Hoogleraar: ‘Verwacht niet al te veel van de Autoriteit Persoonsgegevens als je met een verborgen camera gefilmd bent op een toilet’

In zeker vijf horecazaken in Nijmegen worden bezoekers op het toilet gefilmd, onthult dagblad De Gelderlander. In één discotheek hangt de camera zelfs zo, dat geslachtsdelen van plassende mannen in beeld worden gebracht.

Daar maakt de Autoriteit Persoonsgegevens (AP) snel korte metten mee, denk je. Dat moet op basis van de Algemene Verordening Gegevensbescherming (AVG) vrij eenvoudig zijn. De horecaondernemer zou een forse boete moeten kunnen worden opgelegd.

Volgens de privacy-expert en hoogleraar informatierecht Nico van Eijk hoeven gefilmde bezoekers echter op korte termijn weinig van de Autoriteit Persoonsgegevens (AP) te verwachten. Van Eijk vertelde dat aan het Radio 1 Journaal.

“Het makkelijkste is om de eigenaar aan te spreken”, zegt Van Eijk. “En als dat niets uithaalt media-aandacht genereren. Het is veel ingewikkelder om naar de Autoriteit Persoonsgegevens te gaan, want die hebben heel veel zaken. Dan gaat het lang duren. De politie treedt bij uitwassen ook op. Maar het beste is om niet meer naar die kroeg te gaan.”

De deskundige analyse van het handhavingsbeleid bij overtredingen van de APV en de zedenwet door de AP en de politie is even pijnlijk als veelzeggend voor de manier waarop de overheid met veel bombarie gelanceerde wetgeving nutteloos maakt.

Een jaar na de invoering van de AVG constateren deskundigen, ondernemers en burgers dat – zoals vooraf al was voorspeld – de privacywet goedwillende organisaties op kosten jaagt en kwaadwillende personen vrijuit laat gaan.

Als je je auto verkeerd parkeert of te snel rijdt krijg je meteen een hoge boete, maar als een ondernemer overduidelijk de AVG overtreedt kan het maanden duren voor de Autoriteit Persoonsgegevens in beweging komt. Dat valt niet uit te leggen.

Het was voor journalisten van De Gelderlander een fluitje van een cent om de overtredingen in de Nijmeegse horeca bloot te leggen. De krant onderzocht de toiletten in twintig bekende Nijmeegse uitgaansgelegenheden. Sommige camera’s blijken er al jaren te hangen, in drie van de vijf zaken brengt de camera het urinoir ook in beeld.

Opvallend is dat in een discotheek in de Molenstraat in het centrum een camera achter de plasbakken op het mannentoilet hangt, waarvan de beelden bij de ingang op beeldschermen te zien zijn. Een medewerker zegt tegen de krant dat ze dienen voor de bewaker: het is volgens hem niet de bedoeling dat andere bezoekers kunnen meekijken met wat zich op het toilet afspeelt.

Niet toegestaan

Volgens regels van de Autoriteit Persoonsgegevens maken camera’s in bijvoorbeeld een toilet, maar ook een kleedkamer of pashokje, een “te grote inbreuk op de persoonlijke levenssfeer van betrokkenen”. Cameratoezicht op dit soort plekken is volgens de AVG niet proportioneel en dus niet toegestaan.

“Alleen in heel bijzondere omstandigheden, als andere middelen niet kunnen, kan het nog te overwegen zijn om camera’s op te hangen in toiletten”, zegt privacy hoogleraar Nico van Eijk. “Dat is dan hooguit tijdelijk. Maar het is eigenlijk heel simpel: mensen hebben gewoon recht op hun privacy. Met name op de wc.”

Bord

Het gebeurt volgens Van Eijk wel vaker dat er camera’s hangen op toiletten. “Soms wordt het ook wel met een bord aangekondigd. Dat helpt misschien een beetje om te bepalen of je naar die betreffende gelegenheid wilt.”

Ik vind het advies van hoogleraar Van Eijk aan slachtoffers een verkeerd signaal. Als we allemaal schouderophalend accepteren dat de overheid beleid niet uitvoert zal er nooit iets veranderen. Dit soort uitwassen vormen een ideale mogelijkheid om het falende uitvoeringsbeleid aan de orde te stellen.

Stel dat deze camera’s in de kindertoiletten op een school of bij een sportvereniging hadden gehangen… Was de overheid dan wel snel in actie gekomen? Laat de verantwoordelijke minister dat maar eens uitleggen. Het wordt een jaar na de invoering van de AVG tijd voor kamervragen en burgerinitiatief.

Ik ben benieuwd in hoeveel horecagelegenheden in de rest van Nederland ook camera’s hangen in toiletten. Iedereen die naar een toilet in een café, discotheek of restaurant gaat zou nu heel bewust moeten controleren of er verborgen camera’s ontdekt kunnen worden. Maak foto’s of video-opnamen van deze camera’s en deel ze via social media. Vraag de uitbater om opheldering en doe zeer zeker ook aangifte bij de Autoriteit Persoonsgegevens én de politie. Laten we overtreders en overheid collectief onder druk zetten.

Oplichters proberen met nepbrieven van Autoriteit Persoonsgegevens ondernemers waardeloze dure AVG-scan te verkopen

De Autoriteit Persoonsgegevens (AP) waarschuwt voor oplichters die zich im nepbrieven voordoen als medewerkers van de toezichthouder en zo ondernemers proberen te misleiden.

In de brief dreigen de profiteurs met een bedrijfsbezoek door de AP, intimideren ze met mogelijk hoge boetes en bieden ze tegen veel geld een volgens de toezichthouder waardeloze AVG-scan aan.

Hoe herken je of een brief van de Autoriteit Persoonsgegevens echt is?

“Correspondentie van de AP is altijd op briefpapier, het is dus geen gekopieerd velletje”, meldt de toezichthouder op zijn eigen website. “Een echte AP-brief is opgesteld in foutloos Nederlands en bevat altijd de naam en het telefoonnummer van een contactpersoon.”

Wie twijfelt aan de juistheid van een brief die afkomstig zou zijn van de AP wordt aangeraden om contact op te nemen.

Bel dan met het Informatie- en Meldpunt Privacy van de AP, 088 – 1805 250. “Samen kunnen we checken of uw brief juist is”, zegt de Autoriteit Persoonsgegevens.

21.000 klanten van VakantieVeilingen.nl geconfronteerd met een oud datalek uit 2014

21.000 mensen die tussen 2014 en 2015 een vakantie hebben gewonnen bij VakantieVeilingen.nl zijn deze week door een klant per mail geinformeerd over een datalek. Deze klant kreeg de adresgegevens in handen door een fout destijds van de helpdesk van de veilingsite.

De helpdesk stuurde per ongeluk een mail met een link naar de klant. Via deze link kon de klant toegang krijgen tot de klantgegevens van alle klanten. De klant heeft het bestand met alle contactgegevens vervolgens gedownload en daarna VakantieVeilingen.nl ingelicht over het lek.

Het bestand bevat de volledige namen, woonadressen, e-mailadressen en arrangementen van klanten die destijds hebben gewonnen. 

Jeroen

De klant noemt zichzelf Jeroen. In de mail die hij afgelopen week, ruim drie jaar na de ontdekking van het datalek, aan alle getroffen klanten stuurde zegt hij nu tot zijn opmerkelijke actie besloten te hebben omdat Vakantieveilingen nooit heeft gereageerd nadat hij het datalek had gemeld.

De late actie van de boze klant is een interessante kwestie voor de Autoriteit Persoonsgegevens (AP). Valt dit datalek nog onder de oude Wet bescherming persoonsgegevens (Wbp)? Heeft VakantieVeilingen het lek destijds gemeld? Of is er sprake van een nieuw datalek omdat de mail nu pas is verstuurd en sinds 25 mei 2018 de Algemene Verordening Gegevensbescherming (AVG) geldt? Heeft VakantieVeilingen.nl (opnieuw) een datalekmelding gedaan?

Zo ziet de e-mail eruit

Mijn naam is Jeroen en ik heb, net als u, een veiling gewonnen bij VakantieVeilingen.

In 2015 heb ik contact gehad met de helpdesk van VakantieVeilingen. De helpdesk stuurde mij per mail een bevestiging waarin een link zat. Toen ik op de link klikte kreeg ik ongevraagd toegang tot de persoonlijke gegevens van ongeveer 21000 klanten van VakantieVeilingen.

Uiteraard heb ik per direct VakantieVeilingen hiervan op de hoogte gesteld. De link werd voorzien van een wachtwoord, echter heeft VakantieVeilingen tot nu toe nimmer de moeite genomen om haar excuses aangeboden of navraag gedaan over de door VakantieVeilingen verstrekte gegevens.

Wellicht neemt VakantieVeilingen naar aanleiding van deze mail wél de moeite om alsnog contact met mij op te nemen.

Datalek bij Albert Heijn door programmeerfout in inloggedeelte website

Albert Heijn heeft een datalek gemeld bij de Autoriteit Persoonsgegevens (AP). De supermarktketen heeft inloggegevens van ongeveer tienduizend klanten op ah.nl Per ongeluk gedeeld met enkele online service providers.

Het datalek werd veroorzaakt door een programmeerfout in het inloggedeelte van de website ah.nl. Hierdoor werden de inlognamen en het wachtwoord kort zichtbaar in de adresbalk van de webbrowser.

Albert Heijn heeft de wachtwoorden van de betrokken klanten uit voorzorg geblokkeerd.

De klanten zijn per email op de hoogte gebracht van het datalek. Ze worden verzocht het wachtwoord opnieuw in te stellen.

