Hackers kunnen dankzij privacywet heel eenvoudig jouw gegevens opvragen bij bedrijven

Hoe snel voldoet de organisatie waar jij voor werkt aan een verzoek van een klant om een overzicht van alle persoonsgegevens die van hem of haar zijn opgeslagen? Wordt ook gecontroleerd of degene die de gegevens opvraagt ook echt degene is waarvan de gegevens zijn?

Hackers kunnen volgens veiligheidsonderzoeker James Pavur van de Oxford University dankzij de Europese privacywet heel eenvoudig aan persoonsgegevens komen. Pavur ontdekte tijdens een test dat hij zonder problemen de gegevens van iemand anders kon opvragen.

Bedrijven zijn op basis van de AVG verplicht om op verzoek in detail aan te geven welke gegevens zij van een gebruiker hebben opgeslagen.

Er wordt echter niet precies aangegeven hoe de bedrijven moeten controleren of de gebruiker de gegevens zelf of iemand anders met kwade bedoelingen opvraagt. Pavur probeerde uit of hij de gegevens van zijn vriendin – met haar toestemming – van de bedrijven kon krijgen zonder dat hij een identiteitskaart hoefde te tonen.

Het resultaat is schrikbarend: Pavur stuurde 150 onderzoeken om informatie op basis van de AVG.

In 72 procent van alle gevallen kreeg hij het antwoord dat de bedrijven daadwerkelijk gegevens opslaan.

In 24 procent van de gevallen sturen de bedrijven eenvoudigweg alle opgeslagen bestanden met gegevens zoals geboortedata, adressen of betalingsgegevens.

Nog eens 16 procent vroeg alleen om gemakkelijk te onderzoeken informatie, zoals de geboortedatum of creditcardnummers, die Pavur al van de eerste 24 procent van de verstrekkers had gekregen.

De conclusie van Pavur: “Bedrijven staan vaak onder druk om de Algemene Verordening Gegevensbescherming na te leven en snel te reageren op vragen. De aanvragen om inzage in persoonsgegevens worden vaak afgehandeld door bedrijfsjuristen of hun helpers en niet door veiligheidsdeskundigen, die misschien meer achterdochtig zijn.”

Wie controleert of anderen mailberichten openen overtreedt mogelijk de privacywet

Wie via mailsoftware automatisch controleert of verstuurde mail door ontvangers wordt geopend overtreedt de Algemene Verordening Gegevensbescherming (AVG). Dat blijkt uit een uitspraak van de Autoriteit Persoonsgegevens (AP) naar aanleiding van een onderzoek bij de Dienst Uitvoering Onderwijs (DUO).

DUO heeft volgens de AP de Europese privacywet overtreden door met speciale software bij te houden of studenten e-mails hadden geopend.

Door in de gaten te houden of studenten e-mails hebben geopend, wist DUO zeker dat een bericht goed ontvangen en gelezen was. Het ging daarbij om mails over wijzigingen in persoonlijke situaties van scholieren.

De trackingsoftware zou gebruikt kunnen worden als bewijs in rechtszaken, als iemand beweerde nooit bericht te hebben gehad over een wijziging. Bij het openen van een mail werd een onzichtbare afbeelding geopend, waar DUO vervolgens over werd geïnformeerd.

Omdat de software herleidbare privégegevens vastlegt, is deze volgens de Autoriteit Persoonsgegevens in strijd met de Algemene Verordening Gegevensbescherming (AVG). DUO hield bijvoorbeeld het ip-adres van een mailontvanger bij, wat niet zomaar mag. Bovendien werden mailontvangers niet geïnformeerd over dat ze werden gevolgd.

Inmiddels is DUO gestopt met het gebruik van de trackingtechniek.

RDW doet aangifte bij politie wegens illegale handel in kentekengegevens

De Rijksdienst voor het Wegverkeer (RDW) met heeft aangifte gedaan bij de politie wegens illegale handel in privégegevens van Nederlandse automobilisten. Dat heeft de RDW gedaan na berichtgeving door RTL Nieuws.

