Wie controleert of anderen mailberichten openen overtreedt mogelijk de privacywet

Wie via mailsoftware automatisch controleert of verstuurde mail door ontvangers wordt geopend overtreedt de Algemene Verordening Gegevensbescherming (AVG). Dat blijkt uit een uitspraak van de Autoriteit Persoonsgegevens (AP) naar aanleiding van een onderzoek bij de Dienst Uitvoering Onderwijs (DUO).

DUO heeft volgens de AP de Europese privacywet overtreden door met speciale software bij te houden of studenten e-mails hadden geopend.

Door in de gaten te houden of studenten e-mails hebben geopend, wist DUO zeker dat een bericht goed ontvangen en gelezen was. Het ging daarbij om mails over wijzigingen in persoonlijke situaties van scholieren.

De trackingsoftware zou gebruikt kunnen worden als bewijs in rechtszaken, als iemand beweerde nooit bericht te hebben gehad over een wijziging. Bij het openen van een mail werd een onzichtbare afbeelding geopend, waar DUO vervolgens over werd geïnformeerd.

Omdat de software herleidbare privégegevens vastlegt, is deze volgens de Autoriteit Persoonsgegevens in strijd met de Algemene Verordening Gegevensbescherming (AVG). DUO hield bijvoorbeeld het ip-adres van een mailontvanger bij, wat niet zomaar mag. Bovendien werden mailontvangers niet geïnformeerd over dat ze werden gevolgd.

Inmiddels is DUO gestopt met het gebruik van de trackingtechniek.

“Medewerkers Apple luisteren via Siri op iPhone mee tijdens seks en medische gesprekken”

De Autoriteit Persoonsgegevens (AP) in Ierland onderzoekt of de spraakassistent Siri van Apple wel conform de privacywet ingezet wordt. Dit naar aanleiding van berichtgeving in de Britse krant The Guardian.

Apple-medewerkers luisteren volgens The Guardian via de spraakassistent Siri ook mee naar persoonlijke gesprekken als er geen luisteropdracht is gegeven. Siri is via talloze apparaten van Apple, zoals ook via de speaker en Apple Watch, te benaderen.

The Guardian citeert een anonieme klokkenluider die zegt dat het gaat om gevallen waarin Siri per ongeluk wordt geactiveerd. Normaal gebeurt dat alleen als het commando ’Hey Siri’ gegeven wordt.

Apple-medewerkers luisteren volgens de l klokkenluider doorlopend mee naar zeer persoonlijke informatie van gebruikers. Seks, drugsdeals en medische gesprekken worden zo afgeluisterd.

Medewerkers maken analyses van de gesprekken en informatie om Siri beter te laten werken.

In de gebruiksvoorwaarden van Apple staat niet dat medewerkers kunnen meeluisteren naar de gesprekken die de spraakassistent met mensen heeft.

In een reactie tegen de Guardian meldt Apple dat enkele medewerkers meeluisteren en gesprekken doorsturen om de Siri-dienst nog beter te laten werken.

Datalek bij gemeente Hellevoetsluis

De gemeente Hellevoetsluis heeft documenten met daarin onder meer burgerservicenummers (BSN’s), woonadressen en telefoonnummers van inwoners gelekt. De gemeente heeft berichtgeving daarover door RTL Nieuws bevestigd.

Hoeveel inwoners zijn getroffen, is onduidelijk. Volgens RTL Nieuws zijn er
21.000 documenten gelekt. Het systeem waarin de documenten zijn verwerkt wordt al sinds 2001 door Hellevoetsluis gebruikt.
De documenten met gevoelige gegevens werden per ongeluk door ambtenaren openbaar gezet, waardoor de persoonsgegevens via Google vindbaar waren.

Inmiddels zijn de data ook niet meer via Google vindbaar, aldus RTL Nieuws.

De gemeente Hellevoetsluis heeft het datalek inmiddels gemeld bij de Autoriteit Persoonsgegevens (AP), aldus de woordvoerder. De gemeente onderzoekt nu welke stappen zij verder als gevolg van het datalek moet nemen.

Fraudehelpdesk krijgt tik op de vingers van Autoriteit Persoonsgegevens

De Fraudehelpdesk mag niet langer de persoonsgegevens van tipgevers die e-mails en andere berichten met phishing naar hen sturen verzamelen. Dat heeft de Autoriteit Persoonsgegevens (AP) dinsdag aan de NOS verteld.

