Privacy Nieuws
De politie in de Duitse deelstaat Noordrijn-Westfalen heeft in 2019 tijdens een strategische klopjacht op inbrekers de privacywet overtreden. De politie controleerde en registreerde duizenden passanten.
Staatscommissaris Helga Block van gegevensbescherming in Noordrijn-Westfalen, noemt in haar jaarverslag over 2019 de werkwijze van de politie “catastrofaal voor de gegevensbescherming”.
Gedurende enkele weken werden in een bepaald gebied in totaal meer dan 5000 mensen en meer dan 2000 voertuigen gecontroleerd. De gegevens van duizenden waren zonder enige reden door de politie verwerkt.
Het resultaat van de klopjacht was ontnuchterend: er is geen enkele concrete aanwijzing voor een geplande of gepleegde inbraak gevonden. Een preventieve werking kon ook niet worden vastgesteld.
Toch werd er in december 2019 al 44 keer een strategische zoektocht gehouden in Noordrijn-Westfalen. De politie beroept zich op een omstreden nieuwe politiewet die de strategische zoektocht toe zou staan. Daar is de toezichthouder het dus niet mee eens.
51.24234726.7820497
Privacy Nieuws
De Belgische gegevensbeschermingsautoriteit (DPA) heeft een onderneming 50.000 Euro boete opgelegd omdat zij het hoofd van de afdeling Compliance, Audit en Risk heeft aangesteld als Data Protection Officer (DPO).
Volgens de Belgische gegevensbeschermingsautoriteit kan er geen twijfel over bestaan dat “de combinatie van de rol van DPO met die van hoofd van een afdeling die aan het toezicht van de DPO is onderworpen, de DPO ervan weerhoudt onafhankelijk te handelen.”
De uitspraak van de Belgische toezichthouder betekent dat het schier onmogelijk wordt om de rol van DPO te combineren met enige andere functie binnen een organisatie.
Als de DPO te hoog in de organisatie zit kan de gegevensbeschermingsautoriteit beweren dat hij/zij ook beslist over het doel en de middelen.
Als de DPO op een te operationeel niveau zit zou de gegevensbeschermingsautoriteit kunnen beweren dat hij/zij te veel betrokken is bij de eigenlijke verwerkingsactiviteiten (en dat hij/zij niet in staat is om rechtstreeks aan het hogere management te rapporteren).
Een oplossing voor dit probleem die steeds meer terrein wint is het zogenaamde accountantsmodel: intern een stevige Privacy Office met extern een toetsende en adviserende DPO.
AVG Corona, Privacy Nieuws
De Autoriteit Persoonsgegevens (AP) geeft overheden en bedrijven tijdens de coronacrisis ruimte om zich te concentreren op de bestrijding van corona. Zo krijgen organisaties waar nodig meer tijd om te reageren op vragen van de AP en geeft de AP initiatieven om de volksgezondheid te beschermen ruim baan. Maar de toezichthouder blijft ingrijpen waar privacy echt in gevaar is.
‘Privacy is heel belangrijk. Maar in deze crisis is de bestrijding van het virus en het redden van levens de topprioriteit’, zegt AP-voorzitter Aleid Wolfsen.
‘En op nummer twee staat het voorkomen van grote schade aan economie en maatschappij. Overheden en ziekenhuizen zijn dag en nacht in touw om te zorgen dat burgers en patiënten veilig zijn. Bedrijven zijn bezig te overleven en te zorgen dat zij banen kunnen behouden voor al hun mensen.
Daar gaan wij niet bij staan met onze vinger omhoog en de privacywetgeving onder de arm. Nederland zet de schouders eronder en wij werken en denken mee.’
Ruimte voor bestrijden crisis
De AP zal organisaties nu ruimte geven om hun volledige aandacht te besteden aan het bestrijden van de gevolgen van de coronacrisis.
Deadlines voor het aanleveren van informatie aan de toezichthouder worden opgerekt waar nodig en de AP zal de komende tijd per geval goed kijken wat passend is en wat niet.
‘Verder geven wij ruim baan aan de broodnodige initiatieven om de capaciteit van de zorg op niveau te krijgen’, zegt Wolfsen. ‘Zo klopte een zorgorganisatie bij ons aan met een plan om mensen die tot een paar jaar geleden in de zorg werkten, te benaderen om hen tijdelijk weer als arts of verpleegkundige in te zetten.
Dat lieten ze door een tussenpersoon doen en ze vroegen zich af of dit wel mag. Wij hebben meegedacht over een goede oplossing. Privacy moet goede zorg nooit in de weg zitten, zeker nu niet.’
