Privacy Nieuws
De toekomst van de telemarketing sector staat ter discussie. Telemarketeers zijn ongeliefd en liggen door de Algemene Verordening Gegevensbescherming (AVG) en nieuwe richtlijnen van de overheid onder een vergrootglas. Het is pompen of verzuipen.
In Groot-Brittannie en Duitsland hebben toezichthouders al tientallen waarschuwingen en een paar forse boetes uitgedeeld aan telemarketingbedrijven die de AVG overtreden. Duitse toezichthouders zeggen overspoeld te worden met klachten over telemarketing bedrijven.
In Nederland is het nog stil wat betreft de Autoriteit Persoonsgegevens (AP). Maar de overheid zit niet stil.
Begin oktober 2018 presenteerde staatssecretaris Mona Keijzer van Economische Zaken plannen die onder andere ingrijpen in de telemarketingbranche. Zo zou het huidige opt-outsysteem via het Bel-me-niet Register moeten veranderen in een opt-insysteem.
Telemarketeers zouden door de plannen van de staatssecretaris bijzonder beperkt worden. De branchevereniging DDMA wil proberen om de koers van de staatssecretaris nog bij te sturen door met een voorstel tot zelfregulering te komen. DDMA wil nu binnen zes maanden een aangescherpte Code Telemarketing te presenteren.
Om het draagvlak zo groot mogelijk te maken, is een flink aantal sectoren gevraagd mee te werken aan het opstellen van de nieuwe voorwaarden. Zelf noemt de DDMA uitgeverijen, loterijen, energie, goede doelen en contactcenters.
De punten die volgens de DDMA in ieder geval aangepakt zullen moeten worden, zijn:
- meer duidelijkheid over de identiteit van de beller
- een korter en duidelijk bandje (de IVR) waarin consumenten hun rechten en mogelijkheden uitgelegd krijgen
- betere uitleg over het Recht van verzet als de consument is geregistreerd in het Bel-me-niet Register
De steun voor dit plan binnen de sector is groot. Tachtig procent van de deelnemers van een DDMA-bijeenkomst verwacht dat betere zelfregulering zal leiden tot minder klachten.
Er moet een wettelijk verbod komen op ongevraagde telefonische verkoop. Dat is althans het plan dat staatssecretaris Keijzer gelanceerd heeft. Op dit plan zou geen uitzondering mogelijk zijn, dus ook goededoelenorganisaties mogen dan niet meer ongevraagd iemand benaderen.
Staatssecretaris Keijzer wil consumenten extra beschermen door een wettelijk verbod in te stellen om consumenten zonder toestemming te benaderen met een telefonische aanbieding.
Op dit moment kunnen zij zich hier ook voor afmelden via het Bel-me-niet Register. Dat is echter een vorm van opt-out.
Keijzer wil juist naar een systeem van opt-in: consumenten mogen niet gebeld worden, tenzij ze daar zelf actief toestemming voor geven.
Overtreders zouden beboet kunnen worden. De wet zou moeten gaan gelden voor álle partijen, dus ook voor goede doelen.
Een belangrijke toevoeging aan de wet zal mogelijk zijn dat bestaande klanten niet meer onbeperkt benaderd mogen worden. Daar wordt waarschijnlijk een maximumtermijn aan gekoppeld.
In de huidige constructie is er geen termijn vastgelegd, waardoor iedere organisatie daar een eigen invulling aan kan geven.
AVG Awareness, Privacy Nieuws
De overheidswebsite Veiliginternetten.nl gaf maandagochtend niet zo’n goed voorbeeld als zou moeten. Wie de site bezocht kreeg de melding te zien dat het ssl-certificaat voor – jawel – een veilige internetverbinding was verlopen.
„Foutje, bedankt!“, zou Rijk de Gooier gezegd hebben. „Ieder nadeel heb zijn voordeel“, zou Johan Cruijff hebben aangevuld.
Want geluk bij een ongeluk is natuurlijk wel dat de blunder van Veiliginternetten.nl juist heel veel media aandacht genereert met uitleg over het belang van een geldig veiligheidscertificaat voor een website.
Een betere AVG Awareness guerillacampagne had niemand kunnen bedenken.
Certificaat veilige website verlopen
Het certificaat van Veiliginternetten.nl was in de nacht van zondag op maandag verlopen.
Hierdoor waarschuwden veel browsers dat de de site Veiliginternetten.nl onveilig was.
Dat duurde tot en met maandag om 12 uur ’s middags, toen het probleem werd opgelost.
Tips hoe je veilig kunt internetten
Op Veiliginternetten.nl staan tips over hoe Nederlanders veilig online kunnen browsen.
De site is een initiatief van onder andere het ministerie van Economische Zaken en Klimaat en het ministerie van Justitie en Veiligheid.
Ook het Nationaal Cyber Security Centrum werkt er aan mee.
Hoe herken je een veilige internetsite?
Websites gebruiken certificaten om de verbinding te beveiligen. Je kunt een veillige website met geldig certificaat herkennen aan een domeinnaam met een https::// en een slotje ervoor. Zoals bij Privacyzone.nl.
Bij een beveiligde https (de s staat voor secure) verbinding wordt het dataverkeer met de site versleuteld. Als je een bericht naar de site stuurt, iets online koopt en betaalt of inlogt op een forum of cursus kan niemand dan op afstand meekijken wat jij invult op de site.
