Duitse Bundeskartellamt wil Facebook verbieden ook persoonsgegevens van gebruikers op andere kanalen te verzamelen

Het Duitse Bundeskartellamt gaat volgens de tabloid Bild am Sonntag Facebook verbieden gegevens te verzamelen via gekoppelde diensten zoals Twitter, game-apps en Facebook-dochterondernemingen WhatsApp en Instagram. Ook de “like me”-knop van Facebook zou de regels overtreden.

Bild am Sonntag beroept zich op een rapport waarin wordt gemeld dat Facebook in de komende weken op de hoogte zal worden gesteld van de beslissing.

Het Bundeskartellamt maakt zich vooral zorgen over de verzameling en het gebruik van gegevens uit bronnen van derden op Facebook. Dit gebeurt vaak zonder de uitdrukkelijke toestemming van de gebruiker.

Persoonlijke gegevens worden door Facebook samengevoegd en gebruikt voor reclamedoeleinden. Facebook maakt volgens het Bundeskartellamt misbruik van zijn dominante marktpositie.

Andreas Mundt, voorzitter van het Bundeskartellamt, had begin 2018 al aangekondigd dat de markt voor online reclame nader zou worden onderzocht.

Het is nog onduidelijk aan welke voorwaarden Facebook concreet moet voldoen. Volgens het rapport wilde het Bundeskartellamt in verband met de lopende procedure geen details verstrekken.

Facebook is al op de hoogte gebracht van de feiten en zou al hebben gereageerd. Een woordvoerster legde uit dat haar bedrijf de standpunten van het Bundeskartellamt niet deelt. Facebook klaagt dat in dit geval gegevensbescherming en antitrustwetgeving door elkaar worden gehaald; dit is volgens Facebook onaanvaardbaar.

Meer actueel awareness nieuws

21.000 klanten van VakantieVeilingen.nl geconfronteerd met een oud datalek uit 2014

21.000 mensen die tussen 2014 en 2015 een vakantie hebben gewonnen bij VakantieVeilingen.nl zijn deze week door een klant per mail geinformeerd over een datalek. Deze klant kreeg de adresgegevens in handen door een fout destijds van de helpdesk van de veilingsite.

De helpdesk stuurde per ongeluk een mail met een link naar de klant. Via deze link kon de klant toegang krijgen tot de klantgegevens van alle klanten. De klant heeft het bestand met alle contactgegevens vervolgens gedownload en daarna VakantieVeilingen.nl ingelicht over het lek.

Het bestand bevat de volledige namen, woonadressen, e-mailadressen en arrangementen van klanten die destijds hebben gewonnen. 

Jeroen

De klant noemt zichzelf Jeroen. In de mail die hij afgelopen week, ruim drie jaar na de ontdekking van het datalek, aan alle getroffen klanten stuurde zegt hij nu tot zijn opmerkelijke actie besloten te hebben omdat Vakantieveilingen nooit heeft gereageerd nadat hij het datalek had gemeld.

De late actie van de boze klant is een interessante kwestie voor de Autoriteit Persoonsgegevens (AP). Valt dit datalek nog onder de oude Wet bescherming persoonsgegevens (Wbp)? Heeft VakantieVeilingen het lek destijds gemeld? Of is er sprake van een nieuw datalek omdat de mail nu pas is verstuurd en sinds 25 mei 2018 de Algemene Verordening Gegevensbescherming (AVG) geldt? Heeft VakantieVeilingen.nl (opnieuw) een datalekmelding gedaan?

Zo ziet de e-mail eruit

Mijn naam is Jeroen en ik heb, net als u, een veiling gewonnen bij VakantieVeilingen.

In 2015 heb ik contact gehad met de helpdesk van VakantieVeilingen. De helpdesk stuurde mij per mail een bevestiging waarin een link zat. Toen ik op de link klikte kreeg ik ongevraagd toegang tot de persoonlijke gegevens van ongeveer 21000 klanten van VakantieVeilingen.

Uiteraard heb ik per direct VakantieVeilingen hiervan op de hoogte gesteld. De link werd voorzien van een wachtwoord, echter heeft VakantieVeilingen tot nu toe nimmer de moeite genomen om haar excuses aangeboden of navraag gedaan over de door VakantieVeilingen verstrekte gegevens.

Wellicht neemt VakantieVeilingen naar aanleiding van deze mail wél de moeite om alsnog contact met mij op te nemen.