Dat geldt ook voor het contact tussen artsen en patiënten. Wolfsen: ‘Wij krijgen vragen van huisartsen die noodzakelijke gesprekken moeten voeren met hun patiënten, maar die patiënten komen nu liever niet langs.
Veel zorgorganisaties hebben een manier om beveiligd te beeldbellen, maar sommige niet. Wij zeggen: gebruik als het echt niet anders kan consumentenapps als FaceTime of Skype. Maar wees daarbij voorzichtig: doe het alleen bij hoge uitzondering en deel via die apps zo min mogelijk gevoelige gegevens.’
‘Geen big brother-maatschappij’
Privacy blijft heel belangrijk, vindt de AP. ‘We moeten blijven opletten’, zegt Wolfsen. ‘De coronacrisis mag geen excuus worden om de privacy helemaal overboord te gooien. De crisis mag geen opmaat worden naar een big brother-maatschappij.
Het zou doodzonde zijn als we over een jaar terugkijken en zien dat we alles ongedaan hebben gemaakt wat wij op het gebied van privacy in tientallen jaren hebben opgebouwd.
De AP is er als hoeder van het grondrecht op privacy en zal ook in deze tijden ingrijpen wanneer de privacy echt in gevaar is. Daar heeft de burger recht op. Zodat iedereen straks als vrij burger in een vrij land weer vrij kan leven.’
Privacy Nieuws
De staatscommissaris voor gegevensbescherming (TLfDI) in de Duitse deelstaat Thüringen, Dr. Lutz Hasse, zegt dat naambordjes in flats wel degelijk onder de AVG vallen. Daarmee weerspreekt hij zijn collega in Beieren die de hele discussie en ophef over de naambordjes en de AVG “onzin” noemde.
Volgens de Beierse toezichthouder hebben de naambordjes niets van doen met een geautomatiseerd proces en vallen ze daarom niet onder de AVG. Punt. Einde discussie zou je dan denken.
Maar de toezichthouder in Thüringen zegt dat overeenkomstig artikel 2, lid 1, de wet ook van toepassing is op de niet-geautomatiseerde verwerking van persoonsgegevens die in een bestandssysteem zijn of worden opgeslagen.
Waar draait deze kwestie om? In Duitse en Oostenrijkse media ontstond de afgelopen week veel ophef over het besluit van een woningcorporatie in Wenen om ruim 200.000 naambordjes in portieken van flats en appartementen te verwijderen vanwege de AVG. Op social media werd al snel over de idioterie van de Europese privacywet geschreven.
.
“De vraag is of de naambordjes onderdeel zijn van een bestand”, zegt Dr. Lutz Hasse. En volgens hem is dat zeer waarschijnlijk het geval als de bordjes door de verhuurder worden geplaatst.
Die moet dan immers een planning maken voor het plaatsen, opdracht geven voor het maken van de bordjes en namenlijsten maken voor de huismeester die de bordjes moet plaatsen.
Kortom, de bordjes zijn volgens dr. Lutz wel onderdeel van een bestand.
Moeten alle naambordjes dan toch verwijderd worden?
Dr. Lutz: “Nee, nee, nee!”
Mooi, toch niets aan de hand, denk je dan. Inderdaad ophef om niets. De toezichthouder in Beieren heeft gelijk. Maar helaas… Dr. Lutz zorgt er vervolgens voor dat de naambordjes toch nog voor administratieve AVG-rompslomp kunnen gaan zorgen.
Er moet wel toestemming gevraagd worden
“Plaatsing van de naambordjes is toegestaan indien de betrokkene daarmee heeft ingestemd, instemt met het oog op de toekomst of indien er een andere rechtsgrondslag is (artikel 6, lid 1, AVG)”, zegt dr. Lutz meteen na zijn driewerf nee.
Kortom: volgens de toezichthouder van Thüringen moeten verhuurders al hun huurders nog schriftelijk om toestemming vragen voor de naambordjes.
Hoe kunnen verhuurders aan de AVG voldoen?
Er zijn volgens dr. Lutz onder andere de volgende mogelijkheden om namen op belplaten en brievenbussen op een wettelijk verantwoorde wijze te publiceren:
“De DS-GVO (Duitse afkorting voor de AVG) zorgt voor informatieve zelfbeschikking en biedt ook passende oplossingen voor de Klingelschilder-zaak”, zegt Dr. Lutz Hasse. Hij besluit zijn uitleg opmerkelijk vrolijk met: “en ik ben blij dat de AVG bestaat!”
De verschillen in interpretatie van dezelfde Europese wet door verschillende toezichthouders bewerkstelligt dat waar de Beierse Autoriteit Persoonsgegevens juist voor vreest. Er ontstaat negatieve publiciteit en ophef. Er is veel onduidelijkheid. Daardoor onzekerheid. En daardoor kunnen tegenstanders de Europese privacywet eenvoudig in een kwaad daglicht plaatsen.
