AVG boetes, Privacy Nieuws
De Autoriteit Persoonsgegevens van Roemenië heeft op 27 juni 2019 op basis van de Europese privacywet een boete van 130.000 euro opgelegd aan de UniCredit Bank.
De UniCredit Bank is beboet omdat in 2018 door een datalek de gegevens van meer dan 337.000 personen onrechtmatig aan derden werden doorgegeven.
UniCredit is een Italiaanse bank met activiteiten in 17 landen. Het bedrijf telde eind 2016 ongeveer 120.000 voltijdsmedewerkers verdeeld over 6200 kantoren.
De belangrijkste markt is Italië en verder is het bedrijf goed vertegenwoordigd in West- en Oost-Europa. De bank had eind 2016 een balanstotaal van 860 miljard euro.
AVG Jurisprudentie, Privacy Nieuws
Mag de eigenaar van bedrijfspanden zijn eigendommen met camera’s beveiligen als daarbij ook omwonenden in beeld kunnen worden gebracht? De buren vinden op basis van de Algemene Verordening Gegevensbescherming (AVG) van niet. De Autoriteit Persoonsgegevens (AP) heeft de klacht echter afgewezen.
De ondernemer heeft twee camera’s aan zijn bedrijfspand bevestigd. Volgens de buren zijn die camera’s op de openbare weg gericht. Buurtbewoners die meerdere malen per dag gebruik maken van dat gedeelte van de openbare weg worden dus iedere keer gefilmd.
De advocaat van de buren heeft de AP verzocht om de ondernemer te verplichten de positie van de camera’s te wijzigen, zodat niet langer opnames van de openbare weg worden gemaakt. De buren zijn van mening dat de positie van de camera’s niet noodzakelijk is voor de beveiliging van het bedrijf.
De ondernemer is enigszins aan het verzoek van de buren tegemoetgekomen, maar zij vinden dat onvoldoende. De buren hebben daarom in augustus 2017 een handhavingsverzoek ingediend bij de Autoriteit Persoonsgegevens.
De AP heeft in juni 2018, bijna een jaar later, uitspraak gedaan. Deze uitspraak is op 1 november 2018 pas op de site van de AP gepubliceerd. De bijgevoegde brief geeft inzicht in de tijdrovende zorgvuldige procedure die volgt op een klacht die bij de AP wordt ingediend.
De eigenaar voldoet volgens de Autoriteit Persoonsgegevens aan de AVG grondslag gerechtvaardigd belang. De ondernemer heeft het recht om zijn eigendommen te beschermen.
Iedere organisatie die persoonsgegevens verwerkt moet daarvoor volgens de AVG een wettelijke grondslag hebben. Er staan in de AVG 6 grondslagen waarop een beroep kan worden gedaan. De grondslag van het gerechtvaardigd belang is één van deze zes grondslagen.
Een organisatie kan zich alleen beroepen op de grondslag gerechtvaardigd belang als voldaan wordt aan drie voorwaarden:
- er is sprake van een gerechtvaardigd belang
- de verwerking is noodzakelijk om dit gerechtvaardigde belang te behartigen
- de belangen van de partijen zijn goed afgewogen ten opzichte van de belangen van de personen van wie de persoonsgegevens worden verwerkt
De AP heeft de belangen van de omwonenden afgewogen tegen de belangen van de eigenaar van de bedrijfspanden en vindt op basis daarvan het beroep op de grondslag gerechtvaardigd belang terecht.
De Autoriteit Persoonsgegevens schrijft op zijn eigen website dat deze uitspraak meer inzicht geeft in de normen voor cameratoezicht en in de beoordeling van de grondslag van het gerechtvaardigd belang bij het toepassen van cameratoezicht.
Het is volgens de buren echter de vraag of dat echt zo is. Zij gaan in beroep bij de rechtbank.
unnen alle ondernemers nu in alle gevallen bij camerabewaking een beroep doen op het gerechtvaardigde belang? Iedere bewakingscamera is immers bedoeld om bedrijfseigendommen te beschermen.
Buren gaan tegen besluit AP in beroep bij de rechter
Het is daarom interessant af te wachten wat de rechter van het besluit van de Autoriteit Persoonsgegevens vindt. De jurisprudentie die de uitspraak van de rechter oplevert is interessant voor belanghebbenden in soortgelijke zaken.
