Facebook moet in Italië 10 miljoen Euro boete betalen wegens overtreding van Europese privacywet

Facebook is in Italië veroordeeld tot een boete van tien miljoen euro wegens het overtreden van de Algemene Verordening Gegevensbescherming (AVG). De boete is opgelegd door de Italiaanse mededingingsautoriteit AGCM.

AGCM beschuldigt Facebook van een agressieve handelspraktijk omdat de mogelijkheid om op andere sites en applicaties in te loggen met Facebook-accountgegevens vooraf is ingesteld zonder de uitdrukkelijke toestemming van de gebruiker.

De door Facebook geplande opties voor het deselecteren van de functie voldoen niet aan de eisen van de ACG.

Datalek bij Quora. Gegevens van 100 miljoen gebruikers liggen op straat

Quora, een populaire site waar gebruikers vragen kunnen stellen en antwoorden kunnen geven, heeft een groot datalek gemeld. Cybercriminelen hebben gegevens van 100 miljoen Quora gebruikers buitgemaakt.

Quora meldt dat het datalek op 30 november 2018 is ontdekt. Quora heeft alle gebruikers uitgelogd en dwingt alle accounts om het wachtwoord te resetten.

Welke gegevens zijn er gelekt bij Quora?

  • Accountinformatie, zoals naam, e-mailadres, versleuteld (hashed) wachtwoord, gegevens geïmporteerd uit gekoppelde netwerken wanneer de gebruikers daarvoor toestemming hebben gegeven.
  • Publieke inhoud en acties, zoals vragen, antwoorden, commentaar, opmerkingen, upvotes
  • Niet-openbare inhoud en acties, zoals antwoordverzoeken, downvotes, directe berichten.
  • Vragen en antwoorden die anoniem zijn geschreven worden niet beïnvloed door deze schending, omdat Quora de identiteit van mensen die anonieme inhoud plaatsen niet opslaat.

De overgrote meerderheid van de geraadpleegde inhoud was al openbaar op Quora, maar het lekken van account- en andere privacygevoelige informatie is ernstig.

7 Europese consumentenbonden klagen Google aan wegens schending AVG. Google registreert onrechtmatig waar jij bent geweest

Consumentenorganisaties in Nederland, Polen, Griekenland, Noorwegen, Slovenië, Zweden en Tsjechië klagen Google aan wegens onrechtmatige monitoring van de locatie van gebruikers. De zeven organisaties hebben hun krachten gebundeld. Ze hebben ieder bij hun eigen nationale Autoriteit Persoonsgegevens (AP) een klacht ingediend tegen de internetgigant.

Google schendt volgens de consumentenorganisaties op grote schaal de Algemene Verordening Gegevensbescherming (AVG).

Google volgt zijn gebruikers via “Locatiegeschiedenis” en “Web & App Activity”, instellingen die in alle Google-accounts zijn geïntegreerd. Voor degenen die gebruik maken van Android-smartphones, waaronder Samsung en Huawei-telefoons, is tracking bijzonder moeilijk te vermijden.

De klachten zijn gebaseerd op nieuw onderzoek van de Noorse consumentenbond Forbrukerradet, die lid is van de Europese consumentenorganisatie BEUC.

De consumentenorganisaties beschuldigen Google van ,,bedrieglijke praktijken” om gebruikers ertoe te brengen om in diverse Google applicaties het trackingsysteem te activeren waarmee Google kan bepalen waar iemand zich bevindt.

Volgens de consumentenorganisaties overtreedt Google de Algemene Verordening Gegevensbescherming ook omdat het bedrijf
geen “eenvoudige informatie” heeft verstrekt over wat het opgeven van de gegevens werkelijk met zich meebrengt en “de consument in het ongewisse laat over het gebruik van zijn persoonlijke gegevens.

“Locatiegegevens kunnen veel onthullen over mensen, waaronder religieuze overtuigingen (naar plaatsen van aanbidding), politieke gezindheid (naar demonstraties), gezondheidsproblemen (regelmatige ziekenhuisbezoeken) en seksuele geaardheid (bezoek aan bepaalde bars)”, zeggen de consumentenorganisaties.

Gro Mette Moen, waarnemend hoofd van de eenheid, digitale diensten in de Noorse Consumentenbond, zegt dat Google zeer gedetailleerde en uitgebreide persoonlijke gegevens verwerkt zonder de juiste juridische gronden, en die gegevens verkrijgt door manipulatietechnieken.

Hij voegde eraan toe dat Google registreert waar gebruikers naartoe gaan, en hoe ze zich verplaatsen, en deze gegevens kunnen worden gecombineerd met andere informatie, zoals wat gebruikers zoeken en de websites die ze bezoeken.

“Dergelijke informatie kan op zijn beurt weer worden gebruikt voor zaken als gerichte reclame die bedoeld is om ons te beïnvloeden wanneer we ontvankelijk of kwetsbaar zijn.”

Een gedetailleerd rapport zei er verscheidene manieren Google trucs zijn gebruikers in het delen van hun plaats zijn.

