AVG Corona, Privacy Nieuws
De Autoriteit Persoonsgegevens (AP) geeft overheden en bedrijven tijdens de coronacrisis ruimte om zich te concentreren op de bestrijding van corona. Zo krijgen organisaties waar nodig meer tijd om te reageren op vragen van de AP en geeft de AP initiatieven om de volksgezondheid te beschermen ruim baan. Maar de toezichthouder blijft ingrijpen waar privacy echt in gevaar is.
‘Privacy is heel belangrijk. Maar in deze crisis is de bestrijding van het virus en het redden van levens de topprioriteit’, zegt AP-voorzitter Aleid Wolfsen.
‘En op nummer twee staat het voorkomen van grote schade aan economie en maatschappij. Overheden en ziekenhuizen zijn dag en nacht in touw om te zorgen dat burgers en patiënten veilig zijn. Bedrijven zijn bezig te overleven en te zorgen dat zij banen kunnen behouden voor al hun mensen.
Daar gaan wij niet bij staan met onze vinger omhoog en de privacywetgeving onder de arm. Nederland zet de schouders eronder en wij werken en denken mee.’
Ruimte voor bestrijden crisis
De AP zal organisaties nu ruimte geven om hun volledige aandacht te besteden aan het bestrijden van de gevolgen van de coronacrisis.
Deadlines voor het aanleveren van informatie aan de toezichthouder worden opgerekt waar nodig en de AP zal de komende tijd per geval goed kijken wat passend is en wat niet.
‘Verder geven wij ruim baan aan de broodnodige initiatieven om de capaciteit van de zorg op niveau te krijgen’, zegt Wolfsen. ‘Zo klopte een zorgorganisatie bij ons aan met een plan om mensen die tot een paar jaar geleden in de zorg werkten, te benaderen om hen tijdelijk weer als arts of verpleegkundige in te zetten.
Dat lieten ze door een tussenpersoon doen en ze vroegen zich af of dit wel mag. Wij hebben meegedacht over een goede oplossing. Privacy moet goede zorg nooit in de weg zitten, zeker nu niet.’
Dat geldt ook voor het contact tussen artsen en patiënten. Wolfsen: ‘Wij krijgen vragen van huisartsen die noodzakelijke gesprekken moeten voeren met hun patiënten, maar die patiënten komen nu liever niet langs.
Veel zorgorganisaties hebben een manier om beveiligd te beeldbellen, maar sommige niet. Wij zeggen: gebruik als het echt niet anders kan consumentenapps als FaceTime of Skype. Maar wees daarbij voorzichtig: doe het alleen bij hoge uitzondering en deel via die apps zo min mogelijk gevoelige gegevens.’
‘Geen big brother-maatschappij’
Privacy blijft heel belangrijk, vindt de AP. ‘We moeten blijven opletten’, zegt Wolfsen. ‘De coronacrisis mag geen excuus worden om de privacy helemaal overboord te gooien. De crisis mag geen opmaat worden naar een big brother-maatschappij.
Het zou doodzonde zijn als we over een jaar terugkijken en zien dat we alles ongedaan hebben gemaakt wat wij op het gebied van privacy in tientallen jaren hebben opgebouwd.
De AP is er als hoeder van het grondrecht op privacy en zal ook in deze tijden ingrijpen wanneer de privacy echt in gevaar is. Daar heeft de burger recht op. Zodat iedereen straks als vrij burger in een vrij land weer vrij kan leven.’
Privacy Nieuws
Ooit van wifitracking gehoord? Wist je dat marketeers aan de hand van het wifi-signaal van je smartphone weten hoe vaak jij op bepaalde plekken bent geweest? Over privacy gesproken…
Sommige gemeenten monitoren het winkelend publiek in het centrum aan de hand van wifi-signalen van smartphones.
Sommige supermarkten volgen je ook als jij je winkelmandje bij hun in de zaak vult.
En op stations wordt aan de hand van wifisignalen gemeten hoeveel mensen bepaalde reclameborden hebben gezien.
