Selecteer een pagina

Waarom beboeten Europese toezichthouders wel ziekenhuizen en geen multinationals als Facebook, Google en Amazon?

Om te voorkomen dat de Algemene Verordening Gegevensbescherming (AVG) een tandeloze tijger is, zijn gretige toezichthouders nodig die niet terugdeinzen voor handhaving van de Europese privacywetgeving. Maar helaas laten vrijwel alle Europese toezichthouders het afweten, concludeert Brave Software Inc.

Brave Software Inc. is het bedrijf dat verantwoordelijk is voor de privacyvriendelijke browser Brave. Deze browser helpt gebruikers pro actief te voorkomen dat internetbedrijven als Google, Facebook, Amazon en Microsoft, en internetcriminelen, ongewenst privacygevoelige informatie kunnen verzamelen.

Brave doet wat sinds de invoering van de Algemene Verordening Gegevensbescherming (AVG) eigenlijk iedere browser standaard zou moeten doen. Gebruikers beschermen. Maar de meest gebruikte browser – Google Chrome – heeft bijvoorbeeld andere commerciële belangen. En Google komt daarmee vooralsnog weg.

Eigenlijk zou nu iedere organisatie die de AVG overtreedt door de Autoriteit Persoonsgegevens (AP) moeten worden bestraft. Zoals horecabedrijven en jongeren die zich niet houden aan de Corona voorschriften. Zoals automobilisten die te hard rijden of fout parkeren ook genadeloos worden gestraft. Genadeloos lik op stuk. Maar dat gebeurt niet.

Volgens Brave Software Inc. doen de Europese toezichthouders zelfs nauwelijks iets. Ze zijn tandeloze tijgers. Fout parkeren en te hard rijden loont bij grote Internationals.

Waarom moeten ziekenhuizen wel torenhoge boetes betalen?

De toezichthouders hebben ondertussen wel snel en genadeloos gereageerd op overtredingen in de zorg. Ziekenhuizen in Duitsland, Portugal en Nederland moesten honderdduizenden Euro boete betalen omdat ziekenhuispersoneel zich niet aan de privacyregels had gehouden.

Waarom zijn kwetsbare zorginstellingen meteen keihard aangepakt, terwijl steenrijke multinationals die doelbewust de privacywet overtreden nog steeds vrijuit gaan?

Bijna alle toezichthouders in de EU beschikken volgens Brave Software Inc. niet over de dringend noodzakelijke middelen – zowel financieel, als personeel – om goed te kunnen functioneren. Waarom? Staatsfalen.

Om de Europese Commissie tot actie aan te zetten, heeft Brave Software Inc. onlangs een klacht ingediend en een helder onderzoek vol onderbouwde aantijgingen gepubliceerd.

Het rapport is een grote aanval op de lidstaten die het toezicht op de gegevensbescherming verwaarlozen.

Dr. Johnny Ryan, Chief Policy & Industry Relations Officer van Brave, gebruikt in zijn onderzoek veel grafieken om te illustreren dat de EU-lidstaten hun regelgevende instanties niet voorzien van voldoende financiële en personele middelen. De enige uitzondering: Duitsland.

Op 27 april 2020 diende Ryan een klacht in bij de Europese Commissie, waarin hij eiste dat zij een inbreukprocedure zou inleiden tegen 26 lidstaten die zich niet houden aan de afspraken die zijn vastgelegd in de Europese privacywetgeving.

Waarom pakken toezichthouders van Ierland en Luxemburgs Facebook en Amazon niet aan?

Terwijl kleine bedrijven in de hele EU nauwgezet worden gecontroleerd op de naleving van de wetgeving inzake gegevensbescherming, sluiten de Ierse en Luxemburgse toezichthouders volgens Brave Software Inc. de ogen voor de gegevenshooligans Facebook, Google en Amazon die op grote schaal de AVG overtreden en daar twee jaar na invoering van de wet nog altijd niet voor zijn aangepakt.

Brave heeft inmiddels een klacht tegen concurrent Google ingediend. Dat is opmerkelijk en logisch tegelijk, want Brave maakt gebruik van de techniek van de browser Google Chrome. Als Brave daarmee een goede en veilige browser kan bouwen, waarom doet Google dat dan niet ook?

Ierse Autoriteit Persoonsgegevens

De Ierse commissaris voor gegevensbescherming Helen Dixon ziet de zaken heel anders. Ze zegt in de Iris Times dat er nog een beslissing moet worden genomen over Twitter, Facebook, en Co. Raar dat haar Italiaanse collega wel al een boete van 10 miljoen euro heeft opgelegd aan Facebook.

Het kantoor van de Ierse toezichthouder zou sinds 2018 overbelast zijn door meer dan 12.000 klachten over gegevensbescherming, die allemaal moeten worden behandeld. Er zou geen twijfel over bestaan dat er boetes zouden worden opgelegd. Maar de vraag is: Wanneer?

Vrijwel alle Europese toezichthouders moeten bezuinigen

Volgens Brave Software Inc. zou het wel eens tot Sint Juttemis kunnen duren voor de internet multinationals worden aangepakt. De nu al overbelaste toezichthouders moeten namelijk in vrijwel heel Europa bezuinigen op het budget en het personeel!