In de eerste plaats gebeurt dit door middel van een misleidende click-flow, die gebruikers er bij het opzetten van een Android-toestel toe aanzet om de “Locatiegeschiedenis” in te schakelen zonder dat ze daarvan op de hoogte zijn. Dit is in strijd met de wettelijke verplichtingen van het GDPR om geïnformeerde en vrijelijk toestemming te vragen.

Vervolgens worden de standaardinstellingen voor “Web & App Activity” verborgen achter extra klikken en standaard ingeschakeld.

Google geeft ook misleidende en onevenwichtige informatie, beweert de groep, aangezien gebruikers onvoldoende informatie krijgen wanneer zij keuzes krijgen voorgelegd en misleid worden over de gegevens die worden verzameld en hoe deze worden gebruikt. Bijvoorbeeld, informatie over hoe locatiegegevens worden gebruikt voor reclame wordt verdoezeld achter extra kliks.

Wordt het WiFi signaal van je smartphone op straat, in winkelcentra of op stations getraceerd? Dat mag niet zomaar…

Ooit van wifitracking gehoord? Wist je dat marketeers aan de hand van het wifi-signaal van je smartphone weten hoe vaak jij op bepaalde plekken bent geweest? Over privacy gesproken…

Sommige gemeenten monitoren het winkelend publiek in het centrum aan de hand van wifi-signalen van smartphones.

Sommige supermarkten volgen je ook als jij je winkelmandje bij hun in de zaak vult.

En op stations wordt aan de hand van wifisignalen gemeten hoeveel mensen bepaalde reclameborden hebben gezien.

Mag dat zo maar?

Nee, dat mag niet zo maar. Zodra er persoonsgegevens worden verwerkt komt de Algemene Verordening Gegevensbescherming (AVG) om de hoek kijken. De Autoriteit Persoonsgegevens (AP) geeft toelichting.

Het volgen van mensen op straat, in winkelcentra of stations via hun mobiele apparatuur is voor bedrijven slechts in zeer weinig gevallen toegestaan, meldt de AP.

Wifitracking en ook andere digitale middelen om personen te volgen zijn slechts onder zeer strikte voorwaarden toegestaan. Het betreft vrijwel altijd een verwerking van persoonsgegevens, waardoor deze volgmethode onder de privacyregels valt.

Bedrijven kunnen het digitaal volgen van mensen in de (semi-)openbare ruimte in theorie op drie wettelijke gronden baseren. Naast toestemming zijn dat gerechtvaardigd belang of het uitvoeren van een overeenkomst. Bedrijven moeten dan wel aan strikte voorwaarden voldoen.

Ze kunnen echter ook op andere manieren zonder persoonsgegevens en digitale volgapparatuur hun doelen bereiken. De AP heeft na vragen een nadere uitleg over deze normen op haar website gepubliceerd.

Wifitracking

Het gaat onder meer om de toepassing van wifitracking, waarbij het signaal van mobiele telefoons wordt gebruikt om groepen mensen in de gaten te houden.

In de praktijk gebruiken bedrijven deze techniek bijvoorbeeld in en rond winkelcentra of andere (semi-)openbare plekken.

“Het is een groot goed om je in het openbaar onbespied te wanen. Het digitaal volgen van mensen op (semi-) openbare plekken is een inbreuk op de privacy die slechts bij uitzondering gebruikt mag worden”, aldus AP-bestuursvoorzitter Aleid Wolfsen. “Er zijn vrijwel geen redenen die het volgen van winkelend publiek of reizigers rechtmatig maakt. Bovendien zijn er minder ingrijpende methoden om hetzelfde doel te bereiken, zonder schending van de privacy.”

De privacyregels schrijven voor dat organisaties die persoonsgegevens verwerken, een goede grondslag moeten hebben voor die verwerking.

Bij wifitracking zou het bijvoorbeeld kunnen gaan om het uitvoeren van een contract of om het handhaven van de veiligheid.

In beide gevallen is het dan altijd de vraag of tracking noodzakelijk is, omdat er ook minder ingrijpende alternatieven zijn. Het vragen van toestemming aan mensen die in het gebied lopen is in theorie een laatste mogelijkheid, maar is in de praktijk vooralsnog niet uitvoerbaar. 

Ook als de gegevens gepseudonimiseerd worden verwerkt en bewaard, is de Algemene verordening gegevensbescherming van toepassing.

Oplichters proberen met nepbrieven van Autoriteit Persoonsgegevens ondernemers waardeloze dure AVG-scan te verkopen

De Autoriteit Persoonsgegevens (AP) waarschuwt voor oplichters die zich im nepbrieven voordoen als medewerkers van de toezichthouder en zo ondernemers proberen te misleiden.

In de brief dreigen de profiteurs met een bedrijfsbezoek door de AP, intimideren ze met mogelijk hoge boetes en bieden ze tegen veel geld een volgens de toezichthouder waardeloze AVG-scan aan.

Hoe herken je of een brief van de Autoriteit Persoonsgegevens echt is?

“Correspondentie van de AP is altijd op briefpapier, het is dus geen gekopieerd velletje”, meldt de toezichthouder op zijn eigen website. “Een echte AP-brief is opgesteld in foutloos Nederlands en bevat altijd de naam en het telefoonnummer van een contactpersoon.”

