Het Hof van Justitie van de EU heeft bepaald dat het systematisch registreren van IP-adressen van gebruikers van peer-to-peernetwerken die mediabestanden delen, onder voorwaarden is toegestaan. Het gaat hier om het verzamelen van namen en adressen voor een schadevordering.

In deze zaak draait het om het bedrijf Mircom, dat bij de Antwerpse ondernemingsrechtbank een verzoek om infomatie heeft ingediend tegen de provider Telenet. Mircom wil hiermee afdwingen dat Telenet aan de hand van een aantal IP-adressen identificatiegegevens van Telenet-klanten overhandigt. Het gaat om IP-adressen die een gespecialiseerd bedrijf voor Mircom heeft verzameld. Mircom is de houder van de intellectuele-eigendomsrechten en wil de gegevens gebruiken om schadevorderingen in te stellen jegens de individuele gebruikers. Telenet verzette zich tegen dit verzoek, onder meer omdat Mircom de rechten niet exploiteert.

Blog: Information Commissioner’s Opinion addresses privacy concerns on the use of live facial recognition technology in public places

A blog by Elizabeth Denham, UK Information Commissioner

18 June 2021

Facial recognition technology brings benefits that can make aspects of our lives easier, more efficient and more secure. The technology allows us to unlock our mobile phones, set up a bank account online, or go through passport control.

But when the technology and its algorithms are used to scan people’s faces in real time and in more public contexts, the risks to people’s privacy increases.

I am deeply concerned about the potential for live facial recognition (LFR) technology to be used inappropriately, excessively or even recklessly. When sensitive personal data is collected on a mass scale without people’s knowledge, choice or control, the impacts could be significant.

We should be able to take our children to a leisure complex, visit a shopping centre or tour a city to see the sights without having our biometric data collected and analysed with every step we take.

Unlike CCTV, LFR and its algorithms can automatically identify who you are and infer sensitive details about you. It can be used to instantly profile you to serve up personalised adverts or match your image against known shoplifters as you do your weekly grocery shop.

In future, there’s the potential to overlay CCTV cameras with LFR, and even to combine it with social media data or other “big data” systems – LFR is supercharged CCTV.

It is not my role to endorse or ban a technology but, while this technology is developing and not widely deployed, we have an opportunity to ensure it does not expand without due regard for data protection.

Therefore, today I have published a Commissioner’s Opinion on the use of LFR in public places by private companies and public organisations. It explains how data protection and people’s privacy must be at the heart of any decisions to deploy LFR. And it explains how the law sets a high bar to justify the use of LFR and its algorithms in places where we shop, socialise or gather.

The Opinion is rooted in law and informed in part by six ICO investigations into the use, testing or planned deployment of LFR systems, as well as our assessment of other proposals that organisations have sent to us. Uses we’ve seen included addressing public safety concerns and creating biometric profiles to target people with personalised advertising.

It is telling that none of the organisations involved in our completed investigations were able to fully justify the processing and, of those systems that went live, none were fully compliant with the requirements of data protection law. All of the organisations chose to stop, or not proceed with, the use of LFR.

With any new technology, building public trust and confidence in the way people’s information is used is crucial so the benefits derived from the technology can be fully realised.

In the US, people did not trust the technology. Some cities banned its use in certain contexts and some major companies have paused facial recognition services until there are clearer rules. Without trust, the benefits the technology may offer are lost.

And, if used properly, there may be benefits. LFR has the potential to do significant good – helping in an emergency search for a missing child, for example.

Today’s Opinion sets out the rules of engagement. It builds on our Opinion into the use of LFR by police forces and also sets a high threshold for its use.

Organisations will need to demonstrate high standards of governance and accountability from the outset, including being able to justify that the use of LFR is fair, necessary and proportionate in each specific context in which it is deployed. They need to demonstrate that less intrusive techniques won’t work.

These are important standards that require robust assessment.

Organisations will also need to understand and assess the risks of using a potentially intrusive technology and its impact on people’s privacy and their lives. For example, how issues around accuracy and bias could lead to misidentification and the damage or detriment that comes with that.

My office will continue to focus on technologies that have the potential to be privacy invasive, working to support innovation while protecting the public. Where necessary we will tackle poor compliance with the law.

We will work with organisations to ensure that the use of LFR is lawful, and that a fair balance is struck between their own purposes and the interests and rights of the public. We will also engage with Government, regulators and industry, as well as international colleagues to make sure data protection and innovation can continue to work hand in hand.

Elizabeth Denham was appointed UK Information Commissioner on 15 July 2016, having previously held the position of Information and Privacy Commissioner for British Columbia, Canada.