Teveel interpretaties mogelijk met de AVG
Er zijn teveel interpretaties mogelijk. Iedere nationale toezichthouder wil zijn eigen stempel drukken. In ieder land spelen andere invalshoeken.
In sommige landen, zoals Duitsland en Frankrijk zijn er naast een nationale Autoriteit Persoonsgegevens ook nog verschillende regionale toezichthouders. In Duitsland zijn er in totaal 18 toezichthouders. Iedere deelstaat heeft een eigen toezichthouder en een eigen site. Dat is vragen om problemen en kritiek.
Privacy Nieuws
De Ierse privacytoezichthouder DPC stelt een onderzoek in naar Twitter. Dit in verband met de weigering van het bedrijf om de Britse onderzoeker Michael Veal informatie te verstrekken over hoe het hem volgt wanneer hij op verkorte links in tweets klikt.
Twitter is op basis van de Algemene Verordening Gegevensbescherming (AVG / GDPR) verplicht om die gegevens binnen een maand te verstrekken.
Als Twitter gebruikers links in tweets plaatsen, past de dienst zijn eigen link-shortening service, t.co, op hen toe.
Twitter zegt dat dit het platform in staat stelt om te meten hoe vaak er op een link is geklikt, en helpt het om de verspreiding van malware tegen te gaan door middel van dodgy links.
Welke informatie verzamelt Twitter via de verkorte links?
Privacy onderzoeker Michael Veale, die werkt aan het University College London, vermoedt dat Twitter meer informatie krijgt als mensen op t.co links klikken. En dat Twitter dankzij de url-verkorters mensen kan volgen terwijl ze op het web surfen, door cookies in hun browsers achter te laten.
Veale vroeg meteen nadat de Europese privacyverordening op 25 mei 2018 van kracht werd Twitter om hem alle persoonsgegevens te verstrekken die het social media bedrijf over hem in zijn bezit heeft.
Twitter weigerde de gegevens echter te verdtrekken.
In augustus diende Veale een klacht in bij de Ierse Commissie voor gegevensbescherming (DPC), die hem donderdag vertelde dat zij een onderzoek opende.
Zoals gebruikelijk is bij grote technische bedrijven, zijn de Europese activiteiten van Twitter gevestigd in Dublin, vandaar dat Veale klaagde in Ierland.
Ierse toezichthouder DPC bevestigt onderzoek naar Twitter
“DPC heeft een formeel statutair onderzoek met betrekking tot uw klacht in werking gesteld”, schreef de Ierse waakhond in een brief aan Veale. “In het onderzoek zal worden onderzocht of Twitter al dan niet heeft voldaan aan zijn verplichtingen in verband met het onderwerp van uw klacht en zal worden vastgesteld of de bepalingen van de GDPR of de [Ierse Wet Bescherming Persoonsgegevens] in dit opzicht door Twitter zijn overtreden”.
De toezichthouder zei ook dat de klacht waarschijnlijk zal worden behandeld door de nieuwe Europese gegevensbeschermingsraad, een orgaan dat de nationale gegevensbeschermingsautoriteiten helpt bij het coördineren van hun inspanningen op het gebied van de handhaving van het GDPR, aangezien de klacht van Veale “grensoverschrijdende verwerking met zich meebrengt”.
Twitter zegt dat verstrekken informatie onevenredige inspanning vergt
Twitter onderbouwde de weigering om de gegevens die verzameld worden via tracking door t.co door te verwijzen naar “disproportionele inspanning” gronden in de GDPR. Bedrijven hoeven geen buitenproprtionele inspanningen te verrichten om gegevens te verstrekken.
Volgens Veale intrepreteert Twitter de tekst van de privacywet verkeerd. De vrijstelling kan volgens hem niet worden gebruikt om zogenaamde toegangsverzoeken, zoals hij indiende, te beperken.
Dit lijkt het eerste GDPR-onderzoek te zijn dat in verband met Twitter wordt geopend.
Veale heeft onlangs een soortgelijk onderzoek naar Facebook op gang gebracht, opnieuw in verband met een weigering om gegevens over de webbrowseractiviteiten van gebruikers over te dragen, maar Facebook (fb) was al het onderwerp van meerdere GDPR-onderzoeken.
De Britse onderzoeker zei dat Twitter zeker de tijden registreert waarop gebruikers op links klikken en waarschijnlijk ook informatie over de soorten apparaten die ze gebruiken.
