GDPR GAZET

01     Is Google Analytics in strijd met de GDPR?

​

​

In een opmerkzame beslissing gepubliceerd op 13 januari 2022 heeft de Oostenrijkse gegevensbeschermingsautoriteit het gebruik van Google Analytics op een Oostenrijkse website als strijdig met de GDPR bestempeld.

​

De procedure in kwestie werd opgestart ingevolge een klacht van NOYB, de ngo van privacyactivist Max Schrems, die doorheen de hele EER maar liefst 101 identieke modelklachten indiende in navolging van het Schrems II-arrest. 

​

De eerste beslissing hierover lijkt nu gevallen te zijn voor de Oostenrijkse gegevensbeschermingsautoriteit ten aanzien van de beheerder van een Oostenrijkse website wegens het gebruik van Google Analytics. 

​

Door de implementatie van Google Analytics vinden doorgiftes van persoonsgegevens plaats via de website van de Oostenrijkse onderneming naar de servers van Google in de Verenigde Staten. Aangezien Google in de VS kwalificeert als een elektronische communicatiedienst, is zij onderhevig aan Amerikaanse surveillantieregelgeving die de nationale inlichtingendiensten toelaat om zich toegang te (laten) verschaffen tot data beheerd door Amerikaanse ondernemingen, ook als het gaat om persoonsgegevens van Europeanen.

​

Ingevolgen SchremsII moet een Transfer Impact Assessment te gebeuren om te kijken welke bijkomende maatregelen er moeten genomen worden om de verwerkte persoonsgegevens veilig te houden. 

​

De door Google naar voor gebrachte HTTPS en bijkomende Google-encryptie werd als onvoldoende aanzien, onder meer omdat Google zelf de cryptografische sleutel bij zich houdt. Ook het reviewen van daadwerkelijke toegang door de Amerikaanse overheidsdiensten door Google met bijhorende berichtgeving naar klanten en de gepubliceerde policies en  transparency reports van Google werden allemaal als niet voldoende aanzien. Ook de anonimisering van IP-adressen die Google optioneel voorziet werd als onvoldoende bescherming aanzien. 

​

Conclusie

​

Deze beslissing wijst erop dat gebruikmaken van Amerikaanse cloudtoepassingen niet zomaar toegestaan is indien hierbij persoonsgegevens verwerkt worden. In 2021 werd door een Duitse toezichthouder al een gelijkaardige beslissing geveld waar zij het gebruik van MailChimp door een Duitse onderneming onrechtmatig achtte omdat persoonsgegevens werden bewaard in de VS zonder dat de onderneming een transfer impact assessment had uitgevoerd.

 

Het uitvoeren van een analyse van de tool en de mogelijke risico's die dit met zich meebrengt en het nemen van bijkomende veiligheidsmaatregelen is aldus vereist, zelfs voor tools zoals Google Analytics en Mailchimp.

​

​

​

02     Beslissingen van de GBA, een overzicht

 

​

Berisping ondanks inbreuk bij beantwoorden van een vraag tot wissen 

(Beslissing 01/2022 van 3 januari 2022)

 

Feiten:

​

Wanneer een persoon na een vraag tot wissen van zijn gegevens nog steeds e-mails met vacatures ontvangt van een uitzendkantoor beslist hij om klacht in te dienen bij de GBA. Daarenboven had het uitzendkantoor eveneens een account aangemaakt op hun nieuwe online platform voor deze persoon.

 

De GBA beslist dat naar aanleiding van een solicitatie de onderneming de contactgegevens van de werkzoekende kan opnemen op een contactlijst en deze persoon mag contacteren met toekomstige vacatures.

 

Geen gevolg geven aan een verzoek tot wissen van gegevens

​

Ondanks meerdere verzoeken en een uitdrukkelijke bevestiging dat de gegevens gewist waren, bleef de klager e-mails ontvangen van het uitzendkantoor.

