Europese toezichthouders zouden los van e-privacywet willen beginnen met geautomatiseerde controles op cookies en tracking

Volgens de Duitse site Golem willen Europese toezichthouders vooruitlopend op de e-privacywet binnenkort op basis van de AVG al handhavend gaan optreden tegen bedrijven die zich niet houden aan bestaande regels voor cookies en tracking.

Europese toezichthouders, zoals de Autoriteit Persoonsgegevens (AP) in Nederland, zijn volgens Golem van plan in november in onderling overleg een besluit te nemen over controles op naleving van de cookieregelgeving.

Golem baseert deze conclusie op informatie van de toezichthouders in de Duitse deelstaten Beieren en Niedersachsen en het Duitse ministerie van Economische zaken.

Handhaving cookieregels kan ook zonder e-privacywet al op basis AVG

De toezichthouders zouden in onderling overleg hebben vastgesteld dat zij op basis van de AVG nu al de mogelijkheid hebben om te handhaven. Ook zonder de e-privacywet.

In november vindt er weer gezamenlijk overleg van de Europese toezichthouders plaats. Dan zou dit punt op de agenda staan.

De Autoriteit Persoonsgegevens van de Duitse deelstaat Beieren (Bayerisches Landesamt für Datenschutzaufsicht) gaf volgens Golem in april 2018 al aan dat het gebruik wil maken van geautomatiseerde opvragingen van internetpagina’s om te controleren of de dienstverleners daadwerkelijk toestemming van de gebruikers krijgen. Tot op heden is dat nog niet gebeurd.

Politiek en ondernemers zijn de regie kwijt

Als de toezichthouders inderdaad vooruitlopend op de e-privacywet al willen gaan handhaven is dat een fikse streep door de rekening voor veel politici en bedrijven. Ze zijn de regie kwijt.

De ontwikkeling lijkt haaks te staan op de opdracht die het kabinet van een meerderheid van de Tweede Kamer heeft gekregen na een motie van regeringspartij VVD.

Het kabinet moet de bureaucratische impact van de beoogde nieuwe Europese e-privacyregels op het bedrijfsleven nog eens onderzoeken.

Negatieve economische effecten e-privacywet

Ondernemersorganisaties in heel Europa waarschuwen al maandenlang voor negatieve effecten van de wet. Ondernemers worstelen nu al met de AVG.

En de ondernemers vrezen dat de Europese privacytrein doordendert zonder rekening te houden met de belangen van bedrijven en de impact op de economie.

De Europese toezichthouders geven nu eigenlijk aan dat zij ook zonder de e-privacywet al kunnen optreden. Dat kan op basis van de Telecomwet waarin al veel zaken zijn vastgelegd die ook in de e-privacywet zouden moeten komen.

Waarom moet er dan een nieuwe wet komen?, kun je je afvragen.

De e-privacyverordening (ePV) heet voluit: “Verordening van het Europees Parlement en de Raad met betrekking tot de eerbiediging van het privéleven en de bescherming van persoonsgegevens in elektronische communicatie, en tot intrekking van Richtlijn 2002/58/EG (richtlijn betreffende privacy en elektronische communicatie)”.

Het is een Europese verordening die de e-privacyrichtlijn (Richtlijn 2002/58/EG) moet vervangen, omdat zij beter zou zijn afgestemd op de nieuwe technologische realiteit.

De aanpassingen omvatten onder andere verbetering van de beveiliging en vertrouwelijkheid van communicatie, het definiëren van duidelijkere regels over volgtechnologieën zoals cookies en meer harmonisatie tussen de lidstaten.

E-privacywet krijgt voorrang boven AVG

De e-privacyverordening is bedoeld als zogenaamde lex specialis bij de AVG. Een lex specialis (Latijn voor bijzondere wetgeving) is een wet, die voorrang krijgt boven de algemene wetgeving (de lex generalis). 

De e-privacyverordening geeft meer invulling aan de algemene AVG regels door ze toe te passen en te specificeren als het specifiek gaat om elektronische communicatiegegevens die als persoonsgegevens worden aangemerkt. 

Trackingtechnologie en direct marketing

De nieuwe e-privacyverordening richt zich op bedrijven die online communiceren, gebruik maken van tracking technologieën en direct marketing.

Het startpunt is de AVG, maar in de specifieke gevallen waarin een organisatie te maken heeft met elektronische communicatiegegevens zal de e-privacyverordening leidend zijn.

E-privacywet had eigenlijk tegelijk met AVG van kracht moeten worden

Eigenlijk had de E-privacywet in mei 2018 in werking moeten treden op hetzelfde tijdstip als de Algemene Verordening Gegevensbescherming.

Maar tot op heden zijn de EU-lidstaten het nog steeds niet eens kunnen worden over een gemeenschappelijk standpunt.

Volgens de toezichthouders moet daarom worden voldaan aan de eisen van de AVG en niet langer aan de bepalingen van de Telecomwet, waar de cookierichtlijn nu bijvoorbeeld nog onder valt.

