De Autoriteit Persoonsgegevens (AP) in Ierland onderzoekt of de spraakassistent Siri van Apple wel conform de privacywet ingezet wordt. Dit naar aanleiding van berichtgeving in de Britse krant The Guardian.
Apple-medewerkers luisteren volgens The Guardian via de spraakassistent Siri ook mee naar persoonlijke gesprekken als er geen luisteropdracht is gegeven. Siri is via talloze apparaten van Apple, zoals ook via de speaker en Apple Watch, te benaderen.
The Guardian citeert een anonieme klokkenluider die zegt dat het gaat om gevallen waarin Siri per ongeluk wordt geactiveerd. Normaal gebeurt dat alleen als het commando ’Hey Siri’ gegeven wordt.
Apple-medewerkers luisteren volgens de l klokkenluider doorlopend mee naar zeer persoonlijke informatie van gebruikers. Seks, drugsdeals en medische gesprekken worden zo afgeluisterd.
Medewerkers maken analyses van de gesprekken en informatie om Siri beter te laten werken.
In de gebruiksvoorwaarden van Apple staat niet dat medewerkers kunnen meeluisteren naar de gesprekken die de spraakassistent met mensen heeft.
In een reactie tegen de Guardian meldt Apple dat enkele medewerkers meeluisteren en gesprekken doorsturen om de Siri-dienst nog beter te laten werken.
Brancheorganisatie ICT Nederland waarschuwt zijn leden dat de Nederlandse overheid in verband met de Algemene Verordening Gegevensbescherming (AVG) “disproportionele eisen” stelt in nieuwe contracten.
In de nieuwe versie van de algemene voorwaarden legt de overheid standaard de volledige aansprakelijkheid voor privacy bij de leverancier.
Volgens aanbestedingsrecht mag overheid geen disproportionele eisen stellen
In het aanbestedingsrecht geldt dat de overheid geen disproportionele eisen mag stellen aan leveranciers, stelt ICT Nederland. Het eisen van onbeperkte aansprakelijkheid wordt als disproportioneel gezien.
In de door de overheid vastgestelde ‘gids proportionaliteit’ staat hierover: ´De aanbestedende dienst verlangt geen aansprakelijkheid die op geen enkele manier gelimiteerd is.’
“Daarnaast is recent in een vonnis gezegd “… dat ieder computersysteem uiteindelijk kan worden gehackt, zodat [de overheid] ook geen volledig hackfree systeem mocht verwachten” (ECLI:NL:GHARL:2018:7967).
100 procent veilig bestaat niet
Zowel de rechtspraak als de wetgever zijn volgens ICT Nederland het er over eens dat 100% beveiliging niet bestaat en je daarvoor de leverancier dus niet volledig aansprakelijk mag houden. “Waarom is dat dan wel opgenomen in de nieuwe voorwaarden van de overheid?”
Leveranciers moeten nu volgens ICT Nederland garanderen dat de beveiligingsmaatregelen volledige bescherming waarborgen.
De overheid verwijst bij de aansprakelijkheidsclausule in nieuwe overeenkomsten volgens ICT Nederland naar de Algemene Verordening Gegevensbescherming. Maar dat is volgens de vakorganisatie volkomen onterecht.
Aansprakelijkheid komt niet voor in AVG
“Aansprakelijkheid is NIET een van de onderwerpen uit de AVG. En boetes ook niet”, meldt ICT Nederland aan zijn leden. “Toch zien wij de ene na de andere verwerkersovereenkomst langskomen waarin er allerlei aansprakelijkheid voor privacy bij de leverancier wordt neergelegd. Inclusief boetes van de toezichthouder, ook voor privacy schendingen waar de leverancier als verwerker geen enkele invloed op heeft.” De eisen die de overheid stelt zijn “disproportioneel”, stelt ICT-Nederland. “We raden leden aan hier op te letten en bij een aanbesteding kritische vragen te stellen over deze clausules.”
Er is geen juridische reden voor verandering van aansprakelijkheidseisen
De verdeling van aansprakelijkheid is iets wat normaal al in de algemene voorwaarden geregeld is. Er is volgens ICT Nederland geen juridische reden waarom die aansprakelijkheid anders zou moeten worden door de AVG.
