Harde Brexit kan bedrijven die persoonsgegevens in Groot Brittannië laten verwerken in problemen brengen

Organisaties die gebruik maken van een helpdesk in het Verenigd Koninkrijk, of daar persoonsgegevens laten verwerken, doen er verstandig aan om naar een alternatieve oplossing binnen de EU te zoeken.

In geval van een harde Brexit wordt Groot Brittannie door de Autoriteit Persoonsgegevens beschouwd als een niet-EU-land waar zonder verdrag geen gegevens mogen worden verwerkt. De AP zou boetes uit kunnen delen als dat na de Brexit nog wel gebeurt, waarschuwt Branchevereniging Nederland ICT.

Als er een harde Brexit komt, vervallen alle huidige afspraken over de opslag van persoonsgegevens in Groot-Brittannië. Het land heeft dan dezelfde status als een niet-EU land waar geen bijzondere afspraken mee zijn gemaakt.

Opslag mag dan alleen nog als zo’n land een vergelijkbaar beschermingsniveau voor de opslag van persoonsgegevens biedt als een EU-land én als er ook aparte afspraken mee zijn gemaakt.

Die situatie verandert pas als er aparte afspraken gemaakt zijn met Groot-Brittannië, zoals nu bijvoorbeeld ook het geval is met de Verenigde Staten en Canada. Daar gaat echter de tijd overheen.

Branchevereniging Nederland ICT pleit voor een overgangsperiode van 15 maanden. Organisaties hebben dan de tijd om te kijken welke maatregelen het beste zijn als ze persoonsgegevens laten verwerken in het Verenigd Koninkrijk.

Facebook moet in Italië 10 miljoen Euro boete betalen wegens overtreding van Europese privacywet

Facebook is in Italië veroordeeld tot een boete van tien miljoen euro wegens het overtreden van de Algemene Verordening Gegevensbescherming (AVG). De boete is opgelegd door de Italiaanse mededingingsautoriteit AGCM.

AGCM beschuldigt Facebook van een agressieve handelspraktijk omdat de mogelijkheid om op andere sites en applicaties in te loggen met Facebook-accountgegevens vooraf is ingesteld zonder de uitdrukkelijke toestemming van de gebruiker.

De door Facebook geplande opties voor het deselecteren van de functie voldoen niet aan de eisen van de ACG.

Britse Autoriteit Persoonsgegevens pakt telemarketingbranche hard aan. Twee forse AVG boetes

De Britse Autoriteit Persoonsgegevens (Information Commissioner’s Office – ICO) pakt de telemarketingbranche aan. ICO heeft een AVG boete van bijna 250.000 Euro opgelegd aan twee telemarketingbedrijven die regels voor elektronische marketing, privacy en elektronische communicatie hebben overtreden.

De Britse toezichthouder zegt al geruime tijd te worden overstroomd met klachten over irritante telefoontjes en spam van telemarketingbedrijven. ICO is daarom in augustus begonnen met gericht onderzoek naar overtredingen in de telemarketingbranche.

Ruim honderd Britse telemarketingbedrijven hebben naar aanleiding van deze onderzoeken waarschuwingen ontvangen. En twee bedrijven hebben nu forse boetes opgelegd gekregen.

ACT Response Ltd uit Middlesborough en Secure Home Systems in de West Midlands waren samen verantwoordelijk voor 580.802 onrechtmatige telefoongesprekken. De bedrijven moeten van de ICO nu voor de Kerstdagen 220.000 Britse pond (bijna 250.000 Euro) boete betalen.

De boetes zijn volgens de ICO een duidelijke waarschuwing voor de hele directmarketingbranche. “Deze boetes moeten alarmbellen laten rinkelen en marketingbedrijven in alle sectoren afschrikken die contact opnemen met mensen zonder hun toestemming”, zegt manager Andy Curry die verantwoordelijk is voor handhavingsbeleid van de ICO.

“De wet is er niet voor niets. Die is er om de privacy van mensen te beschermen en ervoor te zorgen dat marketingbedrijven zich aan de wet houden. Marketingbedrijven die zich niet aan de regels houden, kunnen een robuuste handhaving verwachten.”
Beide bedrijven kunnen een korting van 20 procent krijgen als ze voor 28 november betalen.

Toezichthouders in Duitsland geven eveneens aan veel klachten over telemarketingbureaus te krijgen.

Mogelijk groot datalek door hackpoging op website Eurostar. Miljoenen treinreizigers moeten wachtwoord wijzigen

Hackers hebben tussen 15 en 19 oktober geprobeerd in te breken op de website van de Eurostar sneltrein. Miljoenen reizigers die regelmatig van deze snelle spoorverbinding door de Kanaaltunnel gebruik maken moeten daarom nu hun wachtwoord voor de Eurostar.com website wijzigen.

Eurostar heeft dat in een e-mail aan de getroffen klanten bekend gemaakt. Daarnaast is er een datalekmelding gedaan bij de Autoriteit Persoonsgegevens (AP) van Groot Brittannie, de Information Commissioner’s Office (ICO).

