Tag archieven: AP

Belastingdienst erkent overtreding: privacywaakhond grijpt in bij gebruik BSN

De Belastingdienst zet een streep door het gebruik van het burgerservicenummer in zogenoemde betaalkenmerken.

Daarmee komt een einde aan een praktijk die volgens de Autoriteit Persoonsgegevens in strijd is met de privacywetgeving. De toezichthouder concludeert na onderzoek dat het verwerken van het BSN in betalingskenmerken en vorderingsnummers niet noodzakelijk is en dus niet is toegestaan onder de geldende regels.

De maatregel wordt niet van de ene op de andere dag ingevoerd. De Belastingdienst heeft aangekondigd uiterlijk eind 2026 te stoppen met het opnemen van het BSN in nieuwe betalingskenmerken. Het aanpassen van de vorderingsnummers blijkt complexer. Daarvoor is een langere overgangsperiode nodig en die verandering moet volgens de huidige planning uiterlijk in 2032 zijn afgerond. Tot die tijd blijft het systeem deels in gebruik, al staat vast dat het op termijn volledig zal verdwijnen.

klachten van burgers

Aanleiding voor het onderzoek van de Autoriteit Persoonsgegevens waren klachten van burgers. Zij trokken aan de bel omdat hun BSN werd verwerkt in betaalkenmerken die ook bij derden terecht kunnen komen. Denk daarbij aan banken, betaaldienstverleners of partijen die namens iemand een betaling uitvoeren of ontvangen. Volgens de klagers ging de Belastingdienst daarmee over de schreef en schond de organisatie de privacywetgeving.

Die kritiek blijkt terecht. De Autoriteit Persoonsgegevens stelt vast dat de Belastingdienst de Algemene verordening gegevensbescherming en de bijbehorende Uitvoeringswet overtreedt. De fiscus heeft die overtreding zelf al erkend. In 2025 liet de Belastingdienst in een brief aan de toezichthouder weten dat het gebruik van het BSN in deze context niet te rechtvaardigen is volgens de regels.

Foto: Belastingdienst

De kwestie staat niet op zichzelf. Sinds halverwege 2024 staat de Belastingdienst onder verscherpt toezicht van de Autoriteit Persoonsgegevens. De organisatie moet sindsdien op meerdere fronten verbeteringen doorvoeren om de bescherming van persoonsgegevens beter te waarborgen. Daarbij wordt onder meer gekeken naar problemen rond geautomatiseerde selecties en het toezicht op logging, oftewel het vastleggen wie wanneer toegang heeft tot gegevens.

voorrang

Die trajecten krijgen voorrang, omdat de risico’s voor burgers daar groter worden ingeschat. Tegen die achtergrond heeft de Autoriteit Persoonsgegevens ingestemd met de gefaseerde aanpak rond het schrappen van het BSN uit betaalkenmerken en vorderingsnummers. Hoewel er sprake is van een overtreding, speelt mee dat de gegevens in veel gevallen al bekend zijn bij betrokken derden. Banken, curatoren of zelfs familieleden die helpen bij betalingen beschikken vaak al over het burgerservicenummer.

Toch blijft het uitgangspunt dat het gebruik van het BSN tot een minimum moet worden beperkt. Het nummer is een gevoelig persoonsgegeven dat alleen mag worden ingezet als daar een duidelijke wettelijke basis voor is en wanneer het strikt noodzakelijk is. Volgens de toezichthouder is dat bij betaalkenmerken niet het geval, waardoor de Belastingdienst nu wordt gedwongen het systeem aan te passen.

herziening

De komende jaren staan dus in het teken van een ingrijpende herziening van de manier waarop betalingen en vorderingen worden geadministreerd. Dat vraagt niet alleen technische aanpassingen, maar ook veranderingen in processen en systemen die diep in de organisatie zijn verankerd. De Belastingdienst benadrukt dat het zorgvuldig wil handelen om fouten en nieuwe problemen te voorkomen.

