Privacy Nieuws
Het HagaZiekenhuis in Den Haag tekent protest aan tegen de hoge boete van 460.000 Euro die de Autoriteit Persoonsgegevens (AP) heeft opgelegd. Het ziekenhuis kreeg de boete omdat medewerkers onbevoegd in het medisch dossier van tv-ster Samantha de Jong (Barbie) hadden gekeken. Zij was er opgenomen na een zelfmoordpoging.
Volgens voorzitter Aleid Wolfsen van de Autoriteit Persoonsgegevens blijkt uit onderzoek naar de manier van werken in het Haagse ziekenhuis dat de beveiliging van medische gegevens nog steeds niet op orde is. ,,Wat we hebben aangetroffen is een zeer zorgelijke situatie”, zegt Wolfsen tegen EenVandaag. ,,De beveiliging is echt onder de maat. Er wordt niet goed gecontroleerd, mensen kunnen te gemakkelijk bij die medische dossiers.”
Directievoorzitter Carla van de Wiel van het ziekenhuis zegt het zuur te vinden dat het geld nu niet aan patiëntenzorg kan worden besteed. Zij zegt er in een schriftelijke verklaring alles aan te doen om de dwangsom te vermijden van nog eens vele duizenden euro’s waarmee de Autoriteit Persoonsgegevens (AP) dreigt als het ziekenhuis niet binnen korte tijd er voor zorgt dat persoonsgegevens van patiënten beveiligd worden zoals is vastgelegd in de privacywet.
Het ziekenhuis heeft maar liefst 85 ziekenhuismedewerkers bestraft voor het neuzen in het medische dossier van Barbie.
Het ziekenhuis zegt nu de interne beveiliging van patiëntendossiers verder aan te scherpen. Dat is hard nodig, want twee van de in totaal zes onderdelen worden als niet afdoende beoordeeld door de Autoriteit Persoonsgegevens.
Wat er onder meer ontbrak aan de eigen beveiligingsregels was dat er in veel gevallen al ingelogd kon worden met gebruik van enkel gebruikersnaam en wachtwoord.
Eigenlijk zou je pas toegang tot de dossiers moeten krijgen na invoering van gebruikersnaam, wachtwoord én controle van personeelspas en pincode.
Wie met gebruikersnaam en wachtwoord inlogde had bovendien vier uur toegang tot bepaalde gegevens. De bedoeling is dat er in die tijd vaker opnieuw ingelogd moet worden en ook dat de controle op het inloggen vaker moet plaatsvinden.
Het HagaZiekenhuis zegt de nu nog ontbrekende extra controle op het inloggen van medewerkers in dossiers voor oktober aangescherpt te hebben.
Die deadline is ook nodig om te voorkomen dat er bovenop de boete nog een dwangsom moet worden betaald die kan oplopen tot nog eens vele duizenden euro’s.
Privacy Nieuws
Facebook is in Italië veroordeeld tot een boete van tien miljoen euro wegens het overtreden van de Algemene Verordening Gegevensbescherming (AVG). De boete is opgelegd door de Italiaanse mededingingsautoriteit AGCM.
AGCM beschuldigt Facebook van een agressieve handelspraktijk omdat de mogelijkheid om op andere sites en applicaties in te loggen met Facebook-accountgegevens vooraf is ingesteld zonder de uitdrukkelijke toestemming van de gebruiker.
De door Facebook geplande opties voor het deselecteren van de functie voldoen niet aan de eisen van de ACG.
Privacy Nieuws
De Autoriteit Persoonsgegevens (AP) van de Duitse deelstaat Baden-Württemberg heeft de eerste AVG-boete opgelegd. Het sociale netwerk Knuddels.de – het grootste online chatplatform van Duitsland – moet een boete van 20.000 euro betalen. En komt daarmee volgens de AP wegens goed gedrag goed weg.
Het bedrijf had 808.000 emailadressen en 1.872.000 pseudoniemen en wachtwoordenvan gebruikers ongecodeerd opgeslagen. De fout werd in juli 2018 ontdekt nadat Knuddels.de een datalekprocedure in gang had gezet wegens een hackaanval.
