De privacywaakhond van Ierland aangeklaagd wegens inactiviteit wegens ‘massale Google-gegevensinbreuk’ – TechCrunch


De ontwijkende reactie van Ierland op een grote beveiligingsklacht die werd ingediend tegen de adtech van Google in het jaar dat de Algemene Verordening Gegevensbescherming (AVG) van de Europese Unie van toepassing werd, is het doelwit van een nieuwe rechtszaak – die de Data Protection Commission (DPC) ervan beschuldigt jarenlang niets te doen over wat de klagers stellen dat het “het grootste datalek ooit” is.

Vandaag meldde de lokale pers in Ierland dat het Ierse Hooggerechtshof ermee heeft ingestemd om de rechtszaak te behandelen.

De rechtszaak is voorbereid door de Irish Council for Civil Liberties (ICCL), wiens senior fellow, Johnny Ryan, als eiser wordt genoemd.

Het gaat om de reactie van de DPC op een langlopende klacht over de rol van Google bij het met hoge snelheid verhandelen van persoonlijke gegevens van webgebruikers om te bepalen welke advertenties worden weergegeven – en, meer specifiek, het gebrek aan aandacht voor de gegevenshandelssystemen van de tracking op advertenties gebaseerde reclame-industrie betaalt aan beveiliging. (Veiligheid is natuurlijk een belangrijk uitgangspunt van het vlaggenschip van de EU voor gegevensbescherming.)

De rechtszaak van de ICCL beschuldigt de DPC dus van een verzuim om te handelen naar wat het noemt als een “enorme Google-gegevensinbreuk”.

Ryan zal bekend zijn bij iedereen die de toenemende juridische problemen van adtech in Europa heeft gevolgd – als de drijvende kracht achter een reeks klachten en rechtszaken, sinds 2018, die gericht waren op het met hoge snelheid verhandelen van gegevens van mensen voor realtime advertentieveilingen (ook bekend als , realtime bieden; of RTB).

Ryan, een voormalige insider van adtech die klokkenluider is geworden, heeft de druk op de industrie opgevoerd om hervormingen door te voeren door middel van een reeks strategische AVG-klachten. Maar meer recentelijk richtten zijn klachten zich steeds meer op de DPC zelf.

In september 2020 publiceerde hij bijvoorbeeld een dossier met bewijsmateriaal dat benadrukt hoe de online advertentietargeting-industrie de intieme kenmerken van internetgebruikers profileert zonder hun medeweten of toestemming – en riep de DPC op voor aanhoudende passiviteit over de RTB-beveiligingsklacht.

Hij heeft ook een klacht ingediend bij de Europese Commissie die ertoe heeft geleid dat een ombudspersoon tussenbeide is gekomen om te kijken naar de EU-monitoring op hoog niveau van de (gedecentraliseerde) toepassing van de AVG, die afhankelijk is van agentschappen in elke lidstaat om het onderzoek te doen. en het afdwingen van overtredingen van de wet.

Over de Google Adtech-klacht van 2018 heeft de DPC – tot nu toe – enkele procedurele stappen aangekondigd.

Na de oorspronkelijke klacht van Ryan van september 2018, waarin zowel Google als de instantie voor de online advertentie-industrie IAB Europe (als twee hoofdrolspelers in het RTB-systeem) werd genoemd, opende Ierland in mei 2019 een formeel onderzoek naar de adtech van Google – aangezien de regelgevende instantie de leidende EU is waakhond voor Google.

Ierland heeft echter geen onderzoek geopend op basis van de inhoud van Ryans klacht; het opende eerder wat bekend staat als een eigen wilsonderzoek – zeggend dat het zou proberen “vast te stellen of de verwerking van persoonlijke gegevens die in elke fase van een advertentietransactie wordt uitgevoerd, in overeenstemming is met de relevante bepalingen van de AVG, inclusief de wettelijke basis voor verwerking, de principes van transparantie en gegevensminimalisatie, evenals de bewaarpraktijken van Google”, zoals het destijds zei.

De DPC zei met name niet dat zijn onderzoek de rol van Google in RTB door een veiligheidslens zou ondervragen – ondanks de kern van Ryans klacht dat een systeem dat ‘functioneert’ door uit te zenden wat zeer gevoelige gegevens over mensen kunnen zijn (browsegewoonten, apparaat-ID’s , locatie enz.), over het hele internet, zodat het kan worden doorgegeven aan tal van tussenpersonen, zonder dat de gebruikers die worden gevolgd en geprofileerd, kunnen bepalen wie hun informatie ontvangt of wat ermee wordt gedaan zodra het is ontslagen daar is letterlijk het tegenovergestelde van veilig.

Dus dat is waar Ryan, via de ICCL, nu op aandringt: de rechtszaak is bedoeld om Ierland te dwingen de veiligheid van RTB te onderzoeken; een probleem dat de toezichthouder tot nu toe graag heeft willen vermijden.

