AVG boetes, Privacy Nieuws
Modeketen Hennes & Mauritz (H&M) moet in Duitsland een boete van 35,3 miljoen euro betalen voor het overtreden van de privacywet. De straf is opgelegd door de commissaris voor gegevensbescherming van Hamburg.
H&M blijkt honderden medewerkers van het servicecentrum in Neurenberg in de gaten te hebben houden. De opgelegde boete is bedoeld als afschrikking.
“De onderhavige zaak getuigt van een ernstige veronachtzaming van de gegevensbescherming van de werknemers”, zegt de Hamburgse commissaris voor gegevensbescherming, Johannes Caspar. “Het bedrag van de opgelegde boete is dan ook passend en geschikt om bedrijven ervan te weerhouden de privacy van hun werknemers te schenden”, benadrukte hij.
De zaak valt onder de verantwoordelijkheid van de Hamburgse commissaris voor gegevensbescherming, omdat het bedrijf zijn Duitse hoofdkwartier in de Hanzestad heeft.
De gebeurtenissen waren vorig jaar ontdekt. Uit onderzoek van de toezichthouder blijkt dat H&M ten minste sinds 2014 de informatie over de privé-omstandigheden van werknemers uitgebreid heeft geregistreerd en opgeslagen.
Na vakantie en ziekteverzuim hielden superieuren een “Welcome Back Talk” en vervolgens niet alleen concrete vakantie-ervaringen gedocumenteerd, maar ook ziekteverschijnselen en diagnoses in een aantal gevallen.
Sommige supervisors namen ook uitgebreid kennis van het privéleven van hun werknemers. Van vrij onschadelijke details van familieproblemen en godsdienstige geloven, en roddels van de werkvloer.
Privacy Nieuws
Russische hackers hebben in 2015 twee e-mailboxen van de Duitse bondskanselier Angela Merkel weten te kopiëren, meldt het Duitse blad Der Spiegel. Daarmee is mogelijk het volledige e-mailverkeer van 2012 tot 2015 in handen van de aanvallers gevallen.
Het Duitse magazine meldt dat de digitale aanval is gereconstrueerd door het Bundeskriminalamt (BKA, de Duitse federale politie) en het Federaal Bureau voor Informatiebeveiliging (BSI).
Uit het onderzoek zou blijken dat de aanvaller in mei 2015 toegang had tot de IT-systemen van de Bondsdag. Volgens Der Spiegel is in totaal voor 16 GB aan data buitgemaakt, waaronder mogelijk de e-mails van Merkel.
Dinsdag werd bekend dat de Duitse justitie een arrestatiebevel heeft uitgevaardigd voor een Rus die verdacht wordt van de hack. Dmitriy Badin zou een agent zijn van de Russische inlichtingendienst GRU. In 2018 werd hij in de Verenigde Staten aangeklaagd voor betrokkenheid bij hacks rond de presidentsverkiezingen van 2016.
Een woordvoerder van de Duitse overheid kon niet direct reageren op de publicatie van Der Spiegel. Hetzelfde geldt voor Moskou, dat beschuldigingen van hacks in het buitenland heeft ontkend.
Privacy Nieuws
Duitsland heeft een arrestatiebevel tegen Dimitri Badin uitgevaardigd. De Duitse justitie denkt dat hij een agent is van de Russische militaire inlichtingendienst GRU. De Russische spion zou achter de hack op de Bondsdag in 2015 zitten, meldt de Süddeutsche Zeitung.
In 2015 werd de Bondsdag getroffen door een cyberaanval. De computers werden geïnfecteerd via malware; onder meer de computer van bondskanselier Angela Merkel werd getroffen.
De malware kon op de systemen worden geïnstalleerd via een link in een phishingmail die naar een nepwebsite die op de website van de Verenigde Naties leek leidde.
Na uitgebreid onderzoek van de federale recherche van Duitsland is nu een arrestatiebevel uitgevaardigd tegen Badin. Het is onduidelijk waar hij zich bevindt. Als Badin in Rusland is, zal hij hoogstwaarschijnlijk niet uitgeleverd worden.
Het gebeurt niet vaak dat een specifieke persoon als verdachte wordt aangewezen na een cyberaanval. Meestal kan een aanval alleen tot een hackersgroep waarvan de identiteit onbekend is herleid worden.
Badin wordt al langer gezocht door de FBI. De Amerikaanse inlichtingendienst denkt dat hij achter een aanval op de antidopingautoriteit WADA zit. Daarnaast zou hij verantwoordelijk zijn voor de publicatie van de e-mails van Hillary Clinton.
AVG Corona, Privacy Nieuws
Het ministerie van Binnenlandse Zaken van de Duitse deelstaat Saksen-Anhalt heeft de gezondheidsdiensten opgedragen om persoonlijke / gezondheidsgegevens van alle personen in quarantaine beschikbaar te stellen aan de politiediensten.
De Duitse politie heeft dus persoonlijke gegevens over coronageïnfecteerde personen en contactpersonen ontvangen. En dat is in strijd met de Europese privacywet.