Knuddels.de bestaat sinds 1999. Het chatplatform heeft meer dan twee miljoen geregistreerde leden.
Het bedrijf uit Karlsruhe heeft volgens de AP de verplichting om de veiligheid van persoonlijke gegevens te garanderen geschonden.
De boete had volgens de Duitse AP vele malen hoger uit kunnen vallen. De toezichthouder zegt er echter rekening mee gehouden dat het bedrijf na een hackaanval meteen open kaart heeft gespeeld bij de Autoriteit Persoonsgegevens en alle gebruikers.
Lof van de Autoriteit Persoonsgegevens
De AP zegt dat Knuddels op een voorbeeldige manier heeft samengewerkt met de toezichthouder en de veiligheid van de ICT meteen beduidend heeft verbeterd. “Wie van schade leert en transparant bijdraagt aan de verbetering van de gegevensbescherming, kan als bedrijf ook sterker uit een aanval van een hacker tevoorschijn komen”, aldus de AP.
Privacy Nieuws
Ruim vijf maanden nadat de Algemene Verordening Gegevensbescherming (AVG) op 25 mei 2018 van kracht is geworden horen we nog steeds opvallend weinig van de Nederlandse Autoriteit Persoonsgegevens (AP). In Duitsland kondigen verschillende toezichthouders inmiddels meerdere boetes aan. Is de rust bij de AP de stilte voor de AVG storm in Nederland?
Uit diverse onderzoeken blijkt dat de meerderheid van de Nederlandse organisaties nog niet voldoet aan de privacywet. Tot dusver zien we dat nog niet terug in de mededelingen die de Autoriteit Persoonsgegevens doet op zijn website.
Nederlandse AP voornamelijk nog gericht op overheid
Tot op heden focust de Nederlandse AP zich nog vrijwel uitsluitend op de overheid en de zorg.
De AP maakte deze week bijvoorbeeld bekend een dwangsom van 150.000 Euro per maand aan het UWV te hebben opgelegd. Het UWV voldoet niet aan beveiligingseisen die voortvloeien uit de Algemene Verordening Gegevensbescherming (AVG). In augustus werd de politie aangepakt en tegen de belastingdienst loopt ook een onderzoek.
Elders in Europa lijken de nationale en regionale toezichthouders veel actiever te zijn dan de Nederlandse Autoriteit Persoonsgegevens. In Portugal en Groot-Brittannie zijn inmiddels de eerste boetes uitgedeeld.
AVG boeteprocedures
De Duitse krant Handelsblatt publiceerde deze week een uitgebreid artikel over maatregelen en boeteprocedures die de diverse toezichthouders in de Duitse deelstaten in gang hebben gezet. De inventarisatie zou een beeld kunnen geven wat Nederlandse organisaties kunnen gaan verwachten van de Autoriteit Persoonsgegevens.
Stefan Brink is voorzitter van de Autoriteit Persoonsgegevens van de Duitse deelstaat Baden-Württemberg. Hij kondigt in het Handelsblatt aan nog dit jaar “aanzienlijke” boetes te zullen opleggen wegens overtredingen van de Algemene Verordening Gegevensbescherming. Als voorbeeld noemt hij schending van de AVG door illegale videobewaking.
Autoriteit Persoonsgegevens Hamburg
Toezichthouder Johannes Caspar van de Autoriteit Persoonsgegevens in de Duitse deelstaat Hamburg zegt inmiddels twee boeteprocedures in gang te hebben gebracht. Ook zegt hij inmiddels diverse waarschuwingen te hebben gegeven. Bijvoorbeeld voor onrechtmatige reclame via e-mail. En voor overtredingen van de AVG door diverse verhuurders die ontoelaatbaar veel gegevens van potentiële huurders vragen.
Caspar zegt dat er op veel gebieden waarschijnlijk sprake is van een hoog niveau van niet-naleving van de regels van de AVG. “Sinds 25 mei 2018 hebben we 1870 klachten ontvangen, tegen 870 klachten in 2017.”
