EDPS, Europese Toezichthouder voor gegevensbescherming, Privacy Nieuws, privacywet
Overheden die gebruik maken van diensten van Microsoft vertreden volgens de Europese Toezichthouder voor gegevensbescherming (EDPS) de privacywet. De privacywaakhond schrijft dat in een persbericht.
De EDPS schrijft dit bericht naar aanleiding van een lopend onderzoek naar de risico’s voor de privacy van Europese burgers als overheidsinstellingen diensten van Microsoft gebruiken.
De voorlopige conclusie van de toezichthouder is dat de contracten tussen Microsoft en overheidsinstellingen de gegevensbescherming van Europese burgers onvoldoende waarborgen.
De toezichthouder haalt hierbij een onderzoek aan uit juni 2019 van het Nederlandse ministerie van Justitie en Veiligheid. Hieruit bleek dat verschillende Microsoft-producten te veel data verzamelden van gebruikers.
Microsoft heeft daarop de nodige aanpassingen moeten aanbrengen in hun software. Het ging hierbij om Windows 10 en Microsoft Office.
De EDPS schrijft dat overheidsinstellingen in andere lidstaten hier ook scherp op moeten zijn en ze door het gebruik van de software van Microsoft mogelijk nog niet voldoen aan de privacywetgeving.
Om de privacy van Europese burgers beter te beschermen heeft de EDPS een forum opgericht waar lidstaten kunnen overleggen over het gebruik van software.
Privacy Nieuws
De Duitse overheid blijkt net als de Nederlandse overheid te hebben ontdekt dat Microsoft niet voldoet aan de Algemene Verordening Gegevensbescherming (AVG).
Uit het Duitse onderzoek blijkt dat de problemen niet alleen bij de Microsoft software voor de overheid, maar ook bij de versies voor de zakelijke markt en consumenten spelen.
Het Duitse Bundesamt für Sicherheit in der Informationstechnik (BSI) onderzoekt systeemintegriteit, logging en beveiligingsfuncties van Windows 10. Net als in Nederland zijn er ook in Duitsland problemen geconstateerd met telemetriefuncties in de software. Microsoft stuurt zonder toestemming voortdurend gebruikersgegevens naar Amerika.
De analyses van de BSI omvatten componenten zoals de Trusted Platform Module (TPM), VBS/DeviceGuard, Windows PowerShell, de Application Compatibility Infrastructure, driver management en PatchGuard.
Volgens de BSI heeft de in Windows 10 ingebouwde telemetriecomponent uitgebreide mogelijkheden om toegang te krijgen tot systeem- en gebruiksinformatie en deze naar Microsoft te sturen.
Hoewel gebruikers verschillende telemetrie niveaus kunnen instellen, is het niet mogelijk om de verzonden informatie duidelijk toe te wijzen aan deze niveaus. Windows laadt de configuratiegegevens meerdere malen per uur en wijst de bestaande telemetriebronnen dynamisch toe tijdens het gebruik.
Zelfs de configuratie van het laagst mogelijke telemetrie-niveau verhindert volgens het BSI-onderzoek de gegevensoverdracht niet volledig. Dit geldt zowel voor het niveau 0 (beveiliging) dat beschikbaar is in de Windows-edities van de onderneming als voor het minimumniveau 1 (eenvoudig) dat mogelijk is in de consumentenversies.
Een volledige preventie van het verzamelen en verzenden van telemetriegegevens door Windows is technisch mogelijk, maar voor de eenvoudige gebruiker moeilijk te implementeren, schrijft de BSI.
In het document “Analyse van de telemetriecomponent in Windows 10” (PDF/Eng.) vergelijkt BSI verschillende benaderingen met betrekking tot effectiviteit, uitvoerbaarheid en verwachte bijwerkingen.