Cybercrimineel kan versleuteld dataverkeer niet lezen
“Als een cybercrimineel de gegevens zou onderscheppen, kan hij ze in ieder geval niet lezen”, aldus een uitleg van de getroffen website zelf.
Als het certificaat is verlopen laten webbrowsers als Google Chrome tegenwoordig meteen een waarschuwing zien. Zij kunnen de echtheid van de site dan niet meer garanderen.
Privacy Nieuws
Brancheorganisatie ICT Nederland waarschuwt zijn leden dat de Nederlandse overheid in verband met de Algemene Verordening Gegevensbescherming (AVG) “disproportionele eisen” stelt in nieuwe contracten.
In de nieuwe versie van de algemene voorwaarden legt de overheid standaard de volledige aansprakelijkheid voor privacy bij de leverancier.
Volgens aanbestedingsrecht mag overheid geen disproportionele eisen stellen
In het aanbestedingsrecht geldt dat de overheid geen disproportionele eisen mag stellen aan leveranciers, stelt ICT Nederland. Het eisen van onbeperkte aansprakelijkheid wordt als disproportioneel gezien.
In de door de overheid vastgestelde ‘gids proportionaliteit’ staat hierover: ´De aanbestedende dienst verlangt geen aansprakelijkheid die op geen enkele manier gelimiteerd is.’
“Daarnaast is recent in een vonnis gezegd “… dat ieder computersysteem uiteindelijk kan worden gehackt, zodat [de overheid] ook geen volledig hackfree systeem mocht verwachten” (ECLI:NL:GHARL:2018:7967).
100 procent veilig bestaat niet
Zowel de rechtspraak als de wetgever zijn volgens ICT Nederland het er over eens dat 100% beveiliging niet bestaat en je daarvoor de leverancier dus niet volledig aansprakelijk mag houden. “Waarom is dat dan wel opgenomen in de nieuwe voorwaarden van de overheid?”
Leveranciers moeten nu volgens ICT Nederland garanderen dat de beveiligingsmaatregelen volledige bescherming waarborgen.
De overheid verwijst bij de aansprakelijkheidsclausule in nieuwe overeenkomsten volgens ICT Nederland naar
de Algemene Verordening Gegevensbescherming. Maar dat is volgens de vakorganisatie volkomen onterecht.
Aansprakelijkheid komt niet voor in AVG
“Aansprakelijkheid is NIET een van de onderwerpen uit de AVG. En boetes ook niet”, meldt ICT Nederland aan zijn leden. “Toch zien wij de ene na de andere verwerkersovereenkomst langskomen waarin er allerlei aansprakelijkheid voor privacy bij de leverancier wordt neergelegd. Inclusief boetes van de toezichthouder, ook voor privacy schendingen waar de leverancier als verwerker geen enkele invloed op heeft.”
De eisen die de overheid stelt zijn “disproportioneel”, stelt ICT-Nederland. “We raden leden aan hier op te letten en bij een aanbesteding kritische vragen te stellen over deze clausules.”
Er is geen juridische reden voor verandering van aansprakelijkheidseisen
De verdeling van aansprakelijkheid is iets wat normaal al in de algemene voorwaarden geregeld is. Er is volgens ICT Nederland geen juridische reden waarom die aansprakelijkheid anders zou moeten worden door de AVG.
“Op dit vlak is er niks veranderd ten opzichte van de oude Wbp. Daarnaast gaat het om contractuele risicoverdelingen, waarover partijen in algemene zin afspraken moeten maken, niet om een eis uit de wet.”
Niet alleen de overheid grijpt de AVG overigens aan om de aansprakelijkheid voor verwerkers opeens op te rekken.
Alsof je je fietsenmaker aansprakelijk kunt stellen als je fiets gestolen wordt
“Er worden absolute garanties geëist op de beveiliging en mocht er dan toch een datalek ontstaan, dan wordt de leverancier altijd voor alles aansprakelijk gesteld. Het is alsof ik mijn fietsenmaker aansprakelijk ga stellen voor mijn gestolen fiets, zelfs als ik zijn advies heb opgevolgd om twee sloten te gebruiken. Absolute veiligheid bestaat niet.”
De overheid gebruikt standaard algemene inkoopvoorwaarden van ARBIT, ARVODI en ARIV. Vaak worden die als take-it-or-leave-it voorgeschreven in aanbestedingen. Als je dus zaken wilt doen met de overheid, kom je moeilijk om deze voorwaarden heen.
Inkoopvoorwaarden aangepast
De inkoopvoorwaarden zijn in verband met de AVG aangepast. Kort gezegd komen de aanpassingen op het volgende neer: de leverancier moet nu garanderen dat de beveiligingsmaatregelen volledige bescherming waarborgen. Daarnaast vervallen alle beperkingen van aansprakelijkheid voor verwerkingen van persoonsgegevens, waarbij boetes van de AP gemakshalve als schade gekwalificeerd worden.
Kritische vragen stellen aan overheid
ICT Nederland adviseert leden om bij het afsluiten van nieuwe contracten kritische vragen te stellen over aansprakelijkheidsclausules. “Vraag tenminste om een limitering van aansprakelijkheid binnen de (toch al niet erg proportionele) bestaande clausule over aansprakelijkheid.”
PrivacyNieuws is benieuwd naar reacties van ondernemers die sinds de AVG worden geconfronteerd met opvallende strenge eisen die gesteld worden. Hoe wordt daarmee omgegaan? Welke eisen worden er gesteld? Wat staat er in die contracten?