De onwettige opdracht van het ministerie van binnenlandse zaken van Saksen-Anhalt werd onthuld door de website netzpolitik.org. De deelstaat ontkende de gang van zaken aanvankelijk. De politie wilde niet reageren.
De Staatscommissaris voor gegevensbescherming van Saksen-Anhalt stelt een onderzoek in.
Nader onderzoek van netzpolitik.org eerde dat Saksen-Anhalt niet de enige Duitse deelstaat is die de onwettige opdracht aan gezondheidsdiensten heeft gegeven.
Volgens netzpolitik.org zou de minister van Binnenlandse Zaken van Saksen-Anhalt op 22 april 2020 hebben beslist dat de gegevens van 27 tot 31 maart 2020 ter beschikking moeten worden gesteld van alle personen die zich in quarantaine van de federale staat bevinden.
Sindsdien geven de gezondheidsautoriteiten in Saksen-Anhalt gegevens van personen in quarantaine door aan de politie “naar eigen goeddunken en in individuele gevallen”.
Tot 9 april 2020 zijn er meer dan 800 Corona besmettingen geregistreerd in Saksen-Anhalt. De gedeelde gegevens zouden namen, adressen, geboortedata, verblijfplaatsen, nationaliteiten, geslacht en het begin en einde van de officieel vastgestelde quarantaine hebben omvat.
De overdracht, verwerking en opslag van gezondheidsgegevens in politiedatabases was “juridisch problematisch” en de staatssecretaris voor gegevensbescherming moest bij de zaak worden betrokken.
Het ministerie van Binnenlandse Zaken van de deelstaat Saksen-Anhalt ontkende aanvankelijk tegenover netzpolitik.org dat er sprake was geweest van overdrachten van gezondheidsgegevens aan de politie. Later werd bekend dat gezondheids-/persoonsgegevens waren opgeslagen in de recherche-databank van het Rijksbureau voor Strafrechtelijk Onderzoek.
De overdracht van gegevens van besmette personen en contactpersonen werd volgens netzpolitik.org ook in andere Duitse deelstaten ingevoerd. Officieel was het doel van de maatregel om de naleving van de quarantaine te controleren en de politieagenten te beschermen.
Volgens de informatie waarover netzpolitik.org beschikt, heeft de Nedersaksische commissaris voor gegevensbescherming Barbara Thiel de maatregel ook voor haar staat onwettig verklaard. De deelstaatregering van Nedersaksen heeft de gegevensoverdracht echter gehandhaafd.
De controversiële praktijk werd ook in andere deelstaten ingevoerd. Als gevolg van hevige protesten werd de maatregel in de stadstaat Bremen herroepen.
In de deelstaat Baden-Württemberg wordt een verordening betreffende de datatransmissie overeenkomstig de privacywet positief verwacht.
De procedure is in de deelstaat Mecklenburg-Vorpommern gewijzigd. Hier is de overdracht van gezondheidsgegevens nu gebaseerd op de behoefte. Bovendien zal het nu verplicht zijn om de gegevens anoniem en gecodeerd door te geven aan een bepaalde groep mensen in de politiedienst.
Corona-preventie en de verwerking van gezondheidsgegevens
Er bestaat een grote spanning tussen gegevensbescherming / grondrechten en effectieve pandemiebestrijding. Het staat buiten kijf dat mensen en verplegend personeel, het ambtenarenapparaat en andere werknemers met de nodige contacten met het publiek bescherming nodig hebben.
Het is echter opvallend dat vooral bij dergelijke maatregelen de dialoog met de gegevensbeschermingsautoriteiten en ook met de officiële gegevensbeschermingsfunctionarissen actief wordt vermeden.
Juist op zulke momenten kan men verwachten dat men over de divisies heen coördineert met het oog op een holistisch crisismanagement.
Op deze manier kan ervoor worden gezorgd dat de verwerking en overdracht van de autoriteiten voldoen aan de absoluut noodzakelijke, actuele eisen op het gebied van gegevensbescherming en informatiebeveiliging/IT-beveiliging.
AVG boetes, Privacy Nieuws
Een ziekenhuis in de Duitse deelstaat Rijnland-Palts heeft een boete van 105.000 euro geaccepteerd die is opgelegd voor verschillende overtredingen van de privacywet.
De commissaris voor gegevensbescherming van Rijnland-Palts, Dieter Kugelmann, wil met de boete het signaal af geven “dat de toezichthoudende autoriteiten voor gegevensbescherming bijzonder waakzaam zijn op het gebied van de omgang met gegevens in de gezondheidszorg”.
De schendingen van de Algemene Verordening Gegevensbescherming (AVG) kwamen aan het licht na een “verwisseling van patiënten tijdens de opname”. Als gevolg daarvan had het ziekenhuis een onjuiste factuur opgesteld, die “structurele technische en organisatorische tekortkomingen in het patiëntenbeheer” aan het licht bracht.