Privacy Nieuws
“Paniekzaaierij door oproerkraaiers die de Europese privacywet in diskrediet willen brengen.” Snoeiharde kritiek van de Autoriteit Persoonsgegevens van de Duitse deelstaat Beieren naar aanleiding van de ophef over een vermeend AVG-verbod op naambordjes in flats en appartementencomplexen. Is die kritiek terecht?
Of is de Europese privacywetgeving gewoon te complex?
Wat kunnen we leren van de discussie in Oostenrijk en Duitsland?
Waarom heeft niemand de Autoriteit Persoonsgegevens om uitleg gevraagd?
Allereerst is het opmerkelijk dat klaarblijkelijk vrijwel niemand tot op heden de toezichthouders in Oostenrijk en Duitsland gevraagd heeft om duidelijkheid te verschaffen naar aanleiding van de onduidelijkheid over de uitleg van de privavyregels ten aanzien van naambordjes.
Wie op Google zoekt op Klingelschild DSGVO ziet dat alle grote Duitse mediasites op het verhaal gedoken zijn. Slechts een enkele site vroeg commentaar aan een toezichthouder.
Kritiek Beierse autoriteit op media en privacybelangenorganisatie slecht onderbouwd
Voorzitter Thomas Kranig van de Beierse autoriteit doet voorkomen alsof de discussie in gang is gezet door tegenstanders van de privacywet en de media. Door mensen die op een rel uit waren om de AVG belachelijk te maken.
Maar die veronderstelling klopt niet.
Hoe begon de naambordjesdiscussie?
De discussie kwam in Wenen op gang naar aanleiding van een klacht van één huurder bij de gemeentelijke woningcorporatie Wiener Wohnen.
De corporatie heeft vervolgens de Magistratsabteilung 63, de afdeling die in Wenen verantwoordelijk is voor gegevensbescherming, geraadpleegd. De Functionaris Gegevensbescherming van deze afdeling kwam vervolgens zelf tot de conclusie dat de combinatie van achternaam en deurnummer daadwerkelijk inbreuk maakt op de Europese privacywetgeving.
Functionaris Gegevensbescherming zet als eerste verkeerde stap
De kwestie is dus niet aangezwengeld door oproerkraaiers. Een Functionaris Gegevensbescherming, iemand die alles van de privacywet zou moeten weten, trok op basis van de wettekst de conclusie dat er sprake was van inbreuk op de AVG.
Logisch besluit wonkngcorporatie om alle naambordjes te verwijderen
Vervolgens kan de Weense woningcorporatie niet anders dan te besluiten om verregaande maatregelen te treffen. Bij overtreding van de regels is het management immers aansprakelijk als de Autoriteit Persoonsgegevens van Oostenrijk een onderzoek instelt naar aanleiding van een klacht van een huurder, waar niets mee gedaan is.
Zeker als blijkt dat er een advies van de FG ligt om 220.000 naambordjes te verwijderen.
Nog steeds geen sprake van stemmingmakerij
Tot zover is er dus nog steeds geen sprake van bewuste stemmingmakerij om de AVG in diskrediet te brengen.
Pas als 220.000 huurders in Wenen een brief krijgen van de woningcorporatie duikt de media er bovenop. Logisch, want het betreft een opmerkelijk besluit met verregaande gevolgen. En dat op basis van een nieuwe wet die veel mensen onzeker maakt. Mede vanwege de hoge boetes die opgelegd kunnen worden.
Geen journalist die Autoriteit Gegevensbescherming om een reactie heeft gevraagd
Wat vervolgens opvalt is dat er geen journalist in Oostenrijk op het idee gekomen is om de Autoriteit Persoonsgegevens om een reactie te vragen.
Dat verwijt valt overigens ook de Functionaris Gegevensbescherming te maken.
Rol privacybelangenorganisatie
De media vroegen wel om een reactie bij ARGE Daten. Een organisatie die zich in Oostenrijk bezighoudt met de privacyrechten van burgers.
Volgens ARGE Daten was het besluit van Wiener Wohnen om alle naambordjes te verwijderen de “enige wettelijk conforme procedure”.
ARGE Daten roept vervolgens huurders op om een klacht in te dienen bij de Autoriteit Persoonsgegevens in Wenen.
Als de Beierse toezichthouder zich kwaad maakt over stemmingmakerij over de Europese privacywet dan zou ARAG Daten daar de aanleiding voor kunnen zijn.
