Collectief gegevensverzoek - Palantir
In Augustus van dit jaar is SOMI gestart met een collectief gegevensverzoek gericht aan drie techbedrijven van buiten de EU: TikTok, Palantir en Zoom. Met deze campagne vragen wij namens onze deelnemers de persoonlijke gegevens op die deze bedrijven over hen verzamelen.SOMI en haar deelnemers worden bij deze verzoeken geadviseerd en vertegenwoordigd door mr. Douwe Linders van advocatenbureau SOLV.
Als eerste reactie heeft Palantir op 20 oktober jl. zonder aankondiging een mail gestuurd naar de deelnemers die zich hadden opgegeven met vragen aan onze gebruikers over hun relatie met Palantir. Deze communicatie is tot stand gekomen zonder overleg met SOMI en met het passeren van onze advocaat als wettelijk vertegenwoordiger daarbij.
Op 4 november heeft Palantir nog een email gestuurd, waarin de onderneming stelde dat zij in geen enkel geval persoonsgegevens verwerkt van of over onze deelnemers. Palantir zegt, kortweg weergegeven, dat zij voor wat betreft de bescherming van de persoonsgegevens van burgers geen eigen verantwoordelijkheid heeft voor GDPR-bescherming omdat zij niet meer is dan een verwerker van de gegevens van anderen, maar niet de eindverantwoordelijkheid daarvoor heeft.
SOMI gelooft dat grote SaaS (Software as a Service) platforms - zoals Palantir - tot op zekere hoogte wel degelijk controle over de data van anderen behouden en dat een grote beursgenoteerde onderneming de verantwoordelijkheid daarvoor niet kan doorschuiven naar een grote groep van veel kleinere, minder deskundige en minder traceerbare groep van afnemers.
Daarbij komt dat Palantir heel belangrijke beslissingen neemt over de toepassing en de presentatie van data. Daardoor is het bedrijf in staat om te beïnvloeden wat er met die gegevens gedaan wordt. In een dergelijke situatie kan Palantir beschouwd worden als zowel de verwerker als de veranwoordelijke voor de verwerking van deze persoonsgegevens. Is dat het geval dan is Palantir ook wel degelijk onderworpen aan verzoeken van Europese burgers voor het inzien van de over hen verzamelde persoonsgegevens.
Ter illustratie refereert SOMI aan de richtlijnen van het Europees Comité voor Gegevensbescherming (EDPB). Deze heeft aangegeven hoe de Europese begrippen omtrent dataverzameling en -opslag toegepast moeten worden.
Volgens de EDPB-richtlijn 7/2021, definitief vastgesteld op 21 juni van dit jaar, zijn een aantal criteria van belang om te bepalen wanneer een bewerker van de gegevens (van anderen) vanwege de feitelijke omstandigheden van het geval zelf ook gezien moet worden als een partij die zelfstandig verantwoordelijk is voor het verzamelen van persoonsgegevens. Daarbij kan gedacht worden aan de volgende omstandigheden:
• De verwerker heeft een voordeel of belang bij het verwerken van de data
• De verwerker maakt beslissingen over de verwerkte data van derden
• De verwerker heeft uit veiligheidsoogpunt een eigen verantwoordelijkheid voor de interne processen waarmee data van derden verwerkt wordt
• De verwerker heeft volledige autonomie bij het bepalen van de manier waarop de persoonsgegevens (van derden) verwerkt worden
Er zijn veel aanwijzingen dat het Amerikaanse Palantir Technologies data over Europese burgers heeft verwerkt van een groot aantal Europese overheden en toezichthouders. Zo heeft Palantir in Nederland met zes veiligheidsregio’s samengewerkt om grote hoeveelheden persoonsgegevens te verwerken als onderdeel van het toezicht op Corona ontwikkelingen. Daarnaast gebruikt Europol al sinds 2016 de Gotham-software van Palantir om gegevens over terrorismebestrijding te analyseren. Het is van belang om te vermelden, dat Palantir als Amerikaanse onderneming ook altijd verplicht kan worden, persoonsgegevens te delen met Amerikaanse overheidsinstanties.
Wat tot nu toe wel duidelijk wordt, is het volstrekte gebrek aan transparantie over wat Palantir doet in Europa. Overheden en handhavingsinstanties die deze software in gebruik nemen, zwijgen er vervolgens over. Daardoor wordt op geen enkele manier duidelijk welke data Palantir verwerkt en hoe ze daarbij te werk gaat.
SOMI ondersteunt Europese burgers om hun persoonsgegevens bij hen terug te krijgen zodat zij daar zelf hun beslissingen over kunnen nemen. Persoonsgegevens zijn veel waard. Het bezit van eigen persoonsgegevens is noodzakelijk voor de eigen autonomie van het individu.
Met vriendelijke groet,
SOMI
All your data. All yours.