HagaZiekenhuis gaat in beroep tegen AVG-boete. AP spreekt van zorgelijke situatie

Het HagaZiekenhuis in Den Haag tekent protest aan tegen de hoge boete van 460.000 Euro die de Autoriteit Persoonsgegevens (AP) heeft opgelegd. Het ziekenhuis kreeg de boete omdat medewerkers onbevoegd in het medisch dossier van tv-ster Samantha de Jong (Barbie) hadden gekeken. Zij was er opgenomen na een zelfmoordpoging.

Volgens voorzitter Aleid Wolfsen van de Autoriteit Persoonsgegevens blijkt uit onderzoek naar de manier van werken in het Haagse ziekenhuis dat de beveiliging van medische gegevens nog steeds niet op orde is. ,,Wat we hebben aangetroffen is een zeer zorgelijke situatie”, zegt Wolfsen tegen EenVandaag. ,,De beveiliging is echt onder de maat. Er wordt niet goed gecontroleerd, mensen kunnen te gemakkelijk bij die medische dossiers.”

Directievoorzitter Carla van de Wiel van het ziekenhuis zegt het zuur te vinden dat het geld nu niet aan patiëntenzorg kan worden besteed. Zij zegt er in een schriftelijke verklaring alles aan te doen om de dwangsom te vermijden van nog eens vele duizenden euro’s waarmee de Autoriteit Persoonsgegevens (AP) dreigt als het ziekenhuis niet binnen korte tijd er voor zorgt dat persoonsgegevens van patiënten beveiligd worden zoals is vastgelegd in de privacywet.

Het ziekenhuis heeft maar liefst 85 ziekenhuismedewerkers bestraft voor het neuzen in het medische dossier van Barbie.

Het ziekenhuis zegt nu de interne beveiliging van patiëntendossiers verder aan te scherpen. Dat is hard nodig, want twee van de in totaal zes onderdelen worden als niet afdoende beoordeeld door de Autoriteit Persoonsgegevens.

Wat er onder meer ontbrak aan de eigen beveiligingsregels was dat er in veel gevallen al ingelogd kon worden met gebruik van enkel gebruikersnaam en wachtwoord.

Eigenlijk zou je pas toegang tot de dossiers moeten krijgen na invoering van gebruikersnaam, wachtwoord én controle van personeelspas en pincode.

Wie met gebruikersnaam en wachtwoord inlogde had bovendien vier uur toegang tot bepaalde gegevens. De bedoeling is dat er in die tijd vaker opnieuw ingelogd moet worden en ook dat de controle op het inloggen vaker moet plaatsvinden.

Het HagaZiekenhuis zegt de nu nog ontbrekende extra controle op het inloggen van medewerkers in dossiers voor oktober aangescherpt te hebben.

Die deadline is ook nodig om te voorkomen dat er bovenop de boete nog een dwangsom moet worden betaald die kan oplopen tot nog eens vele duizenden euro’s.

Autoriteit Persoonsgegevens deelt eerste forse boete uit wegens overtreding AVG

De Autoriteit Persoonsgegevens (AP) heeft het HagaZiekenhuis in Den Haag een boete van 460.000 euro opgelegd wegens schending vam de Algemene Verordening Gegevensbescherming (AVG). Het is de eerste boete die sinds de invoering van de wet op 25 mei 2018 in Nederland is opgelegd.

De boete kan nog met maximaal 300.000 euro verhoogd worden.

Het Haagse ziekenhuis kwam eerder dit jaar in opspraak toen bleek dat 85 medewerkers het patiëntendossier hadden ingezien van Samantha de Jong, bekend als realityster Barbie.

De Autoriteit Persoonsgegevens concludeert nu dat de beveiliging van de medische dossiers van het HagaZiekenhuis niet op orde is.

Het HagaZiekenhuis krijgt tot 2 oktober om de interne beveiliging te verbeteren. Lukt dat niet, dan moet het ziekenhuis elke twee weken nog eens 100.000 euro betalen, tot een maximum van 300.000 euro.