Kugelmann is tevreden over de inspanningen van het ziekenhuis om het beheer van de gegevensbescherming te ontwikkelen en te verbeteren. “Het is voor mij belangrijk dat er aanzienlijke vooruitgang wordt geboekt op het gebied van de bescherming van gezondheidsgegevens, gezien de bijzondere gevoeligheid van gegevens”, aldus Kugelmann.
Privacy Nieuws
De Autoriteit Persoonsgegevens (AP) van de Duitse deelstaat Baden-Württemberg heeft de eerste AVG-boete opgelegd. Het sociale netwerk Knuddels.de – het grootste online chatplatform van Duitsland – moet een boete van 20.000 euro betalen. En komt daarmee volgens de AP wegens goed gedrag goed weg.
Het bedrijf had 808.000 emailadressen en 1.872.000 pseudoniemen en wachtwoordenvan gebruikers ongecodeerd opgeslagen. De fout werd in juli 2018 ontdekt nadat Knuddels.de een datalekprocedure in gang had gezet wegens een hackaanval.
Knuddels.de bestaat sinds 1999. Het chatplatform heeft meer dan twee miljoen geregistreerde leden.
Het bedrijf uit Karlsruhe heeft volgens de AP de verplichting om de veiligheid van persoonlijke gegevens te garanderen geschonden.
De boete had volgens de Duitse AP vele malen hoger uit kunnen vallen. De toezichthouder zegt er echter rekening mee gehouden dat het bedrijf na een hackaanval meteen open kaart heeft gespeeld bij de Autoriteit Persoonsgegevens en alle gebruikers.
Lof van de Autoriteit Persoonsgegevens
De AP zegt dat Knuddels op een voorbeeldige manier heeft samengewerkt met de toezichthouder en de veiligheid van de ICT meteen beduidend heeft verbeterd. “Wie van schade leert en transparant bijdraagt aan de verbetering van de gegevensbescherming, kan als bedrijf ook sterker uit een aanval van een hacker tevoorschijn komen”, aldus de AP.
Privacy Nieuws
Ruim vijf maanden nadat de Algemene Verordening Gegevensbescherming (AVG) op 25 mei 2018 van kracht is geworden horen we nog steeds opvallend weinig van de Nederlandse Autoriteit Persoonsgegevens (AP). In Duitsland kondigen verschillende toezichthouders inmiddels meerdere boetes aan. Is de rust bij de AP de stilte voor de AVG storm in Nederland?
Uit diverse onderzoeken blijkt dat de meerderheid van de Nederlandse organisaties nog niet voldoet aan de privacywet. Tot dusver zien we dat nog niet terug in de mededelingen die de Autoriteit Persoonsgegevens doet op zijn website.
Nederlandse AP voornamelijk nog gericht op overheid
Tot op heden focust de Nederlandse AP zich nog vrijwel uitsluitend op de overheid en de zorg.
De AP maakte deze week bijvoorbeeld bekend een dwangsom van 150.000 Euro per maand aan het UWV te hebben opgelegd. Het UWV voldoet niet aan beveiligingseisen die voortvloeien uit de Algemene Verordening Gegevensbescherming (AVG). In augustus werd de politie aangepakt en tegen de belastingdienst loopt ook een onderzoek.
Elders in Europa lijken de nationale en regionale toezichthouders veel actiever te zijn dan de Nederlandse Autoriteit Persoonsgegevens. In Portugal en Groot-Brittannie zijn inmiddels de eerste boetes uitgedeeld.
AVG boeteprocedures
De Duitse krant Handelsblatt publiceerde deze week een uitgebreid artikel over maatregelen en boeteprocedures die de diverse toezichthouders in de Duitse deelstaten in gang hebben gezet. De inventarisatie zou een beeld kunnen geven wat Nederlandse organisaties kunnen gaan verwachten van de Autoriteit Persoonsgegevens.
Stefan Brink is voorzitter van de Autoriteit Persoonsgegevens van de Duitse deelstaat Baden-Württemberg. Hij kondigt in het Handelsblatt aan nog dit jaar “aanzienlijke” boetes te zullen opleggen wegens overtredingen van de Algemene Verordening Gegevensbescherming. Als voorbeeld noemt hij schending van de AVG door illegale videobewaking.
Autoriteit Persoonsgegevens Hamburg
Toezichthouder Johannes Caspar van de Autoriteit Persoonsgegevens in de Duitse deelstaat Hamburg zegt inmiddels twee boeteprocedures in gang te hebben gebracht. Ook zegt hij inmiddels diverse waarschuwingen te hebben gegeven. Bijvoorbeeld voor onrechtmatige reclame via e-mail. En voor overtredingen van de AVG door diverse verhuurders die ontoelaatbaar veel gegevens van potentiële huurders vragen.
Caspar zegt dat er op veel gebieden waarschijnlijk sprake is van een hoog niveau van niet-naleving van de regels van de AVG. “Sinds 25 mei 2018 hebben we 1870 klachten ontvangen, tegen 870 klachten in 2017.”