Autoriteit Persoonsgegevens Noordrijn-Westfalen
Helga Block, commissaris voor gegevensbescherming in de Duitse deelstaat Noordrijn-Westfalen, heeft inmiddels de eerste boetebeschikkingen uitgedeeld. “In het bijzonder ging het hier om gevallen waarin wij niet desgevraagd tijdig informatie hebben ontvangen van verantwoordelijke personen”, zegt Block in het Handelsblatt.
Daarnaast treedt Block op tegen het onrechtmatig gebruik van dashcams in auto’s.
Autoriteit Persoonsgegevens Berlijn
In Berlijn staan ook al sancties op stapel. “De eerste boetes onder de nieuwe wet kunnen tegen het einde van het jaar worden verwacht”, vertelt woordvoerster Dalia Kues van de gegevensbeschermingsautoriteit in Berlijn aan het Handelsblatt. Ze legt meteen uit waarom het even duurt voordat het handhavingsbeid van de toezichthouder zichtbaar wordt.
Strenge procedures vertragen handhaving door Autoriteit Persoonsgegevens
“Dergelijke procedures vereisen een uitgebreid en diepgaand onderzoek en doorlopen strenge formele procedurele stappen, waardoor het langer duurt om ze af te ronden”, zegt Kues.
Dat geldt uiteraard ook voor de Nederlandse Autoriteit Persoonsgegevens.
Bij de Autoriteit Persoonsgegevens in Berlijn
komen bijzonder veel klachten binnen over bedrijven die niet voldoen aan het recht op inzage, correctie of verwijdering. Ook komen er veel klachten binnen over SPAM-mail, cookies en ondeugdelijke privacyverklaringen op websites.
Twaalf keer zoveel datalekken
Het aantal datalekken dat sinds 25 mei in Berlijn is gemeld is inmiddels maar liefst twaalf keer zo hoog als in 2017. Er zijn inmiddels 2157 klachten geregistreerd. Een verviervoudiging ten opzichte van 2017.
Veel apps voldoen niet aan de nieuwe privacyregels
Toezichthouder Block van Noordrijn-Westfalen (NRW) merkt ook op dat gegevensbescherming door de nieuwe regels in toenemende mate een probleem aan het worden is bij bedrijven en overheden. “Dit is waarschijnlijk niet in de laatste plaats te wijten aan de toegenomen sanctiemogelijkheden. Met name veel kleinere organisaties zijn zich nu pas bewust geworden van de verplichtingen die ze eigenlijk al hadden onder de oude wet.”
De gegevensbeschermingsautoriteit in NRW heeft tot nu toe zo’n 9000 klachten en vragen geregistreerd. Dat is nu al aanzienlijk meer dan in heel 2017.
Vooral kleine organisaties, freelancers en verenigingen vragen advies bij Autoriteit Persoonsgegevens
Volgens de Berlijnse woordvoerster Kues vragen met name kleine bedrijven, freelancers en verenigingen die zich geen juridisch advies van advocaten of adviesbureaus kunnen veroorloven om advies bij de Autoriteit Persoonsgegevens in Berlijn. “Ze hebben heel vaak betrekking op het ontwerp van websites, vragen over de verplichting van een Functionaris Gegevensbescherming (FG) en verwerkingsovereenkomsten”, aldus Kues.
Personeelstekort bij Autoriteit Persoonsgegevens
De Duitse toezichthouders kunnen door de vele vragen en klachten het werk nauwelijks nog aan. Door gebrek aan personeel blijven veel zaken langer dan zou moeten liggen, melden de toezichthouders in Berlijn en Hamburg. In Noordrijn-Westfalen heeft de toezichthouder inmiddels twintig medewerkers erbij gekregen. Maar dat aantal is nog niet genoeg. Er staan nog diverse vacatures open.
Privacy Nieuws
Het UWV moet van de Autoriteit Persoonsgegevens (AP) op 31 oktober 2019 het beveiligingsniveau van het werkgeversportaal op orde hebben. Als dat niet lukt moet het UWV een dwangsom van 150.000 euro per maand betalen. De boete kan oplopen tot 900.000 Euro.
