Duitse toezichthouders spreken elkaar tegen over naambordjes. Toch wel AVG kwestie?

De staatscommissaris voor gegevensbescherming (TLfDI) in de Duitse deelstaat Thüringen, Dr. Lutz Hasse, zegt dat naambordjes in flats wel degelijk onder de AVG vallen. Daarmee weerspreekt hij zijn collega in Beieren die de hele discussie en ophef over de naambordjes en de AVG “onzin” noemde.

Volgens de Beierse toezichthouder hebben de naambordjes niets van doen met een geautomatiseerd proces en vallen ze daarom niet onder de AVG. Punt. Einde discussie zou je dan denken.

Maar de toezichthouder in Thüringen zegt dat overeenkomstig artikel 2, lid 1, de wet ook van toepassing is op de niet-geautomatiseerde verwerking van persoonsgegevens die in een bestandssysteem zijn of worden opgeslagen.

Waar draait deze kwestie om? In Duitse en Oostenrijkse media ontstond de afgelopen week veel ophef over het besluit van een woningcorporatie in Wenen om ruim 200.000 naambordjes in portieken van flats en appartementen te verwijderen vanwege de AVG. Op social media werd al snel over de idioterie van de Europese privacywet geschreven.

.
“De vraag is of de naambordjes onderdeel zijn van een bestand”, zegt Dr. Lutz Hasse. En volgens hem is dat zeer waarschijnlijk het geval als de bordjes door de verhuurder worden geplaatst.

Die moet dan immers een planning maken voor het plaatsen, opdracht geven voor het maken van de bordjes en namenlijsten maken voor de huismeester die de bordjes moet plaatsen.

Kortom, de bordjes zijn volgens dr. Lutz wel onderdeel van een bestand.

Moeten alle naambordjes dan toch verwijderd worden?

Dr. Lutz: “Nee, nee, nee!”

Mooi, toch niets aan de hand, denk je dan. Inderdaad ophef om niets. De toezichthouder in Beieren heeft gelijk. Maar helaas… Dr. Lutz zorgt er vervolgens voor dat de naambordjes toch nog voor administratieve AVG-rompslomp kunnen gaan zorgen.

Er moet wel toestemming gevraagd worden

“Plaatsing van de naambordjes is toegestaan indien de betrokkene daarmee heeft ingestemd, instemt met het oog op de toekomst of indien er een andere rechtsgrondslag is (artikel 6, lid 1, AVG)”, zegt dr. Lutz meteen na zijn driewerf nee.

Kortom: volgens de toezichthouder van Thüringen moeten verhuurders al hun huurders nog schriftelijk om toestemming vragen voor de naambordjes.

Hoe kunnen verhuurders aan de AVG voldoen?

Er zijn volgens dr. Lutz onder andere de volgende mogelijkheden om namen op belplaten en brievenbussen op een wettelijk verantwoorde wijze te publiceren:

“De DS-GVO (Duitse afkorting voor de AVG) zorgt voor informatieve zelfbeschikking en biedt ook passende oplossingen voor de Klingelschilder-zaak”, zegt Dr. Lutz Hasse. Hij besluit zijn uitleg opmerkelijk vrolijk met: “en ik ben blij dat de AVG bestaat!”

De verschillen in interpretatie van dezelfde Europese wet door verschillende toezichthouders bewerkstelligt dat waar de Beierse Autoriteit Persoonsgegevens juist voor vreest. Er ontstaat negatieve publiciteit en ophef. Er is veel onduidelijkheid. Daardoor onzekerheid. En daardoor kunnen tegenstanders de Europese privacywet eenvoudig in een kwaad daglicht plaatsen.

Teveel interpretaties mogelijk met de AVG

Er zijn teveel interpretaties mogelijk. Iedere nationale toezichthouder wil zijn eigen stempel drukken. In ieder land spelen andere invalshoeken.