De boete die de Nederlandse AP nu heeft opgelegd is vergelijkbaar met de boete die de Portugese Autoriteit Persoonsgegevens vorig jaar op heeft gelegd aan het Centro Hospitalar Barreiro Montijo ziekenhuis in de buurt van Lissabon. Dit ziekenhuis kreeg een boete van 400.000 euro wegens onzorgvuldig omgaan met patiëntengegevens.

Het ziekenhuis heeft inmiddels stappen gezet om herhaling te voorkomen. Personeel wordt getraind om gedrag van collega’s, patiënten en bezoekers die de privacy in gevaar brengen te herkennen.

De AP bevestigt dat dit de eerste keer is dat een Nederlandse instantie een boete krijgt onder de AVG, die sinds mei vorig jaar in werking is.

De boete die in november werd uitgedeeld voor een zaak rond taxistartup Uber werd nog afgehandeld onder de oude Nederlandse privacyregels. “Dit is de eerste volledige AVG zaak”, bevestigt een woordvoerder.

Roemeense Autoriteit Persoonsgegevens legt boete van 130.000 euro op aan Italiaanse bank

De Autoriteit Persoonsgegevens van Roemenië heeft op 27 juni 2019 op basis van de Europese privacywet een boete van 130.000 euro opgelegd aan de UniCredit Bank.

De UniCredit Bank is beboet omdat in 2018 door een datalek de gegevens van meer dan 337.000 personen onrechtmatig aan derden werden doorgegeven.

UniCredit is een Italiaanse bank met activiteiten in 17 landen. Het bedrijf telde eind 2016 ongeveer 120.000 voltijdsmedewerkers verdeeld over 6200 kantoren.

De belangrijkste markt is Italië en verder is het bedrijf goed vertegenwoordigd in West- en Oost-Europa. De bank had eind 2016 een balanstotaal van 860 miljard euro.

Facebook moet in Italië 10 miljoen Euro boete betalen wegens overtreding van Europese privacywet

Facebook is in Italië veroordeeld tot een boete van tien miljoen euro wegens het overtreden van de Algemene Verordening Gegevensbescherming (AVG). De boete is opgelegd door de Italiaanse mededingingsautoriteit AGCM.

AGCM beschuldigt Facebook van een agressieve handelspraktijk omdat de mogelijkheid om op andere sites en applicaties in te loggen met Facebook-accountgegevens vooraf is ingesteld zonder de uitdrukkelijke toestemming van de gebruiker.

De door Facebook geplande opties voor het deselecteren van de functie voldoen niet aan de eisen van de ACG.

Oplichters proberen met nepbrieven van Autoriteit Persoonsgegevens ondernemers waardeloze dure AVG-scan te verkopen

De Autoriteit Persoonsgegevens (AP) waarschuwt voor oplichters die zich im nepbrieven voordoen als medewerkers van de toezichthouder en zo ondernemers proberen te misleiden.

In de brief dreigen de profiteurs met een bedrijfsbezoek door de AP, intimideren ze met mogelijk hoge boetes en bieden ze tegen veel geld een volgens de toezichthouder waardeloze AVG-scan aan.

Hoe herken je of een brief van de Autoriteit Persoonsgegevens echt is?

“Correspondentie van de AP is altijd op briefpapier, het is dus geen gekopieerd velletje”, meldt de toezichthouder op zijn eigen website. “Een echte AP-brief is opgesteld in foutloos Nederlands en bevat altijd de naam en het telefoonnummer van een contactpersoon.”

Wie twijfelt aan de juistheid van een brief die afkomstig zou zijn van de AP wordt aangeraden om contact op te nemen.

Bel dan met het Informatie- en Meldpunt Privacy van de AP, 088 – 1805 250. “Samen kunnen we checken of uw brief juist is”, zegt de Autoriteit Persoonsgegevens.

Eerste AVG-boete in Duitsland. Sociaal netwerk Knuddels moet 20.000 Euro betalen

De Autoriteit Persoonsgegevens (AP) van de Duitse deelstaat Baden-Württemberg heeft de eerste AVG-boete opgelegd. Het sociale netwerk Knuddels.de – het grootste online chatplatform van Duitsland – moet een boete van 20.000 euro betalen. En komt daarmee volgens de AP wegens goed gedrag goed weg.