​

Het uitzendkantoor ontkent de fout niet maar stelt dat de interne procedure omtrent het wissen van gegevens niet werd nagekomen door een menselijke fout. Doordat het een eenmalig feit lijkt te zijn, het uitzendkantoor zich reeds verontschuldigd heeft bij de klager en bevestigd heeft dat de gegevens thans gewist zijn, beperkt de GBA zich tot het uitspreken van een berisping.

​

Mag een account aangemaakt worden voor bestaande klanten op een nieuw online platform? 

​

Wat de aanmaak van een account op naam van de klager betreft, stelt de arbeidsbemiddelaar dat zij sinds 2020 werkt met een door de kandidaten zelf te bedienen sollicitatieportaal. Voor de toen reeds ingeschreven kandidaten zoals de klager werd hiervoor automatisch een account aangemaakt en geactiveerd, waarover zij geïnformeerd werden via e-mail. Voor deze verwerking beroept de arbeidsbemiddelaar zich op de uitvoering van de overeenkomst met de werkzoekenden, net zoals voor het versturen van de vacaturemails. De Geschillenkamer stelt hierbij vast dat de arbeidsbemiddelaar geen bewijs kan voorleggen van het bezorgen van de nodige informatie via e-mail voorafgaand aan de aanmaak van het account, maar stelt vast dat de portaalsite een dienst is die de klager in een moderne online omgeving had moeten verwachten, in het bijzonder gelet op de beschikbare privacyverklaring op het moment van zijn (online) inschrijving voor de diensten van de arbeidsbemiddelaar in april 2019.

 

De Geschillenkamer stipt ook aan dat de klager geen bewijs inbrengt van zijn eerste (mondelinge) verzoek tot gegevenswissing, hoewel de privacyverklaring uitdrukkelijk verwijst naar het online portaal en twee functionele e-mailadressen voor de uitoefening van AVG-rechten. Onder deze omstandigheden stelt de Geschillenkamer vast dat de persoonsgegevens van de klager vóór diens schriftelijke verzoek tot gegevenswissing werden overgebracht naar de nieuwe portaalsite van de arbeidsbemiddelaar in het kader van haar dienstverlening, waarover de klager werd geïnformeerd bij zijn inschrijving. Het schriftelijke verzoek tot gegevenswissing kwam er immers pas als antwoord op de melding via e-mail aan de klager dat voor hem een account was aangemaakt op de portaalsite in maart 2020. De Geschillenkamer seponeert de klacht voor wat betreft de mogelijke schending van het rechtmatigheids- en transparantiebeginsel voor de verwerking die bestaat uit de aanmaak van het account.

​

Conclusie

​

Deze beslissing toont opnieuw aan dat bij het bepalen van een sanctie na het vaststellen van inbreuken tegen de GDPR, de GBA er een groot belang aan hecht dat een onderneming kan aantonen dat zij schriftelijke interne procedures had geimplementeerd rond GDPR. De inbreuken werden enkel bestraft met een berisping.

​

​

​

Het belang van correcte informatie bij cookies

(Beslissing 11/2022 van 21 januari 2022)

​

De Geschillenkamer van de GBA heeft zich op 21 januari 2022 in een grensoverschrijdende zaak opnieuw uitgesproken over de vereisten rond het gebruik van cookies. De procedure werd opgestart naar aanleiding van een klacht die in 2018 werd ingediend bij de Berlijnse toezichthouder (Berliner Beauftragte für Datenschutz und Informationsfreiheit). De Geschillenkamer verzocht na ontvangst van de klacht via haar Duitse collega om verder onderzoek door de Inspectiedienst, waarna de procedure ten gronde kon aanvangen op 29 april 2020.