De Ierse toezichthouder Helen Dixon wijst op de succesvolle interventie ten opzichte van Facebook toen deze zijn eigen dating-app wilde introduceren. Ze benadrukt:

“Er zijn veel verschillende manieren om een positief effect te creëren… Niet iedereen heeft het over boetes en het oppervlakkig commentaar dat we soms zien.”

“AVG is een fantasie“

Dat kan zo zijn. Maar een flinke boete voor de multinationals die al jarenlang parasiteren op de samenleving door illegaal privacy data te verwerken en belasting ontduiken toch ook een goed signaal afgeven.

“Als je geen sterke, robuuste handhaving en investering hebt, is deze wet een fantasie”, zegt Ryan. “Tot nu toe hebben we het potentieel van de AVG niet gerealiseerd.”

Ryan legt de verantwoordelijkheid niet neer bij de regelgevende instanties.

“Als de AVG dreigt te mislukken, ligt de schuld bij de nationale regeringen, niet bij de gegevensbeschermingsautoriteiten.”

Duidelijke woorden

Ryan heeft gelijk, want de AVG definieert duidelijk en ondubbelzinnig wat er aan de hand is. Artikel 52, lid 4, van de AVG luidt als volgt:

“Elke lidstaat zorgt ervoor dat elke toezichthoudende autoriteit beschikt over de personele, technische en financiële middelen, en de bedrijfsruimten en infrastructuur die nodig zijn voor het effectief uitvoeren van haar taken en uitoefenen van haar bevoegdheden, waaronder die in het kader van wederzijdse bijstand, samenwerking en deelname aan het Comité.”

Het is slechts één kant van de medaille om een toezichthoudende autoriteit op te richten – zonder voldoende middelen kan er geen controle plaatsvinden. Reden genoeg om de tekortkomingen waar Brave voor waarschuwde nader te bekijken.

Geen geld, geen actie

Volgens Ryan is het een schending van artikel 52, lid 4, van de AVG dat de toezichthoudende autoriteiten in 26 EU-lidstaten ondergefinancierd zijn.

Dit kan het best worden geïllustreerd aan de hand van het voorbeeld van Luxemburg. Het is de verantwoordelijkheid van de Luxemburgse toezichthoudende autoriteit om toe te zien op de tenuitvoerlegging van de wetgeving inzake gegevensbescherming bij Amazon EU S.à.r.l.

Amazon verdient iedere 10 minuten evenveel als begroting Luxemburgse toezichthouder

De begroting van de Luxemburgse gegevensbeschermingsautoriteit bedroeg in 2019 ongeveer 5,7 miljoen euro. Voor Amazon moet dit bedrag ronduit belachelijk lijken – dit is immers ongeveer het bedrag dat Amazon elke tien minuten aan de verkoop verdient!

De gegevensbeschermingsautoriteiten van de helft van alle lidstaten moeten het redden met minder dan vijf miljoen euro per jaar. Slechts drie staten (Duitsland, Italië, Verenigd Koninkrijk) hebben meer dan 25 miljoen euro budget per jaar. Ter vergelijking: volgens het Brave-rapport ontvangen de Duitse toezichthouders tussen 80 en 90 miljoen euro per jaar!

Besparing op personeel

Volgens Ryan is er ook een tekort aan personeel, vooral aan personeel met de nodige IT-expertise.

Om gecompliceerde IT-vragen op het gebied van gegevensbescherming te kunnen beantwoorden en om grote technische bedrijven te kunnen auditeren, zijn gespecialiseerde medewerkers nodig.

Gegevensbescherming en IT gaan hand in hand. Het is niet voldoende om de gegevensbescherming alleen van de juridische kant te bekijken!

Tekort aan IT-specialisten bij toezichthouders

Er is een tekort aan IT-specialisten bij de toezichthoudende autoriteiten van de EU-lidstaten. In slechts vijf lidstaten (zes als je het Verenigd Koninkrijk meetelt) zijn meer dan tien IT-specialisten in dienst van de gegevensbeschermingsautoriteiten.

Meer dan de helft van alle lidstaten heeft slechts maximaal vijf daarvan in hun toezichthoudende autoriteiten. Zeven landen hebben slechts één of twee IT-specialisten in dienst.

De cijfers voor Oostenrijk (0) en België (5), alsook voor Cyprus (2) en Letland (1) zijn zo laag omdat deze landen gebruik maken van externe IT-consultants.

De cijfers uit Duitsland zijn verbazingwekkend: op federaal en deelstaatniveau is in totaal 29 procent van het in de hele EU beschikbare personeel van de IT-toezichthouder in dienst (meer dan 100). Geen wonder dat Ryan Duitsland heeft uitgesloten van zijn klacht.

De nationale gegevensbeschermingsautoriteiten binnen de EU hebben 3520 mensen in dienst. Slechts 8,6 procent daarvan zijn IT-specialisten. Volgens Dr. Ryan vertraagt dit het onderzoek, waardoor het soms wordt verhinderd.

Als het gaat om digitalisering lijkt de EU niet alleen achter te lopen op de particuliere sector, maar is ze momenteel realistisch beschouwd ook kansloos.

Multinationals hebben alle troeven in handen

Uiteindelijk hebben de gecontroleerde, vaak multinationale ondernemingen gewoon de betere kaarten – de strijd tegen de grote dataslurpers is als de David tegen Goliath met een omgekeerde uitkomst.