Wie twijfelt aan de juistheid van een brief die afkomstig zou zijn van de AP wordt aangeraden om contact op te nemen.

Bel dan met het Informatie- en Meldpunt Privacy van de AP, 088 – 1805 250. “Samen kunnen we checken of uw brief juist is”, zegt de Autoriteit Persoonsgegevens.

Ernstig datalek bij de overheid. Microsoft verzamelt via Office ‘heimelijk’ gegevens 300.000 ambtenaren

Microsoft verzamelt volgens het ministerie van Justitie en Veiligheid via Microsoft Office ‘heimelijk gedragsgegevens van gevoelige aard van 300.000 rijkswerkplekken bij ministeries, politie, rechtspraak en toezichthouders’. Grote vraag is nu of dat ook gebeurt bij het bedrijfsleven.

Het datalek is ontdekt tijdens een Data Protection Impact Assessment (DPIA) die het Strategisch Leveranciersmanagement Microsoft (SLM) van de overheid op Microsoft Office en Windows 10 heeft laten uitvoeren door PrivacyCompany.

De DPIA maakt duidelijk dat de overheid en Microsoft een groot probleem hebben. Ze voldoen niet aan de Algemene Verordening Gegevensbescherming (AVG).

De conclusies die de onderzoekers trekken zijn ernstig:

  • We weten niet precies welke gegevens Microsoft verzamelt en bewaart over het gedrag van gebruikers
  • Het gaat om 23 tot 25 duizend soorten gebeurtenissen (events). Engineers kunnen dynamisch nieuwe events toevoegen
  • Er werken 20 tot 30 teams met engineers met deze gegevens, die met eigen kopieën van de datasets kunnen werken

Microsoft verzamelt op grote schaal gegevens

Microsoft blijkt volgens PrivacyCompany bij Windows 10, Microsoft Office en Office 365 aparte scripts te hebben ingebouwd die allerlei handelingen vastleggen die door gebruikers worden verricht.

Maar naar alle waarschijnlijkheid gebeurt hetzelfde bij andere organisaties die Microsoft gebruiken. Want het is niet waarschijnlijk dat Microsoft voor de overheid andere versies van zijn software heeft als bij het bedrijfsleven.

Microsoft verzamelt via de scripts systematisch en op grote schaal gegevens over het individuele gebruik van Word, Excel, PowerPoint en Outlook. Dat gebeurt zonder mensen daarover te informeren en zonder invloed te geven op de instellingen.

Microsoft verstuurt deze telemetriegegevens af en toe in een batch naar haar eigen servers in de Verenigde Staten. Deze telemetrie is versleuteld.

Microsoft biedt (nog) geen mogelijkheid om te kijken naar de inhoud van de diagnostische gegevensstroom.

Het enige dat bekend is, is dat om 23 tot 25 duizend soorten gebeurtenissen gaat (events). En dat er 20 tot 30 teams met engineers werken met deze gegevens.

Net als bij Windows, bepaalt Microsoft ook bij Office zelf de doelen van de gegevensverwerking, en de bewaartermijn van de gegevens (30 dagen tot 18 maanden, of zoveel langer als Microsoft nodig acht).

In het onderzoek wordt geconcludeerd dat er geen instelling bij Office is om te voorkomen dat de software telemetriedata doorstuurt.

Bij Windows 10 Enterprise is die er wel.

PrivacyCompany zegt niet te weten wat Office precies voor gedragsgegevens doorstuurt, maar na een brede analyse durft het bureau te zeggen dat het om de grootschalige verwerking van persoonsgegevens van gevoelige aard gaat.

Microsoft heeft het ministerie van Justitie en Veiligheid belooft om Windows 10 Enterprise en Microsoft Office aan te passen.

De wijzigingen moeten ertoe leiden dat overheidsdiensten de software in overeenstemming met de AVG kunnen gebruiken.

De wijzigingen moeten In april 2019 zijn doorgevoerd.

“In de tussentijd zullen onderdelen van het Rijk aanvullende maatregelen moeten nemen om de datastromen naar Microsoft zoveel mogelijk te stremmen”, staat in een mededeling over de onderhandelingen tussen het Rijk en Microsoft met betrekking tot het voldoen aan de AVG.

Als de verbeteringen onvoldoende zijn, is een gang naar de Autoriteit Persoonsgegevens ‘een mogelijkheid’ voor handhaving, volgens het ministerie.

Die conclusie is ook opmerkelijk. De overheid en Microsoft hadden op 25 mei 2018 al moeten voldoen aan de AVG. Er is nu een datalek geconstateerd. Dan is een gang naar de Autoriteit Persoonsgegevens geen mogelijkheid, maar volgens de Algemene Verordening Gegevensbescherming een verplichting.

Overheidsdiensten krijgen het advies om een eigen assessment uit te voeren en maatregelen te nemen. Het pakket ‘zero exhaust settings’ lost echter niet alle risico’s op, ook blijken niet alle voorgestelde maatregelen haalbaar voor ICT-organisaties van ministeries en andere diensten van overheden.