Bedrijven vrezen hoog inkomstenverlies

Internetbedrijven in heel Europa lobbyen al maandenlang tegen de plannen.

Mediabedrijven vrezen dat de reclame-inkomsten sterk zullen dalen omdat gepersonaliseerde reclame bemoeilijkt zal worden door de verplichting om goedkeuring te verkrijgen voor het volgen (tracking) van website bezoekers.

Als tracking moeilijker wordt wordt het voor ondernemers moeilijker om doelgroepen efficient en effectief te bereiken. Zij realiseren dan minder omzet. En omdat de online reclame minder goed werkt zullen ze minder gaan adverteren, is de verwachting.

‘Alleen mediabedrijven met inlogmodel hebben nog bestaansrecht’

Mediabedrijven gaan ervan uit dat alleen aanbieders met inlogmodellen na invoering van de e-privacyregels nog een kans hebben op de reclamemarkt.

De lobby van bedrijven in heel Europa tegen de e-privacywet lijkt effect te hebben. Het Nederlandse kabinet heeft dus opdracht gekregen er nog eens goed naar te kijken.

Dat is ook in Duitsland gebeurd, waar grote uitgevers als Axel Springer en Bertelsmann veel invloed hebben op de politiek.

Politiek kan zich in verband met regionale, nationale en Europese verkiezingen geen conflict met media en bedrijfsleven veroorloven

De regeringspartijen CDU/CSU en SPD kunnen zich gelet op de wankelijke positie waarin zij op basis van polls en aardverschuivingen na de recente verkiezingen in Beieren geen conflict met de media, bedrijfsleven en publiek veroorloven.

Brussel is niet populair. De negatieve reacties op de Algemene Verordening Gegevensbescherming zeggen voldoende.

De Duitse regering verwerpt de huidige voorstellen van het Europees Parlement en de Europese Commissie. Nederland heroverweegt de voorstellen.

De e-privacywet wordt waarschijnlijk over de Europese verkiezingen heen getild

De e-privacyverordening had aanvankelijk dus tegelijk met de AVG op 25 mei 2018 moeten worden gelanceerd. Daarna werd gezegd dat het iets later zou worden. Uiterlijk eind dit jaar. Dat gaat zeker ook niet lukken.

Gelet op de problemen rond Brexit en de politieke onrust in bijna alle Europese landen willen veel politici er niet nog een hete aardappel bij hebben.

Volgend jaar Europese verkiezingen

Bovendien komen er volgend jaar Europese verkiezingen aan. De verwachting is dan ook dat een definitief besluit over de e-privacywet wordt door geschoven tot na de Europese verkiezingen.

Daar lijken de Europese toezichthouders dus niet op te willen wachten.

Meer actueel awareness nieuws

Federale overkoepelende Autoriteit Persoonsgegevens van Duitsland grijpt in bij naambordjes affaire

De hoogste Duitse commissaris voor gegevensbescherming, Andrea Voßhoff, heeft resoluut ingegrepen in de naambordjes discussie die in Duitsland en Oostenrijk al ruim een week voor vette koppen in de media zorgt.

Commissaris Voßhoff adviseert alle ondernemers, instellingen en verenigingen om bij AVG-maatregelen die uitgebreide impact hebben vooraf contact op te nemen met de Autoriteit Persoonsgegevens en advies te vragen.

De hoogste Duitse toezichthouder doet overduidelijk een poging om in de nabije toekomst onnodige imagoschade voor de Europese privacywet te voorkomen. Daarover verderop in dit artikel meer.

Discussie naambordjes beeindigd

Voßhoff maakt in ieder geval klip en klaar duidelijk dat de AVG discussie over naambordjes beeindigd kan worden. De naambordjes op centrale belborden in de hal van flatgebouwen en appartementencomplexen vallen definitief niet onder de Algemene Verordening Gegevensbescherming.

Verhuurders hoeven niets te doen. Dus ook geen toestemming vragen, zoals de toezichthouder in Thüringen adviseerde.

Voßhoff schrijft dat in een verklaring op de website van de federale Duitse toezichthouder BfDI.

Andrea Astrid Voßhoff (geboren 31 juli 1958 in de Duitse plaats Haren (Ems), district Meppen, vlakbij Ter Apel) is een Duits politicus (CDU). Ze was lid van de Duitse Bondsdag van 1998 tot 2013 en is sinds 4 februari 2014 federaal commissaris voor gegevensbescherming en vrijheid van informatie (BfDI). Bron: Wikipedia.

De Europese betekenis van de AVG-naambordjes discussie in Duitsland en Oostenrijk

De Algemene Verordening Gegevensbescherming (AVG) is een Europese privacywet.

De privacyregels zouden sinds 25 mei 2018 in heel Europa identiek moeten zijn.