De RDW verzorgt de uitgifte van alle kentekens voor auto’s, motoren, bromfietsen en boten in Nederland. De dienst heeft vestigingen in Groningen en Veendam.

Volgens RTL is het mogelijk om via internet aan de hand van een kenteken te laten uitzoeken wie de eigenaar van een voertuig is. Dat zou 50 tot 150 euro kosten. Het aanbieden van deze gegevens is echter in strijd met de Algemene Verordening Gegevensbescherming (AVG).

Het achterhalen van de eigenaar achter een kenteken kan op verschillende manieren worden misbruikt, melden experts aan RTL Nieuws. Zo kunnen dieven bijvoorbeeld de eigenaren van dure auto’s op de parking bij Schiphol achterhalen, zodat ze weten dat die mensen op vakantie zijn. Daarna kunnen ze inbreken bij hun huis. Ook kan de informatie gebruikt worden voor lastigvallen en intimidatie.

‘Meerdere keren per week’

De handvol accounts die nu actief zijn in het aanbieden van persoonsinformatie achter kentekens, zeggen tegen RTL Nieuws dat ze dat meerdere keren per week doen.

RDW weet nog niet hoe kwalijk de praktijk is: ‘We moeten eerst uitzoeken wat er precies gebeurt, of deze mensen de informatie rechtstreeks uit de RDW-registers halen.’

Ook andere organisaties hebben toegang

De RDW is niet de enige instelling die toegang heeft tot het kentekenregister. De politie, de Belastingdienst, het Centraal Justitieel Incassobureau en gemeenten kunnen de gegevens ook zien.

De RDW beheert 11,5 miljoen Nederlandse kentekens. Het registreert niet alleen de technische gegevens van het voertuig, maar ook de naam, adres en woonplaats van de eigenaar.

In het register staan alle voertuigen in Nederland die een kenteken moeten hebben. Dat zijn auto’s, bestelbussen, vrachtauto’s, bussen, bromfietsen, motoren, aanhangers, caravans, vrachtwagenopleggers en snorfietsen.

Politie waarschuwt op Facebook om FaceApp niet te installeren. De app is onveilig

Bent u van plan om FaceApp te installeren om te zien hoe u er als u oud bent uit ziet? Niet doen!, waarschuwt de politie. De app is niet veilig. De Russische app overtreedt de Algemene Verordening Gegevensbescherming (AVG).

Veel gratis apps verzamelen gegevens van gebruikers. Op die manier kunnen ze geld verdienen door adverteerders of andere bedrijven toegang geven tot deze data. In de Europese Unie zijn er strenge regels voor hoe hiermee omgegaan moet worden, die gebruikers ook de mogelijkheid bieden die gegevens op te vragen en te laten verwijderen.

De politie heeft op verschillende lokale Facebookaccounts een oproep geplaatst waarin wordt geadviseerd de ouderdomsapp FaceApp te verwijderen. De politie vindt de app niet veilig, omdat deze niet aan de Europese privacywetgeving hoeft te voldoen.

Met de gratis FaceApp kunnen gebruikers een foto van zichzelf uploaden en zien hoe ze eruit komen te zien als ze ouder worden.

De app bestaat al enige tijd, maar is sinds een paar weken erg populair geworden.

Duizenden Nederlanders creëerden een oudere versie van zichzelf met het filter in de app, maar dat is dus niet verstandig volgens de Politie Schagen.

FaceApp is van een Russische appmaker en dit bedrijf hoeft zich niet te houden aan de Europese privacywetgeving, schrijft de politie. De appmaker kan dus geen boete krijgen op basis van de Algemene verordening gegevensbescherming (AVG) als het onzorgvuldig omgaat met de gegevens.

De politie benadrukt dat de app niet alleen je foto opslaat, maar ook je ip-adres, smartphonegegevens en cookies plaatst. Daarom is het beter om de app te verwijderen, aldus de politie.

Het is niet voor het eerst dat FaceApp onder vuur ligt. Privacyvoorvechters bekritiseerden het beleid van de app afgelopen week en adviseerden hem niet te installeren.

