Selecteer een pagina

Facebook moet in Italië 10 miljoen Euro boete betalen wegens overtreding van Europese privacywet

Facebook is in Italië veroordeeld tot een boete van tien miljoen euro wegens het overtreden van de Algemene Verordening Gegevensbescherming (AVG). De boete is opgelegd door de Italiaanse mededingingsautoriteit AGCM.

AGCM beschuldigt Facebook van een agressieve handelspraktijk omdat de mogelijkheid om op andere sites en applicaties in te loggen met Facebook-accountgegevens vooraf is ingesteld zonder de uitdrukkelijke toestemming van de gebruiker.

De door Facebook geplande opties voor het deselecteren van de functie voldoen niet aan de eisen van de ACG.

Britse toezichthouder ICO legt boete van 156.000 Euro op aan Lifecycle Marketing voor verkopen persoonsgegevens aan Labour Party

De Britse toezichthouder ICO heeft een boete van £ 140,000 (156.000 Euro) opgelegd aan Lifecycle Marketing (Mother and Baby) Ltd, ook bekend als Emma’s Diary, voor het illegaal verzamelen en verkopen van persoonlijke gegevens van meer dan een miljoen mensen ten behoeve van een politieke campagne van de Labour Party.

De gegevensbemiddelaar, die adviseert over zwangerschap en kinderopvang, verkocht de informatie aan Experian Marketing Services, een onderdeel van het kredietreferentiebureau, speciaal ten behoeve van de Labour Party.

Experian creëerde vervolgens een database die de partij gebruikte om de nieuwe moeders te profileren in de aanloop naar de Algemene Verkiezing 2017.

Ondertussen heeft de ICO ook aangekondigd onderzoek te doen naar de manier waarop de Britse politieke partijen omgaan met persoonsgegevens van kiezers. In juli 2018 is er een uitgebreide notitie over dit onderzoek op de site van de ICO gepubliceerd.

 

Europese toezichthouders voeren gezamenlijk de GDPR controledruk op. Hoeveel risico loopt u?

Denkt u dat het met de handhaving van de Algemene Verordening Gegevensbescherming (AVG) in Nederland uiteindelijk wel mee zal vallen? Dan is het in het kader van risicomanagement goed om te analyseren of er samenhang zit in de maatregelen die de verschillende toezichthouders in heel Europa de laatste tijd treffen om effectief te controleren.

De Nederlandse Autoriteit Persoonsgegevens (AP) maakte in juli – twee maanden na de in werking treding van de Europese privacywet GDPR – bekend dat is begonnen met een verkennend onderzoek bij 30 grote Nederlandse bedrijven in 10 sectoren naar de naleving van de nieuwe Europese privacywet.

De Nederlandse AP voert de steekproef uit bij bedrijven in industrie en metaal, een waterleidingbedrijf, in de bouw, handel, horeca, bij een reisorganisatie, een communicatiebureau, in de financiële dienstverlening, in de zakelijke dienstverlening en in de zorg. De organisaties zijn verspreid over heel Nederland gevestigd.

Dertig bedrijven slechts, denken veel mensen. Dat valt nog mee. Het risico dat een organisatie er bij een steekproef uit wordt gepikt valt dan enorm mee.

Iedereen die nog niet of nauwelijks begonnen is met het nemen van maatregelen om te voldoen aan de AVG is geneigd om nog even af te wachten. Logisch, als je het bekijkt vanuit het Nederlandse gedoog perspectief.

Maar is dat terecht?

Het Nederlandse handhavingsbeleid staat namelijk duidelijk niet op zichzelf. De AVG is een nieuwe Europese wet. Iedere Europese lidstaat heeft een eigen toezichthouder. Duitsland heeft er zelfs 16, een toezichthouder in iedere Duitse deelstaat. Al die toezichthouders werken samen. Wisselen ervaringen uit. Bouwen druk op.

De Autoriteit Gegevensbescherming van de Duitse deelstaat Nedersaksen is begonnen met de eerste controle op naleving van de nieuwe Europese privacywet.