​

Voorwerp klacht

 

De klager uit in de klacht zijn ontevredenheid over het gebrekkig functioneren van de advertentievoorkeurenpagina op de website ‘YourOnlineChoices’ van de European Interactive Digital Advertising Alliance (EDAA). Deze website laat aan internetgebruikers toe om hun advertentievoorkeuren te beheren ten aanzien van de deelnemende bedrijven (waaronder bv. ook Google, Amazon en Facebook). Meer bepaald kan de gebruiker via een specifieke pagina op voornoemde website zijn of haar advertentievoorkeuren centraal beheren door voor specifieke of alle aangesloten bedrijven ‘interest based advertising’ in of uit te schakelen. Deze keuze heeft dan uitwerking voor verdere surfsessies via dezelfde browser.

​

De klager haalt echter aan dat de opt-out functie niet zou werken voor vele deelnemende bedrijven die toelaten om advertentievoorkeuren te beheren via de website van EDAA (bij het selecteren van de ‘uit’-optie, zou de ‘aan’-optie automatisch gereset worden). De toestemming is volgens de klager daarom niet vrij in de zin van de AVG en zou niet tegemoetkomen aan de vereisten voor het intrekken van de toestemming. De website YourOnlineChoices zou bovendien vereisen van bezoekers dat zij cookies aanvaarden alvorens hun advertentievoorkeuren te kunnen selecteren. Hierbij doet de klager zijn beklag over een specifieke cookie die EDAA informeert of de browser van de gebruiker al dan niet aanvaardt dat third-party cookies geplaatst worden.

​

​

Toestemmingsvereiste cookies en informatieverplichting

 

Uit de klacht, het voorafgaande onderzoek en de verklaringen van EDAA zelf bleek dat de omstreden cookie "third_party_c_t" (inmiddels niet langer in gebruik) bij een bezoek aan de homepage van YourOnlineChoices onmiddellijk geplaatst werd voordat de vereiste informatie ingevolge artikel 13 AVG was verleend middels de cookiebanner. De functie van deze cookie bestaat uit het nagaan of de browser van de bezoeker het gebruik van third-party cookies aanvaardt. EDAA tracht het onmiddellijk plaatsen van deze cookie zonder voorafgaande informatie te verantwoorden onder de volgende argumentatie: dat de cookie om technische redenen werd geplaatst voor het verschijnen van de informatiebanner, dat de bezoeker eerst een taalkeuze moest maken om de informatie vervolgens in de gekozen taal te kunnen ontvangen, en dat de privacy-impact op de betrokkenen voor de betrokken essentiële cookie laag was. 

​

De Geschillenkamer veegt deze argumenten echter kordaat van tafel. Ten eerste verduidelijkt zij dat de voorafgaande informatieverplichting van toepassing is op alle types cookies (inclusief strikt noodzakelijke cookies), ongeacht hun impact op de rechten van betrokkenen met betrekking tot de bescherming van hun persoonsgegevens. Zij stelt dat wanneer de bezoeker nog geen taalkeuze heeft gemaakt, het in casu passend is om in eerste instantie een melding over het gebruik van cookies weer te geven in het Engels als taal die gebruikelijk is op het internet, tot de betrokkene diens eigenlijke taal selecteert.  Algemeen wijst de Geschillenkamer erop dat de onder de AVG vereiste informatie dient geschreven te zijn in een taal die makkelijk te begrijpen is voor het doelpubliek voor wie een website bestemd is.

​

De Geschillenkamer stelt een verdere inbreuk op de informatieverplichting vast aangezien de cookiebanner op de website geen rechtstreekse link bevatte naar de vereiste informatie over het gebruik van cookies, maar in de plaats daarvan algemeen verwees naar de privacyverklaring van de organisatie. Aangezien dit ondertussen werd rechtgezet, acht de Geschillenkamer deze inbreuk niet langer relevant. De Geschillenkamer verwijst hierbij nog naar volgende recente richtlijnen omtrent cookiegebruik van de CNIL waarmee zij aangeeft akkoord te zijn, zodat het aanbevolen is om deze elementen als websitebeheerder zoveel mogelijk op te nemen als eerste informatielaag in de cookiebanner:

“Het plaatsen van een link naar de algemene gebruiksvoorwaarden is niet voldoende.

