Selecteer een pagina

1,5 miljoen klanten Nederlandse Loterij moeten hun wachtwoord wijzigen

Ruim 1,5 miljoen klanten van de Nederlandse Loterij hebben via e-mail het verzoek gekregen om hun wachtwoord te wijzigen. Het gaat om klanten die online onder meer meespelen in de Staatsloterij, Lotto, Toto en EuroLoterij.

Recent hebben er volgens de Nederlandse Loterij verdachte inlogpogingen plaatsgevonden op bijna 12.000 accounts van spelers. Nederlandse Loterij heeft de accounts direct geblokkeerd en de desbetreffende klanten hierover geïnformeerd met het verzoek om een nieuw, uniek en sterk wachtwoord aan te maken.

De cyberaanvallen zijn door Nederlandse Loterij gemeld bij de Autoriteit Persoonsgegevens en de Kansspelautoriteit. Daarnaast doet Nederlandse Loterij aangifte bij de politie en vraagt haar spelers dat laatste ook te overwegen.

Sinds de coronamaatregelen van kracht zijn, zegt de Nederlandse Loterij een toename van verdachte inlogpogingen op accounts van klanten te zien.

Bij de inlogpogingen wordt gebruikt gemaakt van credential stuffing. Hierbij misbruiken internetcriminelen elders gestolen inloggegevens en proberen daarmee in te loggen.

Een uniek en sterk wachtwoord helpt om te voorkomen dat internetcriminelen slagen in hun pogingen. De Nederlandse Loterij verzoekt klanten daarom om hun wachtwoord te wijzigen.

Internetcriminelen hebben geen toegang gehad tot de persoonlijke Wallet en er is geen (prijzen)geld buitgemaakt. Wel hebben internetcriminelen persoonlijke gegevens kunnen inzien.

“We doen er alles aan om de persoonlijke gegevens van onze klanten zo goed mogelijk te beschermen”, meldt woordvoerder Sander van de Voore van de Nederlandse Loterij. “Klanten spelen hierin zelf ook een belangrijke rol. Bijvoorbeeld door het gebruik van unieke en sterke wachtwoorden voor online account.”

Strategische klopjacht Duitse politie op inbrekers in strijd met privacywet

De politie in de Duitse deelstaat Noordrijn-Westfalen heeft in 2019 tijdens een strategische klopjacht op inbrekers de privacywet overtreden. De politie controleerde en registreerde duizenden passanten.

Staatscommissaris Helga Block van gegevensbescherming in Noordrijn-Westfalen, noemt in haar jaarverslag over 2019 de werkwijze van de politie “catastrofaal voor de gegevensbescherming”.

Gedurende enkele weken werden in een bepaald gebied in totaal meer dan 5000 mensen en meer dan 2000 voertuigen gecontroleerd. De gegevens van duizenden waren zonder enige reden door de politie verwerkt.

Het resultaat van de klopjacht was ontnuchterend: er is geen enkele concrete aanwijzing voor een geplande of gepleegde inbraak gevonden. Een preventieve werking kon ook niet worden vastgesteld.

Toch werd er in december 2019 al 44 keer een strategische zoektocht gehouden in Noordrijn-Westfalen. De politie beroept zich op een omstreden nieuwe politiewet die de strategische zoektocht toe zou staan. Daar is de toezichthouder het dus niet mee eens.

Inbrekers stelen harde schijven met patiëntgegevens Universitair Medisch Centrum Utrecht

Uit het Universitair Medisch Centrum Utrecht (UMCU) zijn harde schijven met medische gegevens van zo’n zevenhonderd patiënten gestolen. Op de harde schijven staan niet alleen medische dossiers, maar ook burgerservicenummers en namen.

Het ziekenhuis heeft de patiënten en de Autoriteit Persoonsgegevens geïnformeerd en aangifte gedaan bij de politie.

De diefstal gebeurde op 18 april. Bij de polikliniek interne geneeskunde en de polikliniek allergologie werden in totaal tien computers opengebroken.

De harde schijven, processoren en geheugenbanken werden uit de computerkasten gehaald en meegenomen.

Twee computers waren noodcomputers, waar artsen gebruik van kunnen maken als de gebruikelijke computersystemen uitvallen.

Volgens het ziekenhuis konden de behandelingen van de patiënten gewoon doorgaan. De gegevens zijn afgeschermd met een gebruikersnaam en wachtwoord

Autoriteit Persoonsgegevens onderzoekt of TikTok aan de privacywet voldoet

De Autoriteit Persoonsgegevens (AP) onderzoekt of de privacy van Nederlandse kinderen voldoende gewaarborgd is in de populaire muziekapp TikTok. Dat meldt de toezichthouder op zijn website.

Volgens de Autoriteit Persoonsgegevens worden kinderen beschouwd als extra kwetsbare groep omdat zij zich juist ook bij bij de verwerking van hun persoonsgegevens door sociale media minder bewust zijn van de gevolgen van hun handelen.

“We zien dat ontzettend veel Nederlandse kinderen met veel plezier gebruikmaken van TikTok”, schrijft voorzitter Monique Verdier van de Autoriteit Persoonsgegevens. “We doen onderzoek naar de vraag of deze app privacyvriendelijk is ontworpen en ingericht.”

De AP gaat kijken of de informatie die de app geeft over het installeren en gebruiken van de app goed te begrijpen is en of TikTok voldoende uitleg geeft over de verzameling, verwerking en het verdere gebruik van persoonsgegevens.

Ook onderzoekt de Nederlandse toezichthouder of toestemming van ouders vereist is wanneer TikTok persoonsgegevens van kinderen verzamelt, opslaat en verder gebruikt.

Whatsapp voldoet volgens toezichthouders nog altijd niet aan de AVG. Mag niet gebruikt worden

Voldoet Whatsapp aan de eisen van de AVG? De artikelen over Whatsapp op PrivacyZone worden sinds de Europese privacywet in 2018 van kracht werd dagelijks het meest gelezen. Het antwoord is nog altijd: nee!