Maar zo eenvoudig is het in de praktijk niet. De regels kunnen op verschillende manieren worden uitgelegd. Er ontbreekt bovendien nog jurisprudentie over de jonge wet.

Verwarring, onrust en ophef die niet goed is voor de AVG

Dat zorgt voor verwarring, onrust en ophef die niet goed is voor de Algemene Verordening Gegevensbescherming en de diverse toezichthouders in Europa.

De AVG naambordjesdiscussie in Duitsland en Oostenrijk is daar een goed voorbeeld van. De discussie begon in Oostenrijk en sloeg al snel over naar Duitsland.

Waar ging het ook alweer over?

Een huurder in Wenen diende bij de gemeentelijkwoningcorporatie een klacht in omdat zijn naam op het centrale belbord in de hal van een flat was aangebracht. De huurder zag dit als een schending van de Algemene Verordening Gegevensbescherming (AVG).

De huurder kreeg gelijk van de gemeentelijke Functionaris Gegevensbescherming. Vervolgens besloot de woningcorporatie om 200.000 naambordjes in alle gemeentelijke gebouwen in Wenen verwijderen.

Tegenstrijdige AVG adviezen

De zaak zorgde voor grote ophef in Oostenrijk en al snel ook in Duitsland. Diverse privacydeskundigen en toezichthouders gaven in de media tegenstrijdige adviezen af. De verwarring over de interpretatie van de AVG was groot.

De Autoriteit Persoonsgegevens van de Duitse deelstaat Beieren reageerde hevig geirriteerd over de ophef en sprak van een moedwillige poging van tegenstanders van de privacywet om de AVG met onzin in diskrediet te brengen.

Zijn collega in de Duitse deelstaat Thüringen liet in een officiele persverklaring echter weten dat de verhuirders wel schriftelijk toestemming voor de naambordjes moesten vragen bij de huurders.

Wie heeft er gelijk?

Twee toezichthouders die geacht worden de Algemene Verordening Gegevensbescherming als geen ander te kennen geven verschillende adviezen over dezelfde regels.

In Duitsland zijn er 18 toezichthouders. Iedere deelstaat heeft een eigen Autoriteit Persoonsgegevens.

Daarnaast is er nog een overkoepelende federale Autoriteit Persoonsgegevens. Deze hoogste Duitse commissaris voor gegevensbescherming, Andrea Voßhoff, heeft nu resoluut ingegrepen.

Voßhoff geeft op de website van de Duitse federale toezichthouder DfBI gedetailleerd uitleg waarom de AVG bij de belborden niet van toepassing is:

Geen automatische verwerking

“Het plaatsen van naambordjes op centrale belborden is op zich geen geautomatiseerde verwerking, noch een feitelijke of beoogde opslag in bestandssystemen. In zoverre is het toepassingsgebied van het AVG krachtens artikel 2, lid 1, van de AVG in het algemeen niet eens opengesteld voor dergelijke zaken.”

“Zelfs als de AVG van toepassing zou zijn, zou artikel 6, lid 1, onder f), van de AVG (afweging van belangen) als rechtsgrondslag kunnen worden beschouwd naast de toestemming. In bijzondere gevallen zou de huurder dan het recht hebben om op grond van artikel 21 AVG bezwaar te maken tegen de verwerking. De AVG biedt verschillende rechtsgrondslagen voor gegevensverwerking, die ook moeten worden gebruikt.”

Hoe zit het met digitale naamborden?

Einde discussie over de naambordjes dus?
Nee, toch noch niet helemaal. Hoe zit het met Digitale naamborden?

Als er persoonlijke gegevens (bijv. voornaam, achternaam) op een elektronisch scherm worden weergegeven, is dit elektronische gegevensverwerking en is dit onderworpen aan de AVG.

Meer actueel awareness nieuws

900.000 vastgoedeigenaren krijgen naar aanleiding maatregelen in Oostenrijk advies om in verband met AVG naambordjes 20 miljoen huurders te verwijderen

Jurisprudentie rond de Europese privacywet in andere Europese landen kan ook snel tot discussies en maatregelen leiden in Nederland, voorspelde PrivacyZone eerder deze week. Twee dagen later is het al zo ver in Duitsland.

De Duitse vereniging van vastgoedeigenaren Haus & Grund adviseert zijn 900.000 leden om in verband met de Algemene Verordening Gegevensbescherming (AVG) alle naambordjes van huurwoningen te verwijderen, meldt de Duitse boulevardkrant Bild.

In Wenen moeten 220.000 naambordjes van gemeenschappelijke belborden worden verwijderd

De Duitse vastgoedeigenaren reageren daarmee op het besluit van de gemeentelijke woningcorporatie Wiener Wohnen om in verband met de AVG in de Oostenrijkse hoofdstad Wenen 220.000 naambordjes te verwijderen van gemeenschappelijke belborden in de hal van appartementencomplexen en flats.

De discussie werd volgens de Oostenrijkse nieuwssite Salzburg24geïnitieerd door een bewoner van een appartementencomplex in Wenen die een klacht indiende omdat zijn naam op de intercom stond.