Op zijn minst moet de volgende informatie vooraf aan gebruikers worden verleend om ervoor te zorgen dat hun toestemming geïnformeerd is:

- de identiteit van de verantwoordelijke(n) voor gegevensverwerking via cookies;

- het doel van de gegevensverwerking via cookies;

- hoe de cookies te aanvaarden of te weigeren;

- de gevolgen van het weigeren of aanvaarden van cookies;

- het bestaan van het recht om toestemming in te trekken.

​

De privacyverklaring van EDAA bevatte daarnaast geen uitdrukkelijke vermelding van het recht van betrokkenen om hun toestemming terug in te trekken, maar informeerde hen enkel over de mogelijkheid om cookies te verwijderen. Dit werd aangepast door EDAA, zodat geen inbreuk weerhouden werd. Een uitdrukkelijke vermelding naar de betrokkenen toe van het recht om de toestemming in te trekken is dus aangewezen, zowel voor het gebruik van cookies als omtrent de verwerking van persoonsgegevens in het algemeen. 

​

Onvolledigheid verwerkingsregister

​

De Geschillenkamer bekeek ook het verwerkingsregister van EDAA, waaruit blijkt dat EDAA beroep doet op diverse Amerikaanse verwerkers die clouddiensten verlenen. De derde landen waarnaar doorgiftes van persoonsgegevens plaatsvinden waren hierbij evenwel niet uitdrukkelijk opgenomen in het verwerkingsregister zelf. Enkel een kruisverwijzing naar de relevante overeenkomsten met deze verwerkers was terug te vinden in het register, onder de argumentatie dat dit toelaat om te allen tijde te verwijzen naar volledige en up-to-date informatie die immers kan afhangen van de gebruikte servers en specifieke diensten afgenomen van de verwerkers. De Geschillenkamer acht dit onvoldoende en beveelt sterk aan dat de derde landen waarnaar doorgiftes van persoonsgegevens plaatsvinden, eenvoudig te identificeren zijn in het verwerkingsregister zelf. De organisatie krijgt dan ook het bevel opgelegd tot aanvulling van haar verwerkingsregister. Opmerkelijk is dat de Geschillenkamer ondanks haar verwijzing naar de Schrems II-rechtspraak, verder niet ingaat op de rechtmatigheid onder de AVG van deze doorgiftes van persoonsgegevens naar de VS en eventuele andere derde landen.

​

Klacht: niet-functioneren advertentievoorkeuren en verplicht gebruik cookies

​

De Geschillenkamer stelt vast dat de tool om advertentievoorkeuren te selecteren op de website YourOnlineChoices niet naar behoren functioneerde bij de klager omdat hij ad blocking software gebruikte. Zowel op de advertentievoorkeurenpagina zelf als in de algemene gebruiksvoorwaarden van EDAA wordt hierover vermeld dat dit als gevolg kan hebben dat de advertentievoorkeurentool niet naar behoren werkt. In het inspectieverslag werd omtrent de test die plaatsvond van de tool ook niet aangevoerd dat deze niet naar behoren zou werken.

​

In lijn met de visie van de EDPB, spreekt de GBA zich dus uitdrukkelijk uit tegen zogenaamde “cookie walls”. De toegang tot een applicatie, website of andere diensten of voordelen mag dan ook niet worden ontzegd omdat een gebruiker weigert om in te stemmen met het gebruik van cookies die niet strikt noodzakelijk zijn.

​

Tot slot herhaalt de Geschillenkamer nog dat een “alles of niets”-keuze met betrekking tot cookies geen geldige toestemming kan uitmaken, en dat een specifiekere keuze mogelijk moet zijn (minstens per type cookies, en eventueel in een tweede laag ook per cookie individueel). 

​

Beslissing

​

De Geschillenkamer beperkt zich voor de vastgestelde inbreuken tot het opleggen aan EDAA van een bevel tot aanvulling van het verwerkingsregister en het uitspreken van een berisping voor de inbreuken op de transparantieverplichting in het kader van het gebruik van cookies. 

