News

Fixed CJEU quote While the CJEU has yet to rule on the interaction between Article 31 GDPR and the right against self-incrimination, similar lines of reasoning were taken by the Court in relation to the duty to cooperate in the context of competition law.<ref>''Kotschy,'' in Kuner et al., The EU General Data Protection Regulation (GDPR), Article 31 GDPR, p. 628 (Oxford University Press 2020).</ref> The leading case in this regard, ''Orkem,'' es

}}}} The DPA issued a reprimand to 51 municipalities and simultaneously warned them regarding their use of Google’s products in primary and lower secondary schools. In particular, the DPA found that the municipalities had not adequately demonstrated how personal data processed outside the EU is provided with an adequate level of protection.The DPA issued a reprimand to 51 municipalities and simultaneously warned them regarding their use of Google’s products in primary and lower secondary schools

The event will give the opportunity to the researchers, the University of Amsterdam and Eurecat – Centre Tecnològic de Catalunya, to showcase the results of their analyses, presenting the policy options that can inform future policy-making. The post Information Integrity & Wikipedia: How community-governed platforms can inform future policy-making. appeared first on European Digital Rights (EDRi).

Interviewer: Jillian York Yazan Badran is an assistant professor in international media and communication studies at the Vrije Universiteit Brussel, and a researcher at the Echo research group. His research focuses on the intersection between media, journalism and politics particularly in the MENA region and within its exilic and diasporic communities. *This interview has been edited for length and clarity. Jillian York: What does free speech or free expression mean to you? Yazan Badran: So I th

We are sad to report the passing of longtime EFF Board member, Dave Farber. Dave was 91 and lived in Tokyo from age 83, where he was the Distinguished Professor at Keio University and Co-Director of the Keio Cyber Civilization Research Center (CCRC). Known as the Grandfather of the Internet, Dave made countless contributions to the internet, both directly and through his support for generations of students. Dave was the longest-serving EFF Board member, having joined in the early 1990s, before t

(This appeared as an op-ed published Friday, Feb. 6 in the Daily Journal, a California legal newspaper.) Section 230, “the 26 words that created the internet,” was enacted 30 years ago this week. It was no rush-job—rather, it was the result of wise legislative deliberation and foresight, and it remains the best bulwark to protect free expression online. The internet lets people everywhere connect, share ideas and advocate for change without needing immense resources or technical expertise. Our u

The phrase "artificial intelligence" has been around for a long time, covering everything from computers with "brains"—think Data from Star Trek or Hal 9000 from 2001: A Space Odyssey—to the autocomplete function that too often has you sending emails to the wrong person. It's a term that sweeps a wide array of uses into it—some well-established, others still being developed. Recent news shows us a rapidly expanding catalog of potential harms that may result from companies pushing AI into ev

The DSB decided that Microsoft unlawfully placed tracking cookies on the devices of a pupil

Lawmakers in Washington are once again focusing on kids, screens, and mental health. But according to Congress, Big Tech is somehow both the problem and the solution. The Senate Commerce Committee held a hearing today on “examining the effect of technology on America’s youth.” Witnesses warned about “addictive” online content, mental health, and kids spending too much time buried in screen. At the center of the debate is a bill from Sens. Ted Cruz (R-TX) and Brian Schatz (D-HI) called the Kids O

Facts === Facts ====== Facts === An Assistant Professor (the data subject) requested access to the content of evaluation reports by independent reviewers and letters of recommendation prepared during the academic promotion procedure from the University of Cyprus (the controller).An assistant professor (the data subject) requested access to the content of evaluation reports by independent reviewers and letters of recommendation prepared during the academic promotion procedure from the University

Feiten === Feiten ====== Feiten === Een universitair docent (de betrokkene) heeft toegang gevraagd tot de inhoud van beoordelingsrapporten van onafhankelijke beoordelaars en aanbevelingsbrieven die zijn opgesteld tijdens het promotieproces, bij de Universiteit van Cyprus (de verantwoordelijke). Een universitair docent (de betrokkene) heeft toegang gevraagd tot de inhoud van beoordelingsrapporten van onafhankelijke beoordelaars en aanbevelingsbrieven die zijn opgesteld tijdens het promotieproces, bij de Universiteit.

Facts: A university lecturer (the complainant) requested access to the content of evaluation reports from independent reviewers and letters of recommendation that were prepared during the promotion process, from the University of Cyprus (the responsible party). A university lecturer (the complainant) requested access to the content of evaluation reports from independent reviewers and letters of recommendation that were prepared during the promotion process, from the University.