Hoewel RTB te maken kreeg met een aantal andere AVG-klachten, met betrekking tot zaken als de wettelijke basis voor het verwerken van de gegevens van mensen in de eerste plaats, richtte de klacht van Ryan zich opzettelijk op beveiliging – omdat het de duidelijkste manier leek om aan te tonen dat iets heel erg rot in de staat van adtech, zoals hij in 2018 aan TechCrunch uitlegde.

“Ik probeer zo efficiënt mogelijk te zijn met elk stukje proces dat we starten”, vertelt Ryan ons nu. “Gedurende 3,5 jaar heb ik de Ierse Commissie voor gegevensbescherming gevraagd om het grootste datalek ooit geregistreerd te onderzoeken en aan te pakken. En dat is niet gebeurd en als gevolg daarvan is elke Europeaan hieraan blootgesteld.”

“De DPC is echt goed in het vertroebelen van dingen”, voegt hij eraan toe. “Dit is een heel mooi, helder, duidelijk voorbeeld van de DPC die in heel Europa verantwoordelijk is voor een heel groot probleem dat iedereen aangaat – iedereen – en het is niet iets kleins. En ze hebben niets gedaan. Dus er is niet echt iets dat ik zou kunnen doen – we moeten ze aanklagen.”

“Als ze hier niets mee doen, kunnen ze net zo goed niet bestaan”, besluit hij.

In een reactie op de rechtszaak voegde Liam Herrick, uitvoerend directeur van ICCL, eraan toe: “We zijn bezorgd dat de rechten van individuen in de hele EU in gevaar zijn, omdat de DPC er al drie en een half jaar niet in is geslaagd het RTB-systeem van Google te onderzoeken. voor het eerst gemeld door Johnny Ryan in 2018. De kwestie die hier op het spel staat, raakt de rechten van elke Europeaan en we gaan naar de rechtbank om te zien dat digitale rechten worden beschermd. Herhaalde pogingen om de DPC ertoe te brengen deze schending van rechten op te nemen, zijn mislukt.”

Vorige maand, een vlaggenschipraamwerk voor de advertentie-industrie dat ook het doelwit was van klachten bij RTB, ook bekend als het IAB Europe’s Transparency and Consent Framework (TCF), dat routinematig aan internetgebruikers wordt aangeboden in de vorm van een pop-up met ‘privacykeuzes’, mensen vragen toestemming te geven voor het gebruik van hun gegevens voor advertentietargeting in realtime advertentieveilingen – werd door de Belgische gegevensbeschermingsautoriteit in strijd bevonden met de AVG. (Net als de IAB zelf.)

De IAB heeft een paar maanden de tijd gekregen om een ​​oplossing te vinden voor een zeer lange lijst van overtredingen — en enkele privacy-experts stellen dat dit waarschijnlijk een onmogelijke taak is, gezien de systemische schendingen waarop de TCF aansluit (en waarvoor RTB het belangrijkste doel is).

De Belgische autoriteit handelde naar aanleiding van andere, soortgelijke klachten van RTB als die van Ryan – die ter plaatse waren ingediend. (De IAB staat onder toezicht van de Belgische regelgever, dus van Ierland wordt niet verwacht dat het het voortouw neemt in die tak van zijn klacht. Hoewel Ryan er ook van beschuldigt Ierland zijn oorspronkelijke klacht niet aan België door te geven, aangezien het one-stop-shop-mechanisme van de AVG zeker zou van plan.)

De waslijst van fouten die door de Belgische gegevensbeschermingsautoriteit zijn geïdentificeerd met betrekking tot de TCF van de IAB, bevat in hoge mate beveiliging — met inbreuken op de beveiliging van de verwerking; integriteit van persoonsgegevens; gegevensbescherming door ontwerp en standaardinstellingen onder degenen die eerder dit jaar in het definitieve besluit werden genoemd.

Maar ondanks dat beveiliging duidelijk wordt geïdentificeerd als een probleem met een vlaggenschip-industrieraamwerk dat wordt aangesloten op RTB (en, meer dan dat, bedoeld is om het systeem te voeden als een belangrijk strategisch stuk adtech-apparaat), is het nog steeds lopende onderzoek van de DPC naar de adtech van Google — met gebruikmaking van zijn eigen taakomschrijving — maakt geen melding van het „S”-woord.

In een tijdlijn waarin wordt beschreven wat in het persbericht van de ICCL wordt bestempeld als “3 ½ jaar niets doen”, schrijft de organisatie voor burgerlijke vrijheden dat de toezichthouder op 12 januari van dit jaar eindelijk zei dat het een “verklaring van problemen” had geschreven van wat het zal onderzoeken, ten opzichte van de Google-klacht, maar die verklaring “sluit gegevensbeveiliging uit – het kritieke punt van de klacht”.

Het is niet duidelijk waarom de DPC ervoor heeft gekozen om de beveiliging uit het onderzoek van Google’s adtech te halen.

