Facebook moet in Italië 10 miljoen Euro boete betalen wegens overtreding van Europese privacywet

Facebook is in Italië veroordeeld tot een boete van tien miljoen euro wegens het overtreden van de Algemene Verordening Gegevensbescherming (AVG). De boete is opgelegd door de Italiaanse mededingingsautoriteit AGCM.

AGCM beschuldigt Facebook van een agressieve handelspraktijk omdat de mogelijkheid om op andere sites en applicaties in te loggen met Facebook-accountgegevens vooraf is ingesteld zonder de uitdrukkelijke toestemming van de gebruiker.

De door Facebook geplande opties voor het deselecteren van de functie voldoen niet aan de eisen van de ACG.

Meer actueel awareness nieuws

Oplichters proberen met nepbrieven van Autoriteit Persoonsgegevens ondernemers waardeloze dure AVG-scan te verkopen

De Autoriteit Persoonsgegevens (AP) waarschuwt voor oplichters die zich im nepbrieven voordoen als medewerkers van de toezichthouder en zo ondernemers proberen te misleiden.

In de brief dreigen de profiteurs met een bedrijfsbezoek door de AP, intimideren ze met mogelijk hoge boetes en bieden ze tegen veel geld een volgens de toezichthouder waardeloze AVG-scan aan.

Hoe herken je of een brief van de Autoriteit Persoonsgegevens echt is?

“Correspondentie van de AP is altijd op briefpapier, het is dus geen gekopieerd velletje”, meldt de toezichthouder op zijn eigen website. “Een echte AP-brief is opgesteld in foutloos Nederlands en bevat altijd de naam en het telefoonnummer van een contactpersoon.”

Wie twijfelt aan de juistheid van een brief die afkomstig zou zijn van de AP wordt aangeraden om contact op te nemen.

Bel dan met het Informatie- en Meldpunt Privacy van de AP, 088 – 1805 250. “Samen kunnen we checken of uw brief juist is”, zegt de Autoriteit Persoonsgegevens.

Meer actueel awareness nieuws

Eerste AVG-boete in Duitsland. Sociaal netwerk Knuddels moet 20.000 Euro betalen

De Autoriteit Persoonsgegevens (AP) van de Duitse deelstaat Baden-Württemberg heeft de eerste AVG-boete opgelegd. Het sociale netwerk Knuddels.de – het grootste online chatplatform van Duitsland – moet een boete van 20.000 euro betalen. En komt daarmee volgens de AP wegens goed gedrag goed weg.

Het bedrijf had 808.000 emailadressen en 1.872.000 pseudoniemen en wachtwoordenvan gebruikers ongecodeerd opgeslagen. De fout werd in juli 2018 ontdekt nadat Knuddels.de een datalekprocedure in gang had gezet wegens een hackaanval.

Knuddels.de bestaat sinds 1999. Het chatplatform heeft meer dan twee miljoen geregistreerde leden.

Het bedrijf uit Karlsruhe heeft volgens de AP de verplichting om de veiligheid van persoonlijke gegevens te garanderen geschonden.

De boete had volgens de Duitse AP vele malen hoger uit kunnen vallen. De toezichthouder zegt er echter rekening mee gehouden dat het bedrijf na een hackaanval meteen open kaart heeft gespeeld bij de Autoriteit Persoonsgegevens en alle gebruikers.

Lof van de Autoriteit Persoonsgegevens

De AP zegt dat Knuddels op een voorbeeldige manier heeft samengewerkt met de toezichthouder en de veiligheid van de ICT meteen beduidend heeft verbeterd. “Wie van schade leert en transparant bijdraagt aan de verbetering van de gegevensbescherming, kan als bedrijf ook sterker uit een aanval van een hacker tevoorschijn komen”, aldus de AP.

Meer actueel awareness nieuws

Autoriteit Persoonsgegevens is 5 maanden na start AVG nog opvallend rustig. Stilte voor de storm?

Ruim vijf maanden nadat de Algemene Verordening Gegevensbescherming (AVG) op 25 mei 2018 van kracht is geworden horen we nog steeds opvallend weinig van de Nederlandse Autoriteit Persoonsgegevens (AP). In Duitsland kondigen verschillende toezichthouders inmiddels meerdere boetes aan. Is de rust bij de AP de stilte voor de AVG storm in Nederland?

Uit diverse onderzoeken blijkt dat de meerderheid van de Nederlandse organisaties nog niet voldoet aan de privacywet. Tot dusver zien we dat nog niet terug in de mededelingen die de Autoriteit Persoonsgegevens doet op zijn website.

Nederlandse AP voornamelijk nog gericht op overheid

Tot op heden focust de Nederlandse AP zich nog vrijwel uitsluitend op de overheid en de zorg.

De AP maakte deze week bijvoorbeeld bekend een dwangsom van 150.000 Euro per maand aan het UWV te hebben opgelegd. Het UWV voldoet niet aan beveiligingseisen die voortvloeien uit de Algemene Verordening Gegevensbescherming (AVG). In augustus werd de politie aangepakt en tegen de belastingdienst loopt ook een onderzoek.


Elders in Europa lijken de nationale en regionale toezichthouders veel actiever te zijn dan de Nederlandse Autoriteit Persoonsgegevens. In Portugal en Groot-Brittannie zijn inmiddels de eerste boetes uitgedeeld.