Een universitair docent (de betrokkene) heeft toegang gevraagd tot de inhoud van beoordelingsrapporten van onafhankelijke beoordelaars en aanbevelingsbrieven die zijn opgesteld tijdens het promotieproces, bij de Universiteit van Cyprus (de verantwoordelijke). Een universitair docent (de betrokkene) heeft toegang gevraagd tot de inhoud van beoordelingsrapporten van onafhankelijke beoordelaars en aanbevelingsbrieven die zijn opgesteld tijdens het promotieproces, bij de Universiteit van Cyprus (de verantwoordelijke).

An Assistant Professor (the data subject) requested access to the content of evaluation reports by independent reviewers and letters of recommendation prepared during the academic promotion procedure from the University of Cyprus (the controller).An Assistant Professor (the data subject) requested access to the content of evaluation reports by independent reviewers and letters of recommendation prepared during the academic promotion procedure from the University of Cyprus (the controller). The c

A university lecturer (the complainant) has requested access to the content of evaluation reports from independent reviewers and letters of recommendation that were prepared during the doctoral promotion process, from the University of Cyprus (the responsible party). A university lecturer (the complainant) has requested access to the content of evaluation reports from independent reviewers and letters of recommendation that were prepared during the doctoral promotion process, from the University of Cyprus (the responsible party).

Facts }}}} A Court annulled the DPA dismissal of a GDPR complaint, ruling it must examine whether a data subject’s personal data was unlawfully disclosed.A court held that the DPA is required to investigate a data subject’s complaint and issue a decision on the merits. In the specific case, the court ordered the DPA to issue a decision regarding an alleged unlawful disclosure of personal data within 60 days. == English Summary ==== English Summary == === Facts ====== Facts === On 28 January 2025

Feiten: Een rechtbank heeft de beslissing van de Autoriteit Persoonsgegevens (AP) om een klacht over de Algemene Verordening Gegevensbescherming (AVG) af te wijzen, ongeldig verklaard. De rechtbank heeft bepaald dat de AP moet onderzoeken of de persoonlijke gegevens van een betrokkene onrechtmatig zijn bekendgemaakt. De rechtbank oordeelde dat de AP verplicht is om een klacht van een betrokkene te onderzoeken en een beslissing te nemen op basis van de inhoud van de klacht. In dit specifieke geval heeft de rechtbank de AP bevolen om binnen 60 dagen een beslissing te nemen over de vermeende onrechtmatige bekendmaking van persoonlijke gegevens. Samenvatting in het Engels: [Herhaling van de samenvatting in het Engels] Feiten: [Herhaling van de feiten] 28 januari 2025.

Facts: A court has declared the decision of the Dutch Data Protection Authority (AP) to reject a complaint regarding the General Data Protection Regulation (GDPR) to be invalid. The court has ruled that the AP must investigate whether the personal data of an individual has been unlawfully disclosed. The court stated that the AP is obligated to investigate a complaint from an individual and to make a decision based on the content of the complaint. In this specific case, the court has ordered the AP to make a decision within 60 days regarding the alleged unlawful disclosure of personal data. Summary in English: [Repetition of the summary in English] Facts: [Repetition of the facts] January 28, 2025.

Legal Text: Commentary ==Commentary====Commentary== Article 41 GDPR complements [[Article 40 GDPR]] by providing that compliance with any approved code of conduct must be monitored by an accredited body with the appropriate level of expertise in the sector covered by the code. Although the Data Protection Directive 95/46/EC (DPD) included a provision on codes of conduct (Article 27(1) DPD), this did not include any information on how compliance with such codes should be monitored. Accordingly, i

Juridische tekst: Toelichting ==Toelichting====Toelichting== Artikel 41 van de AVG vult [[Artikel 40 van de AVG]] aan door te bepalen dat de naleving van een goedgekeurd gedragscode moet worden gecontroleerd door een erkende instantie met het juiste niveau van expertise in de sector die door de code wordt bestreken. Hoewel de Richtlijn gegevensbescherming 95/46/EG (AVG) een bepaling bevatte over gedragscodes (artikel 27(1) AVG), bevatte deze geen informatie over hoe de naleving van dergelijke codes moest worden gecontroleerd. Daarom, i

Legal text: Explanation ==Explanation====Explanation== Article 41 of the GDPR supplements [[Article 40 of the GDPR]] by stipulating that compliance with an approved code of conduct must be monitored by a recognized body with the appropriate level of expertise in the sector covered by the code. While the Data Protection Directive 95/46/EC (GDPR) contained a provision regarding codes of conduct (article 27(1) GDPR), it did not provide information on how compliance with such codes should be monitored. Therefore, i

The Dutch Data Protection Authority (AP) has fined HAN University of Applied Sciences (HAN) €175,000 for violating the General Data Protection Regulation (GDPR). An investigation by the AP revealed that HAN had previously failed to implement adequate measures to properly protect personal data, including data belonging to students and employees.