De afnemers van Office kunnen volgens Privacy Company sowieso niet alle risico’s oplossen. Voor de contracten en de doorgifte naar de VS moet een Europese oplossing worden gezocht. SLM Rijk en Microsoft zullen de komende maanden nauw blijven overleggen.

Privacy Company zegt intussen vervolgonderzoek te doen naar de inhoud van de telemetrie data.

 

 

21.000 klanten van VakantieVeilingen.nl geconfronteerd met een oud datalek uit 2014

21.000 mensen die tussen 2014 en 2015 een vakantie hebben gewonnen bij VakantieVeilingen.nl zijn deze week door een klant per mail geinformeerd over een datalek. Deze klant kreeg de adresgegevens in handen door een fout destijds van de helpdesk van de veilingsite.

De helpdesk stuurde per ongeluk een mail met een link naar de klant. Via deze link kon de klant toegang krijgen tot de klantgegevens van alle klanten. De klant heeft het bestand met alle contactgegevens vervolgens gedownload en daarna VakantieVeilingen.nl ingelicht over het lek.

Het bestand bevat de volledige namen, woonadressen, e-mailadressen en arrangementen van klanten die destijds hebben gewonnen. 

Jeroen

De klant noemt zichzelf Jeroen. In de mail die hij afgelopen week, ruim drie jaar na de ontdekking van het datalek, aan alle getroffen klanten stuurde zegt hij nu tot zijn opmerkelijke actie besloten te hebben omdat Vakantieveilingen nooit heeft gereageerd nadat hij het datalek had gemeld.

De late actie van de boze klant is een interessante kwestie voor de Autoriteit Persoonsgegevens (AP). Valt dit datalek nog onder de oude Wet bescherming persoonsgegevens (Wbp)? Heeft VakantieVeilingen het lek destijds gemeld? Of is er sprake van een nieuw datalek omdat de mail nu pas is verstuurd en sinds 25 mei 2018 de Algemene Verordening Gegevensbescherming (AVG) geldt? Heeft VakantieVeilingen.nl (opnieuw) een datalekmelding gedaan?

Zo ziet de e-mail eruit

Mijn naam is Jeroen en ik heb, net als u, een veiling gewonnen bij VakantieVeilingen.

In 2015 heb ik contact gehad met de helpdesk van VakantieVeilingen. De helpdesk stuurde mij per mail een bevestiging waarin een link zat. Toen ik op de link klikte kreeg ik ongevraagd toegang tot de persoonlijke gegevens van ongeveer 21000 klanten van VakantieVeilingen.

Uiteraard heb ik per direct VakantieVeilingen hiervan op de hoogte gesteld. De link werd voorzien van een wachtwoord, echter heeft VakantieVeilingen tot nu toe nimmer de moeite genomen om haar excuses aangeboden of navraag gedaan over de door VakantieVeilingen verstrekte gegevens.

Wellicht neemt VakantieVeilingen naar aanleiding van deze mail wél de moeite om alsnog contact met mij op te nemen.

Datalek bij Albert Heijn door programmeerfout in inloggedeelte website

Albert Heijn heeft een datalek gemeld bij de Autoriteit Persoonsgegevens (AP). De supermarktketen heeft inloggegevens van ongeveer tienduizend klanten op ah.nl Per ongeluk gedeeld met enkele online service providers.

Het datalek werd veroorzaakt door een programmeerfout in het inloggedeelte van de website ah.nl. Hierdoor werden de inlognamen en het wachtwoord kort zichtbaar in de adresbalk van de webbrowser.

Albert Heijn heeft de wachtwoorden van de betrokken klanten uit voorzorg geblokkeerd.

De klanten zijn per email op de hoogte gebracht van het datalek. Ze worden verzocht het wachtwoord opnieuw in te stellen.

De partijen die de gegevens mogelijk hebben gezien werken samen met AH aan het verbeteren van de websites.

Verder heeft Albert Heijn de betrokken service providers opdracht gegeven de informatie te verwijderen.

Er is geen ongebruikelijke activiteit waargenomen met betrekking tot de inloggegevens of gebruikersaccounts.

Kamer van Koophandel stopt met verkoop telefoonnummers van ZZP-ers

Zelfstandige ondernemers hoeven zich op korte termijn niet meer te ergeren aan telemarketeers die hun telefoonnummers van de Kamer van Koophandel (KvK) hebben gekocht. De KvK stopt met de verkoop van telefoonnummers van zzp’ers, vof’s en maatschappen.

“De KvK wil alles doen wat binnen de wettelijke kaders gedaan kan worden om de overlast van telefonische benadering tegen te gaan”, vertelt de KvK donderdag aan NU.nl.

Klinkt nobel, maar de beleidswijziging van de KvK komt in werkelijkheid niet tot stand vanwege goede bedoelingen jegens ZZP-ers. Die klagen al jarenlang. De KvK stopt in werkelijkheid alleen maar met de verkoop van telefoongegevens aan marketingbedrijven vanwege de Algemene Verordening Gegevensbescherming (AVG).

