Wordt het WiFi signaal van je smartphone op straat, in winkelcentra of op stations getraceerd? Dat mag niet zomaar…

Ooit van wifitracking gehoord? Wist je dat marketeers aan de hand van het wifi-signaal van je smartphone weten hoe vaak jij op bepaalde plekken bent geweest? Over privacy gesproken…

Sommige gemeenten monitoren het winkelend publiek in het centrum aan de hand van wifi-signalen van smartphones.

Sommige supermarkten volgen je ook als jij je winkelmandje bij hun in de zaak vult.

En op stations wordt aan de hand van wifisignalen gemeten hoeveel mensen bepaalde reclameborden hebben gezien.

Mag dat zo maar?

Nee, dat mag niet zo maar. Zodra er persoonsgegevens worden verwerkt komt de Algemene Verordening Gegevensbescherming (AVG) om de hoek kijken. De Autoriteit Persoonsgegevens (AP) geeft toelichting.

Het volgen van mensen op straat, in winkelcentra of stations via hun mobiele apparatuur is voor bedrijven slechts in zeer weinig gevallen toegestaan, meldt de AP.

Wifitracking en ook andere digitale middelen om personen te volgen zijn slechts onder zeer strikte voorwaarden toegestaan. Het betreft vrijwel altijd een verwerking van persoonsgegevens, waardoor deze volgmethode onder de privacyregels valt.

Bedrijven kunnen het digitaal volgen van mensen in de (semi-)openbare ruimte in theorie op drie wettelijke gronden baseren. Naast toestemming zijn dat gerechtvaardigd belang of het uitvoeren van een overeenkomst. Bedrijven moeten dan wel aan strikte voorwaarden voldoen.

Ze kunnen echter ook op andere manieren zonder persoonsgegevens en digitale volgapparatuur hun doelen bereiken. De AP heeft na vragen een nadere uitleg over deze normen op haar website gepubliceerd.

Wifitracking

Het gaat onder meer om de toepassing van wifitracking, waarbij het signaal van mobiele telefoons wordt gebruikt om groepen mensen in de gaten te houden.

In de praktijk gebruiken bedrijven deze techniek bijvoorbeeld in en rond winkelcentra of andere (semi-)openbare plekken.

“Het is een groot goed om je in het openbaar onbespied te wanen. Het digitaal volgen van mensen op (semi-) openbare plekken is een inbreuk op de privacy die slechts bij uitzondering gebruikt mag worden”, aldus AP-bestuursvoorzitter Aleid Wolfsen. “Er zijn vrijwel geen redenen die het volgen van winkelend publiek of reizigers rechtmatig maakt. Bovendien zijn er minder ingrijpende methoden om hetzelfde doel te bereiken, zonder schending van de privacy.”

De privacyregels schrijven voor dat organisaties die persoonsgegevens verwerken, een goede grondslag moeten hebben voor die verwerking.

Bij wifitracking zou het bijvoorbeeld kunnen gaan om het uitvoeren van een contract of om het handhaven van de veiligheid.

In beide gevallen is het dan altijd de vraag of tracking noodzakelijk is, omdat er ook minder ingrijpende alternatieven zijn. Het vragen van toestemming aan mensen die in het gebied lopen is in theorie een laatste mogelijkheid, maar is in de praktijk vooralsnog niet uitvoerbaar. 

Ook als de gegevens gepseudonimiseerd worden verwerkt en bewaard, is de Algemene verordening gegevensbescherming van toepassing.

Meer actueel awareness nieuws

Hoe lang mag je persoonsgegevens volgens de AVG eigenlijk bewaren? De Autoriteit Persoonsgegevens geeft 5 aanbevelingen

De Autoriteit Persoonsgegevens (AP) heeft een verkennend onderzoek gedaan naar de manier waarop de verwerkingsregisters van dertig grote organisaties uit tien private sectoren worden bijgehouden. Hoe wordt er bijvoorbeeld omgegaan met bewaartermijnen? Op basis van dat onderzoek geeft de AP nu 5 concrete aanwijzingen. Blijkbaar was dat nodig.

Het oneindig bewaren van persoonsgegevens zonder enige motivering mag volgens de AVG niet. Daarom beveelt de Autoriteit Persoonsgegevens in de aanwijzingen nu specifiek aan dat organisaties in hun register van verwerkingen benoemen hoe lang zij persoonsgegevens willen bewaren.