Het bedrijf had 808.000 emailadressen en 1.872.000 pseudoniemen en wachtwoordenvan gebruikers ongecodeerd opgeslagen. De fout werd in juli 2018 ontdekt nadat Knuddels.de een datalekprocedure in gang had gezet wegens een hackaanval.

Knuddels.de bestaat sinds 1999. Het chatplatform heeft meer dan twee miljoen geregistreerde leden.

Het bedrijf uit Karlsruhe heeft volgens de AP de verplichting om de veiligheid van persoonlijke gegevens te garanderen geschonden.

De boete had volgens de Duitse AP vele malen hoger uit kunnen vallen. De toezichthouder zegt er echter rekening mee gehouden dat het bedrijf na een hackaanval meteen open kaart heeft gespeeld bij de Autoriteit Persoonsgegevens en alle gebruikers.

Lof van de Autoriteit Persoonsgegevens

De AP zegt dat Knuddels op een voorbeeldige manier heeft samengewerkt met de toezichthouder en de veiligheid van de ICT meteen beduidend heeft verbeterd. “Wie van schade leert en transparant bijdraagt aan de verbetering van de gegevensbescherming, kan als bedrijf ook sterker uit een aanval van een hacker tevoorschijn komen”, aldus de AP.

Autoriteit Persoonsgegevens is 5 maanden na start AVG nog opvallend rustig. Stilte voor de storm?

Ruim vijf maanden nadat de Algemene Verordening Gegevensbescherming (AVG) op 25 mei 2018 van kracht is geworden horen we nog steeds opvallend weinig van de Nederlandse Autoriteit Persoonsgegevens (AP). In Duitsland kondigen verschillende toezichthouders inmiddels meerdere boetes aan. Is de rust bij de AP de stilte voor de AVG storm in Nederland?

Uit diverse onderzoeken blijkt dat de meerderheid van de Nederlandse organisaties nog niet voldoet aan de privacywet. Tot dusver zien we dat nog niet terug in de mededelingen die de Autoriteit Persoonsgegevens doet op zijn website.

Nederlandse AP voornamelijk nog gericht op overheid

Tot op heden focust de Nederlandse AP zich nog vrijwel uitsluitend op de overheid en de zorg.

De AP maakte deze week bijvoorbeeld bekend een dwangsom van 150.000 Euro per maand aan het UWV te hebben opgelegd. Het UWV voldoet niet aan beveiligingseisen die voortvloeien uit de Algemene Verordening Gegevensbescherming (AVG). In augustus werd de politie aangepakt en tegen de belastingdienst loopt ook een onderzoek.


Elders in Europa lijken de nationale en regionale toezichthouders veel actiever te zijn dan de Nederlandse Autoriteit Persoonsgegevens. In Portugal en Groot-Brittannie zijn inmiddels de eerste boetes uitgedeeld.

AVG boeteprocedures

De Duitse krant Handelsblatt publiceerde deze week een uitgebreid artikel over maatregelen en boeteprocedures die de diverse toezichthouders in de Duitse deelstaten in gang hebben gezet. De inventarisatie zou een beeld kunnen geven wat Nederlandse organisaties kunnen gaan verwachten van de Autoriteit Persoonsgegevens.

Stefan Brink is voorzitter van de Autoriteit Persoonsgegevens van de Duitse deelstaat Baden-Württemberg. Hij kondigt in het Handelsblatt aan nog dit jaar “aanzienlijke” boetes te zullen opleggen wegens overtredingen van de Algemene Verordening Gegevensbescherming. Als voorbeeld noemt hij schending van de AVG door illegale videobewaking.

Autoriteit Persoonsgegevens Hamburg

Toezichthouder Johannes Caspar van de Autoriteit Persoonsgegevens in de Duitse deelstaat Hamburg zegt inmiddels twee boeteprocedures in gang te hebben gebracht. Ook zegt hij inmiddels diverse waarschuwingen te hebben gegeven. Bijvoorbeeld voor onrechtmatige reclame via e-mail. En voor overtredingen van de AVG door diverse verhuurders die ontoelaatbaar veel gegevens van potentiële huurders vragen.