Nedersaksen is een van de 16 deelstaten (Bundesländer) van Duitsland. Iedere deelstaat heeft een eigen toezichthouder gegevensbescherming. En al die Duitse toezichthouders blijken tegelijk met de Nederlandse Authoriteit Persoonsgegevens (AP) met een soortgelijke controle te zijn begonnen. Dat is geen toeval.

50 bedrijven in de Duitse deelstaat Nedersaksen (waaronder 20 grote en 30 middelgrote ondernemingen), met hoofdzetel in Nedersaksen, moeten duidelijk maken wat zij hebben gedaan om te voldoen aan de DSGVO. Net als 30 Nederlandse bedrijven.

DSGVO is de Duitse afkorting voor Datenschutz-Grundverordnung (DSGVO). Het is dezelfde Europese privacywet die in Nederland bekend staat als Algemene Verordening Gegevensbescherming (AVG).

In Groot-Brittannië zijn door de Britse toezichthouder ICO inmiddels 152 audits uitgevoerd bij bedrijven en organisaties. De Britten publiceren heel transparant de naam van iedere organisatie waar een audit wordt uitgevoerd op de website.

De Beierse autoriteit voor gegevensbescherming (BayLDA) heeft dinsdag 24 juli 2018 in München inzicht gegeven in de ervaringen die de Europese toezichthouders tot dusver hebben opgedaan met incidenten op het gebied van gegevensbescherming en wat organisaties die de regels overtreden kunnen verwachten.

Dat gebeurde tijdens het IAPP-evenement “München KnowledgeNet” over het thema “Data Breaches and Cyber Attacks – What you should or should not do”.

De Beierse toezichthouder gaf voorbeelden van maatregelen en tips om controles of boetes te voorkomen.

Allereerst dienen organisaties niet te lichtzinnig om te gaan met privacyincidenten die slechts een klein aantal personen treft. De toezichthouder laat maatregelen afhangen van het risico van de individuele getroffen persoon. Zelfs een enkele verkeerd doorgestuurde brief of e-mail kan – afhankelijk van de inhoud ervan – een meldingsplicht doen ontstaan voor zowel de autoriteiten als de betrokken personen.

Wat gebeurt er bijvoorbeeld als een laptop verloren is geraakt en de harde schijf niet versleuteld is?

Als de organisatie het verlies adequaat vermeldt in het verwerkingsregister en duidelijk kan maken waarom geen maatregelen zijn getroffen hoeft er geen boete te worden opgelegd als de toezichthoudende autoriteit later toch tot de conclusie komt dat een andere maatregel passender zou zijn geweest. Als de onderbouwing van de ‘verkeerde’ maatregelen die de organisatie heeft genomen naar aanleiding van het laptopincident volgens de autoriteit redelijk is kan een organisatie er zonder kleerscheuren vanaf komen. Daar is inmiddels ook jurisprudentie voor.

Deskundigen adviseren bij ieder incident waarbij wordt getwijfeld of er officieel een datalekprocedure moet worden opgestart in ieder geval telefonisch contact op te nemen met de toezichthouder voordat er een daadwerkelijke melding wordt gedaan. Het voordeel hiervan zou zijn dat enerzijds de verantwoordelijken niet onnodig hoeven te rapporteren en zo in de schijnwerpers van de toezichthouders komen te staan en dat anderzijds de toezichthouders niet met een groot aantal onnodige meldingen worden geconfronteerd, wat nu helaas vaker het geval is.

In het najaar van 2018 zal waarschijnlijk al een evaluatie van Europese incidenten op het gebied van cyberveiligheid en gegevensbescherming plaatsvinden. Deze evaluatie zal ook betrekking hebben op de structuur van de processen voor het melden van gegevensbeschermingsincidenten aan onderaannemers, met name het melden van gegevensbeschermingsincidenten aan onderaannemers.

In het verleden zijn er bijna geen incidenten op het gebied van gegevensbescherming gemeld door degenen die verantwoordelijk zijn voor een onderaannemer – maar het kan volgens de Beierse toezichthouder niet zo zijn dat onderaannemers – vooral in onveilige derde landen – geen incidenten op het gebied van gegevensbescherming hebben.