Oostenrijkse privacyvoorvechters spelen discussie over rechtmatigheid naambordjes hoog op

De zaak wordt momenteel in Oostenrijk hoog opgespeeld door ARGE Daten, een organisatie die opkomt voor de privacyrechten van burgers.

De Duitse vereniging van vastgoedeigenaren adviseert zijn leden nu om in navolging van Wiener Wohnen nu ook de naambordjes van gezamenlijke belborden te verwijderen.

“Alleen op deze manier kunnen ze er zeker van zijn dat ze de DSGVO niet schenden”, zegt Kai Warnecke, voorzitter van Haus & Grund, aan BILD. DSGVO is de Duitse afkorting voor de AVG: Datenschutz Grundverordnung.

Warnecke waarschuwt dat het niet naleven van de verordening kan leiden tot boetes tot 20 miljoen euro voor verhuurders. En dat is wanneer huurders klagen dat hun naam op de deur staat en ze daardoor hun privacy verstoord zien.

Duitse vereniging van vastgoedeigenaren vindt dat 20 miljoen huurders moeten opdraaien voor kosten verwijderen belborden

Warnecke schat dat het vervangen van de belplaten in alle 20 miljoen huurwoningen in Duitsland 200 miljoen euro kan kosten. De verhuurders zouden daarvoor moeten betalen.

De woningcorporaties Vonovia (400.000 huurwoningen in Duitsland) en Deutsche Wohnen (160.000) hebben inmiddels te kennen gegeven dat zij nog niet van plan zijn om het advies van Haus & Grund op te volgen.

Klingelschild-verwarring (Klingel = deurbel)

De Duitse huurdersorganisatie Deutsche Wohnen vreest een “Klingelschild-verwarring” in geval van ontmanteling van de centrale belborden. De toegankelijkheid van de appartementen zou in het geding kunnen komen. “Als er twijfels bestaan over de wettigheid van naambordjes, worden politici opgeroepen om op te treden”, zegt algemeen directeur Ulrich Ropertz van Deutsche Wohnen.

Hij adviseert huurders die ervoor willen zorgen dat bekenden, pakket- en bezorgdiensten ook in de toekomst op de juiste bel kunnen blijven drukken in wooncomplexen met honderden huurders.

Meer actueel awareness nieuws

Slechts 10 procent van de werknemers aangesproken op onzorgvuldige omgang met privacygevoelige informatie

De AVG leeft nog niet bepaald op de werkvloer. Werknemers worden nauwelijks aangesproken op het naleven van de Europese privacyregels. Werknemers spreken collega’s wel aan op het verzaken van huishoudelijke taken op kantoor.

Slechts 10 procent van de werknemers is al eens aangesproken op onzorgvuldige omgang met privacygevoelige informatie, blijkt uit onderzoek van Fellowes onder ruim 7000 respondenten uit zeven Europese landen, waaronder Nederland.

Fellowes is een bedrijf dat produkten verkoopt waarmee digitale en papieren databestanden veilig kunnen worden afgeschermd, opgeslagen of vernietigd.

Onduidelijk wie verantwoordelijk is voor privacybeleid

Uit het onderzoek blijkt tevens dat het niet altijd duidelijk is wie verantwoordelijk is voor de controle op omgang met privacygevoelige documenten.

Dertien procent heeft geen idee wie dit is.

Een derde (29%) van de werknemers geeft aan dat iedereen binnen het bedrijf verantwoordelijk is voor de naleving van de AVG. De
directie (21%) en de Data Protection Officer (15%) worden daarnaast het meest aangewezen als verantwoordelijke.

Opmerkelijk genoeg heeft een deel van de bedrijven nog niet een AVG-beleid (19%).

 

Bij de bedrijven die de wetgeving wel hebben doorgevoerd, houdt de meerderheid (64%) zich hieraan.

Echter weet 14 procent van de werknemers niet meer wat er in het privacybeleid van de organisatie staat.

Meer actueel awareness nieuws

Is de Facebook Like Button onder de AVG nog toegestaan? Europese Hof van Justitie buigt zich over die vraag

Op vrijwel elke site zie je ze. Social Media buttons die bezoekers stimuleren om de pagina die ze bezoeken via Facebook, Twitter, LinkedIn, Pinterest of Whatsapp te delen. Als ze dat doen levert het gratis reclame op voor de website.

Wat veel mensen en eigenaars van websites niet beseffen is dat deze knoppen voortdurend op de achtergrond monitoren hoeveel bezoek de site krijgt, wanneer, wat er gelezen wordt en vooral ook door wie. En deze informatie wordt door social media kanalen als Facebook commercieel verwerkt. Jouw online gedrag wordt verkocht.

Zelfs als jij geen account hebt bij Facebook of Twitter weten deze bedrijven op welke sites jij geweest bent.

