Europese toezichthouders zouden los van e-privacywet willen beginnen met geautomatiseerde controles op cookies en tracking

Volgens de Duitse site Golem willen Europese toezichthouders vooruitlopend op de e-privacywet binnenkort op basis van de AVG al handhavend gaan optreden tegen bedrijven die zich niet houden aan bestaande regels voor cookies en tracking.

Europese toezichthouders, zoals de Autoriteit Persoonsgegevens (AP) in Nederland, zijn volgens Golem van plan in november in onderling overleg een besluit te nemen over controles op naleving van de cookieregelgeving.

Golem baseert deze conclusie op informatie van de toezichthouders in de Duitse deelstaten Beieren en Niedersachsen en het Duitse ministerie van Economische zaken.

Handhaving cookieregels kan ook zonder e-privacywet al op basis AVG

De toezichthouders zouden in onderling overleg hebben vastgesteld dat zij op basis van de AVG nu al de mogelijkheid hebben om te handhaven. Ook zonder de e-privacywet.

In november vindt er weer gezamenlijk overleg van de Europese toezichthouders plaats. Dan zou dit punt op de agenda staan.

De Autoriteit Persoonsgegevens van de Duitse deelstaat Beieren (Bayerisches Landesamt für Datenschutzaufsicht) gaf volgens Golem in april 2018 al aan dat het gebruik wil maken van geautomatiseerde opvragingen van internetpagina’s om te controleren of de dienstverleners daadwerkelijk toestemming van de gebruikers krijgen. Tot op heden is dat nog niet gebeurd.

Politiek en ondernemers zijn de regie kwijt

Als de toezichthouders inderdaad vooruitlopend op de e-privacywet al willen gaan handhaven is dat een fikse streep door de rekening voor veel politici en bedrijven. Ze zijn de regie kwijt.

De ontwikkeling lijkt haaks te staan op de opdracht die het kabinet van een meerderheid van de Tweede Kamer heeft gekregen na een motie van regeringspartij VVD.

Het kabinet moet de bureaucratische impact van de beoogde nieuwe Europese e-privacyregels op het bedrijfsleven nog eens onderzoeken.

Negatieve economische effecten e-privacywet

Ondernemersorganisaties in heel Europa waarschuwen al maandenlang voor negatieve effecten van de wet. Ondernemers worstelen nu al met de AVG.

En de ondernemers vrezen dat de Europese privacytrein doordendert zonder rekening te houden met de belangen van bedrijven en de impact op de economie.

De Europese toezichthouders geven nu eigenlijk aan dat zij ook zonder de e-privacywet al kunnen optreden. Dat kan op basis van de Telecomwet waarin al veel zaken zijn vastgelegd die ook in de e-privacywet zouden moeten komen.

Waarom moet er dan een nieuwe wet komen?, kun je je afvragen.

De e-privacyverordening (ePV) heet voluit: “Verordening van het Europees Parlement en de Raad met betrekking tot de eerbiediging van het privéleven en de bescherming van persoonsgegevens in elektronische communicatie, en tot intrekking van Richtlijn 2002/58/EG (richtlijn betreffende privacy en elektronische communicatie)”.

Het is een Europese verordening die de e-privacyrichtlijn (Richtlijn 2002/58/EG) moet vervangen, omdat zij beter zou zijn afgestemd op de nieuwe technologische realiteit.

De aanpassingen omvatten onder andere verbetering van de beveiliging en vertrouwelijkheid van communicatie, het definiëren van duidelijkere regels over volgtechnologieën zoals cookies en meer harmonisatie tussen de lidstaten.

E-privacywet krijgt voorrang boven AVG

De e-privacyverordening is bedoeld als zogenaamde lex specialis bij de AVG. Een lex specialis (Latijn voor bijzondere wetgeving) is een wet, die voorrang krijgt boven de algemene wetgeving (de lex generalis). 

De e-privacyverordening geeft meer invulling aan de algemene AVG regels door ze toe te passen en te specificeren als het specifiek gaat om elektronische communicatiegegevens die als persoonsgegevens worden aangemerkt. 

Trackingtechnologie en direct marketing

De nieuwe e-privacyverordening richt zich op bedrijven die online communiceren, gebruik maken van tracking technologieën en direct marketing.

Het startpunt is de AVG, maar in de specifieke gevallen waarin een organisatie te maken heeft met elektronische communicatiegegevens zal de e-privacyverordening leidend zijn.

