Een lezer vroeg me:
Het valt me op dat zeer veel websites allerlei persoonlijke gegevens van je vragen, ook als daar evident geen noodzaak voor is (zoals geboortedatum of mobiel nummer). Dit is volgens mij een belangrijke oorzaak van schade bij datalekken. Waarom is er geen wet die organisaties verbiedt dit te verzamelen tenzij met aantoonbare en onderbouwde noodzaak?Zo’n wet is er al: de Algemene verordening gegevensbescherming (AVG) kent een wettelijke eis tot “dataminimalisatie” (artikel 5(1) onder c). Alle persoonsgegevens die je gebruikt, moeten “toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt”. In gewoon Nederlands: je mag het niet verzamelen of hebben tenzij het écht nodig is. En je moet kunnen aantonen (artikel 5(2)) dat je het nodig hebt.
De praktijk is echter weerbarstig. Organisaties en bedrijven vragen van alles, iedereen vult het braaf in en we gaan er maar van uit dat het allemaal goed gaat. Handhaving op dataminimalisatie lijkt vrijwel geheel afwezig. En áls er dan een keer iemand een punt van maakt, dan moet je tot aan het Hof van Justitie om je gelijk bevestigd te krijgen.
(In die zaak ging het over de meneer/mevrouw aanduiding bij het boeken van een treinkaartje. Dus de NS had juridisch volkomen gelijk met haar switch naar “Beste Reizigers!” – het moest van de AVG.)
Tegelijk denk ik ook niet dat alle organisaties bewust kiezen voor massaal datagraaien. Veel webwinkels bijvoorbeeld zouden best af willen van de verplichte meneer/mevrouw op het bestelformulier (of een “wil ik niet zeggen” er bij), maar krijgen dan te horen dat “dat technisch niet mogelijk is” of ontvangen een offerte van duizend euro voor maatwerk. En dat is het natuurlijk ook weer niet waard, vanuit hun perspectief.
Striktere handhaving lijkt me de enige optie. Als ik de baas van de AP was, zou ik een mailtje uitsturen naar alle webwinkels dat er 2000 euro boete volgt als de meneer/mevrouw-keuze op 1 november nog verplicht is. En dat kun je vrij geautomatiseerd checken ook.
Arnoud
Hoe “fout” is het om bewust onjuiste informatie op te geven als er om gegevens gevraagd word die niet relevant zijn? Bijvoorbeeld 1/1/1900 als geboortedatum (aangenomen dat je wel 24+ bent).
Ik kan me voorstellen dat dat valsheid in geschrifte is, maar is dat niet net als de vrouwelijke sollicitant die liegt in antwoord op de illegale vraag “bent u zwanger”?
Ik doe het regelmatig, net als het adres van het bedrijf zelf invullen als een adres verplicht is terwijl er niets opgestuurd wordt, of een 061345678 als telefoonnummer als er geen telefonisch contact o.i.d. nodig is
Doe ik ook (tenzij de werkelijke datum relevant is). Het aantal nog levende mensen dat is geboren begin 1900 en woont op Dorpstraat 1 1111AA zal enorm zijn.
Ik zie niet hoe het valsheid in geschrifte is. Het heeft op een random website geen bewijsfunctie.
Een van de problemen is dat er geen duidelijke handelswijze (zeker binnen het ontwerp van informatiesystemen) om “privacy by design” uit te voeren. Het is ook lastig omdat gegevens (bijvoorbeeld telefoon nummer) voor meerdere verschillende doeleinden gebruikt kunnen worden binnen hetzelfde systeem (bijv. voor aflevering, voor reclame, voor “beveiling”, voor identifcatie). En dan moet je ook rekening houden dat voor een bepaald doel er meerdere kandidaten (A en B) zijn terwijl en door overlap een kandidaat die normalerwijze meer ingrijpend zou zijn (A) toch beter is (word al gebruikt voor een ander doeleinde, allebei gebruiken is meer bezwarend: AB > A > B)
Mooi verwoord.
Inderdaad, je moet nadenken over verschillende use-cases, en dat doen we dan maar niet omdat het ingewikkeld is? Je hebt gegevens nodig, of je hebt ze niet nodig. Als je ze nodig hebt, moet je kunnen aantonen waarom, en zo niet, dan mag je ze niet vragen.
Deze snap ik niet helemaal. Bedoel je dat zo’n bestelformulier een “M” of “V” antwoord op die vraag nodig heeft omdat een achterliggend order-systeem of database dat als verplicht veld heeft? Dat zijn situaties die zich natuurlijk voordoen, maar wat ik niet snap is waarom dat dan het probleem is van die webwinkel; die nemen zo’n softwareproduct af van een leverancier, waarom moet die leverancier niet zorgen dat haar producten AVG-compliant zijn? Daar hadden ze tot 2018 de tijd voor, het is nu 2025 dus als er nu nog steeds geen software-update is om dat te verhelpen dan leveren ze een wanprestatie. Als de software door een bug niet zou kunnen factureren dan gaan ze toch ook geen offerte sturen voor 1000 euro om de bug te verhelpen? Het product is dan kapot en moet worden gemaakt.