In Duitsland is er daarom al een paar jaar een discussie gaande over de rechtmatigheid van de like-buttons.

Is het monitoren van bezoekers nog wel toegestaan binnen de privacywetgeving?

De Verbraucherzentrale NRW, een consumentenorganisatie in de Duitse deelstaat Noordrijn Westfalen, spande een paar jaar geleden een rechtszaak aan tegen Fashion ID GmbH & Co, een onderneming van de Peek & Cloppenburg KG groep die ook modezaken in Nederland heeft.

Peek & Cloppenburg moet Facebook Like-button verwijderen

De Verbraucherzentrale NRW vindt dat het modebedrijf de Like-button van Facebook van zijn website moet verwijderen. Met deze button worden gegevens over het surfgedrag van elke gebruiker aan Facebook doorgegeven.

 

Dit is in strijd met (oude) eveneens Europese wetgeving op het gebied van gegevensbescherming en dus concurrentiebeperkend, meent de Verbraucherzentrale NRW.

Europese impact Duitse discussie over Like buttons

Die Duitse discussie heeft mede door de nieuwe Europese privacywet ook Europese impact.

Het Hooggerechtshof van Düsseldorf (OLG) heeft naar aanleiding van de aanklacht tegen Peek & Cloppenburg zes vragen gesteld aan het Hof van Justitie van de Europese Unie (EHvJ) over de toelaatbaarheid van de Facebook Like Button op grond van de wetgeving inzake gegevensbescherming (beslissing van 19.01.2017, ref. I-20 U 40/16).

Verregaande consequenties

Het Europese Hof van Justitie doet naar verwachting voor eind 2018 een uitspraak die verregaande consequenties kan hebben.

Het Europese Hof van Justitie moet nu feitelijk duidelijk maken of website-exploitanten de Facebook-Like-button kunnen integreren op een manier die voldoet aan de Algemene Verordenimg Gegevensbescherming (AVG).

Omdat de vragen in 2017 zijn gesteld zijn ze nog steeds gebaseerd op de oude gegevensbeschermingsrichtlijn 95/46/EG en nog niet op de nieuwe Europese privacywetgeving die sinds 25 mei 2018 van toepassing is.

Het besluit zal echter waarschijnlijk grotendeels van toepassing zijn op de huidige rechtssituatie, omdat het AVG ook overeenkomstige bepalingen bevat over de verhouding tot nationale normen, aansprakelijkheid voor gegevensbescherming en de verplichting om informatie te verstrekken.

Besluit zal van invloed zijn op alle social plugins

Het besluit zal van invloed zijn op alle social plugins. Want de knoppen van Google, Twitter en Pinterest werken volgens een vergelijkbaar principe.

Wanneer je websites met Facebook Like buttons bezoekt, worden bezoekersgegevens (zoals het IP-adres) meteen op de achtergrond automatisch doorgegeven aan Facebook. Er wordt op jouw computer een cookie geplaatst die door Facebook reclamedoeleinden wordt gebruikt. Je krijgt op basis van deze gegevens reclame te zien die precies bij jou past.

En dat gebeurt zelfs als je geen account hebt bij Facebook.

 

Gebruikers hoeven niet eens geregistreerd te zijn bij de social mediatycoon Facebook om gegevens door te geven. In de praktijk kunnen geregistreerde IP-adressen met behulp van de cookies worden herkend en anonieme gebruikersprofielen worden aangemaakt.

Als de gebruikers al zijn ingelogd op deze netwerken, is het altijd mogelijk om precies te traceren welke internetpagina’s door deze gebruikers zijn bezocht. Het resultaat is de facto monitoring van gebruikers in het netwerk.

De arrondisementsrechtbank in Düsseldorf bepaalde op 9 september 2016 al dat de Facebook Like button in strijd is met oude en nieuwe privacywetgeving.

Het IP-adres van de bezoekers van websites wordt zonder uitdrukkelijke toestemming van de gebruiker aan Facebook doorgegeven.

P & C ging vervolgens tegen het arrest in beroep. en de zaak werd doorverwezen naar Hooggerechtshof van Düsseldorf (OLG).

Dit hooggerechtshof heeft de procedure in 2017 opgeschort om vragen voor een prejudiciële beslissing aan het Europese Hof van Justitie voor te leggen.

De vragen die het Hof van Justitie moet beantwoorden

In de eerste plaats moet het Europese hof antwoord geven op de vraag of de Verbraucherzentrale NRW zelfs een procesrecht had.

Als het EHJ deze vraag bevestigend beantwoordt, zal het vervolgens moeten verduidelijken of een bedrijf dat de Facebook-Like button op zijn website opneemt, “verantwoordelijk” is in de zin van Europese gegevensbescherming, hoewel het de overdracht van de gegevens zelf niet kan beïnvloeden. Dit is met name relevant omdat aan de verantwoordelijkheid een aantal gegevensbeschermings- en aansprakelijkheidsrisico’s verbonden is.