De partijen die de gegevens mogelijk hebben gezien werken samen met AH aan het verbeteren van de websites.

Verder heeft Albert Heijn de betrokken service providers opdracht gegeven de informatie te verwijderen.

Er is geen ongebruikelijke activiteit waargenomen met betrekking tot de inloggegevens of gebruikersaccounts.

Overtreedt uitvaartorganisatie Dela de AVG door ongevraagd vingerafdrukken van overledenen te verwerken? Nee! Belachelijk?

Uitvaartorganisatie Dela kwam zaterdag in opspraak door berichtgeving van het consumentenprogramma Radar. Dela bleek sinds september voor commerciele doeleinden vingerafdrukken van overledenen af te nemen.

Meteen werd op social media om onderzoek door de Autoriteit Persoonsgegevens (AP) geroepen. Ten onrechte.

Nota bene gevoed door een onzorgvuldige jurist en onzorgvuldige gemakzuchtige knip-en-plakjournalisten die weekenddienst hadden bij landelijke media.

Vingerafdrukken zijn toch persoonsgegevens?

Dan moet er toch rekening gehouden worden met de Algemene Verordening Gegevensbescherming (AVG)? Dat die vraag meteen door het hoofd spookt bij veel mensen lijkt logisch. Vingerafdrukken zijn immers biometrische persoonsgegevens.

Mag een commerciele uitvaartorganisatie dan zomaar vingerafdrukken afnemen om die te verwerken in sieraden die uit winstbejag aan rouwende nabestaanden worden verkocht?

Mensen die nooit om toestemming zijn gevraagd of die vingerafdrukken überhaupt mochten worden afgenomen?

Radar stelde die vraag ook aan een deskundige. Advocaat Eric Osinga van Osinga Advocatuur werd benaderd als deskundige en gaf antwoord. En ging de fout in. “Dit mag niet zonder de nabestaanden vooraf om toestemming te vragen”, aldus Osinga. “Een vingerafdruk valt namelijk onder persoonsgegevens die je niet zonder toestemming mag verwerken. Die toestemming moet ook nog eens heel duidelijk zijn gegeven.”

Advocaat had beter moeten weten

Osinga had als advocaat beter moeten en kunnen weten. Hij had zich niet als advocaat moeten laten verleiden om in de media uitspraken te doen over zaken waar hij niet in is gespecialiseerd. Of hij had zich beter moeten voorbereiden. Een zoekopdracht was voldoende geweest.

Bij de eerste les over de AVG wordt behandeld wat persoonsgegevens zijn. Vingerafdrukken van dode mensen vallen daar niet onder. Het staat klip en klaar in de wet en op de site van de Autoriteit Persoonsgegevens onder de kop Wat zijn persoonsgegevens.

De Algemene verordening gegevensbescherming (AVG) geeft aan dat een persoonsgegeven alle informatie is over een geïdentificeerde of identificeerbare natuurlijke persoon. Dit betekent dat informatie ofwel direct over iemand gaat, ofwel naar deze persoon te herleiden is. Gegevens van overleden personen of van organisaties zijn geen persoonsgegevens volgens de AVG.

 

Identiteitsfraude na de dood

Dat de vingerafdrukken van een overledene niet onder de AVG vallen is ogenschijnlijk best wel vreemd, omdat met deze biometrische gegevens ook na de dood nog identiteitsfraude gepleegd kan worden. Met vingerafdrukgegevens van doden zouden kwaadwillenden bijvoorbeeld nog smartphones kunnen unlocken en zo aankopen en betalingen kunnen doen.

 

Dood ben je geen persoon meer

De AVG is echter glashelder. Eenmaal dood ben je geen persoon meer. Dit is klip en klaar geen zaak voor de Autoriteit Persoonsgegevens. Dat had de deskundige die Radar benaderde ook moeten weten.

De Radar redactie valt niets te verwijten. Die deed navraag bij iemand waarvan verwacht mocht worden dat hij expertise heeft. Toch?

Radar had ook beter moeten weten. Waarom heeft de redactie Osinga eigenlijk benaderd? Niet iedere advocaat is meteen ook AVG-deskundige. Osinga is niet gespecialiseerd in privacywetgeving. Dat staat ook duidelijk op zijn website:

“Nadat ik ruim tien jaar als advocaat heb gewerkt, werd het tijd voor een eigen kantoor. Op 1 februari 2016 is Osinga Advocatuur te Utrecht opgericht. Mijn specialisatie is zorgverzekeringsrecht en algemeen verzekeringsrecht.”

Naambordjesaffaire Duitsland en Oostenrijk

De vingerafdrukkenaffaire heeft wel iets weg van de naambordjesdiscussie in Duitsland en Oostenrijk. Een ‘deskundige’ waarvan verwacht wordt dat hij op de hoogte is van de AVG geeft onjuist advies en zorgt daarmee vervolgens voor een mediagolf met onjuiste berichten. Iedereen roeptoetert elkaar in de media en op social media niet gehinderd door enige kennis na en zorgt daardoor voor onterechte verontwaardiging over de AVG of de toezichthouder die niets doet.

Advocaat vs advocaat

Advocaat Dirk-Jan de Bruin ergert zich net als Privacyzone aan advocaat Osinga die de redactie van Radar en de luisteraars en bezoekers van de website van het consumentenprogramma verkeerd informeert over de AVG. Hij zorgt daarmee voor veel ruis over de AVG.

De Bruin is in tegenstelling tot Osinga wel gespecialiseerd in privacyrecht.

De Bruin heeft mogelijk ook goede connecties in de journalistiek. Hij wordt op Twitter gevolgd door misdaadjournalist Mick van Wely van de Telegraaf, die zijn carriere ooit begon bij Dagblad van het Noorden.

De Bruin ziet overigens afgezien van de vingerafdrukken wel een ander aanknopingspunt op basis waarvan nabestaanden toch een klacht kunnen indienen op basis van de AVG.

“De vingerafdruk zelf zegt niets over de familieleden (in tegenstelling tot bijv. resultaten van erfelijkheidsonderzoek op (weefsel van) overleden personen)”, schrijft De Bruin op Twitter. “Toenadering van de nabestaanden voor een commercieel aanbod moet verder conform de AVG en de Telecommunicatiewet.”

Kortom: Mag Dela na de begrafenis nabestaanden commercieel benaderen om andere producten te verkopen? Of had Dela daar schriftelijk toestemming voor moeten vragen bij het afsluiten van de overlijdensrisicopolis of het accepteren van de opdracht om de begrafenis van een dierbare te verzorgen?

De gevolgen van knip-en-plak journalistiek

Diverse landelijke media plegen knip-en-plak journalistiek en nemen het bericht van Radar zonder het zelf te checken of van meerwaarde te voorzien klakkeloos letterlijk over. Vervolgens gaan mensen op social media er mee aan de haal.

Volkomen onnodig, want net als Osinga had iedere serieuze journalist met een eenvoudige zoekactie op Google kunnen achterhalen dat vingerafdrukken van overledenen volgens de AVG geen persoonsgegevens zijn. De uitleg van de Autoriteit Persoonsgegevens staat bovenaan de zoekresultaten bij de zoekopdracht ‘overleden AVG’.

Handelswijze Dela uiterst bedenkelijk

Ondertussen blijft de handelwijze van Dela natuurlijk bedenkelijk. Een uitvaartorganisatie die om commercieel gewin zonder enig gevoel de eer van overledenen schendt gaat duidelijk over lijken.

Logisch dat verbolgen mensen pleiten voor juridisch onderzoek. Alleen is de Algemene Verordening Gegevensbescherming daar niet geschikt voor. Maar misschien is het wel de moeite waard om Dela aan te klagen wegens grafschennis.

Wat is grafschennis?

Grafschennis is opgenomen in artikel 149 Wetboek van Strafrecht. Het artikel luidt als volgt: “Hij die opzettelijk een graf schendt of enig op een begraafplaats opgericht gedenkteken opzettelijk en wederrechtelijk vernielt of beschadigt, wordt gestraft met gevangenisstraf van ten hoogste een jaar of geldboete van de derde categorie.”

Net als bij de AVG is de eerste reactie op basis van de letter van de wet nu natuurlijk dat de overledene nog niet in een graf lag toen de vingerafdrukken werden afgenomen. En dus kan er dan geen sprake zijn van grafschennis.

Jurisprudentie over grafschennis

Maar er staat op de website Problemenmetjustitie.nl ook interessante jurisprudentie over het wetsartikel dat over grafschennis gaat.

“De rechter heeft ook een echtgenoot die het graf van zijn overleden partner open heeft gemaakt om haar nog even vast te kunnen houden, veroordeeld voor grafschennis.”

Als een rouwende partner bestraft wordt omdat hij of zij om emotionele redenen nog een keer de hand van zijn overleden maatje wil vasthouden zou je toch denken dat het logisch is dat een uitvaartorganisatie als Dela ook wordt bestraft voor het om commerciele redenen aantasten van de waarde van overledenen. Dat is toch evengoed grafschennis.

Wanneer is er sprake van een graf?

Het gaat hier eigenlijk om de definitie graf. Wanneer is er sprake van een graf? Zou je kunnen stellen dat iemand in zijn graf ligt zodra hij in een lijkkist ligt? Het zou in deze zaak interessant zijn om daar een uitspraak van een rechter over te krijgen.

De les van dit artikel is dat de AVG niet een wet is die te pas en te onpas overal automatisch bij betrokken kan worden. Dat hebben goede privacymanagers tijdens hun opleiding geleerd. Ze leerden ook dat ze behalve naar de AVG ook rekening moeten houden met andere wetten en toezichthouders. En deskundig extern advies moeten vragen voor zaken waar ze niet voor geleerd hebben.

