelijk is om collectief schadevergoeding te eisen op basis van schendingen van de Algemene Verordening Gegevensbescherming (hierna: AVG) ligt nu voor bij de rechter. In deze blog zullen de huidige ontwikkelingen tussen de verhouding van de WAMCA en de AVG verder uiteengezet worden. Op het moment van schrijven is het namelijk nog onduidelijk of een mogelijkheid bestaat om tegen privacyschendingen op te treden op basis van de WAMCA.

Een nieuw middel om privacyschendingen te voorkomen?

Een mogelijk gevolg van de intreding van de WAMCA is dat naast individuele schadevergoedingsclaims en optreden door de Autoriteit Persoonsgegevens, een extra middel beschikbaar is om privacyschendingen te voorkomen en aan te pakken. Nederland staat momenteel op de voorgrond met betrekking tot collectieve acties tegen het schenden van privacywetgeving. In andere Europese landen zijn er nog geen mogelijkheden gevonden om massaclaims tegen schendingen van privacywetgeving in te stellen.

De vraag of een nieuw handhavingsmiddel daadwerkelijk beschikbaar komt om privacyschendingen aan te pakken hangt af van het vonnis op onderstaande zaken en eventuele toekomstige rechtszaken die zich op dit onderwerp toespitsen. De rechter heeft in beide onderstaande zaken zich nog niet uitgelaten over de toepasbaarheid van de WAMCA op privacyschendingen. Een belangrijke vraag die daarbij gesteld moet worden is of de wetgever wel beoogd heeft om de WAMCA als grond voor privacyschendingen aan te wenden en of daar binnen het schadevergoedingsregime van de AVG wel ruimte voor is. In onderstaande zaken is het nu dus nog afwachten.

The Privacy Collective tegenover Oracle en Salesforce

In Nederland liggen momenteel Oracle, Salesforce en TikTok onder vuur door ingestelde vorderingen op basis van de WAMCA. De stichting The Privacy Collective (hierna: TPC) heeft een rechtszaak aangespannen ten behoeve van de Nederlandse internetgebruiker tegen Oracle en Salesforce. Zij vorderen 11 miljard euro voor de privacyschendingen van 10 miljoen Nederlandse internetgebruikers. TPC is van mening dat Oracle en Salesforce op grote schaal de gegevens van miljoenen Nederlanders binnenslepen en verkopen, zonder geldige toestemming. TPC meende een mandaat te hebben om op te treden ten behoeve van de Nederlandse internetgebruiker door gebruik te maken van een ‘steun met 1 klik-knop’ op hun website. De teller van de ‘steun met 1 klik-knop’ staat op het moment van schrijven op 113.000. Echter de rechtbank oordeelde dat niet kon worden vastgesteld dat TPC opkomt voor een voldoende groot deel van de groep getroffen benadeelden en verklaart TPC wegens gebrek aan representativiteit niet-ontvankelijk. TPC heeft hoger beroep ingesteld tegen het vonnis.

Take Back Your Privacy tegenover TikTok

Een andere zaak die momenteel voor ligt bij de rechter is de zaak tussen TikTok en de stichting Take Back Your Privacy (hierna: TBYP). TBYP startte vorig jaar een collectieve actie tegen TikTok namens alle minderjarige TikTok-gebruikers in Nederland. Zij eisen dat TikTok aan de Nederlandse minderjarige TikTok-gebruikers een schadevergoeding van minimaal 2 miljard betaalt voor het onrechtmatig verzamelen en verhandelen van hun gegevens. TikTok gaf aan dat zij van mening zijn dat de Nederlandse rechter niet bevoegd is om van deze zaak kennis te nemen omdat TikTok niet in Nederland gevestigd is. De rechtbank Amsterdam gaf op 9 november 2022 aan dat zij zich wel bevoegd achtte om de zaak te behandelen. Op het verdere verloop van deze zaak moeten wij nog wachten.

Mochten er ontwikkelingen zijn, dan zullen wij de updates in deze blog weergeven.

Vragen?

Heb je nog vragen naar aanleiding van deze blog? Neem dan vrijblijvend contact met ons op om over dit onderwerp te sparren. Wij zijn bereikbaar per e-mail op info@lumengroup.nl of via telefoonnummer 030 – 889 65 75.

Wetsvoorstel wijziging UAVG: Een eerste analyse

Komende donderdag 9 februari wordt het wetsvoorstel voor de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG) besproken in de Tweede Kamer. Minister Weerwind heeft namens het kabinet heeft een update voorgesteld. De UAVG mist op dit moment op bepaalde punten verduidelijking, sommige verwijzingen zijn verouderd en de rechter heeft zich uitgesproken tegen de strekking van een enkele bepaling. Kortom, er zijn updates verzameld in de bijna 5 jaar dat de wet nu van kracht is. Er is onder andere advies ingewonnen bij de Autoriteit Persoonsgegevens, werkgeversorganisaties en de Vereniging van Nederlandse Gemeenten. In deze blog zet ik de meest in het oog springende wijzigingen uiteen.