“De kwaliteit van het register van verwerkingen is voor de AP een goede peilstok. Voldoet dat register? Dan geeft dat een indruk hoe een organisatie de nieuwe Europese privacyregels naleeft”, zegt voorzitter Aleid Wolfsen van de Autoriteit Persoonsgegevens.

Vijf concrete aanbevelingen

Op basis van het verkennend onderzoek naar de registers van verwerkingen komt de AP met vijf concrete aanbevelingen:

  1. Benoem hoe lang en met welk doel je persoonsgegevens wil bewaren. Onder de Europese privacywetgeving is het niet toegestaan persoonsgegevens langer te bewaren dan noodzakelijk is voor het doel waarmee ze verzameld zijn. Ook moeten organisaties kunnen motiveren waarom ze deze gegevens verzamelen.
  2. Neem de contactgegevens van de verwerkingsverantwoordelijke op in het register.
  3. Zorg voor een overzichtelijk bestand van alle verwerkingen van persoonsgegevens waarin gebruikers eenvoudig kunnen navigeren.
  4. Geef duidelijk aan op welke locatie of in welk bestand persoonsgegevens bewaard worden en neem deze locaties of bestanden op in het register. Deze informatie is relevant als mensen een verzoek om inzage of verwijdering indienen. 
  5. Maak duidelijk welk doel bij welke verwerking hoort. Alleen een opsomming van de verwerkingen per afdeling in combinatie met een opsomming van de diverse doeleinden van de verwerkingen is niet voldoende.

Over het register van verwerkingen

De AP heeft veel informatie over het register van verwerkingen op de website staan. De informatie en de vragen en antwoorden staan hier: https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-europese-privacywetgeving/verantwoordingsplicht.

PrivacyZone helpt bij het opzetten van een verwerkingsregister

Heeft jouw organisatie, jouw bedrijf, al een verwerkingsregister ingericht? Twijfel je of dat op de juiste manier is gebeurd? Neem geen risico. PrivacyZone kan professionele begeleiding bieden. Samen met onze partners kunnen we iedere organisatie op maat bedienen. Neem contact met ons op: 06-31995740.

Meer actueel awareness nieuws

AVG-dwangsom van 150.000 Euro per maand voor UWV als werkgeversportal op 31 oktober niet beter beveiligd is

Het UWV moet van de Autoriteit Persoonsgegevens (AP) op 31 oktober 2019 het beveiligingsniveau van het werkgeversportaal op orde hebben. Als dat niet lukt moet het UWV een dwangsom van 150.000 euro per maand betalen. De boete kan oplopen tot 900.000 Euro.

Het UWV werkgeversportaal wordt door werkgevers en arbodiensten onder meer gebruikt voor het invoeren en inzien van gegevens over ziekteverzuim van werknemers. Het portaal voldoet volgens de AP niet aan de Algemene Verordening Gegevensbescherming (AVG).

De AP eist dat voortaan alleen ingelogd kan worden met minimaal een dubbele authenticatie. Momenteel volstaat een enkel wachtwoord. Het UWV werkgeversplatform wordt maandelijks gebruikt door ongeveer 130.000 ondernemers.

”Het gaat om gezondheidsgegevens van ontzettend veel mensen. Al deze mensen moeten ervan op aan kunnen dat het UWV zorgvuldig met hun gegevens omgaat”, zegt voorzitter Aleid Wolfsen van de Autoriteit Persoonsgegevens.

Het UWV werd een jaar geleden al door de Autoriteit Persoonsgegevens gewaarschuwd dat de beveiliging van het werkgeversportaal moest worden beveiligd. De dwangsom legt nu extra druk bij het UWV. Een woordvoerder zegt dat het UWV de deadline zeker gaat halen.

Meer actueel awareness nieuws

Autoriteit Persoonsgegevens komt met toelichting op spelregels direct marketing

De Autoriteit Persoonsgegevens (AP) heeft uitgebreide informatie over de spelregels rond direct marketing op haar website gepubliceerd. Op deze manier wil de AP duidelijkheid bieden over welke gevolgen de nieuwe Europese privacywetgeving heeft voor het benaderen van klanten. 

Wil een organisatie persoonsgegevens als namen, adressen en geboortedata verzamelen en gebruiken voor direct marketing? Dan is hiervoor in de meeste gevallen toestemming nodig van de persoon van wie de gegevens verzameld worden.