E-privacywet had eigenlijk tegelijk met AVG van kracht moeten worden

Eigenlijk had de E-privacywet in mei 2018 in werking moeten treden op hetzelfde tijdstip als de Algemene Verordening Gegevensbescherming.

Maar tot op heden zijn de EU-lidstaten het nog steeds niet eens kunnen worden over een gemeenschappelijk standpunt.

Volgens de toezichthouders moet daarom worden voldaan aan de eisen van de AVG en niet langer aan de bepalingen van de Telecomwet, waar de cookierichtlijn nu bijvoorbeeld nog onder valt.

Bedrijven vrezen hoog inkomstenverlies

Internetbedrijven in heel Europa lobbyen al maandenlang tegen de plannen.

Mediabedrijven vrezen dat de reclame-inkomsten sterk zullen dalen omdat gepersonaliseerde reclame bemoeilijkt zal worden door de verplichting om goedkeuring te verkrijgen voor het volgen (tracking) van website bezoekers.

Als tracking moeilijker wordt wordt het voor ondernemers moeilijker om doelgroepen efficient en effectief te bereiken. Zij realiseren dan minder omzet. En omdat de online reclame minder goed werkt zullen ze minder gaan adverteren, is de verwachting.

‘Alleen mediabedrijven met inlogmodel hebben nog bestaansrecht’

Mediabedrijven gaan ervan uit dat alleen aanbieders met inlogmodellen na invoering van de e-privacyregels nog een kans hebben op de reclamemarkt.

De lobby van bedrijven in heel Europa tegen de e-privacywet lijkt effect te hebben. Het Nederlandse kabinet heeft dus opdracht gekregen er nog eens goed naar te kijken.

Dat is ook in Duitsland gebeurd, waar grote uitgevers als Axel Springer en Bertelsmann veel invloed hebben op de politiek.

Politiek kan zich in verband met regionale, nationale en Europese verkiezingen geen conflict met media en bedrijfsleven veroorloven

De regeringspartijen CDU/CSU en SPD kunnen zich gelet op de wankelijke positie waarin zij op basis van polls en aardverschuivingen na de recente verkiezingen in Beieren geen conflict met de media, bedrijfsleven en publiek veroorloven.

Brussel is niet populair. De negatieve reacties op de Algemene Verordening Gegevensbescherming zeggen voldoende.

De Duitse regering verwerpt de huidige voorstellen van het Europees Parlement en de Europese Commissie. Nederland heroverweegt de voorstellen.

De e-privacywet wordt waarschijnlijk over de Europese verkiezingen heen getild

De e-privacyverordening had aanvankelijk dus tegelijk met de AVG op 25 mei 2018 moeten worden gelanceerd. Daarna werd gezegd dat het iets later zou worden. Uiterlijk eind dit jaar. Dat gaat zeker ook niet lukken.

Gelet op de problemen rond Brexit en de politieke onrust in bijna alle Europese landen willen veel politici er niet nog een hete aardappel bij hebben.

Volgend jaar Europese verkiezingen

Bovendien komen er volgend jaar Europese verkiezingen aan. De verwachting is dan ook dat een definitief besluit over de e-privacywet wordt door geschoven tot na de Europese verkiezingen.

Daar lijken de Europese toezichthouders dus niet op te willen wachten.

Meer actueel awareness nieuws

Federale overkoepelende Autoriteit Persoonsgegevens van Duitsland grijpt in bij naambordjes affaire

De hoogste Duitse commissaris voor gegevensbescherming, Andrea Voßhoff, heeft resoluut ingegrepen in de naambordjes discussie die in Duitsland en Oostenrijk al ruim een week voor vette koppen in de media zorgt.

Commissaris Voßhoff adviseert alle ondernemers, instellingen en verenigingen om bij AVG-maatregelen die uitgebreide impact hebben vooraf contact op te nemen met de Autoriteit Persoonsgegevens en advies te vragen.

De hoogste Duitse toezichthouder doet overduidelijk een poging om in de nabije toekomst onnodige imagoschade voor de Europese privacywet te voorkomen. Daarover verderop in dit artikel meer.

Discussie naambordjes beeindigd

Voßhoff maakt in ieder geval klip en klaar duidelijk dat de AVG discussie over naambordjes beeindigd kan worden. De naambordjes op centrale belborden in de hal van flatgebouwen en appartementencomplexen vallen definitief niet onder de Algemene Verordening Gegevensbescherming.

