Een half jaar na de invoering van de Algemene Verordening Gegevensbescherming (AVG) heeft de Autoriteit Persoonsgegevens (AP) ruim 7.000 klachten en ongeveer 10.000 telefonische vragen behandeld. Er lopen onderzoeken naar mogelijke overtredingen, maar hoeveel dat zijn wil de toezichthouder nog niet zeggen.
Online burgerrechtenorganisatie Bits of Freedom zegt in dagblad Trouw dat bedrijven nog niet altijd goed omgaan met verzoeken van mensen om inzage in de gegevens die er over hen worden bewaard.
“Een bedrijf als KPN wil bijvoorbeeld dat zo’n verzoek per post wordt gedaan, terwijl ze wel online diensten aanbieden en ook online data verzamelen. Volgens de AVG mogen er geen onnodige drempels worden opgeworpen”, zegt David Korteweg van Bits of Freedom.
Interpretatie AVG
Toch vindt Korteweg het te vroeg om dus maar te concluderen dat de privacy niet is verbeterd het afgelopen half jaar. “Veel gaat afhangen van hoe de toezichthouders handhaven en hoe de wet geïnterpreteerd gaat worden.”
In Portugal, Duitsland en Groot-Brittannie zijn ondertussen de eerste boetes opgelegd. De toezichthouders van deze landen geven aan tempo te willen maken. Ze hebben aangekondigd voor het einde van dit jaar meerdere boetes te zullen opleggen.
In verschillende landen zijn inmiddels klachten ingediend tegen grote bedrijven. Eentje die volgens Korteweg gevolgen kan hebben voor een hele branche, is die van de organisatie Privacy International tegen een aantal grote online datahandelaren.
De Nederlandse AP zegt momenteel druk bezig te zijn met het analyseren van alle klachten en tips die in Nederland binnenkwamen. Ze kijkt of bepaalde knelpunten naar voren komen, die als eerste aandacht verdienen.
De Tweede Kamer heeft ondertussen in een motie om een eerste officiële evaluatie van de privacywet gevraagd. Volgens het ministerie van justitie en veiligheid komt die Nederlandse evaluatie pas in januari 2019.
De Nederlandse AP laat in Trouw wel al doorschemeren dat de torenhoge boetes die op basis van de AVG kunnen worden opgelegd voorlopig nog niet aan de orde zijn. “ Volgens de nieuwe wet kunnen er boetes worden uitgedeeld, maar zover hoeft het niet altijd te komen, stelt een woordvoerder van de AP in de krant.
De webshop van de Beierse politieke partij CSU blijkt voor de verkiezingen in de Duitse deelstaat gehackt te zijn. Het datalek werd ontdekt door de onafhankelijke Nederlandse privacy consultant en malware hunter Willem de Groot.
De CSU verloor bij de verkiezingen afgelopen zondag fors. En naar nu blijkt liggen daarnaast ook nog de klantgegevens van alle mensen die sinds 5 oktober CSU-fanartikelen en verkiezingsmateriaal in de webshop van de partij kochten op straat.
Op dit moment is het niet duidelijk of de aanval politiek gemotiveerd was. Maar dat zou kunnen, omdat de hackers enkel contactgegevens van de klanten van een politieke partij hebben buitgemaakt. De politieke voorkeur van deze klanten ligt dan voor bijna honderd procent voor de hand.
Politieke voorkeur valt onder hogere risicoklasse in AVG
De politieke voorkeur van mensen valt net als medische gegevens en etnische afkomst binnen de AVG onder de categorie bijzondere persoonsgegevens. Dit is een hogere risicocategorie die bij aantoonbaar nalatig handelen tot hogere boetes kan leiden.
De Nederlandse privacyspecialist Willem de Groot legt op zijn website en op Twitter uit dat de hackers waarschijnlijk gebruik hebben gemaakt van een ongepatchte kwetsbaarheid in de webshopsoftware of een zwak beheerderswachtwoord.
In dat geval is er duidelijk sprake van nalatigheid bij de CSU.