Het UWV werkgeversportaal wordt door werkgevers en arbodiensten onder meer gebruikt voor het invoeren en inzien van gegevens over ziekteverzuim van werknemers. Het portaal voldoet volgens de AP niet aan de Algemene Verordening Gegevensbescherming (AVG).
De AP eist dat voortaan alleen ingelogd kan worden met minimaal een dubbele authenticatie. Momenteel volstaat een enkel wachtwoord. Het UWV werkgeversplatform wordt maandelijks gebruikt door ongeveer 130.000 ondernemers.
”Het gaat om gezondheidsgegevens van ontzettend veel mensen. Al deze mensen moeten ervan op aan kunnen dat het UWV zorgvuldig met hun gegevens omgaat”, zegt voorzitter Aleid Wolfsen van de Autoriteit Persoonsgegevens.
Het UWV werd een jaar geleden al door de Autoriteit Persoonsgegevens gewaarschuwd dat de beveiliging van het werkgeversportaal moest worden beveiligd. De dwangsom legt nu extra druk bij het UWV. Een woordvoerder zegt dat het UWV de deadline zeker gaat halen.
Privacy Nieuws
Stel dat het VieCuri Medisch Centrum in Venlo inderdaad onzorgvuldig met patientgegevens is omgegaan…
Stel dat de Functionaris Gegevensbescherming (FG) inderdaad niet volgens de regels een datalekprocedure in gang heeft gezet…
Hoe hoog zou de boete die de Autoriteit Persoonsgegevens (AP) dan oplegt dan kunnen uitvallen?
Tot dusver was er nog geen voorbeeld. Geen jurisprudentie. Niet in Nederland en ook niet elders in Europa. Maar daar is deze week toevallig verandering in gekomen.
Portugese Autoriteit Persoonsgegevens legt eerste boete op aan ziekenhuis
Het Centro Hospitalar Barreiro Montijo ziekenhuis in de buurt van Lissabon zou zo onzorgvuldig zijn omgegaan met patiëntengegevens dat de Portugese Autoriteit Persoonsgegevens, de CNPD, deze week een boete van 400.000 euro heeft opgelegd.
Het ziekenhuis heeft aangekondigd de boete te gaan aanvechten bij de rechter.
Die rechtzaak lijkt uitstel van executie, omdat de Portugese toezichthouder een hele duidelijke concrete overtreding van de Europese privacywet heeft vastgesteld.
Honderden onbevoegden hebben toegang tot patientgegevens
“Alleen professionals hebben toegang tot uw gezondheidsinformatie in onze database”, staat er in de Privacy Policy op de website van Centro Hospitalar Barreiro Montijo.
Volgens de Portugese toezichthoudende autoriteit CNPD komt de beveiliging van de patientgegevens in het systeem echter niet eens in de buurt van de vereisten van de Algemene Verordening Gegevensbescherming.
In het Portugese ziekenhuis werken 295 artsen, terwijl er 995 mensen “dokterstoegang” hadden tot de patiëntgegevens.
Datalek in Portugees ziekenhuis werd gemeld door medische vereniging
Het datalek kwam al in juni naar buiten tijdens een inspectie van de CNPD. De toezichthouder kwam in actie na een klacht van een medische vereniging.
Uit het onderzoek bleek dat onder het onverklaarbaar hoge aantal mensen dat zonder goede verklaring toegang had tot de gevoelige medische informatie zich ten minste negen vertegenwoordigers van sociale diensten bevonden.
Ook mensen die alleen als “technische medewerkers” geregistreerd stonden, konden volgens het CNPD de patiëntendossiers inzien.
Portugees ziekenhuis heeft verplichtingen AVG ‘bewust veronachtzaamd’
De CNPD besloot deze week, vier maanden na het eigen onderzoek, op basis van de duidelijke bewijzen tot het opleggen van de eerste zware boete sinds de AVG van kracht geworden is. Het Barreiro-Montijo ziekenhuis heeft volgens de Portugese toezichthouder CNPD de verplichtingen die voortvloeien uit de AVG opzettelijk veronachtzaamd.