De Fraudehelpdesk ontving iedere maand tussen de 80.000 en 100.000 tips over phishingmails. Deze tips werden gebruikt om phishingcampagnes en andere online oplichtacties in beeld te brengen.

Maar de Fraudehelpdesk verwerkt dankzij alle tips ook meteen persoonsgegevens van tipgevers. Het gaat dan vooral om namen, adresgegevens en e-mailadressen van de afzenders. Dat mag volgens de AP niet.

Volgens de AP heeft de organisatie haar “huiswerk niet op orde”.

De Autoriteit Persoonsgegevens weigert daarom om de Fraudehelpdesk een vergunning voor de gegevensverwerking te verlenen. Die vergunning is vereist omdat phishingmails strikt gezien strafrechtelijke gegevens bevatten.

De helpdesk kon volgens de AP niet goed duidelijk maken waarom persoonsgegevens verwerkt moesten worden.

Het is nog wel toegestaan om tips naar de Fraudehelpdesk te sturen. Niets in die tips mag echter terug te leiden zijn naar een persoon. Ook mag de helpdesk niet meer doorvragen om meer informatie te bemachtigen.

HagaZiekenhuis gaat in beroep tegen AVG-boete. AP spreekt van zorgelijke situatie

Het HagaZiekenhuis in Den Haag tekent protest aan tegen de hoge boete van 460.000 Euro die de Autoriteit Persoonsgegevens (AP) heeft opgelegd. Het ziekenhuis kreeg de boete omdat medewerkers onbevoegd in het medisch dossier van tv-ster Samantha de Jong (Barbie) hadden gekeken. Zij was er opgenomen na een zelfmoordpoging.

Volgens voorzitter Aleid Wolfsen van de Autoriteit Persoonsgegevens blijkt uit onderzoek naar de manier van werken in het Haagse ziekenhuis dat de beveiliging van medische gegevens nog steeds niet op orde is. ,,Wat we hebben aangetroffen is een zeer zorgelijke situatie”, zegt Wolfsen tegen EenVandaag. ,,De beveiliging is echt onder de maat. Er wordt niet goed gecontroleerd, mensen kunnen te gemakkelijk bij die medische dossiers.”

Directievoorzitter Carla van de Wiel van het ziekenhuis zegt het zuur te vinden dat het geld nu niet aan patiëntenzorg kan worden besteed. Zij zegt er in een schriftelijke verklaring alles aan te doen om de dwangsom te vermijden van nog eens vele duizenden euro’s waarmee de Autoriteit Persoonsgegevens (AP) dreigt als het ziekenhuis niet binnen korte tijd er voor zorgt dat persoonsgegevens van patiënten beveiligd worden zoals is vastgelegd in de privacywet.

Het ziekenhuis heeft maar liefst 85 ziekenhuismedewerkers bestraft voor het neuzen in het medische dossier van Barbie.

Het ziekenhuis zegt nu de interne beveiliging van patiëntendossiers verder aan te scherpen. Dat is hard nodig, want twee van de in totaal zes onderdelen worden als niet afdoende beoordeeld door de Autoriteit Persoonsgegevens.

Wat er onder meer ontbrak aan de eigen beveiligingsregels was dat er in veel gevallen al ingelogd kon worden met gebruik van enkel gebruikersnaam en wachtwoord.

Eigenlijk zou je pas toegang tot de dossiers moeten krijgen na invoering van gebruikersnaam, wachtwoord én controle van personeelspas en pincode.

Wie met gebruikersnaam en wachtwoord inlogde had bovendien vier uur toegang tot bepaalde gegevens. De bedoeling is dat er in die tijd vaker opnieuw ingelogd moet worden en ook dat de controle op het inloggen vaker moet plaatsvinden.

Het HagaZiekenhuis zegt de nu nog ontbrekende extra controle op het inloggen van medewerkers in dossiers voor oktober aangescherpt te hebben.

Die deadline is ook nodig om te voorkomen dat er bovenop de boete nog een dwangsom moet worden betaald die kan oplopen tot nog eens vele duizenden euro’s.

Autoriteit Persoonsgegevens deelt eerste forse boete uit wegens overtreding AVG

De Autoriteit Persoonsgegevens (AP) heeft het HagaZiekenhuis in Den Haag een boete van 460.000 euro opgelegd wegens schending vam de Algemene Verordening Gegevensbescherming (AVG). Het is de eerste boete die sinds de invoering van de wet op 25 mei 2018 in Nederland is opgelegd.