Facebook, Google en Co. hebben legioenen advocaten in dienst. Het is begrijpelijk dat de eenzame strijder bij de autoriteiten nauwelijks succes heeft. Hoe dan, financieel ongewapend?

In veel gevallen durven de regelgevende instanties niet eens de grote technische bedrijven te benaderen uit angst dat hun maatregelen worden aangevochten. Eeuwige correspondentie, lange juridische procedures. De multinationale dataslurpers lachen er om. Ze hebben geld zat. Miljarden euro’s. Bij hen gaat het om ingecalculeerd risico. Ook als ze verliezen en een torenhoge boete zouden moeten betalen maken ze nog steeds winst. En ze weten ook nog eens dat de toezichthouders amper geld hebben om tegen hen te kunnen procederen.

Bovendien behoren de administratieve juristen die voor de toezichthoudende instanties voor gegevensbescherming werken niet bepaald tot de topverdieners in de juridische wereld – de wereldwijde spelers kunnen alleen maar lachen om hun salaris. Goed personeel is niet goedkoop.

Waar leidt het allemaal naartoe?

Als de meerderheid van de toezichthoudende autoriteiten in de EU-lidstaten door een gebrek aan financiële en personele middelen wegzakken in het moeras van duizenden en duizenden klachten, is de AVG gedoemd te mislukken. Als de autoriteiten inactief blijven, hebben dataslurpers als Amazon, Facebook en Google de vrije hand. De Algemene Verordening Gegevensbescherming is dan niet meer waard dan het papier waarop ze is geschreven.

Duitse toezichthouders spreken elkaar tegen over naambordjes. Toch wel AVG kwestie?

De staatscommissaris voor gegevensbescherming (TLfDI) in de Duitse deelstaat Thüringen, Dr. Lutz Hasse, zegt dat naambordjes in flats wel degelijk onder de AVG vallen. Daarmee weerspreekt hij zijn collega in Beieren die de hele discussie en ophef over de naambordjes en de AVG “onzin” noemde.

Volgens de Beierse toezichthouder hebben de naambordjes niets van doen met een geautomatiseerd proces en vallen ze daarom niet onder de AVG. Punt. Einde discussie zou je dan denken.

Maar de toezichthouder in Thüringen zegt dat overeenkomstig artikel 2, lid 1, de wet ook van toepassing is op de niet-geautomatiseerde verwerking van persoonsgegevens die in een bestandssysteem zijn of worden opgeslagen.

Waar draait deze kwestie om? In Duitse en Oostenrijkse media ontstond de afgelopen week veel ophef over het besluit van een woningcorporatie in Wenen om ruim 200.000 naambordjes in portieken van flats en appartementen te verwijderen vanwege de AVG. Op social media werd al snel over de idioterie van de Europese privacywet geschreven.

.
“De vraag is of de naambordjes onderdeel zijn van een bestand”, zegt Dr. Lutz Hasse. En volgens hem is dat zeer waarschijnlijk het geval als de bordjes door de verhuurder worden geplaatst.

Die moet dan immers een planning maken voor het plaatsen, opdracht geven voor het maken van de bordjes en namenlijsten maken voor de huismeester die de bordjes moet plaatsen.

Kortom, de bordjes zijn volgens dr. Lutz wel onderdeel van een bestand.

Moeten alle naambordjes dan toch verwijderd worden?

Dr. Lutz: “Nee, nee, nee!”

Mooi, toch niets aan de hand, denk je dan. Inderdaad ophef om niets. De toezichthouder in Beieren heeft gelijk. Maar helaas… Dr. Lutz zorgt er vervolgens voor dat de naambordjes toch nog voor administratieve AVG-rompslomp kunnen gaan zorgen.

Er moet wel toestemming gevraagd worden

“Plaatsing van de naambordjes is toegestaan indien de betrokkene daarmee heeft ingestemd, instemt met het oog op de toekomst of indien er een andere rechtsgrondslag is (artikel 6, lid 1, AVG)”, zegt dr. Lutz meteen na zijn driewerf nee.

Kortom: volgens de toezichthouder van Thüringen moeten verhuurders al hun huurders nog schriftelijk om toestemming vragen voor de naambordjes.

Hoe kunnen verhuurders aan de AVG voldoen?

Er zijn volgens dr. Lutz onder andere de volgende mogelijkheden om namen op belplaten en brievenbussen op een wettelijk verantwoorde wijze te publiceren:

“De DS-GVO (Duitse afkorting voor de AVG) zorgt voor informatieve zelfbeschikking en biedt ook passende oplossingen voor de Klingelschilder-zaak”, zegt Dr. Lutz Hasse. Hij besluit zijn uitleg opmerkelijk vrolijk met: “en ik ben blij dat de AVG bestaat!”

De verschillen in interpretatie van dezelfde Europese wet door verschillende toezichthouders bewerkstelligt dat waar de Beierse Autoriteit Persoonsgegevens juist voor vreest. Er ontstaat negatieve publiciteit en ophef. Er is veel onduidelijkheid. Daardoor onzekerheid. En daardoor kunnen tegenstanders de Europese privacywet eenvoudig in een kwaad daglicht plaatsen.