Met deze stap probeert de fiscus het vertrouwen van burgers te herstellen en te voldoen aan de strikte eisen van de privacywetgeving. Tegelijkertijd blijft de druk vanuit de toezichthouder hoog om ook op andere terreinen snel verbeteringen door te voeren.

Zorgen over privacy: algoritmes maken keuzes over jouw leven en niemand weet waarom

De opmars van algoritmes en kunstmatige intelligentie in het dagelijks leven roept bij veel Nederlanders meer zorgen dan vertrouwen op.

Dat blijkt uit het onderzoeksrapport Algoritmes en AI, uitgevoerd in opdracht van de Autoriteit Persoonsgegevens. Burgers erkennen dat slimme systemen steeds vaker bepalen wat ze te zien krijgen, welke kansen ze krijgen en zelfs welke beslissingen over hen worden genomen, maar begrijpen vaak niet hoe dat precies gebeurt.

Hoewel een ruime meerderheid aangeeft regelmatig in aanraking te komen met algoritmes en AI, blijft de werking ervan voor velen een raadsel. “Begrijpen hoe het werkt, doen we toch niet helemaal”, klinkt het in de focusgroepen. Dat gebrek aan inzicht zorgt voor groeiende zorgen, met name op het gebied van privacy en informatiebeveiliging. Zo geeft bijna 60 procent van de ondervraagden aan zich zorgen te maken over hoe hun gegevens worden gebruikt.

De angst wordt gevoed door het gevoel dat burgers de controle verliezen. Persoonsgegevens worden op grote schaal verzameld via sociale media, online aankopen en digitale diensten, zonder dat altijd duidelijk is wat er vervolgens mee gebeurt. “Soms hoor je pas jaren later dat jouw gegevens ergens zijn verkocht”, aldus een deelnemer aan het onderzoek.

Tegelijkertijd erkennen burgers ook de voordelen van AI. Technologie kan processen versnellen, medische diagnoses verbeteren en toegang tot informatie vergemakkelijken. Toch wegen deze voordelen voor veel mensen niet op tegen de risico’s. Slechts een klein percentage geeft aan zich veiliger of gelukkiger te voelen door het gebruik van algoritmes.

grote impact

Opvallend is uit het onderzoeksrapport dat bijna één op de vijf Nederlanders zegt ooit een nadelige beslissing te hebben ervaren van een organisatie zonder uitleg. Denk aan het afwijzen van sollicitaties, het blokkeren van accounts of het niet krijgen van een lening. De impact hiervan kan groot zijn, variërend van financiële problemen tot gevoelens van onrecht en machteloosheid. “Een foute database kan leiden tot verkeerde conclusies en uitsluiting. Dat moeten we voorkomen.”

“AI lijkt een zegen, maar kan ook een vloek zijn of worden.”

Toch onderneemt lang niet iedereen actie. Twee op de vijf mensen die zo’n beslissing meemaakten, deden geen melding. Vaak weten ze niet waar ze terecht kunnen of twijfelen ze aan het nut ervan. “Zonder dat weet je helemaal niet waar je moet beginnen”, klinkt het.

Neemt een organisatie een automatisch besluit over iemand? Dan heeft diegene vaak recht op een menselijke blik. Dat betekent: dat een medewerker van de organisatie meekijkt bij het besluit. Uit onderzoek van de Autoriteit Persoonsgegevens (AP) blijkt echter dat mensen dit niet altijd weten.

Hoewel veel burgers zeggen hun rechten te kennen, blijkt de praktijk weerbarstig. Informatie over privacy en gegevensgebruik is vaak ingewikkeld en juridisch geformuleerd. Daardoor begrijpen mensen niet goed waar ze mee instemmen als ze akkoord gaan met voorwaarden. “Je moet haast jurist zijn om te snappen waar je precies mee instemt.”

Daarbij leeft ook het idee dat organisaties onvoldoende te vertrouwen zijn als het gaat om zelfregulering. “Het voelt alsof de slager zijn eigen vlees keurt”, zeggen deelnemers. Er is dan ook een duidelijke roep om strengere controle en meer transparantie vanuit onafhankelijke toezichthouders.