Melden van grafschennis

In dit geval adviseert PrivacyZone nabestaanden van overledenen waarvan Dela vingerafdrukken heeft afgenomen om deze zaak bijvoorbeeld aan te kaarten via een advocaat of via Centraal Meldpunt Nederland. “Vermoedens dat iemand zich schuldig heeft gemaakt aan grafschennis door een grafroof te plegen of vernieling aan te richten kunt u melden via Centraal Meldpunt Nederland: Meld.nl”, staat er op deze website.

Datalek bij VieCuri Medisch Centrum in Venlo. Vraagtekens bij datalekprocedure ziekenhuis

Het VieCuri Medisch Centrum in Venlo is in opspraak vanwege een datalek waarbij de gegevens van 22 kinderen, inclusief medische gegevens, op straat zijn beland, meldt de regionale omroep 1Limburg.

Het betreft slechts vier vellen papier, maar de impact daarvan is qua negatieve publiciteit nu al groot. En die kan nog groter worden.

Datalekprocedure

Grote vraag is namelijk of het Limburgse ziekenhuis wel volgens de regels een datalekprocedure in gang heeft gezet.

Vinder Jeroen Dekkers van de papieren zegt bij L1 de indruk te hebben dat het ziekenhuis de zaak in de doofpot wilde stoppen. Hij zocht zondag meteen na zijn vondst al contact met het ziekenhuis.

Datalek uit de media houden

Dekkers zegt dat hij zich geïntimideerd voelt en dat hem meerdere malen is gevraagd om de zaak uit de media te houden.

Een woordvoerder van het ziekenhuis ontkent bij L1 dat zij dit gevraagd heeft.

Functionaris Gegevensbescherming (FG)

Opvallend is echter dat de Functionaris Gegevensbescherming (FG) van VieCuri volgens Dekkers pas woensdag persoonlijk contact opnam met Dekkers. Terwijl volgens de Algemene Verordening Gegevensbescherming (AVG) een organisatie binnen 72 uur na het ontdekken van een lek meteen passende maatregelen moet treffen en een datalekprocedure bij de Autoriteit Persoonsgegevens (AP) in gang moet zetten.

De FG is voor die datalekprocedure verantwoordelijk. Het is dan ook uitermate vreemd dat de FG niet eerder contact heeft opgenomen met de vinder.

Volgens de Autoriteit Persoonsgegevens is er inmiddels wel een datalekmelding door het ziekenhuis gedaan.

Ziekenhuis onderzoekt lek en afhandeling melding

Het ziekenhuis zegt te onderzoeken hoe het lek is ontstaan en hoe er is omgegaan met de melding.

De papieren werden zondag toevallig door Dekkers gevonden op de dijk langs de Maas, pal naast VieCuri.

Medische gegevens pasgeboren kinderen

In de documenten kon hij de voor- en achternaam, geboortedatum van de in sommige gevallen pasgeboren kinderen en gegevens van ouders en verzorgers lezen. Ook was er informatie over de medische situatie van de kinderen te vinden.

Uit de datum bovenaan de documenten blijkt dat ze dezelfde dag nog zijn gebruikt. Het betteft dienstlijsten van vermoedelijk de kinderafdeling.

Autoriteit Persoonsgegevens dwingt assessmentbureau BrainCompass na onderzoek werkwijze drastisch te veranderen

Assessment-platform BrainCompass heeft na een onderzoek van de Autoriteit Persoonsgegevens (AP) zijn werkwijze drastisch moeten aanpassen om te voldoen aan de Algemene Verordening Gegevensbescherming (AVG).

Het assessmentbureau verwerkt niet langer persoonsgegevens over ras en gezondheid. Dat gebeurde wel, bleek uit onderzoek van de AP. Het verwerken van deze bijzondere gegevens is in strijd met de privacywet.

Toestemming deelnemers aasesment niet op juiste manier verkregen

De Autoriteit Persoonsgegevens concludeerde in 2017 dat BrainCompass niet op de juiste manier toestemming vroeg aan deelnemers voor de verwerking van hun gegevens.

Ook het beveiligingsbeleid van persoonsgegevens was niet op orde.

BrainCompass heeft verbeteringen doorgevoerd, zodat de overtredingen nu zijn beëindigd. 

Assessment op basis van DNA

BrainCompass is een specifiek soort assessmentbureau. De basis voor hun rapportage is een persoonlijk en een biologisch profiel. Hiervoor worden gegevens over het ras van de deelnemer, gewicht en lengte, DNA-gegevens en psychologische gegevens verzameld en met elkaar in verband gebracht.

De AP besloot een onderzoek in te stellen nadat er signalen waren opgevangen over de informatieverstrekking van BrainCompass, over het beheer van het DNA-materiaal en over de rechtmatigheid van de verwerking.

Verbetermaatregelen

Een deel van de mensen die bij BrainCompass een assessment ondergaat, doet dit binnen een arbeidsrelatie. In zo’n relatie, waarin de werknemer (financieel) afhankelijk is van de werkgever, is over het algemeen geen sprake van ‘vrije’ toestemming.

BrainCompass heeft nu waarborgen ingebouwd waardoor de toestemming aan BrainCompass voldoende vrij is.

Zo is er een raamovereenkomst opgesteld voor de werkgever, deelt BrainCompass geen informatie over de deelnemer met de werkgever en worden de assessments niet meer in groepssessies afgenomen.

Geen bijzondere gegevens meer nodig voor assessment bij BrainCompass

Ook is er een BrainCompass-variant ontwikkeld waarbij in het geheel geen bijzondere persoonsgegevens worden verwerkt en worden klanten nu op de juiste manier geïnformeerd bij het vragen om toestemming.

Daarnaast heeft BrainCompass een beveiligingsbeleid opgesteld.

Verdeeldheid onder twee Autoriteiten Persoonsgegevens over uitleg AVG bij schoolfoto’s.

Schoolfoto’s en de AVG. Dat is een repeterende frustratie voor scholen, ouders en leerlingen.

Hele klassen staan sinds 25 mei 2018 net als criminelen vanwege de nieuwe Algemene Verordening Gegevensbescherming (AVG) met een zwarte balk voor hun gezicht op een klassenfoto.

Hoe pakken ze dat in de rest van Europa aan?

De Algemene Verordening Gegevensbescherming (AVG) is een Europese privacywet. De privacyregels worden geacht in de hele EU vrijwel gelijk te zijn.

De nationale Autoriteiten Persoonsgegevens werken nauw samen. Dan zou je toch ook eenduidige uitleg van de regels mogen verwachten.

Helemaal als er in één land meerdere toezichthouders zijn, zoals in Duitsland.

De Duitsers hebben een nationale Autoriteit Persoonsgegevens en daarnaast ook nog een toezichthouder per bondstaat. In totaal telt Duitsland zo 18 toezichthouders.

De schoolfotokwestie leeft ook in Duitsland.

Bij veel Duitse scholen wordt net als in Nederland een keer per jaar een externe professionele schoolfotograaf gevraagd om klassenfoto’s en leerlingenfoto’s te maken.

Waarmee moeten scholen sinds de invoering van de AVG rekening houden bij het inhuren van een externe fotograaf?

In het kader van de AVG is het van belang om te weten of de school opdrachtgever is of alleen toestemming geeft voor het maken van schoolfoto’s.

In de meeste gevallen geeft de school alleen toestemming. En dat maakt een wezenlijk verschil voor de AVG.

Als de school alleen toestemming geeft, is er geen contractuele relatie tussen de school en de fotograaf.

In dat geval betreft het alleen een overeenkomst van de fotograaf met leerlingen en ouders en staat de school er qua AVG volkomen buiten.

Maar als de school wel zelf rechtstreeks aan de fotograaf opdracht geeft voor het maken van de klassenfoto’s ligt de zaak anders. In dat geval moet er volgens de AVG door de school een verwerkingsovereenkomst afgesloten worden met de fotograaf.

Het Unabhängige Landeszentrum für Datenschutz, ULD (de toezichthoudende autoriteit voor gegevensbescherming in de Duitse deelstaat Sleeswijk-Holstein) gaat bij schoolfoto’s van het eerste scenario uit. Het is een zaak tussen de ouders en /of leerlingen en de fotograaf. Een verwerkingsovereenkomst is volgens de ULD niet nodig.

Zelfs als de school de fotografielijsten, adressen enz. van tevoren opstuurt, is er volgens de ULD nog geen verwerkingsovereenkomst nodig.

Deze visie lijkt logisch, want de focus van de gegevensverwerking van de fotograaf ligt niet op de verwerking van de gegevens, maar op de onafhankelijke creatie en verwerking van de foto’s, die hij onder zijn eigen verantwoordelijkheid maakt.

De onafhankelijke selectie van beelden en de artistieke vrijheid van de fotograaf duiden er ook op dat er geen sprake is van de verwerking van een opdracht van de school, meent de ULD van Sleeswijk-Holstein.

Voor de overdracht van de klassenlijsten en andere gegevens aan de fotograaf is bovendien altijd de voorafgaande toestemming van de ouder of voogd vereist.

Toezichthouder in Beieren vindt dat de school wel opdrachtgever is

De Beierse staatscommissaris voor gegevensbescherming, de autoriteit die verantwoordelijk is voor de publieke sector in de Duitse deelstaat Beieren, is een heel andere mening toegedaan. Er moet volgens de Beierse toezichthouder wel van worden uitgegaan dat de foto‘s in opdracht van de school worden gemaakt.