Barbara Thiel, toezichthouder van de Duitse deelstaat Nedersaksen, heeft onderwijsinstellingen deze week opdracht gegeven te stoppen met Whatsapp. Zij reageerde op een richtlijn van het Nedersaksische ministerie van Onderwijs en Culturele Zaken voor scholen in de Corona-tijd. Volgens deze richtlijn zouden docenten en leerlingen tijdelijk gebruik mogen maken van WhatsApp voor onderlinge communicatie.

Thiel benadrukt dat zij als toezichthouder het gebruik van WhatsApp op scholen niet heeft aanbevolen of goedgekeurd. Hetzelfde geldt voor haar collega toezichthouders in 15 andere Duitse deelstaten. Duitsland telt in totaal 17 toezichthouders.

Omdat de Algemene Verordening Gegevensbescherming een Europese wet is gelden de standpunten van de Duitse toezichthouders ook in de rest van Europa. De Nederlandse Autoriteit Persoonsgegevens (AP) heeft ook regelmatig op Europees niveau overleg met andere toezichthouders.

Veel ondernemers worstelen met het AVG-dilemma Whatsapp op zakelijke telefoons. Wat privé wel mag is zakelijk een overtreding van de privacywet.

De scholen moeten met spoed goedgekeurde alternatieve messengers gaan gebruiken. Die zijn er volgens de toezichthouder voldoende.

“In het verleden ben ik altijd heel duidelijk tegen het gebruik van WhatsApp op scholen geweest,” zegt Thiel. “Dit standpunt is nog steeds geldig en is ook in overeenstemming met het standpunt van andere functionarissen voor gegevensbescherming.”

Whatsapp voldoet dus niet aan de Europese privacywet. Nog steeds niet, zou je kunnen zeggen. Want sinds de invoering van de Algemene Verordening Gegevensbescherming (AVG) op 25 juni 2018 heeft moederbedrijf Facebook toch meer dan voldoende tijd gehad om Whatsapp aan te passen.

Een ex-KNO-arts van ziekenhuis Amstelland veroorzaakt een groot datalek door een Whatsappgroep met honderden patiënten aan te maken. Hij overtreedt daarmee de AVG, schendt zijn medisch beroepsgeheim en een concurrentiebeding.

Tijdens de Corona crisis maken veel organisaties gebruik van Messenger applicaties als Whatsapp om te communiceren met medewerkers en klanten. Voor hen geldt hetzelfde als voor de onderwijsinstellingen in Nedersaksen. Zij zijn in overtreding.

Whatsapp voldoet zeker niet aan de AVG”

“Een van deze eisen van de AVG is dat de communicatie zo efficiënt mogelijk moet zijn”, zegt Thiel. “WhatsApp voldoet zeker niet aan deze eis. Al tijdens de registratie worden alle contactgegevens die in de telefoon van de gebruiker zijn opgeslagen, doorgegeven aan de provider.”

Volgens Thiel bestaat hiervoor geen wettelijke basis en kunnen de personen die in de telefoon van de gebruiker zijn opgeslagen niet instemmen met of bezwaar maken tegen de overdracht van gegevens.

“Er zijn aanzienlijk meer databesparende messengers op de markt die dezelfde communicatiemogelijkheden bieden. Ik roep het Ministerie van Onderwijs dan ook op om serieus na te denken over alternatieven voor WhatsApp en om scholen te informeren over de resultaten van dit onderzoek, zodat zij gebruik kunnen maken van privacy-vriendelijke diensten.”

Volgens Thiel had dit al enige tijd geleden moeten gebeuren, want zij heeft in het verleden herhaaldelijk haar bezorgdheid geuit over WhatsApp. “Ik zal het ministerie ook direct informeren over mijn standpunten”, kondigt Thiel aan en voegt eraan toe: “Het is zeer betreurenswaardig dat docenten en studenten nu in eerste instantie geen gebruik kunnen maken van gegevensbeschermingsvriendelijke messengers in tijden van crisis.”

Veel cookiebanners van mediasites voldoen niet aan de AVG. Richtlijnen zijn aangescherpt

Op 5 mei 2020 heeft het Europees Comité voor gegevensbescherming (EDSA) de richtlijnen voor toestemming voor het gebruik van cookies geactualiseerd.

De EDSA stelt dat deze actualisering bedoeld is om juridische duidelijkheid te verschaffen over met name twee fenomenen:

  • De geldigheid van de door de betrokkene gegeven toestemming bij interactie met zogenaamde “cookie-walls”.
  • De veronderstelde toestemming die wordt gegeven door het scrollen op een website.

Internetgebruikers zullen waarschijnlijk merken dat de voorheen gebruikelijke, smalle cookie-meldingen op websites, die meestal met een “Ok” konden worden weggeklikt, geleidelijk aan plaats maken voor zogenaamde “cookie-inhoudsbanners”.

Deze paradigmaverschuiving is waarschijnlijk te wijten aan de interpretatie van de Algemene Verordening Gegevensbescherming (AVG) door de toezichthoudende autoriteiten van de jurisprudentie van het Europese Hof van Justitie (arrest Planet49).

Veel websitebeheerders vragen nu nog via een cookiebannee aan bezoekers of zij akkoord gaan met cookietracking om “de gebruikerservaring te verbeteren” met enkel een “Ja”-knop en niet met een “Nee/Weigeren”-knop.

In plaats daarvan kan de onwillige gebruiker slechts op een “Instellingen” knop klikken, waarachter uitgebreide tekst – die hem vaak niet zal interesseren – en aankruisvakjes verborgen zijn.

De meeste websites voldeden tot dusver gewoon niet aan de AVG. Terwijl artikel 7, lid 3, zin 3 AVG, op zich toch heel duidelijk is:

“Intrekking van de toestemming moet net zo eenvoudig zijn als het geven van toestemming.”

