Privacy Nieuws
“Paniekzaaierij door oproerkraaiers die de Europese privacywet in diskrediet willen brengen.” Snoeiharde kritiek van de Autoriteit Persoonsgegevens van de Duitse deelstaat Beieren naar aanleiding van de ophef over een vermeend AVG-verbod op naambordjes in flats en appartementencomplexen. Is die kritiek terecht?
Of is de Europese privacywetgeving gewoon te complex?
Wat kunnen we leren van de discussie in Oostenrijk en Duitsland?
Waarom heeft niemand de Autoriteit Persoonsgegevens om uitleg gevraagd?
Allereerst is het opmerkelijk dat klaarblijkelijk vrijwel niemand tot op heden de toezichthouders in Oostenrijk en Duitsland gevraagd heeft om duidelijkheid te verschaffen naar aanleiding van de onduidelijkheid over de uitleg van de privavyregels ten aanzien van naambordjes.
Wie op Google zoekt op Klingelschild DSGVO ziet dat alle grote Duitse mediasites op het verhaal gedoken zijn. Slechts een enkele site vroeg commentaar aan een toezichthouder.
Kritiek Beierse autoriteit op media en privacybelangenorganisatie slecht onderbouwd
Voorzitter Thomas Kranig van de Beierse autoriteit doet voorkomen alsof de discussie in gang is gezet door tegenstanders van de privacywet en de media. Door mensen die op een rel uit waren om de AVG belachelijk te maken.
Maar die veronderstelling klopt niet.
Hoe begon de naambordjesdiscussie?
De discussie kwam in Wenen op gang naar aanleiding van een klacht van één huurder bij de gemeentelijke woningcorporatie Wiener Wohnen.
De corporatie heeft vervolgens de Magistratsabteilung 63, de afdeling die in Wenen verantwoordelijk is voor gegevensbescherming, geraadpleegd. De Functionaris Gegevensbescherming van deze afdeling kwam vervolgens zelf tot de conclusie dat de combinatie van achternaam en deurnummer daadwerkelijk inbreuk maakt op de Europese privacywetgeving.
Functionaris Gegevensbescherming zet als eerste verkeerde stap
De kwestie is dus niet aangezwengeld door oproerkraaiers. Een Functionaris Gegevensbescherming, iemand die alles van de privacywet zou moeten weten, trok op basis van de wettekst de conclusie dat er sprake was van inbreuk op de AVG.
Logisch besluit wonkngcorporatie om alle naambordjes te verwijderen
Vervolgens kan de Weense woningcorporatie niet anders dan te besluiten om verregaande maatregelen te treffen. Bij overtreding van de regels is het management immers aansprakelijk als de Autoriteit Persoonsgegevens van Oostenrijk een onderzoek instelt naar aanleiding van een klacht van een huurder, waar niets mee gedaan is.
Zeker als blijkt dat er een advies van de FG ligt om 220.000 naambordjes te verwijderen.
Nog steeds geen sprake van stemmingmakerij
Tot zover is er dus nog steeds geen sprake van bewuste stemmingmakerij om de AVG in diskrediet te brengen.
Pas als 220.000 huurders in Wenen een brief krijgen van de woningcorporatie duikt de media er bovenop. Logisch, want het betreft een opmerkelijk besluit met verregaande gevolgen. En dat op basis van een nieuwe wet die veel mensen onzeker maakt. Mede vanwege de hoge boetes die opgelegd kunnen worden.
Geen journalist die Autoriteit Gegevensbescherming om een reactie heeft gevraagd
Wat vervolgens opvalt is dat er geen journalist in Oostenrijk op het idee gekomen is om de Autoriteit Persoonsgegevens om een reactie te vragen.
Dat verwijt valt overigens ook de Functionaris Gegevensbescherming te maken.
Rol privacybelangenorganisatie
De media vroegen wel om een reactie bij ARGE Daten. Een organisatie die zich in Oostenrijk bezighoudt met de privacyrechten van burgers.
Volgens ARGE Daten was het besluit van Wiener Wohnen om alle naambordjes te verwijderen de “enige wettelijk conforme procedure”.
ARGE Daten roept vervolgens huurders op om een klacht in te dienen bij de Autoriteit Persoonsgegevens in Wenen.