Autoriteit Persoonsgegevens Noordrijn-Westfalen
Helga Block, commissaris voor gegevensbescherming in de Duitse deelstaat Noordrijn-Westfalen, heeft inmiddels de eerste boetebeschikkingen uitgedeeld. “In het bijzonder ging het hier om gevallen waarin wij niet desgevraagd tijdig informatie hebben ontvangen van verantwoordelijke personen”, zegt Block in het Handelsblatt.
Daarnaast treedt Block op tegen het onrechtmatig gebruik van dashcams in auto’s.
Autoriteit Persoonsgegevens Berlijn
In Berlijn staan ook al sancties op stapel. “De eerste boetes onder de nieuwe wet kunnen tegen het einde van het jaar worden verwacht”, vertelt woordvoerster Dalia Kues van de gegevensbeschermingsautoriteit in Berlijn aan het Handelsblatt. Ze legt meteen uit waarom het even duurt voordat het handhavingsbeid van de toezichthouder zichtbaar wordt.
Strenge procedures vertragen handhaving door Autoriteit Persoonsgegevens
“Dergelijke procedures vereisen een uitgebreid en diepgaand onderzoek en doorlopen strenge formele procedurele stappen, waardoor het langer duurt om ze af te ronden”, zegt Kues.
Dat geldt uiteraard ook voor de Nederlandse Autoriteit Persoonsgegevens.
Bij de Autoriteit Persoonsgegevens in Berlijn
komen bijzonder veel klachten binnen over bedrijven die niet voldoen aan het recht op inzage, correctie of verwijdering. Ook komen er veel klachten binnen over SPAM-mail, cookies en ondeugdelijke privacyverklaringen op websites.
Twaalf keer zoveel datalekken
Het aantal datalekken dat sinds 25 mei in Berlijn is gemeld is inmiddels maar liefst twaalf keer zo hoog als in 2017. Er zijn inmiddels 2157 klachten geregistreerd. Een verviervoudiging ten opzichte van 2017.
Veel apps voldoen niet aan de nieuwe privacyregels
Toezichthouder Block van Noordrijn-Westfalen (NRW) merkt ook op dat gegevensbescherming door de nieuwe regels in toenemende mate een probleem aan het worden is bij bedrijven en overheden. “Dit is waarschijnlijk niet in de laatste plaats te wijten aan de toegenomen sanctiemogelijkheden. Met name veel kleinere organisaties zijn zich nu pas bewust geworden van de verplichtingen die ze eigenlijk al hadden onder de oude wet.”
De gegevensbeschermingsautoriteit in NRW heeft tot nu toe zo’n 9000 klachten en vragen geregistreerd. Dat is nu al aanzienlijk meer dan in heel 2017.
Vooral kleine organisaties, freelancers en verenigingen vragen advies bij Autoriteit Persoonsgegevens
Volgens de Berlijnse woordvoerster Kues vragen met name kleine bedrijven, freelancers en verenigingen die zich geen juridisch advies van advocaten of adviesbureaus kunnen veroorloven om advies bij de Autoriteit Persoonsgegevens in Berlijn. “Ze hebben heel vaak betrekking op het ontwerp van websites, vragen over de verplichting van een Functionaris Gegevensbescherming (FG) en verwerkingsovereenkomsten”, aldus Kues.
Personeelstekort bij Autoriteit Persoonsgegevens
De Duitse toezichthouders kunnen door de vele vragen en klachten het werk nauwelijks nog aan. Door gebrek aan personeel blijven veel zaken langer dan zou moeten liggen, melden de toezichthouders in Berlijn en Hamburg. In Noordrijn-Westfalen heeft de toezichthouder inmiddels twintig medewerkers erbij gekregen. Maar dat aantal is nog niet genoeg. Er staan nog diverse vacatures open.
Privacy Nieuws
De hoogste Duitse commissaris voor gegevensbescherming, Andrea Voßhoff, heeft resoluut ingegrepen in de naambordjes discussie die in Duitsland en Oostenrijk al ruim een week voor vette koppen in de media zorgt.
Commissaris Voßhoff adviseert alle ondernemers, instellingen en verenigingen om bij AVG-maatregelen die uitgebreide impact hebben vooraf contact op te nemen met de Autoriteit Persoonsgegevens en advies te vragen.
De hoogste Duitse toezichthouder doet overduidelijk een poging om in de nabije toekomst onnodige imagoschade voor de Europese privacywet te voorkomen. Daarover verderop in dit artikel meer.
Discussie naambordjes beeindigd
Voßhoff maakt in ieder geval klip en klaar duidelijk dat de AVG discussie over naambordjes beeindigd kan worden. De naambordjes op centrale belborden in de hal van flatgebouwen en appartementencomplexen vallen definitief niet onder de Algemene Verordening Gegevensbescherming.
Verhuurders hoeven niets te doen. Dus ook geen toestemming vragen, zoals de toezichthouder in Thüringen adviseerde.
Voßhoff schrijft dat in een verklaring op de website van de federale Duitse toezichthouder BfDI.
