Boetes krijgen, of toch niet? Wat is de realiteit?

De realiteit…

Boetes krijgen of toch niet? Het lijkt wel landelijk bepaald of er al dan geen boetes worden uitgedeeld voor het niet naleven van de AVG. Maar is dit wel zo? Is dit de realiteit? Hieronder een voorbeeld vanuit mijn eigen branche. De evenementenbranche. De Britten hebben inmiddels twee kandidaten op het oog. Hoe zit het dan in Nederland.

Ticketmaster riskeert miljoenenboete…

Een van de regels van de AVG is dat datalekken binnen 72 uur moeten worden gemeld.

De boete die Ticketmaster boven het hoofd hangt kan oplopen tot 20 miljoen euro. Het bedrijf heeft te kampen met een datalek. Dit datalek zou ontstaan zijn op 23 juni en niet binnen 72 uur gemeld.

Op 12 april was er al gewaarschuwd voor een mogelijk datalek. De Britse bank Monzo heeft op zijn blog van 6 april  al melding gemaakt dat rond de 50 klanten aangaven dat er  frauduleuze transacties waren gepleegd.

Bij 70% van de gevallen ging het om bankpassen, die waren gebruikt om tickets bij ticketmaster te kopen. Met de gegevens van de Monzo-kaarten werden ook in de weken erna verschillende frauduleuze pogingen gedaan. De bank heeft inmiddels 6000 nieuwe creditcards verstuurd naar haar klanten, om verdere fraude te voorkomen. Ondanks de verontrustende berichten en na intern onderzoek gaf Ticketmaster aan dat er geen bewijs was gevonden van enige hack.

Op 23 juni gaf Ticketmaster aan dat er schadelijke software was vastgesteld op een customer service product dat werd gehost door Inbenta Technologies, een externe leverancier van Ticketmaster.

Meer dat 5% van de klanten zou wereldwijd zijn beïnvloed door deze datalek. De BBC geeft aan dat het om 40.000 Britse klanten gaat. Ticketmaster heeft via e-mail ook Nederlandse klanten op de hoogte gebracht.

Bron: Enternainment business

Facebook krijgt boete om Cambridge Analytica…

De boete die de Britse privacywaakhond, bij ons bekend als de Autoriteit Persoonsgegevens (AP), geeft aan Facebook is omgerekend zo’n € 566.000,-. Zij vinden de gegevens van gebruikers niet goed genoeg beschermd en zij zijn ervan overtuigd dat Facebook niet transparant genoeg is over welke data er gedeeld wordt met andere bedrijven.

Cambridge Analytica gebruikte een app op Facebook om gegevens te verzamelen, waardoor het bedrijf via 320.000 gebruikers uiteindelijk 87 miljoen profielen heeft buitgemaakt. Aan de hand van deze profielen werd software ontwikkeld om gerichte advertenties aan te bieden. Het bedrijf werkte onder meer voor de presidentscampagne van Donald Trump en het leave-kamp van brexit.

Facebook kan nog bezwaar aantekenen tegen de boete. In de VS wordt nog onderzoek gedaan naar de rol van Facebook in deze affaire.

Bron: NOS

Klachten stromen binnen bij AP…

Vanaf 25 mei, de dag dat Europa en dus ook Nederland de AVG handhaaft, zijn er zo’n 600 klachten bij de Autoriteit Persoonsgegevens binnen gekomen. Ongeveer een derde van deze klachten hing samen met het recht op vergetelheid, dus het verzoek om het wissen van persoonsgegevens. Anderen klachten gingen met name om het verstrekken van persoonsgegevens aan derden en inzage in eigen persoonsgegevens. De boetes lopen dus hoog op zul je denken…

Uitzondering op de regel…

Zoals elke wet of verordening wel laat zien, zijn er uitzonderingen op de regel. Zo ook op de AVG. De rechten van personen zijn niet onbeperkt. Het recht van vergetelheid kent verschillende beperkingen. Als bijvoorbeeld bij het uitoefenen van de vrijheid van meningsuiting persoonsgegevens worden verwerkt, of bij algemeen belang van de volksgezondheid. Bij een wettelijke plicht, zoals gegevens die bewaard moeten blijven voor aangifte en controle van de belastingdienst. Ook kan een organisatie met motieven aangeven dat  verwerken van persoonsgegevens gewoon noodzakelijk is. De AP zal dus voor lang niet alle 600 aangiftes overgaan tot waarschuwen of zelfs boetes uitdelen.

Het wissen van gegevens. Ga er maar aan staan….

Een bedrijf dat net ternauwernood zijn AVG op orde heeft, kan aan deze verzoeken nog nauwelijks voldoen. Maar bedrijven die nog niet helemaal of helemaal nog niet aan de verordening voldoen is het onbegonnen werk. Zij verdrinken in de AVG.

Goed voorgelicht…

Staatssecretaris Keijzer van Economische zaken en klimaat vindt dat het bedrijfsleven goed is voorgelicht over de AVG. De vragen van de kamerleden Wörsdorfer en Koopmans over de registerplicht maken geen indruk op haar. De kamerleden beweren dat de vraag welke dataopslag wel en welke niet moet worden geregistreerd MKB’ers hoofdbrekens bezorgen.

Mijn ervaring hierin is dat dit niet alleen voor MKB’ers geldt, maar ook voor ZZP’ers. Er poppen steeds meer vragen op. Bedrijven raken de weg kwijt in de grote waterkolk die AVG heet.

Staatssecretaris Keijzer geeft aan dat het ministerie van Justitie en Veiligheid samen met VNO-NCW en MKB-Nederland de brochure ‘De Algemene Verordening Gegevensbescherming: wat betekent deze Europese wet voor jou als ondernemer?’ heeft gepubliceerd.

Ook de ‘Autoriteit Persoonsgegevens’ geeft informatie en hulpmiddelen voor ondernemers.

Leuk, denk je misschien. Al deze informatie van Staatssecretaris Keijzer. Ik ben niet thuis in die taaie stof. Hoe moet ik uiteindelijk voldoen aan die AVG?

Heb je het gevoel dat je verdrinkt? Mocht je niet alles (helemaal) zelf uit willen zoeken en hulp in willen roepen? Kijk dan eens op onze website. Wij van AVG Steunpunt kunnen je de reddingsboei toegooien.