De school is volgens de Beierse Autoriteit Persoonsgegevens de verantwoordelijke persoon in de bovenstaande constellatie en moet een schriftelijk contract afsluiten met de fotograaf dat voldoet aan de eisen van Art. 28 (3) AVG.

Bovendien moet de school zich ervan vergewissen dat de gekozen fotograaf ervoor kan zorgen dat de verwerking van de persoonsgegevens van de leerlingen alleen in overeenstemming met de AGV wordt uitgevoerd.

Juridisch betekent dit dat de voor de verwerking verantwoordelijke alleen mag werken met verwerkers die voldoende garanties bieden dat passende technische en organisatorische maatregelen worden genomen om ervoor te zorgen dat de verwerking wordt uitgevoerd in overeenstemming met de eisen van deze verordening en dat de rechten van de betrokkene worden beschermd.

Twee toezichthouders, twee verschillende meningen

De toezichthouders in Sleeswijk-Holstein in Noord-Duitsland en Beieren in Zuid-Duitsland geven kortom ieder een andere uitleg aan de AVG. En dat is verwarrend voor buitenstaanders als scholen, ouders, leerlingen en fotografen. Die willen eenduidige uitleg van regels.

Voor beide intrepretaties valt iets te zeggen. Die van Sleeswijk-Holstein zal bij de meeste mensen de voorkeur hebben. Maar als de Beierse uitleg de definitieve uitleg is valt daar ook mee te leven. Dan is er tenminste duidelijkheid.

Wat vindt de Nederlandse Autoriteit Persoonsgegevens?

De Nederlandse Autoriteit Persoonsgegevens lijkt op de lijn van de Beierse toezichthouder te zitten. De Nederlandse AP raadt scholen aan om aan het begin van het schooljaar bij alle ouders en leerlingen vanaf 16 jaar te vragen waarvoor zij toestemming geven: wel of niet op klassenfoto’s, wel of niet op beelden op de website, wel of niet met naam in de krant als je geslaagd bent, etc.

Kortom: er is verdeeldheid in Europa tussen de verschillende toezichthouders. Het is zaak dat de Europese toezichthouders de rijen sluiten.

Welke leerlingen mogen gefotografeerd worden?

Terug naar de foto’s en de leerlingen. Welke leerlingen mogen überhaupt gefotografeerd worden?

Hier is het heel eenvoudig en iedereen is het daarmee eens: alleen leerlingen die (of hun wettelijke voogd) toestemming hebben gegeven aan de school om de foto’s te maken, mogen gefotografeerd worden.

Art. 7 AVG regelt de voorwaarden voor toestemming. De belangrijkste kenmerken zijn dat de toestemming moet worden gevraagd en dat die vrijwillig moet zijn gegeven. Met andere woorden, het moet duidelijk zijn voor welk specifiek doel de foto’s worden genomen, in welke vorm en hoe lang ze worden opgeslagen, wie er toegang toe heeft en aan wie ze mogen worden doorgegeven.

Ook mag een verwijzing naar de regel dat de toestemming te allen tijde kan worden ingetrokken, niet ontbreken.

Onherkenbaar maken niet nodig als één leerling toestemming intrekt

Maar wat gebeurt er dan als achteraf één van de leerlingen op de klassenfoto zijn toestemming intrekt? Moeten alle foto’s dan worden vernietigd? Moeten er gezichten worden zwart gemaakt?

Nee! Dat is niet nodig.

De herroeping heeft geen invloed op de foto’s die vóór de herroeping zijn gemaakt, maar is alleen van kracht voor de toekomst.

De meerderheid van de gefotografeerde leerlingen is waarschijnlijk minderjarig, dus hun ouders of voogden moeten hun toestemming geven.

Voor jongeren ouder dan 14 jaar moeten ook de jongeren zelf toestemming geven.

Ziekmelding en AVG: Welke vragen mogen werkgevers wel en welke mogen ze niet stellen? En wat mag er geregistreerd worden?

De Autoriteit Persoonsgegevens (AP) heeft in 2016 strenge nieuwe richtlijnen gepubliceerd over registratie van ziekteverzuim.

Die regels blijken in de praktijk zo lastig toepasbaar dat het ministerie van SZW besloten heeft met een toelichting te komen.

Het ministerie poogt met een document meer duidelijkheid te bieden over welke vragen werkgevers volgens de privacyregels van de AVG wel en niet mogen stellen aan zieke werknemers, en wat wel en niet geregistreerd mag worden.

De toelichting heeft betrekking op de periode van de ziekmelding tot het eerste advies van de bedrijfsarts.

Verwerken van gegevens bij ziekmelding

Werkgevers mogen volgens de Algemene verordening gegevensbescherming (AVG) slechts beperkt gegevens vragen en verwerken van een werknemer in het kader van een ziekmelding of re- integratieproces.

In de beleidsregels ‘De zieke werknemer’ (1) heeft de Autoriteit Persoonsgegevens beschreven welke gegevens dat zijn: de gegevens die noodzakelijk zijn voor de uitvoering van de arbeidsovereenkomst, de bedrijfsvoering of om een wettelijke verplichting – zoals re-integratie – na te komen.

In dat kader mag de werkgever (2) de werknemer niet vragen naar een diagnose of behandeling door een arts en ook niet naar de functionele mogelijkheden en beperkingen (3) van de werknemer.

Het is in het belang van de werknemer om zijn werkgever bij de ziekmelding te melden dat hij door ongeschiktheid ten gevolge van ziekte niet in staat is om zijn normale werkzaamheden4 te verrichten.

De werkgever mag bij de ziekmelding vragen naar de vermoedelijke duur van het verzuim.

Terugkeer naar werk

De werkgever en de werknemer kunnen het gesprek aangaan over de manier waarop de terugkeer naar werk invulling kan krijgen. Daarbij kan de werknemer zelf aangeven of hij bepaalde (deel)taken, (deel)functies of werkzaamheden nog wel kan verrichten.

Goed werknemerschap (5) brengt immers ook met zich mee dat een werknemer zelf mede verantwoordelijkheid draagt voor zijn herstel en de terugkeer naar werk.

De werkgever mag hier echter geen druk op uitoefenen en hier niet naar vragen.

Zo nodig kan hij de bedrijfsarts vragen welke (deel)taken, (deel)functies of werkzaamheden de werknemer nog wel kan verrichten.

Werkafspraken

Van het gesprek tussen werkgever en werknemer mag worden vastgelegd welke werkafspraken zijn gemaakt in de zin van uit te voeren taken of werkzaamheden.

Als er op initiatief van de werknemer eventueel gesproken is over functionele mogelijkheden en beperkingen of een diagnose of behandeling, dan worden die gegevens niet geregistreerd door de werkgever.

De werkgever kan de functionele mogelijkheden en beperkingen die door de bedrijfsarts zijn vastgesteld en gedeeld met werknemer en werkgever wel registreren.

Als de omstandigheden daar aanleiding toe geven, kan zowel de werkgever als de werknemer de bedrijfsarts inschakelen in een eerder stadium dan de wettelijke voorgeschreven termijn van maximaal zes weken na de ziekmelding.

Toelichting

(1 ) De zieke werknemer, Beleidsregels voor de verwerking van persoonsgegevens over de gezondheid van zieke werknemers, Autoriteit Persoonsgegevens, z2015-00774 – 23 februari 2016.

(2) En aan de werkgever gelijk te stellen functionarissen zoals casemanagers.
(3) Bijvoorbeeld: ‘hoeveel kun je nog tillen’; ‘kun je op je knieën zitten’; ‘hoe lang kun je geconcentreerd werken’; ‘is hectiek op de afdeling een probleem’; ‘kun je in een groep werken’.

(4) Hiermee wordt bedoeld “de bedongen arbeid”: in arbeidsrechtelijke zin de overeengekomen arbeidsduur en de overeengekomen inhoudelijke werkzaamheden die de werknemer verricht op grond van de arbeidsovereenkomst.

(5) Artikel 7:611 BW

AVG Awareness veiligheidsmaatregel: contactloze autosleutelsysteem laten uitschakelen. Zeer onveilig systeem

Kun jij je auto openen en starten met een contactloze autosleutel? Dan zou je die optie volgens verzekeraars en de keuringsinstantie voor autobeveiliging Kiwa SCM door de garage moeten laten uitschakelen.

Auto’s met de ‘keyless entry’ blijken zo vaak gestolen of opengebroken te worden dat verzekeraars en de keuringsinstantie er per volgend jaar vanaf willen. Auto’s met contactloze sleutels zijn dan dus niet meer verzekerd.

AVG awareness maatregel contactloze sleutels

De ingrijpende conclusie van de verzekeraars en de keuringsinstantie is voor organisaties ook van belang voor het veiligheidsmaatregelen die zij op basis van de AVG moeten treffen om er voor te zorgen dat persoonsgegevens niet in verkeerde handen kunnen vallen.

De AVG verplicht organisaties om maatregelen te treffen waarmee onnodig risico kan worden voorkomen. Die maatregelen moeten worden genomen op het moment dat het risico bekend is. Omdat de verzekeraars en het keuringsinstituut er nu melding van hebben gemaakt moeten organisaties nu ook meteen matregelen treffen.

Iedereen die met een auto van de zaak of eigen auto zakelijk onderweg is en daarbij een laptop, tablet of dossiers met persoonsgegevens bij zich heeft loopt groot risico op een autoinbraak of autodiefstal als gebruik wordt gemaakt van contactloze sleutels.

Wanneer wordt jouw auto gestolen?