​

​

Een database met Twitterberichten mag niet zomaar gedeeld worden

(Beslissing 13/2022 van 27 januari 2022)

​

In een tweede grensoverschrijdende zaak heeft de Geschillenkamer van de GBA een boete opgelegd aan EU DisinfoLab, een ngo die strijd voert tegen desinformatie (2.700 EUR), en aan één van haar onderzoekers (1.200 EUR) wegens inbreuken op de GDPR die gepleegd zijn in het kader van een onderzoek naar de politieke oorsprong van tweets afkomstig van 55.000 Twitter-accounts in verband met de Franse "Benalla-affaire". De sancties hebben enerzijds betrekking op de politieke profilering van de auteurs van de geanalyseerde tweets en anderzijds op de publicatie van verschillende bestanden die de ruwe en soms gevoelige gegevens van het onderzoek bevatten.

​

De procedure kwam op gang naar aanleiding van meer dan 200 klachten die werden ingediend bij de GBA en de Franse CNIL naar aanleiding van een analyse gepubliceerd door de ngo met het oog op de vaststelling van de politieke oorsprong van tweets die circuleren over de “Benalla-affaire”. Alexandre Benalla is de voormalige lijfwacht van Franse president Emmanuel Macron, en kwam in opspraak nadat hij zich onder meer op onrechtmatige wijze had uitgegeven als politieagent tijdens de 1 mei-betoging van de arbeidersbewegingen in Parijs in 2018. 

​

Aangezien de ngo die het omstreden onderzoek heeft gevoerd in België is gevestigd, treedt de GBA op als leidende toezichthoudende autoriteit en de CNIL als “betrokken” toezichthoudende autoriteit. De omstreden verwerkingen betreffen concreet het hergebruik van persoonsgegevens van 55.000 Twitter-gebruikers om de studie uit te voeren (waarbij meer dan 3.300 accounts politiek waren geclassificeerd), en anderzijds de online publicatie door de ngo en haar onderzoeker van bestanden met de ruwe (niet-geanonimiseerde) gegevens van de studie.

​

De Geschillenkamer wijst erop dat het feit dat persoonsgegevens publiek beschikbaar zijn op sociale netwerken, niet betekent dat zij de bescherming onder de GDPR verliezen. De Geschillenkamer erkent evenwel dat de journalistieke uitzondering het voor de ngo mogelijk maakte om als verwerkingsverantwoordelijke werkzaam in de journalistieke sfeer, de studie uit te voeren om die te publiceren en deel te nemen aan het publiek debat over de Benalla-affaire, zonder vooraf individueel alle in artikel 14 van de GDPR bedoelde informatie te verstrekken aan de betrokkenen. De Geschillenkamer is namelijk van mening dat de ngo vrijgesteld was van haar verplichting om de accounteigenaars individueel en voorafgaand in te lichten over de voor de studie verwerkte persoonsgegevens, omdat dit de studie en de publicatie ervan achteraf in gevaar had kunnen brengen.

