De rechtbank Gelderland heeft bepaald dat een oma op basis van de Algemene Verordening Gegevensbescherming (AVG) binnen tien dagen de foto’s van haar kleinkinderen van Facebook en Pinterest moet verwijderen. De moeder van de kinderen had kort geding tegen de oma aangespannen.
De oma moet de twee foto’s van haar kleinkinderen binnen tien dagen van Facebook en Pinterest verwijderen, oordeelde de rechter. Als ze dat niet doet, moet ze een dwangsom van 50 euro per dag dat de foto’s online staan betalen. Met een maximum van 1.000 euro.
De moeder van de kinderen had vanwege een ruzie al ruim een jaar geen contact meer met de oma. Toen zij ontdekte dat de oma foto’s van haar kinderen op sociale media had gedeeld, gaf ze haar opdracht die te verwijderen.
Het publiceren van de foto’s van de kinderen op sociale media zou volgens de moeder “ernstige inbreuk op hun persoonlijke levenssfeer” inhouden.
De oma gaf meerdere keren geen gehoor aan het verzoek, waarna de moeder naar de rechter stapte
De oma erkent dat zij in het verleden foto’s van haar kleinkinderen op haar Facebook-pagina heeft geplaatst, maar zegt dat zij de privacy van haar kleinkinderen respecteert en dat zij op één foto na inmiddels alle foto’s van Facebook heeft verwijderd.
Tijdens de rechtszaak bleek dat ze ook nog een foto van haar kleinkinderen en hun moeder op een oud Pinterest-account had staan.
Ze verzocht de rechter of zij alleen de ene foto op haar Facebook-pagina mocht laten staan, omdat zij een bijzondere band heeft met het kind, dat een aantal jaren bij zijn oma en opa gewoond heeft.
50 euro boete per dag
De oma had geen toestemming van de moeder van de minderjarige kinderen om de foto’s te plaatsen. Daarmee overtrad de grootmoeder volgens de rechter de privacywet.
British Airways moet een boete van 204 miljoen euro betalen wegens een groot datalek. De boete is opgelegd door de Britse Autoriteit Persoonsgegevens (AP), de Information Commissioner’s Office (ICO). De luchtvaartmaatschappij maakte de boete zelf bekend.
Het is de hoogste boete die de Britse AP tot nu toe heeft opgelegd, en de eerste die is uitgereikt onder de nieuwe Europese privacywetgeving.
British Airways werd in augustus 2018 getroffen door een grote hackaanval, waarbij creditcardgegevens van 380.000 klanten werden gestolen. De aanval nam twee weken tijd in beslag, tot de hackers op 5 september konden worden geblokkeerd.
Naast creditcardgegevens werd ook andere privé-informatie van de slachtoffers gestolen. De luchtvaartmaatschappij benadrukte dat er geen paspoorten zijn ontvreemd.
Een woordvoerder van het luchtvaartbedrijf vertelt aan BBC “verrast en teleurgesteld” te zijn door de opgelegde boete. De organisatie gaat in beroep tegen het boetebesluit.
Een half jaar na de invoering van de Algemene Verordening Gegevensbescherming (AVG) heeft de Autoriteit Persoonsgegevens (AP) ruim 7.000 klachten en ongeveer 10.000 telefonische vragen behandeld. Er lopen onderzoeken naar mogelijke overtredingen, maar hoeveel dat zijn wil de toezichthouder nog niet zeggen.
Online burgerrechtenorganisatie Bits of Freedom zegt in dagblad Trouw dat bedrijven nog niet altijd goed omgaan met verzoeken van mensen om inzage in de gegevens die er over hen worden bewaard.
“Een bedrijf als KPN wil bijvoorbeeld dat zo’n verzoek per post wordt gedaan, terwijl ze wel online diensten aanbieden en ook online data verzamelen. Volgens de AVG mogen er geen onnodige drempels worden opgeworpen”, zegt David Korteweg van Bits of Freedom.
Interpretatie AVG
Toch vindt Korteweg het te vroeg om dus maar te concluderen dat de privacy niet is verbeterd het afgelopen half jaar. “Veel gaat afhangen van hoe de toezichthouders handhaven en hoe de wet geïnterpreteerd gaat worden.”
In Portugal, Duitsland en Groot-Brittannie zijn ondertussen de eerste boetes opgelegd. De toezichthouders van deze landen geven aan tempo te willen maken. Ze hebben aangekondigd voor het einde van dit jaar meerdere boetes te zullen opleggen.