Bij het doornemen van de EDSA-richtlijnen wordt al snel duidelijk dat die een samenvatting en verduidelijking zijn van reeds bekende vanzelfsprekende feiten, die door veel website-exploitanten niet worden gevolgd.

Internetgebruikers worden steeds vaker geconfronteerd worden met dubbelzinnige, onbegrijpelijke, verwarrende of gewoonweg vervelende cookiebanners, zoals de variant die beschreven wordt met “instellingen opslaan” in plaats van “afwijzen”.

De gepubliceerde richtlijnen moet daarom worden gezien als een poging om duidelijkheid te brengen in het ontwerp van de cookie banners en om een einde te maken aan bijzonder fantasierijke omzeilingen van de DSGVO-eisen.

Met name de zogenaamde “cookie-muren” en “toestemming door gebruik” of “toestemming door scrolling” die in de richtlijn worden behandeld, vertegenwoordigen slechts vaak voorkomende ontwerpen waarin de website-exploitanten een vermeende “toestemming” van de gebruiker krijgen om het volgen van de gebruiker te “rechtvaardigen”.

Het is dan ook niet verwonderlijk dat de richtlijnen van de EDSA inhoudelijk nauwelijks vernieuwingen bevatten.

De bijgewerkte richtlijnen maken nogmaals duidelijk dat toestemming niet kan worden afgedwongen.

Weg met de koekjesmuren

De grootste verandering is de expliciete verklaring dat “cookie walls” regelmatig voorkomen dat effectieve toestemming wordt verkregen. De EDSA stelt dat de toegang tot een webservice niet afhankelijk mag worden gemaakt van toestemming voor het plaatsen van zogenaamde cookies.

Met name veel mediasites blokkeren de toegang tot artikelen door een paginagrote banner voor de neus van de lezer te plaatsen, met de mogelijkheid om ofwel tracking te accepteren (“Lees meer met reclame”) of een abonnement te nemen. Deze gang van zaken is echter in strijd met de AVG.

Geen impliciete toestemming door scrollen

Met betrekking tot de vermeende toestemming door het gebruik van de website of het scrollen, zoals vaak te vinden in oudere cookiewetgevingen, stelt de EDSA in het kort:

“Acties zoals scrollen of vegen door een website of soortgelijke gebruikersactiviteiten voldoen in geen geval aan de eis van een duidelijke en positieve actie”.

Ook dit is eigenlijk een vanzelfsprekendheid, die uit overweging 32 van de AVG zou moeten blijken: “Toestemming moet worden gegeven door middel van een duidelijk bevestigend besluit…”

Of de herziene EDSA-richtlijn zal leiden tot meer juridisch conforme toestemming op het internet is nog maar de vraag. Veel organisaties houden zich weloverwogen niet aan de wet, omdat zij weten dat er amper gecontroleerd wordt en de kans op boetes klein is.

Waarom beboeten Europese toezichthouders wel ziekenhuizen en geen multinationals als Facebook, Google en Amazon?

Om te voorkomen dat de Algemene Verordening Gegevensbescherming (AVG) een tandeloze tijger is, zijn gretige toezichthouders nodig die niet terugdeinzen voor handhaving van de Europese privacywetgeving. Maar helaas laten vrijwel alle Europese toezichthouders het afweten, concludeert Brave Software Inc.

Brave Software Inc. is het bedrijf dat verantwoordelijk is voor de privacyvriendelijke browser Brave. Deze browser helpt gebruikers pro actief te voorkomen dat internetbedrijven als Google, Facebook, Amazon en Microsoft, en internetcriminelen, ongewenst privacygevoelige informatie kunnen verzamelen.

Brave doet wat sinds de invoering van de Algemene Verordening Gegevensbescherming (AVG) eigenlijk iedere browser standaard zou moeten doen. Gebruikers beschermen. Maar de meest gebruikte browser – Google Chrome – heeft bijvoorbeeld andere commerciële belangen. En Google komt daarmee vooralsnog weg.

Eigenlijk zou nu iedere organisatie die de AVG overtreedt door de Autoriteit Persoonsgegevens (AP) moeten worden bestraft. Zoals horecabedrijven en jongeren die zich niet houden aan de Corona voorschriften. Zoals automobilisten die te hard rijden of fout parkeren ook genadeloos worden gestraft. Genadeloos lik op stuk. Maar dat gebeurt niet.

Volgens Brave Software Inc. doen de Europese toezichthouders zelfs nauwelijks iets. Ze zijn tandeloze tijgers. Fout parkeren en te hard rijden loont bij grote Internationals.

Waarom moeten ziekenhuizen wel torenhoge boetes betalen?

De toezichthouders hebben ondertussen wel snel en genadeloos gereageerd op overtredingen in de zorg. Ziekenhuizen in Duitsland, Portugal en Nederland moesten honderdduizenden Euro boete betalen omdat ziekenhuispersoneel zich niet aan de privacyregels had gehouden.

Waarom zijn kwetsbare zorginstellingen meteen keihard aangepakt, terwijl steenrijke multinationals die doelbewust de privacywet overtreden nog steeds vrijuit gaan?

Bijna alle toezichthouders in de EU beschikken volgens Brave Software Inc. niet over de dringend noodzakelijke middelen – zowel financieel, als personeel – om goed te kunnen functioneren. Waarom? Staatsfalen.

Om de Europese Commissie tot actie aan te zetten, heeft Brave Software Inc. onlangs een klacht ingediend en een helder onderzoek vol onderbouwde aantijgingen gepubliceerd.

Het rapport is een grote aanval op de lidstaten die het toezicht op de gegevensbescherming verwaarlozen.