Illustratie: © Pitane Blue – AI algoritmes bepalen de keuze

De Autoriteit Persoonsgegevens (AP) deed onderzoek onder 1.480 mensen naar hun kijk op algoritmes en persoonsgegevens. Het onderzoek ging onder meer over automatische besluiten. Dat zijn besluiten over mensen die vaak door een algoritme worden genomen.

De Autoriteit Persoonsgegevens wordt door veel burgers gezien als de belangrijkste beschermer van hun privacy, maar tegelijkertijd is de rol van de organisatie niet voor iedereen duidelijk. Er klinkt een sterke wens voor een centraal meldpunt waar misbruik eenvoudig gemeld kan worden en waar zichtbaar actie wordt ondernomen.

Daarnaast blijkt dat bijna de helft van de Nederlanders behoefte heeft aan meer uitleg over hoe zij hun persoonsgegevens kunnen beschermen. Die informatie moet vooral duidelijk, praktisch en begrijpelijk zijn. Voorlichting via websites, campagnes en zelfs scholen wordt genoemd als belangrijke stap om burgers weer grip te geven op hun digitale leven.

De conclusie van het onderzoek is helder: algoritmes en AI zijn niet meer weg te denken uit de samenleving, maar het vertrouwen van burgers blijft achter. Zolang onduidelijk blijft hoe beslissingen tot stand komen en wat er met persoonlijke data gebeurt, zullen zorgen de boventoon blijven voeren. Zoals een deelnemer het treffend samenvat: “AI lijkt een zegen, maar kan ook een vloek zijn of worden.”

De handvatten Recht op uitleg bij geautomatiseerde besluitvorming staan nu op de website ter consultatie. Dat betekent dat u input kunt geven. Input van iedereen is welkom. 

Contactgegevens Booking.com op straat: datalek en vrees voor misbruik groeit

Booking.com heeft in een e-mail aan klanten bevestigd dat het bedrijf te maken heeft gehad met een datalek.

Daarbij zijn gevoelige gegevens van boekingen in handen gekomen van onbevoegden, wat volgens het platform risico’s met zich meebrengt voor reizigers. De omvang van het lek is nog onduidelijk, maar vaststaat dat informatie die eerder met accommodaties werd gedeeld, nu mogelijk op straat ligt.

Het gaat voornamelijk om persoonlijke gegevens die gekoppeld zijn aan reserveringen. Namen, adressen, telefoonnummers en e-mailadressen maken deel uit van de buitgemaakte data. Booking.com geeft geen exact aantal getroffen klanten en blijft ook vaag over de volledige reikwijdte van het incident. Wel wordt bevestigd dat informatie die normaal gesproken tussen klant en hotel wordt uitgewisseld, onderdeel is van het lek.

waarschuwingsmail

In de waarschuwingsmail aan klanten benadrukt Booking.com dat gebruikers alert moeten zijn op verdachte communicatie. Het bedrijf schrijft letterlijk dat klanten rekening moeten houden met “verdachte mailtjes, appjes en telefoontjes”. Hoewel er geen aanwijzingen zijn dat zeer gevoelige gegevens zoals creditcardinformatie zijn buitgemaakt, blijft voorzichtigheid geboden. Die gegevens zouden volgens het bedrijf buiten bereik zijn gebleven, in tegenstelling tot eerdere incidenten in de telecomsector waarbij dergelijke informatie wel werd getroffen.

De Autoriteit Persoonsgegevens (AP) is inmiddels op de hoogte gesteld van het datalek bij Booking.com, dat naar buiten kwam via een bericht aan klanten. Volgens de geldende regels zijn bedrijven verplicht om dergelijke incidenten te melden bij de toezichthouder in het land waar zij gevestigd zijn. In dit geval betekent dat dat de situatie onder het vergrootglas ligt van de privacywaakhond, die moet beoordelen of alles volgens de regels is verlopen.

