School in Assen heeft volgens Autoriteit Persoonsgegevens ten onrechte leerlingen verboden WhatsApp groep aan te maken

Een middelbare school in de Drentse provinciehoofdstad Assen heeft in verband met de Algemene Verordening Gegevensbescherming (AVG) leerlingen verboden om een WhatsApp-groep aan te maken met en voor klasgenoten.

Volgens de Autoriteit Persoonsgegevens, die toeziet op naleving van de privacywet, is dat niet nodig.

De school denkt de privacy van de leerlingen te moeten beschermen.

“Daarover waren wij verrast”, zegt Pauline Gras van de Autoriteit Persoonsgegevens op vragen van de Groningse regionale omroep RTV Noord.

“Staat niet in de wet dat het niet mag”

“Dat kunnen we niet plaatsen. Het staat niet in de wet dat het niet mag. Wat we wel zien is dat scholen heel voorzichtig zijn geworden. En daardoor soms misschien té rigoureus in wat ze allemaal verbieden of tegenhouden. Een appgroep kan juist heel functioneel zijn en bijdragen aan goed onderwijs.”

Volgens Gras is de wet niet te ingewikkeld, maar “passend bij de ingewikkelde maatschappij. Als je een goede reden hebt om persoonsgegevens aan te leveren, kan er heel veel.”

Klacht indienen

Scholen die de regels overtreden hoeven volgens Gras niet direct bang te zijn voor sancties, al is dat in tegenspraak met een uitlating die ze even later doet.

“Nogmaals: de achterliggende gedachte is beschermen”, zegt Gras. “Mocht een school iets doen dat niet de bedoeling is, dan kunnen ouders of leerlingen zelf bij de school aan de bel trekken. Kom je er niet uit, dan kan je bij ons een klacht indienen.”

Sinds de invoering van de wet is de Autoriteit Persoonsgegevens verplicht alle klachten op te pakken. “We kijken er zorgvuldig naar en doen dan een uitspraak.”

Als de dood voor hoge boete

En die laatste uitleg is nou net de reden dat veel scholen het zekere voor het onzekere nemen. Bij twijfel niet doen. Want schoolbestuurders zijn als de dood dat hun school torenhoge boetes krijgt opgelegd vanwege een overtreding. En de bestuurders zijn ook nog eens hoofdelijk aansprakelijk.

Logisch dat die bestuurders geen risico willen nemen.

Waarom bestaat er geen AVG boetelijst?

Als de Autoriteit Persoonsgegevens verplicht is om klachten te beoordelen en een uitspraak te doen wil iedereen graag weten wat er dan verwacht kan worden.

Worden er eerst waarschuwingen uitgedeeld?

Of worden er meteen boetes opgelegd?

En hoe hoog zijn die boetes dan?

Niemand die het weet.

En er is nog geen jurisprudentie.

In heel Europa nog niet.

Wie een verkeersovertreding begaat kan de hoogte van een boete meteen aflezen in een overzicht van justitie.

Waarom is er niet zo’n lijst van de Autoriteit Persoonsgegevens die op basis van de AVG aan andere organisaties oplegt om zo transparant mogelijk te zijn?

Niemand hoeft bang te zijn?

Volgens de Autoriteit Persoonsgegevens kan er dus nog steeds veel en hoeft niemand bang te zijn.

Terwijl juist de onduidelijkheid en het gebrek aan jurisprudentie wel voor angst zorgt.

Wat betreft de onduidelijkheid over het gebruik van Whatsapp op scholen lijkt er nu dus wel duidelijkheid.

De Autoriteit zegt dat het mag.

In dit geval is dat ook logisch. De Whatsapp groepen worden aangemaakt door leerlingen. Niet door de school. Die had en heeft er dus niets over te zeggen.

Hoe zit het met bedrijfsmatige Whatsapp?

Maar hoe zit het dan als de Whatsappgroep wordt aangemaakt door de school zelf?

Of door een andere organisatie?

Whatsapp maakt automatisch gebruik van de contactenlijst op je telefoon. Contacten die misschien geen toestemming hebben gegeven om hun gegevens te delen met Whatsapp.

Jammer dat RTV Noord daar niet over heeft doorgevraagd.

Toch nog onduidelijkheid. PrivacyZone zal de Autoriteit Persoonsgegevens zelf maar eens om opheldering vragen.