De in detail beschreven systeeminterventies omvatten het afsluiten van bepaalde diensten, het deactiveren van zogenaamde ETW-sessies (Event Tracing voor Windows) of het onderdrukken van de communicatie met Microsoft-servers via firewallregels of DNS-manipulaties.
Privacy Nieuws
70% van de bedrijven in Groot-Brittannie heeft geen officieel proces of protocol heeft voor het weggooien van verouderde IT-apparatuur. De verwachting is dat de cijfers representatief zijn voor de rest van Europa.
De bedrijven blijken de gegevens van apparatuur en gegevensdragers die zij in de twee maanden na de invoering van de AVG hebben verwijderd, niet te hebben gewist. Dat is volgens de Algemene Verordening Gegevensbescherming (AVG) wel verplicht.
Bovendien geeft 66% van de werknemers toe dat ze niet eens zouden weten wie ze in hun bedrijf moeten benaderen om oude of onbruikbare apparatuur op de juiste manier af te voeren.
Dat blijkt uit een enquête onder 1.002 Britse werknemers met een volledige of deeltijdse baan, uitgevoerd door Probrand.co.uk.
Probrand is een marktplaats voor business IT in het Verenigd Koninkrijk, met IT-producten, managed IT-services en IT-oplossingen.
Vooral transportsector overtreedt de AVG
Vooral transportbedrijven – waarvan er veel zullen beschikken over klant- en klantadressen en contactinformatie over hun systemen – gaan slordig om met IT-apparatuur die verwijderd wordt, blijkt uit het onderzoek.
Bedrijven in de verkoop en marketing (62%) – waarvan velen ook toegang zullen hebben tot openbare gegevens – waren de op één na meest schuldig aan deze situatie.
Top 10 bedrijfstakken die AVG overtreden
De top 10 industrieën die het meest schuldig zijn aan het niet wissen van het geheugen van IT-apparatuur voordat deze wordt verwijderd:
- Vervoer – 72%
- Verkoop en marketing – 62%
- Productie – 59%
- Nutsbedrijven – 58%
- Detailhandel – 57%
- Onderwijs – 54%
- Vrije tijd en reizen – 49%
- Gezondheidszorg en gastvrijheid – 45%
- Handelaren / administratie – 44%
- Voorlichting en communicatie – 39%
Verbazingwekkend dat bedrijven zelfs eenvoudig AVG beleid niet op orde hebben
“Gezien de hoeveelheid publiciteit rond de privacywet is het aantoonbaar onmogelijk dat bedrijven nog steeds niet op de hoogte zijn van de regels. Het is dus verbazingwekkend om te ontdekken hoeveel bedrijven er niet in slagen om een aantal van de eenvoudigste praktijken op het gebied van gegevensbescherming te implementeren en te volgen”, zegt Matt Royle, marketingdirecteur bij Probrand.co.uk.
De boetes in verband met een AVG-overtreding kunnen oplopen tot miljoenen. Daarnaast dreigen reputatieschade, minder klantenvertrouwen en minder loyaliteit voor bedrijven die als gevolg van nalatigheid tegen de lamp lopen vanwege een datalek of een controle door de Autoriteit Persoonsgegevens (AP).
Meer AVG awareness nodig. Bedrijven moeten verwijderingsbeleid ontwikkelen
“Gezien deze bevindingen is het duidelijk dat er meer moet worden gedaan om ervoor te zorgen dat alle bedrijven over een verwijderingsprocedure beschikken om te voorkomen dat er per ongeluk gevoelige gegevens uitlekken”, zegt Matt Royle.
Privacy Nieuws
De Autoriteit Persoonsgegevens heeft een bedrag van 48.000 euro geïnd van de vermogensbeheerder Theodoor Gilissen voor het overtreden van privacyregelgeving.
Theodoor Gilissen weigerde een van zijn klanten inzicht te geven in zijn persoonsgegevens. De klant wilde in 2016 weten welke gegevens de bank van hem had, waar ze vandaan kwamen en met wie de gegevens zijn gedeeld. Door die informatie niet te delen, overtrad de private bank de Wet Bescherming Persoonsgegevens (WPB). Dit was de voorloper van de AVG.