Mag dat zo maar?
Nee, dat mag niet zo maar. Zodra er persoonsgegevens worden verwerkt komt de Algemene Verordening Gegevensbescherming (AVG) om de hoek kijken. De Autoriteit Persoonsgegevens (AP) geeft toelichting.
Het volgen van mensen op straat, in winkelcentra of stations via hun mobiele apparatuur is voor bedrijven slechts in zeer weinig gevallen toegestaan, meldt de AP.
Wifitracking en ook andere digitale middelen om personen te volgen zijn slechts onder zeer strikte voorwaarden toegestaan. Het betreft vrijwel altijd een verwerking van persoonsgegevens, waardoor deze volgmethode onder de privacyregels valt.
Bedrijven kunnen het digitaal volgen van mensen in de (semi-)openbare ruimte in theorie op drie wettelijke gronden baseren. Naast toestemming zijn dat gerechtvaardigd belang of het uitvoeren van een overeenkomst. Bedrijven moeten dan wel aan strikte voorwaarden voldoen.
Ze kunnen echter ook op andere manieren zonder persoonsgegevens en digitale volgapparatuur hun doelen bereiken. De AP heeft na vragen een nadere uitleg over deze normen op haar website gepubliceerd.
Wifitracking
Het gaat onder meer om de toepassing van wifitracking, waarbij het signaal van mobiele telefoons wordt gebruikt om groepen mensen in de gaten te houden.
In de praktijk gebruiken bedrijven deze techniek bijvoorbeeld in en rond winkelcentra of andere (semi-)openbare plekken.
“Het is een groot goed om je in het openbaar onbespied te wanen. Het digitaal volgen van mensen op (semi-) openbare plekken is een inbreuk op de privacy die slechts bij uitzondering gebruikt mag worden”, aldus AP-bestuursvoorzitter Aleid Wolfsen. “Er zijn vrijwel geen redenen die het volgen van winkelend publiek of reizigers rechtmatig maakt. Bovendien zijn er minder ingrijpende methoden om hetzelfde doel te bereiken, zonder schending van de privacy.”
De privacyregels schrijven voor dat organisaties die persoonsgegevens verwerken, een goede grondslag moeten hebben voor die verwerking.
Bij wifitracking zou het bijvoorbeeld kunnen gaan om het uitvoeren van een contract of om het handhaven van de veiligheid.
In beide gevallen is het dan altijd de vraag of tracking noodzakelijk is, omdat er ook minder ingrijpende alternatieven zijn. Het vragen van toestemming aan mensen die in het gebied lopen is in theorie een laatste mogelijkheid, maar is in de praktijk vooralsnog niet uitvoerbaar.
Ook als de gegevens gepseudonimiseerd worden verwerkt en bewaard, is de Algemene verordening gegevensbescherming van toepassing.
Privacy Nieuws
De Autoriteit Persoonsgegevens (AP) heeft een verkennend onderzoek gedaan naar de manier waarop de verwerkingsregisters van dertig grote organisaties uit tien private sectoren worden bijgehouden. Hoe wordt er bijvoorbeeld omgegaan met bewaartermijnen? Op basis van dat onderzoek geeft de AP nu 5 concrete aanwijzingen. Blijkbaar was dat nodig.
Het oneindig bewaren van persoonsgegevens zonder enige motivering mag volgens de AVG niet. Daarom beveelt de Autoriteit Persoonsgegevens in de aanwijzingen nu specifiek aan dat organisaties in hun register van verwerkingen benoemen hoe lang zij persoonsgegevens willen bewaren.
“De kwaliteit van het register van verwerkingen is voor de AP een goede peilstok. Voldoet dat register? Dan geeft dat een indruk hoe een organisatie de nieuwe Europese privacyregels naleeft”, zegt voorzitter Aleid Wolfsen van de Autoriteit Persoonsgegevens.
