AVG Awareness, AVG Corona, Privacy Nieuws
Voldoet Whatsapp aan de eisen van de AVG? De artikelen over Whatsapp op PrivacyZone worden sinds de Europese privacywet in 2018 van kracht werd dagelijks het meest gelezen. Het antwoord is nog altijd: nee!
Barbara Thiel, toezichthouder van de Duitse deelstaat Nedersaksen, heeft onderwijsinstellingen deze week opdracht gegeven te stoppen met Whatsapp. Zij reageerde op een richtlijn van het Nedersaksische ministerie van Onderwijs en Culturele Zaken voor scholen in de Corona-tijd. Volgens deze richtlijn zouden docenten en leerlingen tijdelijk gebruik mogen maken van WhatsApp voor onderlinge communicatie.
Thiel benadrukt dat zij als toezichthouder het gebruik van WhatsApp op scholen niet heeft aanbevolen of goedgekeurd. Hetzelfde geldt voor haar collega toezichthouders in 15 andere Duitse deelstaten. Duitsland telt in totaal 17 toezichthouders.
Omdat de Algemene Verordening Gegevensbescherming een Europese wet is gelden de standpunten van de Duitse toezichthouders ook in de rest van Europa. De Nederlandse Autoriteit Persoonsgegevens (AP) heeft ook regelmatig op Europees niveau overleg met andere toezichthouders.
Veel ondernemers worstelen met het AVG-dilemma Whatsapp op zakelijke telefoons. Wat privé wel mag is zakelijk een overtreding van de privacywet.
De scholen moeten met spoed goedgekeurde alternatieve messengers gaan gebruiken. Die zijn er volgens de toezichthouder voldoende.
“In het verleden ben ik altijd heel duidelijk tegen het gebruik van WhatsApp op scholen geweest,” zegt Thiel. “Dit standpunt is nog steeds geldig en is ook in overeenstemming met het standpunt van andere functionarissen voor gegevensbescherming.”
Whatsapp voldoet dus niet aan de Europese privacywet. Nog steeds niet, zou je kunnen zeggen. Want sinds de invoering van de Algemene Verordening Gegevensbescherming (AVG) op 25 juni 2018 heeft moederbedrijf Facebook toch meer dan voldoende tijd gehad om Whatsapp aan te passen.
Een ex-KNO-arts van ziekenhuis Amstelland veroorzaakt een groot datalek door een Whatsappgroep met honderden patiënten aan te maken. Hij overtreedt daarmee de AVG, schendt zijn medisch beroepsgeheim en een concurrentiebeding.
Tijdens de Corona crisis maken veel organisaties gebruik van Messenger applicaties als Whatsapp om te communiceren met medewerkers en klanten. Voor hen geldt hetzelfde als voor de onderwijsinstellingen in Nedersaksen. Zij zijn in overtreding.
“Whatsapp voldoet zeker niet aan de AVG”
“Een van deze eisen van de AVG is dat de communicatie zo efficiënt mogelijk moet zijn”, zegt Thiel. “WhatsApp voldoet zeker niet aan deze eis. Al tijdens de registratie worden alle contactgegevens die in de telefoon van de gebruiker zijn opgeslagen, doorgegeven aan de provider.”
Volgens Thiel bestaat hiervoor geen wettelijke basis en kunnen de personen die in de telefoon van de gebruiker zijn opgeslagen niet instemmen met of bezwaar maken tegen de overdracht van gegevens.
“Er zijn aanzienlijk meer databesparende messengers op de markt die dezelfde communicatiemogelijkheden bieden. Ik roep het Ministerie van Onderwijs dan ook op om serieus na te denken over alternatieven voor WhatsApp en om scholen te informeren over de resultaten van dit onderzoek, zodat zij gebruik kunnen maken van privacy-vriendelijke diensten.”
Volgens Thiel had dit al enige tijd geleden moeten gebeuren, want zij heeft in het verleden herhaaldelijk haar bezorgdheid geuit over WhatsApp. “Ik zal het ministerie ook direct informeren over mijn standpunten”, kondigt Thiel aan en voegt eraan toe: “Het is zeer betreurenswaardig dat docenten en studenten nu in eerste instantie geen gebruik kunnen maken van gegevensbeschermingsvriendelijke messengers in tijden van crisis.”
