Doe mij eens wat meer van die boetes van 5000 euro

| AE 11637 | Ondernemingsvrijheid | 5 reacties

De Belgische privacywaakhond heeft twee boetes van 5000 euro opgelegd aan lokale politici, las ik bij Tweakers. De politici gebruikten gegevens die ze in hun ambt hadden verkregen (“burgers die een beroep op hen als burgemeester/schepen deden”) om ze politieke reclame te sturen. Dat is in strijd met het beginsel van doelbinding aldus de Gegevensbeschermingsautoriteit, die aan de boete tevens een berisping koppelde. Het getal van 5000 euro zal misschien wat wenkbrauwen doen fronsen: kon de AVG niet tot 20 miljoen per overtreding aan boetes opleveren? Ja, en toch ben ik erg blij met deze eh microboete. Want dit werkt beter.

In België zijn burgemeester en schepen (wethouden) politieke beroepen. De beboete burgemeester en schepen gebruikten lijsten van burgers uit hun gemeente om ze op te roepen op hen te stemmen. En die lijsten verkregen ze dus via hun ambt, wat strijd oplevert met de doelbinding: gegevens mag je niet voor andere doeleinden inzetten dan waarvoor ze zijn verkregen (behoudens de direct nabij en volkomen logisch aanverwante doelen). Politieke reclame voor jou als persoon heeft natuurlijk niets te maken met je werk als ambtenaar, ook niet als je via verkiezingen op die plek gekomen bent en daar graag weer wilt zitten.

Boetewaardig dus. En stevig ook, in theorie staat daar die 20 miljoen per overtreding op. Maar de Gegevensbeschermingsautoriteit houdt het bescheiden en wel bij 5000 euro per persoon. Dat komt zo te lezen omdat het gaat om een eerste overtreding door privépersonen en een gering aantal persoonsgegevens, hoewel de zaak zo ernstig wordt gezien (het gaat over verkiezingen, dat is de kern van de legitimatie van ons bestuur) dat men er ook nog een publieke reprimande tegenaan gooit. (Die de politieke tegenstanders ongetwijfeld in het verkiezingsdebat gaan aanvoeren.)

Waarom ben ik nou zo blij met 5000 euro? Nou ja, omdat zo’n boete écht afschrikt. Zeg nou zelf, als je weet dat je in privé 20 miljoen moet ophoesten, dan zul je daar weinig wakker van liggen. Dat bedrag lukt toch niet, dus dat spreekt niet tot de verbeelding. Maar 5000 euro kwijt zijn aan een overtreding? Dat is voorstelbaar, doet echt pijn en je kunt je inleven op welke manier. Dat hakt er dus veel meer in – zeker bij de vele kleinere bedrijven dan de clubs waarvoor die 20M als maximale boete in de wet is gezet.

Natuurlijk staat of valt het uiteindelijk met handhaving. Maar ook dan denk ik, juist kleine boetes kun je makkelijker opleggen. Megaboetes hebben de neiging gejuridiseerd te worden. Als je Facebook een boete oplegt, wéét je dat je hoe dan ook vele jaren verder bent totdat het Hof van Justitie van de EU een uitspraak doet, en dan nog. Een mkb-ondernemer die 5000 euro moet aftikken omdat hij een klantenlijst verkocht, die gaat die stappen niet nemen. Die baalt als een stekker, ontslaat zijn marketeer en doet het beter. En zijn collega’s ook.

En het leuke is volgens mij dat juist die handhaving in het klein vaak te automatiseren is. Privacystatements checken of ze wel in eenvoudige taal is, dat kun je met een script. Het verwerkingsregister van een bedrijf opvragen en op trefwoorden controleren (is er een tab Personeelsadministratie, bijvoorbeeld) is ook eenvoudig uit te voeren. Maak dáár nou eens werk van, dan wordt de AVG veel effectiever gehandhaafd.

Arnoud

“Het probleem is niet databescherming, maar dataverzameling.”

| AE 11585 | Ondernemingsvrijheid, Privacy | 4 reacties

Edward Snowden denkt dat de AVG tot nu toe nog weinig effect heeft gehad in Europa. Dat las ik bij Tweakers tijdens mijn kraamperiode (dank iedereen voor de felicitaties). De NSA-klokkenluider zei op een conferentie dat de Europese privacyverordening vooral ‘een papieren tijger’ is zolang internetbedrijven geen grote boetes krijgen opgelegd. De kern van het argument lijkt hem te zitten in dat het “prima is om data te verzamelen, dat het geen gevaar oplevert en dat het normaal is om iedereen te bespioneren, zolang die data maar niet uitlekt en je er zelf de controle over hebt.” Daarmee is de AVG kennelijk geen effectieve barrière tegen de grote techbedrijven: die doen wat ze willen en gooien er gewoon nieuwe braaftaal tegenaan – “We value your privacy” wordt “We respect your GDPR rights and we fully comply” en dat was het dan. Tsja.