ARAG Daten is geen tegenstander van AVG
Ware het niet dat de Beierse autoriteit praat over stemmingmakerij door tegenstanders van de AVG. ARAG Daten is een organisatie die opkomt voor privacybelangen. ARAG Daten heeft dus belang bij de privacywet. Is geen tegenstander.
Waar komt die stemmingmakerij dan vandaan?
De Beierse autoriteit geeft een uitstekende les privacywetgeving naar aanleiding van de discussie over de naambordjes. Uitleg die iedereen de regels erbij pakt lijkt te moeten kunnen begrijpen. Maar is dat werkelijk zo?
Privacydeskundigen leggen privacyregels anders uit dan Autoriteit Persoonsgegevens
De Functionaris Gegevensbescherming gaf een andere uitleg van dezelfde regels. En hij heeft er voor geleerd.
En hij was niet de enige privacydeskundige die een andere uitleg aan de regels gaf dan de Autoriteit Persoonsgegevens van Beieren.
Toegegeven, andere privacydeskundigen plaatsten vraagtekens bij het besluit van Wiener Wohnen, maar gaven vervolgens toch een andere duiding van de wet dan de Autoriteit Persoonsgegevens.
Max Schremms adviseert verhuurders onterecht om schriftelijk toestemming te vragen
Neem bijvoorbeeld Max Schrems. Hij heeft in heel Europa naam gemaakt met zijn kruistocht tegen Facebook. Schrems wijst er in een tweet op dat de ontmanteling van meer dan 200.000 naambordjes wellicht een wel erg overdreven maatregel is.
@Met alle liefde voor de #AVG“, tweet Schrems. „Maar waar u (al) de toestemming van de huurder heeft, hoeft u niet meer 220.000 naamplaatjes te verwijderen en opnieuw te plaatsen….. Een vragenlijst met een opt-in zou het waarschijnlijk gemakkelijker maken.“
Schrems adviseert als gerenomeerde privacydeskundige dus aan verhuurders om alle huurders schriftelijk om toestemming te vragen om hun naam op een centraal belbord in de hal van een flat te plaatsen.
Maar volgens de Autoriteit Persoonsgegevens hoeven verhuurders niets te doen
De Beierse Autoriteit Persoonsgegevens zegt daar niets over. Volgens de Beierse AP hoeven verhuurders niets te doen.
Duitse advocaat onderbouwt in blog aan de hand van diverse wetten dat naambordjes ook voor AVG al verboden zouden zijn
In Duitsland schreef advocaat Arno Lampmann van advocatenkantoor LHR in Keulen een uitvoerige blog over de naambordjes. Zijn opmerkelijke conclusie was dat de naambordjes ook zonder de AVG eigenlijk al in strijd zijn met andere wetten. Hij verwijst daarbij naar die wetten en haalt er vervolgens ook Max Schremms nog bij om zijn conclusie kracht bij te zetten.
Nog steeds geen spoor van oproerkraaiers die de Europese privacywet in diskrediet brengen.
Deskundigen die geacht mogen worden de privacywet te kennen en te kunnen duiden geven een hele andere uitleg aan de regels dan de Autoriteit Persoonsgegevens van Beieren. Opnieuw geen tegenstanders van de wet. Weer mensen die belang hebben bij de privacywetgeving.
Alle partijen, waaronder de Autoriteit Persoonsgegevens, moeten hand in eigen boesem steken
Het zou de Autoriteit Persoonsgegevens in Beieren, maar ook zijn collega’s in de rest van Europa, sieren om de hand in eigen boesem te steken. De AVG is blijkbaar zo onduidelijk dat zelfs deskundigen de regels anders uitleggen. Die complexiteit zorgt voor onrust en weerstand.
En de deskundigen en de media mogen anderzijds ook zichzelf verwijten maken.
Waarom heeft niemand de moeite genomen om de Autoriteit Persoonsgegevens om een reactie te vragen?
Iedere journalist hoort dat standaard te doen. En iedere FG en jurist die twijfelt over de uitleg van een regel ook.
Privacy Nieuws
De ophef in Duitsland en Oostenrijk over het verbod op naambordjes in flats vanwege de AVG is “onzinnig”, meldt de Autoriteit Persoonsgegevens van de Duitse deelstaat Beieren op zijn website.