Als de Beierse toezichthouder zich kwaad maakt over stemmingmakerij over de Europese privacywet dan zou ARAG Daten daar de aanleiding voor kunnen zijn.
ARAG Daten is geen tegenstander van AVG
Ware het niet dat de Beierse autoriteit praat over stemmingmakerij door tegenstanders van de AVG. ARAG Daten is een organisatie die opkomt voor privacybelangen. ARAG Daten heeft dus belang bij de privacywet. Is geen tegenstander.
Waar komt die stemmingmakerij dan vandaan?
De Beierse autoriteit geeft een uitstekende les privacywetgeving naar aanleiding van de discussie over de naambordjes. Uitleg die iedereen de regels erbij pakt lijkt te moeten kunnen begrijpen. Maar is dat werkelijk zo?
Privacydeskundigen leggen privacyregels anders uit dan Autoriteit Persoonsgegevens
De Functionaris Gegevensbescherming gaf een andere uitleg van dezelfde regels. En hij heeft er voor geleerd.
En hij was niet de enige privacydeskundige die een andere uitleg aan de regels gaf dan de Autoriteit Persoonsgegevens van Beieren.
Toegegeven, andere privacydeskundigen plaatsten vraagtekens bij het besluit van Wiener Wohnen, maar gaven vervolgens toch een andere duiding van de wet dan de Autoriteit Persoonsgegevens.
Max Schremms adviseert verhuurders onterecht om schriftelijk toestemming te vragen
Neem bijvoorbeeld Max Schrems. Hij heeft in heel Europa naam gemaakt met zijn kruistocht tegen Facebook. Schrems wijst er in een tweet op dat de ontmanteling van meer dan 200.000 naambordjes wellicht een wel erg overdreven maatregel is.
@Met alle liefde voor de #AVG“, tweet Schrems. „Maar waar u (al) de toestemming van de huurder heeft, hoeft u niet meer 220.000 naamplaatjes te verwijderen en opnieuw te plaatsen….. Een vragenlijst met een opt-in zou het waarschijnlijk gemakkelijker maken.“
Schrems adviseert als gerenomeerde privacydeskundige dus aan verhuurders om alle huurders schriftelijk om toestemming te vragen om hun naam op een centraal belbord in de hal van een flat te plaatsen.
Maar volgens de Autoriteit Persoonsgegevens hoeven verhuurders niets te doen
De Beierse Autoriteit Persoonsgegevens zegt daar niets over. Volgens de Beierse AP hoeven verhuurders niets te doen.
Duitse advocaat onderbouwt in blog aan de hand van diverse wetten dat naambordjes ook voor AVG al verboden zouden zijn
In Duitsland schreef advocaat Arno Lampmann van advocatenkantoor LHR in Keulen een uitvoerige blog over de naambordjes. Zijn opmerkelijke conclusie was dat de naambordjes ook zonder de AVG eigenlijk al in strijd zijn met andere wetten. Hij verwijst daarbij naar die wetten en haalt er vervolgens ook Max Schremms nog bij om zijn conclusie kracht bij te zetten.
Nog steeds geen spoor van oproerkraaiers die de Europese privacywet in diskrediet brengen.
Deskundigen die geacht mogen worden de privacywet te kennen en te kunnen duiden geven een hele andere uitleg aan de regels dan de Autoriteit Persoonsgegevens van Beieren. Opnieuw geen tegenstanders van de wet. Weer mensen die belang hebben bij de privacywetgeving.
Alle partijen, waaronder de Autoriteit Persoonsgegevens, moeten hand in eigen boesem steken
Het zou de Autoriteit Persoonsgegevens in Beieren, maar ook zijn collega’s in de rest van Europa, sieren om de hand in eigen boesem te steken. De AVG is blijkbaar zo onduidelijk dat zelfs deskundigen de regels anders uitleggen. Die complexiteit zorgt voor onrust en weerstand.
En de deskundigen en de media mogen anderzijds ook zichzelf verwijten maken.
Waarom heeft niemand de moeite genomen om de Autoriteit Persoonsgegevens om een reactie te vragen?
Iedere journalist hoort dat standaard te doen. En iedere FG en jurist die twijfelt over de uitleg van een regel ook.
