AVG onderzoek KPMG: Nederlanders weten weinig van privacywet en zijn ook niet van plan er iets mee te doen

Nederlanders zijn nauwelijks bekend met de inhoud van de nieuwe privacyrechten die zij met de nieuwe Europese privacywet hebben gekregen. Dit blijkt uit het onderzoek Een Beetje Privacy Graag van accountantsbureau KPMG.

Het onderzoek Een Beetje Privacy Graag is uitgevoerd onder ruim 1.000 Nederlandse burgers. Bijna iedere Nederlander, 98%, blijkt inmiddels op de hoogte van de AVG.

“Iets meer dan 80% zegt volmondig ‘ja’ op de vraag of zij op de hoogte zijn van de invoering van de AVG”, zegt Koos Wolters, partner bij KPMG en deskundige op het gebied van privacy.

Bijna 20 procent heeft gehoord van AVG

“Bijna 20% heeft er wel eens van gehoord. Als wij kijken naar de resultaten van het onderzoek dat wij vlak voor de invoering van de wet hebben uitgevoerd, dan zien wij een duidelijke stijging.”

In maart van dit jaar was ruim 80% van de Nederlanders niet bekend met de invoering van de AVG.

Van de Nederlanders die nu met veel overtuiging aangeven bekend te zijn met de wet, weet ruim 60% echter niet welke nieuwe rechten zij hebben gekregen.

Weinig animo om data te laten verwijderen

Minder dan de helft van de ondervraagde Nederlanders zegt gebruik te willen maken van het recht om organisaties en bedrijven te benaderen om persoonsgegevens te laten verwijderen.

Wolters: “Burgers die wel gebruik maken van hun nieuwe rechten richten hun pijlen met name op de overheid en zorgaanbieders om persoonsgegevens te kunnen inzien.”

Twitter en Facebook

Als het gaat om het laten verwijderen van persoonlijke data voeren bedrijven als Facebook en Twitter de ranglijst aan.

Ruim 30% van de Nederlanders geeft aan gebruik te willen maken van het recht op vergetelheid bij de sociale media.

In dat kader is het opvallend dat slechts 5% zijn Facebook account heeft verwijderd nadat bekend werd dat persoonlijke gegevens op grote schaal op straat waren komen te liggen.

Mensen maken zich wel zorgen over privacy, mast doen er niets aan

Aan de ene kant maken veel mensen zich duidelijk zorgen over het feit dat gegevens misbruikt worden, aan de andere kant maken zij nauwelijks gebruik van de mogelijkheden die er zijn om hun privacy beter te waarborgen.

De beperkte belangstelling voor het waarborgen van de privacy uit zich ook in de wijze waarop veel Nederlanders vlak voor het van kracht worden van de AVG zijn omgegaan met de stortvloed aan privacyverklaringen.

Privacyverklaringen worden niet serieus bekeken

Zo’n 40% heeft de e-mails met privacyverklaringen nauwelijks serieus bekeken.

Ruim 20% geeft aan dat zij alleen de privacyverklaringen hebben gelezen van organisaties waarvan zij het belangrijk vinden dat zij zorgvuldige met persoonlijke gegevens omgaan, zoals verzekeringsmaatschappijen, zorgaanbieders en de overheid.

Voorzorgsmaatregelen nauwelijks benut

Hoewel bijna 70% van de Nederlanders privacy zeer belangrijk vindt en meer controle wil op het internet, worden voor de hand liggende maatregelen in beperkte mate genomen.

Wolters: “Minder dan de helft verwijdert inmiddels browsercookies en minder dan 40% beheert de zichtbaarheid van persoonlijke informatie op de sociale media.”

Gebruikersnamen en wachtwoorden om sites te bezoeken worden door minder dan 40% van de Nederlanders met regelmaat gewijzigd.

Bijna niemand leest privacyregelement op websites

Slechts 18% leest bij een bezoek aan een website het privacyreglement en niet meer dan 11% de meldingen over cookies.

En ook andere mogelijkheden worden relatief onbenut gelaten.

Bijna 20% heeft de incognito modus in de webbrowser geactiveerd om te voorkomen dat gebruikers van dezelfde computer het internetgedrag kunnen volgen.

De mogelijkheid tot encryptie, één van de meest effectieve manieren om te voorkomen dat persoonlijke informatie door buitenstaanders kan worden gelezen, wordt door niet meer dan 15% gebruikt.

Nederlandse malware hunter ontdekt vlak voor verkiezingen in Beieren datalek in Magento webshop regeringspartij CSU

De webshop van de Beierse politieke partij CSU blijkt voor de verkiezingen in de Duitse deelstaat gehackt te zijn. Het datalek werd ontdekt door de onafhankelijke Nederlandse privacy consultant en malware hunter Willem de Groot.

De CSU verloor bij de verkiezingen afgelopen zondag fors. En naar nu blijkt liggen daarnaast ook nog de klantgegevens van alle mensen die sinds 5 oktober CSU-fanartikelen en verkiezingsmateriaal in de webshop van de partij kochten op straat.

De CSU-webshop is momenteel niet meer bereikbaar.

Politiek gemotiveerde hack?

Op dit moment is het niet duidelijk of de aanval politiek gemotiveerd was. Maar dat zou kunnen, omdat de hackers enkel contactgegevens van de klanten van een politieke partij hebben buitgemaakt. De politieke voorkeur van deze klanten ligt dan voor bijna honderd procent voor de hand.