Andrea Astrid Voßhoff (geboren 31 juli 1958 in de Duitse plaats Haren (Ems), district Meppen, vlakbij Ter Apel) is een Duits politicus (CDU). Ze was lid van de Duitse Bondsdag van 1998 tot 2013 en is sinds 4 februari 2014 federaal commissaris voor gegevensbescherming en vrijheid van informatie (BfDI). Bron: Wikipedia.
De Europese betekenis van de AVG-naambordjes discussie in Duitsland en Oostenrijk
De Algemene Verordening Gegevensbescherming (AVG) is een Europese privacywet.
De privacyregels zouden sinds 25 mei 2018 in heel Europa identiek moeten zijn.
Maar zo eenvoudig is het in de praktijk niet. De regels kunnen op verschillende manieren worden uitgelegd. Er ontbreekt bovendien nog jurisprudentie over de jonge wet.
Verwarring, onrust en ophef die niet goed is voor de AVG
Dat zorgt voor verwarring, onrust en ophef die niet goed is voor de Algemene Verordening Gegevensbescherming en de diverse toezichthouders in Europa.
De AVG naambordjesdiscussie in Duitsland en Oostenrijk is daar een goed voorbeeld van. De discussie begon in Oostenrijk en sloeg al snel over naar Duitsland.
Waar ging het ook alweer over?
Een huurder in Wenen diende bij de gemeentelijkwoningcorporatie een klacht in omdat zijn naam op het centrale belbord in de hal van een flat was aangebracht. De huurder zag dit als een schending van de Algemene Verordening Gegevensbescherming (AVG).
De huurder kreeg gelijk van de gemeentelijke Functionaris Gegevensbescherming. Vervolgens besloot de woningcorporatie om 200.000 naambordjes in alle gemeentelijke gebouwen in Wenen verwijderen.
Tegenstrijdige AVG adviezen
De zaak zorgde voor grote ophef in Oostenrijk en al snel ook in Duitsland. Diverse privacydeskundigen en toezichthouders gaven in de media tegenstrijdige adviezen af. De verwarring over de interpretatie van de AVG was groot.
De Autoriteit Persoonsgegevens van de Duitse deelstaat Beieren reageerde hevig geirriteerd over de ophef en sprak van een moedwillige poging van tegenstanders van de privacywet om de AVG met onzin in diskrediet te brengen.
Zijn collega in de Duitse deelstaat Thüringen liet in een officiele persverklaring echter weten dat de verhuirders wel schriftelijk toestemming voor de naambordjes moesten vragen bij de huurders.
Wie heeft er gelijk?
Twee toezichthouders die geacht worden de Algemene Verordening Gegevensbescherming als geen ander te kennen geven verschillende adviezen over dezelfde regels.
In Duitsland zijn er 18 toezichthouders. Iedere deelstaat heeft een eigen Autoriteit Persoonsgegevens.
Daarnaast is er nog een overkoepelende federale Autoriteit Persoonsgegevens. Deze hoogste Duitse commissaris voor gegevensbescherming, Andrea Voßhoff, heeft nu resoluut ingegrepen.
Voßhoff geeft op de website van de Duitse federale toezichthouder DfBI gedetailleerd uitleg waarom de AVG bij de belborden niet van toepassing is:
Geen automatische verwerking
“Het plaatsen van naambordjes op centrale belborden is op zich geen geautomatiseerde verwerking, noch een feitelijke of beoogde opslag in bestandssystemen. In zoverre is het toepassingsgebied van het AVG krachtens artikel 2, lid 1, van de AVG in het algemeen niet eens opengesteld voor dergelijke zaken.”
“Zelfs als de AVG van toepassing zou zijn, zou artikel 6, lid 1, onder f), van de AVG (afweging van belangen) als rechtsgrondslag kunnen worden beschouwd naast de toestemming. In bijzondere gevallen zou de huurder dan het recht hebben om op grond van artikel 21 AVG bezwaar te maken tegen de verwerking. De AVG biedt verschillende rechtsgrondslagen voor gegevensverwerking, die ook moeten worden gebruikt.”
Hoe zit het met digitale naamborden?
Einde discussie over de naambordjes dus?
Nee, toch noch niet helemaal. Hoe zit het met Digitale naamborden?
Als er persoonlijke gegevens (bijv. voornaam, achternaam) op een elektronisch scherm worden weergegeven, is dit elektronische gegevensverwerking en is dit onderworpen aan de AVG.
Privacy Nieuws
De ophef in Duitsland en Oostenrijk over het verbod op naambordjes in flats vanwege de AVG is “onzinnig”, meldt de Autoriteit Persoonsgegevens van de Duitse deelstaat Beieren op zijn website.
Voorzitter Thomas Kranig van de Beierse autoriteit zag zich genoodzaakt om zelf pro actief ongevraagd in een persbericht uitgebreid uitleg te geven, omdat de discussie naar aanleiding van artikelen in Duitse en Oostenrijjse media de “zeer goede Europese privacywet in diskrediet brengt”.