In april 2018 zei de Autoriteit Persoonsgegevens (AP) dat de manier waarop de KvK data deelt mogelijk in strijd is met de nieuwe privacywet. Gegevens zouden alleen voor marketingdoeleinden verkocht mogen worden als de betrokkenen daar toestemming voor hebben gegeven. Dat was bij de KvK niet het geval.

 

De Kamer van Koophandel voerde tot dusver altijd als excuus aan dat ze wettelijk verplicht is om uittreksels uit het handelsregister te verstrekken zegt evenwel verplicht te zijn aan iedereen die daarom vraagt, ongeacht het doel.

Er is nu echter een oplossing gevonden om te voldoen aan zowel de AVG als de wettelijke verplichting om uittreksels uit het handelsregister te verstrekken.

De telefoonnummers worden alleen uit de online database verwijderd. Dit kan KvK op korte termijn doen, zonder dat daar een wetswijziging voor nodig is.

De KvK moet het telefoonnummer wel blijven verstrekken in andere producten, zoals het uittreksel. Dat is wettelijk vastgelegd.

Telefoonnummer opvragen nog wel mogelijk, maar fors duurder

Het uittreksel kan online ook worden opgevraagd, waardoor telemarketeers alsnog telefoonnummers kunnen verzamelen. Dan moeten die bedrijven echter veel meer voor de gegevens gaan betalen, wat de kans kleiner maakt dat dit gebeurt. Eén uittreksel van een bedrijf kost minstens 2,30 euro, terwijl een telefoonnummer in de online adressenlijst voor 7 cent gekocht kon worden.

Daarnaast maakt de KvK het technisch moeilijk om in groten getale data uit de online adressenlijst te halen met een zogeheten ‘scraper’. Daarmee wordt de kans op misbruik kleiner.

Autoriteit Consument & Markt

Partijen die gegevens afnemen, worden er voortaan op gewezen dat ze deze niet mogen misbruiken. De KVK speelt klachten door naar toezichthouders zoals de Autoriteit Consument & Markt.

Vestigingsadressen staan nog wel vermeld. Bij eenmanszaken is dit vestigingsadres soms ook het thuisadres, omdat ondernemers vanuit huis werken. Hierdoor is soms te achterhalen waar een ondernemer woont.

Autoriteit Persoonsgegevens is 5 maanden na start AVG nog opvallend rustig. Stilte voor de storm?

Ruim vijf maanden nadat de Algemene Verordening Gegevensbescherming (AVG) op 25 mei 2018 van kracht is geworden horen we nog steeds opvallend weinig van de Nederlandse Autoriteit Persoonsgegevens (AP). In Duitsland kondigen verschillende toezichthouders inmiddels meerdere boetes aan. Is de rust bij de AP de stilte voor de AVG storm in Nederland?

Uit diverse onderzoeken blijkt dat de meerderheid van de Nederlandse organisaties nog niet voldoet aan de privacywet. Tot dusver zien we dat nog niet terug in de mededelingen die de Autoriteit Persoonsgegevens doet op zijn website.

Nederlandse AP voornamelijk nog gericht op overheid

Tot op heden focust de Nederlandse AP zich nog vrijwel uitsluitend op de overheid en de zorg.

De AP maakte deze week bijvoorbeeld bekend een dwangsom van 150.000 Euro per maand aan het UWV te hebben opgelegd. Het UWV voldoet niet aan beveiligingseisen die voortvloeien uit de Algemene Verordening Gegevensbescherming (AVG). In augustus werd de politie aangepakt en tegen de belastingdienst loopt ook een onderzoek.


Elders in Europa lijken de nationale en regionale toezichthouders veel actiever te zijn dan de Nederlandse Autoriteit Persoonsgegevens. In Portugal en Groot-Brittannie zijn inmiddels de eerste boetes uitgedeeld.

AVG boeteprocedures

De Duitse krant Handelsblatt publiceerde deze week een uitgebreid artikel over maatregelen en boeteprocedures die de diverse toezichthouders in de Duitse deelstaten in gang hebben gezet. De inventarisatie zou een beeld kunnen geven wat Nederlandse organisaties kunnen gaan verwachten van de Autoriteit Persoonsgegevens.

Stefan Brink is voorzitter van de Autoriteit Persoonsgegevens van de Duitse deelstaat Baden-Württemberg. Hij kondigt in het Handelsblatt aan nog dit jaar “aanzienlijke” boetes te zullen opleggen wegens overtredingen van de Algemene Verordening Gegevensbescherming. Als voorbeeld noemt hij schending van de AVG door illegale videobewaking.

Autoriteit Persoonsgegevens Hamburg

Toezichthouder Johannes Caspar van de Autoriteit Persoonsgegevens in de Duitse deelstaat Hamburg zegt inmiddels twee boeteprocedures in gang te hebben gebracht. Ook zegt hij inmiddels diverse waarschuwingen te hebben gegeven. Bijvoorbeeld voor onrechtmatige reclame via e-mail. En voor overtredingen van de AVG door diverse verhuurders die ontoelaatbaar veel gegevens van potentiële huurders vragen.

Caspar zegt dat er op veel gebieden waarschijnlijk sprake is van een hoog niveau van niet-naleving van de regels van de AVG. “Sinds 25 mei 2018 hebben we 1870 klachten ontvangen, tegen 870 klachten in 2017.”