Volgens deskundigen zijn vrijwel alle auto’s van 2017 en ouder met zo’n systeem simpel te jatten.

,,Het is geen kwestie of je auto gehackt wordt, maar wanneer”, zegt Wouter Verkerk van het Verzekeringsbureau Voertuigcriminaliteit (VbV).

Het VbV is een initiatief van alle Nederlandse schadeverzekeraars om voertuigcriminaliteit te bestrijden.

Laat de contactloze sloten uitschakelen

Verkerk heeft maar één advies aan autobezitters: ,,Laat de keyless entry gewoon uitzetten.”

Er zijn volgens hem een hoop mensen die denken: ‘ik merk het wel’. ,,Maar op het moment dat je auto gestolen wordt, ben je erg onthand, hoe goed je ook verzekerd bent.”

PrivacyZone adviseert het contactloze autosleutelsysteem uit te laten schakelen door de autodealer of garage en dat schriftelijk te laten bevestigen in de factuur of een brief. Deze bevestiging moet dan worden gemeld in het verwerkingsregister.

Systeem niet zelf uitschakelen

Je kunt het systeem waarschijnlijk ook zelf uitschakelen, maar in dat geval heb je geen bewijs voor de Autoriteit Persoonsgegevens of de verzekering als er toch nog eens in de auto wordt ingebroken of de auto wordt gestolen.

De passieve autosleutel is ontwikkeld om het leven gemakkelijker te maken, alleen daarmee braken ook gouden tijden aan voor criminelen. De rfid-chip blijkt namelijk te kraken.

Inbraakgolf in auto’s

In Den Haag vond eerder een inbraakgolf plaats in auto’s. De inbraken gebeurden zonder braakschade, doordat dieven autosleutels hackten. De politie vroeg toen al om de keyless entry van de slimme autosleutel te deactiveren.

Autodieven gebruiken over apparatuur waarmee ze signalen van autosleutels kunnen opvangen en kopieren. Ze kunnen bijvoorbeeld bij huizen langslopen en signalen van autosleutels die in de hal op een kastje liggen of zich in een jaszak aan de kapstok bevinden kopieren als ze met de apparatuur voor het huis gaan staan. Ze kunnen dan zonder sporen achter te laten in de auto inbreken of hem stelen.

De meest gestolen auto’s met contactloze sleutels

Bij deze auto’s is de kans het grootst dat je nieuwe auto binnen drie jaar na aankoop wordt gestolen:

  • Nummer 1: Toyota RAV4

Dit is momenteel met afstand het meest gewilde model onder autodieven in Nederland. De kans dat deze fonkelnieuwe auto van Japanse makelij binnen drie jaar wordt gestolen is maar liefst 1 op 18.

  • Nummer 2: Citroën C4

Het risico dat het dievengilde er met je nieuwe Citroën C4 vandoor gaat is groot. Binnen drie jaar zijn 1 op 22 autobezitters van het Franse automerk hem alweer ongewild kwijt.

  • Nummer 3: Land Rover Evoque

Ook de compacte SUV van het Britse automerk Land Rover is in trek bij autodieven. Bij 1 op de 35 eigenaren van de Range Rover Evoque werd de auto binnen drie jaar gestolen.

  • Nummer 4: Lexus NX

De hybride NX van Lexus – de luxe tak van het Japanse automerk Toyota – is populair als het om diefstal gaat. Tussen 2015 en 2018 werden er 1 op de 39 gestolen.

  • Nummer 5: Lexus IS

De Lexus IS, dat staat voor Intelligent Sport, scoort met 1 op 44 gestolen wagens sinds 2015 hoog.

  • Nummer 6: Range Rover Sport van Land Rover

Van het sportieve model van Land Rover, de Range Rover Sport, zijn er in drie jaar tijd 1 op de 49 ontvreemd.

  • Nummer 7: De A-Klasse van Mercedes-Benz

Van de A-Klasse van het Duitse Mercedes zijn er 1 op de 66 binnen drie jaar na aanschaf gestolen.

  • Nummer 8: XF van Jaguar

Het sportieve model van het Britse Jaguar, de XF, is sinds 2015 bij 1 op de 74 van de bezitters gestolen.

AVG Recht op inzage persoonsgegevens. Handleiding waarmee u een hoge boete zoals Theodoor Gilissen kunt voorkomen

Vermogensbeheerder Theodoor Gilissen moest de Autoriteit Persoonsgegevens (AP) 48.000 Euro boete betalen omdat het bedrijf weigerde slechts een van zijn klanten inzicht te geven in zijn persoonsgegevens. Deze klant diende een klacht in. Door de informatie niet te delen overtrad de private bank privacyregelgeving.

De hoge boete is een wake-up call voor alle organisaties die nog geen privacybeleid voor de Algemene Verordening Gegevensbescherming (AVG) hebben ontwikkeld. Iedereen die dacht dat in het gedoogland Nederland het wel mee zou vallen met de boetes is nu gewaarschuwd.

De Autoriteit Persoonsgegevens heeft gedetailleerd onderbouwd waarom Theodoor Gilissen de hoge boete kreeg.

 

Privacyverklaring en cookiebanner

Veel bedrijven denken dat ze aan de AVG voldoen als zij hun website maar op orde hebben. Ze hebben snel een privacyverklaring gekopieerd van een ander bedrijf en soms een cookiebanner geplaatst. En dat was het dan.

De boete die vermogensbeheerder Theodoor Gilissen kreeg maakt duidelijk dat er toch wel iets meer moet gebeuren. En dat laconieke reacties duur kunnen uitpakken.

Hoe zit het eigenlijk met het recht op inzage binnen de AVG?

 

Wat moeten organisaties doen om te voorkomen dat zij net zo’n hoge boete als Theodoor Gilissen krijgen?

Dat leggen we in dit artikel uit.

De Algemene verordening gegevensbescherming geeft mensen meer zeggenschap over hun persoonsgegevens. Ze hebben het recht om te vragen welke gegevens een organisatie van hen heeft. Ze mogen ook vragen deze gegevens in te zien. In de AVG (artikel 15) staat dit recht beschreven als ‘recht op inzage’.

  • Personen hebben recht op toegang tot hun persoonsgegevens.
  • Particulieren kunnen een verzoek om toegang tot een onderwerp mondeling of schriftelijk indienen.
  • Een organisatie heeft een maand de tijd om op een verzoek te reageren.
  • Er mogen in de meeste omstandigheden geen kosten in rekening worden gebracht voor het afhandelen van een verzoek.

Laten we eerst eens kijken hoe ver uw organisatie is. Hoe staat het met de voorbereiding van uw organisatie op verzoeken die mensen in kunnen dienen op basis van het recht op inzage?

Een checklist: hoeveel vinkjes kunt u zetten?

☐ Wij weten hoe we een verzoek om inzage in persoonsgegevens kunnen herkennen en begrijpen wanneer het toegangsrecht van toepassing is.

☐ Wij hebben een beleid voor het registreren van mondelinge verzoeken om inzage die wij ontvangen.

☐ Wij begrijpen wanneer wij een verzoek om inzage kunnen weigeren en zijn ons bewust van de informatie die wij aan individuen moeten verstrekken wanneer wij dit doen.

☐ Wij begrijpen de aard van de aanvullende informatie die wij moeten verstrekken naar aanleiding van een verzoek om inzage van persoonsgegevens.

☐ We beschikken over processen om ervoor te zorgen dat we zonder onnodige vertraging en binnen een maand na ontvangst reageren op een verzoek om toegang tot een verzoek om inzage van persoonsgegevens.

☐ Wij zijn ons bewust van de omstandigheden waarin wij de termijn voor het beantwoorden van een verzoek om inzage van persoonsgegevens kunnen verlengen.

☐ We begrijpen dat er bijzondere nadruk wordt gelegd op het gebruik van duidelijke en duidelijke taal als we informatie bekendmaken aan een kind.

☐ We begrijpen wat we in overweging moeten nemen als een verzoek informatie over anderen bevat.

Wat is het recht op inzage?

Bovenstaande checklist roept bij organisaties die zich nog niet in de AVG verdiept hebben ongetwijfeld vragen op. Vele vragen waar we in dit artikel op in zullen gaan.

  • Wat is het recht op inzage?
  • Waar heeft een persoon recht op?
  • Hoe herkennen we een verzoek om inzage?
  • Moeten we een speciaal formulier op onze site plaatsen waarmee mensen om inzage van hun persoonsgegevens kunnen vragen?
  • Hoe moeten we de persoonsgegevens verstrekken?
  • Moeten we de inhoud van de informatie die we naar het individu sturen ook uitleggen?
  • Kunnen we kosten in rekening brengen
  • Hoe lang moeten we hieraan voldoen
  • Kunnen we de antwoordtermijn op een verzoek om inzage van persoonsgegevens verlengen?
  • Mogen we een individu om ID vragen
  • Hoe zit het met verzoeken om grote hoeveelheden persoonsgegevens?
  • Hoe zit het met verzoeken die namens anderen worden gedaan?
  • Hoe zit het met verzoeken om informatie over kinderen?
  • Wat moeten we doen als de gegevens ook informatie over anderen bevatten?
  • Als we externe verwerkers gebruiken, betekent dit dan dat ze te maken zouden kunnen krijgen met alle verzoeken om inzage tot een onderwerp dat ons aangaat?
  • Kunnen we weigeren een verzoek in te willigen?
  • Wat moeten we doen als we een verzoek weigeren in te willigen?
  • Kan ik van een persoon verlangen dat hij of zij een verzoek om toegang tot een onderwerp indient?
  • Wat is het recht op toegang?