Verhuurders hoeven niets te doen. Dus ook geen toestemming vragen, zoals de toezichthouder in Thüringen adviseerde.

Voßhoff schrijft dat in een verklaring op de website van de federale Duitse toezichthouder BfDI.

Andrea Astrid Voßhoff (geboren 31 juli 1958 in de Duitse plaats Haren (Ems), district Meppen, vlakbij Ter Apel) is een Duits politicus (CDU). Ze was lid van de Duitse Bondsdag van 1998 tot 2013 en is sinds 4 februari 2014 federaal commissaris voor gegevensbescherming en vrijheid van informatie (BfDI). Bron: Wikipedia.

De Europese betekenis van de AVG-naambordjes discussie in Duitsland en Oostenrijk

De Algemene Verordening Gegevensbescherming (AVG) is een Europese privacywet.

De privacyregels zouden sinds 25 mei 2018 in heel Europa identiek moeten zijn.

Maar zo eenvoudig is het in de praktijk niet. De regels kunnen op verschillende manieren worden uitgelegd. Er ontbreekt bovendien nog jurisprudentie over de jonge wet.

Verwarring, onrust en ophef die niet goed is voor de AVG

Dat zorgt voor verwarring, onrust en ophef die niet goed is voor de Algemene Verordening Gegevensbescherming en de diverse toezichthouders in Europa.

De AVG naambordjesdiscussie in Duitsland en Oostenrijk is daar een goed voorbeeld van. De discussie begon in Oostenrijk en sloeg al snel over naar Duitsland.

Waar ging het ook alweer over?

Een huurder in Wenen diende bij de gemeentelijkwoningcorporatie een klacht in omdat zijn naam op het centrale belbord in de hal van een flat was aangebracht. De huurder zag dit als een schending van de Algemene Verordening Gegevensbescherming (AVG).

De huurder kreeg gelijk van de gemeentelijke Functionaris Gegevensbescherming. Vervolgens besloot de woningcorporatie om 200.000 naambordjes in alle gemeentelijke gebouwen in Wenen verwijderen.

Tegenstrijdige AVG adviezen

De zaak zorgde voor grote ophef in Oostenrijk en al snel ook in Duitsland. Diverse privacydeskundigen en toezichthouders gaven in de media tegenstrijdige adviezen af. De verwarring over de interpretatie van de AVG was groot.

De Autoriteit Persoonsgegevens van de Duitse deelstaat Beieren reageerde hevig geirriteerd over de ophef en sprak van een moedwillige poging van tegenstanders van de privacywet om de AVG met onzin in diskrediet te brengen.

Zijn collega in de Duitse deelstaat Thüringen liet in een officiele persverklaring echter weten dat de verhuirders wel schriftelijk toestemming voor de naambordjes moesten vragen bij de huurders.

Wie heeft er gelijk?

Twee toezichthouders die geacht worden de Algemene Verordening Gegevensbescherming als geen ander te kennen geven verschillende adviezen over dezelfde regels.

In Duitsland zijn er 18 toezichthouders. Iedere deelstaat heeft een eigen Autoriteit Persoonsgegevens.

Daarnaast is er nog een overkoepelende federale Autoriteit Persoonsgegevens. Deze hoogste Duitse commissaris voor gegevensbescherming, Andrea Voßhoff, heeft nu resoluut ingegrepen.

Voßhoff geeft op de website van de Duitse federale toezichthouder DfBI gedetailleerd uitleg waarom de AVG bij de belborden niet van toepassing is:

Geen automatische verwerking

“Het plaatsen van naambordjes op centrale belborden is op zich geen geautomatiseerde verwerking, noch een feitelijke of beoogde opslag in bestandssystemen. In zoverre is het toepassingsgebied van het AVG krachtens artikel 2, lid 1, van de AVG in het algemeen niet eens opengesteld voor dergelijke zaken.”

“Zelfs als de AVG van toepassing zou zijn, zou artikel 6, lid 1, onder f), van de AVG (afweging van belangen) als rechtsgrondslag kunnen worden beschouwd naast de toestemming. In bijzondere gevallen zou de huurder dan het recht hebben om op grond van artikel 21 AVG bezwaar te maken tegen de verwerking. De AVG biedt verschillende rechtsgrondslagen voor gegevensverwerking, die ook moeten worden gebruikt.”