Cybercriminelen leggen netwerk in 11 ziekenhuizen en 4 bejaardenhuizen in Duitsland plat

Hackers hebben met behulp van ransomware een computernetwerk platgelegd dat gebruikt wordt door elf ziekenhuizen en vier bejaardentehuizen in de Duitse deelstaten Rijnland-Palts en Saarland. In de getroffen ziekenhuizen moesten artsen uit nood met pen en papier werken om hun medische diagnose vast te leggen en recepten te kunnen schrijven.

De hackers troffen onder meer medische klinieken in Worms, Mainz, Alzey en Bad Kreuznach met de ransomware-aanval.

De aangevallen ziekenhuizen behoren tot het Duitse Rode Kruis (DRK).

De ransomware heeft servers en databases versleuteld. Volgens het magazine Spiegel Online, kon het medisch personeel niet langer toegang krijgen tot de gegevens omdat die versleuteld bleken door de ransomware.

Tijdens de aanval moesten het medisch personeel en de administratie met potlood, balpen en papier opnames van patiënten en laboratoriumbevindingen opschrijven.

De zorg voor de patiënten zou echter niet in gevaar zijn geweest, medische hulpmiddelen niet aangetast en er zijn tot nu toe geen aanwijzingen dat er vertrouwelijke informatie is gestolen.

De hack werd zondagochtend opgemerkt. Het encryptieproces kon pas op zondagmiddag worden gestopt. Het Staatscentrum voor Cybercrime bij het Openbaar Ministerie in Koblenz deed onderzoek.

De zwakke plek in het netwerk waardoor hackers met hun ransomware konden infiltreren is nu geïdentificeerd. Volgens de regionale publieke omroep SWR, worden de betrokken computers inmiddels geleidelijk weer op het netwerk aangesloten.

HagaZiekenhuis gaat in beroep tegen AVG-boete. AP spreekt van zorgelijke situatie

Het HagaZiekenhuis in Den Haag tekent protest aan tegen de hoge boete van 460.000 Euro die de Autoriteit Persoonsgegevens (AP) heeft opgelegd. Het ziekenhuis kreeg de boete omdat medewerkers onbevoegd in het medisch dossier van tv-ster Samantha de Jong (Barbie) hadden gekeken. Zij was er opgenomen na een zelfmoordpoging.

Volgens voorzitter Aleid Wolfsen van de Autoriteit Persoonsgegevens blijkt uit onderzoek naar de manier van werken in het Haagse ziekenhuis dat de beveiliging van medische gegevens nog steeds niet op orde is. ,,Wat we hebben aangetroffen is een zeer zorgelijke situatie”, zegt Wolfsen tegen EenVandaag. ,,De beveiliging is echt onder de maat. Er wordt niet goed gecontroleerd, mensen kunnen te gemakkelijk bij die medische dossiers.”

Directievoorzitter Carla van de Wiel van het ziekenhuis zegt het zuur te vinden dat het geld nu niet aan patiëntenzorg kan worden besteed. Zij zegt er in een schriftelijke verklaring alles aan te doen om de dwangsom te vermijden van nog eens vele duizenden euro’s waarmee de Autoriteit Persoonsgegevens (AP) dreigt als het ziekenhuis niet binnen korte tijd er voor zorgt dat persoonsgegevens van patiënten beveiligd worden zoals is vastgelegd in de privacywet.

Het ziekenhuis heeft maar liefst 85 ziekenhuismedewerkers bestraft voor het neuzen in het medische dossier van Barbie.

Het ziekenhuis zegt nu de interne beveiliging van patiëntendossiers verder aan te scherpen. Dat is hard nodig, want twee van de in totaal zes onderdelen worden als niet afdoende beoordeeld door de Autoriteit Persoonsgegevens.

Wat er onder meer ontbrak aan de eigen beveiligingsregels was dat er in veel gevallen al ingelogd kon worden met gebruik van enkel gebruikersnaam en wachtwoord.