“Op dit vlak is er niks veranderd ten opzichte van de oude Wbp. Daarnaast gaat het om contractuele risicoverdelingen, waarover partijen in algemene zin afspraken moeten maken, niet om een eis uit de wet.”
Niet alleen de overheid grijpt de AVG overigens aan om de aansprakelijkheid voor verwerkers opeens op te rekken.
Alsof je je fietsenmaker aansprakelijk kunt stellen als je fiets gestolen wordt
“Er worden absolute garanties geëist op de beveiliging en mocht er dan toch een datalek ontstaan, dan wordt de leverancier altijd voor alles aansprakelijk gesteld. Het is alsof ik mijn fietsenmaker aansprakelijk ga stellen voor mijn gestolen fiets, zelfs als ik zijn advies heb opgevolgd om twee sloten te gebruiken. Absolute veiligheid bestaat niet.”
De overheid gebruikt standaard algemene inkoopvoorwaarden van ARBIT, ARVODI en ARIV. Vaak worden die als take-it-or-leave-it voorgeschreven in aanbestedingen. Als je dus zaken wilt doen met de overheid, kom je moeilijk om deze voorwaarden heen.
Inkoopvoorwaarden aangepast
De inkoopvoorwaarden zijn in verband met de AVG aangepast. Kort gezegd komen de aanpassingen op het volgende neer: de leverancier moet nu garanderen dat de beveiligingsmaatregelen volledige bescherming waarborgen. Daarnaast vervallen alle beperkingen van aansprakelijkheid voor verwerkingen van persoonsgegevens, waarbij boetes van de AP gemakshalve als schade gekwalificeerd worden.
Kritische vragen stellen aan overheid
ICT Nederland adviseert leden om bij het afsluiten van nieuwe contracten kritische vragen te stellen over aansprakelijkheidsclausules. “Vraag tenminste om een limitering van aansprakelijkheid binnen de (toch al niet erg proportionele) bestaande clausule over aansprakelijkheid.”
PrivacyNieuws is benieuwd naar reacties van ondernemers die sinds de AVG worden geconfronteerd met opvallende strenge eisen die gesteld worden. Hoe wordt daarmee omgegaan? Welke eisen worden er gesteld? Wat staat er in die contracten?
Volgens de Consumentenbond is maar liefst één op de vier webshops in Nederland onbetrouwbaar.
Er zouden ongeveer 90.000 betrouwbare webshops in Nederland zijn en zo’n 25.000 tot 35.000 nagemaakte sites.
Hoe kun je een nepshop herkennen?
Mensen kunnen aan een paar dingen zien dat een site niet in orde is, zegt de Consumentenbond.
Domeinnaam
Kijk naar de domeinnaam. Vaak kopen criminelen oude domeinnamen op, omdat ze dan hoger in Google komen, maar de naam past niet altijd bij wat ze zeggen te verkopen.
Hoge kortingen
Alles wordt met hoge kortingen aangeboden, van 60 tot 70 procent.
Veel taalfouten
De wenshop wemelt van de taalfouten. Vaak als gevolg van slechte vertalingen.
Geen contact mogelijk
Nepshops hebben vaak geen contactpagina. En elders op de site kun je ook geen mailadres of telefoonnummer vinden.
Geen privacyverklaring, geen algemene voorwaarden
Iedere webshop moet op basis van de Algemene Verordening Gegevensbescherming (AVG) een privacyverklaring en algemene voorwaarden publiciceren. Nepshops voldoen vaak niet aan de AVG voorwaarden. Of presenteren op de verplichte pagina’s onjuiste informatie.
Online ondernemers moeten bij het opstellen van de algemene voorwaarden voor hun website niet alleen rekening houden met de nieuwe privacywet AVG / GDPR, maar ook met andere regelgeving. Er zijn meerdere instanties die daar op toezien. Wie niet zorgvuldig aandacht besteedt aan de opzet van de algemene voorwaarden kan hoge boetes opgelegd krijgen.