Caspar zegt dat er op veel gebieden waarschijnlijk sprake is van een hoog niveau van niet-naleving van de regels van de AVG. “Sinds 25 mei 2018 hebben we 1870 klachten ontvangen, tegen 870 klachten in 2017.”

Autoriteit Persoonsgegevens Noordrijn-Westfalen

Helga Block, commissaris voor gegevensbescherming in de Duitse deelstaat Noordrijn-Westfalen, heeft inmiddels de eerste boetebeschikkingen uitgedeeld. “In het bijzonder ging het hier om gevallen waarin wij niet desgevraagd tijdig informatie hebben ontvangen van verantwoordelijke personen”, zegt Block in het Handelsblatt.

Daarnaast treedt Block op tegen het onrechtmatig gebruik van dashcams in auto’s.

Autoriteit Persoonsgegevens Berlijn

In Berlijn staan ook al sancties op stapel. “De eerste boetes onder de nieuwe wet kunnen tegen het einde van het jaar worden verwacht”, vertelt woordvoerster Dalia Kues van de gegevensbeschermingsautoriteit in Berlijn aan het Handelsblatt. Ze legt meteen uit waarom het even duurt voordat het handhavingsbeid van de toezichthouder zichtbaar wordt.

Strenge procedures vertragen handhaving door Autoriteit Persoonsgegevens

“Dergelijke procedures vereisen een uitgebreid en diepgaand onderzoek en doorlopen strenge formele procedurele stappen, waardoor het langer duurt om ze af te ronden”, zegt Kues.

Dat geldt uiteraard ook voor de Nederlandse Autoriteit Persoonsgegevens.

Bij de Autoriteit Persoonsgegevens in Berlijn
komen bijzonder veel klachten binnen over bedrijven die niet voldoen aan het recht op inzage, correctie of verwijdering. Ook komen er veel klachten binnen over SPAM-mail, cookies en ondeugdelijke privacyverklaringen op websites.

Twaalf keer zoveel datalekken

Het aantal datalekken dat sinds 25 mei in Berlijn is gemeld is inmiddels maar liefst twaalf keer zo hoog als in 2017. Er zijn inmiddels 2157 klachten geregistreerd. Een verviervoudiging ten opzichte van 2017.

Veel apps voldoen niet aan de nieuwe privacyregels

Toezichthouder Block van Noordrijn-Westfalen (NRW) merkt ook op dat gegevensbescherming door de nieuwe regels in toenemende mate een probleem aan het worden is bij bedrijven en overheden. “Dit is waarschijnlijk niet in de laatste plaats te wijten aan de toegenomen sanctiemogelijkheden. Met name veel kleinere organisaties zijn zich nu pas bewust geworden van de verplichtingen die ze eigenlijk al hadden onder de oude wet.”

De gegevensbeschermingsautoriteit in NRW heeft tot nu toe zo’n 9000 klachten en vragen geregistreerd. Dat is nu al aanzienlijk meer dan in heel 2017.

Vooral kleine organisaties, freelancers en verenigingen vragen advies bij Autoriteit Persoonsgegevens

Volgens de Berlijnse woordvoerster Kues vragen met name kleine bedrijven, freelancers en verenigingen die zich geen juridisch advies van advocaten of adviesbureaus kunnen veroorloven om advies bij de Autoriteit Persoonsgegevens in Berlijn. “Ze hebben heel vaak betrekking op het ontwerp van websites, vragen over de verplichting van een Functionaris Gegevensbescherming (FG) en verwerkingsovereenkomsten”, aldus Kues.

Personeelstekort bij Autoriteit Persoonsgegevens

De Duitse toezichthouders kunnen door de vele vragen en klachten het werk nauwelijks nog aan. Door gebrek aan personeel blijven veel zaken langer dan zou moeten liggen, melden de toezichthouders in Berlijn en Hamburg. In Noordrijn-Westfalen heeft de toezichthouder inmiddels twintig medewerkers erbij gekregen. Maar dat aantal is nog niet genoeg. Er staan nog diverse vacatures open.