AVG boeteprocedures

De Duitse krant Handelsblatt publiceerde deze week een uitgebreid artikel over maatregelen en boeteprocedures die de diverse toezichthouders in de Duitse deelstaten in gang hebben gezet. De inventarisatie zou een beeld kunnen geven wat Nederlandse organisaties kunnen gaan verwachten van de Autoriteit Persoonsgegevens.

Stefan Brink is voorzitter van de Autoriteit Persoonsgegevens van de Duitse deelstaat Baden-Württemberg. Hij kondigt in het Handelsblatt aan nog dit jaar “aanzienlijke” boetes te zullen opleggen wegens overtredingen van de Algemene Verordening Gegevensbescherming. Als voorbeeld noemt hij schending van de AVG door illegale videobewaking.

Autoriteit Persoonsgegevens Hamburg

Toezichthouder Johannes Caspar van de Autoriteit Persoonsgegevens in de Duitse deelstaat Hamburg zegt inmiddels twee boeteprocedures in gang te hebben gebracht. Ook zegt hij inmiddels diverse waarschuwingen te hebben gegeven. Bijvoorbeeld voor onrechtmatige reclame via e-mail. En voor overtredingen van de AVG door diverse verhuurders die ontoelaatbaar veel gegevens van potentiële huurders vragen.

Caspar zegt dat er op veel gebieden waarschijnlijk sprake is van een hoog niveau van niet-naleving van de regels van de AVG. “Sinds 25 mei 2018 hebben we 1870 klachten ontvangen, tegen 870 klachten in 2017.”

Autoriteit Persoonsgegevens Noordrijn-Westfalen

Helga Block, commissaris voor gegevensbescherming in de Duitse deelstaat Noordrijn-Westfalen, heeft inmiddels de eerste boetebeschikkingen uitgedeeld. “In het bijzonder ging het hier om gevallen waarin wij niet desgevraagd tijdig informatie hebben ontvangen van verantwoordelijke personen”, zegt Block in het Handelsblatt.

Daarnaast treedt Block op tegen het onrechtmatig gebruik van dashcams in auto’s.

Autoriteit Persoonsgegevens Berlijn

In Berlijn staan ook al sancties op stapel. “De eerste boetes onder de nieuwe wet kunnen tegen het einde van het jaar worden verwacht”, vertelt woordvoerster Dalia Kues van de gegevensbeschermingsautoriteit in Berlijn aan het Handelsblatt. Ze legt meteen uit waarom het even duurt voordat het handhavingsbeid van de toezichthouder zichtbaar wordt.

Strenge procedures vertragen handhaving door Autoriteit Persoonsgegevens

“Dergelijke procedures vereisen een uitgebreid en diepgaand onderzoek en doorlopen strenge formele procedurele stappen, waardoor het langer duurt om ze af te ronden”, zegt Kues.

Dat geldt uiteraard ook voor de Nederlandse Autoriteit Persoonsgegevens.

Bij de Autoriteit Persoonsgegevens in Berlijn
komen bijzonder veel klachten binnen over bedrijven die niet voldoen aan het recht op inzage, correctie of verwijdering. Ook komen er veel klachten binnen over SPAM-mail, cookies en ondeugdelijke privacyverklaringen op websites.

Twaalf keer zoveel datalekken

Het aantal datalekken dat sinds 25 mei in Berlijn is gemeld is inmiddels maar liefst twaalf keer zo hoog als in 2017. Er zijn inmiddels 2157 klachten geregistreerd. Een verviervoudiging ten opzichte van 2017.

Veel apps voldoen niet aan de nieuwe privacyregels

Toezichthouder Block van Noordrijn-Westfalen (NRW) merkt ook op dat gegevensbescherming door de nieuwe regels in toenemende mate een probleem aan het worden is bij bedrijven en overheden. “Dit is waarschijnlijk niet in de laatste plaats te wijten aan de toegenomen sanctiemogelijkheden. Met name veel kleinere organisaties zijn zich nu pas bewust geworden van de verplichtingen die ze eigenlijk al hadden onder de oude wet.”

De gegevensbeschermingsautoriteit in NRW heeft tot nu toe zo’n 9000 klachten en vragen geregistreerd. Dat is nu al aanzienlijk meer dan in heel 2017.

Vooral kleine organisaties, freelancers en verenigingen vragen advies bij Autoriteit Persoonsgegevens

Volgens de Berlijnse woordvoerster Kues vragen met name kleine bedrijven, freelancers en verenigingen die zich geen juridisch advies van advocaten of adviesbureaus kunnen veroorloven om advies bij de Autoriteit Persoonsgegevens in Berlijn. “Ze hebben heel vaak betrekking op het ontwerp van websites, vragen over de verplichting van een Functionaris Gegevensbescherming (FG) en verwerkingsovereenkomsten”, aldus Kues.

Personeelstekort bij Autoriteit Persoonsgegevens

De Duitse toezichthouders kunnen door de vele vragen en klachten het werk nauwelijks nog aan. Door gebrek aan personeel blijven veel zaken langer dan zou moeten liggen, melden de toezichthouders in Berlijn en Hamburg. In Noordrijn-Westfalen heeft de toezichthouder inmiddels twintig medewerkers erbij gekregen. Maar dat aantal is nog niet genoeg. Er staan nog diverse vacatures open.