 

De Eurostar is een hogesnelheidstreindienst die sinds 1994 Londen met Parijs en Brussel verbindt. De trein maakt gebruik van de Kanaaltunnel die onder het Kanaal door loopt. De treindienst maakt grotendeels gebruik van de mede hiervoor aangelegde hogesnelheidslijnen.

 

Volgens Eurostar kunnen klanten er zeker van zijn dat er geen creditcard of betalingsgegevens zijn buitgemaakt.

“We raden u aan om uw Eurostar-wachtwoord opnieuw in te stellen en te controleren of er iets ongewoons op uw account staat. We raden u ook aan om uw inloggegevens bij te werken op andere websites waar u hetzelfde wachtwoord gebruikt”, meldt Eurostar in het e-mailbericht aan de klanten.

 

Het is nog niet duidelijk hoe de cybercriminelen zich toegang hebben verschaft tot de wachtwoorden van de gebruikers.

Eurostar maakt geen melding van een klantendatabase die in verkeerde handen is gevallen. Deskundigen sluiten niet uit dat de inloggegevens afkomstig zijn van een hack bij een andere online dienst.

Als dat het geval is, dan heeft degene die achter de hack op de Eurostar-rekeningen zit, er van geprofiteerd dat veel mensen dezelfde wachtwoorden op meerdere websites gebruiken.

Een van de belangrijkste lessen bij Privacy Awareness Trainingen is om voor ieder account een ander wachtwoord te gebruiken. Als je dat nog niet gedaan hebt is het ongeacht de hackpoging bij Eurostar zaak om nu meteen alle wachtwoorden voor sites, apps en andere online diensten te wijzigen.

 

Zorg ervoor dat je nooit hetzelfde wachtwoord op verschillende websites gebruikt. Gebruik een wachtwoordmanager om sterke, moeilijk te kraken, unieke wachtwoorden te genereren en laat dit systeem deze moeilijke wachtwoorden vervolgens voor je onthouden.

 

Inwoners Emmen worden dankzij AVG sneller geholpen. Gemeente investeert in snellere communicatie

Inwoners van de gemeente Emen profiteren dankzij de Algemene Verordening Gegevensbescherming (AVG) van effectievere mobiele diensten zoals onderhoud, toezicht en inspecties.

De gemeente Emmen investeerde in technische maatregelen om mobiele apparaten op afstand te kunnen lokaliseren, te blokkeren en te wissen.

Dienstverlening externe partijen ook beter dankzij AVG

Bijkomend voordeel van de investering in oplossingen van de Amerikaanse Mobile Device Management (MDM)-leverancier MobileIron is dat daardoor niet alleen de veiligheid en efficiëntie van de gemeentelijke in- en externe communicatiekanalen geoptimaliseerd is, maar ook de dienstverlening en de samenwerking met externe partijen.

Gemeenteambtenaren kunnen nu onderweg informatie of nieuwe verzoeken ontvangen, waar zij voorheen pas terug op kantoor hun e-mail konden lezen en nieuwe bezoeken inplannen.

Verder werkt gemeente Emmen nu ook efficiënter en veiliger samen met regionale overheidsinstellingen.

AVG en Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

MobileIron heeft gemeente Emmen geholpen te voldoen aan de eisen van de AVG en de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG).

Emmen koos in 2012, toen het management met iPads wilde werken, voor de oplossingen van Mobile Device Management (MDM)-leverancier MobileIron.

In 2016 breidde de gemeente de samenwerking met het Amerikaanse bedrijf uit toen zij met alle apparaten overstapte van Blackberry naar iOS.

Recent werd de inzet van MobileIron uitgebreid om te voldoen aan de vereisten van de BIG en GDPR ten aanzien van (mobiele) beveiliging en toegangsbeheer.

Vereenvoudiging interne communicatie bij gemeente

In de beveiligingsstrategie zijn ook interne apps opgenomen, zoals iBabs voor papierloze vergaderingen, PowerMobiel voor case-management, MyLex Overheid voor het doorzoeken van interne databases en ISEC7 om verschillende mailboxen op Apple-apparatuur te installeren.

Alle apps worden centraal beheerd en aangeboden via een veilige appstore. Voor het toegangsbeheer wordt gebruikgemaakt van op rollen gebaseerde authenticatie.

De gemeente biedt haar medewerkers daarnaast toegang tot een intern telefoonboek met ‘click to dial’-functionaliteit ter vereenvoudiging van de interne communicatie.

1200 iPhones en 600 iPads

Emmen beheert met MobileIron momenteel meer dan zeshonderd iPads en zo’n twaalfhonderd iPhones. Ze is daarnaast bezig met een migratie naar Microsoft Office 365 en een project om veilig Windows 10-apparaten te registeren en beheren met MobileIron Bridge.