De boete kan nog met maximaal 300.000 euro verhoogd worden.

Het Haagse ziekenhuis kwam eerder dit jaar in opspraak toen bleek dat 85 medewerkers het patiëntendossier hadden ingezien van Samantha de Jong, bekend als realityster Barbie.

De Autoriteit Persoonsgegevens concludeert nu dat de beveiliging van de medische dossiers van het HagaZiekenhuis niet op orde is.

Het HagaZiekenhuis krijgt tot 2 oktober om de interne beveiliging te verbeteren. Lukt dat niet, dan moet het ziekenhuis elke twee weken nog eens 100.000 euro betalen, tot een maximum van 300.000 euro.

De boete die de Nederlandse AP nu heeft opgelegd is vergelijkbaar met de boete die de Portugese Autoriteit Persoonsgegevens vorig jaar op heeft gelegd aan het Centro Hospitalar Barreiro Montijo ziekenhuis in de buurt van Lissabon. Dit ziekenhuis kreeg een boete van 400.000 euro wegens onzorgvuldig omgaan met patiëntengegevens.

Het ziekenhuis heeft inmiddels stappen gezet om herhaling te voorkomen. Personeel wordt getraind om gedrag van collega’s, patiënten en bezoekers die de privacy in gevaar brengen te herkennen.

De AP bevestigt dat dit de eerste keer is dat een Nederlandse instantie een boete krijgt onder de AVG, die sinds mei vorig jaar in werking is.

De boete die in november werd uitgedeeld voor een zaak rond taxistartup Uber werd nog afgehandeld onder de oude Nederlandse privacyregels. “Dit is de eerste volledige AVG zaak”, bevestigt een woordvoerder.

Onderwijs in Duitse deelstaat Hessen mag geen gebruik meer maken van Microsoft software

De Autoriteit Persoonsgegevens (AP) van de Duitse deelstaat Hessen heeft onderwijsinstellingen geadviseerd om snel een alternatief voor Microsoft Office 365 en Windows 10 te vinden. Het software pakket voldoet volgens de toezichthouder niet meer aan de Europese privacywet.

Volgens de Algemene Verordening Gegevensbescherming (AVG) mogen persoonsgegevens alleen verwerkt worden in Europa. Microsoft voldeed tot voor kort aan deze eis omdat gegevens van klanten die via de cloud werken werden opgeslagen op servers in Duitsland. Maar onlangs heeft Microsoft zijn cloudservers weer naar de Verenigde Staten verplaatst.

De toezichthouder van de deelstaat Hessen heeft Microsoft meermalen om opheldering gevraagd. Microsoft heeft echter geen antwoord gegeven. Wat betreft de Duitse AP is de maat nu vol. Hij heeft scholen geadviseerd het gebruik van Office 365 en Windows 10 (die een gestage stroom van gebruiksgegevens naar Microsoft stuurt) te staken.

Volgens de website Office-Watch, hebben alle Amerikaanse Big Tech bedrijven een vergelijkbaar probleem in Europa. Zelfs als ze servers in Europa blijven gebruiken. Ze kunnen niet garanderen dat de gegevens van Europese klanten niet toch via hun Amerikaanse backup-servers toch ingezien kunnen worden door Amerikaanse inlichtingendiensten.

Brittish Airways moet 204 miljoen Euro boete betalen wegens datalek door hackers

British Airways moet een boete van 204 miljoen euro betalen wegens een groot datalek. De boete is opgelegd door de Britse Autoriteit Persoonsgegevens (AP), de Information Commissioner’s Office (ICO). De luchtvaartmaatschappij maakte de boete zelf bekend.

Het is de hoogste boete die de Britse AP tot nu toe heeft opgelegd, en de eerste die is uitgereikt onder de nieuwe Europese privacywetgeving.

British Airways werd in augustus 2018 getroffen door een grote hackaanval, waarbij creditcardgegevens van 380.000 klanten werden gestolen. De aanval nam twee weken tijd in beslag, tot de hackers op 5 september konden worden geblokkeerd.

Naast creditcardgegevens werd ook andere privé-informatie van de slachtoffers gestolen. De luchtvaartmaatschappij benadrukte dat er geen paspoorten zijn ontvreemd.

Een woordvoerder van het luchtvaartbedrijf vertelt aan BBC “verrast en teleurgesteld” te zijn door de opgelegde boete. De organisatie gaat in beroep tegen het boetebesluit.