Meer actueel awareness nieuws

AVG-dwangsom van 150.000 Euro per maand voor UWV als werkgeversportal op 31 oktober niet beter beveiligd is

Het UWV moet van de Autoriteit Persoonsgegevens (AP) op 31 oktober 2019 het beveiligingsniveau van het werkgeversportaal op orde hebben. Als dat niet lukt moet het UWV een dwangsom van 150.000 euro per maand betalen. De boete kan oplopen tot 900.000 Euro.

Het UWV werkgeversportaal wordt door werkgevers en arbodiensten onder meer gebruikt voor het invoeren en inzien van gegevens over ziekteverzuim van werknemers. Het portaal voldoet volgens de AP niet aan de Algemene Verordening Gegevensbescherming (AVG).

De AP eist dat voortaan alleen ingelogd kan worden met minimaal een dubbele authenticatie. Momenteel volstaat een enkel wachtwoord. Het UWV werkgeversplatform wordt maandelijks gebruikt door ongeveer 130.000 ondernemers.

”Het gaat om gezondheidsgegevens van ontzettend veel mensen. Al deze mensen moeten ervan op aan kunnen dat het UWV zorgvuldig met hun gegevens omgaat”, zegt voorzitter Aleid Wolfsen van de Autoriteit Persoonsgegevens.

Het UWV werd een jaar geleden al door de Autoriteit Persoonsgegevens gewaarschuwd dat de beveiliging van het werkgeversportaal moest worden beveiligd. De dwangsom legt nu extra druk bij het UWV. Een woordvoerder zegt dat het UWV de deadline zeker gaat halen.

Meer actueel awareness nieuws

Facebook hoeft ‘slechts’ 570.000 Euro boete te betalen voor Cambridge Analytica schandaal

Facebook moet in Groot-Brittannië een boete van 570.000 euro betalen voor privacyschendingen die aan het licht kwamen door het Cambridge Analytica schandaal.

Facebook heeft geluk dat de overtredingen plaatsvonden voor de Algemene Verordening Gegevensbescherming (AVG) van kracht werd. Daardoor valt de boete veel lager uit.

De oude privacywetgeving maakt een maximale maximale boete van 570.000 euro mogelijk. Onder de AVG had de ICO een maximale boete van omgerekend 19 miljoen euro kunnen opleggen of 4 procent van de wereldwijde omzet.

Cambridge Analytica was een privaat Brits-Amerikaans databedrijf dat datamining, data-analyse en direct marketing bundelde met strategische communicatie voor verkiezingscampagnes.

In maart 2018 werd een schandaal rond Cambridge Analytica en de Facebook-organisatie onthuld. In het bijzonder gaat het daarbij over de vraag in hoeverre laatstgenoemd platform bewust meewerkte aan illegale manipulatie van de gegevens van miljoenen Facebook-gebruikers ten behoeve van de Trump-campagne in 2016.

Een dag later werd er aanvullend een in het geheim opgenomen film uitgezonden door de Britse tv-zender Channel 4, waarin CEO Nix van Cambridge Analytica uitlegt hoe ze politieke tegenstanders misleiden en dat ze prostituees inzetten als politiek chantagemiddel.

 

De Britse privacytoezichthouder ICO stelde naar aanleiding van het Cambridge Analytica schandaal een onderzoek in. Daaruit bleek dat Facebook tussen 2007 en 2014 de persoonlijke gegevens van gebruikers ontechtmatig verwerkte.

Facebook apps hadden zonder toestemming toegang tot gegevens

Ontwikkelaars die applicaties voor het Facebookplatform ontwikkelden kregen toegang tot de informatie van gebruikers, zonder dat hier duidelijke toestemming voor hadden gegeven.

Ook kregen app-ontwikkelaars toegang tot gegevens van gebruikers die hun app niet hadden gedownload, maar bevriend waren met mensen die dit wel hadden gedaan.

Facebook ging ook de fout in met het beveiligen van persoonlijke informatie omdat het apps en ontwikkelaars op het eigen platform niet voldoende controleerde.

Gegevens vaan 87 miljoen Facebook gebruikers

Zodoende kon onderzoeksbedrijf GSR de gegevens van 87 miljoen Facebookgebruikers downloaden en vervolgens met Cambridge Analytica delen.

Zelfs nadat in december 2015 het misbruik van de data was ontdekt deed Facebook niet genoeg om ervoor te zorgen dat de partijen die deze gegevens in handen hadden die ook verwijderden.

Zo werd het moederbedrijf van Cambridge Analytica pas in 2018 van Facebook geweerd.

Facebook heeft gefaald bij beschermen privacy van gebruikers

“Facebook heeft voor, tijdens en na het onrechtmatig verwerken van deze gegevens gefaald in het voldoende beschermen van de privacy van gebruikers. Een bedrijf van deze omvang en expertise had beter moeten weten en had beter moeten doen”, zegt Elizabeth Denham, de Britse Information Commissioner.

Meer actueel awareness nieuws

AVG-boete van 400.000 Euro voor Portugees ziekenhuis dat onzorgvuldig met patiëntgegevens omgaat. Uitspraak interessant voor Limburg en rest Europa

Stel dat het VieCuri Medisch Centrum in Venlo inderdaad onzorgvuldig met patientgegevens is omgegaan…

Stel dat de Functionaris Gegevensbescherming (FG) inderdaad niet volgens de regels een datalekprocedure in gang heeft gezet…

Hoe hoog zou de boete die de Autoriteit Persoonsgegevens (AP) dan oplegt dan kunnen uitvallen?