Volgens Veale is het technisch mogelijk voor Twitter om de ruwe locatie van de gebruiker te bepalen. In het privacystatement van Twitter staat dat adverteerders IP-adressen kunnen verzamelen wanneer mensen op hun links klikken. Maar het is onduidelijk wat Twitter doet met de informatie die het via zijn t.co service oogst. Gebruikers hebben volgens de AVG het recht om dat te weten.
Als wordt vastgesteld dat bedrijven de voorwaarden van de GDPR overtreden, worden zij geconfronteerd met boetes tot 20 miljoen euro (23,2 miljoen dollar) of tot 4% van de wereldwijde jaarlijkse inkomsten, afhankelijk van wat het hoogste is. De opbrengsten van 2017 van de tjilpen bedroegen $2.4 miljard, zodat kon een boete GDPR in theorie aan $96 miljoen voor het bedrijf lopen-alhoewel dit Ierse DPC zou vereisen om te beslissen de inbreuk bijzonder flagrant was.
Twitter had op het moment van schrijven niet gereageerd op verzoeken om commentaar.
Privacy Nieuws
Google is sinds maart 2018 op de hoogte van een groot datalek in Google Plus, meldt The Wall Street Journal. In plaats van hiervan melding te maken, werd de fout door Google bewust verzwegen, blijkt uit een intern memo.
Privédata van honderdduizenden gebruikers van het sociale netwerk Google Plus Google lagen door een lek in de software jarenlang voor het oprapen.
Curieus is dat toen Google het datalek ontdekte de hele wereld net in de ban was van het Cambridge Analytica schandaal van Facebook.
Google zou het datalek hebben verzwegen uit angst voor reputatieschade en onderzoek door toezichthouders, onthult The Wallstreet Journal op basis van anonieme bronnen en een intern memo.
Datalek Google Plus bestaat al sinds 2015
Het datalek zou afgelopen maart zijn ontdekt door Google en al sinds 2015 openstaan. Via het lek zou het mogelijk zijn geweest voor externe ontwikkelaars om privédata van honderdduizenden gebruikers te bemachtigen.
Het zou gaan om onder meer volledige namen, e-mailadressen, geboortedata, woonplaatsen en profielfoto’s. Telefoonnummers en privéberichten van het sociale netwerk zouden wel afgeschermd zijn geweest.
Google-ceo Sundar Pichai was op de hoogte
Na de ontdekking verscheen de bewuste interne memo volgens de krant op het bureau van Google-ceo Sundar Pichai. Daarin stond dat een interne commissie van juridische medewerkers had bepaald om het voorval niet te melden.
De reden zou zijn dat er geen bewijs was dat externe ontwikkelaars de gegevens ook daadwerkelijk zou hebben misbruikt.
Google Plus wordt stopgezet
Maandagavond 8 oktober maakte Google pas in een reactie bekend dat het stappen onderneemt. In een uitgebreide blogpost, wordt aangekondigd dat het consumentengedeelte van Google Plus zal worden stopgezet.
Timing van Google blogpost is opvallend
De timing van de blogpost van Google is opvallend. Exact 24 uur voordat Google tijdens een Made by Google-evenement veel nieuwe gadgets tentoonstelt en daarmee de nieuwssites overspoelt.
Google Nederland maakte dinsdagochtend bijvoorbeeld bekend de Google Home speakers in Nederland uit te brengen. Dit nieuws werd prompt door radiobulletins opgepikt. Over de hack van Google Plus werd niets vermeld.
Google Plus bestaat sinds 2011 en moest concurreren met Facebook. Het sociale netwerk is ondanks verschillende pogingen van Google qua gebruikersaantallen nooit van de grond gekomen.
Privacy Nieuws
Schoolfoto’s en de AVG. Dat is een repeterende frustratie voor scholen, ouders en leerlingen.
Hele klassen staan sinds 25 mei 2018 net als criminelen vanwege de nieuwe Algemene Verordening Gegevensbescherming (AVG) met een zwarte balk voor hun gezicht op een klassenfoto.
Hoe pakken ze dat in de rest van Europa aan?
De Algemene Verordening Gegevensbescherming (AVG) is een Europese privacywet. De privacyregels worden geacht in de hele EU vrijwel gelijk te zijn.
De nationale Autoriteiten Persoonsgegevens werken nauw samen. Dan zou je toch ook eenduidige uitleg van de regels mogen verwachten.
Helemaal als er in één land meerdere toezichthouders zijn, zoals in Duitsland.
De Duitsers hebben een nationale Autoriteit Persoonsgegevens en daarnaast ook nog een toezichthouder per bondstaat. In totaal telt Duitsland zo 18 toezichthouders.
De schoolfotokwestie leeft ook in Duitsland.
Bij veel Duitse scholen wordt net als in Nederland een keer per jaar een externe professionele schoolfotograaf gevraagd om klassenfoto’s en leerlingenfoto’s te maken.