Dr. Johnny Ryan, Chief Policy & Industry Relations Officer van Brave, gebruikt in zijn onderzoek veel grafieken om te illustreren dat de EU-lidstaten hun regelgevende instanties niet voorzien van voldoende financiële en personele middelen. De enige uitzondering: Duitsland.

Op 27 april 2020 diende Ryan een klacht in bij de Europese Commissie, waarin hij eiste dat zij een inbreukprocedure zou inleiden tegen 26 lidstaten die zich niet houden aan de afspraken die zijn vastgelegd in de Europese privacywetgeving.

Waarom pakken toezichthouders van Ierland en Luxemburgs Facebook en Amazon niet aan?

Terwijl kleine bedrijven in de hele EU nauwgezet worden gecontroleerd op de naleving van de wetgeving inzake gegevensbescherming, sluiten de Ierse en Luxemburgse toezichthouders volgens Brave Software Inc. de ogen voor de gegevenshooligans Facebook, Google en Amazon die op grote schaal de AVG overtreden en daar twee jaar na invoering van de wet nog altijd niet voor zijn aangepakt.

Brave heeft inmiddels een klacht tegen concurrent Google ingediend. Dat is opmerkelijk en logisch tegelijk, want Brave maakt gebruik van de techniek van de browser Google Chrome. Als Brave daarmee een goede en veilige browser kan bouwen, waarom doet Google dat dan niet ook?

Ierse Autoriteit Persoonsgegevens

De Ierse commissaris voor gegevensbescherming Helen Dixon ziet de zaken heel anders. Ze zegt in de Iris Times dat er nog een beslissing moet worden genomen over Twitter, Facebook, en Co. Raar dat haar Italiaanse collega wel al een boete van 10 miljoen euro heeft opgelegd aan Facebook.

Het kantoor van de Ierse toezichthouder zou sinds 2018 overbelast zijn door meer dan 12.000 klachten over gegevensbescherming, die allemaal moeten worden behandeld. Er zou geen twijfel over bestaan dat er boetes zouden worden opgelegd. Maar de vraag is: Wanneer?

Vrijwel alle Europese toezichthouders moeten bezuinigen

Volgens Brave Software Inc. zou het wel eens tot Sint Juttemis kunnen duren voor de internet multinationals worden aangepakt. De nu al overbelaste toezichthouders moeten namelijk in vrijwel heel Europa bezuinigen op het budget en het personeel!

De Ierse toezichthouder Helen Dixon wijst op de succesvolle interventie ten opzichte van Facebook toen deze zijn eigen dating-app wilde introduceren. Ze benadrukt:

“Er zijn veel verschillende manieren om een positief effect te creëren… Niet iedereen heeft het over boetes en het oppervlakkig commentaar dat we soms zien.”

“AVG is een fantasie“

Dat kan zo zijn. Maar een flinke boete voor de multinationals die al jarenlang parasiteren op de samenleving door illegaal privacy data te verwerken en belasting ontduiken toch ook een goed signaal afgeven.

“Als je geen sterke, robuuste handhaving en investering hebt, is deze wet een fantasie”, zegt Ryan. “Tot nu toe hebben we het potentieel van de AVG niet gerealiseerd.”

Ryan legt de verantwoordelijkheid niet neer bij de regelgevende instanties.

“Als de AVG dreigt te mislukken, ligt de schuld bij de nationale regeringen, niet bij de gegevensbeschermingsautoriteiten.”

Duidelijke woorden

Ryan heeft gelijk, want de AVG definieert duidelijk en ondubbelzinnig wat er aan de hand is. Artikel 52, lid 4, van de AVG luidt als volgt:

“Elke lidstaat zorgt ervoor dat elke toezichthoudende autoriteit beschikt over de personele, technische en financiële middelen, en de bedrijfsruimten en infrastructuur die nodig zijn voor het effectief uitvoeren van haar taken en uitoefenen van haar bevoegdheden, waaronder die in het kader van wederzijdse bijstand, samenwerking en deelname aan het Comité.”

Het is slechts één kant van de medaille om een toezichthoudende autoriteit op te richten – zonder voldoende middelen kan er geen controle plaatsvinden. Reden genoeg om de tekortkomingen waar Brave voor waarschuwde nader te bekijken.

Geen geld, geen actie

Volgens Ryan is het een schending van artikel 52, lid 4, van de AVG dat de toezichthoudende autoriteiten in 26 EU-lidstaten ondergefinancierd zijn.

Dit kan het best worden geïllustreerd aan de hand van het voorbeeld van Luxemburg. Het is de verantwoordelijkheid van de Luxemburgse toezichthoudende autoriteit om toe te zien op de tenuitvoerlegging van de wetgeving inzake gegevensbescherming bij Amazon EU S.à.r.l.

Amazon verdient iedere 10 minuten evenveel als begroting Luxemburgse toezichthouder

De begroting van de Luxemburgse gegevensbeschermingsautoriteit bedroeg in 2019 ongeveer 5,7 miljoen euro. Voor Amazon moet dit bedrag ronduit belachelijk lijken – dit is immers ongeveer het bedrag dat Amazon elke tien minuten aan de verkoop verdient!

De gegevensbeschermingsautoriteiten van de helft van alle lidstaten moeten het redden met minder dan vijf miljoen euro per jaar. Slechts drie staten (Duitsland, Italië, Verenigd Koninkrijk) hebben meer dan 25 miljoen euro budget per jaar. Ter vergelijking: volgens het Brave-rapport ontvangen de Duitse toezichthouders tussen 80 en 90 miljoen euro per jaar!

Besparing op personeel

Volgens Ryan is er ook een tekort aan personeel, vooral aan personeel met de nodige IT-expertise.

Om gecompliceerde IT-vragen op het gebied van gegevensbescherming te kunnen beantwoorden en om grote technische bedrijven te kunnen auditeren, zijn gespecialiseerde medewerkers nodig.