Meer actueel awareness nieuws

Overtreedt uitvaartorganisatie Dela de AVG door ongevraagd vingerafdrukken van overledenen te verwerken? Nee! Belachelijk?

Uitvaartorganisatie Dela kwam zaterdag in opspraak door berichtgeving van het consumentenprogramma Radar. Dela bleek sinds september voor commerciele doeleinden vingerafdrukken van overledenen af te nemen.

Meteen werd op social media om onderzoek door de Autoriteit Persoonsgegevens (AP) geroepen. Ten onrechte.

Nota bene gevoed door een onzorgvuldige jurist en onzorgvuldige gemakzuchtige knip-en-plakjournalisten die weekenddienst hadden bij landelijke media.

Vingerafdrukken zijn toch persoonsgegevens?

Dan moet er toch rekening gehouden worden met de Algemene Verordening Gegevensbescherming (AVG)? Dat die vraag meteen door het hoofd spookt bij veel mensen lijkt logisch. Vingerafdrukken zijn immers biometrische persoonsgegevens.

Mag een commerciele uitvaartorganisatie dan zomaar vingerafdrukken afnemen om die te verwerken in sieraden die uit winstbejag aan rouwende nabestaanden worden verkocht?

Mensen die nooit om toestemming zijn gevraagd of die vingerafdrukken überhaupt mochten worden afgenomen?

Radar stelde die vraag ook aan een deskundige. Advocaat Eric Osinga van Osinga Advocatuur werd benaderd als deskundige en gaf antwoord. En ging de fout in. “Dit mag niet zonder de nabestaanden vooraf om toestemming te vragen”, aldus Osinga. “Een vingerafdruk valt namelijk onder persoonsgegevens die je niet zonder toestemming mag verwerken. Die toestemming moet ook nog eens heel duidelijk zijn gegeven.”

Advocaat had beter moeten weten

Osinga had als advocaat beter moeten en kunnen weten. Hij had zich niet als advocaat moeten laten verleiden om in de media uitspraken te doen over zaken waar hij niet in is gespecialiseerd. Of hij had zich beter moeten voorbereiden. Een zoekopdracht was voldoende geweest.

Bij de eerste les over de AVG wordt behandeld wat persoonsgegevens zijn. Vingerafdrukken van dode mensen vallen daar niet onder. Het staat klip en klaar in de wet en op de site van de Autoriteit Persoonsgegevens onder de kop Wat zijn persoonsgegevens.

De Algemene verordening gegevensbescherming (AVG) geeft aan dat een persoonsgegeven alle informatie is over een geïdentificeerde of identificeerbare natuurlijke persoon. Dit betekent dat informatie ofwel direct over iemand gaat, ofwel naar deze persoon te herleiden is. Gegevens van overleden personen of van organisaties zijn geen persoonsgegevens volgens de AVG.

 

Identiteitsfraude na de dood

Dat de vingerafdrukken van een overledene niet onder de AVG vallen is ogenschijnlijk best wel vreemd, omdat met deze biometrische gegevens ook na de dood nog identiteitsfraude gepleegd kan worden. Met vingerafdrukgegevens van doden zouden kwaadwillenden bijvoorbeeld nog smartphones kunnen unlocken en zo aankopen en betalingen kunnen doen.

 

Dood ben je geen persoon meer

De AVG is echter glashelder. Eenmaal dood ben je geen persoon meer. Dit is klip en klaar geen zaak voor de Autoriteit Persoonsgegevens. Dat had de deskundige die Radar benaderde ook moeten weten.

De Radar redactie valt niets te verwijten. Die deed navraag bij iemand waarvan verwacht mocht worden dat hij expertise heeft. Toch?

Radar had ook beter moeten weten. Waarom heeft de redactie Osinga eigenlijk benaderd? Niet iedere advocaat is meteen ook AVG-deskundige. Osinga is niet gespecialiseerd in privacywetgeving. Dat staat ook duidelijk op zijn website:

“Nadat ik ruim tien jaar als advocaat heb gewerkt, werd het tijd voor een eigen kantoor. Op 1 februari 2016 is Osinga Advocatuur te Utrecht opgericht. Mijn specialisatie is zorgverzekeringsrecht en algemeen verzekeringsrecht.”