Privacy Nieuws
Bij de loodgieter thuis lekt het vaak het meest… De verklaring is simpel. Goede loodgieters zijn schaars. Ze hebben het zo druk dat ze thuis nergens aan toe komen. Of er gewoon geen energie meer voor hebben.
Bij een lekke kraan is dat de eigen keuze en het eigen probleem van de loodgieter. Al zal hij waarschijnlijk de schade die ontstaan is door de waterlekkage niet kunnen verhalen op zijn verzekering als blijkt dat hij zelf als vakman erger had kunnen voorkomen.
Sinds 25 mei 2018 denken we bij lekkages niet alleen meer aan water-, gas- of olielekken. We denken ook aan datalekken. En dat levert een mooi bruggetje op richting advocaten en juristen die zich bezig houden met de Algemene Verordening Gegevensbescherming.
Als het bij de loodgieter thuis het meeste lekt, hoe zit dat dan eigenlijk als het om datalekken gaat bij juristen? Hoe goed hebben AVG-specialisten hun zaken zelf voor elkaar?
AVG Cloud Register, de Groninger producent van handige en praktische AVG software waarmee ook PrivacyZone werkt, deed daar ruim een maand na het ingaan van de nieuwe privacywetgeving AVG onderzoek naar.
Uit het onderzoek van AVG Cloud Register blijkt dat slechts 14 procent van de websites van 50 onderzochte juristenkantoren, die berichten of adviseren over de AVG, zélf voldoen aan deze nieuwe wet.
De websites behoren toe tot juridische bureau’s die actief zijn op het gebied van privacy & ICT Recht, AVG workshops geven, FG is of via twitter of de bedrijfswebsite over de AVG heeft bericht. Deze juridische bureau’s liepen qua omvang uiteen van zelfstandigen tot partijen met 100+ werknemers.
Veel (technische) misverstanden
AVG Cloud Register signaleert op Twitter dat er nog veel misverstanden en onwetendheid is omtrent de AVG en privacy. De implementatie van technische aspecten die erbij komen kijken, blijkt zelfs voor de partijen die bekend zijn met de wet- en regelgeving, alsnog een struikelblok te zijn. Ook PrivacyZone komt tot die conclusie op basis van praktijkervaring en gesprekken met diverse ondernemers na AVG presentaties.
Uit onderzoek van de Consumentenbond blijkt ook dat 69% van de grote Nederlandse websites niet voldoen aan de AVG.
Ruwe onderzoeksresultaten
AVG Cloud Register keek voor zijn onderzoek naar de websites van juristen naar de volgende punten:
- De aanwezigheid van een privacy statement
74% voldeed hieraan, bij 26% ontbrak het privacystatement volledig, hoewel er wel persoonsgegevens middels bijvoorbeeld een contactformulier konden worden ingevuld;
- De juistheid van het privacy statement
67% van de eerder genoemde 74% waren correct, de overige 50% had onwaarheden of hiaten in hun privacystatement;
- Google IP-adres anonimisering
Binnen de AVG is het opslaan van een ip-adres een gegevensverwerking. Elke website die (veelal) Google Analytics gebruikt moet daarom hiervoor òf aan de websitebezoeker toestemming vragen middels een cookiemelding òf deze IP-adressen anonimiseren.
Van de onderzochte partijen had 30% deze juist ingesteld en anonimiseerde 60% de ip-adressen van hun bezoekers niet. Vier procent leek geen bezoekersgedrag te volgen, voor de overige zes procent was het niet te achterhalen of ze aan de correcte of incorrecte kant zaten omtrent ip anonimisering voor Google Analytics;
- Cookie implementatie
Ondanks de reeds geldende Telecommunicatiewet, bleek de implementatie van cookies de grootste struikelblok voor juridische bureau’s: Slechts 26% deed dit conform AVG en Telecommunicatiewet.
Van de 50 onderzochte websites, hanteerden 18 websites onterecht geen cookie-venster. Door gebruik van bijvoorbeeld niet privacy vriendelijke Youtube maar vooral social media widgets, was dit wel op zijn plaats.
- Versleuteling persoonsgegevens
Van gegevensversleuteling middels SSL certificaat, waarmee https en het groene slotje wordt bemachtigd, was in 76% van de onderzochte websites sprake. Aanvullend had 8% een certificaat, maar was dit incorrect geïmplementeerd.