Dat zal zijn omdat de webwinkel om de informatie vraagt, niet de leverancier van de software. Ook is het maar de vraag of die leverancier wel in Nederland/Europa zit, en of je überhaupt weet welke software webwinkels gebruiken. Met de webwinkel kun je sowieso iets, want die heeft een geldstroom in Europa als ze hier producten verkopen.
Dat was nu juist niet de reden: “Veel webwinkels bijvoorbeeld zouden best af willen van de verplichte meneer/mevrouw op het bestelformulier”
Waar de leverancier zit maakt ook niet zoveel uit, of dat nu in Nederland/Europa is of daarbuiten. Ze verkopen producten of diensten in Nederland dus moeten die producten of diensten voldoen aan onze wetgeving.
Als het een webwinkel is in Lager-Bananistan, en ze richten zich niet duidelijk op Nederland of Europa (bijvoorbeeld door prijzen in Euro’s, betalen met iDeal, leveringsvoorwaarden opgesteld in het Nederlands etc) dan vallen ze uiteraard niet onder onze wetgeving en mogen ze vragen wat ze willen of wat wettelijk is toegestaan in Lager-Bananistan.
Indien het een product betreft (dus een stuk software dat de webwinkel zelf host; geen dienst), dan levert het verkopen van dergelijke software door leverancier aan de webwinkel geen AVG schending op lijkt me. Pas bij gebruik van de software door de webwinkel onstaat de schending.
Als de leverancier niet geroepen heeft dat de software AVG compliant gebruikt kan worden, en de webwinkel heeft er voor aankoop ook niet naar gevraagd, in hoeverre kun je in een B2B relatie dan de stellen dat de software niet volgens verwachting is en herstel eisen als je er bijv. niet in staat bent ermee aan de AVG te voldoen?
Inderdaad, er is geen wet die eist dat software die persoonsgegevens kan verwerken, AVG compliant is. Pas bij het in gebruik nemen daarvan is de beheerder/afnemer de AVG verwerkingsverantwoordelijke. Een webshopleverancier die webshopsoftware met verplichte “meneer/mevrouw” velden levert, schendt daarmee geen wet, zijn klanten wel. En dan krijg je dus het probleem dat iedere klant alleen apart bezwaar kan maken en dan afdruipt na een offerte van 4000 euro.
En dat klopt dan niet Arnoud. Dit tendeert naar gedwongen winkelnering en de klant dient beschermd te worden, niet als melkkoe. Uiteindelijk overtreedt m.i. de webshop de wet, want het mag toch niet meer sinds 2018?!
De webshop overtreedt de wet, maar het product dat de softwareleverancier aanbiedt hoeft niet AVG compliant te zijn. Tenzij er dus contractuele afspraken zijn, mag de leverancier wel degelijk geld vragen voor de aanpassing. Strafbaar is dat niet. Enne, je kunt toch naar een ander CMS overstappen?
Ik begrijp dat het grappend bedoeld was (en helemaal eens dat die vraag bijna altijd onzinnig is), maar het is nu net een verkeerd voorbeeld. Als de Spaanse NS niet mag weten dat er vrouwen in de coupe zitten moeten ze de groep dames viajeros noemen. En dan kom je al een beetje in grijs gebied.
Qua handhaven beginnen met zoiets ligt ook niet voor de hand als er vele voorbeelden zijn van groter misbruik. Nog los van bewuste keuzes in grote databases: weinig organisaties die nergens “op de F-schijf” of in een mailbox een grote XLS hebben met persoonsgegevens. En dat er vele websites en mailservers automatisch te checken niet aan al lang gangbare beveiligingsmaatregelen voldoen (https://internet.nl/site/iusmentis.com doet het vrij goed).
En ook bij eenvoudige checks (is dat zo? Veel forms zitten na een inlog) zal de administratieve afhandeling van een miljoen boetes en vele bezwaren nogal onhaalbaar zijn.
Het aantal boetes zal in de tienduizenden kunnen lopen; volgens mij doet het CJIB dat alleen al aan snelheidsovertredingen in een maand. Als de AP met hulp van automatisering overtredingen mag vaststellen, en op een efficiëntere manier boetebesluiten gaat uitsturen kunnen deze problemen snel de wereld uit zijn.
Maar helaas is de Autoriteit Persoonsgegevens gebonden aan wetten die een efficiënte uitvoering van haar handhavende taak bijna onmogelijk maken. En het beperkte budget beperkt ook haar mogelijkheden.
Kunnen ze bij de grootste datalekken niet simpelweg een onderzoek doen of alle data die gelekt was ook met een geldige reden verzameld is.
En bij de data die geen “geldige” grondslag had om verzameld te zijn boetes uit delen en het getroffen bedrijf verbieden deze gegevens nog te verzamelen op last van veel zwaardere straffen.
Klinkt me als een korte klap om dataminimalisatie onder de aandacht te brengen