Gegevensbescherming en IT gaan hand in hand. Het is niet voldoende om de gegevensbescherming alleen van de juridische kant te bekijken!

Tekort aan IT-specialisten bij toezichthouders

Er is een tekort aan IT-specialisten bij de toezichthoudende autoriteiten van de EU-lidstaten. In slechts vijf lidstaten (zes als je het Verenigd Koninkrijk meetelt) zijn meer dan tien IT-specialisten in dienst van de gegevensbeschermingsautoriteiten.

Meer dan de helft van alle lidstaten heeft slechts maximaal vijf daarvan in hun toezichthoudende autoriteiten. Zeven landen hebben slechts één of twee IT-specialisten in dienst.

De cijfers voor Oostenrijk (0) en België (5), alsook voor Cyprus (2) en Letland (1) zijn zo laag omdat deze landen gebruik maken van externe IT-consultants.

De cijfers uit Duitsland zijn verbazingwekkend: op federaal en deelstaatniveau is in totaal 29 procent van het in de hele EU beschikbare personeel van de IT-toezichthouder in dienst (meer dan 100). Geen wonder dat Ryan Duitsland heeft uitgesloten van zijn klacht.

De nationale gegevensbeschermingsautoriteiten binnen de EU hebben 3520 mensen in dienst. Slechts 8,6 procent daarvan zijn IT-specialisten. Volgens Dr. Ryan vertraagt dit het onderzoek, waardoor het soms wordt verhinderd.

Als het gaat om digitalisering lijkt de EU niet alleen achter te lopen op de particuliere sector, maar is ze momenteel realistisch beschouwd ook kansloos.

Multinationals hebben alle troeven in handen

Uiteindelijk hebben de gecontroleerde, vaak multinationale ondernemingen gewoon de betere kaarten – de strijd tegen de grote dataslurpers is als de David tegen Goliath met een omgekeerde uitkomst.

Facebook, Google en Co. hebben legioenen advocaten in dienst. Het is begrijpelijk dat de eenzame strijder bij de autoriteiten nauwelijks succes heeft. Hoe dan, financieel ongewapend?

In veel gevallen durven de regelgevende instanties niet eens de grote technische bedrijven te benaderen uit angst dat hun maatregelen worden aangevochten. Eeuwige correspondentie, lange juridische procedures. De multinationale dataslurpers lachen er om. Ze hebben geld zat. Miljarden euro’s. Bij hen gaat het om ingecalculeerd risico. Ook als ze verliezen en een torenhoge boete zouden moeten betalen maken ze nog steeds winst. En ze weten ook nog eens dat de toezichthouders amper geld hebben om tegen hen te kunnen procederen.

Bovendien behoren de administratieve juristen die voor de toezichthoudende instanties voor gegevensbescherming werken niet bepaald tot de topverdieners in de juridische wereld – de wereldwijde spelers kunnen alleen maar lachen om hun salaris. Goed personeel is niet goedkoop.

Waar leidt het allemaal naartoe?

Als de meerderheid van de toezichthoudende autoriteiten in de EU-lidstaten door een gebrek aan financiële en personele middelen wegzakken in het moeras van duizenden en duizenden klachten, is de AVG gedoemd te mislukken. Als de autoriteiten inactief blijven, hebben dataslurpers als Amazon, Facebook en Google de vrije hand. De Algemene Verordening Gegevensbescherming is dan niet meer waard dan het papier waarop ze is geschreven.

Voldoet digitaal thuisonderwijs wel aan de Algemene Verordening Gegevensbescherming?

Veel ouders, docenten, leerlingen en studenten maken zich zorgen over persoonsgegevens die worden verzameld bij digitaal thuisonderwijs tijdens de coronacrisis.

Dit blijkt uit de grote hoeveelheid signalen die de Autoriteit Persoonsgegevens (AP) hierover ontvangt. De AP deelt deze zorgen en gaat daarom bij onderwijsinstellingen na of zij de privacy wel goed op orde hebben.

Ouders en studenten vragen zich bijvoorbeeld af of de systemen die scholen gebruiken om te videobellen wel veilig zijn, of gegevens niet in verkeerde handen kunnen vallen en wat er precies met al die gegevens gebeurt.

Thuisonderwijs tijdens corona

Nederland heeft ongeveer 2 miljoen leerlingen en studenten. Een groot deel van hen krijgt op dit moment thuis les via beeldbellen. Of maakt thuis tentamens of toetsen onder toezicht van een webcam.

Onderwijsinstellingen hebben hiervoor onder grote druk technische maatregelen moeten nemen. Zodat leerlingen en studenten ook tijdens de coronacrisis goed onderwijs krijgen.

Wat zeggen de gegevens?

Er is veel informatie te halen uit de beelden die bij beeldbellen en proctoring (digitaal surveilleren) worden verzonden naar onderwijsinstellingen of medestudenten.

Allereerst over hoe leerlingen of studenten presteren, hoe zij zich gedragen en hoe het is gesteld met hun concentratie. Maar bijvoorbeeld ook over religieuze uitingen of wat gezinsleden doen die in de achtergrond zichtbaar zijn.

In tegenstelling tot in de normale lespraktijk, kunnen deze observaties nu makkelijk worden opgeslagen en verspreid.

Let op bij digitaal surveilleren

Sommige onderwijsinstellingen maken gebruik van proctoring. Hierbij monitoren zij online leerlingen of studenten tijdens een toets of tentamen.

De leerlingen of studenten moeten bijvoorbeeld foto’s maken van de ruimte waar zij zijn.

Verder kijkt de onderwijsinstelling mee op hun scherm, registreert deze toetsaanslagen en houdt deze via een of meerdere webcams hun gedrag in de gaten. Soms moet een leerling of student hier aparte software voor installeren.