Het recht op inzage geeft personen het recht een kopie van hun persoonsgegevens en andere aanvullende informatie te verkrijgen. Het helpt mensen om te begrijpen hoe en waarom u hun gegevens gebruikt en bij controle of u het wettig doet.

Waar heeft een persoon recht op?

Personen hebben het recht om van u het volgende te verkrijgen:

  • de bevestiging dat u hun persoonsgegevens verwerkt
  • een kopie van hun persoonsgegevens
  • andere aanvullende informatie – dit komt grotendeels overeen met de informatie die u in een privacyverklaring moet verstrekken

Persoonlijke gegevens andere mensen

Iemand heeft alleen recht op zijn eigen persoonlijke gegevens, en niet op informatie met betrekking tot andere mensen (tenzij de informatie ook over hen gaat of zij namens iemand handelen).

Daarom is het belangrijk dat u vaststelt of de gevraagde informatie onder de definitie van persoonsgegevens valt. U moet rekening houden met:

  • de doeleinden van de verwerking
  • de betrokken categorieën persoonsgegevens
  • de ontvangers of categorieën ontvangers aan wie de persoonsgegevens worden verstrekt
  • de bewaartermijn voor de persoonsgegevens of, indien dit niet mogelijk is, de criteria aan de hand waarvan wordt bepaald hoe lang de gegevens bewaard worden
  • het recht om te verzoeken om rectificatie, uitwissing of beperking of om bezwaar te maken tegen een dergelijke verwerking
  • het recht om een klacht in te dienen bij het Autoriteit Persoonsgegevens of een andere toezichthoudende autoriteit
  • informatie over de bron van de gegevens, indien deze niet rechtstreeks van de betrokkene is verkregen
  • het bestaan van geautomatiseerde besluitvorming (met inbegrip van profilering)
  • de waarborgen die de organisatie biedt wanneer persoonsgegevens doorgegeven worden aan een derde land of een internationale organisatie

Het kan zijn dat veel van deze informatie al in de privacyverklaring op de website staat. Dat zou volgens de AVG ook het geval moeten zijn.

  • Hoe herkennen we een verzoek om inzage?

De AVG geeft niet aan hoe een geldig verzoek moet worden ingediend. Daarom kan een persoon een verzoek zowel mondeling of schriftelijk indienen. En een verzoek kan binnen iedere afdeling of bij iedere medewerker in de organisatie binnenkomen. Ook via social media.

Een organisatie mag indieners niet verplichten verzoeken in te dienen bij een specifieke persoon of contactpersoon. Hoe overzichtelijk en praktisch dat ook zou zijn.

Een verzoek hoeft niet de zinsnede “verzoek om toegang voor de betrokkene” of artikel 15 van de AVG te bevatten, zolang maar duidelijk is dat de betrokkene om zijn eigen persoonsgegevens vraagt.

Dit is een uitdaging bij veel organisaties, omdat elke medewerker een geldig verzoek kan ontvangen. Hoe zorgt u er dan voor dat dit verzoek ook meteen wordt doorgegeven naar de juiste medewerker en dat die dat ook binnen de wettelijke termijn van 1 maand kan afhandelen?

Zeker grotere bedrijven zullen hier beleid en afspraken met hun personeel over moeten maken.

Organisaties hebben de wettelijke verantwoordelijkheid om vast te stellen dat een persoon een verzoek heeft ingediend en dit verzoek dienovereenkomstig te behandelen.

Daarom is het voor organisaties ook belangrijk om privacybeleid te ontwikkelen en al het personeel awareness trainingen te laten geven.

Het is verstandig om een interne of externe privacy manager aan te stellen die hiervoor verantwoordelijk wordt. PrivacyZone kan daarbij helpen.

Het is van groot belang om in kaart te brengen welke medewerkers regelmatig in contact komen met personen en dus moeten weten hoe ze een verzoek om inzage kunnen herkennen en hoe ze daarmee om moeten gaan.

Daarnaast is het verstandig om beleid te hebben voor het vastleggen van de details van de verzoeken die u ontvangt, met name die welke telefonisch of persoonlijk worden gedaan.

U kunt dan bij de aanvrager nagaan of u hun verzoek hebt begrepen, omdat dit latere geschillen over hoe u het verzoek hebt geïnterpreteerd, kan helpen voorkomen.

We raden ook aan een logboek bij te houden van mondelinge verzoeken.

  • Moeten we een speciaal formulier op onze site plaatsen waarmee mensen om inzage van hun persoonsgegevens kunnen vragen?

Standaardformulieren kunnen het zowel voor de organisatie als voor de aanvrager gemakkelijker maken.

Voor een organisatie is het eenvoudiger om een verzoek om inzage herkennen. En voor de aanvrager om alle gegevens door te geven die u nodig bent om de gewenste informatie binnen de organisatie te vinden.

De AVG raadt organisaties aan “te voorzien in middelen om verzoeken elektronisch in te dienen, met name wanneer persoonsgegevens langs elektronische weg worden verwerkt”.

Met een standaardformulier waarmee het recht op inzage kan worden uitgeoefend komt u dus tegemoet aan de AVG.

Echter, zelfs als u over een formulier beschikt, dient u er rekening mee te houden dat een verzoek om toegang tot een onderwerp geldig is als het op enigerlei wijze wordt ingediend, zodat u nog steeds moet voldoen aan verzoeken die u ontvangt in een brief, een standaard e-mail of mondeling.

U kunt personen uitnodigen of stimuleren om een formulier te gebruiken, maar u moet wel duidelijk maken dat dit niet verplicht is en dat u dit niet mag gebruiken om de antwoordtermijn van een maand te verlengen.

 

  • Hoe moeten we de gegevens aan individuen verstrekken?

Als een persoon een verzoek elektronisch indient, moet u de informatie in een algemeen gebruikt elektronisch formaat verstrekken, tenzij de persoon anders verzoekt.

De AVG bevat een aanbeveling voor organisaties om, waar mogelijk, mensen zelf via elektronische systemen toegang te geven tot hun eigen persoonsgegevens. Mensen zouden bijvoorbeeld online kunnen inloggen in een persoonlijk overzicht. Dit geldt overigens niet alleen voor externe verzoeken, maar ook voor interne verzoeken van medewerkers.

Sommige bedrijven hebben bijvoorbeeld al een systeem waarmee medewerkers in hun eigen personeelsdossier kunnen kijken en zelf wijzigingen kunnen aanbrengen.

Dit zal niet voor alle organisaties geschikt zijn, maar er zijn enkele sectoren waar dit goed zou kunnen werken.

Het verlenen van toegang op afstand mag echter geen negatieve gevolgen hebben voor de rechten en vrijheden van anderen – met inbegrip van handelsgeheimen of intellectuele eigendom.

  • We hebben een verzoek om inzage ontvangen, maar moeten de gegevens aanpassen voordat we het antwoord kunnen versturen. Mogen we de “oude” versie versturen?

 

Wij zijn van mening dat een verzoek om toegang tot een onderwerp betrekking heeft op de gegevens die werden bewaard op het moment dat het verzoek werd ontvangen.

Echter, in veel gevallen kan routinematig gebruik van de gegevens leiden tot het wijzigen of zelfs verwijderen van de gegevens tijdens de behandeling van het verzoek.

Het zou dus redelijk zijn dat u informatie verstrekt waarover u beschikt wanneer u een antwoord verstuurt, zelfs als dit verschilt van de informatie waarover u beschikte toen u het verzoek ontving.

Maar het is niet acceptabel om de gegevens aan te passen of te verwijderen als u dat anders niet zou hebben gedaan.

Het is ook strafbaar om wijzigingen aan te brengen met de bedoeling openbaarmaking ervan te voorkomen.

  • Moeten we de inhoud van de informatie die we naar het individu sturen uitleggen?

De AVG vereist dat de informatie die u aan een individu verstrekt, beknopt, transparant, begrijpelijk en gemakkelijk toegankelijk is, in duidelijke en eenvoudige bewoordingen. Dit is met name van belang wanneer de informatie tot een kind is gericht.

Op het meest basale niveau betekent dit dat de aanvullende informatie die u in antwoord op een verzoek verstrekt begrijpelijk moet zijn voor de gemiddelde persoon (of het gemiddelde kind).

Voorbeeld 1

Een persoon vraagt om zijn persoonlijke gegevens. Bij het voorbereiden van de reactie merkt u dat veel ervan gecodeerd is. Bijvoorbeeld, het bijwonen van een bepaalde trainingssessie wordt gelogd als “A”, terwijl het niet bijwonen van een gelijkaardig evenement wordt gelogd als “M”. Bovendien bestaat een deel van de informatie uit moeilijk leesbare handgeschreven notities.

Zonder toegang tot uw sleutel of index om deze informatie uit te leggen, zou het voor iedereen buiten uw organisatie onmogelijk zijn om deze te begrijpen.

In dit geval moet u de betekenis van de gecodeerde informatie uitleggen. Hoewel dit een goede gewoonte is, hoeft u de slecht geschreven aantekeningen niet te ontcijferen, aangezien de GDPR niet vereist dat u informatie leesbaar maakt.

Voorbeeld 2

U krijgt een verzoek voor toegang tot een onderwerp van iemand die vrij slecht Nederlands of Engels spreekt. U stuurt een antwoord en zij vragen u om de informatie die u hen heeft gestuurd te vertalen. U bent niet verplicht om dit te doen, zelfs niet als de persoon die het ontvangt niet alles kan begrijpen omdat het kan worden begrepen door de gemiddelde persoon. Het is echter een goede gewoonte om individuen te helpen de informatie die u over hen bewaart te begrijpen.