Het percentage partijen die alle bovenstaande aspecten juist hebben uitgevoerd kwam op slechts 14%. Daarnaast ontbrak het bij 12% slechts aan één van bovenstaande zaken en kwamen ze daarmee in de buurt van AVG en privacy compliance.
De overige 74% voldoen op cruciale of meerdere vlakken niet aan de wetgeving. Hetgeen dat hieruit geconcludeerd kan worden, is dat kennis veelal bij de deur lijkt te stoppen op het gebied van privacy.
Voor organisaties is het noodzaak om de juiste partij aan te wijzen voor een verlengstuk op theoretische of juist praktische kennis.
Voor privacy compliance blijkt samenwerking tussen juristen, programmeurs en security-experts buiten “ingewikkelde” informatiesystemen voor bijvoorbeeld zorg om, ook reeds noodzakelijk voor websites of webshops.
Conclusie van het onderzoek van AVG Cloud Register: bij AVG specialisten is de kans op datalekken net zo groot als bij andere ondernemingen. Bij de juristen ‘lekt’ het thuis net als bij de loodgieters.
Organisaties die hun zaken nog niet op orde hebben hoeven zich kortom niet te schamen. Maar zij moeten net als de AVG juristen langzamerhand wel beginnen een plan van aanpak te maken.
PrivacyZone weet uit ervaring dat het handig en verstandig is om daarvoor een externe privacymanager in te schakelen. Iemand van buiten die met een kritische blik professioneel jouw organisatie kan doorlichten en dan een gefundeerd plan van aanpak kan voorstellen. Een plan dat niet alleen goed is voor je AVG-verplichtingen, maar ook voor managers die wel eens op een andere manier naar hun organisatie willen laten kijken.
Natuurlijk, er zijn diverse goede AVG-werkboeken in omloop en wij weten dat veel bedrijven privacyverklaringen en verwerkingsovereenkomsten van collegas kopieren (foei, dat mag niet!), maar de kans dat er dan belangrijke zaken vergeten worden is reeel, blijkt uit de praktijk. Of er worden foute voorbeelden gekopieerd, van een bedrijf dat zelf weer fout van een ander had gekopieerd.
PrivacyZone kent de valkuilen en werkt samen met diverse specialisten. Privacymanagement is te ingewikkeld om het er in je eentje even bij te doen aan de hand van een handboek. Zelfs gespecialiseerde juristen tonen dat aan met hun websites.
En zeg nou zelf: als de auto een onderhoudsbeurt nodig is koop je toch ook geen handboek zodat je het er even zelf bij kunt doen?
Je administratie laat je – over het algemeen – toch ook door een accountant of administratiekantoor doen?
Privacy Nieuws
“Voor de lunch de nieuwsbrief verstuurd. Vervolgens belt er iemand boos en gefrustreerd op. Ze wil die nieuwsbrief niet.”
Je denkt dat je je zorgvuldig aan de AVG houdt, maar toch klopt er iets niet. Heel herkenbaar en frustrerend. Wie heeft er een fout gemaakt? Of laat de techniek je in de steek?
Het citaat in de inleiding is afkomstig uit een tweet van juriste Charlotte Meindersma. Zij blogt, vlogt en tweet onder de titel Charlottes Law regelmatig over dillemmas en vraagstukken die te maken hebben met de Algemene Verordening Gegevensbescherming.
Meindersma noemt zich ‘de social media jurist van Nederland’. Terecht. Haar online bijdragen zijn interessant, helder en professioneel. Een aanrader voor iedereen die meer wil weten over de AVG.
De tweet van Charlotte over de woedende vrouw die belt omdat ze zegt zich nooit te hebben ingeschreven voor de nieuwsbrief van Charlottes Law is herkenbaar voor beide partijen in soortgelijke situaties.
De AVG is heel duidelijk wat betreft de adressenlijst van nieuwsbrieven. De eigenaar van de site moet kunnen aantonen dat de ontvanger ooit expliciet heeft aangegeven de nieuwsbrief te willen ontvangen. Dat kan via een dubbele optin.
Na de aanmelding krijgt de aanmelder een mail waarin om bevestiging van de aanmelding wordt gevraagd. Als de aanmelder op de link in deze bevestigingsmail klikt wordt dat vastgelegd in de database van het systeem dat gebruikt wordt om de nieuwsbrieven te versturen.