AVG-dwangsom van 150.000 Euro per maand voor UWV als werkgeversportal op 31 oktober niet beter beveiligd is

Het UWV moet van de Autoriteit Persoonsgegevens (AP) op 31 oktober 2019 het beveiligingsniveau van het werkgeversportaal op orde hebben. Als dat niet lukt moet het UWV een dwangsom van 150.000 euro per maand betalen. De boete kan oplopen tot 900.000 Euro.

Het UWV werkgeversportaal wordt door werkgevers en arbodiensten onder meer gebruikt voor het invoeren en inzien van gegevens over ziekteverzuim van werknemers. Het portaal voldoet volgens de AP niet aan de Algemene Verordening Gegevensbescherming (AVG).

De AP eist dat voortaan alleen ingelogd kan worden met minimaal een dubbele authenticatie. Momenteel volstaat een enkel wachtwoord. Het UWV werkgeversplatform wordt maandelijks gebruikt door ongeveer 130.000 ondernemers.

”Het gaat om gezondheidsgegevens van ontzettend veel mensen. Al deze mensen moeten ervan op aan kunnen dat het UWV zorgvuldig met hun gegevens omgaat”, zegt voorzitter Aleid Wolfsen van de Autoriteit Persoonsgegevens.

Het UWV werd een jaar geleden al door de Autoriteit Persoonsgegevens gewaarschuwd dat de beveiliging van het werkgeversportaal moest worden beveiligd. De dwangsom legt nu extra druk bij het UWV. Een woordvoerder zegt dat het UWV de deadline zeker gaat halen.

Facebook hoeft ‘slechts’ 570.000 Euro boete te betalen voor Cambridge Analytica schandaal

Facebook moet in Groot-Brittannië een boete van 570.000 euro betalen voor privacyschendingen die aan het licht kwamen door het Cambridge Analytica schandaal.

Facebook heeft geluk dat de overtredingen plaatsvonden voor de Algemene Verordening Gegevensbescherming (AVG) van kracht werd. Daardoor valt de boete veel lager uit.

De oude privacywetgeving maakt een maximale maximale boete van 570.000 euro mogelijk. Onder de AVG had de ICO een maximale boete van omgerekend 19 miljoen euro kunnen opleggen of 4 procent van de wereldwijde omzet.

Cambridge Analytica was een privaat Brits-Amerikaans databedrijf dat datamining, data-analyse en direct marketing bundelde met strategische communicatie voor verkiezingscampagnes.

In maart 2018 werd een schandaal rond Cambridge Analytica en de Facebook-organisatie onthuld. In het bijzonder gaat het daarbij over de vraag in hoeverre laatstgenoemd platform bewust meewerkte aan illegale manipulatie van de gegevens van miljoenen Facebook-gebruikers ten behoeve van de Trump-campagne in 2016.

Een dag later werd er aanvullend een in het geheim opgenomen film uitgezonden door de Britse tv-zender Channel 4, waarin CEO Nix van Cambridge Analytica uitlegt hoe ze politieke tegenstanders misleiden en dat ze prostituees inzetten als politiek chantagemiddel.

 

De Britse privacytoezichthouder ICO stelde naar aanleiding van het Cambridge Analytica schandaal een onderzoek in. Daaruit bleek dat Facebook tussen 2007 en 2014 de persoonlijke gegevens van gebruikers ontechtmatig verwerkte.

Facebook apps hadden zonder toestemming toegang tot gegevens

Ontwikkelaars die applicaties voor het Facebookplatform ontwikkelden kregen toegang tot de informatie van gebruikers, zonder dat hier duidelijke toestemming voor hadden gegeven.

Ook kregen app-ontwikkelaars toegang tot gegevens van gebruikers die hun app niet hadden gedownload, maar bevriend waren met mensen die dit wel hadden gedaan.

Facebook ging ook de fout in met het beveiligen van persoonlijke informatie omdat het apps en ontwikkelaars op het eigen platform niet voldoende controleerde.

Gegevens vaan 87 miljoen Facebook gebruikers

Zodoende kon onderzoeksbedrijf GSR de gegevens van 87 miljoen Facebookgebruikers downloaden en vervolgens met Cambridge Analytica delen.