15 onafhankelijke Europese privacydeskundigen onderzoeken handelspraktijken van Amazon, Ebay, Google en Facebook

Grote internetbedrijven als Amazon, Facebook, Ebay, Google en Microsoft worden volgens de Europese Commissie sinds donderdag nauwlettend gevolgd door onafhankelijke Europese privacydeskundigen.

Doel van het onderzoek is bijvoorbeeld om de criteria te bepalen op basis waarvan aanbiedingen op de eerste plaatsen in een online zoekopdracht verschijnen.

Daarnaast moet worden nagegaan of bedrijven als Google en Amazon hun eigen producten bevoordelen, hoe zij omgaan met persoonsgegevens en of de reclame op transparante wijze wordt geëtiketteerd.

Europese Commissie

De Europese Commissie kondigde in april aan dat zij bedrijven zou dwingen om te voldoen aan de nieuwe Europese privacyregelgeving en zou toezien op eerlijker voorwaarden voor Europese leveranciers.

“Platforms en zoekmachines zijn belangrijke kanalen voor Europese bedrijven om consumenten te bereiken”, aldus Mariya Gabriel, commissaris voor digitale zaken, destijds. “Maar we moeten ervoor zorgen dat ze geen misbruik maken van hun macht om hun professionele gebruikers te schaden.”

Op basis van het advies van de deskundige zal binnen drie jaar worden onderzocht of verdere maatregelen nodig zijn.

ePrivacywet vs AVG: Wat is het verschil? De enorme impact op de media en reclamebranche

De Algemene Verordening Gegevensbescherming (AVG) moet er voor zorgen dat onze privacy gewaarborgd wordt. In deze Europese wet is tot op de komma vastgelegd hoe organisaties met persoonsgegevens van klanten en personeel moeten omgaan. Toch?

Klopt. Maar de AVG dekt nog niet alles, zeggen Europese politici. En dus wordt er gewerkt aan een aanvullende wet. De ePrivacywet. Nog meer regels, nog meer kosten, nog meer druk. Is dat nu echt nodig?

Diverse ondernemersorganisaties in Nederland vinden dat de politici vergeten rekening te houden met de gevolgen van de privacyregels voor ondernemers.

Waarom moet er nu vlak na de invoering van de AVG nog een privacywet bijkomen? Wat is het verschil tussen de AVG en de ePrivacywet?

 

Hoewel er enige overlapping is, is het belangrijkste verschil tussen ePrivacy en de AVG dat de AVG betrekking heeft op de verwerking van persoonsgegevens in alle vormen, terwijl de e-Privacy-verordening meer specifiek betrekking heeft op online communicatie.

De AVG geeft individuen meer controle over hun persoonlijke gegevens. Zowel online als offline. Organisaties moeten nu toestemming vragen voor het gebruik, het delen en opslaan van persoonsgegevens.

Het recht op vertrouwelijkheid

De ePrivacywet is onder meer gericht op het recht op vertrouwelijkheid en privacy van gegevens bij alle elektronische communicatie. Dit omvat e-mail, teksten, het internet, WhatsApp, Skype, online messaging, VoIP, het internet van dingen (IOT), apps, online reclamenetwerken en telecommunicatie.

De ePrivacywet staat ook wel bekend als de cookiewet, omdat het de wet is die het gebruik van cookies op websites regelt. De ePrivacywet gaat echter verder dan cookies. Er komen nieuwe regels voor communicatie-inhoud en communicatiemetadata die inhouden dat organisaties de vertrouwelijkheid van alle elektronische communicatie moeten waarborgen en toezicht door derden moeten voorkomen.

Het belang van de ePrivacywet blijkt volgens politici uit het recente Cambridge Analytica-schandaal waarbij vertrouwelijke gegevens van Facebookgebruikers oneigenlijk misbruikt werden om de verkiezingen in de Verenigde Staten en de Brexit-enquete in Groot Brittannie te manipuleren. De ePrivacywet bevat strenge regels die misbruik en manipulatie moeten voorkomen.

Wanneer wordt de ePrivacy-verordening van kracht?

 

De ePrivacywet komt in de plaats van de richtlijn betreffende de bescherming van de persoonlijke levenssfeer en de elektronische-communicatierichtlijn van 2002 en zal naar verwachting eind 2018 in werking treden, waarbij organisaties waarschijnlijk net als bij de AVG een overgangsperiode van één jaar krijgen om aan de richtlijn te voldoen.

ePrivacy zal waarschijnlijk extra naleving vereisen en net als bij GDPR zal de ePrivacy-regelgeving zware boetes voor niet-naleving met zich meebrengen.

Gevolgen voor het bedrijfsleven: ePrivacy kan “turbulenter” zijn dan AVG

De meest recent bekend geworden regels die in de ePrivacywet zouden worden opgenomen lijken er op te duiden dat sommige bedrijfstakken – met name reclame, marketing en media – er door getroffen worden. In deze branches wordt daarom momenteel stevig gelobbied om de voorstellen in Brussel af te zwakken.