In sommige landen, zoals Duitsland en Frankrijk zijn er naast een nationale Autoriteit Persoonsgegevens ook nog verschillende regionale toezichthouders. In Duitsland zijn er in totaal 18 toezichthouders. Iedere deelstaat heeft een eigen toezichthouder en een eigen site. Dat is vragen om problemen en kritiek.

Wat kunnen we leren van de ‘onzinnige’ AVG naambordjes discussie in Duitsland en Oostenrijk?

“Paniekzaaierij door oproerkraaiers die de Europese privacywet in diskrediet willen brengen.” Snoeiharde kritiek van de Autoriteit Persoonsgegevens van de Duitse deelstaat Beieren naar aanleiding van de ophef over een vermeend AVG-verbod op naambordjes in flats en appartementencomplexen. Is die kritiek terecht?

Of is de Europese privacywetgeving gewoon te complex?

Wat kunnen we leren van de discussie in Oostenrijk en Duitsland?

Waarom heeft niemand de Autoriteit Persoonsgegevens om uitleg gevraagd?

Allereerst is het opmerkelijk dat klaarblijkelijk vrijwel niemand tot op heden de toezichthouders in Oostenrijk en Duitsland gevraagd heeft om duidelijkheid te verschaffen naar aanleiding van de onduidelijkheid over de uitleg van de privavyregels ten aanzien van naambordjes.

Wie op Google zoekt op Klingelschild DSGVO ziet dat alle grote Duitse mediasites op het verhaal gedoken zijn. Slechts een enkele site vroeg commentaar aan een toezichthouder.

Kritiek Beierse autoriteit op media en privacybelangenorganisatie slecht onderbouwd

Voorzitter Thomas Kranig van de Beierse autoriteit doet voorkomen alsof de discussie in gang is gezet door tegenstanders van de privacywet en de media. Door mensen die op een rel uit waren om de AVG belachelijk te maken.

Maar die veronderstelling klopt niet.

Hoe begon de naambordjesdiscussie?

De discussie kwam in Wenen op gang naar aanleiding van een klacht van één huurder bij de gemeentelijke woningcorporatie Wiener Wohnen.

De corporatie heeft vervolgens de Magistratsabteilung 63, de afdeling die in Wenen verantwoordelijk is voor gegevensbescherming, geraadpleegd. De Functionaris Gegevensbescherming van deze afdeling kwam vervolgens zelf tot de conclusie dat de combinatie van achternaam en deurnummer daadwerkelijk inbreuk maakt op de Europese privacywetgeving.

Functionaris Gegevensbescherming zet als eerste verkeerde stap

De kwestie is dus niet aangezwengeld door oproerkraaiers. Een Functionaris Gegevensbescherming, iemand die alles van de privacywet zou moeten weten, trok op basis van de wettekst de conclusie dat er sprake was van inbreuk op de AVG.

Logisch besluit wonkngcorporatie om alle naambordjes te verwijderen

Vervolgens kan de Weense woningcorporatie niet anders dan te besluiten om verregaande maatregelen te treffen. Bij overtreding van de regels is het management immers aansprakelijk als de Autoriteit Persoonsgegevens van Oostenrijk een onderzoek instelt naar aanleiding van een klacht van een huurder, waar niets mee gedaan is.

Zeker als blijkt dat er een advies van de FG ligt om 220.000 naambordjes te verwijderen.

Nog steeds geen sprake van stemmingmakerij

Tot zover is er dus nog steeds geen sprake van bewuste stemmingmakerij om de AVG in diskrediet te brengen.

Pas als 220.000 huurders in Wenen een brief krijgen van de woningcorporatie duikt de media er bovenop. Logisch, want het betreft een opmerkelijk besluit met verregaande gevolgen. En dat op basis van een nieuwe wet die veel mensen onzeker maakt. Mede vanwege de hoge boetes die opgelegd kunnen worden.