Is de beheerder van een website aansprakelijk wegens nalatigheid?

Mocht het Europees Hof van Justitie deze vraag ontkennend beantwoorden, dan is Hooggerechtshof van Düsseldorf van mening dat de beheerder van de webpagina ook aansprakelijk kan worden gesteld bij nalatigheid. Daarom zou het graag van het Europees Hof van Justitie willen weten of dit überhaupt mogelijk is en of de Europese regels inzake gegevensbescherming hier definitief zijn.

Indien een of andere vorm van aansprakelijkheid wordt overwogen, rijst de vraag of de gegevens rechtmatig zijn verwerkt. Hiervoor heeft de verantwoordelijke persoon (Facebook en/of de beheerder van de website) een verantwoording op grond van de privacywet.

Wie is er verantwoordelijk? Facebook of websitebeheerder?

Het Hooggerechtshof zou in dit verband graag willen weten wie verantwoordelijk is voor rechtvaardiging van doorgifte op grond van de gegevensbeschermingswetgeving: de website-exploitant of op Facebook? Wiens “rechtmatig belang” bij de doorgifte van gegevens relevant zou zijn? Wie zou toestemming van de gebruiker moeten krijgen?

Tot slot zou een andere controversiële kwestie kunnen worden opgelost: Moet de website-exploitant zijn gebruikers informeren over de datatransmissie, hoewel hij niet weet wat Facebook met de verzonden gegevens doet?

Vanwege de onzekere juridische situatie is het volgens Duitse juristen op dit moment niet aan te raden om de Facebook Like knop direct op te nemen. Het advies van de Duitse advocaten is gelet op de Europese regelgeving ook van belang in Nederland.

Meer actueel awareness nieuws

Europese toezichthouders voeren gezamenlijk de GDPR controledruk op. Hoeveel risico loopt u?

Denkt u dat het met de handhaving van de Algemene Verordening Gegevensbescherming (AVG) in Nederland uiteindelijk wel mee zal vallen? Dan is het in het kader van risicomanagement goed om te analyseren of er samenhang zit in de maatregelen die de verschillende toezichthouders in heel Europa de laatste tijd treffen om effectief te controleren.

De Nederlandse Autoriteit Persoonsgegevens (AP) maakte in juli – twee maanden na de in werking treding van de Europese privacywet GDPR – bekend dat is begonnen met een verkennend onderzoek bij 30 grote Nederlandse bedrijven in 10 sectoren naar de naleving van de nieuwe Europese privacywet.

De Nederlandse AP voert de steekproef uit bij bedrijven in industrie en metaal, een waterleidingbedrijf, in de bouw, handel, horeca, bij een reisorganisatie, een communicatiebureau, in de financiële dienstverlening, in de zakelijke dienstverlening en in de zorg. De organisaties zijn verspreid over heel Nederland gevestigd.

Dertig bedrijven slechts, denken veel mensen. Dat valt nog mee. Het risico dat een organisatie er bij een steekproef uit wordt gepikt valt dan enorm mee.

Iedereen die nog niet of nauwelijks begonnen is met het nemen van maatregelen om te voldoen aan de AVG is geneigd om nog even af te wachten. Logisch, als je het bekijkt vanuit het Nederlandse gedoog perspectief.

Maar is dat terecht?

Het Nederlandse handhavingsbeleid staat namelijk duidelijk niet op zichzelf. De AVG is een nieuwe Europese wet. Iedere Europese lidstaat heeft een eigen toezichthouder. Duitsland heeft er zelfs 16, een toezichthouder in iedere Duitse deelstaat. Al die toezichthouders werken samen. Wisselen ervaringen uit. Bouwen druk op.

De Autoriteit Gegevensbescherming van de Duitse deelstaat Nedersaksen is begonnen met de eerste controle op naleving van de nieuwe Europese privacywet.

Nedersaksen is een van de 16 deelstaten (Bundesländer) van Duitsland. Iedere deelstaat heeft een eigen toezichthouder gegevensbescherming. En al die Duitse toezichthouders blijken tegelijk met de Nederlandse Authoriteit Persoonsgegevens (AP) met een soortgelijke controle te zijn begonnen. Dat is geen toeval.

50 bedrijven in de Duitse deelstaat Nedersaksen (waaronder 20 grote en 30 middelgrote ondernemingen), met hoofdzetel in Nedersaksen, moeten duidelijk maken wat zij hebben gedaan om te voldoen aan de DSGVO. Net als 30 Nederlandse bedrijven.

DSGVO is de Duitse afkorting voor Datenschutz-Grundverordnung (DSGVO). Het is dezelfde Europese privacywet die in Nederland bekend staat als Algemene Verordening Gegevensbescherming (AVG).

In Groot-Brittannië zijn door de Britse toezichthouder ICO inmiddels 152 audits uitgevoerd bij bedrijven en organisaties. De Britten publiceren heel transparant de naam van iedere organisatie waar een audit wordt uitgevoerd op de website.