De gevolgen voor media, marketing en reclame kunnen ingrijpend zijn omdat het verboden wordt om bijvoorbeeld aan directmarketing of telemarketing te doen zonder voorafgaande toestemming, wat betekent dat sommige organisaties hun reclamecampagnes en marketing zullen moeten heroverwegen.

De ePrivacy-verordening zal waarschijnlijk van invloed zijn op de online reclamecampagnes en analytische oplossingen van bedrijven. Hoe ver de verordening gaat, valt nog te bezien, maar er bestaat weinig twijfel over dat veel bedrijven hun praktijken zullen moeten aanpassen.

Net als bij de AVG zullen de impact van ePrivacy en zware boetes niet beperkt blijven tot bedrijven die in de EU gevestigd zijn.

De hele wereld kopieert de strenge Europese privacywetgeving. Diverse internationale voorbeelden op een rij

Nederlanders hebben bij onpopulaire Europese maatregelen al snel het idee dat Nederland het braafste jongetje van de klas wil zijn. Typisch Nederland, wordt er dan meteen geroepen. Maar is dat terecht?

Er wordt in heel Europa geklaagd over de nieuwe Europese privacyregels. Niet alleen in Nederland. Europese ondernemers en deskundigen vrezen dat Europa zichzelf met deze wet buitenspel zet in de concurrentie met de rest van de wereld.

Europese bedrijven zouden het nu moeilijk hebben om op te schalen. De GDPR zou de meest domme en bureaucratische regelgeving zijn die ooit is ontwikkeld.

De GDPR zou een van de redenen zijn waarom Europa zijn voorsprong op de Amerikaanse en Aziatische bedrijven verliest. Proliferatie van persoonlijke gegevens in de cloud is onvermijdelijk, zeggen Europese tegenstanders. Het zou niet goed zijn voor Europa om dit te belemmeren.

Is alle Europese kritiek terecht? Hoe staat Nederland er voor in vergelijking met de rest van Europa? Hoe staat de EU er voor in vergelijking met de rest van de wereld?

 

De meest recente cijfers over klachten die worden ingediend bij de diverse toezichthouders die in Europa de naleving van de Europese privacywet GDPR controleren wijzen uit dat er in heel Europa een forse groei is. In de meeste landen is sprake van minimaal een verdubbeling van het aantal klachten.

Helaas heeft de Nederlandse Autoriteit Persoonsgegevens nog geen actuele cijfers gepresenteerd.

Wel is duidelijk dat met name in Duitsland, Ierland, Groot-Brittannie en Frankrijk veel kordater wordt opgetreden door de toezichthouders. Wie het internationale nieuws volgt merkt al snel dat er in die landen veel opener over diverse acties en onderzoeken wordt gecommuniceerd dan in Nederland.

Europese privacyregels worden wereldwijd gekopieerd

Ondertussen wordt wel steeds meer duidelijk dat Europa een trend heeft gezet in de hele wereld. Wereldwijd zijn landen bezig om de Europese regels te kopieren. Het onderzoeksbureau Gartner concludeert dat de impact nu al globaal zichtbaar is.

GDPR VS: Consumer Privacy Act

De Verenigde Staten creëren momenteel geïnspireerd door de GDPR nieuwe privacywetten.

De California Consumer Privacy Act van 2018 geeft Californiërs dezelfde rechten als EU-burgers – in het bijzonder het Data Subject Access Request (DSAR).

In 2020 zijn organisaties die persoonsgegevens van Amerikaanse burgers beheren of verwerken, verplicht om op verzoek informatie over een klant of werknemer te verstrekken.

Net als de GDPR, vereist de aanstaande wetgeving van Californië niet dat de betrokkenen fysiek aanwezig moeten zijn in de staat.

De Amerikaanse staat Colorado overweegt ook een eigen privacywet. Het wetsvoorstel beoogt de definitie van “persoonlijke informatie” uit te breiden en stelt wijzigingen voor met betrekking tot de timing van de melding van inbreuken.

De US Consumer Privacy Act geeft bedrijven 30 dagen de tijd om een overtreding te melden nadat deze zich heeft voorgedaan. De Europese wet geeft echter slechts een tijdspanne van 72 uur.

GDPR Verenigd Koninkrijk: Data Protection Bill

Groot Brittannie valt tot de Brexit definitief is nog onder de Europese privacywet. Maar na de afsplitsing van de EU willen de Britten de Europese privacyregels wel graag houden. Er wordt gewerkt aan een eigen wet die op sommige punten nog wel eens strenger zou kunnen zijn dan de GDPR.

De Britse Information Commissioner’s Office (ICO) heeft opgemerkt dat gegevensbescherming en privacy in het Verenigd Koninkrijk nu tot de top van het publieke bewustzijn behoren.