Eigenlijk zou je pas toegang tot de dossiers moeten krijgen na invoering van gebruikersnaam, wachtwoord én controle van personeelspas en pincode.

Wie met gebruikersnaam en wachtwoord inlogde had bovendien vier uur toegang tot bepaalde gegevens. De bedoeling is dat er in die tijd vaker opnieuw ingelogd moet worden en ook dat de controle op het inloggen vaker moet plaatsvinden.

Het HagaZiekenhuis zegt de nu nog ontbrekende extra controle op het inloggen van medewerkers in dossiers voor oktober aangescherpt te hebben.

Die deadline is ook nodig om te voorkomen dat er bovenop de boete nog een dwangsom moet worden betaald die kan oplopen tot nog eens vele duizenden euro’s.

Autoriteit Persoonsgegevens deelt eerste forse boete uit wegens overtreding AVG

De Autoriteit Persoonsgegevens (AP) heeft het HagaZiekenhuis in Den Haag een boete van 460.000 euro opgelegd wegens schending vam de Algemene Verordening Gegevensbescherming (AVG). Het is de eerste boete die sinds de invoering van de wet op 25 mei 2018 in Nederland is opgelegd.

De boete kan nog met maximaal 300.000 euro verhoogd worden.

Het Haagse ziekenhuis kwam eerder dit jaar in opspraak toen bleek dat 85 medewerkers het patiëntendossier hadden ingezien van Samantha de Jong, bekend als realityster Barbie.

De Autoriteit Persoonsgegevens concludeert nu dat de beveiliging van de medische dossiers van het HagaZiekenhuis niet op orde is.

Het HagaZiekenhuis krijgt tot 2 oktober om de interne beveiliging te verbeteren. Lukt dat niet, dan moet het ziekenhuis elke twee weken nog eens 100.000 euro betalen, tot een maximum van 300.000 euro.

De boete die de Nederlandse AP nu heeft opgelegd is vergelijkbaar met de boete die de Portugese Autoriteit Persoonsgegevens vorig jaar op heeft gelegd aan het Centro Hospitalar Barreiro Montijo ziekenhuis in de buurt van Lissabon. Dit ziekenhuis kreeg een boete van 400.000 euro wegens onzorgvuldig omgaan met patiëntengegevens.

Het ziekenhuis heeft inmiddels stappen gezet om herhaling te voorkomen. Personeel wordt getraind om gedrag van collega’s, patiënten en bezoekers die de privacy in gevaar brengen te herkennen.

De AP bevestigt dat dit de eerste keer is dat een Nederlandse instantie een boete krijgt onder de AVG, die sinds mei vorig jaar in werking is.

De boete die in november werd uitgedeeld voor een zaak rond taxistartup Uber werd nog afgehandeld onder de oude Nederlandse privacyregels. “Dit is de eerste volledige AVG zaak”, bevestigt een woordvoerder.

Amazon bekent dat Alexa zelfs gegevens opslaat die je denkt te hebben verwijderd

Amazon overtreedt de Amerikaanse en Europese privacywetgeving op grove wijze. En dat heeft het bedrijf nu ook zelf toegegeven.

Amazon heeft bijvoorbeeld bekend dat zijn spraakassistent Alexa zelfs logs opslaat die je al verwijderd hebt.

Dit deed Amazon naar aanleiding van een brief van de Amerikaanse senator Chris Coons. Hij informeerde naar het privacybeleid van het bedrijf.

Amazon antwoordde dat het bedrijf sommige gegevens voor onbepaalde tijd bewaart. Plus, ze worden gedeeld met derden. En Alexa zit daar als een spil middenin.

Gesprekken die door Alexa worden opgenomen worden niet alleen door medewerkers van Amazon beluisterd, maar ook getranscribeerd en opgeslagen. Dat was sinds april 2019 al bekend geworden. En dat zorgde al voor veel ophef.

Maar daar houdt het nog niet op, blijkt nu. De duizenden medewerkers van Amazon die gesprekken via de spraakassistent kunnen volgen, kunnen ook locatiegegevens opvragen.