De Beierse autoriteit voor gegevensbescherming (BayLDA) heeft dinsdag 24 juli 2018 in München inzicht gegeven in de ervaringen die de Europese toezichthouders tot dusver hebben opgedaan met incidenten op het gebied van gegevensbescherming en wat organisaties die de regels overtreden kunnen verwachten.

Dat gebeurde tijdens het IAPP-evenement “München KnowledgeNet” over het thema “Data Breaches and Cyber Attacks – What you should or should not do”.

De Beierse toezichthouder gaf voorbeelden van maatregelen en tips om controles of boetes te voorkomen.

Allereerst dienen organisaties niet te lichtzinnig om te gaan met privacyincidenten die slechts een klein aantal personen treft. De toezichthouder laat maatregelen afhangen van het risico van de individuele getroffen persoon. Zelfs een enkele verkeerd doorgestuurde brief of e-mail kan – afhankelijk van de inhoud ervan – een meldingsplicht doen ontstaan voor zowel de autoriteiten als de betrokken personen.

Wat gebeurt er bijvoorbeeld als een laptop verloren is geraakt en de harde schijf niet versleuteld is?

Als de organisatie het verlies adequaat vermeldt in het verwerkingsregister en duidelijk kan maken waarom geen maatregelen zijn getroffen hoeft er geen boete te worden opgelegd als de toezichthoudende autoriteit later toch tot de conclusie komt dat een andere maatregel passender zou zijn geweest. Als de onderbouwing van de ‘verkeerde’ maatregelen die de organisatie heeft genomen naar aanleiding van het laptopincident volgens de autoriteit redelijk is kan een organisatie er zonder kleerscheuren vanaf komen. Daar is inmiddels ook jurisprudentie voor.

Deskundigen adviseren bij ieder incident waarbij wordt getwijfeld of er officieel een datalekprocedure moet worden opgestart in ieder geval telefonisch contact op te nemen met de toezichthouder voordat er een daadwerkelijke melding wordt gedaan. Het voordeel hiervan zou zijn dat enerzijds de verantwoordelijken niet onnodig hoeven te rapporteren en zo in de schijnwerpers van de toezichthouders komen te staan en dat anderzijds de toezichthouders niet met een groot aantal onnodige meldingen worden geconfronteerd, wat nu helaas vaker het geval is.

In het najaar van 2018 zal waarschijnlijk al een evaluatie van Europese incidenten op het gebied van cyberveiligheid en gegevensbescherming plaatsvinden. Deze evaluatie zal ook betrekking hebben op de structuur van de processen voor het melden van gegevensbeschermingsincidenten aan onderaannemers, met name het melden van gegevensbeschermingsincidenten aan onderaannemers.

In het verleden zijn er bijna geen incidenten op het gebied van gegevensbescherming gemeld door degenen die verantwoordelijk zijn voor een onderaannemer – maar het kan volgens de Beierse toezichthouder niet zo zijn dat onderaannemers – vooral in onveilige derde landen – geen incidenten op het gebied van gegevensbescherming hebben.

Meer actueel awareness nieuws

Beheerder van Facebook fanpagina volgens Europese Hof van Justitie verantwoordelijk voor persoonsgegevens

Het Europese Hof van Justitie heeft bepaald dat beheerders van fanpagina’s op Facebook net zo verantwoordelijk zijn voor de verwerking en bescherming van persoonsgegevens als Facebook zelf.

Het hof deed dinsdag uitspraak in een zaak die was aangespannen door de Duitse Wirtschaftsakademie Schleswig-Holstein tegen een privébedrijf dat onderwijsdiensten aanbiedt via onder meer een fanpagina op Facebook.

Volgens het hof kan een beheerder zich niet verschuilen door te zeggen dat hij gebruikmaakt van de diensten van Facebook.

De Duitse toezichthouder had het bedrijf in 2011 bevolen de pagina te deactiveren. Zowel het bedrijf als Facebook hadden niet aan de bezoekers gemeld dat Facebook met cookies persoonlijke informatie over hen verzamelde en dat de paginabeheerder deze informatie vervolgens verwerkte.

Het ging onder meer om geanonimiseerde data over de doelgroep van het bedrijf, zoals leeftijd, geslacht, burgerlijke staat en beroep, informatie over online aankopen van de bezoekers en geografische gegevens. Met die informatie kan de beheerder van de fanpagina bijvoorbeeld gerichter zijn diensten aanprijzen.

De toezichthouder in het land van de beheerder van de fanpagina mag volgens het hof ingrijpen als de beheerder de EU-regels voor databescherming schendt.

Beheerders die deze verantwoordelijkheid niet willen, kunnen volgens het hof kiezen om de zogenoemde Insights-functies van Facebook niet te gebruiken.

Met Insights-functies krijgen paginabeheerders inzicht in het gedrag van hun bezoekers. Die gegevens worden ook op de apparaten van de beheerder opgeslagen.