Voorzitter Thomas Kranig van de Beierse autoriteit zag zich genoodzaakt om zelf pro actief ongevraagd in een persbericht uitgebreid uitleg te geven, omdat de discussie naar aanleiding van artikelen in Duitse en Oostenrijjse media de “zeer goede Europese privacywet in diskrediet brengt”.
Paniekzaaierij
Het gaat volgens Kranig bij de berichtgeving naar aanleiding van een klacht in Wenen om “paniekzaaierij of het streven naar media-aandacht, maar zeker niet om echte gegevensbescherming.”
“Nu niet alleen een Weense woningbouwvereniging haar onzinnige plannen heeft gepubliceerd om de naambordjes in flatgebouwen te verwijderen vanwege de Algemene Verordening Gegevensbescherming (AVG), maar er ook in Duitsland dergelijke discussies worden gevoerd, is het noodzakelijk om er duidelijk op te wijzen dat dit niet nodig is om redenen van gegevensbescherming”, meldt de Beierse toezichthouder op zijn website.
Les privacywetgeving
Dan volgt er een les privacywetgeving en duiding van de regels: “De namen op de ringplaten zijn persoonlijke gegevens. De AVG is van toepassing op “de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens en op de verwerking van persoonsgegevens die niet automatisch worden opgeslagen of bestemd zijn om te worden opgeslagen in een bestandssysteem.”
Bevestigen naambordjes is geen geautomatiseerd proces
“Het bevestigen van naambordjes is geen geautomatiseerd proces”, legt de Duitse toezichthouder uit. “Zelfs als men tot de nauwelijks te rechtvaardigen opvatting zou komen dat de gedrukte naamplaten van de bewoners tot stand zijn gekomen uit een geautomatiseerde verwerking van gegevens, zou de verwerking door de bouwvereniging in het algemeen juridisch toelaatbaar zijn op basis van art. 6 exp. 1 f AVG.”
Pseudonimiseren naambordjes niet nodig volgens AVG
Volgens de wet op de gegevensbescherming is het volgens de Duitse toezichthouder niet nodig om alle naambordjes te pseudonimiseren, d.w.z. de naam te vervangen door een andere benaming zoals cijfers of lettercombinaties.
Op grond van het burgerlijk recht, d.w.z. door middel van huisregels of andere overeenkomsten, kan worden bepaald of en hoe (bv. uniform uiterlijk) de ringplaten kunnen worden gereguleerd.
Rekening houden met postbode, reddingsdiensten en bezoekers
Er kan dan ook rekening worden gehouden met postbedrijven, reddingsdiensten en andere bezoekers.
Betreurenswaardig
“Ik vind het zeer problematisch en ook zeer betreurenswaardig dat in deze onzinnige veronderstellingen de zeer goede Algemene Verordening Gegevensbescherming gebruikt wordt als rechtvaardiging voor iets wat de wet helemaal niet eist en de AVG zo in diskrediet brengen als “wereldvreemd Europees recht”, besluit de Autoriteit Persoonsgegevens van Beieren.
Privacy Nieuws
De Ierse privacytoezichthouder DPC stelt een onderzoek in naar Twitter. Dit in verband met de weigering van het bedrijf om de Britse onderzoeker Michael Veal informatie te verstrekken over hoe het hem volgt wanneer hij op verkorte links in tweets klikt.
Twitter is op basis van de Algemene Verordening Gegevensbescherming (AVG / GDPR) verplicht om die gegevens binnen een maand te verstrekken.
Als Twitter gebruikers links in tweets plaatsen, past de dienst zijn eigen link-shortening service, t.co, op hen toe.
Twitter zegt dat dit het platform in staat stelt om te meten hoe vaak er op een link is geklikt, en helpt het om de verspreiding van malware tegen te gaan door middel van dodgy links.
Welke informatie verzamelt Twitter via de verkorte links?
Privacy onderzoeker Michael Veale, die werkt aan het University College London, vermoedt dat Twitter meer informatie krijgt als mensen op t.co links klikken. En dat Twitter dankzij de url-verkorters mensen kan volgen terwijl ze op het web surfen, door cookies in hun browsers achter te laten.
Veale vroeg meteen nadat de Europese privacyverordening op 25 mei 2018 van kracht werd Twitter om hem alle persoonsgegevens te verstrekken die het social media bedrijf over hem in zijn bezit heeft.
Twitter weigerde de gegevens echter te verdtrekken.