De Autoriteit Persoonsgegevens gaf Theodoor Gilissen na een onderzoek twee maanden de tijd om de gegevens alsnog te verstrekken.
12.000 Euro boete per week
Na die periode zou de bank een boete van 12.000 euro moeten betalen voor elke week dat de klant zijn gegevens niet te zien kreeg, met een maximum van 60.000 Euro.
Uiteindelijk kwam Theodoor Gilissen na vier weken over de brug.
Boetes kunnen nog hoger worden
Hoewel de boete die is opgelegd op basis van de oude privacywet WBP voor het benadelen van 1 klant in dit geval al fors lijkt zouden de boetes onder de nieuwe privacywet AVG nog eens fors hoger kunnen worden.
De Autoriteit Persoonsgegevens had in 2016 het boetemaximum net verdubbeld van 450.000 euro tot 900.000 euro.
Sinds 25 mei 2018 is de algemene verordening gegevensbescherming (AVG), of kortweg privacyverordening, van kracht. Op grond van deze verordening kunnen de volgende boetes worden opgelegd:
- een boete van maximaal 10.000.000 euro of 2% van de wereldwijde jaaromzet voor schending van de verplichtingen die veelal meer procedureel van aard zijn (artikel 83 lid 4 AVG);
- een boete van maximaal 20.000.000 euro of 4% van de wereldwijde jaaromzet voor schending van de verplichtingen die veelal meer materieel / inhoudelijk van aard zijn of de privacy van de betrokkenen directer raken (artikel 83 lid 5 AVG)
- een boete van maximaal 20.000.000 euro of 4% van de wereldwijde jaaromzet voor het niet opvolgen van een bevel van een toezichthouder (artikel 83 lid 6 AVG);
- een in het nationale recht bepaalde sanctie op het schenden van een artikel waarop de verordening zelf geen sanctie stelt (artikel 84 lid 1 AVG).
Geen drempel voor hoogte boete
In de privacyverordening zijn geen formele drempels opgenomen voor het opleggen van een boete. Wel bepaalt artikel 83 lid 2 AVG, kort gezegd, dat bij het opleggen van een boete rekening moet worden gehouden met alle omstandigheden van het geval.
Theodoor Gilissen is nu InsingerGilissen
Theodoor Gilissen is sinds zijn fusie met de private bank Insinger de Beaufort in 2017 actief onder de naam InsingerGilissen.
De uitspraak van de Autoriteit Persoonsgevens schept duidelijkheid over de boetes die in de praktijk uitgedeeld kunnen worden bij op zich “kleine” overtredingen van de AVG. Hier betrof het een klacht van slechts één klant van de bank.
Iedereen heeft privacyrechten
De privacywet geeft iedereen privacyrechten. Zoals het recht om in te zien welke persoonsgegevens een organisatie van je heeft. Die rechten zijn onder de AVG uitgebreid met het recht op dataportabiliteit (het recht om je gegevens mee te nemen) en het recht op vergetelheid (het recht dat organisaties je persoonsgegevens moeten wissen als je erom vraagt.
Die rechten kun je zelf uitoefenen, door een organisatie op deze rechten te wijzen. Sinds 25 mei zijn die rechten versterkt: iedereen kan nu ook een privacyklacht indienen bij de AP.
Reputatieschade
Meteen wordt ook duidelijk hoe schadelijk een boete voor de reputatie van een organisatie kan zijn.
De vermogensverstrekker had voordien een uitstekende naam. Theodoor Gilissen won in 2014 de Gouden Stier in de categorie ‘Vermogensbeheerder’. Net als in 2013 beoordeelde een onafhankelijke vakjury het door de private bank ingediende beleggingsvoorstel als beste.