‘Hoge boete voor overtreding privacywet AVG / GDPR uitkeren aan slachtoffers’

Bedrijven die de privacywet AVG / GDPR overtreden kunnen hoge boetes van 4 procent van de wereldwijde jaaromzet of maximaal 20 miljoen Euro opgelegd krijgen. Dat is heel veel geld.

Wat moet er eigenlijk met die forse boeteopbrengsten gedaan worden?

Chipkaarten producent Gemalto stelde die vraag aan 1050 Nederlanders.

Een overgrote meerderheid van 92 procent van de ondervraagden gaf aan dat een boete die een bedrijf betaalt bij gestolen persoonsgegevens niet terecht moet komen bij de overheid, maar bij de slachtoffers.

Wanneer er gevraagd wordt naar passende straffen dan scoort schadeherstel ook het hoogst: 37 procent.

De top drie wordt aangevuld met een celstraf en een boete, respectievelijk 33 procent en 24 procent.

Veel Nederlanders vinden dat wanneer de straf uit een boete bestaat, de verantwoordelijke hackers dit bedrag moeten voldoen (67 procent).

Ongeveer twee op de tien consumenten acht het gehackte bedrijf verantwoordelijk en vindt dat zij moeten opdraaien voor de boete.

Over de hoogte van het boetebedrag heerst er niet een eenduidige mening. Twee op de vijf Nederlanders vindt een bedrag tot 10.000 euro passend, 27 procent acht een bedrag tot 100.000 euro geschikt. De rest vindt dat de boete hoger moet zijn dan 100.000 euro, waar acht procent zelfs spreekt over een bedrag van meer dan 10 miljoen euro.

EU haalt vlak voor invoering GDPR druk van de ketel. Niet meteen hoge boetes

Organisaties die op 25 mei 2018 nog niet klaar zijn voor de Europese privacywet hoeven zich nog niet meteen zorgen te maken om torenhoge boetes. EU-commissaris voor Justitie Věra Jourová haalt de druk van de ketel omdat de wet in 8 Europese landen nog niet bekrachtigd is.

“De nationale toezichthoudende autoriteiten zullen geen sanctiemachines zijn”, beloofde EU-Commissaris voor Justitie Věra Jourová volgens de Duitse krant Welt tijdens een bezoek in Berlijn.

Jourová gaat ervan uit dat de toezichthouders – in Nederland is dat de Autoriteit Persoonsgegevens (AP) – in de eerste plaats zullen adviseren en helpen bij problemen met de toepassing van de Europese basisverordening voor gegevensbescherming (GDPR), in plaats van vanaf de eerste dag sancties op te leggen.

De Europese privacywet GDPR werd twee jaar geleden door de EU bekrachtigd. Alle Europese lidstaten kregen twee jaar de tijd om de regelgeving nationaal door de eigen parlementen te laten bekrachtigen.

In Nederland is de privacywet deze week door de Eerste Kamer met een hamerslag aangenomen.

Volgens de Commissie hebben acht EU-landen de GDPR echter niet tijdig in nationaal recht weten om te zetten. Het betreft België, Bulgarije, Griekenland, Litouwen, Slovenië, Tsjechië, Hongarije en Cyprus.

Ondertussen zijn ook veel Europese organisaties nog niet klaar voor de GDPR. Bij sommige bedrijven die de boel nog niet op orde hebben heerst volgens Věra Jourová een paniekstemming uit angst voor hoge boetes. Voorlopig is dat volgens haar onnodig.

De EU-commissaris heeft zo de druk van het bedrijfsleven enigszins verlicht.

Brancheorganisaties hebben de afgelopen weken herhaaldelijk duidelijk gemaakt dat veel van hun leden de regels niet volledig ten uitvoer zullen hebben gelegd binnen de gestelde termijn.

Věra Jourová wees er echter ook op dat “officieel geen verdere overgangsfase is gepland”.

Hoe hard de autoriteiten op nationaal niveau zullen optreden tegen schendingen van de privacyregels, is aan hen. De Autoriteit Gegevensbescherming in Nederland heeft de afgelopen dagen al meerdere malen aangegeven niet meteen sancties te zullen opleggen, wel waarschuwingen.