​

Echter heeft de Geschillenkamer wel problemen met de manier waarop bijhorende documenten ter staving van het onderzoek online gepubliceerd werden. Toen de integriteit van het onderzoek ter discussie werd gesteld, stelden de ngo en haar onderzoeker namelijk bestanden met ruwe gegevens online ter beschikking ter staving dat het onderzoek correct gevoerd was, zonder hierbij minimale beveiligingsmaatregelen te treffen zoals bijvoorbeeld het pseudonimiseren van de hierin opgenomen persoonsgegevens of het beperken van de toegang tot de bestanden. Concreet bevatten deze bestanden niet-geanonimiseerde informatie over de politieke voorkeur, religieuze overtuiging, ethnische afkomst en seksuele gerichtheid van de personen wiens Twitter-accounts geanalyseerd werden in het kader van het onderzoek. De Geschillenkamer stelt vast dat ondanks er geen sprake was van kwade bedoelingen, dergelijke publicatie het risico met zich meebrengt dat betrokkenen gediscrimineerd of in diskrediet zouden worden gebracht. De publicatie van niet-geanonimiseerde of niet-gepseudonimiseerde gevoelige gegevens in deze context kan volgens de Geschillenkamer enkel plaatsvinden met de toestemming van de auteurs van de geanalyseerde tweets. Zonder toestemming dan wel doeltreffende anonimisatie of pseudonimisatie is dan ook sprake van een onevenredige schending van de rechten van de auteurs van de betrokken tweets waarvoor geen rechtsgrond kan voorliggen. De Geschillenkamer geeft nog mee dat een individuele afweging per betrokkene tussen het recht op journalistieke vrijheid van meningsuiting en het recht op gegevensbescherming niet mogelijk was gelet op het grote aantal betrokken Twitter-accounts (55.000).

​

De Geschillenkamer stelt dan ook inbreuken vast op verschillende GDPR-verplichtingen, zoals de rechtmatigheid van de verwerking, het transparantiebeginsel en de beveiligingsverplichting. Dit leidt tot een boete voor de ngo van 2.700 EUR en voor de betrokken onderzoeker persoonlijk van 1.200 EUR. Daarnaast wordt een berisping uitgesproken. Bij het bepalen van de sancties heeft de Geschillenkamer rekening gehouden met het feit dat de verweerders respectievelijk een kleine niet-gouvernementele organisatie zonder winstoogmerk en een natuurlijke persoon zijn.

​

​

​

03     EDPB: Nieuwe richtsnoeren inzake gegevenslekken en en recht op inzage

​

Nieuwe richtsnoeren inzake gegevenslekken

​

Het European Data Protection Board (EDPB) heeft op 3 januari 2022 na een publieke consultatie de tweede versie van haar richtsnoeren gepubliceerd betreffende concrete voorbeelden inzake de GDPR-verplichting tot het melden van gegevenslekken. De richtsnoeren vullen de eerdere algemene richtsnoeren van Working Party 29 inzake gegevenslekmeldingen aan die werden gepubliceerd in de aanloop naar de GDPR.

​

De richtsnoeren beogen dan ook om verwerkingsverantwoordelijken en DPO’s bij te staan in het afhandelen van gegevenslekken en reiken hierbij factoren aan waarmee zij rekening dienen te houden bij het maken van de nodige risicoanalyses. De EDPB doet dit middels een praktijkgerichte casus-gebaseerde benadering op basis van typische zaken uit de collectieve ervaring die de toezichthoudende autoriteiten tot dusver hebben opgebouwd met gegevenslekmeldingen. In maar liefst 18 uitgewerkte voorbeelden gaat de EDPB dieper in op de risicoanalyses die organisaties dienen te verrichten wanneer bij hen een gegevenslek plaatsvindt en de meldingsverplichtingen die daaraan gekoppeld kunnen zijn ten aanzien van enerzijds de bevoegde toezichthoudende autoriteit en anderzijds de betrokkenen zelf. Dit naast de interne documentatie van het gegevenslek, die in elk geval dient plaats te vinden los van enig risico voor de betrokkenen. Voor verschillende types gegevenslekken reikt de EDPB ook mogelijke mitigerende maatregelen aan. De richtsnoeren geven op die manier meer duiding bij de relatief abstracte benadering van artikelen 33-34 AVG, die een risicogebaseerde meldingsverplichting opleggen aan verwerkingsverantwoordelijken zonder hierbij veel praktische houvast te bieden.