Teveel interpretaties mogelijk met de AVG

Er zijn teveel interpretaties mogelijk. Iedere nationale toezichthouder wil zijn eigen stempel drukken. In ieder land spelen andere invalshoeken.

In sommige landen, zoals Duitsland en Frankrijk zijn er naast een nationale Autoriteit Persoonsgegevens ook nog verschillende regionale toezichthouders. In Duitsland zijn er in totaal 18 toezichthouders. Iedere deelstaat heeft een eigen toezichthouder en een eigen site. Dat is vragen om problemen en kritiek.

Google verzweeg datalek in Google Plus. Overeenkomst met Facebook Cambridge Analytica schandaal

Google is sinds maart 2018 op de hoogte van een groot datalek in Google Plus, meldt The Wall Street Journal. In plaats van hiervan melding te maken, werd de fout door Google bewust verzwegen, blijkt uit een intern memo.

Privédata van honderdduizenden gebruikers van het sociale netwerk Google Plus Google lagen door een lek in de software jarenlang voor het oprapen.

Curieus is dat toen Google het datalek ontdekte de hele wereld net in de ban was van het Cambridge Analytica schandaal van Facebook.

Google zou het datalek hebben verzwegen uit angst voor reputatieschade en onderzoek door toezichthouders, onthult The Wallstreet Journal op basis van anonieme bronnen en een intern memo.

Datalek Google Plus bestaat al sinds 2015

Het datalek zou afgelopen maart zijn ontdekt door Google en al sinds 2015 openstaan. Via het lek zou het mogelijk zijn geweest voor externe ontwikkelaars om privédata van honderdduizenden gebruikers te bemachtigen.

Het zou gaan om onder meer volledige namen, e-mailadressen, geboortedata, woonplaatsen en profielfoto’s. Telefoonnummers en privéberichten van het sociale netwerk zouden wel afgeschermd zijn geweest.

Google-ceo Sundar Pichai was op de hoogte

Na de ontdekking verscheen de bewuste interne memo volgens de krant op het bureau van Google-ceo Sundar Pichai. Daarin stond dat een interne commissie van juridische medewerkers had bepaald om het voorval niet te melden.

De reden zou zijn dat er geen bewijs was dat externe ontwikkelaars de gegevens ook daadwerkelijk zou hebben misbruikt.

Google Plus wordt stopgezet

Maandagavond 8 oktober maakte Google pas in een reactie bekend dat het stappen onderneemt. In een uitgebreide blogpost, wordt aangekondigd dat het consumentengedeelte van Google Plus zal worden stopgezet.

Timing van Google blogpost is opvallend

De timing van de blogpost van Google is opvallend. Exact 24 uur voordat Google tijdens een Made by Google-evenement veel nieuwe gadgets tentoonstelt en daarmee de nieuwssites overspoelt.

Google Nederland maakte dinsdagochtend bijvoorbeeld bekend de Google Home speakers in Nederland uit te brengen. Dit nieuws werd prompt door radiobulletins opgepikt. Over de hack van Google Plus werd niets vermeld.

Google Plus bestaat sinds 2011 en moest concurreren met Facebook. Het sociale netwerk is ondanks verschillende pogingen van Google qua gebruikersaantallen nooit van de grond gekomen.

Verdeeldheid onder twee Autoriteiten Persoonsgegevens over uitleg AVG bij schoolfoto’s.

Schoolfoto’s en de AVG. Dat is een repeterende frustratie voor scholen, ouders en leerlingen.

Hele klassen staan sinds 25 mei 2018 net als criminelen vanwege de nieuwe Algemene Verordening Gegevensbescherming (AVG) met een zwarte balk voor hun gezicht op een klassenfoto.

Hoe pakken ze dat in de rest van Europa aan?

De Algemene Verordening Gegevensbescherming (AVG) is een Europese privacywet. De privacyregels worden geacht in de hele EU vrijwel gelijk te zijn.

De nationale Autoriteiten Persoonsgegevens werken nauw samen. Dan zou je toch ook eenduidige uitleg van de regels mogen verwachten.

Helemaal als er in één land meerdere toezichthouders zijn, zoals in Duitsland.

De Duitsers hebben een nationale Autoriteit Persoonsgegevens en daarnaast ook nog een toezichthouder per bondstaat. In totaal telt Duitsland zo 18 toezichthouders.

De schoolfotokwestie leeft ook in Duitsland.

Bij veel Duitse scholen wordt net als in Nederland een keer per jaar een externe professionele schoolfotograaf gevraagd om klassenfoto’s en leerlingenfoto’s te maken.

Waarmee moeten scholen sinds de invoering van de AVG rekening houden bij het inhuren van een externe fotograaf?

In het kader van de AVG is het van belang om te weten of de school opdrachtgever is of alleen toestemming geeft voor het maken van schoolfoto’s.

In de meeste gevallen geeft de school alleen toestemming. En dat maakt een wezenlijk verschil voor de AVG.

Als de school alleen toestemming geeft, is er geen contractuele relatie tussen de school en de fotograaf.

In dat geval betreft het alleen een overeenkomst van de fotograaf met leerlingen en ouders en staat de school er qua AVG volkomen buiten.

Maar als de school wel zelf rechtstreeks aan de fotograaf opdracht geeft voor het maken van de klassenfoto’s ligt de zaak anders. In dat geval moet er volgens de AVG door de school een verwerkingsovereenkomst afgesloten worden met de fotograaf.