In augustus diende Veale een klacht in bij de Ierse Commissie voor gegevensbescherming (DPC), die hem donderdag vertelde dat zij een onderzoek opende.
Zoals gebruikelijk is bij grote technische bedrijven, zijn de Europese activiteiten van Twitter gevestigd in Dublin, vandaar dat Veale klaagde in Ierland.
Ierse toezichthouder DPC bevestigt onderzoek naar Twitter
“DPC heeft een formeel statutair onderzoek met betrekking tot uw klacht in werking gesteld”, schreef de Ierse waakhond in een brief aan Veale. “In het onderzoek zal worden onderzocht of Twitter al dan niet heeft voldaan aan zijn verplichtingen in verband met het onderwerp van uw klacht en zal worden vastgesteld of de bepalingen van de GDPR of de [Ierse Wet Bescherming Persoonsgegevens] in dit opzicht door Twitter zijn overtreden”.
De toezichthouder zei ook dat de klacht waarschijnlijk zal worden behandeld door de nieuwe Europese gegevensbeschermingsraad, een orgaan dat de nationale gegevensbeschermingsautoriteiten helpt bij het coördineren van hun inspanningen op het gebied van de handhaving van het GDPR, aangezien de klacht van Veale “grensoverschrijdende verwerking met zich meebrengt”.
Twitter zegt dat verstrekken informatie onevenredige inspanning vergt
Twitter onderbouwde de weigering om de gegevens die verzameld worden via tracking door t.co door te verwijzen naar “disproportionele inspanning” gronden in de GDPR. Bedrijven hoeven geen buitenproprtionele inspanningen te verrichten om gegevens te verstrekken.
Volgens Veale intrepreteert Twitter de tekst van de privacywet verkeerd. De vrijstelling kan volgens hem niet worden gebruikt om zogenaamde toegangsverzoeken, zoals hij indiende, te beperken.
Dit lijkt het eerste GDPR-onderzoek te zijn dat in verband met Twitter wordt geopend.
Veale heeft onlangs een soortgelijk onderzoek naar Facebook op gang gebracht, opnieuw in verband met een weigering om gegevens over de webbrowseractiviteiten van gebruikers over te dragen, maar Facebook (fb) was al het onderwerp van meerdere GDPR-onderzoeken.
De Britse onderzoeker zei dat Twitter zeker de tijden registreert waarop gebruikers op links klikken en waarschijnlijk ook informatie over de soorten apparaten die ze gebruiken.
Volgens Veale is het technisch mogelijk voor Twitter om de ruwe locatie van de gebruiker te bepalen. In het privacystatement van Twitter staat dat adverteerders IP-adressen kunnen verzamelen wanneer mensen op hun links klikken. Maar het is onduidelijk wat Twitter doet met de informatie die het via zijn t.co service oogst. Gebruikers hebben volgens de AVG het recht om dat te weten.
Als wordt vastgesteld dat bedrijven de voorwaarden van de GDPR overtreden, worden zij geconfronteerd met boetes tot 20 miljoen euro (23,2 miljoen dollar) of tot 4% van de wereldwijde jaarlijkse inkomsten, afhankelijk van wat het hoogste is. De opbrengsten van 2017 van de tjilpen bedroegen $2.4 miljard, zodat kon een boete GDPR in theorie aan $96 miljoen voor het bedrijf lopen-alhoewel dit Ierse DPC zou vereisen om te beslissen de inbreuk bijzonder flagrant was.
Twitter had op het moment van schrijven niet gereageerd op verzoeken om commentaar.
Privacy Nieuws
Europese toezichthouders melden een forse toename van klachten over schending van privacyregels.
De Europese gegevensbeschermingsautoriteiten zeggen momenteel meer dan 200 grensoverschrijdende klachten in behandeling te hebben. De toezichthouders werken nauw samen bij de behandeling van deze klachten.
Er wordt momenteel aan een aantal nieuwe gedragscodes gewerkt voor specifieke technische gebieden als medisch onderzoek en cloudinfrastructuur.
Nieuwe biometrische standaardverordening
Daarnaast wordt er volgens de Franse toezichthouder CNIL sinds 3 september ook aan een aantal nieuwe richtlijnen gewerkt, waaronder een biometrische standaardverordening.
Recordaantal privacyklachten in Frankrijk
De Franse toezichthouder CNIL meldt dat het sinds 25 mei, toen de Algemene Verordening Gegevensbescherming (AVG) in werking trad, 3.767 klachten heeft ontvangen. In dezelfde periode vorig jaar werde er 2.294 klachten ingediend in Frankrijk en dat was volgens CNIL al een record.