Voorzitter Aleid Wolfsen van AP

“Het kan onbehagelijk zijn als direct marketeers allerlei informatie over je hebben”, zegt voorzitter Aleid Wolfsen van de Autoriteit Persoonsgegevens.

Wolfsen merkt dat mensen daar vragen over stellen. “Hoe komen ze aan die gegevens over mij? Voor de AP is de handel in data één van de speerpunten in het toezichtskader voor 2018 en 2019.”

Drie soorten direct marketing

Op de website van de Autoriteit Persoonsgegevens wordt in detail uitgelegd wat direct marketeers nog mogen doen.

Er zijn drie soorten direct marketing, die elk eigen regels kennen:

AVG stelt strengere eisen

Sinds 25 mei 2018 geldt de nieuwe privacywetgeving, de Algemene verordening gegevensbescherming (AVG).

De AVG stelt strengere eisen aan de benodigde toestemming dan de vorige privacywet. Mensen moeten vrij zijn in het geven van de toestemming.

Volgens de wet moeten de organisaties hiervoor in begrijpelijke taal communiceren.

Mensen moeten ook echt weten wat er met hun gegevens gebeurt.

Alleen op deze manier kunnen zij kiezen of zij wel of geen direct marketing willen ontvangen.

Altijd wettelijke grondslag nodig

Voor het verzamelen van persoonsgegevens die later worden gebruikt voor direct marketing, is altijd een wettelijke grondslag vereist.

Wil een webwinkel bijvoorbeeld een pakje laten thuisbezorgen? Dan is het noodzakelijk om het adres van de klant te verzamelen om het pakje  te laten bezorgen. 

Als de webwinkel de verzamelde persoonsgegevens vervolgens wil gebruiken voor direct marketing, dan gelden daar regels voor.

Meer actueel awareness nieuws

Klanttevredenheidsonderzoek per e-mail vanwege AVG verboden? Wat is de impact van Duitse jurisprudentie in Nederland?

Het Duitse Bundesgerichtshof (BGH) heeft geoordeeld (VI ZR 225/17) dat klanttevredenheidsonderzoeken per e-mail over het algemeen verboden zijn. De hoogste Duitse rechter verwijst daarbij naar de Europese privacywetgeving.

Wat betekent die Duitse uitspraak voor Nederlandse ondernemers?

De basisgedachte achter de Europese privacyregelgeving is dat in heel Europa in principe dezelfde privacyregels gelden.

Dat impliceert dat jurisprudentie die elders in de EU ontstaat ook impact zou kunnen hebben op uitspraken van Nederlandse rechters en de Autoriteit Persoonsgegevens in soortgelijke zaken.

Voorzitter Aleid Wolfsen van de Autoriteit Persoonsgegevens zegt dat Europese toezichthouders regelmatig bij elkaar komen om nieuwe toelichtingen op de wet uit te werken in zogenaamde guidelines (richtlijnen).

Het zou denkbaar kunnen zijn dat er een Europese richtlijn komt over klanttevredenheidsonderzoek.

Zo lang die er niet is is het interessant om de Duitse jurisprudentie over klanttevredenheidsonderzoek te analyseren. Ook in het kader van de nieuwe veel bekritiseerde Europese e-privacywet die binnenkort naast de AVG nog meer Europese privacyregels toevoegt.

De zaak

Een Duits bedrijf verkocht goederen via Amazon en stuurde via e-mail de factuur naar de koper. In die e-mail schreef het bedrijf:

Dames en heren, bijgevoegd uw factuur in PDF-formaat. Bedankt voor het kopen van dit artikel van ons. Wij zijn een jong bedrijf en daarom afhankelijk van goede ratings. Als u tevreden bent over onze service, vragen wij u daarom om ons een 5-sterrenscore te geven voor uw aankoop.

Als er iets mis is met het geleverde artikel of onze service, vragen wij u vriendelijk contact met ons op te nemen. Dan kunnen we het probleem oplossen. Voor de beoordeling: log gewoon in via de volgende link en geef een positieve 5-sterrenbeoordeling (…).”

De koper vond dat de verkoper via deze e-mail ongeoorloofde reclame meestuurde. Hij vond dat de verkoper alleen de factuur had mogen sturen. Het verzoek om een positieve beoordeling zou inbreuk op zijn privacy zijn.