Paniekzaaierij
Het gaat volgens Kranig bij de berichtgeving naar aanleiding van een klacht in Wenen om “paniekzaaierij of het streven naar media-aandacht, maar zeker niet om echte gegevensbescherming.”
“Nu niet alleen een Weense woningbouwvereniging haar onzinnige plannen heeft gepubliceerd om de naambordjes in flatgebouwen te verwijderen vanwege de Algemene Verordening Gegevensbescherming (AVG), maar er ook in Duitsland dergelijke discussies worden gevoerd, is het noodzakelijk om er duidelijk op te wijzen dat dit niet nodig is om redenen van gegevensbescherming”, meldt de Beierse toezichthouder op zijn website.
Les privacywetgeving
Dan volgt er een les privacywetgeving en duiding van de regels: “De namen op de ringplaten zijn persoonlijke gegevens. De AVG is van toepassing op “de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens en op de verwerking van persoonsgegevens die niet automatisch worden opgeslagen of bestemd zijn om te worden opgeslagen in een bestandssysteem.”
Bevestigen naambordjes is geen geautomatiseerd proces
“Het bevestigen van naambordjes is geen geautomatiseerd proces”, legt de Duitse toezichthouder uit. “Zelfs als men tot de nauwelijks te rechtvaardigen opvatting zou komen dat de gedrukte naamplaten van de bewoners tot stand zijn gekomen uit een geautomatiseerde verwerking van gegevens, zou de verwerking door de bouwvereniging in het algemeen juridisch toelaatbaar zijn op basis van art. 6 exp. 1 f AVG.”
Pseudonimiseren naambordjes niet nodig volgens AVG
Volgens de wet op de gegevensbescherming is het volgens de Duitse toezichthouder niet nodig om alle naambordjes te pseudonimiseren, d.w.z. de naam te vervangen door een andere benaming zoals cijfers of lettercombinaties.
Op grond van het burgerlijk recht, d.w.z. door middel van huisregels of andere overeenkomsten, kan worden bepaald of en hoe (bv. uniform uiterlijk) de ringplaten kunnen worden gereguleerd.
Rekening houden met postbode, reddingsdiensten en bezoekers
Er kan dan ook rekening worden gehouden met postbedrijven, reddingsdiensten en andere bezoekers.
Betreurenswaardig
“Ik vind het zeer problematisch en ook zeer betreurenswaardig dat in deze onzinnige veronderstellingen de zeer goede Algemene Verordening Gegevensbescherming gebruikt wordt als rechtvaardiging voor iets wat de wet helemaal niet eist en de AVG zo in diskrediet brengen als “wereldvreemd Europees recht”, besluit de Autoriteit Persoonsgegevens van Beieren.
Privacy Nieuws
Jurisprudentie rond de Europese privacywet in andere Europese landen kan ook snel tot discussies en maatregelen leiden in Nederland, voorspelde PrivacyZone eerder deze week. Twee dagen later is het al zo ver in Duitsland.
De Duitse vereniging van vastgoedeigenaren Haus & Grund adviseert zijn 900.000 leden om in verband met de Algemene Verordening Gegevensbescherming (AVG) alle naambordjes van huurwoningen te verwijderen, meldt de Duitse boulevardkrant Bild.
In Wenen moeten 220.000 naambordjes van gemeenschappelijke belborden worden verwijderd
De Duitse vastgoedeigenaren reageren daarmee op het besluit van de gemeentelijke woningcorporatie Wiener Wohnen om in verband met de AVG in de Oostenrijkse hoofdstad Wenen 220.000 naambordjes te verwijderen van gemeenschappelijke belborden in de hal van appartementencomplexen en flats.
De discussie werd volgens de Oostenrijkse nieuwssite Salzburg24geïnitieerd door een bewoner van een appartementencomplex in Wenen die een klacht indiende omdat zijn naam op de intercom stond.
Oostenrijkse privacyvoorvechters spelen discussie over rechtmatigheid naambordjes hoog op
De zaak wordt momenteel in Oostenrijk hoog opgespeeld door ARGE Daten, een organisatie die opkomt voor de privacyrechten van burgers.
De Duitse vereniging van vastgoedeigenaren adviseert zijn leden nu om in navolging van Wiener Wohnen nu ook de naambordjes van gezamenlijke belborden te verwijderen.
“Alleen op deze manier kunnen ze er zeker van zijn dat ze de DSGVO niet schenden”, zegt Kai Warnecke, voorzitter van Haus & Grund, aan BILD. DSGVO is de Duitse afkorting voor de AVG: Datenschutz Grundverordnung.
Warnecke waarschuwt dat het niet naleven van de verordening kan leiden tot boetes tot 20 miljoen euro voor verhuurders. En dat is wanneer huurders klagen dat hun naam op de deur staat en ze daardoor hun privacy verstoord zien.
Duitse vereniging van vastgoedeigenaren vindt dat 20 miljoen huurders moeten opdraaien voor kosten verwijderen belborden
Warnecke schat dat het vervangen van de belplaten in alle 20 miljoen huurwoningen in Duitsland 200 miljoen euro kan kosten. De verhuurders zouden daarvoor moeten betalen.