Met een dergelijk systeem kan volgens veel en gevoelige informatie worden verzameld en verwerkt. Daarom moeten onderwijsinstellingen zich afvragen of al deze gegevens daadwerkelijk noodzakelijk zijn. En of er geen andere manier is om examenfraude te bestrijden, die minder impact heeft op leerlingen en studenten.

Onderwijsinstelling verantwoordelijk

Als onderwijsinstellingen beeldbellen en/of proctoring gebruiken, zijn zij verantwoordelijk zijn voor de verwerking van persoonsgegevens. Dat bepaalt de privacywetgeving. Daarom moeten onderwijsinstellingen hoge eisen stellen aan de leveranciers van deze systemen.

Het systeem mag niet meer gegevens verwerken dan noodzakelijk en deze gegevens mogen niet langer worden bewaard dan noodzakelijk.

Verder moeten onderwijsinstellingen hun leerlingen, studenten, docenten en de ouders van minderjarige kinderen informeren over hoe hun persoonsgegevens worden beschermd.

De AP heeft dit onderstreept richting de onderwijskoepels. Daarnaast gaat de AP bij onderwijsinstellingen na of zij voldoende werk maken van het beschermen van de privacy van hun leerlingen of studenten. Zij moeten aantonen hoe zij dit doen. Daarna bekijkt de AP of vervolgstappen nodig zijn.

Het is belangrijk deze check te doen. Leerlingen en studenten moeten er namelijk op kunnen vertrouwen dat hun onderwijsinstelling zorgvuldig met hun (gevoelige) informatie omspringt.

‘Geen ondergeschoven kind’

“Alle leerlingen moeten zonder stempel kunnen opgroeien”, zegt bestuurslid Katja Mur van de Autoriteit Persoonsgegevens. “Hun privacy is van groot belang en wordt extra beschermd in de privacywetgeving. Onveilige oplossingen kunnen risico’s opleveren voor de toekomst van leerlingen. Deze dataverwerking mag geen ondergeschoven kind van de coronacrisis worden. Wij wijzen onderwijsinstellingen er daarom op zorgvuldige keuzes te maken en ondersteunen hen hierin met een aantal tips.”

Autoriteit Persoonsgegevens (AP) legt boete van 725.000 Euro op voor gebruik van vingerscans

De Autoriteit Persoonsgegevens (AP) heeft een boete van 725.000 euro opgelegd aan een bedrijf voor het onrechtmatig afnemen van vingerafdrukken van haar medewerkers en het gebruik van vingerscans. Het is de hoogste boete die de AP tot dusver heeft opgelegd.

Het HagaZiekenhuis in Den Haag kreeg op 16 juli 2019 als eerste organisatie in Nederland een forse boete van 460.000 euro opgelegd.

Het Haagse ziekenhuis kwam in opspraak toen bleek dat 85 medewerkers het patiëntendossier hadden ingezien van Samantha de Jong, bekend als realityster Barbie.

Tijdregistratie met vingerafdruk

Op 5 juli 2018 ontving de AP een melding dat een bedrijf werknemers verplicht had om hun vingerafdruk te laten scannen. Uit de melding bleek dat werknemers met behulp van een vingerafdruk in- en uit moesten klokken.

Naar aanleiding van dit signaal is de AP eind oktober 2018 een onderzoek gestart naar de naleving door van artikel 9 van de Algemene verordening gegevensbescherming (AVG). Dit artikel gaat onder meer over het verbod op de verwerking van biometrische gegevens, zoals een vingerafdruk.

De AP heeft daarom onder meer een onderzoek ter plaatse bij het bedrijf verricht.

Gebruik biometrische gegevens is verboden

Het waarborgen van de privacy van een individu is van groot belang bij de inzet van biometrie. Biometrische gegevens, zoals een vingerafdruk, zijn namelijk bijzondere persoonsgegevens in de zin van artikel 9 AVG. Dit zijn persoonsgegevens die door hun aard bijzonder gevoelig zijn omdat de verwerking ervan significante risico’s kan meebrengen voor de grondrechten en de fundamentele vrijheden van mensen.

Unieke lichaamskenmerken zoals een vingerafdruk zijn bovendien te herleiden naar één individu. Ook bevatten biometrische gegevens vaak meer informatie dan strikt noodzakelijk is voor bijvoorbeeld identificatie.

Het verwerken van biometrische persoonsgegevens verdient volgens de AP specifieke bescherming. Op grond van artikel 9 AVG is de verwerking van biometrische gegevens daarom verboden, tenzij een van de limitatief opgesomde uitzonderingen van artikel 9, lid 2, AVG zich voordoet.

Dubbele rol Data Protection Officer levert Belgisch bedrijf boete van 50.000 euro op

De Belgische gegevensbeschermingsautoriteit (DPA) heeft een onderneming 50.000 Euro boete opgelegd omdat zij het hoofd van de afdeling Compliance, Audit en Risk heeft aangesteld als Data Protection Officer (DPO).

Volgens de Belgische gegevensbeschermingsautoriteit kan er geen twijfel over bestaan dat “de combinatie van de rol van DPO met die van hoofd van een afdeling die aan het toezicht van de DPO is onderworpen, de DPO ervan weerhoudt onafhankelijk te handelen.”

De uitspraak van de Belgische toezichthouder betekent dat het schier onmogelijk wordt om de rol van DPO te combineren met enige andere functie binnen een organisatie.

Als de DPO te hoog in de organisatie zit kan de gegevensbeschermingsautoriteit beweren dat hij/zij ook beslist over het doel en de middelen.

Als de DPO op een te operationeel niveau zit zou de gegevensbeschermingsautoriteit kunnen beweren dat hij/zij te veel betrokken is bij de eigenlijke verwerkingsactiviteiten (en dat hij/zij niet in staat is om rechtstreeks aan het hogere management te rapporteren).

Een oplossing voor dit probleem die steeds meer terrein wint is het zogenaamde accountantsmodel: intern een stevige Privacy Office met extern een toetsende en adviserende DPO.