Tot dusver was er nog geen voorbeeld. Geen jurisprudentie. Niet in Nederland en ook niet elders in Europa. Maar daar is deze week toevallig verandering in gekomen.

Portugese Autoriteit Persoonsgegevens legt eerste boete op aan ziekenhuis

Het Centro Hospitalar Barreiro Montijo ziekenhuis in de buurt van Lissabon zou zo onzorgvuldig zijn omgegaan met patiëntengegevens dat de Portugese Autoriteit Persoonsgegevens, de CNPD, deze week een boete van 400.000 euro heeft opgelegd.

Het ziekenhuis heeft aangekondigd de boete te gaan aanvechten bij de rechter.

Die rechtzaak lijkt uitstel van executie, omdat de Portugese toezichthouder een hele duidelijke concrete overtreding van de Europese privacywet heeft vastgesteld.

Honderden onbevoegden hebben toegang tot patientgegevens

“Alleen professionals hebben toegang tot uw gezondheidsinformatie in onze database”, staat er in de Privacy Policy op de website van Centro Hospitalar Barreiro Montijo.

Volgens de Portugese toezichthoudende autoriteit CNPD komt de beveiliging van de patientgegevens in het systeem echter niet eens in de buurt van de vereisten van de Algemene Verordening Gegevensbescherming.

In het Portugese ziekenhuis werken 295 artsen, terwijl er 995 mensen “dokterstoegang” hadden tot de patiëntgegevens.

Datalek in Portugees ziekenhuis werd gemeld door medische vereniging

Het datalek kwam al in juni naar buiten tijdens een inspectie van de CNPD. De toezichthouder kwam in actie na een klacht van een medische vereniging.

Uit het onderzoek bleek dat onder het onverklaarbaar hoge aantal mensen dat zonder goede verklaring toegang had tot de gevoelige medische informatie zich ten minste negen vertegenwoordigers van sociale diensten bevonden.

Ook mensen die alleen als “technische medewerkers” geregistreerd stonden, konden volgens het CNPD de patiëntendossiers inzien.

Portugees ziekenhuis heeft verplichtingen AVG ‘bewust veronachtzaamd’

De CNPD besloot deze week, vier maanden na het eigen onderzoek, op basis van de duidelijke bewijzen tot het opleggen van de eerste zware boete sinds de AVG van kracht geworden is. Het Barreiro-Montijo ziekenhuis heeft volgens de Portugese toezichthouder CNPD de verplichtingen die voortvloeien uit de AVG opzettelijk veronachtzaamd.

Het Barreiro-Montijo ziekenhuis wil juridische stappen ondernemen tegen de beslissing. Enerzijds zijn er twijfels over de bevoegdheid van de autoriteit om een dergelijke sanctie op te leggen. Aan de andere kant verdedigt de kliniek zijn acties. Zo zou er bijvoorbeeld een groot aantal inlogaccounts gecreëerd zijn in verband met tijdelijke contracten met artsen die slechts kort in het ziekenhuis hebben gewerkt.

Ziekenhuis had accounts tijdelijke artsen na vertrek meteen moeten verwijderen

Het CNPD reageerde daar echter onmiddellijk op met de mededeling na het vertrek van de tijdelijke artsen hun inlogaccounts onmiddelijk hadden moeten worden geschrapt.

Het is volgens de Portugese toezichthouder ook niet te rechtvaardigen dat maatschappelijk werkers of zelfs technici informatie over de gezondheidstoestand van de patiënten kunnen inzien.

Uitspraak in Portugal interessant voor heel Europa

De omvang van de beschuldigingen en de hoogte van de opgelegde boete maken de zaak van de Portugese kliniek interessant voor gegevensbeschermers en bedrijven in heel Europa.

De rechtszaak die het Centro Hospitalar Barreiro Montijo tegen de CNPD wil aanspannen kan leiden tot jurisprudentie die duidelijkheid brengt in soortgelijke zaken. Privacyspecialisten zijn bijzonder benieuwd naar de intrepretatie die een rechter geeft in deze zaak.

Meer actueel awareness nieuws

Uber moet in New York recordboete van 126 miljoen Euro betalen voor verzwijgen enorm datalek

Taxidienst Uber moet in New York 126 miljoen Euro boete betalen wegens het verzwijgen van een datalek.

Niet alleen in Europa kunnen sinds de invoering van de Algemene Verordening Gegevensbescherming (AVG) dus hoge boetes opgelegd worden na datalekken. Dat gebeurt ook in de Verenigde Staten.

I
n plaats van het publiek te informeren over gegevensdiefstal betaalde Uber geld aan hackers om hun mond te houden.

Met name vanwege de poging de zaak in de doofpot te stoppen krijgt Uber de hoogste straf die ooit in een dergelijk geval is opgelegd.

Het hoge bedrag vloeit voort uit een regeling waarin de procureur-generaal de schade bepaalde die door het datalek bij Uber veroorzaakt is bij ingezetenen van de 50 staten van de VS en het District van Colombia.

Ook worden verdere maatregelen ter verbetering van de gegevensbeveiliging opgelegd, zoals een “integriteitsprogramma” en de aanstelling van externe auditors.