Als iemand een klacht indient en zegt zich niet te hebben aangemeld kun je in deze database controleren of de klacht terecht is.
Charlotte liet naar aanleiding van de klacht van de vrouw meteen uitzoeken wat er aan de hand kon zijn.
“Wij uitzoeken”, tweet ze. “Heeft zich inmiddels zelf uitgeschreven. Afton spreekt voicemail in om uitleg te geven excuses aan te bieden. Mevrouw belt terug >”
Netjes afgehandeld, denk je dan. Maar er blijft een dilemma. Hoe kwam het mailadres van mevrouw in de database voor de nieuwsbrief van Charlottes Law terecht? Als er gebruik is gemaakt van dubbele optin kan het niet anders dan dat er ooit een aanmelding is gedaan via het mailadres van mevrouw. Immers, de aanmelding moet altijd worden bevestigd via datzelfde mailadres.
Kan het zijn dat de site van Charlotte is gehackt?
Zit er een fout in het systeem?
Frustrerende vragen waar je in het kader van de AVG onderzoek naar zult moeten doen. Je moet in je verwerkingsregister melding maken van het incident. Je moet aangeven welke maatregelen je hebt genomen.
Maar stel nou dat de fout gemaakt is door degene die klaagt? Hoe bewijs je dat dan? Het is jouw woord tegen het woord van de klager.
Charlotte had inmiddels gecontroleerd dat het mailadres inderdaad in haar database stond. Ze vermeldt het niet in haar tweet, maar waarschijnlijk was er een dubbele optin bevestiging.
Maar daarmee is ze nog geen stap verder. Zoeken naar een speld in een hooiberg. Een speld die er misschien helemaal niet is.
Charlotte had dit keer geluk. Mevrouw reageerde op de excuses die waren aangeboden via haar voicemail. Ze erkende heel netjes dat ze zelf fout zat.
“Het was haar man die zich had ingeschreven ‘omdat (ik) zo leuk schrijf(t)’. Dus hij heeft zich weer ingeschreven, meteen voor alle lijsten 🙂 Ze wenst ons een zonnige dag. 🙂 Een vrolijke is het in elk geval.”
Maar stel nu dat de klager niet ruiterlijk aangeeft dat ze fout zit? Wat dan?
Waarschijnlijk zal de Autoriteit Persoonsgegevens er geen halszaak van maken als het een enkel incident is.
Maar het ligt natuurlijk anders als er regelmatig soortgelijke klachten binnenkomen over dezelfde website.
En stel dat dan blijkt dat je site is geinfecteerd, gehackt? Dan moet je uitleggen waarom je na de eerste klacht geen maatregelen hebt genomen. Het is dus zaak om iedere klacht serieus te nemen. En vooral ook beleefd te communiceren met de klager. Hoe gefrustreerd die ook reageert.
En de verklaring van de klaagster legt ook een ander praktisch probleem bloot bij de omgekeerde bewijslast voor ondernemers die een AVG-klacht aan hun broek krijgen. Hoe bewijs je dat sommige privépersonen computers of mailadressen delen? Dat dergelijke online partners tegenstrijdige interesses hebben? Zoals in dit geval.
Charlottes Law:
Blog: https://www.charlotteslaw.nl
Twitter: @charlotteslaw
YouTube: https://www.youtube.nl/charlotteslawnl
Privacy Nieuws
Veel organisaties gebruiken Whatsappgroepen voor interne communicatie. Whatsapp is ideaal voor projectmanagement. Intern en extern. De grote vraag is echter of Whatsapp zich wel houdt aan de privacywet GDPR / AVG. Mag je Whatsapp eigenlijk nog zakelijk gebruiken?
Wie op Google zoekt naar “Whatsapp GDPR” ontdekt dat in de hele EU getwijfeld wordt. Wie de regels strikt uitlegt kan niet anders dan concluderen dat Whatsapp na 25 mei 2018 niet compliant kan zijn. En in dat geval mag je Whatsapp dus zakelijk niet gebruiken.