Het Unabhängige Landeszentrum für Datenschutz, ULD (de toezichthoudende autoriteit voor gegevensbescherming in de Duitse deelstaat Sleeswijk-Holstein) gaat bij schoolfoto’s van het eerste scenario uit. Het is een zaak tussen de ouders en /of leerlingen en de fotograaf. Een verwerkingsovereenkomst is volgens de ULD niet nodig.

Zelfs als de school de fotografielijsten, adressen enz. van tevoren opstuurt, is er volgens de ULD nog geen verwerkingsovereenkomst nodig.

Deze visie lijkt logisch, want de focus van de gegevensverwerking van de fotograaf ligt niet op de verwerking van de gegevens, maar op de onafhankelijke creatie en verwerking van de foto’s, die hij onder zijn eigen verantwoordelijkheid maakt.

De onafhankelijke selectie van beelden en de artistieke vrijheid van de fotograaf duiden er ook op dat er geen sprake is van de verwerking van een opdracht van de school, meent de ULD van Sleeswijk-Holstein.

Voor de overdracht van de klassenlijsten en andere gegevens aan de fotograaf is bovendien altijd de voorafgaande toestemming van de ouder of voogd vereist.

Toezichthouder in Beieren vindt dat de school wel opdrachtgever is

De Beierse staatscommissaris voor gegevensbescherming, de autoriteit die verantwoordelijk is voor de publieke sector in de Duitse deelstaat Beieren, is een heel andere mening toegedaan. Er moet volgens de Beierse toezichthouder wel van worden uitgegaan dat de foto‘s in opdracht van de school worden gemaakt.

De school is volgens de Beierse Autoriteit Persoonsgegevens de verantwoordelijke persoon in de bovenstaande constellatie en moet een schriftelijk contract afsluiten met de fotograaf dat voldoet aan de eisen van Art. 28 (3) AVG.

Bovendien moet de school zich ervan vergewissen dat de gekozen fotograaf ervoor kan zorgen dat de verwerking van de persoonsgegevens van de leerlingen alleen in overeenstemming met de AGV wordt uitgevoerd.

Juridisch betekent dit dat de voor de verwerking verantwoordelijke alleen mag werken met verwerkers die voldoende garanties bieden dat passende technische en organisatorische maatregelen worden genomen om ervoor te zorgen dat de verwerking wordt uitgevoerd in overeenstemming met de eisen van deze verordening en dat de rechten van de betrokkene worden beschermd.

Twee toezichthouders, twee verschillende meningen

De toezichthouders in Sleeswijk-Holstein in Noord-Duitsland en Beieren in Zuid-Duitsland geven kortom ieder een andere uitleg aan de AVG. En dat is verwarrend voor buitenstaanders als scholen, ouders, leerlingen en fotografen. Die willen eenduidige uitleg van regels.

Voor beide intrepretaties valt iets te zeggen. Die van Sleeswijk-Holstein zal bij de meeste mensen de voorkeur hebben. Maar als de Beierse uitleg de definitieve uitleg is valt daar ook mee te leven. Dan is er tenminste duidelijkheid.

Wat vindt de Nederlandse Autoriteit Persoonsgegevens?

De Nederlandse Autoriteit Persoonsgegevens lijkt op de lijn van de Beierse toezichthouder te zitten. De Nederlandse AP raadt scholen aan om aan het begin van het schooljaar bij alle ouders en leerlingen vanaf 16 jaar te vragen waarvoor zij toestemming geven: wel of niet op klassenfoto’s, wel of niet op beelden op de website, wel of niet met naam in de krant als je geslaagd bent, etc.

Kortom: er is verdeeldheid in Europa tussen de verschillende toezichthouders. Het is zaak dat de Europese toezichthouders de rijen sluiten.

Welke leerlingen mogen gefotografeerd worden?

Terug naar de foto’s en de leerlingen. Welke leerlingen mogen überhaupt gefotografeerd worden?

Hier is het heel eenvoudig en iedereen is het daarmee eens: alleen leerlingen die (of hun wettelijke voogd) toestemming hebben gegeven aan de school om de foto’s te maken, mogen gefotografeerd worden.

Art. 7 AVG regelt de voorwaarden voor toestemming. De belangrijkste kenmerken zijn dat de toestemming moet worden gevraagd en dat die vrijwillig moet zijn gegeven. Met andere woorden, het moet duidelijk zijn voor welk specifiek doel de foto’s worden genomen, in welke vorm en hoe lang ze worden opgeslagen, wie er toegang toe heeft en aan wie ze mogen worden doorgegeven.

Ook mag een verwijzing naar de regel dat de toestemming te allen tijde kan worden ingetrokken, niet ontbreken.

Onherkenbaar maken niet nodig als één leerling toestemming intrekt

Maar wat gebeurt er dan als achteraf één van de leerlingen op de klassenfoto zijn toestemming intrekt? Moeten alle foto’s dan worden vernietigd? Moeten er gezichten worden zwart gemaakt?

Nee! Dat is niet nodig.

De herroeping heeft geen invloed op de foto’s die vóór de herroeping zijn gemaakt, maar is alleen van kracht voor de toekomst.

De meerderheid van de gefotografeerde leerlingen is waarschijnlijk minderjarig, dus hun ouders of voogden moeten hun toestemming geven.