Marketeers worden gek als ze te maken krijgen met klanten die exact naar de regels van de wet willen worden behandeld. Gaat dit niet te ver?

De aanklacht werd in eerste instantie in Duitsland verworpen door zowel de lokale rechtbank als het hof van beroep, aangezien zij geen enkele vordering tot voorlopige maatregelen op grond van §§ 1004, 823 (1) BGB zagen. Het Hof van Beroep heeft echter een beroep bij het BGH toegestaan, dat nu uitspraak heeft gedaan.

Het besluit van de BGH

De BGH verklaart dat:

  • een klanttevredenheidsonderzoek valt onder het begrip (directe) reclame
  • het gebruik van e-mail voor reclamedoeleinden zonder toestemming van de eiser in beginsel een inbreuk vormt op zijn beschermde privésfeer en dus op zijn algemene persoonlijkheidsrecht

Hoewel de levering van de factuur op zich geen reclame is, vormt het deel van de e-mail waarin om een evaluatie werd gevraagd volgens de Duitse rechter wel degelijk reclame.

En als we de Algemene Verordening Gegevensbescherming erbij pakken wordt al snel duidelijk waarom.

De ondernemer heeft de adresgegevens alleen gekregen om de factuur te verzenden. Er is geen toestemming gevraagd of verkregen om het e-mailadres ook voor andere specifiek genoemde doeleinden – zoals klanttevredenheidonderzoek – te gebruiken. Volgens de AVG, die in Duitsland afgekort wordt als DSGVO, is dat verplicht.

De betekenis van de Duitse uitspraak

Volgens eerdere Duitse jurisprudentie was het al moeilijk om zonder toestemming klanttevredenheidsonderzoeken via e-mail te rechtvaardigen.

De BGH benadrukt met haar jurisdictie nu dat er geen klanttevredenheidsbeoordelingen mogen worden opgenomen in anderszins legitieme e-mails aan de klant.

Met andere woorden, voor de beoordeling van de klanttevredenheid en de verzending van nieuwsbrieven is een duidelijke toestemming vereist.

Is klanttevredenheidsonderzoek per e-mail nu verboden?

Nee. Als bij het afsluiten van de koopovereenkomst netjes seperaat toestemming wordt gevraagd om het e-mailadres ook eenmalig voor klanttevredenheidsonderzoek te mogen gebruiken – en die toestemming gegeven wordt – mag het onderzoek nog steeds gedaan worden.

Deze richtlijnen gelden ook in Nederland. Voor de invoering van de AVG waren deze regels ook al van kracht.

Meer actueel awareness nieuws

Organisaties snappen maar weinig van de juridische termen die gebruikt worden in de AVG. Privacywet ‘best ingewikkeld’ volgens Aleid Wolfsen

Wanneer ben je “verantwoordelijke” en wanneer ben je “verwerker”? Organisaties snappen maar weinig van de juridische termen die gebruikt worden in de Algemene Verordening Gegevensbescherming (AVG). Gevolg? Bedrijven gaan massaal de fout in en overtreden daardoor de wet.

De nieuwe privacywet AVG wordt, ruim honderd dagen na invoering, massaal geschonden. “Bedrijven hebben goede bedoelingen maar raken in de war van de ingewikkelde juridische termen”, vertelt Saida Nhass senior consultant bij risicoadviseur AON bij de radionieuwszender BNR.

Volgens Nhass ontstaat er vooral verwarring over de termen ‘verwerker’ en ‘verantwoordelijke’ over de persoonsgegevens. “Veel bedrijven kennen zichzelf een verkeerde rol toe waardoor zij de wet schenden.”

Zelfs juristen gaan regelmatig de fout in met de AVG, meldde BNR op 17 september al.

AVG is volgens Aleid Wolfsen best ingewikkeld

Voorzitter Aleid Wolfsen van de Autoriteit Persoonsgegevens zegt dat er veel telefoontjes binnenkomen bij zijn organisatie over de terminologie binnen de AVG. “Die is ingewikkeld. Dat geef ik wel toe.”

De AP weet volgens Wolfsen niet hoeveel bedrijven de boel al op orde hebben. “We zijn nu bezig met onderzoeken naar de boekhouding voor de AVG (verwerkingsregister).”