Autoriteit Persoonsgegevens Noordrijn-Westfalen

Helga Block, commissaris voor gegevensbescherming in de Duitse deelstaat Noordrijn-Westfalen, heeft inmiddels de eerste boetebeschikkingen uitgedeeld. “In het bijzonder ging het hier om gevallen waarin wij niet desgevraagd tijdig informatie hebben ontvangen van verantwoordelijke personen”, zegt Block in het Handelsblatt.

Daarnaast treedt Block op tegen het onrechtmatig gebruik van dashcams in auto’s.

Autoriteit Persoonsgegevens Berlijn

In Berlijn staan ook al sancties op stapel. “De eerste boetes onder de nieuwe wet kunnen tegen het einde van het jaar worden verwacht”, vertelt woordvoerster Dalia Kues van de gegevensbeschermingsautoriteit in Berlijn aan het Handelsblatt. Ze legt meteen uit waarom het even duurt voordat het handhavingsbeid van de toezichthouder zichtbaar wordt.

Strenge procedures vertragen handhaving door Autoriteit Persoonsgegevens

“Dergelijke procedures vereisen een uitgebreid en diepgaand onderzoek en doorlopen strenge formele procedurele stappen, waardoor het langer duurt om ze af te ronden”, zegt Kues.

Dat geldt uiteraard ook voor de Nederlandse Autoriteit Persoonsgegevens.

Bij de Autoriteit Persoonsgegevens in Berlijn
komen bijzonder veel klachten binnen over bedrijven die niet voldoen aan het recht op inzage, correctie of verwijdering. Ook komen er veel klachten binnen over SPAM-mail, cookies en ondeugdelijke privacyverklaringen op websites.

Twaalf keer zoveel datalekken

Het aantal datalekken dat sinds 25 mei in Berlijn is gemeld is inmiddels maar liefst twaalf keer zo hoog als in 2017. Er zijn inmiddels 2157 klachten geregistreerd. Een verviervoudiging ten opzichte van 2017.

Veel apps voldoen niet aan de nieuwe privacyregels

Toezichthouder Block van Noordrijn-Westfalen (NRW) merkt ook op dat gegevensbescherming door de nieuwe regels in toenemende mate een probleem aan het worden is bij bedrijven en overheden. “Dit is waarschijnlijk niet in de laatste plaats te wijten aan de toegenomen sanctiemogelijkheden. Met name veel kleinere organisaties zijn zich nu pas bewust geworden van de verplichtingen die ze eigenlijk al hadden onder de oude wet.”

De gegevensbeschermingsautoriteit in NRW heeft tot nu toe zo’n 9000 klachten en vragen geregistreerd. Dat is nu al aanzienlijk meer dan in heel 2017.

Vooral kleine organisaties, freelancers en verenigingen vragen advies bij Autoriteit Persoonsgegevens

Volgens de Berlijnse woordvoerster Kues vragen met name kleine bedrijven, freelancers en verenigingen die zich geen juridisch advies van advocaten of adviesbureaus kunnen veroorloven om advies bij de Autoriteit Persoonsgegevens in Berlijn. “Ze hebben heel vaak betrekking op het ontwerp van websites, vragen over de verplichting van een Functionaris Gegevensbescherming (FG) en verwerkingsovereenkomsten”, aldus Kues.

Personeelstekort bij Autoriteit Persoonsgegevens

De Duitse toezichthouders kunnen door de vele vragen en klachten het werk nauwelijks nog aan. Door gebrek aan personeel blijven veel zaken langer dan zou moeten liggen, melden de toezichthouders in Berlijn en Hamburg. In Noordrijn-Westfalen heeft de toezichthouder inmiddels twintig medewerkers erbij gekregen. Maar dat aantal is nog niet genoeg. Er staan nog diverse vacatures open.

AVG-dwangsom van 150.000 Euro per maand voor UWV als werkgeversportal op 31 oktober niet beter beveiligd is

Het UWV moet van de Autoriteit Persoonsgegevens (AP) op 31 oktober 2019 het beveiligingsniveau van het werkgeversportaal op orde hebben. Als dat niet lukt moet het UWV een dwangsom van 150.000 euro per maand betalen. De boete kan oplopen tot 900.000 Euro.

Het UWV werkgeversportaal wordt door werkgevers en arbodiensten onder meer gebruikt voor het invoeren en inzien van gegevens over ziekteverzuim van werknemers. Het portaal voldoet volgens de AP niet aan de Algemene Verordening Gegevensbescherming (AVG).

De AP eist dat voortaan alleen ingelogd kan worden met minimaal een dubbele authenticatie. Momenteel volstaat een enkel wachtwoord. Het UWV werkgeversplatform wordt maandelijks gebruikt door ongeveer 130.000 ondernemers.

”Het gaat om gezondheidsgegevens van ontzettend veel mensen. Al deze mensen moeten ervan op aan kunnen dat het UWV zorgvuldig met hun gegevens omgaat”, zegt voorzitter Aleid Wolfsen van de Autoriteit Persoonsgegevens.

