AVG in 2019: komt die shitstorm nog?

Storm

Ondanks dat ‘GDPR’ vorig jaar vaker werd gegoogled dan ‘Kim Kardashian', lijkt een echte shitstorm aan onderzoeken en boetes nog niet op komst. Maar sluit niets uit, schrijft Sprout-expert Danny Hoekzema, advocaat bij De Roos Advocaten.

Blinde paniek door de komst van de AVG: op klassenfoto’s werd iedereen (inclusief juf) geblurd behalve je eigen kind, kerken baden niet langer voor zieke mensen en er was een overload van goedbedoelde maar superirritante privacy-updates in je mailbox.

In mei 2018 werd zelfs vaker op “GDPR” gegoogled dan op “Kim Kardashian” en “Beyonce”. Echt waar: zie hier. Inmiddels bekijken we weer liever de belfies van Kim. Was het dan stress om niks? En wat is er so far allemaal gebeurd?

Waarom waren we ook alweer in de stress? Oh ja – miljoenenboetes

De AVG-stress kwam vooral doordat er onder deze wet voortaan boetes kunnen worden opgelegd tot 20 miljoen euro of 4 procent van de wereldwijde omzet. De stress nam verder toe toen Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens (AP), zei: “Na 25 mei is er geen gedoogsituatie meer. Dat kan ik u verzekeren”.

Zijn deze hoge boetes al opgelegd?

Ja – er zijn al wat tikken uitgedeeld, bijvoorbeeld:

In Frankrijk: Google – 50 miljoen euro boete

Google heeft een boete van 50 miljoen euro gekregen van de CNIL, de Franse variant van de AP. Kort gezegd vanwege een informatie-overload aan gebruikers en het binnenhengelen van ongeldige toestemming. Herkenbaar voor iedereen die een poging heeft gedaan het privacybeleid van Google te bekijken of je instellingen aan te passen – je wordt doodgegooid met lappen tekst die eindeloos onderling na elkaar doorlinken.

In de woorden van de CNIL: “Essential information (...) [is] excessively disseminated across several documents. (...). The relevant information is accessible after several steps only, implying sometimes up to 5 or 6 actions.

Doel (en effect) is dat je lamgeslagen alsnog maar op die aantrekkelijke knop “ok, ik accepteer alles – I surrender – mijn zegen heb je – make it stop!!!” drukt. Dat mag dus niet meer – terecht wat ons betreft. Google heeft overigens wel hoger beroep ingesteld.

In Duitsland: datingsite Knuddels - 20.000 euro boete

Het online flirtcafé Knuddels kreeg een boete van 20.000 van de LfDl, de Duitse variant van de AP, dit vanwege slechte beveiliging van data. Er waren vanuit Knuddels ruim 800 duizend e-mailadressen en bijna 2 miljoen gebruikersnamen gelekt. Daarna bleek dat Knuddels de wachtwoorden niet eens had versleuteld. Basisles beveiliging: versleutel wachtwoorden! Dat vond de LfDl ook, met een boete van 20.000 euro als gevolg. Knudde(ls)!

In Oostenrijk: DSB vs. kleine ondernemer - 4800 euro boete

De Oostenrijkse Privacywaakhond (DSB) heeft de eerste AVG-boete uitgedeeld aan een kleine ondernemer. De ondernemer had een camera geïnstalleerd die een deel van de stoep voor de winkel filmde. Een “large-scale monitoring of public spaces [which] is not permitted under the GDPR”, aldus de DSB. De boete komt uit op 4800 euro, waarbij rekening is gehouden met de omzet van de MKB’er.

Andere headlines uit het buitenland…

Naast boetes zijn er de afgelopen negen maanden ook nog een aantal officiële waarschuwingen de deur uit gegaan:

  • De Franse variant van de AP heeft Teemo en Fidzup gewaarschuwd omdat zij onrechtmatig locatiegegevens gebruiken voor het targeten van advertenties.
  • De Britse waakhond heeft AggregateIQ, een Canadees political advertisement’ specialist, een dwangsom van 20 miljoen euro opgelegd als zij de persoonsgegevens van Britse burgers niet binnen 30 dagen zou verwijderen.

Daarnaast is bekend gemaakt dat er onderzoeken zijn gestart naar Facebook, Twitter, Amazon, Apple, Google, Netflix en Spotify. Dat belooft wat!

En de AP dan?

Eind september gaf Wolfsen aan dat er fikse boetes uitgedeeld zouden worden. Dat is gebeurd, maar alleen voor overtredingen die nog onder de oude Wet bescherming persoonsgegevens (Wbp) en dus de oude boetebevoegdheid (max. 820.000 euro) vallen. Overigens zaten daar wel boetes met vijf nullen bij - vooral Uber moest het ontgelden.