In verschillende landen zijn inmiddels klachten ingediend tegen grote bedrijven. Eentje die volgens Korteweg gevolgen kan hebben voor een hele branche, is die van de organisatie Privacy International tegen een aantal grote online datahandelaren.
De Nederlandse AP zegt momenteel druk bezig te zijn met het analyseren van alle klachten en tips die in Nederland binnenkwamen. Ze kijkt of bepaalde knelpunten naar voren komen, die als eerste aandacht verdienen.
De Tweede Kamer heeft ondertussen in een motie om een eerste officiële evaluatie van de privacywet gevraagd. Volgens het ministerie van justitie en veiligheid komt die Nederlandse evaluatie pas in januari 2019.
De Nederlandse AP laat in Trouw wel al doorschemeren dat de torenhoge boetes die op basis van de AVG kunnen worden opgelegd voorlopig nog niet aan de orde zijn. “ Volgens de nieuwe wet kunnen er boetes worden uitgedeeld, maar zover hoeft het niet altijd te komen, stelt een woordvoerder van de AP in de krant.
De webshop van de Beierse politieke partij CSU blijkt voor de verkiezingen in de Duitse deelstaat gehackt te zijn. Het datalek werd ontdekt door de onafhankelijke Nederlandse privacy consultant en malware hunter Willem de Groot.
De CSU verloor bij de verkiezingen afgelopen zondag fors. En naar nu blijkt liggen daarnaast ook nog de klantgegevens van alle mensen die sinds 5 oktober CSU-fanartikelen en verkiezingsmateriaal in de webshop van de partij kochten op straat.
Op dit moment is het niet duidelijk of de aanval politiek gemotiveerd was. Maar dat zou kunnen, omdat de hackers enkel contactgegevens van de klanten van een politieke partij hebben buitgemaakt. De politieke voorkeur van deze klanten ligt dan voor bijna honderd procent voor de hand.
Politieke voorkeur valt onder hogere risicoklasse in AVG
De politieke voorkeur van mensen valt net als medische gegevens en etnische afkomst binnen de AVG onder de categorie bijzondere persoonsgegevens. Dit is een hogere risicocategorie die bij aantoonbaar nalatig handelen tot hogere boetes kan leiden.
De Nederlandse privacyspecialist Willem de Groot legt op zijn website en op Twitter uit dat de hackers waarschijnlijk gebruik hebben gemaakt van een ongepatchte kwetsbaarheid in de webshopsoftware of een zwak beheerderswachtwoord.
In dat geval is er duidelijk sprake van nalatigheid bij de CSU.
Webshop CSU is gebouwd met Magento software
De webshop van de CSU is gebouwd met de wereldwijd veel gebruikte webwinkelsoftware Magento.
Volgens De Groot zijn de cybercriminelen op 5 oktober in de webshop binnengedrongen met een Javascriptvirus.
De schadelijke JavaScript-code zou de gegevens van de kopers tijdens het betalingsproces hebben onderschept.
Hackers wisten dat ze alleen contactgegevens konden buitmaken
Omdat de CSU online shop alleen gebruik maakt van externe betalingsdienstaanbieders zoals Amazon en PayPal, moet het voor de aanvallers van meet af aan duidelijk zijn geweest dat zij via de door hen gekozen aanvalsroute geen toegang hadden tot de betalingsgegevens zelf.
De hackers konden op deze manier alleen namen en postadressen onderscheppen.
De Groot zegt aan de andere kant dat Magento webshops momenteel vaak worden gehackt.
Wereldwijd 40.000 Magento shops geinfecteerd met Magecart
“Het gaat niet alleen om de Duitse coalitiepartij”, schrijft De Groot op zijn website. Magento websites worden wereldwijd met grote regelmaat op dezelfde manier gehackt. “Ik heb vorige week de 40.000ste gecompromitteerde winkel geteld. De modus operandi is algemeen bekend als “Magecart”.”
Ook de Magentowebshops van grote ondernemingen als British Airways, Ticketmaster en ABS-CBN zijn volgens De Groot op dezelfde manier gehackt.
Facebook maakte vorige week vrijdag openbaar dat op de dinsdag van die week de accounts van bijna 50 miljoen Facebook-gebruikers waren gehackt. Dat datalek levert Facebook mogelijk een megaboete van 1,4 miljard Euro op.