Hoe zit het met digitale naamborden?

Einde discussie over de naambordjes dus?
Nee, toch noch niet helemaal. Hoe zit het met Digitale naamborden?

Als er persoonlijke gegevens (bijv. voornaam, achternaam) op een elektronisch scherm worden weergegeven, is dit elektronische gegevensverwerking en is dit onderworpen aan de AVG.

Meer actueel awareness nieuws

900.000 vastgoedeigenaren krijgen naar aanleiding maatregelen in Oostenrijk advies om in verband met AVG naambordjes 20 miljoen huurders te verwijderen

Jurisprudentie rond de Europese privacywet in andere Europese landen kan ook snel tot discussies en maatregelen leiden in Nederland, voorspelde PrivacyZone eerder deze week. Twee dagen later is het al zo ver in Duitsland.

De Duitse vereniging van vastgoedeigenaren Haus & Grund adviseert zijn 900.000 leden om in verband met de Algemene Verordening Gegevensbescherming (AVG) alle naambordjes van huurwoningen te verwijderen, meldt de Duitse boulevardkrant Bild.

In Wenen moeten 220.000 naambordjes van gemeenschappelijke belborden worden verwijderd

De Duitse vastgoedeigenaren reageren daarmee op het besluit van de gemeentelijke woningcorporatie Wiener Wohnen om in verband met de AVG in de Oostenrijkse hoofdstad Wenen 220.000 naambordjes te verwijderen van gemeenschappelijke belborden in de hal van appartementencomplexen en flats.

De discussie werd volgens de Oostenrijkse nieuwssite Salzburg24geïnitieerd door een bewoner van een appartementencomplex in Wenen die een klacht indiende omdat zijn naam op de intercom stond.

Oostenrijkse privacyvoorvechters spelen discussie over rechtmatigheid naambordjes hoog op

De zaak wordt momenteel in Oostenrijk hoog opgespeeld door ARGE Daten, een organisatie die opkomt voor de privacyrechten van burgers.

De Duitse vereniging van vastgoedeigenaren adviseert zijn leden nu om in navolging van Wiener Wohnen nu ook de naambordjes van gezamenlijke belborden te verwijderen.

“Alleen op deze manier kunnen ze er zeker van zijn dat ze de DSGVO niet schenden”, zegt Kai Warnecke, voorzitter van Haus & Grund, aan BILD. DSGVO is de Duitse afkorting voor de AVG: Datenschutz Grundverordnung.

Warnecke waarschuwt dat het niet naleven van de verordening kan leiden tot boetes tot 20 miljoen euro voor verhuurders. En dat is wanneer huurders klagen dat hun naam op de deur staat en ze daardoor hun privacy verstoord zien.

Duitse vereniging van vastgoedeigenaren vindt dat 20 miljoen huurders moeten opdraaien voor kosten verwijderen belborden

Warnecke schat dat het vervangen van de belplaten in alle 20 miljoen huurwoningen in Duitsland 200 miljoen euro kan kosten. De verhuurders zouden daarvoor moeten betalen.

De woningcorporaties Vonovia (400.000 huurwoningen in Duitsland) en Deutsche Wohnen (160.000) hebben inmiddels te kennen gegeven dat zij nog niet van plan zijn om het advies van Haus & Grund op te volgen.

Klingelschild-verwarring (Klingel = deurbel)

De Duitse huurdersorganisatie Deutsche Wohnen vreest een “Klingelschild-verwarring” in geval van ontmanteling van de centrale belborden. De toegankelijkheid van de appartementen zou in het geding kunnen komen. “Als er twijfels bestaan over de wettigheid van naambordjes, worden politici opgeroepen om op te treden”, zegt algemeen directeur Ulrich Ropertz van Deutsche Wohnen.

Hij adviseert huurders die ervoor willen zorgen dat bekenden, pakket- en bezorgdiensten ook in de toekomst op de juiste bel kunnen blijven drukken in wooncomplexen met honderden huurders.

Meer actueel awareness nieuws

Slechts 10 procent van de werknemers aangesproken op onzorgvuldige omgang met privacygevoelige informatie

De AVG leeft nog niet bepaald op de werkvloer. Werknemers worden nauwelijks aangesproken op het naleven van de Europese privacyregels. Werknemers spreken collega’s wel aan op het verzaken van huishoudelijke taken op kantoor.