Het UWV werd een jaar geleden al door de Autoriteit Persoonsgegevens gewaarschuwd dat de beveiliging van het werkgeversportaal moest worden beveiligd. De dwangsom legt nu extra druk bij het UWV. Een woordvoerder zegt dat het UWV de deadline zeker gaat halen.

Overtreedt uitvaartorganisatie Dela de AVG door ongevraagd vingerafdrukken van overledenen te verwerken? Nee! Belachelijk?

Uitvaartorganisatie Dela kwam zaterdag in opspraak door berichtgeving van het consumentenprogramma Radar. Dela bleek sinds september voor commerciele doeleinden vingerafdrukken van overledenen af te nemen.

Meteen werd op social media om onderzoek door de Autoriteit Persoonsgegevens (AP) geroepen. Ten onrechte.

Nota bene gevoed door een onzorgvuldige jurist en onzorgvuldige gemakzuchtige knip-en-plakjournalisten die weekenddienst hadden bij landelijke media.

Vingerafdrukken zijn toch persoonsgegevens?

Dan moet er toch rekening gehouden worden met de Algemene Verordening Gegevensbescherming (AVG)? Dat die vraag meteen door het hoofd spookt bij veel mensen lijkt logisch. Vingerafdrukken zijn immers biometrische persoonsgegevens.

Mag een commerciele uitvaartorganisatie dan zomaar vingerafdrukken afnemen om die te verwerken in sieraden die uit winstbejag aan rouwende nabestaanden worden verkocht?

Mensen die nooit om toestemming zijn gevraagd of die vingerafdrukken überhaupt mochten worden afgenomen?

Radar stelde die vraag ook aan een deskundige. Advocaat Eric Osinga van Osinga Advocatuur werd benaderd als deskundige en gaf antwoord. En ging de fout in. “Dit mag niet zonder de nabestaanden vooraf om toestemming te vragen”, aldus Osinga. “Een vingerafdruk valt namelijk onder persoonsgegevens die je niet zonder toestemming mag verwerken. Die toestemming moet ook nog eens heel duidelijk zijn gegeven.”

Advocaat had beter moeten weten

Osinga had als advocaat beter moeten en kunnen weten. Hij had zich niet als advocaat moeten laten verleiden om in de media uitspraken te doen over zaken waar hij niet in is gespecialiseerd. Of hij had zich beter moeten voorbereiden. Een zoekopdracht was voldoende geweest.

Bij de eerste les over de AVG wordt behandeld wat persoonsgegevens zijn. Vingerafdrukken van dode mensen vallen daar niet onder. Het staat klip en klaar in de wet en op de site van de Autoriteit Persoonsgegevens onder de kop Wat zijn persoonsgegevens.

De Algemene verordening gegevensbescherming (AVG) geeft aan dat een persoonsgegeven alle informatie is over een geïdentificeerde of identificeerbare natuurlijke persoon. Dit betekent dat informatie ofwel direct over iemand gaat, ofwel naar deze persoon te herleiden is. Gegevens van overleden personen of van organisaties zijn geen persoonsgegevens volgens de AVG.

 

Identiteitsfraude na de dood

Dat de vingerafdrukken van een overledene niet onder de AVG vallen is ogenschijnlijk best wel vreemd, omdat met deze biometrische gegevens ook na de dood nog identiteitsfraude gepleegd kan worden. Met vingerafdrukgegevens van doden zouden kwaadwillenden bijvoorbeeld nog smartphones kunnen unlocken en zo aankopen en betalingen kunnen doen.

 

Dood ben je geen persoon meer

De AVG is echter glashelder. Eenmaal dood ben je geen persoon meer. Dit is klip en klaar geen zaak voor de Autoriteit Persoonsgegevens. Dat had de deskundige die Radar benaderde ook moeten weten.

De Radar redactie valt niets te verwijten. Die deed navraag bij iemand waarvan verwacht mocht worden dat hij expertise heeft. Toch?

Radar had ook beter moeten weten. Waarom heeft de redactie Osinga eigenlijk benaderd? Niet iedere advocaat is meteen ook AVG-deskundige. Osinga is niet gespecialiseerd in privacywetgeving. Dat staat ook duidelijk op zijn website:

“Nadat ik ruim tien jaar als advocaat heb gewerkt, werd het tijd voor een eigen kantoor. Op 1 februari 2016 is Osinga Advocatuur te Utrecht opgericht. Mijn specialisatie is zorgverzekeringsrecht en algemeen verzekeringsrecht.”

Naambordjesaffaire Duitsland en Oostenrijk

De vingerafdrukkenaffaire heeft wel iets weg van de naambordjesdiscussie in Duitsland en Oostenrijk. Een ‘deskundige’ waarvan verwacht wordt dat hij op de hoogte is van de AVG geeft onjuist advies en zorgt daarmee vervolgens voor een mediagolf met onjuiste berichten. Iedereen roeptoetert elkaar in de media en op social media niet gehinderd door enige kennis na en zorgt daardoor voor onterechte verontwaardiging over de AVG of de toezichthouder die niets doet.