Waarmee moeten scholen sinds de invoering van de AVG rekening houden bij het inhuren van een externe fotograaf?
In het kader van de AVG is het van belang om te weten of de school opdrachtgever is of alleen toestemming geeft voor het maken van schoolfoto’s.
In de meeste gevallen geeft de school alleen toestemming. En dat maakt een wezenlijk verschil voor de AVG.
Als de school alleen toestemming geeft, is er geen contractuele relatie tussen de school en de fotograaf.
In dat geval betreft het alleen een overeenkomst van de fotograaf met leerlingen en ouders en staat de school er qua AVG volkomen buiten.
Maar als de school wel zelf rechtstreeks aan de fotograaf opdracht geeft voor het maken van de klassenfoto’s ligt de zaak anders. In dat geval moet er volgens de AVG door de school een verwerkingsovereenkomst afgesloten worden met de fotograaf.
Het Unabhängige Landeszentrum für Datenschutz, ULD (de toezichthoudende autoriteit voor gegevensbescherming in de Duitse deelstaat Sleeswijk-Holstein) gaat bij schoolfoto’s van het eerste scenario uit. Het is een zaak tussen de ouders en /of leerlingen en de fotograaf. Een verwerkingsovereenkomst is volgens de ULD niet nodig.
Zelfs als de school de fotografielijsten, adressen enz. van tevoren opstuurt, is er volgens de ULD nog geen verwerkingsovereenkomst nodig.
Deze visie lijkt logisch, want de focus van de gegevensverwerking van de fotograaf ligt niet op de verwerking van de gegevens, maar op de onafhankelijke creatie en verwerking van de foto’s, die hij onder zijn eigen verantwoordelijkheid maakt.
De onafhankelijke selectie van beelden en de artistieke vrijheid van de fotograaf duiden er ook op dat er geen sprake is van de verwerking van een opdracht van de school, meent de ULD van Sleeswijk-Holstein.
Voor de overdracht van de klassenlijsten en andere gegevens aan de fotograaf is bovendien altijd de voorafgaande toestemming van de ouder of voogd vereist.
Toezichthouder in Beieren vindt dat de school wel opdrachtgever is
De Beierse staatscommissaris voor gegevensbescherming, de autoriteit die verantwoordelijk is voor de publieke sector in de Duitse deelstaat Beieren, is een heel andere mening toegedaan. Er moet volgens de Beierse toezichthouder wel van worden uitgegaan dat de foto‘s in opdracht van de school worden gemaakt.
De school is volgens de Beierse Autoriteit Persoonsgegevens de verantwoordelijke persoon in de bovenstaande constellatie en moet een schriftelijk contract afsluiten met de fotograaf dat voldoet aan de eisen van Art. 28 (3) AVG.
Bovendien moet de school zich ervan vergewissen dat de gekozen fotograaf ervoor kan zorgen dat de verwerking van de persoonsgegevens van de leerlingen alleen in overeenstemming met de AGV wordt uitgevoerd.
Juridisch betekent dit dat de voor de verwerking verantwoordelijke alleen mag werken met verwerkers die voldoende garanties bieden dat passende technische en organisatorische maatregelen worden genomen om ervoor te zorgen dat de verwerking wordt uitgevoerd in overeenstemming met de eisen van deze verordening en dat de rechten van de betrokkene worden beschermd.
Twee toezichthouders, twee verschillende meningen
De toezichthouders in Sleeswijk-Holstein in Noord-Duitsland en Beieren in Zuid-Duitsland geven kortom ieder een andere uitleg aan de AVG. En dat is verwarrend voor buitenstaanders als scholen, ouders, leerlingen en fotografen. Die willen eenduidige uitleg van regels.
Voor beide intrepretaties valt iets te zeggen. Die van Sleeswijk-Holstein zal bij de meeste mensen de voorkeur hebben. Maar als de Beierse uitleg de definitieve uitleg is valt daar ook mee te leven. Dan is er tenminste duidelijkheid.
Wat vindt de Nederlandse Autoriteit Persoonsgegevens?
De Nederlandse Autoriteit Persoonsgegevens lijkt op de lijn van de Beierse toezichthouder te zitten. De Nederlandse AP raadt scholen aan om aan het begin van het schooljaar bij alle ouders en leerlingen vanaf 16 jaar te vragen waarvoor zij toestemming geven: wel of niet op klassenfoto’s, wel of niet op beelden op de website, wel of niet met naam in de krant als je geslaagd bent, etc.
Kortom: er is verdeeldheid in Europa tussen de verschillende toezichthouders. Het is zaak dat de Europese toezichthouders de rijen sluiten.