Verdubbeling van privacy klachten in Groot-Brittanie
Uit de gegevens van de Britse toezichthouder ICO (Information Commissioner’s Office) bleek in augustus 2018 ook een sterke stijging van het aantal klachten. De Britten registreerden tussen 25 mei en 3 juli 6.281 klachten. Meer dan het dubbele van de 2.417 klachten die in dezelfde periode in 2017 werden ingediend.
Forse groei klachten in Ierland
The Irish Times meldde eind juli 2018 soortgelijke stijgingen van ingediende klachten in Ierland. De Ierse Commissie voor Gegevensbescherming zou twee maanden na invoering van de AVG al 1.184 meldingen van inbreuken op privacyregels hebben ontvangen. – een aanzienlijke stijging ten opzichte van het gemiddelde van 230 meldingen per maand in 2017. De DPC heeft in de eerste twee maanden van de GPDR ook 743 klachten geregistreerd, waarbij de verordening naar verluidt in 267 gevallen van toepassing is.
Collectieve klachten in Frankrijk
De Franse toezichthouder CNIL ontvangt niet alleen recordaantallen klachten over de bescherming van de persoonlijke levenssfeer van individuele personen, maar merkt ook op dat twee organisaties namens consumenten klachten hebben ingediend op basis van de “collectieve verhaalsmogelijkheid” die voor de AVG in sommige EU-landen is ingevoerd.
De twee organisaties die namens consumenten in Frankrijk klachten indienen zijn Max Schrems’ privacy NGO, noyb en de Franse digitale rechtengroep La Quadrature du Net, die volgens CNIL klachten heeft ingediend tegen Google, Amazon, Facebook, LinkedIn en Apple.
Privacy Nieuws
Dit bericht is ook verzonden naar Jantje, Pietje en Klaasje en de chef. De namen en e-mailadressen staan in de cc van het mailbericht. Herkenbaar.
Tot 25 mei 2018 vonden we het soms irritant als we mail kregen met een lange lijst adressen in de cc, maar we wisten niet anders. Iedereen deed het bijna.
Klantenlijst concurrent in de schoot geworpen
En soms was het ook best praktisch. Je kreeg klantenlijsten van concurrenten als het ware in de schoot geworpen. Daar kon je soms wel iets mee. Dat was misschien niet netjes, maar het gebeurde wel…
Na 25 mei veranderde de Algemene Verordening Gegevensbescherming (AVG) de wereld, denken we.
De AVG is niet nieuw. De regels bestonden al
Opeens mag er heel veel niet meer. Vrezen we. Maar in werkelijkheid bestonden deze regels al. En ze konden ook worden gehandhaafd. Met hoge boetes.
Het cc-vak in mailberichten was altijd al een risicogebied. Het cc-veld levert datalekken op.
Wanneer is iets een datalek?
Heel simpel gezegd is iets een datalek als de informatie bij een persoon terecht komt die deze informatie niet zou mogen hebben.
Als je nu nog mailberichten met een riks van andere namen en mailadressen in de cc ontvangt zou je moeten weten dat de afzender een groot probleem heeft (gecreeerd).
Jouw mailadres is onrechtmatig gedeeld
Jouw mailadres is ongevraagd gedeeld met mensen die jij mogelijk niet kent of die wat jou betreft niet hoeven te weten dat jij ook op de hoogte bent. Jij – en anderen in de maillijst – hebben daar geen toestemming voor gegeven.
Degene die de mail naar cc-adressen heeft verzonden heeft een datalek gecreeerd. Er zijn zonder toestemming, zonder grondslag, contactgegevens gedeeld met derden.
De fout wordt waarschijnlijk gezien als een zware overtreding van de Algemene Verordening Gegevensbescherming (AVG). Dat kan de veroorzaker duur komen te staan.
Waarschijnlijk een zware overtreding? Dat is dus nog niet zeker…
Nee, er is nog steeds weinig duidelijk over de manier waarop de Autoriteit Persoonsgegevens overtredingen van de AVG beoordeelt.
Dat betekent niet organisaties zich voorlopig nog niet druk hoeven te maken over fout gebruik van het cc-veld door hun medewerkers.