Wat is de UAVG?

Op 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) in werking getreden binnen de Europese Economische Ruimte (EER). Op sommige punten biedt deze wet ruimte om nadere invulling te geven aan sommige open normen. In Nederland is dit gedaan door middel van de UAVG. De UAVG wet regelt onder andere het bestaan en de positie van de Autoriteit Persoonsgegevens en geeft nadere invulling aan normen ten aanzien van gebruik van bijzondere persoonsgegevens.

Welke wijzigingen vinden plaats in het wetsvoorstel?

  1. Jongeren tussen 12 en 16 krijgen meer rechten

Nu is het in Nederland mogen jongeren vanaf 16 jaar zelf toestemming geven voor de verwerking van hun gegevens. Daaronder moet de ouder toestemming geven, als het bijvoorbeeld gaat online diensten als websites en apps. Enkel de ouders die toestemming voor bijvoorbeeld onlinediensten weer kunnen intrekken. In het wetsvoorstel mogen jongeren deze rechten nu ook gaan uitoefenen vanaf 12 jaar. Bijzonder in het wetsvoorstel is dat de jongere de gegeven toestemming kan intrekken en dat de ouders deze toestemming weer kunnen geven. Vervolgens is het dan aan de verwerkingsverantwoordelijke om te bepalen wat daarmee gebeurt. Zij moet hierbij de wens van de minderjarige zwaar meewegen.

Wat betreft verwerkingen van medische gegevens staat hier nog wel een strengere toets tegenover. Tenzij de Wet op de geneeskundige behandelingsovereenkomst zich hiertegen verzet, kunnen jongeren van 12 tot 16 jaar deze rechten van betrokkenen ook gaan uitoefenen.

  1. Strafrechtelijke verwerking

Op dit moment worden persoonsgegevens die nu als strafrechtelijke gegevens worden benoemd binnen de UAVG te ruim uitgelegd volgens een uitspraak van het Gerechtshof Den Haag. Een door een rechter opgelegd verbod naar aanleiding van onrechtmatig of hinderlijk gedrag, zoals een contactverbod, zijn namelijk geen strafrechtelijke persoonsgegevens. De opstellers van het wetsvoorstel kunnen zich vinden in deze opvatting. Deze definitie wordt dus smaller uitgelegd in het nieuwe wetsvoostel.

  1. Gebruik bijzondere persoonsgegevens wordt ruimer toegestaan

Volgens de AVG mogen bijzondere persoonsgegevens niet worden verwerkt, tenzij een uitzonderingsgrond van toepassing is. Tot nu toe was zo’n uitzonderingsgrond er niet voor accountants, bij de uitvoering van wettelijke taken. Het wetsvoorstel brengt daar verandering in: als het noodzakelijk is voor de uitvoering van een wettelijk verplichte controle, mag een accountant bijzondere persoonsgegevens verwerken.

Naast accountants wordt ook het werk van curatoren eenvoudiger gemaakt, doordat expliciet wordt toegevoegd aan de Faillissementswet dat zij bijzondere persoonsgegevens, strafrechtelijke persoonsgegevens en het BSN mogen verwerken als dat noodzakelijk is.

  1. Gebruik biometrische gegevens

De UAVG wordt in het wetsvoorstel aangepast met betrekking tot de uitzondering op het verbod om biometrische gegevens te verwerken met het oog op de unieke identificatie van een persoon indien de verwerking noodzakelijk is voor authenticatie of beveiligingsdoeleinden. Deze doelbeperking is in het wetsvoorstel expliciet gemaakt. Zo wordt het gebruik van biometrische gegevens toegestaan om de rechtmatige toegang tot bepaalde plaatsen, gebouwen, diensten, producten, informatiesystemen of werkprocessystemen te verkrijgen.

Verdere stroomlijning met andere wetgeving

In het wetsvoorstel worden verder bepalingen aangepast in bijvoorbeeld de Faillissementswet, Wegenverkeerswet 1994, de Wet administratiefrechtelijke verkeershandhaving, de Wet op de rechtsbijstand (Wrb) en de Wet op het financieel toezicht (Wft). Deze zullen echter inhoudelijk minimaal wijzigen.

Verder proces voor totstandkoming wetgeving UAVG

Zoals eerder genoemd, vindt de bespreking van deze wetswijziging in de Tweede Kamer plaats op 9 februari. Mochten zij na bespreking akkoord gaan dan zal dit voorstel naar de Eerste Kamer gestuurd worden. Wij blijven deze voorgestelde wetswijziging met aandacht volgen.

Vragen?

Heb je nog vragen naar aanleiding van deze blog? Neem dan vrijblijvend contact met ons op om over dit onderwerp te sparren. Wij zijn bereikbaar per e-mail op info@lumengroup.nl of via telefoonnummer 030 – 889 65 75.