Sinds de Algemene Verordening Gegevensbescherming (AVG) van kracht is weten veel mensen dat er miljoenen Euro aan boetes kunnen worden opgelegd als de regels worden overtreden.
Bij Facebook wordt een potentieel boetebedrag van 1,4 miljard Euro genoemd. Waar komt dat bedrag vandaan? Heeft Facebook nu een megaprobleem?
Datalekprocedure Facebook
De AVG eist onder meer dat bedrijven hacks en lekken binnen 72 melden bij een Europese toezichthouder. Zo niet, dan kan een boete van maximaal 2 procent van de wereldwijde omzet van het bedrijf worden opgelegd.
Grote vraag is dan of Facebook de hack volgens de regels van een datalekprocedure binnen de verplichte 72 uur bij een Europese privacywaakhond heeft gemeld.
Wall Street Journal
Volgens de Wall Street Journal heeft Facebook tijdig een datalekprocedure gestart. Daarmee lijkt een eerste hoge boete in het kader van de Europese privacywet AVG afgeslagen.
Facebook melde de hack die naar eigen zeggen dinsdag werd ontdekt donderdag bij de Ierse Data Protection Commission (DPC), schrijft The Wall Street Journal.
Het Europese hoofdkantoor van Facebook staat in Ierland, en dus worden alle Europese privacyzaken van Facebook in principe door de Ierse autoriteit persoonsgegevens DPC afgehandeld.
Boete tot 1,4 miljard euro
Toch kan Facebook mogelijk een nog hogere boete krijgen. Bedrijven die volgens de toezichthouder niet genoeg hebben gedaan om de privacy van gebruikers te waarborgen, kunnen boete krijgen van 20 miljoen dollar of 4 procent van jaaromzet waarbij het hoogste bedrag telt. In het geval van Facebook zou de maximumboete op 1,4 miljard euro komen.
Een anonieme Europese privacyadvocaat zegt tegen The Wall Street Journal dat de eis om een lek binnen 72 uur te melden “iedereen op scherp zet”, en zorgt dat bedrijven hacks eerder openbaar maken. De Ierse DPC klaagt dat Facebook niet meer details heeft gegeven rond de recente hack, en heeft het bedrijf vragen gesteld.
Facebook heeft risico van datalek nog niet duidelijk gemaakt
De toezichthouder is “bezorgd over het feit dat dit lek dinsdag ontdekt is en miljoenen gebruikers aangaat, zonder dat Facebook de aard van het lek en het risico voor gebruikers duidelijk kan maken”.
Facebook zegt de zaak te onderzoeken, en de vragen van de toezichthouder zo snel mogelijk te beantwoorden.
Facebook loopt extra risico op megaboete vanwege voorbeeldfunctie
Experts zeggen tegen The Wall Street Journal dat de Europese privacywaakhonden mogelijk een voorbeeld zullen maken van Facebook, omdat het bedrijf met zijn miljarden gebruikers en miljardenomzet een voorbeeldfunctie heeft voor andere bedrijven.
Taxidienst Über moet in de VS een enorm hoge boete betalen voor het verzwijgen van een hack van ongeveer 60 miljoen klantengegevens in oktober 2016.
De advocaat-generaal van New York, Barbara D. Underwood, maakte bekend dat Über in een schikking met de Amerikaanse autoriteiten een boete van 148 miljoen US dollar heeft aanvaard.
Het zou de hoogste boete te zijn die ooit in een dergelijke zaak is opgelegd. Daarnaast moet Über voldoen aan eisen om de gegevensbeveiliging te verbeteren.
Über gaf in november 2017 toe een losgeld van 100.000 US dollar te hebben betaald aan cybercriminelen die de systemen van de internationale taxidienst hadden gehackt.
Ze hadden toegang weten te krijgen tot een archief met gegevens van miljoenen chauffeurs en passagiers.
Later namen ze contact op met het Amerikaanse taxibedrijf en eisten ze een losgeld van 100.000 dollar voor de data die ze hadden buitgemaakt.
Het bestand bevatte de namen, e-mailadressen en telefoonnummers van meer dan 50 miljoen Uber-gebruikers. De rijbewijzen van meer dan zeven miljoen taxichauffeurs was in handen van de cybercriminelen.
“Deze recordschikking geeft een duidelijke boodschap: we tonen geen tolerantie voor degenen die de wet omzeilen en consumenten- en werknemersgegevens in gevaar brengen,” legt Underwood uit.