Het grootste gevaar schuilt volgens kenners in gerichte oplichtingspraktijken. Doordat criminelen beschikken over correcte boekingsinformatie, kunnen zij overtuigend overkomen. Denk aan berichten via WhatsApp waarin gevraagd wordt om een extra betaling voor een verblijf, of e-mails die nauwelijks van echt te onderscheiden zijn en zogenaamd afkomstig zijn van Booking.com of het geboekte hotel. De combinatie van juiste namen, reisdata en accommodaties maakt deze vorm van fraude bijzonder geloofwaardig.

Daarnaast bestaat het risico dat boekingen worden gemanipuleerd of zelfs overgenomen. Met bepaalde gegevens, zoals een reserveringsnummer of boekingscode, is het in sommige gevallen mogelijk om wijzigingen door te voeren. In uitzonderlijke situaties zou een reis zelfs geannuleerd kunnen worden door kwaadwillenden. Ook telefonische fraude ligt op de loer. Reizigers kunnen tijdens hun verblijf worden benaderd door iemand die zich voordoet als medewerker en om aanvullende verificatie vraagt. Omdat de beller precies weet waar en wanneer iemand reist, wekt dit snel vertrouwen.

Foto: © Pitane Blue – booking.com

De melding bij de AP vormt een standaardprocedure bij datalekken, maar dat betekent niet dat de zaak daarmee is afgedaan. Integendeel, de toezichthouder kijkt samen met Booking.com naar de oorzaak van het lek en de maatregelen die zijn genomen om verdere schade te beperken. Daarbij wordt onder meer onderzocht hoe de gegevens precies in verkeerde handen konden vallen en of de beveiliging van het platform voldoende op orde was.

Vooral klanten die zonder account een boeking hebben gedaan, lopen extra risico. Zij ontvangen vaak directe links waarmee hun reservering kan worden beheerd. Als deze links of codes in verkeerde handen vallen, kunnen criminelen relatief eenvoudig misbruik maken van de situatie. Daarom is het van groot belang om kritisch te kijken naar de afzender van berichten en niet zomaar op links te klikken.

wachtwoord

Gebruikers met een account wordt geadviseerd hun wachtwoord te wijzigen. Wie gebruikmaakt van tweestapsverificatie heeft al een extra beveiligingslaag, maar ook dan kan een wachtwoordwijziging geen kwaad. Voor iedereen zonder deze extra beveiliging geldt dat het inschakelen ervan sterk wordt aangeraden.

Booking.com benadrukt dat betalingen nooit via WhatsApp, e-mail of telefoon worden gevraagd, maar uitsluitend via de eigen website verlopen. Wie toch twijfelt over een bericht, doet er verstandig aan rechtstreeks contact op te nemen met het bedrijf. De boodschap is duidelijk: wees alert en laat je niet onder druk zetten door ogenschijnlijk betrouwbare verzoeken.

De situatie onderstreept opnieuw hoe kwetsbaar persoonlijke gegevens kunnen zijn, zeker wanneer deze op meerdere plekken worden gedeeld binnen de reisbranche. Klanten doen er goed aan de komende tijd extra waakzaam te blijven, juist omdat oplichters inspelen op actuele gebeurtenissen en bekende namen.

ILT reageert op kritiek: privacy bij taxidatabase krijgt prioriteit

De Inspectie Leefomgeving en Transport (ILT) neemt de opmerkingen van de Autoriteit Persoonsgegevens ter harte. Ondanks deze geruststellingen blijven privacy-experts sceptisch.

De Inspectie Leefomgeving en Transport (ILT) heeft gereageerd op de zorgen van de Autoriteit Persoonsgegevens (AP) over het plan voor een centrale database taxivervoer (CDT). De ILT benadrukt dat het voorstel zorgvuldig is ontwikkeld, met specifieke aandacht voor de privacy van zowel passagiers als taxichauffeurs. Volgens de ILT is de database bedoeld om toezicht te verbeteren en niet om passagiersgegevens te verzamelen of te verwerken.

alleen chauffeursgegevens

De ILT maakt duidelijk dat de CDT alleen ritgegevens van taxichauffeurs registreert bij zakelijke ritten. “Er worden geen gegevens van passagiers opgeslagen, laat staan verwerkt,” aldus de inspectie. Dit betekent dat informatie zoals gps-coördinaten van ophaal- en afleverlocaties uitsluitend gekoppeld is aan chauffeurs en niet herleidbaar is naar individuele passagiers. 