Naambordjesaffaire Duitsland en Oostenrijk

De vingerafdrukkenaffaire heeft wel iets weg van de naambordjesdiscussie in Duitsland en Oostenrijk. Een ‘deskundige’ waarvan verwacht wordt dat hij op de hoogte is van de AVG geeft onjuist advies en zorgt daarmee vervolgens voor een mediagolf met onjuiste berichten. Iedereen roeptoetert elkaar in de media en op social media niet gehinderd door enige kennis na en zorgt daardoor voor onterechte verontwaardiging over de AVG of de toezichthouder die niets doet.

Advocaat vs advocaat

Advocaat Dirk-Jan de Bruin ergert zich net als Privacyzone aan advocaat Osinga die de redactie van Radar en de luisteraars en bezoekers van de website van het consumentenprogramma verkeerd informeert over de AVG. Hij zorgt daarmee voor veel ruis over de AVG.

De Bruin is in tegenstelling tot Osinga wel gespecialiseerd in privacyrecht.

De Bruin heeft mogelijk ook goede connecties in de journalistiek. Hij wordt op Twitter gevolgd door misdaadjournalist Mick van Wely van de Telegraaf, die zijn carriere ooit begon bij Dagblad van het Noorden.

De Bruin ziet overigens afgezien van de vingerafdrukken wel een ander aanknopingspunt op basis waarvan nabestaanden toch een klacht kunnen indienen op basis van de AVG.

“De vingerafdruk zelf zegt niets over de familieleden (in tegenstelling tot bijv. resultaten van erfelijkheidsonderzoek op (weefsel van) overleden personen)”, schrijft De Bruin op Twitter. “Toenadering van de nabestaanden voor een commercieel aanbod moet verder conform de AVG en de Telecommunicatiewet.”

Kortom: Mag Dela na de begrafenis nabestaanden commercieel benaderen om andere producten te verkopen? Of had Dela daar schriftelijk toestemming voor moeten vragen bij het afsluiten van de overlijdensrisicopolis of het accepteren van de opdracht om de begrafenis van een dierbare te verzorgen?

De gevolgen van knip-en-plak journalistiek

Diverse landelijke media plegen knip-en-plak journalistiek en nemen het bericht van Radar zonder het zelf te checken of van meerwaarde te voorzien klakkeloos letterlijk over. Vervolgens gaan mensen op social media er mee aan de haal.

Volkomen onnodig, want net als Osinga had iedere serieuze journalist met een eenvoudige zoekactie op Google kunnen achterhalen dat vingerafdrukken van overledenen volgens de AVG geen persoonsgegevens zijn. De uitleg van de Autoriteit Persoonsgegevens staat bovenaan de zoekresultaten bij de zoekopdracht ‘overleden AVG’.

Handelswijze Dela uiterst bedenkelijk

Ondertussen blijft de handelwijze van Dela natuurlijk bedenkelijk. Een uitvaartorganisatie die om commercieel gewin zonder enig gevoel de eer van overledenen schendt gaat duidelijk over lijken.

Logisch dat verbolgen mensen pleiten voor juridisch onderzoek. Alleen is de Algemene Verordening Gegevensbescherming daar niet geschikt voor. Maar misschien is het wel de moeite waard om Dela aan te klagen wegens grafschennis.

Wat is grafschennis?

Grafschennis is opgenomen in artikel 149 Wetboek van Strafrecht. Het artikel luidt als volgt: “Hij die opzettelijk een graf schendt of enig op een begraafplaats opgericht gedenkteken opzettelijk en wederrechtelijk vernielt of beschadigt, wordt gestraft met gevangenisstraf van ten hoogste een jaar of geldboete van de derde categorie.”

Net als bij de AVG is de eerste reactie op basis van de letter van de wet nu natuurlijk dat de overledene nog niet in een graf lag toen de vingerafdrukken werden afgenomen. En dus kan er dan geen sprake zijn van grafschennis.

Jurisprudentie over grafschennis

Maar er staat op de website Problemenmetjustitie.nl ook interessante jurisprudentie over het wetsartikel dat over grafschennis gaat.

“De rechter heeft ook een echtgenoot die het graf van zijn overleden partner open heeft gemaakt om haar nog even vast te kunnen houden, veroordeeld voor grafschennis.”

Als een rouwende partner bestraft wordt omdat hij of zij om emotionele redenen nog een keer de hand van zijn overleden maatje wil vasthouden zou je toch denken dat het logisch is dat een uitvaartorganisatie als Dela ook wordt bestraft voor het om commerciele redenen aantasten van de waarde van overledenen. Dat is toch evengoed grafschennis.