Webshop CSU is gebouwd met Magento software
De webshop van de CSU is gebouwd met de wereldwijd veel gebruikte webwinkelsoftware Magento.
Volgens De Groot zijn de cybercriminelen op 5 oktober in de webshop binnengedrongen met een Javascriptvirus.
De schadelijke JavaScript-code zou de gegevens van de kopers tijdens het betalingsproces hebben onderschept.
Hackers wisten dat ze alleen contactgegevens konden buitmaken
Omdat de CSU online shop alleen gebruik maakt van externe betalingsdienstaanbieders zoals Amazon en PayPal, moet het voor de aanvallers van meet af aan duidelijk zijn geweest dat zij via de door hen gekozen aanvalsroute geen toegang hadden tot de betalingsgegevens zelf.
De hackers konden op deze manier alleen namen en postadressen onderscheppen.
De Groot zegt aan de andere kant dat Magento webshops momenteel vaak worden gehackt.
Wereldwijd 40.000 Magento shops geinfecteerd met Magecart
“Het gaat niet alleen om de Duitse coalitiepartij”, schrijft De Groot op zijn website. Magento websites worden wereldwijd met grote regelmaat op dezelfde manier gehackt. “Ik heb vorige week de 40.000ste gecompromitteerde winkel geteld. De modus operandi is algemeen bekend als “Magecart”.”
Ook de Magentowebshops van grote ondernemingen als British Airways, Ticketmaster en ABS-CBN zijn volgens De Groot op dezelfde manier gehackt.
Nederlandse online ondernemers die hun activiteiten naar Duitsland willen uitbreiden doen er sinds 25 mei 2018 meer dan ooit verstandig aan er voor te zorgen dat ze zich juridisch zeer zorgvuldig voorbereiden.
Wie denkt dat dankzij de Europese privacywetgeving iedere Nederlandse site die voldoet aan de AVG zonder problemen na een eenvoudige vertaling ook voldoet aan de Duitse wet begeeft zich op bijzonder glad ijs. In dit artikel leggen we uit waarom.
DSGVO
De Algemene Verordening Gegevensbescherming (AVG) is in Duitsland bekend als Datenschutz-Grundverordnung (DSGVO).
De privacyregels zijn in heel Europa gelijk. Toch is er een wezenlijk verschil tussen Duitsland en de rest van Europa. Dat is de handhaving. In Nederland rekenen veel ondernemers op coulance bij de handhaving van de regels. Ze houden rekening met een overgangsperiode. Eerst waarschuwingen, dan pas boetes.
Risicomanagement AVG
De praktijk moet nog uitwijzen of het vertrouwen in de Nederlandse gedoogcultuur verstandig risicomanagement is.
Duitse ondernemers nemen die gok in ieder geval niet. En dat heeft te maken met de totaal andere manier waarop de naleving van de DSGVO in Duitsland gecontroleerd en gehandhaafd wordt. Duitsland heeft de handhaving als het ware geprivatiseerd.
Abmahnung DSGVO
Grote gespecialiseerde advocatenkantoren controleren websites van bedrijven op onregelmatigheden. Het minste of geringste verzuim wordt aangegrepen om een Abmahnung (waarschuwing) naar de eigenaar van de site te sturen. Een waarschuwing met eis tot aanpassing van de site binnen 14 dagen en meteen een gepeperde rekening van het advocatenkantoor, veelal ruim duizend Euro.
Wie niet reageert wordt voor de rechter gesleept en verliest de rechtszaak vrijwel zeker. De boetes lopen dan al gauw in de tienduizenden Euros.
Deze gang van zaken was in Duitsland ook voor de privacywet al gangbaar. De DSGVO zorgt er nu voor dat Duitse ondernemers als de dood zijn om ook maar het geringste steekje te laten vallen.