Hoewel de Inspectie Leefomgeving en Transport (ILT) benadrukt dat de centrale database taxivervoer (CDT) uitsluitend gegevens van taxichauffeurs verwerkt, waarschuwen privacy-experts dat reisgegevens alsnog patronen kunnen blootleggen. Het kabinet en de ILT claimen dat passagiersgegevens niet worden opgeslagen, maar de opgeslagen gps-coördinaten van ritten kunnen in praktijk alsnog leiden tot indirecte identificatie van passagiers en hun reisgedrag.

Experts wijzen erop dat zelfs zonder expliciete opslag van passagiersgegevens het mogelijk is om patronen te herkennen die herleidbaar zijn tot specifieke personen. “Als iemand bijvoorbeeld elke ochtend een taxi neemt vanaf dezelfde locatie naar een werkplek, kun je die persoon eenvoudig identificeren,” stelt een privacyadviseur. Daarnaast kunnen gevoelige bestemmingen, zoals een ziekenhuis of een therapeut, een duidelijk beeld geven van iemands privéleven.

veiligheid

Het doel van de CDT is volgens de ILT om de veiligheid en kwaliteit in de taximarkt te waarborgen. Door een centrale opslag kunnen taxi-inspecteurs efficiënter controleren of chauffeurs zich aan de regels houden, zoals de wettelijke arbeidstijden en ritregistratie.

De ILT stelt dat privacybescherming bij de invoering van de database een speerpunt is. Om dit te onderstrepen, zijn er twee uitgebreide DPIA’s (data protection impact assessments) uitgevoerd. Deze analyses hebben mogelijke risico’s voor de bescherming van persoonsgegevens in kaart gebracht en geleid tot de implementatie van diverse veiligheidsmaatregelen.

Foto: © Pitane Blue – Centrale Database Taxi

Hoewel de Inspectie Leefomgeving en Transport (ILT) benadrukt dat de centrale database taxivervoer (CDT) uitsluitend gegevens van taxichauffeurs verwerkt, waarschuwen privacy-experts dat reisgegevens alsnog patronen kunnen blootleggen.

In een reactie aan de ICT-dienstverleners naar aanleiding van de AP berichtgeving schrijft ILT: “De CDT is een gesloten systeem waarbij alleen bevoegde taxi-inspecteurs toegang hebben.” Volgens ILT is het systeem voorzien van logging en autorisaties om misbruik of onbevoegde toegang te voorkomen. Daarnaast geldt een wettelijke bewaartermijn van twee jaar voor de opgeslagen gegevens. Deze termijn sluit aan bij de regels in de Arbeidstijdenwetgeving. Na deze periode worden de data automatisch vernietigd.

Autoriteit Persoonsgegevens 

Ondanks de geruststellende woorden van de ILT blijft de AP waakzaam. Volgens bestuurslid Katja Mur blijven er risico’s bestaan, zoals de mogelijkheid van ‘function creep’ of datalekken. De AP heeft de overheid geadviseerd om verdere waarborgen te creëren en alternatieven te overwegen waarbij de verzameling van gps-gegevens wordt beperkt.

Het is nu aan het kabinet om de balans te vinden tussen efficiënt toezicht en privacybescherming. De ILT benadrukt dat alle inspanningen in het belang zijn van zowel passagiers als chauffeurs. “Een betrouwbare en veilige taximarkt is uiteindelijk waar we samen naar streven,” aldus de inspectie.

Kritiek: kabinet moet privacy beter beschermen in strijd om toezicht taxi’s

Het voorstel voor de database staat nog in de kinderschoenen, maar de zorgen van de AP werpen een schaduw over de plannen.