Tony West, de hoofdrechter, sprak zijn tevredenheid uit in een verklaring dat hij een akkoord had bereikt met de kantoren van de openbare aanklager.
Volgens de huidige wetgeving had Uber ten minste de autoriteiten, maar mogelijk ook individuele klanten of bestuurders over het incident moeten informeren.
In het verleden moest de onderneming een boete betalen voor het niet correct melden van een inbraak.
Wanneer ben je “verantwoordelijke” en wanneer ben je “verwerker”? Organisaties snappen maar weinig van de juridische termen die gebruikt worden in de Algemene Verordening Gegevensbescherming (AVG). Gevolg? Bedrijven gaan massaal de fout in en overtreden daardoor de wet.
Volgens Nhass ontstaat er vooral verwarring over de termen ‘verwerker’ en ‘verantwoordelijke’ over de persoonsgegevens. “Veel bedrijven kennen zichzelf een verkeerde rol toe waardoor zij de wet schenden.”
Voorzitter Aleid Wolfsen van de Autoriteit Persoonsgegevens zegt dat er veel telefoontjes binnenkomen bij zijn organisatie over de terminologie binnen de AVG. “Die is ingewikkeld. Dat geef ik wel toe.”
De AP weet volgens Wolfsen niet hoeveel bedrijven de boel al op orde hebben. “We zijn nu bezig met onderzoeken naar de boekhouding voor de AVG (verwerkingsregister).”
Autoriteit Persoonsgegevens heeft al diverse malen met forse boetes gedreigd
De AP heeft volgens Wolfsen inmiddels bij diverse organisaties al gedreigd met forse boetes van in de tonnen als ze niet op korte termijn voldoen aan de AVG.
Het gaat niet alleen fout in Nederland. Ook in de rest van de EU worstelen organisaties met de nieuwe Europese privacyregels.
De Britse toezichthouder ICO meldt op zijn Twitteraccount dat er sinds de invoering van de wet op 25 mei 2018 wekelijks telefonisch 500 datalekmeldingen worden gedaan, waarvan een derde onnodig blijkt te zijn.
Risicoadviseur Nhass van AON pleit er bij BNR voor dat de Europese toezichthouders samen op gaan trekken om de wet duidelijker uit te leggen.
Wolfsen erkent dat de wet soms wat vaag en te algemeen is. Er wordt volgens hem op Europees niveau gewerkt aan verduidelijking. De Europese toezichthouders komen regelmatig bij elkaar om nieuwe toelichtingen op de wet uit te werken, zogenaamde guidelines (richtlijnen).
“Je hebt Microsoft Edge al: de veiligere, snellere browser voor Windows 10” staat te lezen in een pop-up die bètagebruikers van Windows 10 momenteel te zien krijgen.
De gebruiker kan vervolgens kiezen om Edge te openen, of alsnog een andere browser te installeren.
Er wordt op social media onder de hashtag hashtag #browserwars verontwaardigd gereageerd op de opmerkelijke popup van Microsoft.
Microsoft raadt bètagebruikers van Windows 10 op deze manier actief af om een andere browser te installeren. Er wordt gesuggereerd dat Firefox, Opera of Chrome onveilig zijn.
Microsoft was vroeger marktleider
Jaren geleden maakten vrijwel alle gebruikers van Microsoft standaard gebruik van de browser Microsoft Explorer die automatisch werd geinstalleerd.
De EU vond dat Microsoft misbruik maakte van zijn positie en daardoor concurrenten geen kans gaf.
Miljarden Euro boete voor Microsoft
Microsoft werd zwaar bestraft voor het misbruik van zijn dominante positie. Het Amerikaanse softwareconcern moest miljarden Euro aan boetes betalen.
Microsoft werd verplicht om zijn gebruikers bij de installatie van zijn software een keuzemogelijkheid voor andere browsers aan te bieden.
Google Chrome nu marktleider
Sindsdien heeft Microsoft qua browser flink marktaandeel verloren. Momenteel is Google Chrome marktleider.
Microsoft heeft inmiddels Explorer vervangen door de nieuwe browser Edge. Deze browser is volgens Microsoft sneller en veiliger dan de concurrentie.
Die claim is omstreden en nog niet bewezen.
De melding verschijnt voorlopig alleen in een Insider-build, een bètaversie van Windows 10. Microsoft gebruikt zulke previewversies vaker om nieuwe features te testen. Die verschijnen niet altijd in de definitieve versies van Windows.