Voor jongeren ouder dan 14 jaar moeten ook de jongeren zelf toestemming geven.

Hoe controleren toezichthouders naleving van privacy-, consumenten- en mededingingswetten? Door undercover te opereren en slimme samenwerking

Hoe groot is de pakkans voor organisaties die zich niet aan de Algemene Verordening Gegevensbescherming (AVG) houden eigenlijk?

Hoe controleren Europese toezichthouders de naleving van wet- en regelgeving die ondernemers en consumenten moeten beschermen tegen schimmige gevaarlijke praktijken van malafide of onprofessionele organisaties?

Veel Nederlandse ondernemers denken dat het risico op een forse boete wegens het niet naleven van de privacywet klein is. Ze beseffen zich niet dat de Autoriteit Gegevensbescherming samen kan werken met andere Europese toezichthouders. En dan gaat het niet alleen om privacywetgeving. Zij kunnen – sterker moeten – sinds 17 januari 2018 op basis van de Europese CPC-verordening regelmatig hun krachten bundelen.

Welke toezichthouders werken samen?

Het betreft dan toezichthouders zoals de Autoriteit Persoonsgegevens (AP), Autoriteit Consument en Markt (ACM) en de Autoriteit Financiële Markten (AFM).

De CPC-verordening voorziet onder meer in de internationale samenwerking tussen toezichthoudende autoriteiten, een mystery shopping bevoegdheid van toezichthouders en het gelasten van tussenpersonen om te assisteren bij het beschermen van consumentenrechten.

Toezichthouders mogen undercover opereren

De toezichthouders mogen zich undercover registreren om te controleren of een dienst zich aan de regels houdt.

Op basis van de verordening kunnen autoriteiten binnen de Europese Unie elkaar om bijstand verzoeken bij een inbreuk op consumentenrechten.

De aangezochte autoriteit is in beginsel verplicht tot medewerking. Ze kunnen gemotiveerd weigeren, bijvoorbeeld wanneer er al maatregelen getroffen zijn of als de aangezochte autoriteit concludeert dat er geen inbreuk plaatsvindt.

De Europese Commissie bemiddelt als de verschillende autoriteiten het oneens zijn.

Bij wijdverbreide inbreuken in minimaal drie lidstaten kunnen de betrokken autoriteiten een gecoördineerde actie beginnen.

Zoals bijvoorbeeld sinds donderdag 26 september 2018 gebeurt. Grote internetbedrijven als Amazon, Facebook, Ebay, Google en Microsoft worden op verzoek van de Europese Commissie nauwlettend gevolgd door onafhankelijke Europese privacydeskundigen. 

Verder introduceert de verordening zogenaamde ‘sweeps’: gezamenlijke acties van toezichthouders van alle lidstaten om de naleving van consumentenrechten te controleren en inbreuken op te sporen.

Uitlokking is niet toegestaan

Omdat effectief toezicht in veel situaties niet mogelijk is wanneer de identiteit van de toezichthouder bekend is, schrijft de verordening voor dat de bevoegde toezichthouder mag opereren onder een fictieve identiteit. Daarmee mag hij een overeenkomst aangaan of een oriënterend gesprek met een handelaar, maar uiteraard zonder uitlokking.

Gebruik van een fictieve identiteit moet noodzakelijk en proportioneel zijn, zowel ten aanzien van de zwaarte van de vermoede overtreding als de mogelijkheden om alternatieve toezichtsbevoegdheden in te zetten.

Werkwijze is sinds 2015 al legitiem

Ondanks dat nu wordt voorzien in een wettelijke grondslag voor toezichthouders, volgt uit jurisprudentie dat dit middel reeds wordt toegepast.

Het College van Beroep voor het bedrijfsleven heeft in haar uitspraak van 8 juli 2015 aangaande het beroep van twee bedrijven tegen de ACM geoordeeld dat vanwege de doeltreffendheid van het onderzoek naar de naleving het anoniem opereren in beginsel toelaatbaar is.

Bescherming comsuntenbelangen

De verordening heeft als doel dat dat autoriteiten in de digitale omgeving snel en doeltreffend een einde kunnen maken aan inbreuken op regels ter bescherming van consumentenbelangen.

Dit geldt met name wanneer een handelaar zijn identiteit verbergt of zich elders binnen de Unie of in een derde land vestigt om aan handhaving te ontkomen.

Bijvoorbeeld partijen die illegaal financiële producten aanbieden via het internet slagen erin om hun negotie voort te zetten door informatieverzoeken en andere acties van de AFM botweg te negeren; zoals verstrekkers van (flits)kredieten die zich vanuit andere lidstaten op Nederlandse consumenten richten.

Malafide bedrijven direct aanpakken

Ook via aanbieders van communicatiediensten, zoals hosting- en/of domeinnaamaanbieder kunnen toezichthouders malafide aanbieders indirect op de korrel nemen.

Met een zogenaamde zelfstandige last, zoals het laten verwijderen van digitale inhoud of een verplichte waarschuwing aan consumenten tonen, kunnen via hostingproviders ernstige inbreuken worden voorkomen, beperkt of beëindigd.

Er is daarbij wel toestemming nodig van de rechter-commissaris in Rotterdam voordat een toezichthouder over kan gaan tot het opleggen van zo’n zelfstandige last.