ICO to call on G7 countries to tackle cookie pop-ups challenge

Date 07 September 2021

The UK Information Commissioner’s Office (ICO) will today call on fellow G7 data protection and privacy authorities to work together to overhaul cookie consent pop-ups, so people’s privacy is more meaningfully protected and businesses can provide a better web browsing experience.

Chairing the meeting, Information Commissioner Elizabeth Denham will virtually meet the G7 authorities on 7-8 September. At the meeting, she will present an idea on how to improve the current cookie consent mechanism, making web browsing smoother and more business friendly while better protecting personal data.

Currently many people automatically select ‘I agree’ when presented with cookies pop-ups on the internet, which means they are not having meaningful control over their personal data.

Information Commissioner Elizabeth Denham said:

“I often hear people say they are tired of having to engage with so many cookie pop-ups. That fatigue is leading to people giving more personal data than they would like.

“The cookie mechanism is also far from ideal for businesses and other organisations running websites, as it is costly and it can lead to poor user experience. While I expect businesses to comply with current laws, my office is encouraging international collaboration to bring practical solutions in this area.

“There are nearly two billion websites out there taking account of the world’s privacy preferences. No single country can tackle this issue alone. That is why I am calling on my G7 colleagues to use our convening power. Together we can engage with technology firms and standards organisations to develop a coordinated approach to this challenge.”

Joined by the Organisation for Economic Cooperation and Development (OECD) and the World Economic Forum (WEF), each G7 authority will present a specific technology or innovation issue they believe closer cooperation is needed. The event is closely aligned with the G7 “Data Free Flow with Trust” initiative.

The ICO will present its vision for the future, where web browsers, software applications and device settings allow people to set lasting privacy preferences of their choosing, rather than having to do that through pop-ups every time they visit a website. This would ensure people’s privacy preferences are respected and the use of personal data is minimised, while improving users’ browsing experience and removing friction for businesses.

While this approach is already technologically possible and compliant with data protection law, the ICO believes the G7 authorities could have a major impact in encouraging technology firms and standards organisations to further develop and roll out privacy-oriented solutions to this issue.

Ms Denham added:

“The digital world brings international opportunities and challenges, but these are currently being addressed by a series of domestic solutions. We need to consider how the work of governments and regulators can be better knitted together, to keep people’s trust in data driven innovation.”

Background

The G7 data protection and privacy authorities consist of:

• Office of the Privacy Commissioner (Canada)
• Commission Nationale de l’Informatique et des Libertés (France)
• Garante per la Protezione dei Dati Personali (Italy)
• Personal Information Protection Commission, 個人情報保護委員会 (Japan)
• Federal Trade Commission (United States of America)
• Information Commissioner’s Office (UK)
• Federal Commissioner for Data Protection and Freedom of Information, BfDI (Germany)

G7 authorities are meeting virtually on 7-8 September, joined by the Organisation for Economic Cooperation and Development (OECD) and the World Economic Forum (WEF). The event is closely aligned with the G7 “Data Free Flow with Trust” initiative. A communique will be published following the event.

Notes to Editors

1. The Information Commissioner’s Office (ICO) upholds information rights in the public interest, promoting openness by public bodies and data privacy for individuals.
2. The ICO has specific responsibilities set out in the Data Protection Act 2018, the UK General Data Protection Regulation (GDPR), the Freedom of Information Act 2000, Environmental Information Regulations 2004 and Privacy and Electronic Communications Regulations 2003.
3. Since 25 May 2018, the ICO has the power to impose a civil monetary penalty (CMP) on a data controller of up to £17million (20m Euro) or 4% of global turnover.
4. The DPA2018 and UK GDPR gave the ICO new strengthened powers.
5. The data protection principles in the UK GDPR evolved from the original DPA, and set out the main responsibilities for organisations.
6. To report a concern to the ICO, go to ico.org.uk/concerns.

Britse toezichthouder wil cookiemelding vervangen door browserinstelling

dinsdag 7 september 2021, 11:22 Bron: Security.nl

De Britse privacytoezichthouder ICO zal vandaag de privacytoezichthouders van andere G7-landen vragen om mee te werken aan het aanpassen van de huidige cookiemeldingen die websites tonen, wat de privacy van internetgebruikers beter zou moeten beschermen.

Volgens de ICO kiezen veel mensen nu automatisch “accepteren” wanneer ze een cookiemelding te zien krijgen en hebben zo’n geen betekenisvolle controle over hun persoonlijke data. “Ik hoor vaak van mensen dat ze al die cookiemeldingen zat zijn. Die vermoeidheid zorgt ervoor dat mensen meer persoonlijke data weggeven dan ze zouden willen”, zegt de Britse informatiecommissaris Elizabeth Denham.