Welke leerlingen mogen gefotografeerd worden?
Terug naar de foto’s en de leerlingen. Welke leerlingen mogen überhaupt gefotografeerd worden?
Hier is het heel eenvoudig en iedereen is het daarmee eens: alleen leerlingen die (of hun wettelijke voogd) toestemming hebben gegeven aan de school om de foto’s te maken, mogen gefotografeerd worden.
Art. 7 AVG regelt de voorwaarden voor toestemming. De belangrijkste kenmerken zijn dat de toestemming moet worden gevraagd en dat die vrijwillig moet zijn gegeven. Met andere woorden, het moet duidelijk zijn voor welk specifiek doel de foto’s worden genomen, in welke vorm en hoe lang ze worden opgeslagen, wie er toegang toe heeft en aan wie ze mogen worden doorgegeven.
Ook mag een verwijzing naar de regel dat de toestemming te allen tijde kan worden ingetrokken, niet ontbreken.
Onherkenbaar maken niet nodig als één leerling toestemming intrekt
Maar wat gebeurt er dan als achteraf één van de leerlingen op de klassenfoto zijn toestemming intrekt? Moeten alle foto’s dan worden vernietigd? Moeten er gezichten worden zwart gemaakt?
Nee! Dat is niet nodig.
De herroeping heeft geen invloed op de foto’s die vóór de herroeping zijn gemaakt, maar is alleen van kracht voor de toekomst.
De meerderheid van de gefotografeerde leerlingen is waarschijnlijk minderjarig, dus hun ouders of voogden moeten hun toestemming geven.
Voor jongeren ouder dan 14 jaar moeten ook de jongeren zelf toestemming geven.
Privacy Nieuws
Het Duitse Bundesgerichtshof (BGH) heeft geoordeeld (VI ZR 225/17) dat klanttevredenheidsonderzoeken per e-mail over het algemeen verboden zijn. De hoogste Duitse rechter verwijst daarbij naar de Europese privacywetgeving.
Wat betekent die Duitse uitspraak voor Nederlandse ondernemers?
De basisgedachte achter de Europese privacyregelgeving is dat in heel Europa in principe dezelfde privacyregels gelden.
Dat impliceert dat jurisprudentie die elders in de EU ontstaat ook impact zou kunnen hebben op uitspraken van Nederlandse rechters en de Autoriteit Persoonsgegevens in soortgelijke zaken.
Voorzitter Aleid Wolfsen van de Autoriteit Persoonsgegevens zegt dat Europese toezichthouders regelmatig bij elkaar komen om nieuwe toelichtingen op de wet uit te werken in zogenaamde guidelines (richtlijnen).
Het zou denkbaar kunnen zijn dat er een Europese richtlijn komt over klanttevredenheidsonderzoek.
Zo lang die er niet is is het interessant om de Duitse jurisprudentie over klanttevredenheidsonderzoek te analyseren. Ook in het kader van de nieuwe veel bekritiseerde Europese e-privacywet die binnenkort naast de AVG nog meer Europese privacyregels toevoegt.
De zaak
Een Duits bedrijf verkocht goederen via Amazon en stuurde via e-mail de factuur naar de koper. In die e-mail schreef het bedrijf:
“Dames en heren, bijgevoegd uw factuur in PDF-formaat. Bedankt voor het kopen van dit artikel van ons. Wij zijn een jong bedrijf en daarom afhankelijk van goede ratings. Als u tevreden bent over onze service, vragen wij u daarom om ons een 5-sterrenscore te geven voor uw aankoop.
Als er iets mis is met het geleverde artikel of onze service, vragen wij u vriendelijk contact met ons op te nemen. Dan kunnen we het probleem oplossen. Voor de beoordeling: log gewoon in via de volgende link en geef een positieve 5-sterrenbeoordeling (…).”
De koper vond dat de verkoper via deze e-mail ongeoorloofde reclame meestuurde. Hij vond dat de verkoper alleen de factuur had mogen sturen. Het verzoek om een positieve beoordeling zou inbreuk op zijn privacy zijn.
Marketeers worden gek als ze te maken krijgen met klanten die exact naar de regels van de wet willen worden behandeld. Gaat dit niet te ver?
De aanklacht werd in eerste instantie in Duitsland verworpen door zowel de lokale rechtbank als het hof van beroep, aangezien zij geen enkele vordering tot voorlopige maatregelen op grond van §§ 1004, 823 (1) BGB zagen. Het Hof van Beroep heeft echter een beroep bij het BGH toegestaan, dat nu uitspraak heeft gedaan.