​

De EDPB gaat achtereenvolgend in op gegevenslekken ten gevolge van ransomware-aanvallen, gegevensexfiltratie, interne menselijke risicobronnen, verlies of diefstal van toestellen en fysieke documenten, interne menselijke fouten bij het versturen van data ten gevolge van onachtzaamheid, en social engineering. Telkens geeft zij aan of in het licht van de concrete feiten van de casus interne registratie van het incident volstaat, dan wel of een melding aan de toezichthouder en zo nodig ook aan de betrokkenen zich aandringt. Hierbij houdt zij rekening met onder meer de aard en gevoeligheid van de gelekte gegevens, de context waarin zij verwerkt worden, het aantal geïmpacteerde betrokkenen, en de genomen preventieve en beschikbare of aanbevolen mitigerende maatregelen. Door de concrete benadering biedt het document handige richtsnoeren voor verwerkingsverantwoordelijken en hun DPO’s en/of interne verantwoordelijken voor gegevensbescherming. 

​

Nieuwe richtsnoeren inzake recht op inzage op komst

​

Het EDPB heeft tijdens haar plenaire zitting van januari 2022 richtsnoeren aangenomen inzake het recht op inzage. Deze beogen om verwerkingsverantwoordelijken te ondersteunen bij het beantwoorden van verzoeken tot inzage vanwege betrokkenen door hiervan concrete voorbeelden te verschaffen. Ze zullen onder meer ingaan op de reikwijdte van het recht op inzage, de aan de betrokkene te verschaffen gegevens, en de vraag wanneer sprake is van ongegronde of buitensporige verzoeken. De tekst ondergaat momenteel de nodige verificaties en zal binnenkort ter beschikking gesteld worden op de website van de EDPB voor een publieke consultatie van 6 weken gedurende welke opmerkingen ingediend kunnen worden.

​

​

​

04     Newsflash

​

• Het EDPB heeft een studie uitgevoerd  omtrent de overheidstoegang tot persoonsgegevens in China, India en Rusland. Weinig verrassend was de conclusie dat deze landen, net zoals de VS, geen adequaat beschermingsniveau bieden, waardoor doorgifte van persoonsgegevens naar deze landen aanvullende maatregelen vereisen.

• Het EDPB heeft een brief gepubliceerd waarin zij herhaalt dat zij streeft naar het verzekeren van de geharmoniseerde toepassing van gegevensbeschermingsregels in de gehele EER. Dit statement komt er nadat de EDPB brieven ontving waarin Franse organisaties verzochten om een consistente interpretatie van de toestemmingsvereiste inzake cookies. Mede om deze reden heeft de EDPB recent ook een specifieke taskforce opgericht voor de coördinatie van de behandeling van klachten over cookiebanners doorheen de EU, waaromtrent NOYB recent 422 klachten heeft ingediend wegens potentiële inbreuken inzake cookiebanners die zij met een eigen tool op geautomatiseerde wijze heeft geïdentificeerd op Europese websites. 

• De European Toezichthouder (EDPS) heeft een berisping gegeven aan het Europese Parlement omdat haar coronatestingwebsite niet voldoet aan de GDPR. Zo moet bij het plaatsen van cookies van Amerikaanse dienstverleners zoals Google Analytics en betaalprovider Stripe op de website thans een Tranfer Impact Assessment uitgevoerd worden. Daarnaast voldeed de cookiebanner niet en werden inzageverzoeken niet correct behandeld. Naast de berisping werd het Europees Parlement verplicht om de website aan te passen.

• Sinds midden 2021 is voor de Europese Commissie een inbreukprocedure lopende tegen België in verband met het potentiële gebrek aan onafhankelijkheid van de Gegevensbeschermingsautoriteit. Bepaalde leden van de GBA zijn eveneens nauw betrokken bij andere overheidsprojecten die de GBA moet controleren. 20 juristen verbonden aan de rechtsfaculteiten van verschillende Belgische universiteiten hebben om deze reden een opiniestuk gepubliceerd waarin zij oproepen tot het instellen van een onafhankelijke gegevensbeschermingsautoriteit in België. Mogelijk zal België zich voor het potentiële gebrek aan onafhankelijkheid van de GBA binnenkort dienen te verantwoorden voor het Hof van Justitie van de EU.

​