  • Mogen we kosten in rekening brengen?

In de meeste gevallen kunt u geen kosten in rekening brengen om te voldoen aan een verzoek om toegang tot een onderwerp.

Zoals hierboven echter al is opgemerkt, kunt u alleen bij een kennelijk ongegrond of overdreven verzoek een “redelijke vergoeding” in rekening brengen voor de administratieve kosten om aan het verzoek te voldoen.

U kunt ook een redelijke vergoeding in rekening brengen als een individu na een verzoek meer kopieën van zijn gegevens aanvraagt.

U moet de vergoeding baseren op de administratieve kosten van het verstrekken van meer kopieën.

  • Binnen welke termijn moeten we  aan een verzoek om inzage voldoen?

U moet zonder onnodige vertraging en uiterlijk binnen een maand na ontvangst reageren op het verzoek om toegang tot het onderwerp.

U moet de termijn berekenen vanaf de dag nadat u het verzoek hebt ontvangen (of de dag erna nu een werkdag is of niet) tot de overeenkomstige kalenderdatum in de volgende maand.

Voorbeeld 3

Een organisatie ontvangt een verzoek op 3 september. De termijn gaat in op de volgende dag (4 september). Dit geeft de organisatie tot 4 oktober de tijd om aan het verzoek te voldoen.

Als dit niet mogelijk is omdat de volgende maand korter is (en er is geen overeenkomstige kalenderdatum), is de datum voor antwoord de laatste dag van de volgende maand.

Als de overeenkomstige datum in een weekend of op een feestdag valt, hebt u tot de volgende werkdag de tijd om te reageren.

Dit betekent dat het exacte aantal dagen dat u aan een verzoek moet voldoen varieert, afhankelijk van de maand waarin het verzoek is gedaan.

Voorbeeld 4

Een organisatie ontvangt een verzoek op 30 maart. De termijn gaat in op de volgende dag (31 maart). Aangezien er geen overeenkomstige datum in april is, heeft de organisatie tot 30 april de tijd om aan de aanvraag te voldoen.

Als 30 april in een weekend valt of een feestdag is, heeft de organisatie tot het einde van de volgende werkdag de tijd om zich aan te passen.

Om praktische redenen kan het, indien een consistent aantal dagen vereist is (bv. voor operationele of systeemdoeleinden), nuttig zijn een periode van 28 dagen vast te stellen om ervoor te zorgen dat de naleving altijd binnen een kalendermaand plaatsvindt.

  • Mogen we de antwoordtermijn verlengen?

U kunt de antwoordtermijn met nog eens twee maanden verlengen als het een complex verzoek betreft of als u een aantal verzoeken van de betrokkene hebt ontvangen. U moet de betrokkene dan wel binnen een maand na ontvangst van zijn verzoek zeer goed gemotiveerd laten weten waarom de verlenging nodig is.

De Autoriteit Persoonsgegevens is van mening dat het onwaarschijnlijk is dat het redelijk is om de termijn te verlengen als:

  • de motivatie kennelijk ongegrond of buitensporig is
  • een vrijstelling van toepassing is
  • u een identiteitsbewijs verlangt voordat u het verzoek in overweging neemt
  • Mogen we om een identificatiebewijs vragen?

Als u twijfelt over de identiteit van de persoon die de aanvraag doet, kunt u om meer informatie vragen. Het is echter belangrijk dat u alleen informatie opvraagt die nodig is om te bevestigen wie ze zijn. De sleutel daartoe is evenredigheid.

U moet de persoon zo snel mogelijk laten weten dat u meer informatie van hem of haar nodig hebt om zijn of haar identiteit te bevestigen voordat u op zijn of haar verzoek reageert.

De termijn om op het verzoek te reageren begint te lopen vanaf het moment dat u de aanvullende informatie ontvangt.

  • Hoe zit het met verzoeken om grote hoeveelheden persoonsgegevens?

Als u een grote hoeveelheid informatie over een persoon verwerkt, kunt u hen om meer informatie vragen om hun verzoek te verduidelijken. U mag alleen vragen om informatie die u redelijkerwijs nodig hebt om de persoonlijke gegevens waarop het verzoek betrekking heeft te vinden.

U moet het individu zo snel mogelijk laten weten dat u meer informatie van hen nodig hebt voordat u op zijn verzoek reageert.

De termijn om op het verzoek te reageren begint te lopen vanaf het moment dat u de aanvullende informatie ontvangt.

Als iemand echter weigert om aanvullende informatie te verstrekken, moet u nog steeds proberen om aan zijn verzoek te voldoen, dat wil zeggen door het maken van redelijke zoekopdrachten naar de informatie waarop het verzoek betrekking heeft.

Hoe zit het met verzoeken die namens anderen worden gedaan?

 

De AVG belet niet dat een persoon een verzoek indient via een derde. Vaak zal dit een advocaat zijn die namens een cliënt optreedt, maar het kan ook gewoon zijn dat iemand zich prettig voelt als iemand anders voor hem of haar kan optreden.

In deze gevallen moet u ervan overtuigd zijn dat de derde die het verzoek indient gerechtigd is om namens het individu op te treden, maar het is de verantwoordelijkheid van de derde om het bewijs van deze gerechtigdheid te leveren.

Dit kan een schriftelijke volmacht zijn om het verzoek te doen of een meer algemene volmacht.

Voorbeeld 5

Een bank heeft een oudere klant die naar een bepaalde vestiging gaat om wekelijks een opname te maken van een van haar rekeningen. De laatste jaren wordt ze altijd begeleid door haar dochter die ook klant is van het filiaal.

De dochter doet namens haar moeder een verzoek om toegang voor een vertrouwenspersoon en legt uit dat haar moeder dit verzoek niet zelf kan doen omdat zij de ins en outs van gegevensbescherming niet begrijpt.

Aangezien de informatie waarover de bank beschikt meestal van financiële aard is, is zij terecht voorzichtig met het verstrekken van klantgegevens aan derden. Als de dochter een algemene volmacht zou hebben, zou de bank daar graag aan voldoen. Ze vragen de dochter of ze zo’n macht heeft, maar die heeft ze niet.

Aangezien het personeel van het bankfiliaal de dochter kent en enige kennis heeft van de relatie die zij met haar moeder heeft, zou het kunnen overwegen om aan het verzoek te voldoen door vrijwillige verstrekking van informatie. De bank is daartoe echter niet verplicht en het zou niet onredelijk zijn om een formele volmacht te eisen.

Als u denkt dat een persoon mogelijk niet begrijpt welke informatie zou worden onthuld aan een derde die namens hem een verzoek om toegang tot een onderwerp heeft ingediend, kunt u het antwoord rechtstreeks naar de persoon sturen in plaats van naar de derde.

De betrokkene kan er dan voor kiezen de informatie met de derde te delen nadat hij in de gelegenheid is gesteld deze te bekijken.

Er zijn gevallen waarin een individu niet de mentale capaciteit heeft om zijn eigen zaken te regelen.

Hoewel de AVG geen specifieke bepalingen bevat die een derde in staat stellen om namens een dergelijke persoon toegangsrechten uit te oefenen, is het redelijk aan te nemen dat een gevolmachtigde die bevoegd is om de eigendommen en zaken van een persoon te beheren, over het passende gezag zal beschikken.

Hetzelfde geldt voor een persoon die door een rechtbank is aangewezen om over dergelijke zaken te beslissen.

  • Hoe zit het met verzoeken om informatie over kinderen?

Zelfs als een kind te jong is om de implicaties van het omgangsrecht te begrijpen, is het nog steeds het recht van het kind en niet van iemand anders, zoals een ouder of voogd.

Het is dus het kind dat recht heeft op toegang tot de informatie die over hem of haar wordt bewaard, ook al worden deze rechten in het geval van jonge kinderen waarschijnlijk uitgeoefend door degenen die voor hen de ouderlijke verantwoordelijkheid dragen.

Voordat u reageert op een verzoek om toegang tot informatie over een kind, moet u overwegen of het kind volwassen genoeg is om hun rechten te begrijpen.

Als u er zeker van bent dat het kind zijn rechten begrijpt, moet u meestal rechtstreeks op het kind reageren.

U kunt de ouder echter toestaan om de rechten van het kind namens hen uit te oefenen als het kind dit toestaat of als duidelijk is dat dit in het belang van het kind is.

Van belang is dat het kind in staat is (in grote lijnen) te begrijpen wat het betekent om een verzoek om toegang tot een onderwerp in te dienen en hoe de informatie die het daardoor ontvangt te interpreteren.

Bij het overwegen van grensgevallen moet u onder andere rekening houden met:

  • de mate van rijpheid van het kind en zijn vermogen om dergelijke beslissingen te nemen
  • de aard van de persoonsgegevens
  • eventuele rechterlijke beslissingen in verband met de ouderlijke bevoegdheid of de ouderlijke verantwoordelijkheid
  • een eventuele geheimhoudingsplicht jegens het kind of de jongere
  • de eventuele gevolgen van het feit dat de personen die de ouderlijke verantwoordelijkheid dragen toegang hebben tot de informatie van het kind of de jongere. Dit is met name van belang als er beschuldigingen van misbruik of mishandeling zijn geuit
  • schade voor het kind of de jongere indien personen met ouderlijke verantwoordelijkheid geen toegang hebben tot deze informatie
  • de meningen van het kind of de jongere over de vraag of hun ouders toegang moeten hebben tot informatie over hen

 

  • Wat moeten we doen als de gegevens ook informatie over anderen bevatten?