Wanneer is er sprake van een graf?

Het gaat hier eigenlijk om de definitie graf. Wanneer is er sprake van een graf? Zou je kunnen stellen dat iemand in zijn graf ligt zodra hij in een lijkkist ligt? Het zou in deze zaak interessant zijn om daar een uitspraak van een rechter over te krijgen.

De les van dit artikel is dat de AVG niet een wet is die te pas en te onpas overal automatisch bij betrokken kan worden. Dat hebben goede privacymanagers tijdens hun opleiding geleerd. Ze leerden ook dat ze behalve naar de AVG ook rekening moeten houden met andere wetten en toezichthouders. En deskundig extern advies moeten vragen voor zaken waar ze niet voor geleerd hebben.

Melden van grafschennis

In dit geval adviseert PrivacyZone nabestaanden van overledenen waarvan Dela vingerafdrukken heeft afgenomen om deze zaak bijvoorbeeld aan te kaarten via een advocaat of via Centraal Meldpunt Nederland. “Vermoedens dat iemand zich schuldig heeft gemaakt aan grafschennis door een grafroof te plegen of vernieling aan te richten kunt u melden via Centraal Meldpunt Nederland: Meld.nl”, staat er op deze website.

Meer actueel awareness nieuws

”Facebook en Google gebruiken onze eigen persoonsgegevens met militaire efficiëntie tegen ons”

„Onze eigen informatie, van het alledaagse tot het zeer privé, wordt met militaire efficiëntie tegen ons gebruikt.“

CEO Tim Cook van Apple gaat tijdens de conferentie over gegevensbescherming in Brussel frontaal in de aanval tegen zijn rivalen Facebook en Google. Hij uit heftige kritiek op de manier waarop Facebook en Google gebruik maken van de persoonsgegevens van hun klanten.

Dat winsten boven privacy worden geplaatst is niets nieuws, zegt Cook. „Maar inmiddels is er een hele industrie uit voortgekomen.“

Militaire efficiëntie

“Onze eigen informatie, van het alledaagse tot het zeer privé, wordt tegen ons gekeerd met militaire efficiëntie,” zegt Cook.

De bedrijven verzamelen gegevens over hun gebruikers en verkopen de profielen vervolgens aan de reclame-industrie.

Daarom zijn diensten zoals Facebook, de Google search of het mobiele besturingssysteem Android gratis voor gebruikers.

Ander bedrijfsmodel Facebook en Google

Facebook en Co. benadrukken altijd dat de collecties anoniem zijn en dat uit de gegevensbestanden geen conclusies kunnen worden getrokken over individuele gebruikers.

Gegevensbeschermers ontkennen dat.

„De onschadelijke fragmenten van informatie worden volgens deze deskundigen ,,zorgvuldig samengesteld, verhandeld (…..) en verkocht,” zegt Applebaas Cook.

Apple is volgens Cook veel voorzichtiger met het verzamelen van gebruikersgegevens. Apple verdient zijn geld niet hoofdzakelijk met reclame, maar met de verkoop van apparatuur en abonnementsdiensten.

Facebook heeft geen melkkoe van een miljard dollar, zoals de iPhone, in zijn assortiment.

Meer actueel awareness nieuws

Voldoet de Payroll organisatie waarmee jij samenwerkt wel aan de AVG? 30 procent houdt geen verwerkingsregister bij

Ruim dertig procent van de salarismedewerkers en -adviseurs zegt onvoldoende geïnformeerd te zijn over de Algemene Verordening Gegevensbescherming (AVG) en de gevolgen voor de salarisadministratie.

Dat blijkt uit het Trendonderzoek Salarisprofessionals 2018 van Nederlands Instituut Register Payroll Accounting (NIRPA).

Het onderzoek werd in opdracht van het NIRPA uitgevoerd door Performa en Berenschot.

Het onderzoek is ook van belang voor alle organisaties die gebruik maken van de diensten van Payrolling organisaties. Zij zijn op basis van de AVG verplicht om te controleren of organisaties waar zij mee samen werken zich aan de wet houden.

Nog geen verplicht verwerkingsregister

 

30% van de salarisadministrateurs geeft in de enquete aan dat er nog geen register van verwerkingsactiviteiten wordt bijgehouden. Zo’n verwerkingsregister is in veel gevallen verplicht.