AP vs. Uber – 600.000 euro boete voor niet melden datalek

De persoonsgegevens van 170.000 Nederlandse klanten en chauffeurs waren gelekt. Toen Uber dit ontdekte meldde zij dit niet binnen de vereiste 72 uur, maar pas na ruim een jaar (= 8760 uur!). We gaan er maar vanuit dat het wel op de to-do list stond, maar dat Uber nog druk was met het betalen van zwijggeld aan de hackers die de lek hadden ontdekt.

De AP concludeerde een grove schending van de wet en legde een extra hoge boete op. Tweede les voor vandaag: zwijggeld betalen is niet handig. Resultaat: een boete van €600k - aanzienlijk in verhouding tot de maximale boetebevoegdheid.

AP vs. Nationale Politie – dwangsom van 320.000 i.v.m. ontbreken logging

De ene handhavingsinstantie die de andere handhavingsinstantie achter de aan broek zit: het heeft iets weg van een hond die al rondjes rennend probeert z’n eigen staart te pakken. Wat is het geval: De Nationale Politie gebruikt een systeem waarin zichtbaar is wie het Schengengebied in- en uitgaat.

Omdat dit systeem gevoelige gegevens bevat (bv. BSN-nummers) moet het gelogd worden (wie doet wat, wanneer en waarom?). Een eerder geïnde dwangsom van 40.000 euro heeft niet geleid tot de gewenste veranderingen. De AP hoopt dat een nieuwe (fors verhoogde) dwangsom oplopend tot 320.000 wél werkt.

AP vs. UWV – dwangsom van 900.000 voor onvoldoende beveiliging gevoelige gegevens

Het beveiligingsniveau van het werkgeversportaal van het UWV voldoet niet. Dit is kwalijk, omdat het volgens Wolfsen “gaat om gezondheidsgegevens van ontzettend veel mensen”. De AP vereist dat voor toegang tot gezondheidsgegevens via het internet (minimaal) meerfactorauthenticatie wordt doorlopen.

Dit houdt in dat de gebruiker zich op minimaal op twee manieren moet authentiseren (bv. wachtwoord en SMS-code). De AP is nog mild, het UWV krijgt een jaar de tijd om het beleid op orde te brengen.

Verder vooruitkijkend – wat doet de AP?

Bewustwording: De AP wil mensen bewust maken van de AVG, de privacy en hun privacyrechten. Hierin is de AP behoorlijk geslaagd – maar daar hebben de irritante privacy updates ook wel bij geholpen. Daarnaast blijkt dat 94% van de Nederlanders zich zorgen maakt over de privacy. Vooral online winkels, banken en verzekeraars en de techbedrijven voeden de zorgen.

Uitleg: Om te zorgen dat bedrijven de wet überhaupt kunnen naleven, probeert de AP de (vage) wet te verduidelijken. Bijvoorbeeld door het opstellen van FAQ’s over direct marketing en wifitracking.

Klachtenbehandeling: De klachtenbehandeling is een zorgenkindje. De AP verkondigde begin 2018 stellig: “Als wij dan zeggen: u hebt gelijk, u heeft uw klacht op goede gronden ingediend, dan gaan we optreden. Dan geven we een aanwijzing, een berisping, leggen we een boete op”. Hier moest de AP op terugkomen.

In een half jaar tijd ontving de AP klachten van 10.000 burgers, wat in combinatie met de onderbezetting (zie ook: Roddel en Achterklap) leidde tot een prioriteringsbeleid. Kort gezegd komt het erop neer dat klachten sneller behandeld worden als ze binnen de speerpunten van de AP vallen, er meer mensen worden getroffen en er gevoelige informatie in het spel is.

Controle op laaghangend fruit: De AP heeft het afgelopen jaar sectorgewijs gecontroleerd op verschillende – makkelijk aantoonbare – AVG-verplichtingen. Oftewel: de AP richt zich op ‘laaghangend fruit’, zoals het aanstellen van een Functionaris Gegevensbescherming en het bijhouden van een verwerkingsregister. Daarnaast wordt het toezicht op datalekken aangescherpt.

Hierbij wordt vooral gelet op bedrijven die (opvallend genoeg) nog níets gemeld hebben bij de autoriteit: als 9 van de 10 webwinkels datalekken hebben gemeld, dan is het verdacht dat die ene nog niets heeft gemeld.

Risicogericht toezicht: Naast laaghangend fruit heeft de AP ook aandacht voor overtredingen die veel burgers raken. Denk aan de overheid, zorgsector en handel in persoonsgegevens. Verder is er een vast patroon: daar waar een privacyschandaal opduikt, volgt de AP. Dit was bijvoorbeeld het geval bij de onderzoeken naar cameraatjes in reclamezuilen en het gebruik van beveiligingscamera’s in sauna’s.