GDPR Argentinië: toezichthouder Dirección Nacional de Protección de Datos Personales komt met nieuwe wet

Argentinië heeft sinds 2000 de wet nr. 25.326 inzake de bescherming van persoonsgegevens. Het geboorteland van koningin Máximà wordt sinds 2003 in overeenstemming met EU-richtlijn 95/46/EG door de Europese Unie beschouwd als een veilige haven voor de uitwisseling van persoonsgegevens.

Argentinië is van plan om deze wet op de bescherming van persoonsgegevens in de loop van 2018 te vervangen door een nieuwe wet die veel overeenkomsten heeft met de GDPR.
De Argentijnse toezichthouder Dirección Nacional de Protección de Datos Personales heeft een wetsontwerp opgesteld en deze in 2017 bij het Nationaal Congres ingediend.
Argentinië wil zo zijn status als veilige haven voor Europese ondernemers en consumenten behouden.

GDPR Brazilië: net als in Europa hoge boetes

Brazilië heeft privacywetgeving die lijkt op de Europese GDPR. Buitenlandse bedrijven die data verwerken van Brazilianen moeten zich houden zijn aan de Braziliaanse wet. Bovendien bevat de wet een aantal specifieke verplichtingen of beperkingen voor buitenlandse bedrijven.

Personen behouden het eigendom en de controle over hun persoonsgegevens en zij moeten, net als in de EU, in principe voorafgaand toestemming geven voordat hun gegevens kunnen worden verwerkt of gedeeld.

Ook de “doelgebondenheid” uit de GDPR heeft zijn weg gevonden in de Braziliaanse wet: elke verwerking van gegevens moet beperkt zijn tot het specifieke doel dat aan de gebruiker wordt medegedeeld op het ogenblik dat hij of zij toestemming geeft.

De wet geeft, net als de GDPR, bijzondere bescherming aan bepaalde gegevens die als “gevoelig” zijn gedefinieerd en ook hier is de opsomming dezelfde als onder GDPR: raciale en etnische achtergrond, religie, politieke meningen en voorkeuren, gegevens over gezondheid en seksuele geaardheid en genetische of biometrische gegevens.

Aangezien de Braziliaanse wet, net als de GDPR, in bijzonder hoge boetes voorziet (in het geval van Brazilië tot 2% van de groepsomzet in het afgelopen fiscale jaar met een maximum van omgerekend 10 miljoen euro) doen buitenlandse bedrijven die in Brazilië actief (willen) zijn er verstandig aan zich tijdig te informeren en waar nodig, net als onder GDPR in Europa, de nodige voorbereidende maatregelen te nemen.

GDPR Australië: Privacy Act

De Australische Privacy Act is, net als de GDPR, gericht op consistente privacyregelgeving in het hele land en dwingt een robuust nalevingsmechanisme af. Het heeft tot doel het vrije verkeer van informatie buiten de Australische grenzen te vergemakkelijken en de eerbiediging van de persoonlijke levenssfeer te waarborgen.

De doelstellingen vloeien voort uit de Australische privacybeginselen die verwerkingsverantwoordelijken verplicht om persoonlijke informatie op een “open en transparante manier” te beheren en om aan te tonen dat alle beginselen van de wet worden nageleefd.

Ondanks belangrijke verschillen in aspecten als meldingen van inbreuken, rapportageverplichtingen of de definitie van “ernstige schade” zijn de GDPR en de Australische regelgeving inzake gegevensbescherming een stap in dezelfde richting.

GDPR Japan: oprichting Personal Information Protection Commission

Japan ken sins 30 mei 2017 een hervormde privacywet die overeenkomsten heeft met de GDPR.

Met name de oprichting van de Personal Information Protection Commission in Japan, die zich bezighoudt met de vaststelling en handhaving van privacyregelgeving, is een aanzienlijke verbetering van het Japanse systeem van privacywetgeving.

GDPR Mexico: Federal Data Protection Law

Mexico’s “federale wet op de bescherming van persoonsgegevens die door particuliere partijen wordt toegepast” is bijna niet te onderscheiden van zijn Europese tegenhanger.

Mexico eist nu van de verwerkingsverantwoordelijken dat zij proactief aantonen dat zij de wetgeving inzake gegevensbescherming naleven. Mexico beschikt over procedures voor het meten van en reageren op nieuwe technologieën die de gebruikers aan risico’s blootstellen. Net als de EU eist Mexico ook dat de voor de verwerking verantwoordelijken technische en organisatorische maatregelen nemen en implementeren om persoonsgegevens te beschermen.

GDPR Canada: Personal Information Protection and Electronic Documents Act

Niet iedereen haast zich om een GDPR-lookalike te creëren. Canada houdt zich aan de normen van de Canadese Personal Information Protection and Electronic Documents Act.

Toch moeten Canadese bedrijven die gegevens van EU-burgers verwerken, zich aan de GDPR houden. De reden hiervoor is dat de Europese wetgeving, in tegenstelling tot de Canadese lokale wetgeving, de persoonsgegevens van EU-burgers zowel binnen als buiten de grenzen van de Unie beschermt.