De Autoriteit Persoonsgegevens (AP) legt HAN University of Applied Sciences (HAN) een boete op van 175.000 euro voor het overtreden van de Algemene verordening gegevensbescherming (AVG). Uit onderzoek van de AP blijkt dat de HAN in het verleden onvoldoende maatregelen heeft genomen om persoonsgegevens van onder meer studenten en werknemers goed te beveiligen.

De resultaten van een gecontroleerd experiment met Proctorio, een online systeem voor toezicht tijdens examens, laten zien dat het systeem niet effectief is in het detecteren van fraude.

The results of a controlled experiment using Proctorio, an online proctoring system, show that it is ineffective at detecting cheating.

The results of a controlled experiment using Proctorio, an online system for monitoring exams, indicate that the system is not effective in detecting cheating.

Georgetown University Law Center researchers propose that every IoT device manufacturer build a switch into their devices that disables any smart feature that contributes to security or privacy risks. This will render a smart thermostat just a thermostat and a smart doorbell just a doorbell, and will disable microphones, sensors, and wireless connectivity. Any user should find it easy to use and easy to verify whether the switch has been toggled.

Government

Wilt u weten hoeveel AVG verzoeken er zijn geweest bij de Inspectie van het Onderwijs? in 2024 15 stuks. Zie hier het jaarverslag (blz. 24)

Government.

Would you like to know how many GDPR requests were received by the Inspectorate of Education? In 2024, there were 15. Please see the annual report (page 24) for more information.

Government.

The report "Monitoring of Inclusive Education in Vocational Education - Measurement 2024" also provides several examples that demonstrate that teachers and institutions alike struggle with data sharing, and particularly lack clarity on when they are permitted to share information and when they are not. (See pages 12 & 29).

Government

In het rapport "Monitor passend onderwijs mbo. Meting 2024" worden ook enkele voorbeelden gegeven, waaruit blijkt dat docenten onderling, en instellingen onderling moeite hebben met gegevensdeling en vooral niet weten wanneer ze wel en niet iets mogen delen. (Zie blz. 12 & 29)

Government

hierin wordt ook kort ingegeven op gegevensverwerking binnen onderwijsinstellingen (p. 9-10)

Legislation

Kamerstukken II 2024-2025, 36663, nr. 7. Brief van de tijdelijke commissie Grondrechten en constitutionele toetsing over een advies over het wetsvoorstel Wijziging van de Leerplichtwet 1969 en enige andere onderwijswetten in verband met het voorkomen en het terugdringen van verzuim in het fundere...

The publication of its activity report enables the CNIL to report on its actions with regard to its four major missions: inform and protect the general public, accompany and advise professionals and public authorities, anticipate and innovate to build the digital of tomorrow, and finally monitor and sanction breaches of the General Data Protection Regulation (GDPR) and the French law.     Download the 2022 annual report (in French) Informing and protecting The actions carried out this year

ECJ EU, 30 maart 2023, IT 4246; ECLI:EU:C:2023:270 (Hauptpersonalrat der Lehrerinnen und Lehrer beim Hessischen Kultusministerium v. Minister des Hessischen Kultusministeriums). De zaak betreft het gebruik van videoconferenties voor onderwijs tijdens de COVID-19-pandemie in de Duitse deelstaat Hessen. Er was geen toestemming van de docenten vereist voor het geven van live lessen via videoconferenties, wat een vakbond van docenten als onrechtvaardig beschouwde. Het ging om de vraag of de regels die dit toestonden (hierna: "de regels"), gerechtvaardigd waren.

De Garante (de Italiaanse Autoriteit voor de bescherming van persoonsgegevens) merkt op dat de Europese wetgeving inzake de bescherming van persoonsgegevens in principe niet verhindert dat de eigenaar van een website de toegang tot content voor gebruikers afhankelijk maakt van hun toestemming voor het verzamelen van gegevens voor profilering (via cookies of andere trackingtools), of, als alternatief, van het betalen van een bedrag. Dit verwijst naar de initiatieven die de afgelopen dagen zijn genomen door verschillende online kranten, websites en bedrijven die actief zijn op internet.

Self-sovereign identity is an embryonic technology with uncertain benefits for refugees. It may help to empower them, but it also risks reinforcing the power of states and corporations over them, according to this article.

Zelfvoorzienende identiteit is een technologie in een vroeg stadium van ontwikkeling, waarvan de voordelen voor vluchtelingen nog onzeker zijn. Het kan hen mogelijk meer autonomie geven, maar het riskeert ook de macht van staten en bedrijven ten opzichte van hen te versterken, zo stelt dit artikel.

Data ownership proposals are misguided and would be self-defeating if implemented. Instead, privacy law reform should focus on strengthening ongoing use restrictions over personal data, according to this article.

Voorstellen over het eigendom van data zijn misplaatst en zouden averechts werken als ze zouden worden doorgevoerd. In plaats daarvan moet hervorming van de privacywetgeving zich richten op het versterken van de bestaande beperkingen op het gebruik van persoonlijke gegevens, zo stelt dit artikel.