De woningcorporaties Vonovia (400.000 huurwoningen in Duitsland) en Deutsche Wohnen (160.000) hebben inmiddels te kennen gegeven dat zij nog niet van plan zijn om het advies van Haus & Grund op te volgen.
Klingelschild-verwarring (Klingel = deurbel)
De Duitse huurdersorganisatie Deutsche Wohnen vreest een “Klingelschild-verwarring” in geval van ontmanteling van de centrale belborden. De toegankelijkheid van de appartementen zou in het geding kunnen komen. “Als er twijfels bestaan over de wettigheid van naambordjes, worden politici opgeroepen om op te treden”, zegt algemeen directeur Ulrich Ropertz van Deutsche Wohnen.
Hij adviseert huurders die ervoor willen zorgen dat bekenden, pakket- en bezorgdiensten ook in de toekomst op de juiste bel kunnen blijven drukken in wooncomplexen met honderden huurders.
Privacy Nieuws
Nederlandse online ondernemers die hun activiteiten naar Duitsland willen uitbreiden doen er sinds 25 mei 2018 meer dan ooit verstandig aan er voor te zorgen dat ze zich juridisch zeer zorgvuldig voorbereiden.
Wie denkt dat dankzij de Europese privacywetgeving iedere Nederlandse site die voldoet aan de AVG zonder problemen na een eenvoudige vertaling ook voldoet aan de Duitse wet begeeft zich op bijzonder glad ijs. In dit artikel leggen we uit waarom.
DSGVO
De Algemene Verordening Gegevensbescherming (AVG) is in Duitsland bekend als Datenschutz-Grundverordnung (DSGVO).
De privacyregels zijn in heel Europa gelijk. Toch is er een wezenlijk verschil tussen Duitsland en de rest van Europa. Dat is de handhaving. In Nederland rekenen veel ondernemers op coulance bij de handhaving van de regels. Ze houden rekening met een overgangsperiode. Eerst waarschuwingen, dan pas boetes.
Risicomanagement AVG
De praktijk moet nog uitwijzen of het vertrouwen in de Nederlandse gedoogcultuur verstandig risicomanagement is.
Duitse ondernemers nemen die gok in ieder geval niet. En dat heeft te maken met de totaal andere manier waarop de naleving van de DSGVO in Duitsland gecontroleerd en gehandhaafd wordt. Duitsland heeft de handhaving als het ware geprivatiseerd.
Abmahnung DSGVO
Grote gespecialiseerde advocatenkantoren controleren websites van bedrijven op onregelmatigheden. Het minste of geringste verzuim wordt aangegrepen om een Abmahnung (waarschuwing) naar de eigenaar van de site te sturen. Een waarschuwing met eis tot aanpassing van de site binnen 14 dagen en meteen een gepeperde rekening van het advocatenkantoor, veelal ruim duizend Euro.
Wie niet reageert wordt voor de rechter gesleept en verliest de rechtszaak vrijwel zeker. De boetes lopen dan al gauw in de tienduizenden Euros.
Deze gang van zaken was in Duitsland ook voor de privacywet al gangbaar. De DSGVO zorgt er nu voor dat Duitse ondernemers als de dood zijn om ook maar het geringste steekje te laten vallen.
12.500 Euro Smartengeld
Een recent voorbeeld: een webshopeigenaar had verzuimd om zijn site te beveiligen met SSL. Hij kreeg een Abmahnung van 12.500 Euro. De klager wil een smartegeldvergoeding! Absurd, denkt u nu waarschijnlijk. Dat mag, maar als u zo’n Abmahnung ontvangt zult u hoe dan ook meteen in actie moeten komen. U zult een advocaat moeten inschakelen. Of u wint of verliest, het kost u veel tijd, ergernis en geld.
Vijf procent van de Duitse online bedrijven heeft al een waarschuwing ontvangen op basis van het DSGVO, blijkt uit onderzoek van het Bundesverband Digitale Wirtschaft (BVDW) e.V. onder zijn 278 leden. 28 procent verwacht binnenkort ook een Abmahnung te ontvangen.
43 procent van de Duitse online ondernemers geeft aan de digitale activiteiten te hebben beperkt vanwege het DSGVO.
56 procent Duitse bedrijven ervaart negatieve impact op omzet
Meer dan de helft (56 procent) van de ondervraagde bedrijven in de BVDW-studie verklaarde dat de hervorming van de gegevensbescherming een negatieve of zeer negatieve impact zal hebben op de omzetontwikkeling. Eén op de drie bedrijven (34 procent) ziet geen impact op de omzet.
Aufsichtsbehörde
PrivacyZone begeleidt ook Nederlandse ondernemers die actief zijn in Duitsland. Voor deze bedrijven is professionele Duitstalige ondersteuning van extra belang. Bij vragen of problemen in betrekking tot de privacyregels moet in Duitsland net als in Nederland contact opgenomen worden met de Autoriteit Persoonsgegevens. En dat zijn er in Duitsland veel meer dan in Nederland.