Autoriteit Persoonsgegevens zet met ‘Corona opt-in’ toestemming medisch beroepsgeheim buitenspel

“Een noodsituatie vergt noodmaatregelen. Daar zijn we ons terdege van bewust. Maar ook noodmaatregelen moeten proportioneel, transparant en toetsbaar zijn. En daar lijkt de Autoriteit Persoonsgegevens (AP) nu toch een belangrijke steek te hebben laten vallen”, concluderen Platform Bescherming Burgerrechten, Privacy First, Humanistisch Verbond en Stichting KDVP.

“Omdat die haar goedkeuring heeft gegeven aan een problematische noodmaatregel, de zogenaamde ‘corona opt-in’, waarmee het medisch beroepsgeheim systematisch buitenspel wordt gezet. De medische privacy van alle Nederlandse burgers komt hiermee in gevaar.”

Platform Bescherming Burgerrechten, Privacy First, Humanistisch Verbond en
Stichting KDVP hebben hun gezamenlijke standpunt gepubliceerd op de website van Platform Burgerrechten.

Waar gaat het om?

Ruim de helft van alle Nederlanders heeft nog geen toestemming gegeven om hun medische gegevens via het Landelijk Schakelpunt (LSP) te laten uitwisselen door zorgverleners.

Daardoor is er een groot niemandsland van potentiële corona-patiënten waarvan huisartsenposten en ziekenhuizen niet weten wat hun medische achtergrond is.

Terwijl ze daar wel behoefte aan hebben, als de nood aan de man komt. Vandaar dat ze aan het ministerie van VWS gevraagd hebben om daar iets voor te regelen.

Het ministerie van VWS heeft hiervoor de zogenaamde ‘corona opt-in’ bedacht. Een verwarrende term, omdat er door die maatregel juist géén expliciete toestemming (opt-in) meer vereist is; er wordt uitgegaan van een soort stilzwijgende toestemming dat je gegevens gedeeld mogen worden via het LSP. Tenzij je alsnog bezwaar maakt.

De nieuwe praktijk wordt daarmee: wie zwijgt, stemt toe (opt-out). Wat wettelijk gezien gewoon niet mag.

Autoriteit Persoonsgegevens

De Autoriteit Persoonsgegevens vindt deze ‘corona opt-in’ niet bezwaarlijk, met dien verstande dat de patiënt nog wel even ter plekke toestemming moet geven.

In haar reactie op het voorstel stelt de AP:
“Artsen op de huisartsenpost of spoedeisende hulp mogen alleen met toestemming van coronapatiënten het medisch dossier bij hun huisarts inzien via een elektronisch uitwisselingssysteem. Wie nog geen toestemming heeft gegeven, kan dat ter plekke doen. Dat mag in dit geval ook mondeling. Alleen als een patiënt niet in staat is om toestemming te geven, is inzage zonder toestemming toegestaan.”

Medisch beroepsgeheim massaal omzeild

Klinkt logisch en redelijk. Vooral ook vanwege de extra voorwaarden die de AP heeft toegevoegd, zoals: dat deze maatregel tijdelijk is, en dat de gegevens alleen ingezien mogen worden door de huisartsenpost of de spoedeisende hulp. Maar toch kleven er aan deze oplossing belangrijke bezwaren. We noemen er vier (maar er zijn er nog meer).

Eerste probleem

Ten eerste is er een technisch probleem. Je kunt als patiënt wel zéggen dat je toestemming geeft, maar dan kan de arts nog steeds niet in je dossier. Degene die je dossier moet ontsluiten is namelijk de huisarts die je medische gegevens heeft vastgelegd in zijn patiëntdossier.

Deze noodmaatregel is nou juist bedoeld om het beroepsgeheim dat daarop rust te omzeilen.

Hoe dit logistiek moet worden gerealiseerd, wordt niet helder uit de brief van de AP. Maar wie is ingewijd in de technische kant van het LSP, weet dat dit alleen maar kan door álle dossiers waarvoor nog geen toestemming voor uitwisseling is gegeven, alsnog te ontsluiten (via een update van huisarts-systemen).

Een volkomen disproportionele maatregel. En ook nog bloedlink, getuige het tweede probleem.

Tweede probleem

Het tweede probleem is ook technisch van aard: de raadpleging van je dossier zou beperkt moeten blijven tot de zorgverleners die direct bij je behandeling zijn betrokken. Maar dat is in het LSP technisch niet mogelijk.

Dit informatiesysteem biedt geen mogelijkheid tot gericht opvragen: het is alles of niets. In dit geval dus alles, oftewel iedere zorgverlener aangesloten op het LSP. Dat zijn tienduizenden potentiële ingangen voor hackers.

De Eerste Kamer, die het LSP in 2011 unaniem verwierp, noemde het systeem daarom destijds “een dossier met duizend deuren aan de achterkant.”

Derde probleem

De ‘corona opt-in’ biedt daarmee slechts een schijnzeggenschap aan de patiënt – het derde bezwaar. Ongeacht of de patiënt toestemming geeft, zal diens dossier namelijk technisch al open staan voor raadpleging vanuit tienduizenden toegangspunten.

De toestemming die patiënten volgens de AP moeten geven, is daarmee niets meer dan een holle formaliteit.

Door in haar brief aan het Ministerie van Volksgezondheid ten onrechte te stellen dat deze toestemming een harde eis is om het dossier raadpleegbaar te maken, gaat de AP voorbij aan de verstrekkende technische implicaties van deze maatregel – en daarmee ook de juridische.

Vierde probleem

Daarmee komen we aan bij het vierde en overkoepelende bezwaar. De AP houdt officieel toezicht op de naleving van privacywetten, maar nergens in haar brief valt te lezen op welke wettelijke basis de ‘corona opt-in’ is gebaseerd.