Het NIRPA is een onafhankelijke stichting zonder winstoogmerk. Om een zo volledig mogelijk beeld te krijgen van de functie van salaris professionals in Nederland werden alle salarismedewerkers en -adviseurs uitgenodigd om deel te nemen aan het onderzoek. Het onderzoek is niet alleen gericht op NIRPA geregistreerde Payroll Professionals.

 

De invoering van de AVG is volgens 89% van de salarisadministrateurs dit jaar veruit het belangrijkste onderwerp op hun vakgebied.

Uit het onderzoek blijkt dat de positie van de salarisadministrateur bij de invoering van wetten zoals de Algemene verordening gegevensbescherming (AVG) steeds belangrijker wordt.

De salarisadministratie werkt met veel privacygevoelige informatie, waar efficiënt en zorgvuldig mee moet worden om gegaan.

Onvoldoende geïnformeerd over AVG

Ondanks het duidelijke belang van de AVG is de informatievoorziening over de wet volgens het onderzoek bij veel organisaties nog niet onder controle.

De onderzoeksresultaten worden op 11 september toegelicht en gepubliceerd tijdens het jaarlijkse NIRPA congres.

Meer actueel awareness nieuws

Moet een organisatie ook inzage in persoonsgegevens verstrekken als het veel tijd, moeite en geld kost? Facebook zoekt grens AVG

De Algemene Verordening Gegevensbescherming (AVG) geeft iedereen het recht om inzage te vragen in de gegevens die organisaties over hen verzameld heeft. Bedrijven zijn verplicht om binnen dertig dagen de informatie te verstrekken.

Maar hoe zit dat als het opmaken van een overzicht met alle informatie nou bijzonder veel moeite kost? Als een organisatie voor een verzoek een of meerdere werknemers diverse systemen moet laten doorspitten? Wie betaalt die kosten eigenlijk?

Kosten inzageverzoek

Slecht nieuws voor bedrijven. De kosten zijn voor hen. Ze moeten aan de AVG voldoen. Tenminste, zo staat het in de wet.

Facebook denkt daar anders over. De social media gigant weigert Michael Veale, een onderzoeker van de Britse University College London, inzage te geven in de over hem verzamelde persoonsgegevens.

Facebook zegt dat het te veel moeite kost deze informatie te verzamelen.

Veale neemt hier geen genoegen mee en heeft een formele klacht ingediend bij de Irish Data Protection Commissioner.

Ierse Autoriteit Persoonsgegegens

Facebook heeft zijn Europese hoofdkantoor in Ierland gevestigd. De Ierse Autoriteit Persoonsgegegens doet nu onderzoek naar de weigering van Facebook,
meldt The Register.

Veale stelt in de klacht te willen achterhalen of Facebook surfgedrag over hem heeft verzameld op het gebied van seksualiteit en medische onderwerpen. Vaele geeft aan de tools die Facebook hiervoor openbaar heeft gemaakt heeft gebruikt, maar dat deze onvoldoende resultaat opleveren.

‘Data buiten Facebook verzameld’

Het bedrijf weigert de opgevraagde informatie echter te verstrekken en meldt dat het te veel moeite kost de data te lokaliseren, aangezien deze buiten het sociale netwerk is verzameld. De klacht is hier ingediend, aangezien het Europese hoofdkantoor van Facebook in Ierland is gevestigd.

European Data Protection Board

De zaak wordt nu onderzocht door de Irish Data Protection Commissioner. Deze verwacht dat de zaak uiteindelijk wordt doorgestuurd naar de European Data Protection Board, aangezien de zaak betrekking heeft op grensoverschrijdende dataverwerking.

De uitkomst van deze zaak is interessant voor iedere organisatie die veel werk moet verzetten om informatie te verzamelen als er een verzoek om inzage wordt gedaan. Wat mag er van hen in het uiterste geval verwacht worden?

Meer actueel awareness nieuws

Autoriteit Persoonsgegevens heeft eerste 400 AVG-klachten afgehandeld

Ruim 600 mensen hebben sinds de invoering van de Algemene Verordening Gegevensbescherming (AVG) een privacy-gerelateerde klacht ingediend bij de De Autoriteit Persoonsgegevens (AP), waarvan 400 inmiddels zijn geanalyseerd. Mensen blijken vooral problemen te ondervinden met het laten verwijderen van hun persoonsgegevens.

Gebruikers kunnen bij de AP klachten indienen indien zij van mening zijn dat hun privacyrechten worden geschonden.