AVG Awareness, AVG Corona, Privacy Nieuws
Check Point® Software Technologies Ltd. waarschuwt leraren, leerlingen en studenten wereldwijd voor beveiligingslekken in online leeromgevingen die gebruik maken van de populaire WordPress plug-ins LearnPress, LearnDash en LifterLMS.
De plugins worden gebruikt door vele gerenommeerde universiteiten en worden ingezet op meer dan 100.000 leerplatforms.
In verband met de Corona crisis ontwikkelen momenteel veel organisaties eigen online leeromgevingen waarbij uit kostenbesparingen vaak gebruik gemaakt wordt van het gratis cms WordPress en gratis plug-ins als LearnPress, LearnDash en LifterLMS.
Zowel gebruikers als cybercriminelen kunnen de kwetsbaarheden uitbuiten om persoonlijke informatie te stelen, geld te incasseren en de toegangsrechten van een lerarenaccount te misbruiken.
Dit laatste zou het mogelijk maken om de eigen cijfers en die van anderen te veranderen, certificaten te vervalsen en antwoorden op vragenlijsten op te vragen. Deze kwetsbaarheid is zelfs al enige tijd bekend en is geregistreerd als CVE-2020-11511.
Pluigins voor elke WordPress-website
De kwetsbaarheden zijn gevonden in de WordPress plug-ins LearnPress, LearnDash en LifterLMS. Elk van deze plugins kan van elke WordPress-website een volledig functioneel en eenvoudig te gebruiken Learning Management System (LMS) maken.
LearnPress
Plugin die cursussen met quizzen en lessen maakt terwijl de studenten zich door het curriculum bewegen. Het wordt alleen al in de VS in meer dan 21.000 scholen gebruikt en heeft meer dan 80.000 installaties.
LearnDash
Plugin die tools biedt voor het distribueren van content, het verkopen van cursussen, het belonen van leerlingen en het activeren van triggers op basis van acties. Meer dan 33.000 websites gebruiken LearnDash, waaronder veel van de Fortune 500-bedrijven, evenals de Universiteit van Florida, de Universiteit van Michigan en de Universiteit van Washington.
LifterLMS
Plugin die voorbeeldcursussen, voorbeeldvragen, certificaten en een volledig geconfigureerde website biedt. Meer dan 17.000 websites maken gebruik van deze plugin, waaronder WordPress-agentschappen en -opvoeders, evenals verschillende scholen en onderwijsinstellingen.
“Studenten en leerlingen die zich inschrijven op e-learning sites weten misschien niet hoe gevaarlijk dit kan zijn”, zegt Christine Schönig, Regional Director Security Engineering CER van Check Point Software Technologies.
“Onze veiligheidsonderzoekers hebben aangetoond dat hackers het hele platform gemakkelijk kunnen overnemen. Hoge onderwijsinstellingen en veel online academies vertrouwen op de door ons onderzochte systemen om hun online cursussen en trainingen uit te voeren. We dringen er bij de relevante onderwijsinstellingen op aan om overal de nieuwe versies van de platforms en plug-ins te installeren om de veiligheidsgaten te dichten. We raden alle gebruikers ook aan om voorzichtig te zijn bij het gebruik van de programma’s.”
AVG Awareness, Privacy Nieuws
Veel ouders, docenten, leerlingen en studenten maken zich zorgen over persoonsgegevens die worden verzameld bij digitaal thuisonderwijs tijdens de coronacrisis.
Dit blijkt uit de grote hoeveelheid signalen die de Autoriteit Persoonsgegevens (AP) hierover ontvangt. De AP deelt deze zorgen en gaat daarom bij onderwijsinstellingen na of zij de privacy wel goed op orde hebben.
Ouders en studenten vragen zich bijvoorbeeld af of de systemen die scholen gebruiken om te videobellen wel veilig zijn, of gegevens niet in verkeerde handen kunnen vallen en wat er precies met al die gegevens gebeurt.
Thuisonderwijs tijdens corona
Nederland heeft ongeveer 2 miljoen leerlingen en studenten. Een groot deel van hen krijgt op dit moment thuis les via beeldbellen. Of maakt thuis tentamens of toetsen onder toezicht van een webcam.