Roddel en achterklap over de AP:

Te weinig mankracht, ruzie in de top en vertrekkende experts:  Het is algemeen bekend dat de AP structureel onderbemand is. De AP telt ongeveer 150 fte, terwijl er volgens onderzoek minimaal 185 fte nodig is om effectief te kunnen handhaven. Verder is de top van de AP behoorlijk uitgedund en zijn er de afgelopen tijd tientallen privacyexperts vertrokken uit onvrede over de leidingsstijl van de voorzitter. Zelf maakt de voorzitter zich overigens nog geen zorgen: “Het loopt als een zonnetje” zei hij eind 2018 in De Groene Amsterdammer.

Toestemming is “more equal” volgens AP Van AP-insiders hebben we begrepen dat ‘toestemming’ wordt gezien als de beste grondslag voor het verwerken van persoonsgegevens. Vreemd, omdat er door de wetgever geen rangorde is aangegeven – de ene grondslag is niet beter dan de andere. “Some animals are more equal than others”?

Bovendien is dit standpunt ook opmerkelijk met het oog op de bescherming van burgers – die geven namelijk massaal toestemming zonder te weten waarvoor. Nog even over die omgevallen boekenkast van Google – heeft iemand die ooit gelezen? Vast niet! Kortom: een vreemde voorkeurspositie, maar wel goed om te weten.

Stay away from the shitstorm - fix het laaghangend fruit!

Het lijkt erop dat dat de AP voorlopig niet op grote schaal kan handhaven door onderbezetting. Een echte shitstorm aan onderzoeken en boetes ligt niet voor de hand. Maar sluit niets uit – een onderzoek met stevige boetes kan de AP juist helpen zich te profileren als sterke watchdog. Maak het de AP in ieder geval niet te makkelijk – fix het laaghangend fruit. Een aantal concrete tips:

1. Houd een verwerkingsregister bij – of doe tenminste een poging!

Onder de AVG is het verplicht een verwerkingsregister bij te houden – een taaie excelsheet waarin je een overzicht maakt van dataflows. Als je de wet snel leest lijkt het alsof je daarvoor een bedrijf moet zijn met +250 werknemers, maar dat is niet waar. De verplichting geldt zodra een verwerking niet incidenteel is – en dat is bijna altijd zo. Het bijhouden van een klantenbestand is al een niet-incidentele verwerking.

De AP controleert al op de aanwezigheid van verwerkingsregisters, waarbij er in de eerste plaats wordt gecheckt op aanwezigheid en daarna pas op inhoud. Er zijn diverse templates in omloop (mail ons als je een goed voorbeeld wil – verstrekken we kosteloos). Een verwerkingsregister bijhouden is een ongoing process – je moet het continu updaten. Onze tip: raak daar niet van in de stress en zie het vooral als een aanmoediging om snel een begin te maken. Het hoeft niet meteen perfect – beter iets dan niets!

2. Doe geen domme dingen met cookies

Zoals trackers plaatsen zonder opt-in. Iedereen kan met Ghostery of een vergelijkbaar tooltje zien of er zonder toestemming tracking cookies worden geplaatst. Zie bijvoorbeeld de recente rel rondom Sony, Nintendo en andere game aanbieders. Zij dachten weg te komen met meldingen als “door onze site te gebruiken ga je akkoord met cookies” – wat niet telt als toestemming.

Zie ook het commentaar van onze collega Suzanne Hiemstra in dit artikel op nu.nl, met hier de bijbehorende podcast. Wat we ook vaak zien: er wordt met een cookiebanner netjes om toestemming gevraagd, maar de cookies worden al geplaatst voordat je überhaupt toestemming hebt kunnen geven – of het gebeurt ook terwijl je op “nee” klikt.

3 . Als je twijfelt over de juiste grondslag, weet dat de AP van toestemming houdt

Bedenk wel dat toestemming op ieder moment moet kunnen worden ingetrokken en dat je dan meteen met de verwerking moet stoppen. Dus niet uit enthousiasme in je privacy policy te zetten: “Wij verwerken jouw persoonsgegevens alleen met jouw toestemming”. Dat kan in de meeste gevallen helemaal niet.

Bepaalde data moet je bijvoorbeeld bewaren op basis van een wettelijke plicht, zoals voor de Belastingdienst, ook als die persoon zijn toestemming niet geeft of dit intrekt. Dan heb je dus iets beloofd wat je niet kan waarmaken – een rijpe banaan op ooghoogte!

4. Houd de website van de AP in de gaten

Of abonneer je op hun nieuwsbrief. Dan weet je meteen waar de AP zich mee bezig houdt.

5. Stel een news-alert in op privacy

Als er veel media-aandacht is voor een privacyrel, dan is de kans groot dat de AP zich hier ook mee bezig houdt. Dit kan bijvoorbeeld via Google.

Danny Hoekzema is advocaat bij De Roos Advocaten

Elke ochtend...

X
het belangrijkste ondernemernieuws in jouw mailbox? Gegarandeerd Sprout-stijl!