Gegevens niet kunnen verwijderen of inzien

Bijna een derde van alle binnengekomen klachten heeft betrekking op problemen met het laten verwijderen van persoonsgegevens.

Daarnaast klagen mensen dat zij gegevens niet mogen inzien of hun gegevens ongewenst aan derde partijen zijn verstrekt.

87% van de binnengekomen klachten heeft betrekking op bedrijven.

De overige klachten gaan over overheidsinstanties.

De AP meldt alle klachten te gaan behandelen en twee keer per jaar te zullen rapporteren over de wijze waarop de klachten zijn behandeld.

84 van de binnengekomen klachten zijn grensoverschrijdend. Een deel van deze klachten wordt daarom door de AP doorgestuurd naar een andere Europese privacytoezichthouder.

Meer actueel awareness nieuws

92 miljoen stamboomonderzoekers getroffen door datalek bij MyHeritage

Stamboomonderzoek is een populaire hobby. Veel stamboomonderzoekers maken gebruik van de dienst MyHeritage. Dit bedrijf blijkt getroffen door een groot datalek.

Bij een hack zijn e-mailadressen en versleutelde wachtwoorden buitgemaakt, meldt MyHeritage op zijn blog. In totaal zijn er 92.283.889 accounts getroffen.

Bij MyHeritage kunnen gebruikers een DNA-test laten doen.

Door een DNA-proef op te sturen, kan het bedrijf een stamboom opstellen en families in kaart brengen.

 

Bij de hack gaat het om informatie van gebruikers die voor 26 oktober 2017 een account aanmaakten. Op die dag werd de hack uitgevoerd.

Een beveiligingsonderzoeker vond de data buiten de dienst op een particuliere server.

Meer actueel awareness nieuws

Beheerder van Facebook fanpagina volgens Europese Hof van Justitie verantwoordelijk voor persoonsgegevens

Het Europese Hof van Justitie heeft bepaald dat beheerders van fanpagina’s op Facebook net zo verantwoordelijk zijn voor de verwerking en bescherming van persoonsgegevens als Facebook zelf.

Het hof deed dinsdag uitspraak in een zaak die was aangespannen door de Duitse Wirtschaftsakademie Schleswig-Holstein tegen een privébedrijf dat onderwijsdiensten aanbiedt via onder meer een fanpagina op Facebook.

Volgens het hof kan een beheerder zich niet verschuilen door te zeggen dat hij gebruikmaakt van de diensten van Facebook.

De Duitse toezichthouder had het bedrijf in 2011 bevolen de pagina te deactiveren. Zowel het bedrijf als Facebook hadden niet aan de bezoekers gemeld dat Facebook met cookies persoonlijke informatie over hen verzamelde en dat de paginabeheerder deze informatie vervolgens verwerkte.

Het ging onder meer om geanonimiseerde data over de doelgroep van het bedrijf, zoals leeftijd, geslacht, burgerlijke staat en beroep, informatie over online aankopen van de bezoekers en geografische gegevens. Met die informatie kan de beheerder van de fanpagina bijvoorbeeld gerichter zijn diensten aanprijzen.

De toezichthouder in het land van de beheerder van de fanpagina mag volgens het hof ingrijpen als de beheerder de EU-regels voor databescherming schendt.

Beheerders die deze verantwoordelijkheid niet willen, kunnen volgens het hof kiezen om de zogenoemde Insights-functies van Facebook niet te gebruiken.

Met Insights-functies krijgen paginabeheerders inzicht in het gedrag van hun bezoekers. Die gegevens worden ook op de apparaten van de beheerder opgeslagen.

Mede daarom is ook de beheerder verantwoordelijk voor de bescherming en verwerking van die data.

Gedeelde verantwoordelijkheid

 

Het hof zegt dat buiten kijf staat dat Facebook verantwoordelijk is voor de verwerking van de gegevens.

Maar dat neemt volgens de Europese rechters niet weg dat ook een beheerder verplicht is de EU-regels voor de bescherming van persoonsgegevens te volgen.

Facebook ligt al maanden onder vuur wegens het slordig en commercieel omspringen met persoonsgegevens. Met deze uitspraak wordt de verantwoordelijkheid voor de privacy ook deels bij beheerders van Facebook-pagina’s gelegd.

Meer actueel awareness nieuws

Facebook deelt vertrouwelijke persoonsgegevens met Apple, Amazon, Microsoft en Samsung

“Alsof er een nieuw slot is geïnstalleerd, waarvoor de slotenmaker al zijn vrienden een tweede sleutel had gegeven”, citeert de New York Times (NYT) een veiligheidsexpert.