Mede daarom is ook de beheerder verantwoordelijk voor de bescherming en verwerking van die data.

Gedeelde verantwoordelijkheid

 

Het hof zegt dat buiten kijf staat dat Facebook verantwoordelijk is voor de verwerking van de gegevens.

Maar dat neemt volgens de Europese rechters niet weg dat ook een beheerder verplicht is de EU-regels voor de bescherming van persoonsgegevens te volgen.

Facebook ligt al maanden onder vuur wegens het slordig en commercieel omspringen met persoonsgegevens. Met deze uitspraak wordt de verantwoordelijkheid voor de privacy ook deels bij beheerders van Facebook-pagina’s gelegd.

Meer actueel awareness nieuws

EU haalt vlak voor invoering GDPR druk van de ketel. Niet meteen hoge boetes

Organisaties die op 25 mei 2018 nog niet klaar zijn voor de Europese privacywet hoeven zich nog niet meteen zorgen te maken om torenhoge boetes. EU-commissaris voor Justitie Věra Jourová haalt de druk van de ketel omdat de wet in 8 Europese landen nog niet bekrachtigd is.

“De nationale toezichthoudende autoriteiten zullen geen sanctiemachines zijn”, beloofde EU-Commissaris voor Justitie Věra Jourová volgens de Duitse krant Welt tijdens een bezoek in Berlijn.

Jourová gaat ervan uit dat de toezichthouders – in Nederland is dat de Autoriteit Persoonsgegevens (AP) – in de eerste plaats zullen adviseren en helpen bij problemen met de toepassing van de Europese basisverordening voor gegevensbescherming (GDPR), in plaats van vanaf de eerste dag sancties op te leggen.

De Europese privacywet GDPR werd twee jaar geleden door de EU bekrachtigd. Alle Europese lidstaten kregen twee jaar de tijd om de regelgeving nationaal door de eigen parlementen te laten bekrachtigen.

In Nederland is de privacywet deze week door de Eerste Kamer met een hamerslag aangenomen.

Volgens de Commissie hebben acht EU-landen de GDPR echter niet tijdig in nationaal recht weten om te zetten. Het betreft België, Bulgarije, Griekenland, Litouwen, Slovenië, Tsjechië, Hongarije en Cyprus.

Ondertussen zijn ook veel Europese organisaties nog niet klaar voor de GDPR. Bij sommige bedrijven die de boel nog niet op orde hebben heerst volgens Věra Jourová een paniekstemming uit angst voor hoge boetes. Voorlopig is dat volgens haar onnodig.

De EU-commissaris heeft zo de druk van het bedrijfsleven enigszins verlicht.

Brancheorganisaties hebben de afgelopen weken herhaaldelijk duidelijk gemaakt dat veel van hun leden de regels niet volledig ten uitvoer zullen hebben gelegd binnen de gestelde termijn.

Věra Jourová wees er echter ook op dat “officieel geen verdere overgangsfase is gepland”.

Hoe hard de autoriteiten op nationaal niveau zullen optreden tegen schendingen van de privacyregels, is aan hen. De Autoriteit Gegevensbescherming in Nederland heeft de afgelopen dagen al meerdere malen aangegeven niet meteen sancties te zullen opleggen, wel waarschuwingen.

Meer actueel awareness nieuws

Facebook wil Europese privacyregels nu toch wereldwijd toepassen

Facebook wil de Europese privacywetgeving op basis van de GDPR wereldwijd gaan toepassen. CEO Mark Zuckerberg zei eerder deze week nog dat Facebook in de rest van de wereld slechts enkele elementen van de Europese privacywet wilde doorvoeren. Hij komt daar nu al op terug.

Mark Zuckerberg vertelde in interview met Reuters dat Facebook werkt aan een versie van de Europese privacyregels die wereldwijd werkt. “We werken nog altijd aan de details, maar wat de richting die we opgaan betreft, zal het hier wel heel erg op gaan lijken.”

Privacybescherming

Facebook-gebruikers in de rest van de wereld reageerden verontrust omdat zij vreesden in een slechtere positie te belanden dan Europeanen.

Facebook voelt nog steeds de gevolgen van het recente privacyschandaal van Cambridge Analytica. Het misbruik trof maximaal 87 miljoen gebruikers.

De nieuwe Europese privacywetgeving GDPR werd in 2016 in de EU aangenomen, maar bedrijven hebben tot 25 mei de tijd om hier aan te voldoen. Bedrijven moeten hierdoor specifieker aangeven hoe ze de persoonsgegevens willen gebruiken. De gebruikers van diensten zoals Facebook moeten expliciet toestemming geven voor het verzamelen of gebruik van data. De regels geven EU-inwoners ook recht om te weten welke gegevens over hen opgeslagen worden. Daarnaast moeten bedrijven de optie geven om gebruikers alle data die zij hebben verzameld te laten verwijderen.

Meer actueel awareness nieuws