Verantwoordingsplicht, toestemming, rapportage

De GDPR verandert de manier waarop wereldwijd zaken worden gedaan.

In landen die nog geen GDPR replica’s hebben ontwikkeld hebben bedrijven die gegevens van EU-burgers verwerken geen andere keuze dan toch te voldoen aan de EU-normen voor toestemming, gegevensportabiliteit, recht op uitwissing van gegevens en datalekprocedures.

Europese toezichthouders melden record aantallen klachten over inbreuken op privacyregels

Europese toezichthouders melden een forse toename van klachten over schending van privacyregels.

De Europese gegevensbeschermingsautoriteiten zeggen momenteel meer dan 200 grensoverschrijdende klachten in behandeling te hebben. De toezichthouders werken nauw samen bij de behandeling van deze klachten.

Er wordt momenteel aan een aantal nieuwe gedragscodes gewerkt voor specifieke technische gebieden als medisch onderzoek en cloudinfrastructuur.

Nieuwe biometrische standaardverordening

Daarnaast wordt er volgens de Franse toezichthouder CNIL sinds 3 september ook aan een aantal nieuwe richtlijnen gewerkt, waaronder een biometrische standaardverordening.

Recordaantal privacyklachten in Frankrijk

De Franse toezichthouder CNIL meldt dat het sinds 25 mei, toen de Algemene Verordening Gegevensbescherming (AVG) in werking trad, 3.767 klachten heeft ontvangen. In dezelfde periode vorig jaar werde er 2.294 klachten ingediend in Frankrijk en dat was volgens CNIL al een record.

Verdubbeling van privacy klachten in Groot-Brittanie

Uit de gegevens van de Britse toezichthouder ICO (Information Commissioner’s Office) bleek in augustus 2018 ook een sterke stijging van het aantal klachten. De Britten registreerden tussen 25 mei en 3 juli 6.281 klachten. Meer dan het dubbele van de 2.417 klachten die in dezelfde periode in 2017 werden ingediend.

Forse groei klachten in Ierland

The Irish Times meldde eind juli 2018 soortgelijke stijgingen van ingediende klachten in Ierland. De Ierse Commissie voor Gegevensbescherming zou twee maanden na invoering van de AVG al 1.184 meldingen van inbreuken op privacyregels hebben ontvangen. – een aanzienlijke stijging ten opzichte van het gemiddelde van 230 meldingen per maand in 2017. De DPC heeft in de eerste twee maanden van de GPDR ook 743 klachten geregistreerd, waarbij de verordening naar verluidt in 267 gevallen van toepassing is.

Collectieve klachten in Frankrijk

De Franse toezichthouder CNIL ontvangt niet alleen recordaantallen klachten over de bescherming van de persoonlijke levenssfeer van individuele personen, maar merkt ook op dat twee organisaties namens consumenten klachten hebben ingediend op basis van de “collectieve verhaalsmogelijkheid” die voor de AVG in sommige EU-landen is ingevoerd.

De twee organisaties die namens consumenten in Frankrijk klachten indienen zijn Max Schrems’ privacy NGO, noyb en de Franse digitale rechtengroep La Quadrature du Net, die volgens CNIL klachten heeft ingediend tegen Google, Amazon, Facebook, LinkedIn en Apple.

Klanttevredenheidsonderzoek per e-mail vanwege AVG verboden? Wat is de impact van Duitse jurisprudentie in Nederland?

Het Duitse Bundesgerichtshof (BGH) heeft geoordeeld (VI ZR 225/17) dat klanttevredenheidsonderzoeken per e-mail over het algemeen verboden zijn. De hoogste Duitse rechter verwijst daarbij naar de Europese privacywetgeving.

Wat betekent die Duitse uitspraak voor Nederlandse ondernemers?

De basisgedachte achter de Europese privacyregelgeving is dat in heel Europa in principe dezelfde privacyregels gelden.

Dat impliceert dat jurisprudentie die elders in de EU ontstaat ook impact zou kunnen hebben op uitspraken van Nederlandse rechters en de Autoriteit Persoonsgegevens in soortgelijke zaken.

Voorzitter Aleid Wolfsen van de Autoriteit Persoonsgegevens zegt dat Europese toezichthouders regelmatig bij elkaar komen om nieuwe toelichtingen op de wet uit te werken in zogenaamde guidelines (richtlijnen).

Het zou denkbaar kunnen zijn dat er een Europese richtlijn komt over klanttevredenheidsonderzoek.

Zo lang die er niet is is het interessant om de Duitse jurisprudentie over klanttevredenheidsonderzoek te analyseren. Ook in het kader van de nieuwe veel bekritiseerde Europese e-privacywet die binnenkort naast de AVG nog meer Europese privacyregels toevoegt.