Uber gaf in november 2017 toe sinds oktober 2016 een cyberaanval verborgen gehouden te hebben waarbij hackers gegevens over ongeveer 50 miljoen passagiers en 7 miljoen chauffeurs hadden buitgemaakt.

In plaats van de betrokken partijen en autoriteiten te informeren, betaalde Uber de hackers 100.000 dollar om de buitgemaakte gegevens te vernietigen.

Über accepteert de recordboete schuldbewust. “Deze recordvergelijking geeft een duidelijk signaal: we hebben een nultolerantie voor degenen die de wet omzeilen en consumenten- en werknemersgegevens in gevaar brengen”, aldus CEO Underwood.

Meer actueel awareness nieuws

ICT Nederland verwijt overheid misbruik te maken van AVG. “Disproportionele eisen”

Brancheorganisatie ICT Nederland waarschuwt zijn leden dat de Nederlandse overheid in verband met de Algemene Verordening Gegevensbescherming (AVG) “disproportionele eisen” stelt in nieuwe contracten.

In de nieuwe versie van de algemene voorwaarden legt de overheid standaard de volledige aansprakelijkheid voor privacy bij de leverancier.

Volgens aanbestedingsrecht mag overheid geen disproportionele eisen stellen

In het aanbestedingsrecht geldt dat de overheid geen disproportionele eisen mag stellen aan leveranciers, stelt ICT Nederland. Het eisen van onbeperkte aansprakelijkheid wordt als disproportioneel gezien.

In de door de overheid vastgestelde ‘gids proportionaliteit’ staat hierover: ´De aanbestedende dienst verlangt geen aansprakelijkheid die op geen enkele manier gelimiteerd is.’

“Daarnaast is recent in een vonnis gezegd “… dat ieder computersysteem uiteindelijk kan worden gehackt, zodat [de overheid] ook geen volledig hackfree systeem mocht verwachten” (ECLI:NL:GHARL:2018:7967).

100 procent veilig bestaat niet

Zowel de rechtspraak als de wetgever zijn volgens ICT Nederland het er over eens dat 100% beveiliging niet bestaat en je daarvoor de leverancier dus niet volledig aansprakelijk mag houden. “Waarom is dat dan wel opgenomen in de nieuwe voorwaarden van de overheid?”

Leveranciers moeten nu volgens ICT Nederland garanderen dat de beveiligingsmaatregelen volledige bescherming waarborgen.

De overheid verwijst bij de aansprakelijkheidsclausule in nieuwe overeenkomsten volgens ICT Nederland naar
de Algemene Verordening Gegevensbescherming. Maar dat is volgens de vakorganisatie volkomen onterecht.

Aansprakelijkheid komt niet voor in AVG

“Aansprakelijkheid is NIET een van de onderwerpen uit de AVG. En boetes ook niet”, meldt ICT Nederland aan zijn leden. “Toch zien wij de ene na de andere verwerkersovereenkomst langskomen waarin er allerlei aansprakelijkheid voor privacy bij de leverancier wordt neergelegd. Inclusief boetes van de toezichthouder, ook voor privacy schendingen waar de leverancier als verwerker geen enkele invloed op heeft.”

De eisen die de overheid stelt zijn “disproportioneel”, stelt ICT-Nederland. “
We raden leden aan hier op te letten en bij een aanbesteding kritische vragen te stellen over deze clausules.”

Er is geen juridische reden voor verandering van aansprakelijkheidseisen

De verdeling van aansprakelijkheid is iets wat normaal al in de algemene voorwaarden geregeld is. Er is volgens ICT Nederland geen juridische reden waarom die aansprakelijkheid anders zou moeten worden door de AVG.

“Op dit vlak is er niks veranderd ten opzichte van de oude Wbp. Daarnaast gaat het om contractuele risicoverdelingen, waarover partijen in algemene zin afspraken moeten maken, niet om een eis uit de wet.”

Niet alleen de overheid grijpt de AVG overigens aan om de aansprakelijkheid voor verwerkers opeens op te rekken.

Alsof je je fietsenmaker aansprakelijk kunt stellen als je fiets gestolen wordt

“Er worden absolute garanties geëist op de beveiliging en mocht er dan toch een datalek ontstaan, dan wordt de leverancier altijd voor alles aansprakelijk gesteld. Het is alsof ik mijn fietsenmaker aansprakelijk ga stellen voor mijn gestolen fiets, zelfs als ik zijn advies heb opgevolgd om twee sloten te gebruiken. Absolute veiligheid bestaat niet.”

De overheid gebruikt standaard algemene inkoopvoorwaarden van ARBIT, ARVODI en ARIV. Vaak worden die als take-it-or-leave-it voorgeschreven in aanbestedingen. Als je dus zaken wilt doen met de overheid, kom je moeilijk om deze voorwaarden heen.

Inkoopvoorwaarden aangepast

De inkoopvoorwaarden zijn in verband met de AVG aangepast. Kort gezegd komen de aanpassingen op het volgende neer: de leverancier moet nu garanderen dat de beveiligingsmaatregelen volledige bescherming waarborgen. Daarnaast vervallen alle beperkingen van aansprakelijkheid voor verwerkingen van persoonsgegevens, waarbij boetes van de AP gemakshalve als schade gekwalificeerd worden.