Onderwijsinstellingen hebben hiervoor onder grote druk technische maatregelen moeten nemen. Zodat leerlingen en studenten ook tijdens de coronacrisis goed onderwijs krijgen.
Wat zeggen de gegevens?
Er is veel informatie te halen uit de beelden die bij beeldbellen en proctoring (digitaal surveilleren) worden verzonden naar onderwijsinstellingen of medestudenten.
Allereerst over hoe leerlingen of studenten presteren, hoe zij zich gedragen en hoe het is gesteld met hun concentratie. Maar bijvoorbeeld ook over religieuze uitingen of wat gezinsleden doen die in de achtergrond zichtbaar zijn.
In tegenstelling tot in de normale lespraktijk, kunnen deze observaties nu makkelijk worden opgeslagen en verspreid.
Let op bij digitaal surveilleren
Sommige onderwijsinstellingen maken gebruik van proctoring. Hierbij monitoren zij online leerlingen of studenten tijdens een toets of tentamen.
De leerlingen of studenten moeten bijvoorbeeld foto’s maken van de ruimte waar zij zijn.
Verder kijkt de onderwijsinstelling mee op hun scherm, registreert deze toetsaanslagen en houdt deze via een of meerdere webcams hun gedrag in de gaten. Soms moet een leerling of student hier aparte software voor installeren.
Met een dergelijk systeem kan volgens veel en gevoelige informatie worden verzameld en verwerkt. Daarom moeten onderwijsinstellingen zich afvragen of al deze gegevens daadwerkelijk noodzakelijk zijn. En of er geen andere manier is om examenfraude te bestrijden, die minder impact heeft op leerlingen en studenten.
Onderwijsinstelling verantwoordelijk
Als onderwijsinstellingen beeldbellen en/of proctoring gebruiken, zijn zij verantwoordelijk zijn voor de verwerking van persoonsgegevens. Dat bepaalt de privacywetgeving. Daarom moeten onderwijsinstellingen hoge eisen stellen aan de leveranciers van deze systemen.
Het systeem mag niet meer gegevens verwerken dan noodzakelijk en deze gegevens mogen niet langer worden bewaard dan noodzakelijk.
Verder moeten onderwijsinstellingen hun leerlingen, studenten, docenten en de ouders van minderjarige kinderen informeren over hoe hun persoonsgegevens worden beschermd.
De AP heeft dit onderstreept richting de onderwijskoepels. Daarnaast gaat de AP bij onderwijsinstellingen na of zij voldoende werk maken van het beschermen van de privacy van hun leerlingen of studenten. Zij moeten aantonen hoe zij dit doen. Daarna bekijkt de AP of vervolgstappen nodig zijn.
Het is belangrijk deze check te doen. Leerlingen en studenten moeten er namelijk op kunnen vertrouwen dat hun onderwijsinstelling zorgvuldig met hun (gevoelige) informatie omspringt.
‘Geen ondergeschoven kind’
“Alle leerlingen moeten zonder stempel kunnen opgroeien”, zegt bestuurslid Katja Mur van de Autoriteit Persoonsgegevens. “Hun privacy is van groot belang en wordt extra beschermd in de privacywetgeving. Onveilige oplossingen kunnen risico’s opleveren voor de toekomst van leerlingen. Deze dataverwerking mag geen ondergeschoven kind van de coronacrisis worden. Wij wijzen onderwijsinstellingen er daarom op zorgvuldige keuzes te maken en ondersteunen hen hierin met een aantal tips.”
Privacy Nieuws
70% van de bedrijven in Groot-Brittannie heeft geen officieel proces of protocol heeft voor het weggooien van verouderde IT-apparatuur. De verwachting is dat de cijfers representatief zijn voor de rest van Europa.
De bedrijven blijken de gegevens van apparatuur en gegevensdragers die zij in de twee maanden na de invoering van de AVG hebben verwijderd, niet te hebben gewist. Dat is volgens de Algemene Verordening Gegevensbescherming (AVG) wel verplicht.
Bovendien geeft 66% van de werknemers toe dat ze niet eens zouden weten wie ze in hun bedrijf moeten benaderen om oude of onbruikbare apparatuur op de juiste manier af te voeren.