De Amerikaanse senator Chris Coons werd dat allemaal te veel. Hij wilde weten wat Amazon nog meer met de gegevens deed.

Coons informeerden bij het bedrijf naar de duur van de gegevensopslag. “We bewaren de stemopnames en transcripten van klanten tot de gebruiker ze verwijdert’, antwoordt Amazon. “Gegevens kunnen worden opgeslagen in een apart opslagsysteem.”

Maar in mei, na een CNET-onderzoek, kwam Amazon erachter dat Alexa gegevens als transcript blijft opslaan, zelfs als de gebruiker het audiobestand heeft verwijderd.

Alles voor prestaties

Met het oog op redelijk functioneren van Alexa kan volgens Amazon elke transactie of routinematig geplande activiteit die een gebruiker met zijn apparaat uitvoert, worden geregistreerd. Dus zelfs als u alle opnames van Alexa verwijdert, kan Amazon sommige gegevens bewaren – zogenaamd om de volledige functionaliteit van Alexa te garanderen.

Privacywet heeft geen effect. ‘123456’ nog steeds populairste wachtwoord

Wachtwoorden verzinnen en herinneren is voor veel mensen een drama. Zodra je denkt dat je het veiligste wachtwoord aller tijden hebt gevonden, verschijnt de waarschuwing: Het is te kort, bevat geen speciaal teken, er ontbreekt een nummer.

Veel mensen worden gek van die meldingen. Ze ergeren zich er mateloos aan. Negeren vervolgens 1, 2, 3 alle waarschuwingen voor cybercrime en gebruiken gewoon een standaard gemakkelijk te onthouden – en te kraken – wachtwoord. Onder het mom van: ‘dat zien we dan wel weer’ of – tegen beter weten in – ‘ik heb niets te verbergen’.

Een jaar na de invoering van de privacywet lijken alle awareness campagnes vrijwel geen impact te hebben gehad. Het British National Cybersecurity Center (NCSC) heeft een lijst met de 100.000 populairste wachtwoorden gepubliceerd, gebruikmakend van gegevens van wereldwijde gegevenshacks.

Hoor jij bij de risicogroep?

Het wachtwoord “123456” leidt de lijst. De combinatie van cijfers kwam 23 miljoen keer voor in de verzamelde gegevens.

De tweede plaats gaat naar de creatieve uitbreiding: “123456789”.

Ook populair, en bijzonder gemakkelijk te onthouden, is het wachtwoord van 3,6 miljoen mensen: “wachtwoord”.

Opvallend waren ook de namen van verschillende muziekgroepen zoals “Blink 182”, “50cent” en “Eminem”.

Superman en Batman zijn populairder onder superhelden dan Spiderman.

Romantiek wordt van plaats 14 met “iloveyou” – even later volgen “prinses”, “kusme”, “onelove” en “titanic”.

De onderzoekers ontdekten ook dat namen allesbehalve geschikt zijn. “Ashley’ is de meest voorkomende vrouwelijke voornaam, terwijl ‘Michael’ triomfeert in de mannelijke wachtwoord variant. Ik ben benieuwd naar de Nederlandse voornamen die populair zijn als wachtwoord.

Voor het onderzoek werkte de Britse organisatie samen met de Australische cyberbeveiligingsexpert Troy Hunt, bekend van de website “Have I Been Pwned? Zo kunnen gebruikers testen of hun e-mailadres in verband met datalekken wordt weergegeven.

Awareness waarschuwing

Staat jouw wachtwoord in de hitlijst van cybercriminelen? Wordt dan eindelijk wakker. Houd je zelf niet langer voor de gek. Je laat de sleutel van je huis, fiets of auto toch ook niet gewoon in het slot zitten? Zorg eindelijk eens voor dat je onveilige wachtwoorden vervangen worden door veilige inloggegevens. Liefst ook double optin. Moeilijk? Welnee. Gebruik goede wachtwoord management software als ‘Last Pass’ of ‘Bitwarden’. Dan wordt het verzinnen en onthouden van moeilijke wachtwoorden een fluitje van een cent.