Kritische vragen stellen aan overheid

ICT Nederland adviseert leden om bij het afsluiten van nieuwe contracten kritische vragen te stellen over aansprakelijkheidsclausules. “Vraag tenminste om een limitering van aansprakelijkheid binnen de (toch al niet erg proportionele) bestaande clausule over aansprakelijkheid.”

PrivacyNieuws is benieuwd naar reacties van ondernemers die sinds de AVG worden geconfronteerd met opvallende strenge eisen die gesteld worden. Hoe wordt daarmee omgegaan? Welke eisen worden er gesteld? Wat staat er in die contracten?

Meer actueel awareness nieuws

Belastingdienst zegt niet in staat te zijn gevoelige persoonsgegevens te beveiligen. Wat gaat de AP nu doen?

De Belastingdienst kan niet garanderen dat gevoelige persoonsgegevens niet zomaar buiten de systemen belanden, schrijft directeur-generaal Jaap Uijlenbroek van de Belastingdienst in een brief aan de Autoriteit Persoonsgegevens (AP).

De toezichthouder heeft de Belastingdienst gevraagd waarom zij zich niet aan de wet houdt als het gaat om databeveiliging.

Autoriteit Persoonsgegevens vroeg in juli fiscus om opheldering

De Autoriteit Persoonsgegevens concludeerde in juli dat de Belastingdienst onder andere moet bijhouden wie bepaalde gegevens uit de systemen ophaalt voor verdere analyse.

Uijlenbroek schrijft in de brief aan de Autoriteit Persoonsgegevens dat dat ‘technisch niet mogelijk is’.

Ook zou het niet mogelijk zijn om via autorisatie de toegang tot de data te beperken.

Staatssecretaris zegt dat Belastingdienst pas volgend jaar aan AVG kan voldoen

Staatssecretaris Menno Snel van Financiën liet eerder weten dat de fiscus pas volgend jaar aan de Algemene Verordening Gegevensbescherming (AVG) kan voldoen. Daardoor is de fiscus fors in overtreding.

Grote vraag is wat de AP nu gaat doen. De Autoriteit Persoonsgegevens zegt ‘niet te schromen om handhavingsmiddelen in te zetten als de overtredingen niet beëindigd zijn’. Dat varieert van een waarschuwing tot boetes of een last onder dwangsom.

Wat gaat de Autoriteit Persoonsgegevens nu doen?

Aangezien de Belastingdienst al jarenlang op de hoogte is van de problemen – en de overheid net als andere organisaties aan de Europese privacyregels moet voldoen – lijkt het onoverkoombaar dat de Autoriteit Persoonsgegevens gaat optreden.

Onthulling tv-programma Zembla

Begin 2017 onthulde het tv-programma ‘Zembla’ dat bij een speciale afdeling van de Belastingdienst de beveiliging volstrekt onvoldoende was.

 

Hoogleraar computerbeveiliging Bart Jacobs verbaasd over verklaring Belastingdienst

Hoogleraar computerbeveiliging Bart Jacobs van de Radboud Universiteit zegt in Trouw verbaast te zijn over de verklaring van Uilenbroek.

“Dit gaat om systemen waarin alle data van de Belastingdienst zijn opgeslagen. Als ergens goede beveiliging aanwezig moet zijn, is het hier. Ik kan me niet indenken dat dat technisch onmogelijk zou zijn.”

Of er sprake is van voldoende beveiliging hangt af van de manier waarop medewerkers daar persoonlijk invulling aan geven, zegt Jacobs.

“Ik mag hopen dat er geen enorme databestanden via de e-mail worden verstuurd. En dat gegevens die wel worden verstuurd binnen de systemen van de Belastingdienst blijven.”

Tweede Kamerlid Pieter Omtzigt gaat debat aanvragen

Tweede Kamerlid Pieter Omtzigt (CDA) noemt het gebrek aan beveiliging ‘heel ernstig’. Hij zegt een debat aan te gaan vragen.

“Een jaar geleden werden al verbeteringen beloofd die nog steeds niet plaatsvinden. De Belastingdienst heeft een van de meest privacy­gevoelige datasets van Nederland. In de omgang daarmee lijken ze privacy totaal niet serieus te nemen.”

Meer actueel awareness nieuws

‘Slechts’ 16,5 miljoen Euro boete voor Britse Tesco bank wegens ontbreken cyberbeveiliging in 2016. Had met nieuwe AVG nu ruim 2,2 miljard Euro kunnen zijn

Wie dacht dat het allemaal wel mee zou vallen met de dreiging van megaboetes bij overtredingen van de AVG heeft het bij het verkeerde eind. In Groot-Brittannie wordt momenteel de toon gezet bij handhaving van de Europese privacyregels.

De Britse bank Tesco heeft een boete van 16,5 miljoen Euro gekregen van de Financial Conduct Authority (FCA) voor het ontbreken van beveiligingsmaatregelen tegen een cyberaanval die in november 2016 plaatsvond.

De fraude heeft de cyberaanvallers in dit geval 2,4 miljoen Euro opgeleverd.

Tesco had geluk bij een ongeluk omdat de nieuwe AVG destijds nog niet van kracht was.

Als de cybercriminelen na 25 mei 2018 hadden goegeslagen, toen AVG in werking trad, had Tesco boetes tot 4% van zijn jaarlijkse omzet moeten betalen. Dat ongeveer 2,2 miljard Euro zou zijn geweest.

