Nieuws
image

Belgische privacytoezichthouder legt boete op voor verwerking Twitter-gegevens

donderdag 27 januari 2022, 11:42 door Redactie, 3 reacties

De Belgische privacytoezichthouder GBA heeft een ngo en een onderzoeker beide een boete opgelegd wegens het overtreden van de AVG. De ngo en onderzoeker verwerkten volgens de GBA op grote schaal Twitter-gegevens en publiceerden ruwe gegevens online, zonder beveiligingsmaatregelen te treffen zoals bijvoorbeeld het pseudonimiseren van de gegevens of het beperken van de toegang tot de bestanden.

De ngo houdt zich bezig met de bestrijding van desinformatie en publiceerde in 2018 onderzoek naar een politieke zaak in Frankrijk. Voor het onderzoek werden persoonsgegevens van 55.000 Twitter-accounts hergebruikt, waaronder meer dan 3300 politieke accounts. Daarnaast werden de ruwe bestanden van het onderzoek online geplaatst.

De GBA stelt dat de ngo de betreffende personen niet individueel hoefde in te lichten over de voor de studie verwerkte persoonsgegevens, omdat dit de studie en de publicatie ervan achteraf in gevaar had kunnen brengen. Het publiceren van de gevoelige gegevens die voor de studie zijn gebruikt, zonder hierbij aanvullende beveiligingsmaatregelen te treffen, is volgens de Belgische privacytoezichthouder niet in orde.

"Hoewel er ongetwijfeld geen kwade bedoelingen waren, heeft deze publicatie ervoor gezorgd dat de betrokkenen het risico liepen gediscrimineerd of in diskrediet te worden gebracht door de niet-geanonimiseerde politieke profilering", aldus de GBA. "De bestanden bevatten bovendien ook informatie over de religieuze overtuiging, de ethnische afkomst en de seksuele gerichtheid van de personen van wie de accounts waren geanalyseerd."

Door deze werkwijze hebben de ngo en de onderzoeker de AVG overtreden, waaronder de rechtmatigheid van de verwerking, transparantie ten aanzien van de betrokkenen en gegevensbeveiliging. De GBA heeft daarop besloten de ngo een boete van 2700 euro en de onderzoeker een boete van 1200 euro op te leggen, en een berisping uit te spreken. Bij de boete is rekening gehouden met het feit dat het om een kleine niet-gouvernementele organisatie zonder winstoogmerk en een natuurlijke persoon gaat.

"In deze beslissing bevestigt onze Geschillenkamer andermaal dat ook publieke beschikbare gegevens onder de bescherming van de AVG vallen (en dus ons toezicht). Het is dus niet omdat je iets publiek hebt gedeeld, dat je zomaar elk later hergebruik moet aanvaarden", zegt GBA-voorzitter David Stevens.

Reacties (3)
27-01-2022, 13:03 door Anoniem
Hmm Interessant. Betekent dit nu dat in verlenging hiervan alle gescrapte persoonlijke informatie niet langer zomaar kan worden gebruikt? Diensten zoals Lusha en RecruitRobin verzamelen onder de noemer "legitiem belang" alles wat los en vast zit en deze info wordt vervolgens doorverkocht in een profiel zonder dat de geprofileerde daar ooit toestemming voor heeft gegeven. Verzoeken om verwijdering worden genegeerd met als reden dat je dan toch wel weer in de database komt en ze willen de bronnen waar ze de informatie vandaan hebben niet prijsgeven. Deze uitspraak gaat over iets wat er erg op lijkt. Is er nu eindelijk een stok om dit soort bedrijven mee te kunnen slaan?
27-01-2022, 18:56 door Anoniem
Door Anoniem: Hmm Interessant. Betekent dit nu dat in verlenging hiervan alle gescrapte persoonlijke informatie niet langer zomaar kan worden gebruikt? Diensten zoals Lusha en RecruitRobin verzamelen onder de noemer "legitiem belang" alles wat los en vast zit en deze info wordt vervolgens doorverkocht in een profiel zonder dat de geprofileerde daar ooit toestemming voor heeft gegeven. Verzoeken om verwijdering worden genegeerd met als reden dat je dan toch wel weer in de database komt en ze willen de bronnen waar ze de informatie vandaan hebben niet prijsgeven. Deze uitspraak gaat over iets wat er erg op lijkt. Is er nu eindelijk een stok om dit soort bedrijven mee te kunnen slaan?

Het datasubject blijft de eigenaars van de persoonsgegevens en kan steeds zijn rechten doen gelden.
Het is niet omdat een bedrijf een "legitiem belang" claimt, dat de verwerking ook op een legitieme manier gebeurt.
M.a.w. je mag niet zomaar sites scrapen en persoonsgegevens bij elkaar sprokkelen, ook niet als dat nu net het businessmodel is.
29-01-2022, 13:04 door karma4
Door Anoniem: Het datasubject blijft de eigenaars van de persoonsgegevens en kan steeds zijn rechten doen gelden. Het is niet omdat een bedrijf een "legitiem belang" claimt, dat de verwerking ook op een legitieme manier gebeurt.
M.a.w. je mag niet zomaar sites scrapen en persoonsgegevens bij elkaar sprokkelen, ook niet als dat nu net het businessmodel is.
De GDPR is duidelijk dat het mag als door de persoon bewust geopenbaard is.
Verder met het hellende valk dat criminelen en misdadiger beschermd moeten worden met het argument privacy.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search