De talrijke critici zouden daar zeker hun mening over hebben. (Hoewel Ryan zegt dat hij “geen idee heeft van hun motieven” wanneer hem om een ​​mening wordt gevraagd, maar hij suggereert wel dat op een spectrum van ‘samenzwering tot cock-up’, de “aanhoudende traagheid” er dubieus uitziet – vandaar “daarom hebben we een onafhankelijke beoordeling”.)

Plaatsvervangend commissaris Graham Doyle, die om commentaar werd gevraagd op de rechtszaak van de ICCL, weigerde bredere opmerkingen — hij zei alleen dat er “in dit stadium niet veel meer te zeggen is dan het feit dat ons onderzoek vordert”.

De Ierse regelgever voor gegevensbescherming blijft scherpe kritiek krijgen over zijn omslachtige (sommigen zouden zeggen labyrintische) benadering van de AVG-handhaving – vooral met betrekking tot grensoverschrijdende klachten tegen grote technische giganten zoals Google en Facebook.

Het maatschappelijk middenveld, consumentenbescherming en digitale en privacyrechtengroepen en individuele experts hebben de regelgever jarenlang bekritiseerd omdat hij zijn voeten slepende – of gewoon vermijden – naar behoren onderzoekt naar een reeks belangrijke klachten en zorgen, van systemische privacy- en toestemmingsmisbruik tot schendingen van locatietracering of inderdaad de enorme veiligheidsvraag van RTB; dus eigenlijk het soort systemische problemen die — indien bevestigd door onderzoek — impliceren dat de consument even grote schade berokkent die zich over het hele blok verspreidt.

Dat betekent ook dat dit het soort klachten is dat, als ze daadwerkelijk zouden worden uitgevoerd, een grootschalige hervorming van bepaalde soorten privacy-vijandige bedrijfsmodellen voor datamining zouden kunnen afdwingen.

Het is opmerkelijk dat de handvol definitieve beslissingen die de DPC tot nu toe heeft genomen tegen techreuzen, sinds de AVG in mei 2018 werd toegepast, een proces voor het oplossen van bezwaar moesten doorlopen dat in de verordening was ingebakken – nadat andere EU-gegevensbeschermingsinstanties de Ierse voorkeur voor lagere straffen (zie zijn 2020-besluit inzake inbreuk op de beveiliging tegen Twitter; en zijn 2021-besluit inzake transparantie tegen WhatsApp).

Een concept DPC-besluit tegen Facebook dat afgelopen najaar door de klager (tegen de wensen van de DPC) openbaar werd gemaakt, oogt ook lachwekkend soepel. (Die klager diende in november ook een strafrechtelijke klacht in tegen de toezichthouder en beschuldigde de DPC van het gebruik van “procedurele chantage” om te proberen hem de mond te snoeren.)

Het is niet duidelijk hoe snel de ICCL-rechtszaak tegen de DPC zou kunnen vorderen en mogelijk de Ierse AVG-handhaving van adtech zou versnellen. Dat kan afhangen van welke van de Ierse rechtbanken ervoor kiest om het te horen.

De regelgever heeft de afgelopen jaren te maken gehad met een aantal andere juridische uitdagingen voor zijn processen, waaronder een paar in verband met een zeer langlopende klacht tegen de gegevensoverdrachten tussen de EU en de VS van Facebook, waarvan een onderdeel in januari 2021 werd geregeld door in te stemmen met een snelle oplossing de klacht. (Hoewel een definitieve beslissing hierover nog moet worden genomen.)

Het Britse Information Commissioner’s Office heeft ondertussen ook kritiek gekregen over het stilzitten van adtech en rechtszaken over RTB-klachten (vanaf eind 2020) – nadat het een vergelijkbare klacht had gesloten zonder enige handhavingsactie tegen de adtech-industrie te ondernemen (ondanks de publieke erkenning van systemische wetteloosheid).

In dat geval ging de juridische procedure echter alleen naar een tribunaal dat uiteindelijk besloot dat het niet bevoegd was om de geldigheid te beoordelen van de uitkomst die de ICO had beweerd (maar die de eisers hadden willen aanvechten).

Een rechtszaak tegen de DPC die in de rechtbank wordt behandeld, mag niet worden geconfronteerd met dergelijke op bevoegdheden gebaseerde onzekerheden – dus als de ICCL en Ryan zegevieren in hun argumenten, kan de Ierse regelgever een bevel krijgen om de veiligheid van de adtech van Google te onderzoeken die het niet zomaar kan negeren; en, in wezen, gedwongen worden om een ​​veiligheidsgerichte opschoning van adtech af te dwingen. Wat nogal een gedachte is.

Er is contact opgenomen met Google voor commentaar op de ICCL-rechtszaak.



This post De privacywaakhond van Ierland aangeklaagd wegens inactiviteit wegens ‘massale Google-gegevensinbreuk’ – TechCrunch
was original published at “https://techcrunch.com/2022/03/14/dpc-sued-google-rtb-complaint/”

No Comment

Leave a reply

Your email address will not be published. Required fields are marked *