Vijf concrete aanbevelingen
Op basis van het verkennend onderzoek naar de registers van verwerkingen komt de AP met vijf concrete aanbevelingen:
- Benoem hoe lang en met welk doel je persoonsgegevens wil bewaren. Onder de Europese privacywetgeving is het niet toegestaan persoonsgegevens langer te bewaren dan noodzakelijk is voor het doel waarmee ze verzameld zijn. Ook moeten organisaties kunnen motiveren waarom ze deze gegevens verzamelen.
- Neem de contactgegevens van de verwerkingsverantwoordelijke op in het register.
- Zorg voor een overzichtelijk bestand van alle verwerkingen van persoonsgegevens waarin gebruikers eenvoudig kunnen navigeren.
- Geef duidelijk aan op welke locatie of in welk bestand persoonsgegevens bewaard worden en neem deze locaties of bestanden op in het register. Deze informatie is relevant als mensen een verzoek om inzage of verwijdering indienen.
- Maak duidelijk welk doel bij welke verwerking hoort. Alleen een opsomming van de verwerkingen per afdeling in combinatie met een opsomming van de diverse doeleinden van de verwerkingen is niet voldoende.
Over het register van verwerkingen
De AP heeft veel informatie over het register van verwerkingen op de website staan. De informatie en de vragen en antwoorden staan hier: https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-europese-privacywetgeving/verantwoordingsplicht.
PrivacyZone helpt bij het opzetten van een verwerkingsregister
Heeft jouw organisatie, jouw bedrijf, al een verwerkingsregister ingericht? Twijfel je of dat op de juiste manier is gebeurd? Neem geen risico. PrivacyZone kan professionele begeleiding bieden. Samen met onze partners kunnen we iedere organisatie op maat bedienen. Neem contact met ons op: 06-31995740.
Privacy Nieuws
Het UWV moet van de Autoriteit Persoonsgegevens (AP) op 31 oktober 2019 het beveiligingsniveau van het werkgeversportaal op orde hebben. Als dat niet lukt moet het UWV een dwangsom van 150.000 euro per maand betalen. De boete kan oplopen tot 900.000 Euro.
Het UWV werkgeversportaal wordt door werkgevers en arbodiensten onder meer gebruikt voor het invoeren en inzien van gegevens over ziekteverzuim van werknemers. Het portaal voldoet volgens de AP niet aan de Algemene Verordening Gegevensbescherming (AVG).
De AP eist dat voortaan alleen ingelogd kan worden met minimaal een dubbele authenticatie. Momenteel volstaat een enkel wachtwoord. Het UWV werkgeversplatform wordt maandelijks gebruikt door ongeveer 130.000 ondernemers.
”Het gaat om gezondheidsgegevens van ontzettend veel mensen. Al deze mensen moeten ervan op aan kunnen dat het UWV zorgvuldig met hun gegevens omgaat”, zegt voorzitter Aleid Wolfsen van de Autoriteit Persoonsgegevens.
Het UWV werd een jaar geleden al door de Autoriteit Persoonsgegevens gewaarschuwd dat de beveiliging van het werkgeversportaal moest worden beveiligd. De dwangsom legt nu extra druk bij het UWV. Een woordvoerder zegt dat het UWV de deadline zeker gaat halen.
Privacy Nieuws
De Autoriteit Persoonsgegevens (AP) heeft uitgebreide informatie over de spelregels rond direct marketing op haar website gepubliceerd. Op deze manier wil de AP duidelijkheid bieden over welke gevolgen de nieuwe Europese privacywetgeving heeft voor het benaderen van klanten.
Wil een organisatie persoonsgegevens als namen, adressen en geboortedata verzamelen en gebruiken voor direct marketing? Dan is hiervoor in de meeste gevallen toestemming nodig van de persoon van wie de gegevens verzameld worden.
Voorzitter Aleid Wolfsen van AP
“Het kan onbehagelijk zijn als direct marketeers allerlei informatie over je hebben”, zegt voorzitter Aleid Wolfsen van de Autoriteit Persoonsgegevens.
Wolfsen merkt dat mensen daar vragen over stellen. “Hoe komen ze aan die gegevens over mij? Voor de AP is de handel in data één van de speerpunten in het toezichtskader voor 2018 en 2019.”