Volgens de NYT deelde Facebook de persoonsgegevens van vrienden – zelfs van vrienden die het delen van hun gegevens uitdrukkelijk verboden hadden met bijna 60 bedrijven, waaronder Apple, Amazon, Microsoft en Samsung.

Al deze bedrijven hebben volgens de Amerikaanse krant hiervoor jarenlange contracten met Facebook lopen.

Deskundigen zijn verbaasd dat zowel Facebook als de bedrijven waar persoonsgegevens aan werden verkocht zich blijkbaar niets aantrokken van Facebookgebruikers die nadrukkelijk hadden ingesteld geen gegevens te willen delen.

Veel van deze afspraken zijn gemaakt toen Facebook zelf nog geen eigen apps op de apparaten aanbood om hun bereik toch te vergroten.

Facebook heeft tot nu toe verklaard dat het sinds september 2015 geen persoonsgegevens meer met andere bedrijven heeft gedeeld. Volgens de New York Times lijkt dit onjuist.

Volgens de New York Times bleef het sociale netwerk ook na persoonsgegevens delen met hardwarefabrikanten als Apple en Microsoft en Amazon. Het is onduidelijk hoeveel gegevens zijn doorgegeven.

Meer actueel awareness nieuws

Hebt u al een papiervernietiger aangeschaft voor de AVG?

Veel organisaties denken dat de nieuwe privacywet AVG alleen over digitale verwerking van persoonsgegevens gaat. Dat klopt niet. Ook alle informatie die is vastgelegd valt onder de privacywetgeving.

Op kantoren staan vaak archiefkasten vol ordners met documenten die vol staan met persoonsgegevens.

En vergeet ook niet de prullenbak waarin haast achteloos proppen papier met persoonsgegevens worden gegooid.

Of de groepsprinter in de gang waarop printjes en kopien liggen waarvoor op afstand een printopdracht is gegeven, maar die nog niet zijn opgehaald.

Politici weten dat veel gevoelige informatie nog altijd op deze manier op straat komt te liggen.

Bedrijven die documenten met persoonsgegevens willen vernietigen wordt aangeraden om voortaan gebruik te maken van papiervernietigers.

Een papiervernietiger zou vanaf 25 mei, met een veiligheidsniveau afgestemd op de bedrijfsactiviteiten, standaard tot elke bedrijfsinventaris moeten horen.

Bij de huidige autofeedmachines kun je honderden A4-vellen in één keer invoeren, waarna de invoerbak veilig afgesloten wordt en je niet bij het apparaat hoeft te blijven wachten. Het is tegenwoordig ook niet meer nodig om nietjes of paperclips te verwijderen.

Meer actueel awareness nieuws

Waarom is 85 procent van de organisaties nu nog niet voorbereid op de Europese privacywet AVG / GDPR?

Het is mooi weer. Op de stoep voor een cafee in een drukke winkelstraat staat een nieuwe auto geparkeerd.

De motor draait nog. De autodeur van de bestuurder staat half open. De sleutels steken in het contact. Op de achterbank ligt een laptop. De bestuurder is vermoedelijk even het cafee binnengelopen.

Hoe groot is het risico dat de auto of de laptop op de achterbank wordt gestolen?

Hoe groot is de kans dat de bestuurder een bekeuring krijgt voor fout parkeren of het onbeheerd achter laten van een auto met draaiende motor?

Hoe groot is de kans dat de verzekering schade gaat vergoeden als de auto of laptop wordt gestolen?

Zou jij het risico nemen? Zou jij je auto op deze manier onafgesloten achterlaten?

De meeste mensen die zich deze situatie voorstellen schudden hoofdschuddend nee. Natuurlijk niet. Dit is onverantwoord gedrag.

De automobilist moest snel naar het toilet. Hij heeft zijn portemonnee en smartphone onbeheerd neergelegd op een tafeltje in het cafee.

Zou jij dat doen? Ben je gek?

En stel nou dat er ook nog een doosje met zware medicijnen bij zou liggen.

Dat is toch onverantwoord? Stel dat die in handen komen van kinderen… Iemand die dat doet speelt met levens van anderen.

Ondertussen staan de digitale poorten van heel veel bedrijven en organisaties wagenwijd open.