Het kabinet werkt aan plannen voor een centrale database met informatie over alle taxiritten in Nederland. Hierbij zouden onder andere de gps-coördinaten van het begin- en eindpunt van elke rit worden opgeslagen. De Autoriteit Persoonsgegevens (AP) heeft zware kritiek geuit op het voorstel, dat volgens hen de privacy van passagiers onvoldoende beschermt en serieuze risico’s met zich meebrengt.

De centrale database is bedoeld om de Inspectie Leefomgeving en Transport (ILT) te helpen bij het controleren of taxichauffeurs zich aan de regels houden. Op dit moment worden ritgegevens alleen lokaal opgeslagen op de boordcomputers in taxi’s. Inspecteurs van de ILT moeten deze data fysiek uitlezen, wat tijdrovend is. Met het nieuwe voorstel zouden de ritgegevens direct naar de ILT worden verzonden en in één landelijke database worden opgeslagen. Dit moet controle efficiënter maken, maar roept volgens privacy-experts vragen op over proportionaliteit en gegevensbescherming.

privacyrisico’s

AP-bestuurslid Katja Mur laat geen spaan heel van het voorstel. “We begrijpen dat het kabinet toezicht wil vergemakkelijken,” zegt Mur. “Maar door de exacte gps-coördinaten van elke rit op te slaan in één centrale database, stel je mensen die gebruik maken van een taxi onnodig bloot aan privacyrisico’s. Passagiers verdienen een betere bescherming.”

Gps-coördinaten maken het mogelijk om precies te achterhalen waar iemand is opgehaald en waar diegene naartoe is gebracht. Volgens Mur kan dit tot ongemakkelijke en zelfs schadelijke situaties leiden. “Stel je woont in een afgelegen straat met weinig buren. Met deze gegevens kan iemand vrij eenvoudig ontdekken waar je naartoe gaat, bijvoorbeeld elke week naar een therapeut of een kliniek voor plastische chirurgie. Dit zijn persoonlijke zaken waarvan mensen erop moeten kunnen vertrouwen dat ze privé blijven.”

gevaar van datalekken

De AP benadrukt dat het risico op datalekken reëel is. “Een datalek zit vaak in een klein hoekje,” waarschuwt Mur. “Of het nu gaat om een menselijke fout, een kwaadwillende medewerker of een hacker. We hebben al vaak gezien dat dit fout kan gaan, zelfs bij overheidsinstellingen.”

Daarnaast wijst de AP op het risico van ‘function creep’, waarbij data uiteindelijk ook voor andere doeleinden worden gebruikt dan oorspronkelijk bedoeld. “Misschien wil de politie op een gegeven moment toegang tot deze gegevens,” stelt Mur. “Of de Belastingdienst en gemeenten zien het als handig middel om mogelijke fraude op te sporen. Door deze data te koppelen aan andere gegevens kan de overheid mensen op de voet volgen. Dat moeten we absoluut niet willen.”

Foto: © Pitane Blue – Gebruik van de CDT apparaten

De AP wijst het kabinet erop dat het de grote risico’s weg moet nemen in een nieuwe versie van het voorstel. Zo mag de ILT alleen locatiegegevens verzamelen als het kabinet goede redenen kan geven waarom dat per se moet. Die redenen geeft het kabinet nu niet.

Een ander kritiekpunt is dat het huidige voorstel niet duidelijk maakt hoe lang de gegevens bewaard blijven. “Er moet een harde grens komen,” aldus Mur. “Zodra de gegevens niet meer nodig zijn, moeten ze worden vernietigd. Want data die je niet hebt, kunnen ook niet lekken.” De AP stelt daarnaast voor om de verzamelde gps-gegevens minder nauwkeurig te maken. Dit zou het risico verkleinen dat individuele passagiers herleidbaar zijn. Tot slot dringt de toezichthouder erop aan dat het kabinet eerst harde argumenten aandraagt waarom de opslag van locatiegegevens überhaupt noodzakelijk is.