Drie soorten direct marketing
Op de website van de Autoriteit Persoonsgegevens wordt in detail uitgelegd wat direct marketeers nog mogen doen.
Er zijn drie soorten direct marketing, die elk eigen regels kennen:
AVG stelt strengere eisen
Sinds 25 mei 2018 geldt de nieuwe privacywetgeving, de Algemene verordening gegevensbescherming (AVG).
De AVG stelt strengere eisen aan de benodigde toestemming dan de vorige privacywet. Mensen moeten vrij zijn in het geven van de toestemming.
Volgens de wet moeten de organisaties hiervoor in begrijpelijke taal communiceren.
Mensen moeten ook echt weten wat er met hun gegevens gebeurt.
Alleen op deze manier kunnen zij kiezen of zij wel of geen direct marketing willen ontvangen.
Altijd wettelijke grondslag nodig
Voor het verzamelen van persoonsgegevens die later worden gebruikt voor direct marketing, is altijd een wettelijke grondslag vereist.
Wil een webwinkel bijvoorbeeld een pakje laten thuisbezorgen? Dan is het noodzakelijk om het adres van de klant te verzamelen om het pakje te laten bezorgen.
Als de webwinkel de verzamelde persoonsgegevens vervolgens wil gebruiken voor direct marketing, dan gelden daar regels voor.
Privacy Nieuws
Het Duitse Bundesgerichtshof (BGH) heeft geoordeeld (VI ZR 225/17) dat klanttevredenheidsonderzoeken per e-mail over het algemeen verboden zijn. De hoogste Duitse rechter verwijst daarbij naar de Europese privacywetgeving.
Wat betekent die Duitse uitspraak voor Nederlandse ondernemers?
De basisgedachte achter de Europese privacyregelgeving is dat in heel Europa in principe dezelfde privacyregels gelden.
Dat impliceert dat jurisprudentie die elders in de EU ontstaat ook impact zou kunnen hebben op uitspraken van Nederlandse rechters en de Autoriteit Persoonsgegevens in soortgelijke zaken.
Voorzitter Aleid Wolfsen van de Autoriteit Persoonsgegevens zegt dat Europese toezichthouders regelmatig bij elkaar komen om nieuwe toelichtingen op de wet uit te werken in zogenaamde guidelines (richtlijnen).
Het zou denkbaar kunnen zijn dat er een Europese richtlijn komt over klanttevredenheidsonderzoek.
Zo lang die er niet is is het interessant om de Duitse jurisprudentie over klanttevredenheidsonderzoek te analyseren. Ook in het kader van de nieuwe veel bekritiseerde Europese e-privacywet die binnenkort naast de AVG nog meer Europese privacyregels toevoegt.
De zaak
Een Duits bedrijf verkocht goederen via Amazon en stuurde via e-mail de factuur naar de koper. In die e-mail schreef het bedrijf:
“Dames en heren, bijgevoegd uw factuur in PDF-formaat. Bedankt voor het kopen van dit artikel van ons. Wij zijn een jong bedrijf en daarom afhankelijk van goede ratings. Als u tevreden bent over onze service, vragen wij u daarom om ons een 5-sterrenscore te geven voor uw aankoop.
Als er iets mis is met het geleverde artikel of onze service, vragen wij u vriendelijk contact met ons op te nemen. Dan kunnen we het probleem oplossen. Voor de beoordeling: log gewoon in via de volgende link en geef een positieve 5-sterrenbeoordeling (…).”
De koper vond dat de verkoper via deze e-mail ongeoorloofde reclame meestuurde. Hij vond dat de verkoper alleen de factuur had mogen sturen. Het verzoek om een positieve beoordeling zou inbreuk op zijn privacy zijn.
Marketeers worden gek als ze te maken krijgen met klanten die exact naar de regels van de wet willen worden behandeld. Gaat dit niet te ver?