Het besluit van de BGH
De BGH verklaart dat:
- een klanttevredenheidsonderzoek valt onder het begrip (directe) reclame
- het gebruik van e-mail voor reclamedoeleinden zonder toestemming van de eiser in beginsel een inbreuk vormt op zijn beschermde privésfeer en dus op zijn algemene persoonlijkheidsrecht
Hoewel de levering van de factuur op zich geen reclame is, vormt het deel van de e-mail waarin om een evaluatie werd gevraagd volgens de Duitse rechter wel degelijk reclame.
En als we de Algemene Verordening Gegevensbescherming erbij pakken wordt al snel duidelijk waarom.
De ondernemer heeft de adresgegevens alleen gekregen om de factuur te verzenden. Er is geen toestemming gevraagd of verkregen om het e-mailadres ook voor andere specifiek genoemde doeleinden – zoals klanttevredenheidonderzoek – te gebruiken. Volgens de AVG, die in Duitsland afgekort wordt als DSGVO, is dat verplicht.
De betekenis van de Duitse uitspraak
Volgens eerdere Duitse jurisprudentie was het al moeilijk om zonder toestemming klanttevredenheidsonderzoeken via e-mail te rechtvaardigen.
De BGH benadrukt met haar jurisdictie nu dat er geen klanttevredenheidsbeoordelingen mogen worden opgenomen in anderszins legitieme e-mails aan de klant.
Met andere woorden, voor de beoordeling van de klanttevredenheid en de verzending van nieuwsbrieven is een duidelijke toestemming vereist.
Is klanttevredenheidsonderzoek per e-mail nu verboden?
Nee. Als bij het afsluiten van de koopovereenkomst netjes seperaat toestemming wordt gevraagd om het e-mailadres ook eenmalig voor klanttevredenheidsonderzoek te mogen gebruiken – en die toestemming gegeven wordt – mag het onderzoek nog steeds gedaan worden.
Deze richtlijnen gelden ook in Nederland. Voor de invoering van de AVG waren deze regels ook al van kracht.
Privacy Nieuws
Wanneer ben je “verantwoordelijke” en wanneer ben je “verwerker”? Organisaties snappen maar weinig van de juridische termen die gebruikt worden in de Algemene Verordening Gegevensbescherming (AVG). Gevolg? Bedrijven gaan massaal de fout in en overtreden daardoor de wet.
De nieuwe privacywet AVG wordt, ruim honderd dagen na invoering, massaal geschonden. “Bedrijven hebben goede bedoelingen maar raken in de war van de ingewikkelde juridische termen”, vertelt Saida Nhass senior consultant bij risicoadviseur AON bij de radionieuwszender BNR.
Volgens Nhass ontstaat er vooral verwarring over de termen ‘verwerker’ en ‘verantwoordelijke’ over de persoonsgegevens. “Veel bedrijven kennen zichzelf een verkeerde rol toe waardoor zij de wet schenden.”
Zelfs juristen gaan regelmatig de fout in met de AVG, meldde BNR op 17 september al.
AVG is volgens Aleid Wolfsen best ingewikkeld
Voorzitter Aleid Wolfsen van de Autoriteit Persoonsgegevens zegt dat er veel telefoontjes binnenkomen bij zijn organisatie over de terminologie binnen de AVG. “Die is ingewikkeld. Dat geef ik wel toe.”
De AP weet volgens Wolfsen niet hoeveel bedrijven de boel al op orde hebben. “We zijn nu bezig met onderzoeken naar de boekhouding voor de AVG (verwerkingsregister).”
Autoriteit Persoonsgegevens heeft al diverse malen met forse boetes gedreigd
De AP heeft volgens Wolfsen inmiddels bij diverse organisaties al gedreigd met forse boetes van in de tonnen als ze niet op korte termijn voldoen aan de AVG.
Het gaat niet alleen fout in Nederland. Ook in de rest van de EU worstelen organisaties met de nieuwe Europese privacyregels.
De Britse toezichthouder ICO meldt op zijn Twitteraccount dat er sinds de invoering van de wet op 25 mei 2018 wekelijks telefonisch 500 datalekmeldingen worden gedaan, waarvan een derde onnodig blijkt te zijn.
Risicoadviseur Nhass van AON pleit er bij BNR voor dat de Europese toezichthouders samen op gaan trekken om de wet duidelijker uit te leggen.
Wolfsen erkent dat de wet soms wat vaag en te algemeen is. Er wordt volgens hem op Europees niveau gewerkt aan verduidelijking. De Europese toezichthouders komen regelmatig bij elkaar om nieuwe toelichtingen op de wet uit te werken, zogenaamde guidelines (richtlijnen).