Slechts 10 procent van de werknemers is al eens aangesproken op onzorgvuldige omgang met privacygevoelige informatie, blijkt uit onderzoek van Fellowes onder ruim 7000 respondenten uit zeven Europese landen, waaronder Nederland.

Fellowes is een bedrijf dat produkten verkoopt waarmee digitale en papieren databestanden veilig kunnen worden afgeschermd, opgeslagen of vernietigd.

Onduidelijk wie verantwoordelijk is voor privacybeleid

Uit het onderzoek blijkt tevens dat het niet altijd duidelijk is wie verantwoordelijk is voor de controle op omgang met privacygevoelige documenten.

Dertien procent heeft geen idee wie dit is.

Een derde (29%) van de werknemers geeft aan dat iedereen binnen het bedrijf verantwoordelijk is voor de naleving van de AVG. De
directie (21%) en de Data Protection Officer (15%) worden daarnaast het meest aangewezen als verantwoordelijke.

Opmerkelijk genoeg heeft een deel van de bedrijven nog niet een AVG-beleid (19%).

 

Bij de bedrijven die de wetgeving wel hebben doorgevoerd, houdt de meerderheid (64%) zich hieraan.

Echter weet 14 procent van de werknemers niet meer wat er in het privacybeleid van de organisatie staat.

Meer actueel awareness nieuws

‘Slechts’ 16,5 miljoen Euro boete voor Britse Tesco bank wegens ontbreken cyberbeveiliging in 2016. Had met nieuwe AVG nu ruim 2,2 miljard Euro kunnen zijn

Wie dacht dat het allemaal wel mee zou vallen met de dreiging van megaboetes bij overtredingen van de AVG heeft het bij het verkeerde eind. In Groot-Brittannie wordt momenteel de toon gezet bij handhaving van de Europese privacyregels.

De Britse bank Tesco heeft een boete van 16,5 miljoen Euro gekregen van de Financial Conduct Authority (FCA) voor het ontbreken van beveiligingsmaatregelen tegen een cyberaanval die in november 2016 plaatsvond.

De fraude heeft de cyberaanvallers in dit geval 2,4 miljoen Euro opgeleverd.

Tesco had geluk bij een ongeluk omdat de nieuwe AVG destijds nog niet van kracht was.

Als de cybercriminelen na 25 mei 2018 hadden goegeslagen, toen AVG in werking trad, had Tesco boetes tot 4% van zijn jaarlijkse omzet moeten betalen. Dat ongeveer 2,2 miljard Euro zou zijn geweest.

De Britse toezichthouder FCA zegt dat organisaties ervoor moeten zorgen dat hun systemen zo inrichten dat het risico van cyberaanvallen bij voorbaat vermindert. Privacy by design en privacy by default, eist de AVG.

Te weinig, te laat

“Dit was te weinig, te laat. Klanten hadden helemaal niet aan het risico mogen worden blootgesteld”, erkent chief executive Gerry Mallon van Tesco achteraf ruiterlijk. Dat is een bijzonder dure les voor de bank.

Tesco Bank kreeg overigens onder de oude regels ook nog 50 procent strafvermindering omdat er op hoog niveau werd meegewerkt tijdens het onderzoek door de toezichthouder. Die had op basis van de oude privacyregels uit 2016 een boete van meer dan 30 miljoen Euro kunnen opleggen.

De boetes kunnen in de toekomst volgens de Britse toezichthouder juist fors hoger uitpakken.

 

Deze sanctie herinnert eraan hoe belangrijk het is dat organisaties rekening houden met hun kwetsbaarheid en investeren in beveiligingsmaatregelen“, aldus de FTA. Financiële verliezen als gevolg van niet-naleving van Europese privacyregels kunnen in potentie hoger uitvallen dan de kosten om een inbreuk tegen te gaan.“

Er zullen in de toekomst zwaardere straffen worden opgelegd. Bedrijven moeten hun IT-infrastructuur opnieuw beoordelen en hun software, webapplicaties en netwerken beveiligen om gevoelige gegevens te helpen beschermen en de naleving ervan te waarborgen.

Indien een dochteronderneming de verordening niet naleeft, worden de boetes ook berekend op basis van de omzet van de moedermaatschappij.

Meer actueel awareness nieuws