Whatsapp krijgt automatisch toegang tot contacten. Dat mag eigenlijk niet
Organisaties die medewerkers WhatsApp laten gebruiken kampen er mee dat WhatsApp bij het maken van chatgroepen of het leggen van een-op-een connecties voor chat automatisch toegang krijgt tot contacten die zijn opgeslagen op de telefoon.
Er vindt dan dus overdracht plaats van persoonsgegevens aan een onderneming in de VS. In principe is dit volgens de AVG alleen toegestaan na voorafgaande toestemming van de betreffende contactpersoon.
Geen toestemming, dan in strijd met AVG
Indien geen toestemming wordt gegeven, worden de gegevens in strijd met de AVG doorgegeven.
Bovendien gaat het bij de doorgifte van dergelijke gegevens om de verwerking van ordergegevens. Een dergelijke openbaarmaking vereist een contract voor de verwerking van ordergegevens tussen de organisatie en WhatsApp.
Doorgaans wordt niet aan deze eis voldaan en gebruiken organisaties WhatsApp dus illegaal.
Juristen in Groot-Brittannië en Duitsland
Juristen in Groot-Brittannië en Duitsland adviseren Whatsapp absoluut niet zakelijk te gebruiken als er geen gegevensverwerkingsopdracht is tussen een organisatie en WhatsApp en de contactpersoon van het bedrijf niet heeft ingestemd met het doorsturen van zijn gegevens naar WhatsApp.
Maar ondernemers en medewerkers hebben niet alleen zakelijke contacten. Ze communiceren ook privé. En dat mag wel met Whatsapp. Dat zorgt voor een dilemma. Er vindt vermenging van privé en zakelijk plaats. Zakelijk ben je dan nog steeds in overtreding.
Nederlandse ICT-jurist Arnoud Engelfriet
Hoe denken Nederlandse juristen over het zakelijk gebruik van Whatsapp?
Ict-jurist Arnoud Engelfriet geeft op de website Security.nl elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Op de site reageert hij ook op een vraag over de legitimiteit van zakelijk Whatsapp gebruik binnen de GDPR.
“Namen en telefoonnummers zijn persoonsgegevens”, legt Engelfriet uit. “Het gebruik daarvan valt in principe dan ook onder de Privacyverordening / AVG / GDPR. Het verstrekken van die gegevens aan derden kan onder die wetgeving eigenlijk alleen met toestemming of als het noodzakelijk is voor een aangevraagde dienst of gesloten overeenkomst.”
Privacywet niet van toepassing voor huishoudelijke doeleinden
Bij WhatsApp-groepen val je volgens Engelfriet echter mogelijk buiten de privacywet, omdat het vaak gaat om particulieren die die groepen opzetten.
“De privacywetgeving is niet van toepassing op verwerkingen voor strikt huishoudelijke doeleinden, en verdedigbaar is dat een dergelijke groep daaronder valt. Hoewel in 2014 werd bepaald dat het filmen van de openbare weg door een particulier niet meer strikt huishoudelijk was, dus als je streng in de leer bent dan gaat dit niet op.”
Voorwaarden van WhatsApp
Natuurlijk staat er over dit onderwerp ook van alles in de Voorwaarden van WhatsApp, maar dat boeit weinig zegt Engelfriet. “Toestemming kan niet in algemene voorwaarden worden verkregen, en bovendien moet toestemming specifiek zijn. Op WhatsApp zitten betekent niet dat iedereen je in alle mogelijke groepen mag prikken.”
Kortom: De ervaren Nederlandse ICT-jurist kan geen eenduidig antwoord geven op de vraag of bedrijven Whatsapp nog mogen gebruiken. Bij twijfel niet doen is doorgaans het advies.
Alternatief voor WhatsApp
Maar wat is dan het alternatief voor Whatsapp als bedrijven toch graag intern zakelijk willen kunnen chatten?
In de zorgsector stappen veel instellingen over op de chatapp Yammer van Microsoft. Deze app houdt zich wel aan de Europese privacywet. Er is dus een alternatief. Maar de leercurve voor Yammer is groter dan bij Whatsapp. De chatapp van Facebook is juist bijzonder gebruiksvriendelijk.
Hoeveel organisaties nemen het risico en blijven Whatsapp gewoon gebruiken?
Wie heeft er een goede steekhoudende argumentatie waarmee de toezichthouder overtuigd kan worden?