Privacy Nieuws
Ruim 600 mensen hebben sinds de invoering van de Algemene Verordening Gegevensbescherming (AVG) een privacy-gerelateerde klacht ingediend bij de De Autoriteit Persoonsgegevens (AP), waarvan 400 inmiddels zijn geanalyseerd. Mensen blijken vooral problemen te ondervinden met het laten verwijderen van hun persoonsgegevens.
Gebruikers kunnen bij de AP klachten indienen indien zij van mening zijn dat hun privacyrechten worden geschonden.
Gegevens niet kunnen verwijderen of inzien
Bijna een derde van alle binnengekomen klachten heeft betrekking op problemen met het laten verwijderen van persoonsgegevens.
Daarnaast klagen mensen dat zij gegevens niet mogen inzien of hun gegevens ongewenst aan derde partijen zijn verstrekt.
87% van de binnengekomen klachten heeft betrekking op bedrijven.
De overige klachten gaan over overheidsinstanties.
De AP meldt alle klachten te gaan behandelen en twee keer per jaar te zullen rapporteren over de wijze waarop de klachten zijn behandeld.
84 van de binnengekomen klachten zijn grensoverschrijdend. Een deel van deze klachten wordt daarom door de AP doorgestuurd naar een andere Europese privacytoezichthouder.
Privacy Nieuws
Kleine ondernemers moeten net als grote bedrijven en de overheid voldoen aan de Algemene Verordening Gegevensbescherming (AVG), maar ze hoeven zich de komende tijd nog geen zorgen te maken op controles en hoge boetes, zegt toezichthouder Aleid Wolfsen in de Telegraaf.
„Het is niet uit te leggen aan een kleine ondernemer dat hij aan allerlei regels moet voldoen, terwijl de Algemene Rekenkamer constateert dat de naleving van de wet persoonsgegevens door instellingen als de Belastingdienst jarenlang gebrekkig is geweest”, zegt Wolfsen. „Daarom beginnen we bij de overheid.”
– via Telegraaf
Minister Sander Dekker van Rechtsbescherming ondersteunt het beleid om kleine ondernemers niet meteen te beboeten.
Kleine Nederlandse organisaties die na invoering van de nieuwe privacywet nog niet aan de regels voldoen, krijgen in het begin niet direct boetes.
Dat zegt minister Sander Dekker van Rechtsbescherming, schrijft de NOS.
– via NU
Privacy Nieuws
Organisaties die op 25 mei 2018 nog niet klaar zijn voor de Europese privacywet hoeven zich nog niet meteen zorgen te maken om torenhoge boetes. EU-commissaris voor Justitie Věra Jourová haalt de druk van de ketel omdat de wet in 8 Europese landen nog niet bekrachtigd is.
“De nationale toezichthoudende autoriteiten zullen geen sanctiemachines zijn”, beloofde EU-Commissaris voor Justitie Věra Jourová volgens de Duitse krant Welt tijdens een bezoek in Berlijn.
Jourová gaat ervan uit dat de toezichthouders – in Nederland is dat de Autoriteit Persoonsgegevens (AP) – in de eerste plaats zullen adviseren en helpen bij problemen met de toepassing van de Europese basisverordening voor gegevensbescherming (GDPR), in plaats van vanaf de eerste dag sancties op te leggen.
De Europese privacywet GDPR werd twee jaar geleden door de EU bekrachtigd. Alle Europese lidstaten kregen twee jaar de tijd om de regelgeving nationaal door de eigen parlementen te laten bekrachtigen.
In Nederland is de privacywet deze week door de Eerste Kamer met een hamerslag aangenomen.
Volgens de Commissie hebben acht EU-landen de GDPR echter niet tijdig in nationaal recht weten om te zetten. Het betreft België, Bulgarije, Griekenland, Litouwen, Slovenië, Tsjechië, Hongarije en Cyprus.
Ondertussen zijn ook veel Europese organisaties nog niet klaar voor de GDPR. Bij sommige bedrijven die de boel nog niet op orde hebben heerst volgens Věra Jourová een paniekstemming uit angst voor hoge boetes. Voorlopig is dat volgens haar onnodig.
De EU-commissaris heeft zo de druk van het bedrijfsleven enigszins verlicht.
Brancheorganisaties hebben de afgelopen weken herhaaldelijk duidelijk gemaakt dat veel van hun leden de regels niet volledig ten uitvoer zullen hebben gelegd binnen de gestelde termijn.
Věra Jourová wees er echter ook op dat “officieel geen verdere overgangsfase is gepland”.
Hoe hard de autoriteiten op nationaal niveau zullen optreden tegen schendingen van de privacyregels, is aan hen. De Autoriteit Gegevensbescherming in Nederland heeft de afgelopen dagen al meerdere malen aangegeven niet meteen sancties te zullen opleggen, wel waarschuwingen.