De zaak

Een Duits bedrijf verkocht goederen via Amazon en stuurde via e-mail de factuur naar de koper. In die e-mail schreef het bedrijf:

Dames en heren, bijgevoegd uw factuur in PDF-formaat. Bedankt voor het kopen van dit artikel van ons. Wij zijn een jong bedrijf en daarom afhankelijk van goede ratings. Als u tevreden bent over onze service, vragen wij u daarom om ons een 5-sterrenscore te geven voor uw aankoop.

Als er iets mis is met het geleverde artikel of onze service, vragen wij u vriendelijk contact met ons op te nemen. Dan kunnen we het probleem oplossen. Voor de beoordeling: log gewoon in via de volgende link en geef een positieve 5-sterrenbeoordeling (…).”

De koper vond dat de verkoper via deze e-mail ongeoorloofde reclame meestuurde. Hij vond dat de verkoper alleen de factuur had mogen sturen. Het verzoek om een positieve beoordeling zou inbreuk op zijn privacy zijn.

Marketeers worden gek als ze te maken krijgen met klanten die exact naar de regels van de wet willen worden behandeld. Gaat dit niet te ver?

De aanklacht werd in eerste instantie in Duitsland verworpen door zowel de lokale rechtbank als het hof van beroep, aangezien zij geen enkele vordering tot voorlopige maatregelen op grond van §§ 1004, 823 (1) BGB zagen. Het Hof van Beroep heeft echter een beroep bij het BGH toegestaan, dat nu uitspraak heeft gedaan.

Het besluit van de BGH

De BGH verklaart dat:

  • een klanttevredenheidsonderzoek valt onder het begrip (directe) reclame
  • het gebruik van e-mail voor reclamedoeleinden zonder toestemming van de eiser in beginsel een inbreuk vormt op zijn beschermde privésfeer en dus op zijn algemene persoonlijkheidsrecht

Hoewel de levering van de factuur op zich geen reclame is, vormt het deel van de e-mail waarin om een evaluatie werd gevraagd volgens de Duitse rechter wel degelijk reclame.

En als we de Algemene Verordening Gegevensbescherming erbij pakken wordt al snel duidelijk waarom.

De ondernemer heeft de adresgegevens alleen gekregen om de factuur te verzenden. Er is geen toestemming gevraagd of verkregen om het e-mailadres ook voor andere specifiek genoemde doeleinden – zoals klanttevredenheidonderzoek – te gebruiken. Volgens de AVG, die in Duitsland afgekort wordt als DSGVO, is dat verplicht.

De betekenis van de Duitse uitspraak

Volgens eerdere Duitse jurisprudentie was het al moeilijk om zonder toestemming klanttevredenheidsonderzoeken via e-mail te rechtvaardigen.

De BGH benadrukt met haar jurisdictie nu dat er geen klanttevredenheidsbeoordelingen mogen worden opgenomen in anderszins legitieme e-mails aan de klant.

Met andere woorden, voor de beoordeling van de klanttevredenheid en de verzending van nieuwsbrieven is een duidelijke toestemming vereist.

Is klanttevredenheidsonderzoek per e-mail nu verboden?

Nee. Als bij het afsluiten van de koopovereenkomst netjes seperaat toestemming wordt gevraagd om het e-mailadres ook eenmalig voor klanttevredenheidsonderzoek te mogen gebruiken – en die toestemming gegeven wordt – mag het onderzoek nog steeds gedaan worden.

Deze richtlijnen gelden ook in Nederland. Voor de invoering van de AVG waren deze regels ook al van kracht.

Google overweegt Amerikaanse sites die Europese bezoekers vanwege GDPR weren te blokkeren. In Europa…

Sinds de invoering van de Europese privacywet GDPR kunnen Europeanen de Los Angeles Times niet meer lezen. De LA Times is een van de vele honderden Amerikaanse sites die voor Europeanen niet meer toegankelijk is.

 

Google wil de rollen nu omdraaien. Amerikaanse sites die niet voldoen aan de Europese privacyregels worden mogelijk binnenkort zelf geblokkeerd in Google.

John Mueller van Google liet op Twitter weten dat Google onderzoekt hoe met content die vanwege de GDPR geblokkeerd wordt voor Europeanen moet worden omgegaan.

 

Google vindt dat ze gebruikers nu een slechte gebruikerservaring biedt als ze na een zoekopdracht op een pagina terechtkomen die voor hen geblokkeerd is. “Daar moeten we een oplossing voor vinden.”

Voor veel Amerikaanse websites is het commercieel niet de moeite waard om te investeren in Europees privacybeleid. Daar zijn ze echter volgens de Europese privacywet wel toe verplicht als ze hun content ook in Europa aanbieden.

Als Google deze sites daadwerkelijk gaat blokkeren dan zal dat waarschijnlijk alleen in de Europese pagina’s van Google zijn.

Britse sleepwet spionagediensten schendt recht op privacy en vrijheid van meningsuiting

Het Europees Hof voor de Rechten van de Mens vindt dat Britse wetten die massasurveillance door spionagediensten mogelijk maken een schending vormen van het recht op privacy en de vrijheid van meningsuiting.