Dat blijkt uit een enquête onder 1.002 Britse werknemers met een volledige of deeltijdse baan, uitgevoerd door Probrand.co.uk.
Probrand is een marktplaats voor business IT in het Verenigd Koninkrijk, met IT-producten, managed IT-services en IT-oplossingen.
Vooral transportsector overtreedt de AVG
Vooral transportbedrijven – waarvan er veel zullen beschikken over klant- en klantadressen en contactinformatie over hun systemen – gaan slordig om met IT-apparatuur die verwijderd wordt, blijkt uit het onderzoek.
Bedrijven in de verkoop en marketing (62%) – waarvan velen ook toegang zullen hebben tot openbare gegevens – waren de op één na meest schuldig aan deze situatie.
Top 10 bedrijfstakken die AVG overtreden
De top 10 industrieën die het meest schuldig zijn aan het niet wissen van het geheugen van IT-apparatuur voordat deze wordt verwijderd:
- Vervoer – 72%
- Verkoop en marketing – 62%
- Productie – 59%
- Nutsbedrijven – 58%
- Detailhandel – 57%
- Onderwijs – 54%
- Vrije tijd en reizen – 49%
- Gezondheidszorg en gastvrijheid – 45%
- Handelaren / administratie – 44%
- Voorlichting en communicatie – 39%
Verbazingwekkend dat bedrijven zelfs eenvoudig AVG beleid niet op orde hebben
“Gezien de hoeveelheid publiciteit rond de privacywet is het aantoonbaar onmogelijk dat bedrijven nog steeds niet op de hoogte zijn van de regels. Het is dus verbazingwekkend om te ontdekken hoeveel bedrijven er niet in slagen om een aantal van de eenvoudigste praktijken op het gebied van gegevensbescherming te implementeren en te volgen”, zegt Matt Royle, marketingdirecteur bij Probrand.co.uk.
De boetes in verband met een AVG-overtreding kunnen oplopen tot miljoenen. Daarnaast dreigen reputatieschade, minder klantenvertrouwen en minder loyaliteit voor bedrijven die als gevolg van nalatigheid tegen de lamp lopen vanwege een datalek of een controle door de Autoriteit Persoonsgegevens (AP).
Meer AVG awareness nodig. Bedrijven moeten verwijderingsbeleid ontwikkelen
“Gezien deze bevindingen is het duidelijk dat er meer moet worden gedaan om ervoor te zorgen dat alle bedrijven over een verwijderingsprocedure beschikken om te voorkomen dat er per ongeluk gevoelige gegevens uitlekken”, zegt Matt Royle.
Privacy Nieuws
De gegevens van leerlingen kunnen gemakkelijker en flexibeler gebruikt worden door het ministerie, onderwijsinstellingen, gemeente en mogelijke andere belanghebbenden. De Tweede Kamer is hier mee akkoord gegaan.
Alle gegevens in de bestaande leerlingregistratiesystemen komen met dit wetsvoorstel (toelichting) van minister Van Engelshoven (D66) onder één wettelijke regeling te vallen.
Het gaat om de gegevens van het basisregister onderwijs (BRON), het meldingsregister relatief verzuim, het diplomaregister en het register vrijstellingen en vervangende leerplicht.
Al deze gegevens worden door Dienst Uitvoering Onderwijs (DUO) beheerd.
De gegevens worden in principe alleen juridisch samengevoegd.
Technische worden de registratiessystemen met dit wetsvoorstel niet veranderd.
Door het samenbrengen van de gegevens van leerlingen in één wet ontstaat volgens de minister meer overzicht over welke gegevens beschikbaar zijn en kunnen gegevens eenvoudiger worden hergebruikt.
De gegevens worden onder andere gebruikt door het ministerie en de onderwijsinstellingen maar ook door gemeente voor het handhaven van de leerplicht en bijvoorbeeld als onderdeel van het bieden van (jeugd)zorg aan haar inwoners.
Glijdende schaal
Volgens de minister verandert er voor de privacy van leerlingen en studenten nauwelijks iets, omdat de systemen alleen juridisch worden samengevoegd.