Zelfs nadat in december 2015 het misbruik van de data was ontdekt deed Facebook niet genoeg om ervoor te zorgen dat de partijen die deze gegevens in handen hadden die ook verwijderden.

Zo werd het moederbedrijf van Cambridge Analytica pas in 2018 van Facebook geweerd.

Facebook heeft gefaald bij beschermen privacy van gebruikers

“Facebook heeft voor, tijdens en na het onrechtmatig verwerken van deze gegevens gefaald in het voldoende beschermen van de privacy van gebruikers. Een bedrijf van deze omvang en expertise had beter moeten weten en had beter moeten doen”, zegt Elizabeth Denham, de Britse Information Commissioner.

AVG-boete van 400.000 Euro voor Portugees ziekenhuis dat onzorgvuldig met patiëntgegevens omgaat. Uitspraak interessant voor Limburg en rest Europa

Stel dat het VieCuri Medisch Centrum in Venlo inderdaad onzorgvuldig met patientgegevens is omgegaan…

Stel dat de Functionaris Gegevensbescherming (FG) inderdaad niet volgens de regels een datalekprocedure in gang heeft gezet…

Hoe hoog zou de boete die de Autoriteit Persoonsgegevens (AP) dan oplegt dan kunnen uitvallen?

Tot dusver was er nog geen voorbeeld. Geen jurisprudentie. Niet in Nederland en ook niet elders in Europa. Maar daar is deze week toevallig verandering in gekomen.

Portugese Autoriteit Persoonsgegevens legt eerste boete op aan ziekenhuis

Het Centro Hospitalar Barreiro Montijo ziekenhuis in de buurt van Lissabon zou zo onzorgvuldig zijn omgegaan met patiëntengegevens dat de Portugese Autoriteit Persoonsgegevens, de CNPD, deze week een boete van 400.000 euro heeft opgelegd.

Het ziekenhuis heeft aangekondigd de boete te gaan aanvechten bij de rechter.

Die rechtzaak lijkt uitstel van executie, omdat de Portugese toezichthouder een hele duidelijke concrete overtreding van de Europese privacywet heeft vastgesteld.

Honderden onbevoegden hebben toegang tot patientgegevens

“Alleen professionals hebben toegang tot uw gezondheidsinformatie in onze database”, staat er in de Privacy Policy op de website van Centro Hospitalar Barreiro Montijo.

Volgens de Portugese toezichthoudende autoriteit CNPD komt de beveiliging van de patientgegevens in het systeem echter niet eens in de buurt van de vereisten van de Algemene Verordening Gegevensbescherming.

In het Portugese ziekenhuis werken 295 artsen, terwijl er 995 mensen “dokterstoegang” hadden tot de patiëntgegevens.

Datalek in Portugees ziekenhuis werd gemeld door medische vereniging

Het datalek kwam al in juni naar buiten tijdens een inspectie van de CNPD. De toezichthouder kwam in actie na een klacht van een medische vereniging.

Uit het onderzoek bleek dat onder het onverklaarbaar hoge aantal mensen dat zonder goede verklaring toegang had tot de gevoelige medische informatie zich ten minste negen vertegenwoordigers van sociale diensten bevonden.

Ook mensen die alleen als “technische medewerkers” geregistreerd stonden, konden volgens het CNPD de patiëntendossiers inzien.

Portugees ziekenhuis heeft verplichtingen AVG ‘bewust veronachtzaamd’

De CNPD besloot deze week, vier maanden na het eigen onderzoek, op basis van de duidelijke bewijzen tot het opleggen van de eerste zware boete sinds de AVG van kracht geworden is. Het Barreiro-Montijo ziekenhuis heeft volgens de Portugese toezichthouder CNPD de verplichtingen die voortvloeien uit de AVG opzettelijk veronachtzaamd.

Het Barreiro-Montijo ziekenhuis wil juridische stappen ondernemen tegen de beslissing. Enerzijds zijn er twijfels over de bevoegdheid van de autoriteit om een dergelijke sanctie op te leggen. Aan de andere kant verdedigt de kliniek zijn acties. Zo zou er bijvoorbeeld een groot aantal inlogaccounts gecreëerd zijn in verband met tijdelijke contracten met artsen die slechts kort in het ziekenhuis hebben gewerkt.