De AVG is natuurlijk in eerste instantie een enorme stapel papier (99 artikelen) waar je als bedrijf maar wat van moet maken. Zowat alle aspecten van dataverzamelen en -gebruiken worden gereguleerd; je moet compliance kunnen aantonen, grondslagen onderbouwen, toezicht houden, security dichttimmeren en ga zo maar door. De normen zijn open en de boetes zijn hoog, althans op papier.

En daar wringt hem de schoen – heel veel papier is de AVG, maar (nog?) maar heel weinig daadwerkelijke handhaving. En dat voelt heel dubbel: overal zie en merk je dat mensen de AVG serieus proberen te nemen, maar tegelijk gebeurt er weinig tegen zij die dat niet doen. Links word je doodgegooid met toestemmingsformulieren (ahh ahh ahh de horreur) die nergens voor nodig zijn, en rechts wordt je gehele doopceel integraal verkocht aan malafide marketeers of erger nog semi-overheden.

Natuurlijk kun je dan heel spitsvondig zeggen dat het hem zit in de naam. “Data protection” impliceert dat je alles mag mits je het maar goed beschermt, en het moet gaan om of je überhaupt data mág verwerken. Die vondst klopt niet: het gaat om de bescherming van data in de zin van réchten op die data, mijn data moet veilig zijn als een bedrijf er wat mee doet. Dat is niet hetzelfde als “alles mag als je het veilig doet”, wat ook in artikel 5 AVG staat: alles moet rechtmatig zijn. Oh ja én moet voldoen aan dataminimalisatie, oftewel niet meer verzamelen dan nodig is voor je rechtmatige doel, dat je ook nog eens vooraf gemeld hebt en op papier uitgewerkt.

Uiteindelijk heeft Snowden wel gelijk als het gaat om de handhaving. Wetten die niet worden gehandhaafd zijn betekenisloos, of het nu de AVG is of het artikel over door rood rechtsaf fietsen uit de Wegenverkeerswet. Waarom die handhaving zo langzaam gaat, weet ik niet precies. Voor een deel zal het de complexiteit van de verwerking zijn, kom ermaar eens écht achter wat Facebook en consorten doet. En je wilt ook geen fouten maken want je weet dat je dan een rechtszaak tegen je krijgt. En het is politiek gevoelig, zo’n boetebesluit. Maar onderaan de streep blijft dan wel het probleem dat die wet met voeten getreden blijft.

Arnoud

ISP Bahnhof blokkeert toegang tot Elsevier uit protest, mag dat?

| AE 10946 | Ondernemingsvrijheid | 4 reacties

Een rechtbank heeft de Zweedse provider Bahnhof bevolen enkele internetdomeinen te blokkeren na claims van uitgever Elsevier van inbreuk op auteursrechten. Dat meldde Tweakers maandag. In antwoord daarop blokkeert Bahnhof de toegang tot de sites van de uitgever zelf, en bezoekers van deze uitgever mogen de site van de ISP niet meer bekijken. Dit als ludiek protest nu men hoger beroep te duur en te weinig kansrijk acht. Niet dat er veel medewerkers van Elsevier vanaf hun werk een abonnement bij een Zweedse internetprovider willen nemen, maar toch. Het gaat om het principe. Maar dan krijg je altijd van die principiële mensen terug die dan roepen, maar ho ho mag dat wel van netneutraliteit?

In Europa hebben we sinds 2015 netneutraliteit verankerd in een Verordening, een Europese wet. De hoofdregel uit deze Verordening is vrij simpel:

Aanbieders van internettoegangsdiensten behandelen bij het aanbieden van internettoegangsdiensten alle verkeer op gelijke wijze, zonder discriminatie, beperking of interferentie, en ongeacht de verzender en de ontvanger, de inhoud waartoe toegang wordt verleend of die wordt verspreid, de gebruikte of aangeboden toepassingen of diensten, of de gebruikte eindapparatuur.

Daar is weinig juridisch aan, je mag als ISP dus geen enkele discriminatie of blokkade instellen tegen iemands internetgebruik. Niet bij je klanten, en niet bij derden. Ook niet als ze jou net bij de rechter tot een blokkade hebben gedwongen.