Aan de andere kant dient de minister dit wetsvoorstel juist in om de gegevens beter toegankelijk te maken zodat ze eenvoudiger kunnen worden gebruikt.
De Autoriteit Persoonsgegevens oordeelt (pdf) dat er wel degelijk impact op de privacy kan zijn.
De toezichthouder constateert dat het bij elkaar brengen van gegevens in één wettelijke regeling tot “een completer beeld van de onderwijsdeelnemers” leidt dat daardoor “juist een grotere inbreuk op de persoonlijke levenssfeer kan opleveren”.
Ook zijn de de wetsartikelen over het gebruik van gegevens volgens de autoriteit onnodig ruim geformuleerd.
De toezichthouder vreest een glijdende schaal doordat “de kans toeneemt dat de persoonsgegevens voor andere doelen zullen worden gebruikt dan oorspronkelijk was bedoeld”.
De bundeling van de registerwetgeving heeft volgens de Autoriteit Gegevensbescherming naar verwachting de volgende effecten:
Ten eerste wordt meegenomen de beschikbaarstelling van diplomagegevens van het erkende niet bekostigde voortgezet onderwijs (VO), middelbaar beroepsonderwijs (MBO), voortgezet algemeen volwassenonderwijs (VAVO) en hoger onderwijs (HO).
In het diplomaregister zijn de diplomagegevens van het bekostigde onderwijs al opgenomen.
Voor het bekostigde en niet bekostigde onderwijs gelden dezelfde overwegingen voor het beschikbaar stellen van diplomagegevens vanuit het register:
- bijdrage aan fraudebestrijding; helderheid over wat erkende diploma’s zijn
- lastenverlichting voor (toekomstige) diplomabezitters, onderwijsinstellingen, alsmede indirect voor potentiële werkgevers en overheidsinstanties
- voorziening voor de diplomabezitter (bewijs behaalde diploma) in geval van verlies of diefstel van een diploma.
Het tweede andere onderwerp dat wordt meegenomen in het wetsvoorstel is de uitbreiding van de gegevenslevering uit het basisregistratie personen (BRP) aan onderwijsinstellingen in het VO, MBO en VAVO met de geboorteplaats van de onderwijsdeelnemer, ten behoeve van de vermelding op het diploma.
De gegevens ‘naam’ en ‘geboortedatum’ worden momenteel al door de Dienst Uitvoering Onderwijs (DUO) aan de onderwijsinstelling geleverd.
Minister bepaalt
In het wetsvoorstel is de mogelijkheid opgenomen dat de minister zelfstandig bepaalt welke gegevens verzameld mogen worden en met wie die gedeeld mogen worden.
Tot op heden zijn de gegevens die verzameld worden wettelijk vastgelegd en kan dat niet zomaar worden aangepast.
Ook wie toegang tot de gegevens heeft is wettelijk verankerd.
Met deze nieuwe wet kan de minister dat op elk moment zelfstandig aanpassen als zij dat nodig acht.
Wel heeft de Tweede Kamer vandaag ook twee wijzigingen van SP en GroenLinks aangenomen waarmee wordt voorgeschreven dat de minister de Tweede Kamer vier weken van te voren over aanpassingen op de hoogte moet brengen.
Het gaat dan om aanpassingen met betrekking tot welke gegevens worden gedeeld en met welke derde partijen dat gebeurt.
De Kamer kan dan in die vier weken eventueel nog in actie komen.
Over eventuele wijzigingen in welke gegevens worden verzameld, hoeft de Kamer niet van te voren te worden geïnformeerd.
Het wetsvoorstel gaat nu naar de Eerste Kamer.
Privacy Nieuws
5500 leerlingen in de provincie Groningen maken dagelijks gebruik van leerlingenvervoer om op school te komen. Maandag zaten diverse ouders en kinderen tevergeefs op het schoolbusje te wachten. Het busje kwam niet. Oorzaak?
De nieuwe Algemene Verordening Gegevensbescherming, zegt directeur Jan Bos van Publiek Vervoer Groningen Drenthe, de overheidsinstelling die over het leerlingenvervoer gaat.