De aanklacht werd in eerste instantie in Duitsland verworpen door zowel de lokale rechtbank als het hof van beroep, aangezien zij geen enkele vordering tot voorlopige maatregelen op grond van §§ 1004, 823 (1) BGB zagen. Het Hof van Beroep heeft echter een beroep bij het BGH toegestaan, dat nu uitspraak heeft gedaan.
Het besluit van de BGH
De BGH verklaart dat:
- een klanttevredenheidsonderzoek valt onder het begrip (directe) reclame
- het gebruik van e-mail voor reclamedoeleinden zonder toestemming van de eiser in beginsel een inbreuk vormt op zijn beschermde privésfeer en dus op zijn algemene persoonlijkheidsrecht
Hoewel de levering van de factuur op zich geen reclame is, vormt het deel van de e-mail waarin om een evaluatie werd gevraagd volgens de Duitse rechter wel degelijk reclame.
En als we de Algemene Verordening Gegevensbescherming erbij pakken wordt al snel duidelijk waarom.
De ondernemer heeft de adresgegevens alleen gekregen om de factuur te verzenden. Er is geen toestemming gevraagd of verkregen om het e-mailadres ook voor andere specifiek genoemde doeleinden – zoals klanttevredenheidonderzoek – te gebruiken. Volgens de AVG, die in Duitsland afgekort wordt als DSGVO, is dat verplicht.
De betekenis van de Duitse uitspraak
Volgens eerdere Duitse jurisprudentie was het al moeilijk om zonder toestemming klanttevredenheidsonderzoeken via e-mail te rechtvaardigen.
De BGH benadrukt met haar jurisdictie nu dat er geen klanttevredenheidsbeoordelingen mogen worden opgenomen in anderszins legitieme e-mails aan de klant.
Met andere woorden, voor de beoordeling van de klanttevredenheid en de verzending van nieuwsbrieven is een duidelijke toestemming vereist.
Is klanttevredenheidsonderzoek per e-mail nu verboden?
Nee. Als bij het afsluiten van de koopovereenkomst netjes seperaat toestemming wordt gevraagd om het e-mailadres ook eenmalig voor klanttevredenheidsonderzoek te mogen gebruiken – en die toestemming gegeven wordt – mag het onderzoek nog steeds gedaan worden.
Deze richtlijnen gelden ook in Nederland. Voor de invoering van de AVG waren deze regels ook al van kracht.
Privacy Nieuws
Wanneer ben je “verantwoordelijke” en wanneer ben je “verwerker”? Organisaties snappen maar weinig van de juridische termen die gebruikt worden in de Algemene Verordening Gegevensbescherming (AVG). Gevolg? Bedrijven gaan massaal de fout in en overtreden daardoor de wet.
De nieuwe privacywet AVG wordt, ruim honderd dagen na invoering, massaal geschonden. “Bedrijven hebben goede bedoelingen maar raken in de war van de ingewikkelde juridische termen”, vertelt Saida Nhass senior consultant bij risicoadviseur AON bij de radionieuwszender BNR.
Volgens Nhass ontstaat er vooral verwarring over de termen ‘verwerker’ en ‘verantwoordelijke’ over de persoonsgegevens. “Veel bedrijven kennen zichzelf een verkeerde rol toe waardoor zij de wet schenden.”
Zelfs juristen gaan regelmatig de fout in met de AVG, meldde BNR op 17 september al.
AVG is volgens Aleid Wolfsen best ingewikkeld
Voorzitter Aleid Wolfsen van de Autoriteit Persoonsgegevens zegt dat er veel telefoontjes binnenkomen bij zijn organisatie over de terminologie binnen de AVG. “Die is ingewikkeld. Dat geef ik wel toe.”
De AP weet volgens Wolfsen niet hoeveel bedrijven de boel al op orde hebben. “We zijn nu bezig met onderzoeken naar de boekhouding voor de AVG (verwerkingsregister).”
Autoriteit Persoonsgegevens heeft al diverse malen met forse boetes gedreigd
De AP heeft volgens Wolfsen inmiddels bij diverse organisaties al gedreigd met forse boetes van in de tonnen als ze niet op korte termijn voldoen aan de AVG.