Facebook CEO Marc Zuckerberg zou in Amerika 20 jaar celstraf moeten krijgen vanwege datalekken

Facebook-CEO Marc Zuckerberg draait als het aan de Amerikaanse Democratische senator Ron Wyden ligt 20 jaar de gevangenis in wegens de vele datalekken waarvoor zijn bedrijf verantwoordelijk is.

Wyden komt met een voorstel om hoge gevangenisstraffen voor het management vast te leggen in de Consumer Data Protection Act.

Wyden komt met zijn wetsvoorstel in reactie op vragen uit de Amerikaanse samenleving. In het hele land worden groepsacties georganiseerd door mensen die vinden dat het onbegrijpelijk is dat bedrijven als Über, Google en Facebook op boetes na nauwelijks aangepakt worden.

Wyden loopt al jarenlang voorop bij de aanpak van cybersecurity en privacykwesties in de Verenigde Staten. Hij presenteerde zijn wetsvoorstel donderdag 8 november 2018. Er moeten volgens hem veel zwaardere sancties komen.

Consumer Data Protection Act alleen van toepassing voor grote bedrijven

De Consumer Data Protection Actzou alleen van toepassing zijn voor bedrijven die meer dan $50 miljoen omzet maken en persoonlijke informatie over meer dan 1 miljoen mensen hebben.

In het wetsontwerp wordt aanbevolen om de mogelijkheden van de Federal Trade Commission om schendingen van de privacy af te dwingen, te versterken.

Jaarlijks rapport over gegevensbescherming

De Consumer Data Protection Act eist ookdat bedrijven een jaarlijks rapport over gegevensbescherming moeten indienen. Vergelijkbaar met hoe bedrijven zoals Google en Apple vrijwillig transparantieverslagen over overheidseisen vrijgeven.

Het rapport zou moeten worden ondertekend door CEO’s, die tot 20 jaar gevangenisstraf zouden kunnen krijgen als ze tegen de FTC liegen.

Nationale Do-Not-Track site

Het wetsontwerp van Wyden introduceert ook een nationale “Do No Track” website, die een centrale pagina zou creëren voor Amerikanen om zich uit te schrijven voor het delen van gegevens via het internet.

Op dit moment, als u zich wilt afmelden voor het bijhouden van gegevens, moet iedereen dit zelf doen op elke individuele website waarvoor je je hebt aangemeld.

Apple voorstander van de nieuwe wet

Tim Cook, CEO van Apple, is voorstander van strenge privacywetgeving. Hij pleit voor een federale wet op de privacy van gegevens, met als argument dat privacy een “fundamenteel mensenrecht” is.

Google, Facebook en Amazon hebben andere ideeen over privacybescherming

Google, Facebook en Amazon hebben ook gezegd dat ze een federale wet op de privacy van gegevens ondersteunen, hoewel er een groot verschil is in wat technologiebedrijven willen en wat voorstanders van privacy willen.

Amerikaanse handelsorganisaties, zoals de Internet Association, hebben de technologiebedrijven gevraagd om vooruit te lopen op federale wetten van de Amerikaanse staat.

Verdeeldheid onder twee Autoriteiten Persoonsgegevens over uitleg AVG bij schoolfoto’s.

Schoolfoto’s en de AVG. Dat is een repeterende frustratie voor scholen, ouders en leerlingen.

Hele klassen staan sinds 25 mei 2018 net als criminelen vanwege de nieuwe Algemene Verordening Gegevensbescherming (AVG) met een zwarte balk voor hun gezicht op een klassenfoto.

Hoe pakken ze dat in de rest van Europa aan?

De Algemene Verordening Gegevensbescherming (AVG) is een Europese privacywet. De privacyregels worden geacht in de hele EU vrijwel gelijk te zijn.

De nationale Autoriteiten Persoonsgegevens werken nauw samen. Dan zou je toch ook eenduidige uitleg van de regels mogen verwachten.

Helemaal als er in één land meerdere toezichthouders zijn, zoals in Duitsland.