De Britse toezichthouder FCA zegt dat organisaties ervoor moeten zorgen dat hun systemen zo inrichten dat het risico van cyberaanvallen bij voorbaat vermindert. Privacy by design en privacy by default, eist de AVG.

Te weinig, te laat

“Dit was te weinig, te laat. Klanten hadden helemaal niet aan het risico mogen worden blootgesteld”, erkent chief executive Gerry Mallon van Tesco achteraf ruiterlijk. Dat is een bijzonder dure les voor de bank.

Tesco Bank kreeg overigens onder de oude regels ook nog 50 procent strafvermindering omdat er op hoog niveau werd meegewerkt tijdens het onderzoek door de toezichthouder. Die had op basis van de oude privacyregels uit 2016 een boete van meer dan 30 miljoen Euro kunnen opleggen.

De boetes kunnen in de toekomst volgens de Britse toezichthouder juist fors hoger uitpakken.

 

Deze sanctie herinnert eraan hoe belangrijk het is dat organisaties rekening houden met hun kwetsbaarheid en investeren in beveiligingsmaatregelen“, aldus de FTA. Financiële verliezen als gevolg van niet-naleving van Europese privacyregels kunnen in potentie hoger uitvallen dan de kosten om een inbreuk tegen te gaan.“

Er zullen in de toekomst zwaardere straffen worden opgelegd. Bedrijven moeten hun IT-infrastructuur opnieuw beoordelen en hun software, webapplicaties en netwerken beveiligen om gevoelige gegevens te helpen beschermen en de naleving ervan te waarborgen.

Indien een dochteronderneming de verordening niet naleeft, worden de boetes ook berekend op basis van de omzet van de moedermaatschappij.

Meer actueel awareness nieuws

Iemand stuurt je een e-mailbericht met in de cc diverse e-mailadressen. Is dat een datalek?

Dit bericht is ook verzonden naar Jantje, Pietje en Klaasje en de chef. De namen en e-mailadressen staan in de cc van het mailbericht. Herkenbaar.

Tot 25 mei 2018 vonden we het soms irritant als we mail kregen met een lange lijst adressen in de cc, maar we wisten niet anders. Iedereen deed het bijna.

Klantenlijst concurrent in de schoot geworpen

En soms was het ook best praktisch. Je kreeg klantenlijsten van concurrenten als het ware in de schoot geworpen. Daar kon je soms wel iets mee. Dat was misschien niet netjes, maar het gebeurde wel…

Na 25 mei veranderde de Algemene Verordening Gegevensbescherming (AVG) de wereld, denken we.

De AVG is niet nieuw. De regels bestonden al

Opeens mag er heel veel niet meer. Vrezen we. Maar in werkelijkheid bestonden deze regels al. En ze konden ook worden gehandhaafd. Met hoge boetes.

Het cc-vak in mailberichten was altijd al een risicogebied. Het cc-veld levert datalekken op.

Wanneer is iets een datalek?

Heel simpel gezegd is iets een datalek als de informatie bij een persoon terecht komt die deze informatie niet zou mogen hebben.

Als je nu nog mailberichten met een riks van andere namen en mailadressen in de cc ontvangt zou je moeten weten dat de afzender een groot probleem heeft (gecreeerd).

Jouw mailadres is onrechtmatig gedeeld

Jouw mailadres is ongevraagd gedeeld met mensen die jij mogelijk niet kent of die wat jou betreft niet hoeven te weten dat jij ook op de hoogte bent. Jij – en anderen in de maillijst – hebben daar geen toestemming voor gegeven.

Degene die de mail naar cc-adressen heeft verzonden heeft een datalek gecreeerd. Er zijn zonder toestemming, zonder grondslag, contactgegevens gedeeld met derden.

De fout wordt waarschijnlijk gezien als een zware overtreding van de Algemene Verordening Gegevensbescherming (AVG). Dat kan de veroorzaker duur komen te staan.

Waarschijnlijk een zware overtreding? Dat is dus nog niet zeker…

Nee, er is nog steeds weinig duidelijk over de manier waarop de Autoriteit Persoonsgegevens overtredingen van de AVG beoordeelt.

Dat betekent niet organisaties zich voorlopig nog niet druk hoeven te maken over fout gebruik van het cc-veld door hun medewerkers.

Schelden op de AVG lijkt logisch, maar is onterecht

Ook voor de AVG mocht het cc-veld al niet zonder grondslag gebruikt worden. En er was ook al een boetelijst vastgesteld.

Het verwerken van gegevens zonder grondslag of het hergebruiken voor niet toegestane doelen viel onder de oude privacywetgeving in de categorieën middel of zwaar.

120.000 Euro boete

De boete lag in beginsel op zijn minst op 120.000 euro, de ondergrens van de bandbreedte van categorie twee (middel). De omvang van de inbreuk weegt mee, dus hoe meer adressen hoe hoger de boete.

Boetelijst Autoriteit Persoonsgegevens (AP)

De Autoriteit Persoonsgegevens heeft voor de AVG nog geen boetelijst gepublieerd. Helaas. Niemand weet waar hij aan toe is.

Maar het ligt in de lijn van de verwachtingen dat de boetes zeker niet lager zullen worden dan onder de oude privacywetgeving.