Alle leerling gegevens opnieuw invoeren
Dit schooljaar rijden er nieuwe vervoerders op sommige lijnen in Groningen en Drenthe. De nieuwe vervoerders mogen wegens de privacywet niet de gegevens gebruiken die bij de vorige vervoerder bekend waren. En dus moeten gegevens van 5.500 leerlingen in heel Groningen en Drenthe volgens Bos opnieuw worden ingevoerd.
“Wat een flauwekul”, reageert privacyspecialist Jeroen Terstegge op Twitter. “De Autoriteit Persoonsgegevens heeft al lang geleden (in casu bij inhuur arbodiensten) bepaald dat cliëntgegevens bij wisseling van aanbieder van de ene naar andere aanbieder mogen worden overgedragen. Gewoon art.6(1)(f)”
Bos baalt van de gevolgen van de wet, zegt hij tegen de Groninger regionale omroep RTV Noord. “Ik vind het heel vervelend. Op zich is het goed dat die wet er is, maar misschien schieten we soms ook wel wat door. Al kan ik dat voor deze zaak niet goed beoordelen. Maar we hebben er wel veel last van.”
Planning kan pas in zomervakantie beginnen
Op de vraag of Bos niet eerder had kunnen beginnen met het maken van de planningen, antwoordt hij dat de vervoerbedrijven daar in de zomervakantie mee beginnen. “Dan hebben de scholen de roosters doorgegeven. Maar je ziet dat er, op het moment dat je gaat plannen, dingen anders gaan dan verwacht. Zoals routes en schooltijden die anders uitpakken.”
Volgens de Autoriteit Persoonsgegevens hoeft de AVG in de basis geen drempel op te werpen voor goed leerlingenvervoer. Een woordvoerder zegt volgens RTV Noord “in dit specifieke geval niet aan te kunnen geven wat wel en niet kan, maar als er vragen zijn, raden we iedereen aan om hierover contact op te nemen.”
Volgend jaar moet het beter gaan
Op dit moment moet het leerlingenvervoer volgens Bos goed gaan. “En komende week gaan we met de vervoerders om tafel om te evalueren. Want volgend jaar moet het gewoon beter.”
Dat had volgens Terstegge dit jaar ook al gekund. “De regels onder de oude wet (de Wet bescherming persoonsgegevens, Wbp) waren niet anders.”
Privacy Nieuws
Een middelbare school in de Drentse provinciehoofdstad Assen heeft in verband met de Algemene Verordening Gegevensbescherming (AVG) leerlingen verboden om een WhatsApp-groep aan te maken met en voor klasgenoten.
Volgens de Autoriteit Persoonsgegevens, die toeziet op naleving van de privacywet, is dat niet nodig.
De school denkt de privacy van de leerlingen te moeten beschermen.
“Daarover waren wij verrast”, zegt Pauline Gras van de Autoriteit Persoonsgegevens op vragen van de Groningse regionale omroep RTV Noord.
“Staat niet in de wet dat het niet mag”
“Dat kunnen we niet plaatsen. Het staat niet in de wet dat het niet mag. Wat we wel zien is dat scholen heel voorzichtig zijn geworden. En daardoor soms misschien té rigoureus in wat ze allemaal verbieden of tegenhouden. Een appgroep kan juist heel functioneel zijn en bijdragen aan goed onderwijs.”
Volgens Gras is de wet niet te ingewikkeld, maar “passend bij de ingewikkelde maatschappij. Als je een goede reden hebt om persoonsgegevens aan te leveren, kan er heel veel.”
Klacht indienen
Scholen die de regels overtreden hoeven volgens Gras niet direct bang te zijn voor sancties, al is dat in tegenspraak met een uitlating die ze even later doet.
“Nogmaals: de achterliggende gedachte is beschermen”, zegt Gras. “Mocht een school iets doen dat niet de bedoeling is, dan kunnen ouders of leerlingen zelf bij de school aan de bel trekken. Kom je er niet uit, dan kan je bij ons een klacht indienen.”
Sinds de invoering van de wet is de Autoriteit Persoonsgegevens verplicht alle klachten op te pakken. “We kijken er zorgvuldig naar en doen dan een uitspraak.”
Als de dood voor hoge boete
En die laatste uitleg is nou net de reden dat veel scholen het zekere voor het onzekere nemen. Bij twijfel niet doen. Want schoolbestuurders zijn als de dood dat hun school torenhoge boetes krijgt opgelegd vanwege een overtreding. En de bestuurders zijn ook nog eens hoofdelijk aansprakelijk.