Volgens het mensenrechtenhof in Straatsburg is de massale onderschepping van communicatiegegevens door Britse geheime diensten in strijd met het recht op privacy, omdat er onvoldoende toezicht en waarborgen zijn.

Strenge eisen

Het op grote schaal verzamelen van communicatieverkeer zelf is niet in strijd met de mensenrechten, maar moet volgens het Europees Hof wel aan strenge eisen voldoen.

Telecomproviders

Ook het feit dat telecomproviders communicatie aan Britse inlichtingendiensten doorgeven is door het mensenrechtenhof onwettig verklaard. Ook bij deze handelingen zijn onvoldoende waarborgen ingebouwd.

Het Europees Hof voor de Rechten van de Mens heeft in de zaak over de Britse spionagewetgeving vastgesteld dat:

  • Het historische bulk-interceptiesysteem van het Verenigd Koninkrijk een inbreuk op het recht op bescherming van de persoonlijke levenssfeer vormt. Dit recht wordt beschermd door artikel 8 van het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden (EVRM), en op het recht op vrije meningsuiting, dat wordt beschermd door artikel 10.
  • Het onderscheppen van communicatiegegevens net zo’n zware inbreuk op de privacy is als het onderscheppen van inhoud, wat betekent dat de Britse regeling voor het massaal onderscheppen van communicatiegegevens onwettig is.
  • De Britse regeling voor het toestaan van bulkcontrole is niet in staat om de “inmenging” te beperken tot wat “noodzakelijk is in een democratische samenleving”.

De volledige uitspraak van het Europese Hof vind je hier.

Edward Snowden

De illegale spionagepraktijken van de Britse inlichtingendiensten kwamen aan het licht door de onthullingen van de Amerikaanse klokkenluider Edward Snowden in 2013.

Britse overheid bespioneerde Amnesty International

Drie jaar geleden dwong deze zelfde zaak de Britse regering toe te geven dat de geheimedienst GCHQ Amnesty International bespioneerde. “Een duidelijk teken dat ons werk en de mensen met wie we samenwerken in gevaar waren gebracht”, aldus Lucy Claridge, Directeur Strategische Geschillen van Amnesty International.

Alliantie van voorvechters privacy en meningsvrijheid

De zaak bij het Europees Hof voor de Rechten van de Mens werd aangespannen door Amnesty International, Liberty, Privacy International en elf andere mensenrechten- en journalistieke groepen – evenals twee individuen – die gevestigd zijn in Europa, Afrika, Azië en Noord- en Zuid-Amerika.

Misbruik toezichtsbevoegdheden

“De uitspraak van vandaag betekent een belangrijke stap voorwaarts in de wereldwijde bescherming van de privacy en de vrijheid van meningsuiting. Het geeft een sterk signaal af aan de regering van het Verenigd Koninkrijk dat het misbruik maakt van zijn uitgebreide toezichtsbevoegdheden en indruist tegen de beginselen die het beweert te verdedigen”, aldus Lucy Claridge.

“Dit is vooral belangrijk vanwege de bedreiging die overheidstoezicht vormt voor degenen die werkzaam zijn in mensenrechten en onderzoeksjournalistiek. Mensen die vaak hun eigen leven wagen om zich uit te spreken. Drie jaar geleden dwong deze zelfde zaak de Britse regering toe te geven dat GCHQ Amnesty bespioneerde – een duidelijk teken dat ons werk en de mensen met wie we samenwerken in gevaar waren gebracht.”

Grote overwinning voor rechten en vrijheid van mensen

“Dit is een grote overwinning voor de rechten en vrijheid van mensen in het Verenigd Koninkrijk. Het toont aan dat er een grens is – en moet zijn – aan de mate waarin staten hun burgers kunnen bespioneren. Politie en inlichtingendiensten hebben geheime toezichtsbevoegdheden nodig om de bedreigingen waar we vandaag de dag mee te maken hebben aan te pakken – maar het Hof heeft geoordeeld dat deze bedreigingen niet rechtvaardigen dat iedere burger zonder adequate bescherming wordt bespioneerd.”

“Onze regering heeft een surveillanceregime opgebouwd dat extremer is dan dat van welke andere democratische natie dan ook en heeft de rechten en vrijheden die terroristen juist willen aanvallen, opgegeven. Het kan en moet ons een effectief, doelgericht systeem geven dat onze veiligheid, gegevensbeveiliging en grondrechten beschermt”, aldus Caroline Wilson Palow, General Counsel bij Privacy International.

“In het arrest wordt ook terecht erkend dat het verzamelen van communicatiegegevens – wie, wat en waar van onze communicatie – net zo ingrijpend is als het verzamelen van de inhoud.”

Hoger beroep

De uitspraak is gedaan door de op een na hoogste rechtbank van het Europees Hof voor de Rechten van de Mens. Beide partijen kunnen nog in hoger beroep.