Schelden op de AVG lijkt logisch, maar is onterecht
Ook voor de AVG mocht het cc-veld al niet zonder grondslag gebruikt worden. En er was ook al een boetelijst vastgesteld.
Het verwerken van gegevens zonder grondslag of het hergebruiken voor niet toegestane doelen viel onder de oude privacywetgeving in de categorieën middel of zwaar.
120.000 Euro boete
De boete lag in beginsel op zijn minst op 120.000 euro, de ondergrens van de bandbreedte van categorie twee (middel). De omvang van de inbreuk weegt mee, dus hoe meer adressen hoe hoger de boete.
Boetelijst Autoriteit Persoonsgegevens (AP)
De Autoriteit Persoonsgegevens heeft voor de AVG nog geen boetelijst gepublieerd. Helaas. Niemand weet waar hij aan toe is.
Maar het ligt in de lijn van de verwachtingen dat de boetes zeker niet lager zullen worden dan onder de oude privacywetgeving.
Hoe voorkom je het risico op een boete? Mag je helemaal geen cc gebruiken?
De eerste logische maatregel die je kunt treffen is voortaan het cc-vak standaard niet meer te gebruiken. Dan loop je zeker geen risico.
Het cc-veld zou dus net zo goed kunnen worden afgeschaft, kun je denken. Misschien gaat dat ook nog wel gebeuren.
CC is soms best praktisch
Er zijn mensen die het praktisch vinden om binnen de eigen organisatie in de mail wel duidelijk te vermelden naar wie het bericht ook is gestuurd. Bijvoorbeeld bij uitnodigingen voor managementoverleg. In dat geval is het geen probleem om het cc-vak te gebruiken.
Je moet oppassen met externe mailadressen. Zodra er een extern adres bij komt kun je beter bcc gebruiken.
Je mag van de AVG niet zonder grondslag persoonsgegevens van derden gebruiken. Wat betekent dat?
Een verwerking zonder grondslag wil zeggen, je doet iets met persoonsgegevens maar je treedt buiten de gegeven toestemming of je kunt geen rechtvaardiging geven onder je dringend eigen belang of onder een overeenkomst die je hebt.
Door het cc-veld te gebruiken in plaats van bcc, het vakje dat de adressen van anderen onzichtbaar maakt, valt daar onder.
Hoe ga je ermee om als een persoon (al dan niet vanuit een organisatie) een mailtje stuurt met verschillende e-mailadressen in de cc? Is dit een datalek?
Officieel gezien is dit een datalek. Als je er op de juiste manier mee om wilt gaan, moet dit in beginsel gemeld worden bij de Autoriteit Persoonsgegevens. En je moet het zeker vermelden in je verwerkingsregister als een incident.
Gelet op de enorme boetebedragen waarmee gedreigd wordt hebben veel organisaties waarschijnlijk de neiging om het cc-datalek niet te melden. Die reactie lijkt logisch, maar is niet slim.
Bewust niet melden datalek is vergelijkbaar met doorrijden na een ongeval
De Autoriteit Gegevensbescherming zou het bij ontdekking vergelijkbaar kunnen opvatten als doorrijden na een ongeval. De straf zal dan zeker hoger uitpakken, omdat je je doelbewust niet aan de wet hebt gehouden.
De kans dat je een boete krijgt als je netjes volgens de AVG-regels een datalekmelding doet is juist kleiner. Waarschijnlijk blijft het bij een berisping als je kunt aantonen dat je maatregelen hebt getroffen.
Leg de e-mailetiquette uit
Bijvoorbeeld door een mail aan het personeel te sturen met uitleg over e-mailetiquette op basis van de AVG of door een AVG Awareness training te organiseren. PrivacyZone kan daarbij helpen.
In de mail aan het personeel over e-mailetiquette kun je overigens een link naar dit artikel van PrivacyZone plaatsen.
Je hoeft met die mail natuurlijk niet te wachten tot het is misgegaan. Wie verstandig is houdt het personeel regelmatig op de hoogte met voor hen en klanten relevante aandachtspunten over privacybeleid binnen je organisatie.
PrivacyZone kan helpen bij het opstellen van een interne of externe AVG Communicatie Strategie voor jouw organisatie
De AVG verlangt van organisaties dat ze kunnen aantonen voortdurend consequent beleidsmatig met privacybeleid bezig te zijn.
Hoe groot is de pakkans?
Veel organisaties denken dat de pakkans klein is en denken dat het risico daarom verwaarloosbaar is.