De Duitsers hebben een nationale Autoriteit Persoonsgegevens en daarnaast ook nog een toezichthouder per bondstaat. In totaal telt Duitsland zo 18 toezichthouders.

De schoolfotokwestie leeft ook in Duitsland.

Bij veel Duitse scholen wordt net als in Nederland een keer per jaar een externe professionele schoolfotograaf gevraagd om klassenfoto’s en leerlingenfoto’s te maken.

Waarmee moeten scholen sinds de invoering van de AVG rekening houden bij het inhuren van een externe fotograaf?

In het kader van de AVG is het van belang om te weten of de school opdrachtgever is of alleen toestemming geeft voor het maken van schoolfoto’s.

In de meeste gevallen geeft de school alleen toestemming. En dat maakt een wezenlijk verschil voor de AVG.

Als de school alleen toestemming geeft, is er geen contractuele relatie tussen de school en de fotograaf.

In dat geval betreft het alleen een overeenkomst van de fotograaf met leerlingen en ouders en staat de school er qua AVG volkomen buiten.

Maar als de school wel zelf rechtstreeks aan de fotograaf opdracht geeft voor het maken van de klassenfoto’s ligt de zaak anders. In dat geval moet er volgens de AVG door de school een verwerkingsovereenkomst afgesloten worden met de fotograaf.

Het Unabhängige Landeszentrum für Datenschutz, ULD (de toezichthoudende autoriteit voor gegevensbescherming in de Duitse deelstaat Sleeswijk-Holstein) gaat bij schoolfoto’s van het eerste scenario uit. Het is een zaak tussen de ouders en /of leerlingen en de fotograaf. Een verwerkingsovereenkomst is volgens de ULD niet nodig.

Zelfs als de school de fotografielijsten, adressen enz. van tevoren opstuurt, is er volgens de ULD nog geen verwerkingsovereenkomst nodig.

Deze visie lijkt logisch, want de focus van de gegevensverwerking van de fotograaf ligt niet op de verwerking van de gegevens, maar op de onafhankelijke creatie en verwerking van de foto’s, die hij onder zijn eigen verantwoordelijkheid maakt.

De onafhankelijke selectie van beelden en de artistieke vrijheid van de fotograaf duiden er ook op dat er geen sprake is van de verwerking van een opdracht van de school, meent de ULD van Sleeswijk-Holstein.

Voor de overdracht van de klassenlijsten en andere gegevens aan de fotograaf is bovendien altijd de voorafgaande toestemming van de ouder of voogd vereist.

Toezichthouder in Beieren vindt dat de school wel opdrachtgever is

De Beierse staatscommissaris voor gegevensbescherming, de autoriteit die verantwoordelijk is voor de publieke sector in de Duitse deelstaat Beieren, is een heel andere mening toegedaan. Er moet volgens de Beierse toezichthouder wel van worden uitgegaan dat de foto‘s in opdracht van de school worden gemaakt.

De school is volgens de Beierse Autoriteit Persoonsgegevens de verantwoordelijke persoon in de bovenstaande constellatie en moet een schriftelijk contract afsluiten met de fotograaf dat voldoet aan de eisen van Art. 28 (3) AVG.

Bovendien moet de school zich ervan vergewissen dat de gekozen fotograaf ervoor kan zorgen dat de verwerking van de persoonsgegevens van de leerlingen alleen in overeenstemming met de AGV wordt uitgevoerd.

Juridisch betekent dit dat de voor de verwerking verantwoordelijke alleen mag werken met verwerkers die voldoende garanties bieden dat passende technische en organisatorische maatregelen worden genomen om ervoor te zorgen dat de verwerking wordt uitgevoerd in overeenstemming met de eisen van deze verordening en dat de rechten van de betrokkene worden beschermd.

Twee toezichthouders, twee verschillende meningen

De toezichthouders in Sleeswijk-Holstein in Noord-Duitsland en Beieren in Zuid-Duitsland geven kortom ieder een andere uitleg aan de AVG. En dat is verwarrend voor buitenstaanders als scholen, ouders, leerlingen en fotografen. Die willen eenduidige uitleg van regels.