Banken mogen betaalgedrag klanten niet gebruiken om gepersonaliseerde reclame te tonen

ING mag niet zomaar het betalingsverkeer van klanten analyseren om op basis van de gegevens gepersonaliseerde reclame te tonen. Dat heeft de Autoriteit Persoonsgegevens (AP), de Nederlandse privacywaakhond kenbaar gemaakt aan de Nederlandse Vereniging van Banken.

ING heeft onlangs bekendgemaakt gepersonaliseerde reclame te willen tonen aan klanten die online hun afschriften bekijken. Volgens de Autoriteit Persoonsgegevens werken andere banken inmiddels aan soortgelijke opties.

De banken overtreden volgens de AP de Algemene Verordening Gegevensbescherming (AVG) als zij hun plannen doorvoeren.

Onder de privacywetgeving mogen persoonsgegevens in eerste instantie alleen verwerkt worden voor het oorspronkelijke doel. In het geval van transacties gaat het om gegevens die nodig zijn om van een betaalrekening gebruik te kunnen maken.

Een uitzondering is mogelijk als klanten vooraf expliciet om toestemming wordt gevraagd. Bij ING is dat niet het geval: gebruikers moeten juist aangeven dat zij niet wensen dat hun gegevens voor reclame worden gebruikt.

AP-woordvoerder Gras zegt dat de privacyregels omtrent transactiegegevens op dit moment voor alle banken gelden. “Als partijen hun gedrag niet aanpassen, kan de AP optreden.”

Roemeense Autoriteit Persoonsgegevens legt boete van 130.000 euro op aan Italiaanse bank

De Autoriteit Persoonsgegevens van Roemenië heeft op 27 juni 2019 op basis van de Europese privacywet een boete van 130.000 euro opgelegd aan de UniCredit Bank.

De UniCredit Bank is beboet omdat in 2018 door een datalek de gegevens van meer dan 337.000 personen onrechtmatig aan derden werden doorgegeven.

UniCredit is een Italiaanse bank met activiteiten in 17 landen. Het bedrijf telde eind 2016 ongeveer 120.000 voltijdsmedewerkers verdeeld over 6200 kantoren.

De belangrijkste markt is Italië en verder is het bedrijf goed vertegenwoordigd in West- en Oost-Europa. De bank had eind 2016 een balanstotaal van 860 miljard euro.

Hoogleraar: ‘Verwacht niet al te veel van de Autoriteit Persoonsgegevens als je met een verborgen camera gefilmd bent op een toilet’

In zeker vijf horecazaken in Nijmegen worden bezoekers op het toilet gefilmd, onthult dagblad De Gelderlander. In één discotheek hangt de camera zelfs zo, dat geslachtsdelen van plassende mannen in beeld worden gebracht.

Daar maakt de Autoriteit Persoonsgegevens (AP) snel korte metten mee, denk je. Dat moet op basis van de Algemene Verordening Gegevensbescherming (AVG) vrij eenvoudig zijn. De horecaondernemer zou een forse boete moeten kunnen worden opgelegd.

Volgens de privacy-expert en hoogleraar informatierecht Nico van Eijk hoeven gefilmde bezoekers echter op korte termijn weinig van de Autoriteit Persoonsgegevens (AP) te verwachten. Van Eijk vertelde dat aan het Radio 1 Journaal.

“Het makkelijkste is om de eigenaar aan te spreken”, zegt Van Eijk. “En als dat niets uithaalt media-aandacht genereren. Het is veel ingewikkelder om naar de Autoriteit Persoonsgegevens te gaan, want die hebben heel veel zaken. Dan gaat het lang duren. De politie treedt bij uitwassen ook op. Maar het beste is om niet meer naar die kroeg te gaan.”

De deskundige analyse van het handhavingsbeleid bij overtredingen van de APV en de zedenwet door de AP en de politie is even pijnlijk als veelzeggend voor de manier waarop de overheid met veel bombarie gelanceerde wetgeving nutteloos maakt.

Een jaar na de invoering van de AVG constateren deskundigen, ondernemers en burgers dat – zoals vooraf al was voorspeld – de privacywet goedwillende organisaties op kosten jaagt en kwaadwillende personen vrijuit laat gaan.