Het gaat niet alleen fout in Nederland. Ook in de rest van de EU worstelen organisaties met de nieuwe Europese privacyregels.
De Britse toezichthouder ICO meldt op zijn Twitteraccount dat er sinds de invoering van de wet op 25 mei 2018 wekelijks telefonisch 500 datalekmeldingen worden gedaan, waarvan een derde onnodig blijkt te zijn.
Risicoadviseur Nhass van AON pleit er bij BNR voor dat de Europese toezichthouders samen op gaan trekken om de wet duidelijker uit te leggen.
Wolfsen erkent dat de wet soms wat vaag en te algemeen is. Er wordt volgens hem op Europees niveau gewerkt aan verduidelijking. De Europese toezichthouders komen regelmatig bij elkaar om nieuwe toelichtingen op de wet uit te werken, zogenaamde guidelines (richtlijnen).
Privacy Nieuws
Kleine ondernemers moeten net als grote bedrijven en de overheid voldoen aan de Algemene Verordening Gegevensbescherming (AVG), maar ze hoeven zich de komende tijd nog geen zorgen te maken op controles en hoge boetes, zegt toezichthouder Aleid Wolfsen in de Telegraaf.
„Het is niet uit te leggen aan een kleine ondernemer dat hij aan allerlei regels moet voldoen, terwijl de Algemene Rekenkamer constateert dat de naleving van de wet persoonsgegevens door instellingen als de Belastingdienst jarenlang gebrekkig is geweest”, zegt Wolfsen. „Daarom beginnen we bij de overheid.”
– via Telegraaf
Minister Sander Dekker van Rechtsbescherming ondersteunt het beleid om kleine ondernemers niet meteen te beboeten.
Kleine Nederlandse organisaties die na invoering van de nieuwe privacywet nog niet aan de regels voldoen, krijgen in het begin niet direct boetes.
Dat zegt minister Sander Dekker van Rechtsbescherming, schrijft de NOS.
– via NU
Privacy Nieuws
Hoe kan het dat veel kleine ondernemers nog niet klaar zijn voor de privacywet die op 25 mei 2018 van start gaat? En is dat erg? Voorzitter Aleid Wolfsen van de Autoriteit Persoonsgegevens reageerde dinsdagochtend luchtig in de ontbijtshow Goedemorgen Nederland van omroep WNL.
“Ach een bakker is er om brood te bakken en een onderwijzer is er om les te geven”, aldus Wolfsen. “Die zijn niet iedere dag met privacy bezig. Aan de andere kant weten zij wel veel van hun klanten. Onderdeel van een goede dienstverlening is dat je daar zorgvuldig mee omgaat.”
Hebben kleine bedrijven zich niet goed voorbereid?
“Brancheverenigingen doen er veel aan. Grote bedrijven zijn vaak wel op tijd begonnen. Maar de kleine bedrijven hebben er wat later van gehoord. Die zijn nu wel druk bezig. Ik verwacht dat veel kleine bedrijven wel redelijk op tijd klaar zijn voor 25 mei. Want die deadline is onherroepelijk.”
Moeten kleine bedrijven bang zijn dat u meteen na 25 mei op de stoep staat?
“Nou nee, niet bij de slager en de bakker, kan ik u wel verklappen. Die moeten natuurlijk wel aan de wet voldoen. De wet is natuurlijk als eerste bedoeld voor grote bedrijven die niets anders doen dan handelen in data. Banken, zorginstellingen. Die verzamelen voornamelijk gevoelige gegevens. Gezondheidsgegevens. Dat is natuurlijk belangrijker dan gewone klantgegevens. Maar iedereen moet wel voldoen aan die wet. Neem nu bijvoorbeeld een kinderopvang. Dan denk je ‘wat weet de kinderopvang nou eigenlijk van mij?’ Maar die weet vaak iets over de financiele positie van de ouders. Over de gezondheid. Is er sprake van een echtscheiding. Zulke gegevens zul je toch goed moeten beveiligen.”