Deze rechter-commissaris gaat in principe over het strafrecht, maar kan middels deze taakbedeling ‘expertise opbouwen’ over het bestuursrecht en voor de bevoegde autoriteiten fungeren als vast aanspreekpunt.

Klanttevredenheidsonderzoek per e-mail vanwege AVG verboden? Wat is de impact van Duitse jurisprudentie in Nederland?

Het Duitse Bundesgerichtshof (BGH) heeft geoordeeld (VI ZR 225/17) dat klanttevredenheidsonderzoeken per e-mail over het algemeen verboden zijn. De hoogste Duitse rechter verwijst daarbij naar de Europese privacywetgeving.

Wat betekent die Duitse uitspraak voor Nederlandse ondernemers?

De basisgedachte achter de Europese privacyregelgeving is dat in heel Europa in principe dezelfde privacyregels gelden.

Dat impliceert dat jurisprudentie die elders in de EU ontstaat ook impact zou kunnen hebben op uitspraken van Nederlandse rechters en de Autoriteit Persoonsgegevens in soortgelijke zaken.

Voorzitter Aleid Wolfsen van de Autoriteit Persoonsgegevens zegt dat Europese toezichthouders regelmatig bij elkaar komen om nieuwe toelichtingen op de wet uit te werken in zogenaamde guidelines (richtlijnen).

Het zou denkbaar kunnen zijn dat er een Europese richtlijn komt over klanttevredenheidsonderzoek.

Zo lang die er niet is is het interessant om de Duitse jurisprudentie over klanttevredenheidsonderzoek te analyseren. Ook in het kader van de nieuwe veel bekritiseerde Europese e-privacywet die binnenkort naast de AVG nog meer Europese privacyregels toevoegt.

De zaak

Een Duits bedrijf verkocht goederen via Amazon en stuurde via e-mail de factuur naar de koper. In die e-mail schreef het bedrijf:

Dames en heren, bijgevoegd uw factuur in PDF-formaat. Bedankt voor het kopen van dit artikel van ons. Wij zijn een jong bedrijf en daarom afhankelijk van goede ratings. Als u tevreden bent over onze service, vragen wij u daarom om ons een 5-sterrenscore te geven voor uw aankoop.

Als er iets mis is met het geleverde artikel of onze service, vragen wij u vriendelijk contact met ons op te nemen. Dan kunnen we het probleem oplossen. Voor de beoordeling: log gewoon in via de volgende link en geef een positieve 5-sterrenbeoordeling (…).”

De koper vond dat de verkoper via deze e-mail ongeoorloofde reclame meestuurde. Hij vond dat de verkoper alleen de factuur had mogen sturen. Het verzoek om een positieve beoordeling zou inbreuk op zijn privacy zijn.

Marketeers worden gek als ze te maken krijgen met klanten die exact naar de regels van de wet willen worden behandeld. Gaat dit niet te ver?

De aanklacht werd in eerste instantie in Duitsland verworpen door zowel de lokale rechtbank als het hof van beroep, aangezien zij geen enkele vordering tot voorlopige maatregelen op grond van §§ 1004, 823 (1) BGB zagen. Het Hof van Beroep heeft echter een beroep bij het BGH toegestaan, dat nu uitspraak heeft gedaan.

Het besluit van de BGH

De BGH verklaart dat:

  • een klanttevredenheidsonderzoek valt onder het begrip (directe) reclame
  • het gebruik van e-mail voor reclamedoeleinden zonder toestemming van de eiser in beginsel een inbreuk vormt op zijn beschermde privésfeer en dus op zijn algemene persoonlijkheidsrecht

Hoewel de levering van de factuur op zich geen reclame is, vormt het deel van de e-mail waarin om een evaluatie werd gevraagd volgens de Duitse rechter wel degelijk reclame.

En als we de Algemene Verordening Gegevensbescherming erbij pakken wordt al snel duidelijk waarom.

De ondernemer heeft de adresgegevens alleen gekregen om de factuur te verzenden. Er is geen toestemming gevraagd of verkregen om het e-mailadres ook voor andere specifiek genoemde doeleinden – zoals klanttevredenheidonderzoek – te gebruiken. Volgens de AVG, die in Duitsland afgekort wordt als DSGVO, is dat verplicht.

De betekenis van de Duitse uitspraak

Volgens eerdere Duitse jurisprudentie was het al moeilijk om zonder toestemming klanttevredenheidsonderzoeken via e-mail te rechtvaardigen.

De BGH benadrukt met haar jurisdictie nu dat er geen klanttevredenheidsbeoordelingen mogen worden opgenomen in anderszins legitieme e-mails aan de klant.

Met andere woorden, voor de beoordeling van de klanttevredenheid en de verzending van nieuwsbrieven is een duidelijke toestemming vereist.

Is klanttevredenheidsonderzoek per e-mail nu verboden?

Nee. Als bij het afsluiten van de koopovereenkomst netjes seperaat toestemming wordt gevraagd om het e-mailadres ook eenmalig voor klanttevredenheidsonderzoek te mogen gebruiken – en die toestemming gegeven wordt – mag het onderzoek nog steeds gedaan worden.

Deze richtlijnen gelden ook in Nederland. Voor de invoering van de AVG waren deze regels ook al van kracht.