Ze stelt dat de cookiemeldingen niet ideaal voor bedrijven en andere organisaties zijn die websites exploiteren, aangezien het kostbaar is en voor een slechte gebruikerservaring zorgt. Door met andere toezichthouders samen te werken wil Denham tot een gecoördineerde en gezamenlijke aanpak van het probleem komen. Gebruikers zouden dan via hun browser, andere applicaties of apparaat hun voorkeuren aangeven, in plaats van dat ze steeds allerlei cookiemeldingen te zien krijgen.

“Dit zorgt ervoor dat de privacyvoorkeuren van mensen worden gerespecteerd en het gebruik van persoonlijke data wordt beperkt, terwijl de browse-ervaring van gebruikers wordt verbeterd en frictie voor bedrijven wordt weggenomen”, aldus de ICO. De privacytoezichthouder merkt op dat deze aanpak technisch al mogelijk is en aan bestaande databeschermingswetgeving voldoet. De G7-autoriteiten zouden daarbij techbedrijven en standaardenorganisaties kunnen aanmoedigen om op privacygerichten oplossingen voor dit probleem verder te ontwikkelen en uit te rollen.

Data 106 miljoen internationale bezoekers Thailand gelekt via open database

dinsdag 21 september 2021, 13:20 Bron: Security.nl

De privégegevens van meer dan 106 miljoen internationale bezoekers van Thailand was voor iedereen op internet via een open onbeveiligde database toegankelijk. Het gaat om namen, paspoortnummers, aankomstdatum, geslacht, visumtype, verblijfsstatus en aankomstkaartnummer die in de tweehonderd gigabyte grote Elasticsearch-database stonden.

Dit is zoekmachinesoftware voor het indexeren van allerlei soorten informatie. Het wordt onder andere ingezet voor het doorzoeken van websites, documenten en applicaties, maar is ook te gebruiken voor analytics, monitoring en data-analyse. De database was op 20 augustus door zoekmachine Censys geïndexeerd.

Drie dagen later ontdekte beveiligingsonderzoeker Bob Diachenko van Comparitech de database en waarschuwde de Thaise overheid. De database werd vervolgens beveiligd. Het ip-adres van de database is nog steeds openbaar, maar de database zelf is vervangen door een honeypot. Volgens de Thaise autoriteiten is de data niet door ongeautoriseerde partijen benaderd.

Privacytoezichthouders starten taskforce voor klachten over cookiemeldingen

dinsdag 28 september 2021, 11:05 Bron: Security.nl**

Het Europees Comité voor gegevensbescherming (EDPB), een orgaan waarin alle nationale privacytoezichthouders uit de Europese Unie samenwerken, is een taskforce gestart voor klachten over cookiemeldingen. Het gaat dan specifiek om klachten afkomstig van noyb, de door privacyactivist Max Schrems opgerichte organisatie.

Noyb verstuurde eerder dit jaar honderden klachten naar bedrijven over cookiemeldingen die volgens de organisatie niet aan de regels van de AVG voldoen. De klachten werden automatisch gegenereerd door software die noyb ontwikkelde en verschillende soorten cookiemeldingen kan herkennen. De privacyorganisatie stelt dat veel cookiemeldingen zo zijn opgesteld dat het erg lastig is om op iets anders dan “accepteren” te klikken.

Daarbij stelt noyb dat bedrijven ook van “dark patterns” gebruikmaken, waardoor meer dan negentig procent van de gebruikers op accepteren klikt, terwijl uit onderzoek blijkt dat slechts drie procent van de gebruikers daadwerkelijk akkoord wil gaan. “Het frustreren van mensen om op “oké” te klikken is een duidelijke schending van de AVG-regels”, aldus Schrems in mei van dit jaar.

Op 31 mei van dit jaar stuurde noyb naar meer dan vijfhonderd bedrijven een klacht over hun cookiemeldingen. 42 procent van de overtredingen werd vervolgens binnen dertig dagen verholpen. Noyb laat weten dat 82 procent van de bedrijven nog altijd in strijd met de AVG handelt. Daarop diende noyb in augustus bij tien Europese privacytoezichthouders in totaal 422 klachten in.

Het EDPB is nu een “cookie banner taskforce” gestart die standpunten en juridische analyses van mogelijke overtredingen zal uitwisselen, ondersteuning op nationaal niveau zal bieden en de communicatie tussen de verschillende toezichthouders zal stroomlijnen.