12.500 Euro Smartengeld
Een recent voorbeeld: een webshopeigenaar had verzuimd om zijn site te beveiligen met SSL. Hij kreeg een Abmahnung van 12.500 Euro. De klager wil een smartegeldvergoeding! Absurd, denkt u nu waarschijnlijk. Dat mag, maar als u zo’n Abmahnung ontvangt zult u hoe dan ook meteen in actie moeten komen. U zult een advocaat moeten inschakelen. Of u wint of verliest, het kost u veel tijd, ergernis en geld.
Vijf procent van de Duitse online bedrijven heeft al een waarschuwing ontvangen op basis van het DSGVO, blijkt uit onderzoek van het Bundesverband Digitale Wirtschaft (BVDW) e.V. onder zijn 278 leden. 28 procent verwacht binnenkort ook een Abmahnung te ontvangen.
56 procent Duitse bedrijven ervaart negatieve impact op omzet
Meer dan de helft (56 procent) van de ondervraagde bedrijven in de BVDW-studie verklaarde dat de hervorming van de gegevensbescherming een negatieve of zeer negatieve impact zal hebben op de omzetontwikkeling. Eén op de drie bedrijven (34 procent) ziet geen impact op de omzet.
Aufsichtsbehörde
PrivacyZone begeleidt ook Nederlandse ondernemers die actief zijn in Duitsland. Voor deze bedrijven is professionele Duitstalige ondersteuning van extra belang. Bij vragen of problemen in betrekking tot de privacyregels moet in Duitsland net als in Nederland contact opgenomen worden met de Autoriteit Persoonsgegevens. En dat zijn er in Duitsland veel meer dan in Nederland.
Iedere Duitse deelstaat heeft een Aufsichtsbehörde (Duitse lokale autoriteit persoonsgegevens) die zich bezighoudt met de bescherming van persoonsgegevens in de regio. Zij voeren ook steekproeven uit bij bedrijven en overheidsorganisaties.
Ondernemers die in heel Duitsland actief zijn kunnen dus door de autoriteiten in ieder Bundesland gecontroleerd en beboet worden wannneer de zaken niet op orde zijn, of er incorrect met de gegevens wordt omgesprongen. Iedere Aufsichtsbehörde kan hoge boetes opleggen wanneer de stukken niet voldoen aan de gestelde eisen.
Als ondernemer loop je niet alleen het risico op een boete door controles van Duitse toezichthouders. Iedereen heeft het recht jouw bedrijf een Abmahnung – een aanmaning – te sturen wanneer de Datenschutzerklärung of AGB niet voldoen aan de wet. De overtreding wordt gezien als oneerlijke concurrentie. Dit wordt gezien als een economisch delict. Een Abmahnung leidt tot hoge advocaatkosten plus kosten om de documenten te laten corrigeren.
PrivacyZone kan Nederlandse ondernemers begeleiden in hun communicatie met Duitse toezichthouders, die over het algemeen louter communiceren in de Duitse taal. Dat is voor PrivacyZone geen probleem.
AhaErlebizz Deutschland
PrivacyZone werkt voor de Duitse markt samen met marketing en communicatiebureau AhaErlebizz Deutschland, het Duitse advocatenkantoor Alpmann Fröhlich uit Rheine en het Nederlandse advocatenkantoor Rein uit Assen.
Astrid Brouwer van AhaErlebizz Deutschland heeft de Duitse nationaliteit. Zij begeleidt Nederlandse ondernemers op de Duitse markt.
De advocatenkantorenAlpmann Fröhlich en Rein zijn gespecialiseerd in grensoverschrijdend ondernemen tussen Nederland en Duitsland.
Samenvatting
Nederlandse ondernemers die denken klaar te zijn met een eenvoudige letterlijke vertaling van de Nederlandse site lopen sinds 25 mei in Duitsland grotere risico’s dan ooit.
Laat uw Duitse site doorlichten door PrivacyZone.nl. Wij kunnen u in samenwerking met communicatie en marketingbureau AhaErlebizz en de advocatenkantoren Alpmann Fröhlich en Rein helpen om zowel uw Nederlandse als uw Duitse site privacyproof te maken.