Het Barreiro-Montijo ziekenhuis wil juridische stappen ondernemen tegen de beslissing. Enerzijds zijn er twijfels over de bevoegdheid van de autoriteit om een dergelijke sanctie op te leggen. Aan de andere kant verdedigt de kliniek zijn acties. Zo zou er bijvoorbeeld een groot aantal inlogaccounts gecreëerd zijn in verband met tijdelijke contracten met artsen die slechts kort in het ziekenhuis hebben gewerkt.
Ziekenhuis had accounts tijdelijke artsen na vertrek meteen moeten verwijderen
Het CNPD reageerde daar echter onmiddellijk op met de mededeling na het vertrek van de tijdelijke artsen hun inlogaccounts onmiddelijk hadden moeten worden geschrapt.
Het is volgens de Portugese toezichthouder ook niet te rechtvaardigen dat maatschappelijk werkers of zelfs technici informatie over de gezondheidstoestand van de patiënten kunnen inzien.
Uitspraak in Portugal interessant voor heel Europa
De omvang van de beschuldigingen en de hoogte van de opgelegde boete maken de zaak van de Portugese kliniek interessant voor gegevensbeschermers en bedrijven in heel Europa.
De rechtszaak die het Centro Hospitalar Barreiro Montijo tegen de CNPD wil aanspannen kan leiden tot jurisprudentie die duidelijkheid brengt in soortgelijke zaken. Privacyspecialisten zijn bijzonder benieuwd naar de intrepretatie die een rechter geeft in deze zaak.
Privacy Nieuws
Taxidienst Uber moet in New York 126 miljoen Euro boete betalen wegens het verzwijgen van een datalek.
Niet alleen in Europa kunnen sinds de invoering van de Algemene Verordening Gegevensbescherming (AVG) dus hoge boetes opgelegd worden na datalekken. Dat gebeurt ook in de Verenigde Staten.
In plaats van het publiek te informeren over gegevensdiefstal betaalde Uber geld aan hackers om hun mond te houden.
Met name vanwege de poging de zaak in de doofpot te stoppen krijgt Uber de hoogste straf die ooit in een dergelijk geval is opgelegd.
Het hoge bedrag vloeit voort uit een regeling waarin de procureur-generaal de schade bepaalde die door het datalek bij Uber veroorzaakt is bij ingezetenen van de 50 staten van de VS en het District van Colombia.
Ook worden verdere maatregelen ter verbetering van de gegevensbeveiliging opgelegd, zoals een “integriteitsprogramma” en de aanstelling van externe auditors.
Uber gaf in november 2017 toe sinds oktober 2016 een cyberaanval verborgen gehouden te hebben waarbij hackers gegevens over ongeveer 50 miljoen passagiers en 7 miljoen chauffeurs hadden buitgemaakt.
In plaats van de betrokken partijen en autoriteiten te informeren, betaalde Uber de hackers 100.000 dollar om de buitgemaakte gegevens te vernietigen.
Über accepteert de recordboete schuldbewust. “Deze recordvergelijking geeft een duidelijk signaal: we hebben een nultolerantie voor degenen die de wet omzeilen en consumenten- en werknemersgegevens in gevaar brengen”, aldus CEO Underwood.
Privacy Nieuws
Dit bericht is ook verzonden naar Jantje, Pietje en Klaasje en de chef. De namen en e-mailadressen staan in de cc van het mailbericht. Herkenbaar.
Tot 25 mei 2018 vonden we het soms irritant als we mail kregen met een lange lijst adressen in de cc, maar we wisten niet anders. Iedereen deed het bijna.
Klantenlijst concurrent in de schoot geworpen
En soms was het ook best praktisch. Je kreeg klantenlijsten van concurrenten als het ware in de schoot geworpen. Daar kon je soms wel iets mee. Dat was misschien niet netjes, maar het gebeurde wel…
Na 25 mei veranderde de Algemene Verordening Gegevensbescherming (AVG) de wereld, denken we.