Autoriteit Persoonsgegevens heeft al diverse malen met forse boetes gedreigd

De AP heeft volgens Wolfsen inmiddels bij diverse organisaties al gedreigd met forse boetes van in de tonnen als ze niet op korte termijn voldoen aan de AVG.

Het gaat niet alleen fout in Nederland. Ook in de rest van de EU worstelen organisaties met de nieuwe Europese privacyregels.

De Britse toezichthouder ICO meldt op zijn Twitteraccount dat er sinds de invoering van de wet op 25 mei 2018 wekelijks telefonisch 500 datalekmeldingen worden gedaan, waarvan een derde onnodig blijkt te zijn.

Risicoadviseur Nhass van AON pleit er bij BNR voor dat de Europese toezichthouders samen op gaan trekken om de wet duidelijker uit te leggen.

Wolfsen erkent dat de wet soms wat vaag en te algemeen is. Er wordt volgens hem op Europees niveau gewerkt aan verduidelijking. De Europese toezichthouders komen regelmatig bij elkaar om nieuwe toelichtingen op de wet uit te werken, zogenaamde guidelines (richtlijnen).

Meer actueel awareness nieuws

Autoriteit Persoonsgegevens gaat als eerste de overheid controleren op naleving van de AVG

Kleine ondernemers moeten net als grote bedrijven en de overheid voldoen aan de Algemene Verordening Gegevensbescherming (AVG), maar ze hoeven zich de komende tijd nog geen zorgen te maken op controles en hoge boetes, zegt toezichthouder Aleid Wolfsen in de Telegraaf.

„Het is niet uit te leggen aan een kleine ondernemer dat hij aan allerlei regels moet voldoen, terwijl de Algemene Rekenkamer constateert dat de naleving van de wet persoonsgegevens door instellingen als de Belastingdienst jarenlang gebrekkig is geweest”, zegt Wolfsen. „Daarom beginnen we bij de overheid.”
– via Telegraaf

Minister Sander Dekker van Rechtsbescherming ondersteunt het beleid om kleine ondernemers niet meteen te beboeten.

Kleine Nederlandse organisaties die na invoering van de nieuwe privacywet nog niet aan de regels voldoen, krijgen in het begin niet direct boetes.
Dat zegt minister Sander Dekker van Rechtsbescherming, schrijft de NOS.
– via NU

Meer actueel awareness nieuws

“De deadline van 25 mei is onherroepelijk. Maar niet voor de bakker en de slager.”

Hoe kan het dat veel kleine ondernemers nog niet klaar zijn voor de privacywet die op 25 mei 2018 van start gaat? En is dat erg? Voorzitter Aleid Wolfsen van de Autoriteit Persoonsgegevens reageerde dinsdagochtend luchtig in de ontbijtshow Goedemorgen Nederland van omroep WNL.

“Ach een bakker is er om brood te bakken en een onderwijzer is er om les te geven”, aldus Wolfsen. “Die zijn niet iedere dag met privacy bezig. Aan de andere kant weten zij wel veel van hun klanten. Onderdeel van een goede dienstverlening is dat je daar zorgvuldig mee omgaat.”

Hebben kleine bedrijven zich niet goed voorbereid?

“Brancheverenigingen doen er veel aan. Grote bedrijven zijn vaak wel op tijd begonnen. Maar de kleine bedrijven hebben er wat later van gehoord. Die zijn nu wel druk bezig. Ik verwacht dat veel kleine bedrijven wel redelijk op tijd klaar zijn voor 25 mei. Want die deadline is onherroepelijk.”

Moeten kleine bedrijven bang zijn dat u meteen na 25 mei op de stoep staat?

“Nou nee, niet bij de slager en de bakker, kan ik u wel verklappen. Die moeten natuurlijk wel aan de wet voldoen. De wet is natuurlijk als eerste bedoeld voor grote bedrijven die niets anders doen dan handelen in data. Banken, zorginstellingen. Die verzamelen voornamelijk gevoelige gegevens. Gezondheidsgegevens. Dat is natuurlijk belangrijker dan gewone klantgegevens. Maar iedereen moet wel voldoen aan die wet. Neem nu bijvoorbeeld een kinderopvang. Dan denk je ‘wat weet de kinderopvang nou eigenlijk van mij?’ Maar die weet vaak iets over de financiele positie van de ouders. Over de gezondheid. Is er sprake van een echtscheiding. Zulke gegevens zul je toch goed moeten beveiligen.”

 

Meer actueel awareness nieuws