Hoe voorkom je het risico op een boete? Mag je helemaal geen cc gebruiken?

De eerste logische maatregel die je kunt treffen is voortaan het cc-vak standaard niet meer te gebruiken. Dan loop je zeker geen risico.

Het cc-veld zou dus net zo goed kunnen worden afgeschaft, kun je denken. Misschien gaat dat ook nog wel gebeuren.

CC is soms best praktisch

Er zijn mensen die het praktisch vinden om binnen de eigen organisatie in de mail wel duidelijk te vermelden naar wie het bericht ook is gestuurd. Bijvoorbeeld bij uitnodigingen voor managementoverleg. In dat geval is het geen probleem om het cc-vak te gebruiken.

Je moet oppassen met externe mailadressen. Zodra er een extern adres bij komt kun je beter bcc gebruiken.

Je mag van de AVG niet zonder grondslag persoonsgegevens van derden gebruiken. Wat betekent dat?

Een verwerking zonder grondslag wil zeggen, je doet iets met persoonsgegevens maar je treedt buiten de gegeven toestemming of je kunt geen rechtvaardiging geven onder je dringend eigen belang of onder een overeenkomst die je hebt.

Door het cc-veld te gebruiken in plaats van bcc, het vakje dat de adressen van anderen onzichtbaar maakt, valt daar onder.

Hoe ga je ermee om als een persoon (al dan niet vanuit een organisatie) een mailtje stuurt met verschillende e-mailadressen in de cc? Is dit een datalek?

Officieel gezien is dit een datalek. Als je er op de juiste manier mee om wilt gaan, moet dit in beginsel gemeld worden bij de Autoriteit Persoonsgegevens. En je moet het zeker vermelden in je verwerkingsregister als een incident.

Gelet op de enorme boetebedragen waarmee gedreigd wordt hebben veel organisaties waarschijnlijk de neiging om het cc-datalek niet te melden. Die reactie lijkt logisch, maar is niet slim.

Bewust niet melden datalek is vergelijkbaar met doorrijden na een ongeval

De Autoriteit Gegevensbescherming zou het bij ontdekking vergelijkbaar kunnen opvatten als doorrijden na een ongeval. De straf zal dan zeker hoger uitpakken, omdat je je doelbewust niet aan de wet hebt gehouden.

De kans dat je een boete krijgt als je netjes volgens de AVG-regels een datalekmelding doet is juist kleiner. Waarschijnlijk blijft het bij een berisping als je kunt aantonen dat je maatregelen hebt getroffen.

Leg de e-mailetiquette uit

Bijvoorbeeld door een mail aan het personeel te sturen met uitleg over e-mailetiquette op basis van de AVG of door een AVG Awareness training te organiseren. PrivacyZone kan daarbij helpen.

In de mail aan het personeel over e-mailetiquette kun je overigens een link naar dit artikel van PrivacyZone plaatsen.

Je hoeft met die mail natuurlijk niet te wachten tot het is misgegaan. Wie verstandig is houdt het personeel regelmatig op de hoogte met voor hen en klanten relevante aandachtspunten over privacybeleid binnen je organisatie.

PrivacyZone kan helpen bij het opstellen van een interne of externe AVG Communicatie Strategie voor jouw organisatie

De AVG verlangt van organisaties dat ze kunnen aantonen voortdurend consequent beleidsmatig met privacybeleid bezig te zijn.

Hoe groot is de pakkans?

Veel organisaties denken dat de pakkans klein is en denken dat het risico daarom verwaarloosbaar is.

De Autoriteit Persoonsgegevens heeft te weinig menskracht om proactief te gaan controleren. Dat klopt deels.

AP moet iedere klacht behandelen

Maar wat dan vergeten wordt is dat de Autoriteit Persoonsgegevens op basis van de AVG verplicht is om binnen 30 dagen iedere klacht in behandeling te nemen en bij het constateren van een overtreding dan ook op te treden.

Op dit moment merken we daar misschien nog niet veel van, maar dat zou de bekende stilte voor de storm kunnen zijn. We leggen uit waarom.

Steeds meer mensen zijn op de hoogte van de rechten en plichten die ze dankzij de AVG hebben. Rechten en plichten die voor iedereen gelden.

Iedereen kan aangifte tegen jou doen

Iedereen kan nu op basis van de AVG een organisatie aansprakelijk stellen als de regels niet nageleefd worden.

Het risico om gepakt te worden komt dus niet noodzakelijk rechtstreeks van de Autoriteit Persoonsgegevens. Iedereen kan de vinger op de zere plek leggen.

• Er zijn mensen die streng in de leer zijn en vinden dat iedereen zich aan de wet moet houden. Alleen daarom dienen zij een klacht in bij de Aitoriteit Persoonsgegevens.

• Er kunnen concurrenten zijn die denken er baat bij te hebben om jouw organisatie aan te geven bij de Autoriteit Persoonsgegevens.

• Er kunnen consumentenorganisaties zijn die bij de Autoriteit Persoonsgegevens over jouw organisatie aan de bel trekken.

Neem geen risico.

Pas je privacybeleid aan. De AVG is een feit. Zal niet meer verdwijnen. Heeft voordelen en nadelen. En ach, als je de cc niet meer gebruikt heb je al een van de grootste risico’s op een datalek onder controle.

Meer actueel awareness nieuws