Meer actueel awareness nieuws

Forse boete overtreding privacywet. 48.000 Euro voor weigeren inzicht persoonsgegevens van 1 klant

De Autoriteit Persoonsgegevens heeft een bedrag van 48.000 euro geïnd van de vermogensbeheerder Theodoor Gilissen voor het overtreden van privacyregelgeving.

Theodoor Gilissen weigerde een van zijn klanten inzicht te geven in zijn persoonsgegevens. De klant wilde in 2016 weten welke gegevens de bank van hem had, waar ze vandaan kwamen en met wie de gegevens zijn gedeeld. Door die informatie niet te delen, overtrad de private bank de Wet Bescherming Persoonsgegevens (WPB). Dit was de voorloper van de AVG.

De Autoriteit Persoonsgegevens gaf Theodoor Gilissen na een onderzoek twee maanden de tijd om de gegevens alsnog te verstrekken.

12.000 Euro boete per week

Na die periode zou de bank een boete van 12.000 euro moeten betalen voor elke week dat de klant zijn gegevens niet te zien kreeg, met een maximum van 60.000 Euro.

Uiteindelijk kwam Theodoor Gilissen na vier weken over de brug.

Boetes kunnen nog hoger worden

Hoewel de boete die is opgelegd op basis van de oude privacywet WBP voor het benadelen van 1 klant in dit geval al fors lijkt zouden de boetes onder de nieuwe privacywet AVG nog eens fors hoger kunnen worden.

De Autoriteit Persoonsgegevens had in 2016 het boetemaximum net verdubbeld van 450.000 euro tot 900.000 euro.

Sinds 25 mei 2018 is de algemene verordening gegevensbescherming (AVG), of kortweg privacyverordening, van kracht. Op grond van deze verordening kunnen de volgende boetes worden opgelegd:

  1. een boete van maximaal 10.000.000 euro of 2% van de wereldwijde jaaromzet voor schending van de verplichtingen die veelal meer procedureel van aard zijn (artikel 83 lid 4 AVG);
  2. een boete van maximaal 20.000.000 euro of 4% van de wereldwijde jaaromzet voor schending van de verplichtingen die veelal meer materieel / inhoudelijk van aard zijn of de privacy van de betrokkenen directer raken (artikel 83 lid 5 AVG)
  3. een boete van maximaal 20.000.000 euro of 4% van de wereldwijde jaaromzet voor het niet opvolgen van een bevel van een toezichthouder (artikel 83 lid 6 AVG);
  4. een in het nationale recht bepaalde sanctie op het schenden van een artikel waarop de verordening zelf geen sanctie stelt (artikel 84 lid 1 AVG).

Geen drempel voor hoogte boete

In de privacyverordening zijn geen formele drempels opgenomen voor het opleggen van een boete. Wel bepaalt artikel 83 lid 2 AVG, kort gezegd, dat bij het opleggen van een boete rekening moet worden gehouden met alle omstandigheden van het geval.

Theodoor Gilissen is nu InsingerGilissen

Theodoor Gilissen is sinds zijn fusie met de private bank Insinger de Beaufort in 2017 actief onder de naam InsingerGilissen.

De uitspraak van de Autoriteit Persoonsgevens schept duidelijkheid over de boetes die in de praktijk uitgedeeld kunnen worden bij op zich “kleine” overtredingen van de AVG. Hier betrof het een klacht van slechts één klant van de bank.

Iedereen heeft privacyrechten

De privacywet geeft iedereen privacyrechten. Zoals het recht om in te zien welke persoonsgegevens een organisatie van je heeft. Die rechten zijn onder de AVG uitgebreid met het recht op dataportabiliteit (het recht om je gegevens mee te nemen) en het recht op vergetelheid (het recht dat organisaties je persoonsgegevens moeten wissen als je erom vraagt.

Die rechten kun je zelf uitoefenen, door een organisatie op deze rechten te wijzen. Sinds 25 mei zijn die rechten versterkt: iedereen kan nu ook een privacyklacht indienen bij de AP.

Reputatieschade

Meteen wordt ook duidelijk hoe schadelijk een boete voor de reputatie van een organisatie kan zijn.

De vermogensverstrekker had voordien een uitstekende naam. Theodoor Gilissen won in 2014 de Gouden Stier in de categorie ‘Vermogensbeheerder’. Net als in 2013 beoordeelde een onafhankelijke vakjury het door de private bank ingediende beleggingsvoorstel als beste.

Meer actueel awareness nieuws