De Autoriteit Persoonsgegevens heeft te weinig menskracht om proactief te gaan controleren. Dat klopt deels.
AP moet iedere klacht behandelen
Maar wat dan vergeten wordt is dat de Autoriteit Persoonsgegevens op basis van de AVG verplicht is om binnen 30 dagen iedere klacht in behandeling te nemen en bij het constateren van een overtreding dan ook op te treden.
Op dit moment merken we daar misschien nog niet veel van, maar dat zou de bekende stilte voor de storm kunnen zijn. We leggen uit waarom.
Steeds meer mensen zijn op de hoogte van de rechten en plichten die ze dankzij de AVG hebben. Rechten en plichten die voor iedereen gelden.
Iedereen kan aangifte tegen jou doen
Iedereen kan nu op basis van de AVG een organisatie aansprakelijk stellen als de regels niet nageleefd worden.
Het risico om gepakt te worden komt dus niet noodzakelijk rechtstreeks van de Autoriteit Persoonsgegevens. Iedereen kan de vinger op de zere plek leggen.
• Er zijn mensen die streng in de leer zijn en vinden dat iedereen zich aan de wet moet houden. Alleen daarom dienen zij een klacht in bij de Aitoriteit Persoonsgegevens.
• Er kunnen concurrenten zijn die denken er baat bij te hebben om jouw organisatie aan te geven bij de Autoriteit Persoonsgegevens.
• Er kunnen consumentenorganisaties zijn die bij de Autoriteit Persoonsgegevens over jouw organisatie aan de bel trekken.
Neem geen risico.
Pas je privacybeleid aan. De AVG is een feit. Zal niet meer verdwijnen. Heeft voordelen en nadelen. En ach, als je de cc niet meer gebruikt heb je al een van de grootste risico’s op een datalek onder controle.
Privacy Nieuws
De Algemene Verordening Gegevensbescherming (AVG) geeft iedereen het recht om inzage te vragen in de gegevens die organisaties over hen verzameld heeft. Bedrijven zijn verplicht om binnen dertig dagen de informatie te verstrekken.
Maar hoe zit dat als het opmaken van een overzicht met alle informatie nou bijzonder veel moeite kost? Als een organisatie voor een verzoek een of meerdere werknemers diverse systemen moet laten doorspitten? Wie betaalt die kosten eigenlijk?
Kosten inzageverzoek
Slecht nieuws voor bedrijven. De kosten zijn voor hen. Ze moeten aan de AVG voldoen. Tenminste, zo staat het in de wet.
Facebook denkt daar anders over. De social media gigant weigert Michael Veale, een onderzoeker van de Britse University College London, inzage te geven in de over hem verzamelde persoonsgegevens.
Facebook zegt dat het te veel moeite kost deze informatie te verzamelen.
Veale neemt hier geen genoegen mee en heeft een formele klacht ingediend bij de Irish Data Protection Commissioner.
Ierse Autoriteit Persoonsgegegens
Facebook heeft zijn Europese hoofdkantoor in Ierland gevestigd. De Ierse Autoriteit Persoonsgegegens doet nu onderzoek naar de weigering van Facebook,
meldt The Register.
Veale stelt in de klacht te willen achterhalen of Facebook surfgedrag over hem heeft verzameld op het gebied van seksualiteit en medische onderwerpen. Vaele geeft aan de tools die Facebook hiervoor openbaar heeft gemaakt heeft gebruikt, maar dat deze onvoldoende resultaat opleveren.
‘Data buiten Facebook verzameld’
Het bedrijf weigert de opgevraagde informatie echter te verstrekken en meldt dat het te veel moeite kost de data te lokaliseren, aangezien deze buiten het sociale netwerk is verzameld. De klacht is hier ingediend, aangezien het Europese hoofdkantoor van Facebook in Ierland is gevestigd.
European Data Protection Board
De zaak wordt nu onderzocht door de Irish Data Protection Commissioner. Deze verwacht dat de zaak uiteindelijk wordt doorgestuurd naar de European Data Protection Board, aangezien de zaak betrekking heeft op grensoverschrijdende dataverwerking.
De uitkomst van deze zaak is interessant voor iedere organisatie die veel werk moet verzetten om informatie te verzamelen als er een verzoek om inzage wordt gedaan. Wat mag er van hen in het uiterste geval verwacht worden?