De AVG is niet nieuw. De regels bestonden al
Opeens mag er heel veel niet meer. Vrezen we. Maar in werkelijkheid bestonden deze regels al. En ze konden ook worden gehandhaafd. Met hoge boetes.
Het cc-vak in mailberichten was altijd al een risicogebied. Het cc-veld levert datalekken op.
Wanneer is iets een datalek?
Heel simpel gezegd is iets een datalek als de informatie bij een persoon terecht komt die deze informatie niet zou mogen hebben.
Als je nu nog mailberichten met een riks van andere namen en mailadressen in de cc ontvangt zou je moeten weten dat de afzender een groot probleem heeft (gecreeerd).
Jouw mailadres is onrechtmatig gedeeld
Jouw mailadres is ongevraagd gedeeld met mensen die jij mogelijk niet kent of die wat jou betreft niet hoeven te weten dat jij ook op de hoogte bent. Jij – en anderen in de maillijst – hebben daar geen toestemming voor gegeven.
Degene die de mail naar cc-adressen heeft verzonden heeft een datalek gecreeerd. Er zijn zonder toestemming, zonder grondslag, contactgegevens gedeeld met derden.
De fout wordt waarschijnlijk gezien als een zware overtreding van de Algemene Verordening Gegevensbescherming (AVG). Dat kan de veroorzaker duur komen te staan.
Waarschijnlijk een zware overtreding? Dat is dus nog niet zeker…
Nee, er is nog steeds weinig duidelijk over de manier waarop de Autoriteit Persoonsgegevens overtredingen van de AVG beoordeelt.
Dat betekent niet organisaties zich voorlopig nog niet druk hoeven te maken over fout gebruik van het cc-veld door hun medewerkers.
Schelden op de AVG lijkt logisch, maar is onterecht
Ook voor de AVG mocht het cc-veld al niet zonder grondslag gebruikt worden. En er was ook al een boetelijst vastgesteld.
Het verwerken van gegevens zonder grondslag of het hergebruiken voor niet toegestane doelen viel onder de oude privacywetgeving in de categorieën middel of zwaar.
120.000 Euro boete
De boete lag in beginsel op zijn minst op 120.000 euro, de ondergrens van de bandbreedte van categorie twee (middel). De omvang van de inbreuk weegt mee, dus hoe meer adressen hoe hoger de boete.
Boetelijst Autoriteit Persoonsgegevens (AP)
De Autoriteit Persoonsgegevens heeft voor de AVG nog geen boetelijst gepublieerd. Helaas. Niemand weet waar hij aan toe is.
Maar het ligt in de lijn van de verwachtingen dat de boetes zeker niet lager zullen worden dan onder de oude privacywetgeving.
Hoe voorkom je het risico op een boete? Mag je helemaal geen cc gebruiken?
De eerste logische maatregel die je kunt treffen is voortaan het cc-vak standaard niet meer te gebruiken. Dan loop je zeker geen risico.
Het cc-veld zou dus net zo goed kunnen worden afgeschaft, kun je denken. Misschien gaat dat ook nog wel gebeuren.
CC is soms best praktisch
Er zijn mensen die het praktisch vinden om binnen de eigen organisatie in de mail wel duidelijk te vermelden naar wie het bericht ook is gestuurd. Bijvoorbeeld bij uitnodigingen voor managementoverleg. In dat geval is het geen probleem om het cc-vak te gebruiken.
Je moet oppassen met externe mailadressen. Zodra er een extern adres bij komt kun je beter bcc gebruiken.
Je mag van de AVG niet zonder grondslag persoonsgegevens van derden gebruiken. Wat betekent dat?
Een verwerking zonder grondslag wil zeggen, je doet iets met persoonsgegevens maar je treedt buiten de gegeven toestemming of je kunt geen rechtvaardiging geven onder je dringend eigen belang of onder een overeenkomst die je hebt.
Door het cc-veld te gebruiken in plaats van bcc, het vakje dat de adressen van anderen onzichtbaar maakt, valt daar onder.
Hoe ga je ermee om als een persoon (al dan niet vanuit een organisatie) een mailtje stuurt met verschillende e-mailadressen in de cc? Is dit een datalek?