Machine learning kan worden gebruikt om verkoopstrategieën in de consumentenmarkt te optimaliseren, maar het roept ook zorgen op over manipulatie. Volgens dit artikel is het belangrijk om te begrijpen hoe oneerlijke handelspraktijken, gegevensbescherming en privacywetgeving met elkaar samenhangen, om deze risico's te beperken.

Machine learning can be used to optimize sales practices in consumer markets, but it also raises concerns about manipulation. According to this article, in order to mitigate these risks, we need to understand how unfair commercial practice, data protection, and privacy law interact.

> Legally, until an adequacy determination is granted, companies should continue to follow the European Data Protection Board’s recommendations on measures that supplement transfer tools. But, once the EU is named as a “qualifying state” (assuming it will be) and complaints can be summited, this should become less daunting. The EDPB recommendations state that companies must “assess if there is anything in the law or practice of the third country that may impinge on the effectiveness of the appro

Juridisch gezien moeten bedrijven, totdat een beoordeling van voldoende bescherming is verstrekt, de aanbevelingen van het Europees Comité voor gegevensbescherming (EDPB) blijven volgen met betrekking tot maatregelen die aanvullend zijn op de transferinstrumenten. Echter, zodra de EU wordt aangewezen als een "erkende staat" (uitgaande van het feit dat dit zal gebeuren) en klachten kunnen worden ingediend, zou dit minder complex moeten worden. De aanbevelingen van het EDPB stellen dat bedrijven moeten "onderzoeken of er iets is in de wet- of praktijk van het derde land dat de effectiviteit van de goedkeuring kan beïnvloeden."

> Danish DPA temporarily suspended its processing ban against Helsingor municipality for the use of Google Chromebooks and Workspace for Education until 5 November 2022 and, amongst other things, ordered them to change their data processing agreement with Google. The SA ordered the same to the Aarhus municipality for using Google services: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2022/sep/chromebooks-datatilsynet-suspenderer-forbud-og-giver-paabud-om-lovliggoerelse https://www.data

De Deense Autoriteit voor Persoonsgegevens (DPA) heeft tijdelijk haar verwerkingsverbod tegen de gemeente Helsingør, met betrekking tot het gebruik van Google Chromebooks en Workspace for Education, opgeschort tot 5 november 2022. De DPA heeft onder andere bevolen dat de gemeente haar overeenkomst over gegevensverwerking met Google wijzigt. De Autoriteit heeft hetzelfde bevolen aan de gemeente Aarhus voor het gebruik van Google-diensten: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2022/sep/chromebooks-datatilsynet-suspenderer-forbud-og-giver-paabud-om-lovliggoerelse https://www.data

The GDPR incorporates the RBA for all obligations of the controller in the GDPR. Where the transfer rules are stated as obligations of the controller (rather than as absolute principles), the RBA of Article 24 therefore applies. Other than the DPAs assume, this is not contradicted by the ECJ in Schrems II nor by the EDPB recommendations on additional measures following the Schrems II judgment, according to Lokke Moerel, Professor of Global ICT Law at Tilburg University and a Dutch Cyber Security

De AVG (Algemene Verordening Gegevensbescherming) omvat de verantwoordingsplicht (RBA) voor alle verplichtingen van de verantwoordelijke partij zoals die in de AVG zijn vastgelegd. Waar de overdrachtsregels worden beschreven als verplichtingen van de verantwoordelijke partij (in plaats van als absolute principes), is de verantwoordingsplicht van artikel 24 dus van toepassing. Volgens Lokke Moerel, professor in het internationaal ICT-recht aan de Universiteit van Tilburg en expert op het gebied van cyberbeveiliging, wordt dit niet tegengesproken door het vonnis van het Europees Hof van Justitie in de zaak Schrems II, noch door de aanbevelingen van het EDPB (European Data Protection Board) over aanvullende maatregelen na het vonnis Schrems II.

De CLOUD-akkoorden tussen de VS en het Verenigd Koninkrijk zullen waarschijnlijk de digitale privacyrechten van burgers van de VS en het VK verbeteren, maar ze zullen deze rechten verder aantasten voor personen uit derde landen (bijvoorbeeld uit de EU). Volgens een artikel in het Brooklyn Journal of International Law zouden de VS en het VK vrijwillig de bescherming van het Vierde Amendement en artikel 8 uitbreiden tot deze personen.

The CLOUD Act agreements between the US and UK will likely improve the digital privacy rights of US and UK citizens, but they will further undermine these rights for Third Country Persons (eg from EU). The US and UK should voluntarily extend Fourth Amendment and Article 8 protections to these persons, according to an article in the Brooklyn Journal of International Law.