Logisch dat die bestuurders geen risico willen nemen.
Waarom bestaat er geen AVG boetelijst?
Als de Autoriteit Persoonsgegevens verplicht is om klachten te beoordelen en een uitspraak te doen wil iedereen graag weten wat er dan verwacht kan worden.
Worden er eerst waarschuwingen uitgedeeld?
Of worden er meteen boetes opgelegd?
En hoe hoog zijn die boetes dan?
Niemand die het weet.
En er is nog geen jurisprudentie.
In heel Europa nog niet.
Wie een verkeersovertreding begaat kan de hoogte van een boete meteen aflezen in een overzicht van justitie.
Waarom is er niet zo’n lijst van de Autoriteit Persoonsgegevens die op basis van de AVG aan andere organisaties oplegt om zo transparant mogelijk te zijn?
Niemand hoeft bang te zijn?
Volgens de Autoriteit Persoonsgegevens kan er dus nog steeds veel en hoeft niemand bang te zijn.
Terwijl juist de onduidelijkheid en het gebrek aan jurisprudentie wel voor angst zorgt.
Wat betreft de onduidelijkheid over het gebruik van Whatsapp op scholen lijkt er nu dus wel duidelijkheid.
De Autoriteit zegt dat het mag.
In dit geval is dat ook logisch. De Whatsapp groepen worden aangemaakt door leerlingen. Niet door de school. Die had en heeft er dus niets over te zeggen.
Hoe zit het met bedrijfsmatige Whatsapp?
Maar hoe zit het dan als de Whatsappgroep wordt aangemaakt door de school zelf?
Of door een andere organisatie?
Whatsapp maakt automatisch gebruik van de contactenlijst op je telefoon. Contacten die misschien geen toestemming hebben gegeven om hun gegevens te delen met Whatsapp.
Jammer dat RTV Noord daar niet over heeft doorgevraagd.
Toch nog onduidelijkheid. PrivacyZone zal de Autoriteit Persoonsgegevens zelf maar eens om opheldering vragen.
Privacy Nieuws
Hoe kan het dat veel kleine ondernemers nog niet klaar zijn voor de privacywet die op 25 mei 2018 van start gaat? En is dat erg? Voorzitter Aleid Wolfsen van de Autoriteit Persoonsgegevens reageerde dinsdagochtend luchtig in de ontbijtshow Goedemorgen Nederland van omroep WNL.
“Ach een bakker is er om brood te bakken en een onderwijzer is er om les te geven”, aldus Wolfsen. “Die zijn niet iedere dag met privacy bezig. Aan de andere kant weten zij wel veel van hun klanten. Onderdeel van een goede dienstverlening is dat je daar zorgvuldig mee omgaat.”
Hebben kleine bedrijven zich niet goed voorbereid?
“Brancheverenigingen doen er veel aan. Grote bedrijven zijn vaak wel op tijd begonnen. Maar de kleine bedrijven hebben er wat later van gehoord. Die zijn nu wel druk bezig. Ik verwacht dat veel kleine bedrijven wel redelijk op tijd klaar zijn voor 25 mei. Want die deadline is onherroepelijk.”
Moeten kleine bedrijven bang zijn dat u meteen na 25 mei op de stoep staat?
“Nou nee, niet bij de slager en de bakker, kan ik u wel verklappen. Die moeten natuurlijk wel aan de wet voldoen. De wet is natuurlijk als eerste bedoeld voor grote bedrijven die niets anders doen dan handelen in data. Banken, zorginstellingen. Die verzamelen voornamelijk gevoelige gegevens. Gezondheidsgegevens. Dat is natuurlijk belangrijker dan gewone klantgegevens. Maar iedereen moet wel voldoen aan die wet. Neem nu bijvoorbeeld een kinderopvang. Dan denk je ‘wat weet de kinderopvang nou eigenlijk van mij?’ Maar die weet vaak iets over de financiele positie van de ouders. Over de gezondheid. Is er sprake van een echtscheiding. Zulke gegevens zul je toch goed moeten beveiligen.”