Officieel gezien is dit een datalek. Als je er op de juiste manier mee om wilt gaan, moet dit in beginsel gemeld worden bij de Autoriteit Persoonsgegevens. En je moet het zeker vermelden in je verwerkingsregister als een incident.
Gelet op de enorme boetebedragen waarmee gedreigd wordt hebben veel organisaties waarschijnlijk de neiging om het cc-datalek niet te melden. Die reactie lijkt logisch, maar is niet slim.
Bewust niet melden datalek is vergelijkbaar met doorrijden na een ongeval
De Autoriteit Gegevensbescherming zou het bij ontdekking vergelijkbaar kunnen opvatten als doorrijden na een ongeval. De straf zal dan zeker hoger uitpakken, omdat je je doelbewust niet aan de wet hebt gehouden.
De kans dat je een boete krijgt als je netjes volgens de AVG-regels een datalekmelding doet is juist kleiner. Waarschijnlijk blijft het bij een berisping als je kunt aantonen dat je maatregelen hebt getroffen.
Leg de e-mailetiquette uit
Bijvoorbeeld door een mail aan het personeel te sturen met uitleg over e-mailetiquette op basis van de AVG of door een AVG Awareness training te organiseren. PrivacyZone kan daarbij helpen.
In de mail aan het personeel over e-mailetiquette kun je overigens een link naar dit artikel van PrivacyZone plaatsen.
Je hoeft met die mail natuurlijk niet te wachten tot het is misgegaan. Wie verstandig is houdt het personeel regelmatig op de hoogte met voor hen en klanten relevante aandachtspunten over privacybeleid binnen je organisatie.
PrivacyZone kan helpen bij het opstellen van een interne of externe AVG Communicatie Strategie voor jouw organisatie
De AVG verlangt van organisaties dat ze kunnen aantonen voortdurend consequent beleidsmatig met privacybeleid bezig te zijn.
Hoe groot is de pakkans?
Veel organisaties denken dat de pakkans klein is en denken dat het risico daarom verwaarloosbaar is.
De Autoriteit Persoonsgegevens heeft te weinig menskracht om proactief te gaan controleren. Dat klopt deels.
AP moet iedere klacht behandelen
Maar wat dan vergeten wordt is dat de Autoriteit Persoonsgegevens op basis van de AVG verplicht is om binnen 30 dagen iedere klacht in behandeling te nemen en bij het constateren van een overtreding dan ook op te treden.
Op dit moment merken we daar misschien nog niet veel van, maar dat zou de bekende stilte voor de storm kunnen zijn. We leggen uit waarom.
Steeds meer mensen zijn op de hoogte van de rechten en plichten die ze dankzij de AVG hebben. Rechten en plichten die voor iedereen gelden.
Iedereen kan aangifte tegen jou doen
Iedereen kan nu op basis van de AVG een organisatie aansprakelijk stellen als de regels niet nageleefd worden.
Het risico om gepakt te worden komt dus niet noodzakelijk rechtstreeks van de Autoriteit Persoonsgegevens. Iedereen kan de vinger op de zere plek leggen.
• Er zijn mensen die streng in de leer zijn en vinden dat iedereen zich aan de wet moet houden. Alleen daarom dienen zij een klacht in bij de Aitoriteit Persoonsgegevens.
• Er kunnen concurrenten zijn die denken er baat bij te hebben om jouw organisatie aan te geven bij de Autoriteit Persoonsgegevens.
• Er kunnen consumentenorganisaties zijn die bij de Autoriteit Persoonsgegevens over jouw organisatie aan de bel trekken.
Neem geen risico.
Pas je privacybeleid aan. De AVG is een feit. Zal niet meer verdwijnen. Heeft voordelen en nadelen. En ach, als je de cc niet meer gebruikt heb je al een van de grootste risico’s op een datalek onder controle.
Privacy Nieuws
Een middelbare school in de Drentse provinciehoofdstad Assen heeft in verband met de Algemene Verordening Gegevensbescherming (AVG) leerlingen verboden om een WhatsApp-groep aan te maken met en voor klasgenoten.