Cybercriminelen verdienen miljarden euros aan ondernemers en bestuurders die dachten dat het risico dat zij ooit getroffen zouden worden maar klein is.

Net als de automobilist die zijn auto met draaiende motor en een laptop op de achterbank achterliet op de stoep voor een cafee…

Elk bedrijf, elke organisatie, hoe groot of klein ook, moet tegenwoordig rekening houden met de dreiging van cyberaanvallen.

Wie zich nu niet professioneel wapent tegen cybercriminaliteit loopt hoog risico dubbel gestraft te worden. Door cybercriminelen die handig misbruik maken van lichtzinnig ‘open deuren’ in de databeveiliging van bedrijven.

En ook nog eens door de Autoriteit Persoonsgegevens die vanaf 25 mei 2018 op basis van de Europese privacywet AVG / GDPR hoge boetes kan opleggen aan bedrijven en organisaties die onzorgvuldig omgaan met persoonsgegevens van personeel en klanten.

En de kans dat er een verzekering is die de torenhoge schade of boetes bij aantoonbaar nalatig handelen gaat vergoeden is nihil.

Logisch toch?

Waarom heeft 85 procent van de organisaties dan nu nog steeds geen serieuze stappen ondernomen om te voldoen aan de Europese privacywet?

Cybercriminaliteit is een van de snelst groeiende soorten van criminaliteit wereldwijd. Er gaan miljarden euros in om. Cybercriminelen werken steeds geavanceerder en ze slaan toe om uiteenlopende financiële, politieke en ook onzinnige redenen. Gewoon omdat het kan.

Slachtoffers van cybercrime hebben te maken met ernstige schade bij interne en externe bedrijfsprocessen.

Ze hebben mogelijk direct groot financieel verlies geleden in de vorm van betaling van losgelddeclaraties aan cybercriminelen en schadevergoeding aan klanten. Ook kan het zijn dat de bedrijfsprocessen of de webshop langdurig stilgelegd moeten worden.

En denk ook aan reputatieschade en verlies van goodwill.

Alleen al deze factoren maken het voor bedrijven noodzakelijk om eersteklas cyberbeveiligingsmaatregelen te treffen.

De Algemene Verordening Persoonsgegevens (AVG) verplicht alle organisaties die gevestigd zijn in de Europese Unie of zaken doen net ingezetenen van de Europese Unie om passende technische en organisatorische maatregelen te nemen om een beveiligingsniveau te waarborgen dat aangepast is aan de risico’s die voortvloeien uit het bewaren en verwerken van persoonsgegevens.

Het gaat daarbij bijvoorbeeld om risico’s van accidentele of onwettige vernietiging, verlies, wijziging en niet-geautoriseerde bekendmaking of toegang tot persoonsgegevens.

De AVG / GDPR geeft in algemene termen enkele van de cybersecuritymaatregelen aan die verwacht worden:

In de eerste plaats moeten organisaties die te maken krijgen met een inbreuk op de gegevensbeveiliging in bijna alle gevallen deze inbreuk zonder “onnodige vertraging” en, indien mogelijk, binnen 72 uur na de kennisneming melden aan hun gegevensbeschermingsautoriteit.

Alle relevante gegevens moeten worden verstrekt. In veel gevallen moeten organisaties ook rapporteren aan de personen van wie de gegevens gecompromitteerd zijn.

Ten tweede zijn de sancties voor het niet hebben van de juiste beveiliging of, inderdaad, voor het niet naleven van de bovengenoemde rapportageverplichtingen nu veel strenger. Waar voorheen de maximale boete in de orde van honderdduizenden euro’s lag, is nu het maximum voor een inbreuk op de bepalingen die specifiek betrekking hebben op gegevensbeveiliging het hoogste van € 20 miljoen en 4% van de jaarlijkse wereldwijde bruto-omzet van de betreffende entiteit. En dat per geconstatteerde overtreding.

Tot slot: hoewel alle organisaties hun cybersecurity-regelingen voortdurend zouden moeten monitoren, wordt organisaties die onder het AVG / GDPR vallen sterk aangeraden om onmiddellijk een grondige herziening van de totale organisatie uit te voeren. Daarbij moeten zij zich niet alleen richten op hun technologie en dagelijkse praktijken, maar ook procedures creëren en documenteren voor het naleven van de toepasselijke wetgeving en het melden van inbreuken op gegevens aan hun gegevensbeschermingsautoriteit en de betrokken personen.

Meer actueel awareness nieuws