Voor beide intrepretaties valt iets te zeggen. Die van Sleeswijk-Holstein zal bij de meeste mensen de voorkeur hebben. Maar als de Beierse uitleg de definitieve uitleg is valt daar ook mee te leven. Dan is er tenminste duidelijkheid.

Wat vindt de Nederlandse Autoriteit Persoonsgegevens?

De Nederlandse Autoriteit Persoonsgegevens lijkt op de lijn van de Beierse toezichthouder te zitten. De Nederlandse AP raadt scholen aan om aan het begin van het schooljaar bij alle ouders en leerlingen vanaf 16 jaar te vragen waarvoor zij toestemming geven: wel of niet op klassenfoto’s, wel of niet op beelden op de website, wel of niet met naam in de krant als je geslaagd bent, etc.

Kortom: er is verdeeldheid in Europa tussen de verschillende toezichthouders. Het is zaak dat de Europese toezichthouders de rijen sluiten.

Welke leerlingen mogen gefotografeerd worden?

Terug naar de foto’s en de leerlingen. Welke leerlingen mogen überhaupt gefotografeerd worden?

Hier is het heel eenvoudig en iedereen is het daarmee eens: alleen leerlingen die (of hun wettelijke voogd) toestemming hebben gegeven aan de school om de foto’s te maken, mogen gefotografeerd worden.

Art. 7 AVG regelt de voorwaarden voor toestemming. De belangrijkste kenmerken zijn dat de toestemming moet worden gevraagd en dat die vrijwillig moet zijn gegeven. Met andere woorden, het moet duidelijk zijn voor welk specifiek doel de foto’s worden genomen, in welke vorm en hoe lang ze worden opgeslagen, wie er toegang toe heeft en aan wie ze mogen worden doorgegeven.

Ook mag een verwijzing naar de regel dat de toestemming te allen tijde kan worden ingetrokken, niet ontbreken.

Onherkenbaar maken niet nodig als één leerling toestemming intrekt

Maar wat gebeurt er dan als achteraf één van de leerlingen op de klassenfoto zijn toestemming intrekt? Moeten alle foto’s dan worden vernietigd? Moeten er gezichten worden zwart gemaakt?

Nee! Dat is niet nodig.

De herroeping heeft geen invloed op de foto’s die vóór de herroeping zijn gemaakt, maar is alleen van kracht voor de toekomst.

De meerderheid van de gefotografeerde leerlingen is waarschijnlijk minderjarig, dus hun ouders of voogden moeten hun toestemming geven.

Voor jongeren ouder dan 14 jaar moeten ook de jongeren zelf toestemming geven.

15 onafhankelijke Europese privacydeskundigen onderzoeken handelspraktijken van Amazon, Ebay, Google en Facebook

Grote internetbedrijven als Amazon, Facebook, Ebay, Google en Microsoft worden volgens de Europese Commissie sinds donderdag nauwlettend gevolgd door onafhankelijke Europese privacydeskundigen.

Doel van het onderzoek is bijvoorbeeld om de criteria te bepalen op basis waarvan aanbiedingen op de eerste plaatsen in een online zoekopdracht verschijnen.

Daarnaast moet worden nagegaan of bedrijven als Google en Amazon hun eigen producten bevoordelen, hoe zij omgaan met persoonsgegevens en of de reclame op transparante wijze wordt geëtiketteerd.

Europese Commissie

De Europese Commissie kondigde in april aan dat zij bedrijven zou dwingen om te voldoen aan de nieuwe Europese privacyregelgeving en zou toezien op eerlijker voorwaarden voor Europese leveranciers.

“Platforms en zoekmachines zijn belangrijke kanalen voor Europese bedrijven om consumenten te bereiken”, aldus Mariya Gabriel, commissaris voor digitale zaken, destijds. “Maar we moeten ervoor zorgen dat ze geen misbruik maken van hun macht om hun professionele gebruikers te schaden.”

Op basis van het advies van de deskundige zal binnen drie jaar worden onderzocht of verdere maatregelen nodig zijn.