Volgens de Autoriteit Persoonsgegevens, die toeziet op naleving van de privacywet, is dat niet nodig.
De school denkt de privacy van de leerlingen te moeten beschermen.
“Daarover waren wij verrast”, zegt Pauline Gras van de Autoriteit Persoonsgegevens op vragen van de Groningse regionale omroep RTV Noord.
“Staat niet in de wet dat het niet mag”
“Dat kunnen we niet plaatsen. Het staat niet in de wet dat het niet mag. Wat we wel zien is dat scholen heel voorzichtig zijn geworden. En daardoor soms misschien té rigoureus in wat ze allemaal verbieden of tegenhouden. Een appgroep kan juist heel functioneel zijn en bijdragen aan goed onderwijs.”
Volgens Gras is de wet niet te ingewikkeld, maar “passend bij de ingewikkelde maatschappij. Als je een goede reden hebt om persoonsgegevens aan te leveren, kan er heel veel.”
Klacht indienen
Scholen die de regels overtreden hoeven volgens Gras niet direct bang te zijn voor sancties, al is dat in tegenspraak met een uitlating die ze even later doet.
“Nogmaals: de achterliggende gedachte is beschermen”, zegt Gras. “Mocht een school iets doen dat niet de bedoeling is, dan kunnen ouders of leerlingen zelf bij de school aan de bel trekken. Kom je er niet uit, dan kan je bij ons een klacht indienen.”
Sinds de invoering van de wet is de Autoriteit Persoonsgegevens verplicht alle klachten op te pakken. “We kijken er zorgvuldig naar en doen dan een uitspraak.”
Als de dood voor hoge boete
En die laatste uitleg is nou net de reden dat veel scholen het zekere voor het onzekere nemen. Bij twijfel niet doen. Want schoolbestuurders zijn als de dood dat hun school torenhoge boetes krijgt opgelegd vanwege een overtreding. En de bestuurders zijn ook nog eens hoofdelijk aansprakelijk.
Logisch dat die bestuurders geen risico willen nemen.
Waarom bestaat er geen AVG boetelijst?
Als de Autoriteit Persoonsgegevens verplicht is om klachten te beoordelen en een uitspraak te doen wil iedereen graag weten wat er dan verwacht kan worden.
Worden er eerst waarschuwingen uitgedeeld?
Of worden er meteen boetes opgelegd?
En hoe hoog zijn die boetes dan?
Niemand die het weet.
En er is nog geen jurisprudentie.
In heel Europa nog niet.
Wie een verkeersovertreding begaat kan de hoogte van een boete meteen aflezen in een overzicht van justitie.
Waarom is er niet zo’n lijst van de Autoriteit Persoonsgegevens die op basis van de AVG aan andere organisaties oplegt om zo transparant mogelijk te zijn?
Niemand hoeft bang te zijn?
Volgens de Autoriteit Persoonsgegevens kan er dus nog steeds veel en hoeft niemand bang te zijn.
Terwijl juist de onduidelijkheid en het gebrek aan jurisprudentie wel voor angst zorgt.
Wat betreft de onduidelijkheid over het gebruik van Whatsapp op scholen lijkt er nu dus wel duidelijkheid.
De Autoriteit zegt dat het mag.
In dit geval is dat ook logisch. De Whatsapp groepen worden aangemaakt door leerlingen. Niet door de school. Die had en heeft er dus niets over te zeggen.
Hoe zit het met bedrijfsmatige Whatsapp?
Maar hoe zit het dan als de Whatsappgroep wordt aangemaakt door de school zelf?
Of door een andere organisatie?
Whatsapp maakt automatisch gebruik van de contactenlijst op je telefoon. Contacten die misschien geen toestemming hebben gegeven om hun gegevens te delen met Whatsapp.
Jammer dat RTV Noord daar niet over heeft doorgevraagd.
Toch nog onduidelijkheid. PrivacyZone zal de Autoriteit Persoonsgegevens zelf maar eens om opheldering vragen.