Als je je auto verkeerd parkeert of te snel rijdt krijg je meteen een hoge boete, maar als een ondernemer overduidelijk de AVG overtreedt kan het maanden duren voor de Autoriteit Persoonsgegevens in beweging komt. Dat valt niet uit te leggen.

Het was voor journalisten van De Gelderlander een fluitje van een cent om de overtredingen in de Nijmeegse horeca bloot te leggen. De krant onderzocht de toiletten in twintig bekende Nijmeegse uitgaansgelegenheden. Sommige camera’s blijken er al jaren te hangen, in drie van de vijf zaken brengt de camera het urinoir ook in beeld.

Opvallend is dat in een discotheek in de Molenstraat in het centrum een camera achter de plasbakken op het mannentoilet hangt, waarvan de beelden bij de ingang op beeldschermen te zien zijn. Een medewerker zegt tegen de krant dat ze dienen voor de bewaker: het is volgens hem niet de bedoeling dat andere bezoekers kunnen meekijken met wat zich op het toilet afspeelt.

Niet toegestaan

Volgens regels van de Autoriteit Persoonsgegevens maken camera’s in bijvoorbeeld een toilet, maar ook een kleedkamer of pashokje, een “te grote inbreuk op de persoonlijke levenssfeer van betrokkenen”. Cameratoezicht op dit soort plekken is volgens de AVG niet proportioneel en dus niet toegestaan.

“Alleen in heel bijzondere omstandigheden, als andere middelen niet kunnen, kan het nog te overwegen zijn om camera’s op te hangen in toiletten”, zegt privacy hoogleraar Nico van Eijk. “Dat is dan hooguit tijdelijk. Maar het is eigenlijk heel simpel: mensen hebben gewoon recht op hun privacy. Met name op de wc.”

Bord

Het gebeurt volgens Van Eijk wel vaker dat er camera’s hangen op toiletten. “Soms wordt het ook wel met een bord aangekondigd. Dat helpt misschien een beetje om te bepalen of je naar die betreffende gelegenheid wilt.”

Ik vind het advies van hoogleraar Van Eijk aan slachtoffers een verkeerd signaal. Als we allemaal schouderophalend accepteren dat de overheid beleid niet uitvoert zal er nooit iets veranderen. Dit soort uitwassen vormen een ideale mogelijkheid om het falende uitvoeringsbeleid aan de orde te stellen.

Stel dat deze camera’s in de kindertoiletten op een school of bij een sportvereniging hadden gehangen… Was de overheid dan wel snel in actie gekomen? Laat de verantwoordelijke minister dat maar eens uitleggen. Het wordt een jaar na de invoering van de AVG tijd voor kamervragen en burgerinitiatief.

Ik ben benieuwd in hoeveel horecagelegenheden in de rest van Nederland ook camera’s hangen in toiletten. Iedereen die naar een toilet in een café, discotheek of restaurant gaat zou nu heel bewust moeten controleren of er verborgen camera’s ontdekt kunnen worden. Maak foto’s of video-opnamen van deze camera’s en deel ze via social media. Vraag de uitbater om opheldering en doe zeer zeker ook aangifte bij de Autoriteit Persoonsgegevens én de politie. Laten we overtreders en overheid collectief onder druk zetten.

Oplichters proberen met nepbrieven van Autoriteit Persoonsgegevens ondernemers waardeloze dure AVG-scan te verkopen

De Autoriteit Persoonsgegevens (AP) waarschuwt voor oplichters die zich im nepbrieven voordoen als medewerkers van de toezichthouder en zo ondernemers proberen te misleiden.

In de brief dreigen de profiteurs met een bedrijfsbezoek door de AP, intimideren ze met mogelijk hoge boetes en bieden ze tegen veel geld een volgens de toezichthouder waardeloze AVG-scan aan.

Hoe herken je of een brief van de Autoriteit Persoonsgegevens echt is?

“Correspondentie van de AP is altijd op briefpapier, het is dus geen gekopieerd velletje”, meldt de toezichthouder op zijn eigen website. “Een echte AP-brief is opgesteld in foutloos Nederlands en bevat altijd de naam en het telefoonnummer van een contactpersoon.”

Wie twijfelt aan de juistheid van een brief die afkomstig zou zijn van de AP wordt aangeraden om contact op te nemen.

Bel dan met het Informatie- en Meldpunt Privacy van de AP, 088 – 1805 250. “Samen kunnen we checken of uw brief juist is”, zegt de Autoriteit Persoonsgegevens.