Het beantwoorden van een verzoek om inzage in persoonsgegevens kan inhouden dat informatie wordt verstrekt die zowel betrekking heeft op de persoon die het verzoek indient als op een andere persoon.

U hoeft niet aan het verzoek te voldoen als het zou betekenen dat u informatie openbaar maakt over een andere persoon die aan de hand van die informatie kan worden geïdentificeerd, behalve als:

  • de andere persoon met de openbaarmaking heeft ingestemd
  • het redelijk is aan het verzoek te voldoen zonder de toestemming van de betrokkene

 

Om te bepalen of het redelijk is om de informatie bekend te maken, moet u rekening houden met alle relevante omstandigheden, met inbegrip van:

  • het type informatie dat u zou onthullen
  • elke geheimhoudingsplicht die u verschuldigd bent aan de andere persoon
  • alle stappen die u hebt ondernomen om toestemming te vragen aan de andere persoon
  • of de andere persoon in staat is toestemming te geven
  • elke uitdrukkelijke weigering van toestemming door de andere persoon.

 

Dus hoewel u soms in staat bent om informatie met betrekking tot een derde partij vrij te geven, moet u beslissen of het gepast is om dit in elk geval te doen.

Bij dit besluit zal een afweging moeten worden gemaakt tussen het recht op toegang van de betrokkene en de rechten van de andere persoon.

Als de andere persoon ermee instemt dat u de informatie over hen openbaar maakt, dan zou het onredelijk zijn om dit niet te doen.

Als er echter geen toestemming is, moet u beslissen of u de informatie toch openbaar wilt maken.

Voor alle duidelijkheid, u kunt niet weigeren om toegang te verlenen tot persoonlijke gegevens over een individu simpelweg omdat u die gegevens hebt verkregen van een derde partij.

De regels met betrekking tot gegevens van derden zijn alleen van toepassing op persoonsgegevens, waaronder zowel informatie over de persoon op wie het verzoek betrekking heeft als informatie over iemand anders.

  • Als we externe verwerkers gebruiken, betekent dit dan dat ze te maken zouden kunnen krijgen met alle verzoeken om inzage tot een onderwerp dat ons aangaat?

De verantwoordelijkheid voor het voldoen aan een verzoek om toegang tot een onderwerp ligt bij u als verantwoordelijke voor de verwerking. U moet ervoor zorgen dat u contractuele regelingen met verwerkers hebt getroffen om te garanderen dat verzoeken om toegang voor subjecten correct worden behandeld, ongeacht of ze naar u of naar de verwerker worden verzonden.

U kunt de termijn van een maand niet verlengen op grond van het feit dat u moet vertrouwen op een verwerker om de informatie te verstrekken die u nodig hebt om te reageren.

Zoals hierboven al is gezegd, kunt u de termijn alleen met twee maanden verlengen als het om een complex verzoek gaat of als u een aantal verzoeken van de betrokkene hebt ontvangen.

  • Kunnen we weigeren een verzoek in te willigen?

U kunt een verzoek om toegang tot een onderwerp weigeren als het kennelijk ongegrond of buitensporig is, rekening houdend met het feit of het verzoek een repetitief karakter heeft.

Als u van mening bent dat een verzoek kennelijk ongegrond of overdreven is, kunt u:

  • een “redelijke vergoeding” vragen voor de behandeling van het verzoek
  • weigeren het verzoek in behandeling te nemen

In beide gevallen moet u uw beslissing motiveren.

U dient de redelijke vergoeding te baseren op de administratieve kosten voor het inwilligen van het verzoek.

Als u besluit kosten in rekening te brengen, dient u onmiddellijk contact op te nemen met de betrokkene en hem of haar te informeren.

U hoeft niet te voldoen aan het verzoek totdat u de vergoeding hebt ontvangen.

  • Wat moeten we doen als we een verzoek weigeren in te willigen?

U moet de betrokkene zonder onnodige vertraging en binnen een maand na ontvangst van het verzoek op de hoogte brengen.

U moet de betrokkene informeren over:

  • de redenen waarom u geen actie onderneemt
  • hun recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens of een andere toezichthoudende autoriteit
  • de mogelijkheid om dit recht te doen gelden door middel van een beroep in rechte

 

U dient deze informatie ook te verstrekken als u om een redelijke vergoeding vraagt of als u aanvullende informatie nodig hebt om de persoon te identificeren.

Als u naar aanleiding van dit artikel vragen heeft of professionele ondersteuning wilt bij het ontwikkelen van privacybeleid voor uw organisatie kunt u contact opnemen met PrivacyZone: 06-31995740 of

info@privacyzone.nl

.

AVG bewijsdilemma: “Ik heb me nooit aangemeld voor uw nieuwsbrief” Echt niet?

“Voor de lunch de nieuwsbrief verstuurd. Vervolgens belt er iemand boos en gefrustreerd op. Ze wil die nieuwsbrief niet.”

Je denkt dat je je zorgvuldig aan de AVG houdt, maar toch klopt er iets niet. Heel herkenbaar en frustrerend. Wie heeft er een fout gemaakt? Of laat de techniek je in de steek?

Het citaat in de inleiding is afkomstig uit een tweet van juriste Charlotte Meindersma. Zij blogt, vlogt en tweet onder de titel Charlottes Law regelmatig over dillemmas en vraagstukken die te maken hebben met de Algemene Verordening Gegevensbescherming.

Meindersma noemt zich ‘de social media jurist van Nederland’. Terecht. Haar online bijdragen zijn interessant, helder en professioneel. Een aanrader voor iedereen die meer wil weten over de AVG.

 

De tweet van Charlotte over de woedende vrouw die belt omdat ze zegt zich nooit te hebben ingeschreven voor de nieuwsbrief van Charlottes Law is herkenbaar voor beide partijen in soortgelijke situaties.

De AVG is heel duidelijk wat betreft de adressenlijst van nieuwsbrieven. De eigenaar van de site moet kunnen aantonen dat de ontvanger ooit expliciet heeft aangegeven de nieuwsbrief te willen ontvangen. Dat kan via een dubbele optin.

Na de aanmelding krijgt de aanmelder een mail waarin om bevestiging van de aanmelding wordt gevraagd. Als de aanmelder op de link in deze bevestigingsmail klikt wordt dat vastgelegd in de database van het systeem dat gebruikt wordt om de nieuwsbrieven te versturen.

Als iemand een klacht indient en zegt zich niet te hebben aangemeld kun je in deze database controleren of de klacht terecht is.

Charlotte liet naar aanleiding van de klacht van de vrouw meteen uitzoeken wat er aan de hand kon zijn.

“Wij uitzoeken”, tweet ze. “Heeft zich inmiddels zelf uitgeschreven. Afton spreekt voicemail in om uitleg te geven excuses aan te bieden. Mevrouw belt terug >”

Netjes afgehandeld, denk je dan. Maar er blijft een dilemma. Hoe kwam het mailadres van mevrouw in de database voor de nieuwsbrief van Charlottes Law terecht? Als er gebruik is gemaakt van dubbele optin kan het niet anders dan dat er ooit een aanmelding is gedaan via het mailadres van mevrouw. Immers, de aanmelding moet altijd worden bevestigd via datzelfde mailadres.

Kan het zijn dat de site van Charlotte is gehackt?

Zit er een fout in het systeem?

Frustrerende vragen waar je in het kader van de AVG onderzoek naar zult moeten doen. Je moet in je verwerkingsregister melding maken van het incident. Je moet aangeven welke maatregelen je hebt genomen.

Maar stel nou dat de fout gemaakt is door degene die klaagt? Hoe bewijs je dat dan? Het is jouw woord tegen het woord van de klager.

Charlotte had inmiddels gecontroleerd dat het mailadres inderdaad in haar database stond. Ze vermeldt het niet in haar tweet, maar waarschijnlijk was er een dubbele optin bevestiging.

Maar daarmee is ze nog geen stap verder. Zoeken naar een speld in een hooiberg. Een speld die er misschien helemaal niet is.

Charlotte had dit keer geluk. Mevrouw reageerde op de excuses die waren aangeboden via haar voicemail. Ze erkende heel netjes dat ze zelf fout zat.

“Het was haar man die zich had ingeschreven ‘omdat (ik) zo leuk schrijf(t)’. Dus hij heeft zich weer ingeschreven, meteen voor alle lijsten 🙂 Ze wenst ons een zonnige dag. 🙂 Een vrolijke is het in elk geval.”

 

Maar stel nu dat de klager niet ruiterlijk aangeeft dat ze fout zit? Wat dan?

Waarschijnlijk zal de Autoriteit Persoonsgegevens er geen halszaak van maken als het een enkel incident is.

Maar het ligt natuurlijk anders als er regelmatig soortgelijke klachten binnenkomen over dezelfde website.

En stel dat dan blijkt dat je site is geinfecteerd, gehackt? Dan moet je uitleggen waarom je na de eerste klacht geen maatregelen hebt genomen. Het is dus zaak om iedere klacht serieus te nemen. En vooral ook beleefd te communiceren met de klager. Hoe gefrustreerd die ook reageert.

En de verklaring van de klaagster legt ook een ander praktisch probleem bloot bij de omgekeerde bewijslast voor ondernemers die een AVG-klacht aan hun broek krijgen. Hoe bewijs je dat sommige privépersonen computers of mailadressen delen? Dat dergelijke online partners tegenstrijdige interesses hebben? Zoals in dit geval.

Charlottes Law:

Blog: https://www.charlotteslaw.nl
Twitter: @charlotteslaw
YouTube: https://www.youtube.nl/charlotteslawnl