Politieke voorkeur valt onder hogere risicoklasse in AVG

De politieke voorkeur van mensen valt net als medische gegevens en etnische afkomst binnen de AVG onder de categorie bijzondere persoonsgegevens. Dit is een hogere risicocategorie die bij aantoonbaar nalatig handelen tot hogere boetes kan leiden.

 

De Nederlandse privacyspecialist Willem de Groot legt op zijn website en op Twitter uit dat de hackers waarschijnlijk gebruik hebben gemaakt van een ongepatchte kwetsbaarheid in de webshopsoftware of een zwak beheerderswachtwoord.

In dat geval is er duidelijk sprake van nalatigheid bij de CSU.

Webshop CSU is gebouwd met Magento software

De webshop van de CSU is gebouwd met de wereldwijd veel gebruikte webwinkelsoftware Magento.

Volgens De Groot zijn de cybercriminelen op 5 oktober in de webshop binnengedrongen met een Javascriptvirus.

 

De schadelijke JavaScript-code zou de gegevens van de kopers tijdens het betalingsproces hebben onderschept.

Hackers wisten dat ze alleen contactgegevens konden buitmaken

Omdat de CSU online shop alleen gebruik maakt van externe betalingsdienstaanbieders zoals Amazon en PayPal, moet het voor de aanvallers van meet af aan duidelijk zijn geweest dat zij via de door hen gekozen aanvalsroute geen toegang hadden tot de betalingsgegevens zelf.

De hackers konden op deze manier alleen namen en postadressen onderscheppen.

De Groot zegt aan de andere kant dat Magento webshops momenteel vaak worden gehackt.

Wereldwijd 40.000 Magento shops geinfecteerd met Magecart

“Het gaat niet alleen om de Duitse coalitiepartij”, schrijft De Groot op zijn website. Magento websites worden wereldwijd met grote regelmaat op dezelfde manier gehackt. “Ik heb vorige week de 40.000ste gecompromitteerde winkel geteld. De modus operandi is algemeen bekend als “Magecart”.”

Ook de Magentowebshops van grote ondernemingen als British Airways, Ticketmaster en ABS-CBN zijn volgens De Groot op dezelfde manier gehackt.

Slechts 10 procent van de werknemers aangesproken op onzorgvuldige omgang met privacygevoelige informatie

De AVG leeft nog niet bepaald op de werkvloer. Werknemers worden nauwelijks aangesproken op het naleven van de Europese privacyregels. Werknemers spreken collega’s wel aan op het verzaken van huishoudelijke taken op kantoor.

Slechts 10 procent van de werknemers is al eens aangesproken op onzorgvuldige omgang met privacygevoelige informatie, blijkt uit onderzoek van Fellowes onder ruim 7000 respondenten uit zeven Europese landen, waaronder Nederland.

Fellowes is een bedrijf dat produkten verkoopt waarmee digitale en papieren databestanden veilig kunnen worden afgeschermd, opgeslagen of vernietigd.

Onduidelijk wie verantwoordelijk is voor privacybeleid

Uit het onderzoek blijkt tevens dat het niet altijd duidelijk is wie verantwoordelijk is voor de controle op omgang met privacygevoelige documenten.

Dertien procent heeft geen idee wie dit is.

Een derde (29%) van de werknemers geeft aan dat iedereen binnen het bedrijf verantwoordelijk is voor de naleving van de AVG. De
directie (21%) en de Data Protection Officer (15%) worden daarnaast het meest aangewezen als verantwoordelijke.

Opmerkelijk genoeg heeft een deel van de bedrijven nog niet een AVG-beleid (19%).

 

Bij de bedrijven die de wetgeving wel hebben doorgevoerd, houdt de meerderheid (64%) zich hieraan.

Echter weet 14 procent van de werknemers niet meer wat er in het privacybeleid van de organisatie staat.

‘Hoge boete voor overtreding privacywet AVG / GDPR uitkeren aan slachtoffers’

Bedrijven die de privacywet AVG / GDPR overtreden kunnen hoge boetes van 4 procent van de wereldwijde jaaromzet of maximaal 20 miljoen Euro opgelegd krijgen. Dat is heel veel geld.

Wat moet er eigenlijk met die forse boeteopbrengsten gedaan worden?

Chipkaarten producent Gemalto stelde die vraag aan 1050 Nederlanders.

Een overgrote meerderheid van 92 procent van de ondervraagden gaf aan dat een boete die een bedrijf betaalt bij gestolen persoonsgegevens niet terecht moet komen bij de overheid, maar bij de slachtoffers.

Wanneer er gevraagd wordt naar passende straffen dan scoort schadeherstel ook het hoogst: 37 procent.

De top drie wordt aangevuld met een celstraf en een boete, respectievelijk 33 procent en 24 procent.

Veel Nederlanders vinden dat wanneer de straf uit een boete bestaat, de verantwoordelijke hackers dit bedrag moeten voldoen (67 procent).

Ongeveer twee op de tien consumenten acht het gehackte bedrijf verantwoordelijk en vindt dat zij moeten opdraaien voor de boete.

Over de hoogte van het boetebedrag heerst er niet een eenduidige mening. Twee op de vijf Nederlanders vindt een bedrag tot 10.000 euro passend, 27 procent acht een bedrag tot 100.000 euro geschikt. De rest vindt dat de boete hoger moet zijn dan 100.000 euro, waar acht procent zelfs spreekt over een bedrag van meer dan 10 miljoen euro.