Evenmin wordt duidelijk waarom de AP van mening is dat de voorgestelde ‘corona opt-in’ een noodzakelijke en proportionele maatregel en dat dit probleem niet op een minder ingrijpende manier kan worden opgelost.

Van een privacytoezichthouder in crisistijd mogen we een transparant en grondiger onderbouwd oordeel verwachten, waarbij bovenstaande gevolgen van de ‘corona opt-in’ expliciet worden meegewogen.

Toezicht op naleving van de privacywetgeving en de principes van het privacyrecht zijn de kerntaken van de AP, juist in crisistijd.

Als iemand nu het hoofd koel moet houden en niet mee moet gaan in overhaaste crisismaatregelen met onoverzienbare gevolgen, is het de nationale toezichthouder op de privacy.

Platform Bescherming Burgerrechten
Privacy First
Humanistisch Verbond
Stichting KDVP

Dit gezamenlijke standpunt is eerder gepubliceerd op https://platformburgerrechten.nl/2020/04/10/ap-sta-ons-bij/ en https://specifieketoestemming.nl/ap-sta-ons-bij/.

Privacy First fel tegen iedere Corona surveillance app

Privacy First schrijft in een opiniestuk in de Telegraaf “fel tegen iedere Corona surveillance-app te zijn en al zeker tegen een die het medisch beroepsgeheim ondermijnt.”

“Een mobiel EPD (elektronisch patiëntendossier) waarin iedere burger een potentiele verdachte is en tevens en masse alle bewegingen worden nagegaan, levert in onze ogen schijnverdenkingen en -zekerheden op, verdachtmakingen, stigmatisering en zelfcensuur”, schrijft Privacy First. “Dit vormt een enorme inbreuk op ieders bewegingsvrijheid, om nog maar niet te spreken van datalekken en hacking.”

Stichting Privacy First is opgericht in 2008. Het statutaire doel van Privacy First luidt als volgt: Het behouden en bevorderen van het recht op privacy, alsmede de persoonlijke vrijheid van leefomgeving, op welke wijze dan ook, onder meer door het in rechte optreden voor alle burgers in Nederland ter bescherming van dit algemene belang; en het verrichten van al hetgeen met voornoemd doel in de ruimste zin verband houdt of daartoe bevorderlijk kan zijn.

Tevens zal het volgens Privacy First niet bij deze app blijven. “Er zijn meer (toekomstige) ziekten en gedrag in kaart te brengen. En waarom dan niet meteen het hele dossier, gekoppeld aan triage? De geschiedenis leert dat dit soort maatregelen nooit worden teruggedraaid en alleen maar worden uitgebreid.”

“In ons rechtssysteem is het heel simpel”, zegt Privacy First. “We gaan uit van legitieme doelbinding, oftewel: wat is het probleem, wat is het doel en hoe kunnen we dit bereiken?”

“De eerste vraag kunnen we al niet beantwoorden; we meten namelijk vrijwel niet. De bevolking wordt dagelijks angst aangejaagd op basis van zeer selectieve cijfers inzake intensivecare-opnames en sterfgevallen. De totale besmette populatie is onbekend en het aantal mensen dat geneest wordt niet gerapporteerd.”

“Wat we hier zien is een crisis aangejaagd door emotie bij gebrek aan cijfers. En dan is een app de oplossing? Waarvoor precies?”

Naast doelbinding zijn volgens de Algemene Verordening Gegevensbescherming (AVG) noodzaak en proportionaliteit (is er een redelijke verhouding tussen het middel en het doel?) cruciaal. “In deze crisis is het grootste probleem een capaciteitsprobleem in de gezondheidszorg. Dan lijkt me duidelijk waar de aandacht naartoe moet gaan: capaciteitsuitbreiding met man en macht”, stelt voorzitter Bas Filippini,
van Privacy First.

“Mensen, ic-bedden, mondkapjes, kleding, beademingsapparatuur et cetera. En natuurlijk testcapaciteit voor de gehele bevolking, zowel op infectie als op antilichamen. Zo komen we tot feiten en het vaststellen van het echte probleem. Volgens de laatste schattingen heeft 95% van onze bevolking helemaal niets en die zou nu continu met een app gecontroleerd moeten worden?”

Een ander vereiste in de AVG is subsidiariteit: wat zijn de alternatieve oplossingen voor een dergelijke horror-app, die alleen maar leidt tot meer angst en wantrouwen? Welke privacyvriendelijke alternatieven zijn er?

“Onze overheid krijgt nu vanuit vertrouwen zes weken de tijd om zijn zaakjes op orde te krijgen en de burger heeft daarom het recht om iets terug te krijgen. Welke behandelmethoden en testmiddelen zijn reeds voorhanden die de burger weer vertrouwen kunnen geven?”, zegt Filippini.

“Alle opties dienen te worden onderbouwd met cijfers. En testen kan gewoon via ons huidige gezondheidssysteem, dus via de huisarts. Niks nieuws onder de zon. Indien iemand besmet getest wordt, kan die in overleg met de huisarts of wellicht de GGD zelf actie ondernemen. Via dezelfde huisarts kan een burger natuurlijk altijd op basis van vrijwilligheid medische gegevens delen (eventueel via een privacyvriendelijke app) om anderen te helpen in het vinden van de beste behandelmethode. Uit onze analyse blijkt echter dat anonieme apps vrijwel onmogelijk zijn.”

De conclusie van de voorzitter van Privacy First: “Dus fix the fundamentals, test en los het echte probleem op in plaats van apps te bouwen. Dan kunnen we op 28 april weer aan het werk en applaudiseren voor alle ondernemende Nederlanders die deze operatie uiteindelijk financieren.”

Gepubliceerd in de zaterdageditie van De Telegraaf, 11 april 2020: https://www.telegraaf.nl/watuzegt/805422902/de-kwestie-zijn-corona-apps-een-zegen-of-een-vloek.