Veel ondernemers denken dat het voorlopig nog wel mee zal vallen met de boetes die de Autoriteit Persoonsgegevens op zal leggen aan bedrijven die hun website niet op orde hebben. Zij vergeten echter dat er ook andere instanties zijn die momenteel al forse boetes opleggen aan bedrijven die hun zaken niet op orde hebben.
De Autoriteit Consument en Markt (ACM) heeft bijvoorbeeld in oktober 2016 Coolcat en vier andere webwinkels in de modebranche beboet voor in totaal EUR 590.000 omdat zij op hun websites consumenten onvoldoende informeerden over hun rechten wanneer zij binnen de bedenktijd van hun aankoop willen afzien.
De ACM was op de onjuiste informatie gewezen door consumentenorganisaties die op hun beurt weer waren ingeschakeld door consumenten.
De uitspraak van de rechtbank en de hoge boetes leren dat het voor ondernemers raadzaam is om deskundige hulp in te schakelen om hun algemene voorwaarden mee door te nemen.
Het is onverstandig om snel de algemene voorwaarden van een concurrent te kopiëren. Vertrouw ook niet blindelings op degene die uw website heeft gebouwd. Dat kan voor u duur uitpakken. Schakel iemand in die deskundig advies kan geven op het gebied van de privacywetgeving en weet met welke andere wet- en regelgeving in uw branche ook rekening gehouden moet worden.
Bovendien kunnen er ook copyrights op algemene voorwaarden van concurrenten liggen als die zijn gemaakt door deskundige bureaus of advocaten.
Deze algemene voorwaarden zijn op iedere door PrivacyZone aanvaarde opdracht van toepassing, inclusief op eventuele vervolgopdrachten en nieuwe opdrachten en op andere door PrivacyZone verleende diensten.
PrivacyZone is gevestigd te Veendam en ingeschreven in het Handelsregister onder nummer 52709175
Alle opdrachten worden, met terzijdestelling van de artikelen 7:404 en 7:407 lid 2 BW, uitsluitend aanvaard en uitgevoerd door PrivacyZone. Derden kunnen aan de verrichte werkzaamheden en de resultaten daarvan geen rechten ontlenen.
Niet alleen PrivacyZone maar ook iedere aan PrivacyZone verbonden persoon kan op deze Algemene Voorwaarden een beroep doen. Hetzelfde geldt voor opvolgers onder algemene titel van verbonden personen, vroeger verbonden personen, en de rechtsopvolgers onder algemene titel van vroeger verbonden personen.
De bedingen in deze algemene voorwaarden zijn mede gemaakt ten behoeve van de bestuurders van PrivacyZone en al degenen die, al dan niet krachtens arbeidsovereenkomst voor PrivacyZone werkzaam zijn of waren.
Facturering en betaling
Tenzij anders overeengekomen, zal het honorarium worden berekend aan de hand van het aantal gewerkte uren, vermenigvuldigd met de toepasselijke uurtarieven zoals die jaarlijks door PrivacyZone worden vastgesteld. De standaard uurtarieven worden op verzoek toegestuurd. Onkosten (zoals reiskosten, vertaalkosten, koerierkosten etc.) zullen separaat in rekening worden gebracht. De werkzaamheden worden in beginsel maandelijks in rekening gebracht met een betalingstermijn van 14 dagen.
Alle bedragen zijn exclusief BTW en exclusief enige belasting, toeslag of vergelijkbare verhoging die een klant, betaler of PrivacyZone verplicht is te betalen of die PrivacyZone verplicht is in rekening te brengen.
PrivacyZone is gerechtigd haar tarieven per kalenderjaar te herzien en stelt de opdrachtgever daarvan voor het ingaan van het nieuwe kalenderjaar schriftelijk op de hoogte.
Bij niet of niet tijdige betaling van facturen heeft PrivacyZone het recht de werkzaamheden op te schorten of te beëindigen. Dit laat onverlet de verplichting van de klant om de openstaande en nog te verzenden facturen tijdig te voldoen.
PrivacyZone is te allen tijde gerechtigd om van de klant een adequaat voorschot te vragen voordat PrivacyZone met haar werkzaamheden aanvangt of deze voortzet. PrivacyZone is gerechtigd een door de klant betaald voorschot te verrekenen met niet betaalde declaraties van de klant in de betrokken zaak of in andere zaken.