Iedere Duitse deelstaat heeft een Aufsichtsbehörde (Duitse lokale autoriteit persoonsgegevens) die zich bezighoudt met de bescherming van persoonsgegevens in de regio. Zij voeren ook steekproeven uit bij bedrijven en overheidsorganisaties.
Ondernemers die in heel Duitsland actief zijn kunnen dus door de autoriteiten in ieder Bundesland gecontroleerd en beboet worden wannneer de zaken niet op orde zijn, of er incorrect met de gegevens wordt omgesprongen. Iedere Aufsichtsbehörde kan hoge boetes opleggen wanneer de stukken niet voldoen aan de gestelde eisen.
Als ondernemer loop je niet alleen het risico op een boete door controles van Duitse toezichthouders. Iedereen heeft het recht jouw bedrijf een Abmahnung – een aanmaning – te sturen wanneer de Datenschutzerklärung of AGB niet voldoen aan de wet. De overtreding wordt gezien als oneerlijke concurrentie. Dit wordt gezien als een economisch delict. Een Abmahnung leidt tot hoge advocaatkosten plus kosten om de documenten te laten corrigeren.
PrivacyZone kan Nederlandse ondernemers begeleiden in hun communicatie met Duitse toezichthouders, die over het algemeen louter communiceren in de Duitse taal. Dat is voor PrivacyZone geen probleem.
AhaErlebizz Deutschland
PrivacyZone werkt voor de Duitse markt samen met marketing en communicatiebureau AhaErlebizz Deutschland, het Duitse advocatenkantoor Alpmann Fröhlich uit Rheine en het Nederlandse advocatenkantoor Rein uit Assen.
Astrid Brouwer van AhaErlebizz Deutschland heeft de Duitse nationaliteit. Zij begeleidt Nederlandse ondernemers op de Duitse markt.
De advocatenkantorenAlpmann Fröhlich en Rein zijn gespecialiseerd in grensoverschrijdend ondernemen tussen Nederland en Duitsland.
Samenvatting
Nederlandse ondernemers die denken klaar te zijn met een eenvoudige letterlijke vertaling van de Nederlandse site lopen sinds 25 mei in Duitsland grotere risico’s dan ooit.
Laat uw Duitse site doorlichten door PrivacyZone.nl. Wij kunnen u in samenwerking met communicatie en marketingbureau AhaErlebizz en de advocatenkantoren Alpmann Fröhlich en Rein helpen om zowel uw Nederlandse als uw Duitse site privacyproof te maken.
Bel: 0598-468860
Privacy Nieuws
Het Europese Hof van Justitie heeft bepaald dat beheerders van fanpagina’s op Facebook net zo verantwoordelijk zijn voor de verwerking en bescherming van persoonsgegevens als Facebook zelf.
Het hof deed dinsdag uitspraak in een zaak die was aangespannen door de Duitse Wirtschaftsakademie Schleswig-Holstein tegen een privébedrijf dat onderwijsdiensten aanbiedt via onder meer een fanpagina op Facebook.
Volgens het hof kan een beheerder zich niet verschuilen door te zeggen dat hij gebruikmaakt van de diensten van Facebook.
De Duitse toezichthouder had het bedrijf in 2011 bevolen de pagina te deactiveren. Zowel het bedrijf als Facebook hadden niet aan de bezoekers gemeld dat Facebook met cookies persoonlijke informatie over hen verzamelde en dat de paginabeheerder deze informatie vervolgens verwerkte.
Het ging onder meer om geanonimiseerde data over de doelgroep van het bedrijf, zoals leeftijd, geslacht, burgerlijke staat en beroep, informatie over online aankopen van de bezoekers en geografische gegevens. Met die informatie kan de beheerder van de fanpagina bijvoorbeeld gerichter zijn diensten aanprijzen.
De toezichthouder in het land van de beheerder van de fanpagina mag volgens het hof ingrijpen als de beheerder de EU-regels voor databescherming schendt.
Beheerders die deze verantwoordelijkheid niet willen, kunnen volgens het hof kiezen om de zogenoemde Insights-functies van Facebook niet te gebruiken.
Met Insights-functies krijgen paginabeheerders inzicht in het gedrag van hun bezoekers. Die gegevens worden ook op de apparaten van de beheerder opgeslagen.
Mede daarom is ook de beheerder verantwoordelijk voor de bescherming en verwerking van die data.
Gedeelde verantwoordelijkheid
Het hof zegt dat buiten kijf staat dat Facebook verantwoordelijk is voor de verwerking van de gegevens.
Maar dat neemt volgens de Europese rechters niet weg dat ook een beheerder verplicht is de EU-regels voor de bescherming van persoonsgegevens te volgen.
Facebook ligt al maanden onder vuur wegens het slordig en commercieel omspringen met persoonsgegevens. Met deze uitspraak wordt de verantwoordelijkheid voor de privacy ook deels bij beheerders van Facebook-pagina’s gelegd.