Geen journalist die Autoriteit Gegevensbescherming om een reactie heeft gevraagd

Wat vervolgens opvalt is dat er geen journalist in Oostenrijk op het idee gekomen is om de Autoriteit Persoonsgegevens om een reactie te vragen.

Dat verwijt valt overigens ook de Functionaris Gegevensbescherming te maken.

Rol privacybelangenorganisatie

De media vroegen wel om een reactie bij ARGE Daten. Een organisatie die zich in Oostenrijk bezighoudt met de privacyrechten van burgers.

Volgens ARGE Daten was het besluit van Wiener Wohnen om alle naambordjes te verwijderen de “enige wettelijk conforme procedure”.

ARGE Daten roept vervolgens huurders op om een klacht in te dienen bij de Autoriteit Persoonsgegevens in Wenen.

Als de Beierse toezichthouder zich kwaad maakt over stemmingmakerij over de Europese privacywet dan zou ARAG Daten daar de aanleiding voor kunnen zijn.

ARAG Daten is geen tegenstander van AVG

Ware het niet dat de Beierse autoriteit praat over stemmingmakerij door tegenstanders van de AVG. ARAG Daten is een organisatie die opkomt voor privacybelangen. ARAG Daten heeft dus belang bij de privacywet. Is geen tegenstander.

Waar komt die stemmingmakerij dan vandaan?

De Beierse autoriteit geeft een uitstekende les privacywetgeving naar aanleiding van de discussie over de naambordjes. Uitleg die iedereen de regels erbij pakt lijkt te moeten kunnen begrijpen. Maar is dat werkelijk zo?

Privacydeskundigen leggen privacyregels anders uit dan Autoriteit Persoonsgegevens

De Functionaris Gegevensbescherming gaf een andere uitleg van dezelfde regels. En hij heeft er voor geleerd.

En hij was niet de enige privacydeskundige die een andere uitleg aan de regels gaf dan de Autoriteit Persoonsgegevens van Beieren.

Toegegeven, andere privacydeskundigen plaatsten vraagtekens bij het besluit van Wiener Wohnen, maar gaven vervolgens toch een andere duiding van de wet dan de Autoriteit Persoonsgegevens.

Max Schremms adviseert verhuurders onterecht om schriftelijk toestemming te vragen

Neem bijvoorbeeld Max Schrems. Hij heeft in heel Europa naam gemaakt met zijn kruistocht tegen Facebook. Schrems wijst er in een tweet op dat de ontmanteling van meer dan 200.000 naambordjes wellicht een wel erg overdreven maatregel is.

@Met alle liefde voor de #AVG“, tweet Schrems. „Maar waar u (al) de toestemming van de huurder heeft, hoeft u niet meer 220.000 naamplaatjes te verwijderen en opnieuw te plaatsen….. Een vragenlijst met een opt-in zou het waarschijnlijk gemakkelijker maken.“

 

Schrems adviseert als gerenomeerde privacydeskundige dus aan verhuurders om alle huurders schriftelijk om toestemming te vragen om hun naam op een centraal belbord in de hal van een flat te plaatsen.

Maar volgens de Autoriteit Persoonsgegevens hoeven verhuurders niets te doen

De Beierse Autoriteit Persoonsgegevens zegt daar niets over. Volgens de Beierse AP hoeven verhuurders niets te doen.

Duitse advocaat onderbouwt in blog aan de hand van diverse wetten dat naambordjes ook voor AVG al verboden zouden zijn

In Duitsland schreef advocaat Arno Lampmann van advocatenkantoor LHR in Keulen een uitvoerige blog over de naambordjes. Zijn opmerkelijke conclusie was dat de naambordjes ook zonder de AVG eigenlijk al in strijd zijn met andere wetten. Hij verwijst daarbij naar die wetten en haalt er vervolgens ook Max Schremms nog bij om zijn conclusie kracht bij te zetten.

Nog steeds geen spoor van oproerkraaiers die de Europese privacywet in diskrediet brengen.