Ziekenhuis had accounts tijdelijke artsen na vertrek meteen moeten verwijderen

Het CNPD reageerde daar echter onmiddellijk op met de mededeling na het vertrek van de tijdelijke artsen hun inlogaccounts onmiddelijk hadden moeten worden geschrapt.

Het is volgens de Portugese toezichthouder ook niet te rechtvaardigen dat maatschappelijk werkers of zelfs technici informatie over de gezondheidstoestand van de patiënten kunnen inzien.

Uitspraak in Portugal interessant voor heel Europa

De omvang van de beschuldigingen en de hoogte van de opgelegde boete maken de zaak van de Portugese kliniek interessant voor gegevensbeschermers en bedrijven in heel Europa.

De rechtszaak die het Centro Hospitalar Barreiro Montijo tegen de CNPD wil aanspannen kan leiden tot jurisprudentie die duidelijkheid brengt in soortgelijke zaken. Privacyspecialisten zijn bijzonder benieuwd naar de intrepretatie die een rechter geeft in deze zaak.

Uber moet in New York recordboete van 126 miljoen Euro betalen voor verzwijgen enorm datalek

Taxidienst Uber moet in New York 126 miljoen Euro boete betalen wegens het verzwijgen van een datalek.

Niet alleen in Europa kunnen sinds de invoering van de Algemene Verordening Gegevensbescherming (AVG) dus hoge boetes opgelegd worden na datalekken. Dat gebeurt ook in de Verenigde Staten.

I
n plaats van het publiek te informeren over gegevensdiefstal betaalde Uber geld aan hackers om hun mond te houden.

Met name vanwege de poging de zaak in de doofpot te stoppen krijgt Uber de hoogste straf die ooit in een dergelijk geval is opgelegd.

Het hoge bedrag vloeit voort uit een regeling waarin de procureur-generaal de schade bepaalde die door het datalek bij Uber veroorzaakt is bij ingezetenen van de 50 staten van de VS en het District van Colombia.

Ook worden verdere maatregelen ter verbetering van de gegevensbeveiliging opgelegd, zoals een “integriteitsprogramma” en de aanstelling van externe auditors.

Uber gaf in november 2017 toe sinds oktober 2016 een cyberaanval verborgen gehouden te hebben waarbij hackers gegevens over ongeveer 50 miljoen passagiers en 7 miljoen chauffeurs hadden buitgemaakt.

In plaats van de betrokken partijen en autoriteiten te informeren, betaalde Uber de hackers 100.000 dollar om de buitgemaakte gegevens te vernietigen.

Über accepteert de recordboete schuldbewust. “Deze recordvergelijking geeft een duidelijk signaal: we hebben een nultolerantie voor degenen die de wet omzeilen en consumenten- en werknemersgegevens in gevaar brengen”, aldus CEO Underwood.

ICT Nederland verwijt overheid misbruik te maken van AVG. “Disproportionele eisen”

Brancheorganisatie ICT Nederland waarschuwt zijn leden dat de Nederlandse overheid in verband met de Algemene Verordening Gegevensbescherming (AVG) “disproportionele eisen” stelt in nieuwe contracten.

In de nieuwe versie van de algemene voorwaarden legt de overheid standaard de volledige aansprakelijkheid voor privacy bij de leverancier.

Volgens aanbestedingsrecht mag overheid geen disproportionele eisen stellen

In het aanbestedingsrecht geldt dat de overheid geen disproportionele eisen mag stellen aan leveranciers, stelt ICT Nederland. Het eisen van onbeperkte aansprakelijkheid wordt als disproportioneel gezien.

In de door de overheid vastgestelde ‘gids proportionaliteit’ staat hierover: ´De aanbestedende dienst verlangt geen aansprakelijkheid die op geen enkele manier gelimiteerd is.’