Organisaties snappen maar weinig van de juridische termen die gebruikt worden in de AVG. Privacywet ‘best ingewikkeld’ volgens Aleid Wolfsen

Wanneer ben je “verantwoordelijke” en wanneer ben je “verwerker”? Organisaties snappen maar weinig van de juridische termen die gebruikt worden in de Algemene Verordening Gegevensbescherming (AVG). Gevolg? Bedrijven gaan massaal de fout in en overtreden daardoor de wet.

De nieuwe privacywet AVG wordt, ruim honderd dagen na invoering, massaal geschonden. “Bedrijven hebben goede bedoelingen maar raken in de war van de ingewikkelde juridische termen”, vertelt Saida Nhass senior consultant bij risicoadviseur AON bij de radionieuwszender BNR.

Volgens Nhass ontstaat er vooral verwarring over de termen ‘verwerker’ en ‘verantwoordelijke’ over de persoonsgegevens. “Veel bedrijven kennen zichzelf een verkeerde rol toe waardoor zij de wet schenden.”

Zelfs juristen gaan regelmatig de fout in met de AVG, meldde BNR op 17 september al.

AVG is volgens Aleid Wolfsen best ingewikkeld

Voorzitter Aleid Wolfsen van de Autoriteit Persoonsgegevens zegt dat er veel telefoontjes binnenkomen bij zijn organisatie over de terminologie binnen de AVG. “Die is ingewikkeld. Dat geef ik wel toe.”

De AP weet volgens Wolfsen niet hoeveel bedrijven de boel al op orde hebben. “We zijn nu bezig met onderzoeken naar de boekhouding voor de AVG (verwerkingsregister).”

Autoriteit Persoonsgegevens heeft al diverse malen met forse boetes gedreigd

De AP heeft volgens Wolfsen inmiddels bij diverse organisaties al gedreigd met forse boetes van in de tonnen als ze niet op korte termijn voldoen aan de AVG.

Het gaat niet alleen fout in Nederland. Ook in de rest van de EU worstelen organisaties met de nieuwe Europese privacyregels.

De Britse toezichthouder ICO meldt op zijn Twitteraccount dat er sinds de invoering van de wet op 25 mei 2018 wekelijks telefonisch 500 datalekmeldingen worden gedaan, waarvan een derde onnodig blijkt te zijn.

Risicoadviseur Nhass van AON pleit er bij BNR voor dat de Europese toezichthouders samen op gaan trekken om de wet duidelijker uit te leggen.

Wolfsen erkent dat de wet soms wat vaag en te algemeen is. Er wordt volgens hem op Europees niveau gewerkt aan verduidelijking. De Europese toezichthouders komen regelmatig bij elkaar om nieuwe toelichtingen op de wet uit te werken, zogenaamde guidelines (richtlijnen).

EU haalt vlak voor invoering GDPR druk van de ketel. Niet meteen hoge boetes

Organisaties die op 25 mei 2018 nog niet klaar zijn voor de Europese privacywet hoeven zich nog niet meteen zorgen te maken om torenhoge boetes. EU-commissaris voor Justitie Věra Jourová haalt de druk van de ketel omdat de wet in 8 Europese landen nog niet bekrachtigd is.

“De nationale toezichthoudende autoriteiten zullen geen sanctiemachines zijn”, beloofde EU-Commissaris voor Justitie Věra Jourová volgens de Duitse krant Welt tijdens een bezoek in Berlijn.

Jourová gaat ervan uit dat de toezichthouders – in Nederland is dat de Autoriteit Persoonsgegevens (AP) – in de eerste plaats zullen adviseren en helpen bij problemen met de toepassing van de Europese basisverordening voor gegevensbescherming (GDPR), in plaats van vanaf de eerste dag sancties op te leggen.

De Europese privacywet GDPR werd twee jaar geleden door de EU bekrachtigd. Alle Europese lidstaten kregen twee jaar de tijd om de regelgeving nationaal door de eigen parlementen te laten bekrachtigen.

In Nederland is de privacywet deze week door de Eerste Kamer met een hamerslag aangenomen.

Volgens de Commissie hebben acht EU-landen de GDPR echter niet tijdig in nationaal recht weten om te zetten. Het betreft België, Bulgarije, Griekenland, Litouwen, Slovenië, Tsjechië, Hongarije en Cyprus.

Ondertussen zijn ook veel Europese organisaties nog niet klaar voor de GDPR. Bij sommige bedrijven die de boel nog niet op orde hebben heerst volgens Věra Jourová een paniekstemming uit angst voor hoge boetes. Voorlopig is dat volgens haar onnodig.

De EU-commissaris heeft zo de druk van het bedrijfsleven enigszins verlicht.

Brancheorganisaties hebben de afgelopen weken herhaaldelijk duidelijk gemaakt dat veel van hun leden de regels niet volledig ten uitvoer zullen hebben gelegd binnen de gestelde termijn.

Věra Jourová wees er echter ook op dat “officieel geen verdere overgangsfase is gepland”.

Hoe hard de autoriteiten op nationaal niveau zullen optreden tegen schendingen van de privacyregels, is aan hen. De Autoriteit Gegevensbescherming in Nederland heeft de afgelopen dagen al meerdere malen aangegeven niet meteen sancties te zullen opleggen, wel waarschuwingen.