 

Deskundigen die geacht mogen worden de privacywet te kennen en te kunnen duiden geven een hele andere uitleg aan de regels dan de Autoriteit Persoonsgegevens van Beieren. Opnieuw geen tegenstanders van de wet. Weer mensen die belang hebben bij de privacywetgeving.

Alle partijen, waaronder de Autoriteit Persoonsgegevens, moeten hand in eigen boesem steken

Het zou de Autoriteit Persoonsgegevens in Beieren, maar ook zijn collega’s in de rest van Europa, sieren om de hand in eigen boesem te steken. De AVG is blijkbaar zo onduidelijk dat zelfs deskundigen de regels anders uitleggen. Die complexiteit zorgt voor onrust en weerstand.

En de deskundigen en de media mogen anderzijds ook zichzelf verwijten maken.

Waarom heeft niemand de moeite genomen om de Autoriteit Persoonsgegevens om een reactie te vragen?

Iedere journalist hoort dat standaard te doen. En iedere FG en jurist die twijfelt over de uitleg van een regel ook.

Europese toezichthouders melden record aantallen klachten over inbreuken op privacyregels

Europese toezichthouders melden een forse toename van klachten over schending van privacyregels.

De Europese gegevensbeschermingsautoriteiten zeggen momenteel meer dan 200 grensoverschrijdende klachten in behandeling te hebben. De toezichthouders werken nauw samen bij de behandeling van deze klachten.

Er wordt momenteel aan een aantal nieuwe gedragscodes gewerkt voor specifieke technische gebieden als medisch onderzoek en cloudinfrastructuur.

Nieuwe biometrische standaardverordening

Daarnaast wordt er volgens de Franse toezichthouder CNIL sinds 3 september ook aan een aantal nieuwe richtlijnen gewerkt, waaronder een biometrische standaardverordening.

Recordaantal privacyklachten in Frankrijk

De Franse toezichthouder CNIL meldt dat het sinds 25 mei, toen de Algemene Verordening Gegevensbescherming (AVG) in werking trad, 3.767 klachten heeft ontvangen. In dezelfde periode vorig jaar werde er 2.294 klachten ingediend in Frankrijk en dat was volgens CNIL al een record.

Verdubbeling van privacy klachten in Groot-Brittanie

Uit de gegevens van de Britse toezichthouder ICO (Information Commissioner’s Office) bleek in augustus 2018 ook een sterke stijging van het aantal klachten. De Britten registreerden tussen 25 mei en 3 juli 6.281 klachten. Meer dan het dubbele van de 2.417 klachten die in dezelfde periode in 2017 werden ingediend.

Forse groei klachten in Ierland

The Irish Times meldde eind juli 2018 soortgelijke stijgingen van ingediende klachten in Ierland. De Ierse Commissie voor Gegevensbescherming zou twee maanden na invoering van de AVG al 1.184 meldingen van inbreuken op privacyregels hebben ontvangen. – een aanzienlijke stijging ten opzichte van het gemiddelde van 230 meldingen per maand in 2017. De DPC heeft in de eerste twee maanden van de GPDR ook 743 klachten geregistreerd, waarbij de verordening naar verluidt in 267 gevallen van toepassing is.

Collectieve klachten in Frankrijk

De Franse toezichthouder CNIL ontvangt niet alleen recordaantallen klachten over de bescherming van de persoonlijke levenssfeer van individuele personen, maar merkt ook op dat twee organisaties namens consumenten klachten hebben ingediend op basis van de “collectieve verhaalsmogelijkheid” die voor de AVG in sommige EU-landen is ingevoerd.

De twee organisaties die namens consumenten in Frankrijk klachten indienen zijn Max Schrems’ privacy NGO, noyb en de Franse digitale rechtengroep La Quadrature du Net, die volgens CNIL klachten heeft ingediend tegen Google, Amazon, Facebook, LinkedIn en Apple.