“Daarnaast is recent in een vonnis gezegd “… dat ieder computersysteem uiteindelijk kan worden gehackt, zodat [de overheid] ook geen volledig hackfree systeem mocht verwachten” (ECLI:NL:GHARL:2018:7967).

100 procent veilig bestaat niet

Zowel de rechtspraak als de wetgever zijn volgens ICT Nederland het er over eens dat 100% beveiliging niet bestaat en je daarvoor de leverancier dus niet volledig aansprakelijk mag houden. “Waarom is dat dan wel opgenomen in de nieuwe voorwaarden van de overheid?”

Leveranciers moeten nu volgens ICT Nederland garanderen dat de beveiligingsmaatregelen volledige bescherming waarborgen.

De overheid verwijst bij de aansprakelijkheidsclausule in nieuwe overeenkomsten volgens ICT Nederland naar
de Algemene Verordening Gegevensbescherming. Maar dat is volgens de vakorganisatie volkomen onterecht.

Aansprakelijkheid komt niet voor in AVG

“Aansprakelijkheid is NIET een van de onderwerpen uit de AVG. En boetes ook niet”, meldt ICT Nederland aan zijn leden. “Toch zien wij de ene na de andere verwerkersovereenkomst langskomen waarin er allerlei aansprakelijkheid voor privacy bij de leverancier wordt neergelegd. Inclusief boetes van de toezichthouder, ook voor privacy schendingen waar de leverancier als verwerker geen enkele invloed op heeft.”

De eisen die de overheid stelt zijn “disproportioneel”, stelt ICT-Nederland. “
We raden leden aan hier op te letten en bij een aanbesteding kritische vragen te stellen over deze clausules.”

Er is geen juridische reden voor verandering van aansprakelijkheidseisen

De verdeling van aansprakelijkheid is iets wat normaal al in de algemene voorwaarden geregeld is. Er is volgens ICT Nederland geen juridische reden waarom die aansprakelijkheid anders zou moeten worden door de AVG.

“Op dit vlak is er niks veranderd ten opzichte van de oude Wbp. Daarnaast gaat het om contractuele risicoverdelingen, waarover partijen in algemene zin afspraken moeten maken, niet om een eis uit de wet.”

Niet alleen de overheid grijpt de AVG overigens aan om de aansprakelijkheid voor verwerkers opeens op te rekken.

Alsof je je fietsenmaker aansprakelijk kunt stellen als je fiets gestolen wordt

“Er worden absolute garanties geëist op de beveiliging en mocht er dan toch een datalek ontstaan, dan wordt de leverancier altijd voor alles aansprakelijk gesteld. Het is alsof ik mijn fietsenmaker aansprakelijk ga stellen voor mijn gestolen fiets, zelfs als ik zijn advies heb opgevolgd om twee sloten te gebruiken. Absolute veiligheid bestaat niet.”

De overheid gebruikt standaard algemene inkoopvoorwaarden van ARBIT, ARVODI en ARIV. Vaak worden die als take-it-or-leave-it voorgeschreven in aanbestedingen. Als je dus zaken wilt doen met de overheid, kom je moeilijk om deze voorwaarden heen.

Inkoopvoorwaarden aangepast

De inkoopvoorwaarden zijn in verband met de AVG aangepast. Kort gezegd komen de aanpassingen op het volgende neer: de leverancier moet nu garanderen dat de beveiligingsmaatregelen volledige bescherming waarborgen. Daarnaast vervallen alle beperkingen van aansprakelijkheid voor verwerkingen van persoonsgegevens, waarbij boetes van de AP gemakshalve als schade gekwalificeerd worden.

Kritische vragen stellen aan overheid

ICT Nederland adviseert leden om bij het afsluiten van nieuwe contracten kritische vragen te stellen over aansprakelijkheidsclausules. “Vraag tenminste om een limitering van aansprakelijkheid binnen de (toch al niet erg proportionele) bestaande clausule over aansprakelijkheid.”

PrivacyNieuws is benieuwd naar reacties van ondernemers die sinds de AVG worden geconfronteerd met opvallende strenge eisen die gesteld worden. Hoe wordt daarmee omgegaan? Welke eisen worden er gesteld? Wat staat er in die contracten?