Zo’n blokkade mag dan op zich weer wel:

Aanbieders van internettoegangsdiensten treffen geen verkeersbeheersmaatregelen die verder gaan dan de in de tweede alinea bedoelde maatregelen, en gaan met name niet over tot het blokkeren, vertragen, wijzigen, beperken of degraderen van, interfereren met of discrimineren tussen specifieke inhoud, toepassingen of diensten, of specifieke categorieën daarvan, behalve indien — en slechts zolang — dit nodig is om:
a) te voldoen aan de wetgevingshandelingen van de Unie of de nationale wetgeving die in overeenstemming is met het Unierecht, waar de aanbieder van de internettoegangsdiensten onder valt, of aan de met het Unierecht in overeenstemming zijnde maatregelen ter uitvoering van dergelijke wetgevingshandelingen van de Unie of dergelijke nationale wetgeving, met inbegrip van beslissingen van rechters of overheidsinstanties die ter zake bevoegd zijn;

Als het moet van de wet, of van de rechter die de wet heeft toegepast, dan is een blokkade of beperkende maatregel dus wel mogelijk binnen netneutraliteit. Elsevier heeft dus het recht aan haar zijde. Formeel zou Bahnhof dus op de vingers getikt kunnen worden voor haar tegenactie, hoewel ik het gezien de achtergrond en deze zeer beperkte scope (en het feit dat ze alleen haar eigen klanten dupeert, wat zich vanzelf oplost na wat klachten bij de helpdesk lijkt me) niet kan voorstellen dat de Zweedse telecomtoezichthouder hier wat van gaat vinden.

Arnoud

Mag de ACM met mystery shoppers internetwinkels gaan testen en domeinnamen laten afsluiten?

| AE 10757 | Regulering | 15 reacties

Met dit wetsvoorstel worden enkele aspecten ter uitvoering van verordening (EU) 2017/2394 (CPC-verordening) geregeld. Met die kandidaat voor saaiste zin ooit opent de internetconsultatie voor het stellen van nieuwe bevoegdheden voor toezichthouders onder het consumentenrecht, zoals onze Autoriteit Consument en Markt (ACM). Het voorstel noemt onder meer een expliciete bevoegdheid om met valse gegevens bestellingen… Lees verder

Hoe kan WhatsApp alle Duitse klanten uitzonderen van haar Facebookkoppeling?

| AE 8967 | Privacy, Regulering | 12 reacties

Facebook moet WhatsApp-data wissen van Duitse privacywaakhond, meldde Tweakers vorige week. De privacytoezichthouder van de deelstaat Hamburg (waar Facebook gevestigd is) heeft bepaald dat de recente Facebook/Whatsapp-koppeling in strijd is met de Duitse Wet bescherming persoonsgegevens. Facebook mag nu geen gegevens van Duitse WhatsApp-gebruikers meer hebben. Maar hoe kan Facebook dat doen, vroegen diverse mensen… Lees verder

Wat is beter voor open source: rechtszaken of praten?

| AE 8911 | Intellectuele rechten | 16 reacties

Oh oh, Linus Torvalds in de bocht in een discussie bij de Linuxfoundation over GPL handhaving. Dan weet je het wel. De stelling was: “we can all decide to give up on the GPL, or we can enforce it in Courts.” Torvalds, zeer karakteristiek: “this arguing for lawyering has become a nasty festering disease, and… Lees verder

Gastpost: Cameratoezicht goed bekeken

| AE 6841 | Security | 18 reacties

Omdat ik met vakantie ben deze week een aantal bijdragen van vaste bezoekers. Vandaag IT-er Sander van Loosbroek over cameratoezicht vandaag de dag. Het gebruik van beveiligingscamera’s door onze overheid is aan duidelijke regels gebonden. Voor burgers zijn er striktere regels van toepassing maar een gebrek aan kennis over de technische mogelijkheden van camera’s bij… Lees verder

Wat gaan we nou eens doen met die cookiewet?

| AE 6488 | Innovatie, Privacy | 37 reacties

Nederlandse websites schenden massaal de privacywetgeving door informatie over surf- en klikgedrag van bezoekers, zonder hun toestemming, door te geven aan advertentiebedrijven, meldde NRC gisteren. Grote woorden: het gaat zo te lezen om de inzet van Google Analytics en dergelijke tools, niet om drones die bij de bezoeker in de slaapkamer het gedrag livestreamen naar… Lees verder

In strijd met het goed fatsoen – maar wiens fatsoen?

| AE 4724 | Informatiemaatschappij | 25 reacties

Vandaag weer even een filosofisch iets, en dat mag want ik ben jarig. Ik las een intrigerend artikel in de NY Times: Impermium, a Silicon Valley company that helps Web sites deal with unwanted reader comments, has begun marketing technology that identifies “all kinds of harmful content — such as violence, racism, flagrant profanity, and… Lees verder

Gebruikers Google Analytics schenden Nederlandse privacywet

| AE 5901 | Informatiemaatschappij | 23 reacties

Gebruikers van Google Analytics hebben volgens de wet een aparte bewerkersovereenkomst nodig, maar Google weigert dit, zo las ik bij Webwereld. In een onderzoek van de privacytoezichthouder naar persoonsgegevensverwerkende smart TV’s kwam ook voorbij dat je zo’n overeenkomst moet afsluiten als je met Google Analytics werkt. Niemand doet dat, sterker nog niemand kán dat doen… Lees verder