Onverminderd voorgaand artikel van deze voorwaarden geldt dat een opdracht met een bepaalde duur tussentijds schriftelijk kan worden beëindigd met inachtneming van een opzegtermijn van twee maanden. Alle andere opdrachten kunnen worden beëindigd met inachtneming van een redelijk opzegtermijn. Het honorarium en de onkosten zijn verschuldigd tot en met de einddatum van de opdracht.
Intellectueel eigendom
Alle intellectuele eigendomsrechten (in het bijzonder auteursrechten) op documenten die door PrivacyZone zijn opgesteld, blijven rusten bij PrivacyZone.
Tenzij anders schriftelijk overeengekomen, is het PrivacyZone toegestaan om de naam en het logo van de klant te gebruiken voor marketingdoeleinden van PrivacyZone.
Gegevensbescherming
PrivacyZone beschermt persoonlijke gegevens tegen verlies, vernietiging of schade, door adequate technische en organisatorische maatregelen te nemen en door persoonlijke gegevens uitsluitend te verwerken in overeenstemming met de wet.
Bij de uitvoering van werkzaamheden maakt PrivacyZone gebruik van email enmobiele apparatuur. De klant accepteert de risico’s die zijn verbonden aan deze wijzen van communiceren (inclusief het veiligheidsrisico dat de communicatie wordt onderschept of dat onrechtmatig toegang wordt verkregen en het risico van virussen).
Aansprakelijkheid
Iedere aansprakelijkheid van PrivacyZone is, behoudens voor zover dit rechtens onmogelijk is, beperkt tot het bedrag dat in het desbetreffende geval onder de aansprakelijkheidsverzekering van PrivacyZone wordt uitgekeerd, vermeerderd met het bedrag van het eigen risico dat volgens de polisvoorwaarden niet ten laste van de verzekeraar is. Desgevraagd worden de betreffende polisvoorwaarden kosteloos toegezonden.
Indien om welke reden dan ook, geen uitkering plaatsvindt uit hoofde van voornoemde beroepsaansprakelijkheidsverzekering, is de aansprakelijkheid van PrivacyZone beperkt tot het door PrivacyZone in verband met de betreffende opdracht in rekening gebrachte honorarium, met een maximum van 5.000 EURO.
De keuze van door PrivacyZone in te schakelen derden, zal waar mogelijk en in redelijkheid aangewezen, geschieden in overleg met de opdrachtgever en in ieder geval met inachtneming van de nodige zorgvuldigheid. PrivacyZone is niet aansprakelijk voor tekortkomingen van deze derde(n) en is gerechtigd zonder voorafgaand overleg met de opdrachtgever (mede) namens de opdrachtgever een eventuele aansprakelijkheidsbeperking van de zijde van de door PrivacyZone ingeschakelde derde(n) te aanvaarden.
Alle vorderingsrechten en alle bevoegdheden uit welke hoofde ook jegens PrivacyZone in verband met de door PrivacyZone verrichte werkzaamheden vervallen in ieder geval één jaar na het moment waarop de betrokkene (opdrachtgever of derde) bekend was of redelijkerwijs bekend kon zijn met het bestaan van de rechten en bevoegdheden.
Opdrachtgever is gehouden PrivacyZone te vrijwaren voor alle aanspraken van derden, de redelijke kosten van verweer tegen dergelijke aanspraken daaronder begrepen, die op enigerlei wijze samenhangen met de werkzaamheden die voor de opdrachtgever zijn verricht, tenzij een en ander het gevolg is van grove nalatigheid of opzet aan de zijde van PrivacyZone.
PrivacyZone wordt niet beperkt in het werken voor andere klanten als gevolg van de relatie tussen PrivacyZone en klant.
Toepasselijk recht
20. Op de rechtsverhouding tussen PrivacyZone en de opdrachtgever, alsmede degenen die van haar diensten gebruik maken, is, onder uitsluiting van internationale verdragen, Nederlands recht van toepassing. Geschillen zullen uitsluitend worden beslecht door de bevoegde rechter te Groningen.