Advocaat vs advocaat

Advocaat Dirk-Jan de Bruin ergert zich net als Privacyzone aan advocaat Osinga die de redactie van Radar en de luisteraars en bezoekers van de website van het consumentenprogramma verkeerd informeert over de AVG. Hij zorgt daarmee voor veel ruis over de AVG.

De Bruin is in tegenstelling tot Osinga wel gespecialiseerd in privacyrecht.

De Bruin heeft mogelijk ook goede connecties in de journalistiek. Hij wordt op Twitter gevolgd door misdaadjournalist Mick van Wely van de Telegraaf, die zijn carriere ooit begon bij Dagblad van het Noorden.

De Bruin ziet overigens afgezien van de vingerafdrukken wel een ander aanknopingspunt op basis waarvan nabestaanden toch een klacht kunnen indienen op basis van de AVG.

“De vingerafdruk zelf zegt niets over de familieleden (in tegenstelling tot bijv. resultaten van erfelijkheidsonderzoek op (weefsel van) overleden personen)”, schrijft De Bruin op Twitter. “Toenadering van de nabestaanden voor een commercieel aanbod moet verder conform de AVG en de Telecommunicatiewet.”

Kortom: Mag Dela na de begrafenis nabestaanden commercieel benaderen om andere producten te verkopen? Of had Dela daar schriftelijk toestemming voor moeten vragen bij het afsluiten van de overlijdensrisicopolis of het accepteren van de opdracht om de begrafenis van een dierbare te verzorgen?

De gevolgen van knip-en-plak journalistiek

Diverse landelijke media plegen knip-en-plak journalistiek en nemen het bericht van Radar zonder het zelf te checken of van meerwaarde te voorzien klakkeloos letterlijk over. Vervolgens gaan mensen op social media er mee aan de haal.

Volkomen onnodig, want net als Osinga had iedere serieuze journalist met een eenvoudige zoekactie op Google kunnen achterhalen dat vingerafdrukken van overledenen volgens de AVG geen persoonsgegevens zijn. De uitleg van de Autoriteit Persoonsgegevens staat bovenaan de zoekresultaten bij de zoekopdracht ‘overleden AVG’.

Handelswijze Dela uiterst bedenkelijk

Ondertussen blijft de handelwijze van Dela natuurlijk bedenkelijk. Een uitvaartorganisatie die om commercieel gewin zonder enig gevoel de eer van overledenen schendt gaat duidelijk over lijken.

Logisch dat verbolgen mensen pleiten voor juridisch onderzoek. Alleen is de Algemene Verordening Gegevensbescherming daar niet geschikt voor. Maar misschien is het wel de moeite waard om Dela aan te klagen wegens grafschennis.

Wat is grafschennis?

Grafschennis is opgenomen in artikel 149 Wetboek van Strafrecht. Het artikel luidt als volgt: “Hij die opzettelijk een graf schendt of enig op een begraafplaats opgericht gedenkteken opzettelijk en wederrechtelijk vernielt of beschadigt, wordt gestraft met gevangenisstraf van ten hoogste een jaar of geldboete van de derde categorie.”

Net als bij de AVG is de eerste reactie op basis van de letter van de wet nu natuurlijk dat de overledene nog niet in een graf lag toen de vingerafdrukken werden afgenomen. En dus kan er dan geen sprake zijn van grafschennis.

Jurisprudentie over grafschennis

Maar er staat op de website Problemenmetjustitie.nl ook interessante jurisprudentie over het wetsartikel dat over grafschennis gaat.

“De rechter heeft ook een echtgenoot die het graf van zijn overleden partner open heeft gemaakt om haar nog even vast te kunnen houden, veroordeeld voor grafschennis.”

Als een rouwende partner bestraft wordt omdat hij of zij om emotionele redenen nog een keer de hand van zijn overleden maatje wil vasthouden zou je toch denken dat het logisch is dat een uitvaartorganisatie als Dela ook wordt bestraft voor het om commerciele redenen aantasten van de waarde van overledenen. Dat is toch evengoed grafschennis.

Wanneer is er sprake van een graf?

Het gaat hier eigenlijk om de definitie graf. Wanneer is er sprake van een graf? Zou je kunnen stellen dat iemand in zijn graf ligt zodra hij in een lijkkist ligt? Het zou in deze zaak interessant zijn om daar een uitspraak van een rechter over te krijgen.

De les van dit artikel is dat de AVG niet een wet is die te pas en te onpas overal automatisch bij betrokken kan worden. Dat hebben goede privacymanagers tijdens hun opleiding geleerd. Ze leerden ook dat ze behalve naar de AVG ook rekening moeten houden met andere wetten en toezichthouders. En deskundig extern advies moeten vragen voor zaken waar ze niet voor geleerd hebben.

Melden van grafschennis

In dit geval adviseert PrivacyZone nabestaanden van overledenen waarvan Dela vingerafdrukken heeft afgenomen om deze zaak bijvoorbeeld aan te kaarten via een advocaat of via Centraal Meldpunt Nederland. “Vermoedens dat iemand zich schuldig heeft gemaakt aan grafschennis door een grafroof te plegen of vernieling aan te richten kunt u melden via Centraal Meldpunt Nederland: Meld.nl”, staat er op deze website.