politieke druk

Maatschappelijke organisaties en privacyactivisten hebben inmiddels hun steun uitgesproken voor de kritische noten van de AP. Tegelijkertijd staat het kabinet onder druk om beter toezicht te organiseren op de taxibranche, waar misstanden zoals zwartwerken en concurrentievervalsing een probleem blijven. Hoe de overheid de balans tussen efficiënter toezicht en de bescherming van privacy denkt te vinden, blijft vooralsnog onduidelijk. Met de stevige waarschuwingen van de AP lijkt het zeker dat er aanpassingen nodig zijn voordat het voorstel politiek en maatschappelijk draagvlak kan krijgen.

AP: Uber krijgt recordboete van 290 miljoen voor schending privacyregels

De Autoriteit Persoonsgegevens (AP) heeft de taxidienst Uber een boete opgelegd van maar liefst 290 miljoen euro, de hoogste privacyboete die ooit in Nederland is uitgedeeld.

Deze beslissing komt voort uit ernstige overtredingen van de Algemene Verordening Gegevensbescherming (AVG), waarbij Uber persoonsgegevens van Europese chauffeurs naar de Verenigde Staten heeft doorgestuurd zonder de vereiste bescherming. Volgens de AP heeft Uber de persoonsgegevens van duizenden chauffeurs uit de Europese Unie op een onzorgvuldige manier naar servers in de Verenigde Staten verplaatst. Dit gebeurde zonder adequate waarborgen, waardoor de gegevens kwetsbaar werden voor ongeoorloofde toegang en misbruik. De toezichthouder benadrukt dat Uber hiermee in strijd heeft gehandeld met de AVG, die strikte regels oplegt voor de bescherming van persoonsgegevens, vooral bij overdracht naar landen buiten de Europese Economische Ruimte (EER).

waarborgen

De AP stelt in haar rapport dat Uber heeft gefaald in het implementeren van voldoende technische en organisatorische maatregelen om de veiligheid van de gegevens te waarborgen. “Dit is een ernstige schending van de privacy van Europese burgers,” aldus de voorzitter van de AP. “Bedrijven die opereren in Europa moeten zich houden aan de strikte regels die zijn opgesteld om de privacy van onze burgers te beschermen. De boete weerspiegelt de ernst van de overtreding en moet een duidelijke boodschap afgeven aan alle bedrijven die denken dat ze zonder gevolgen kunnen handelen.”

“In Europa beschermt de AVG de grondrechten van mensen, door te eisen dat bedrijven en overheden zorgvuldig met persoonsgegevens omgaan” zegt AP-voorzitter Aleid Wolfsen. Maar buiten Europa is dat helaas niet vanzelfsprekend. Denk aan overheden die op grote schaal data kunnen aftappen.”

Volgens de AP heeft Uber in een periode van meer dan twee jaar diverse gevoelige gegevens van chauffeurs verzameld en opgeslagen op servers in de VS. Het ging hierbij niet alleen om accountgegevens en taxilicenties, maar ook om locatiegegevens, foto’s, betaalgegevens en identiteitsbewijzen. Wat de zaak extra ernstig maakt, is dat Uber ook strafrechtelijke en medische gegevens van chauffeurs naar de VS heeft doorgestuurd, zonder gebruik te maken van een passend doorgifte-instrument. Hierdoor konden de gegevens blootgesteld worden aan risico’s zoals ongeoorloofde toegang en misbruik.

De AP oordeelt dat Uber hiermee in ernstige mate heeft gehandeld in strijd met de Algemene Verordening Gegevensbescherming (AVG), die strikte eisen stelt aan de bescherming van persoonsgegevens. De wet vereist dat wanneer gegevens van EU-burgers worden doorgegeven naar landen buiten de Europese Economische Ruimte (EER), er adequate maatregelen moeten worden genomen om de gegevens te beschermen. Dit kan bijvoorbeeld door het gebruik van standaardcontractbepalingen of andere doorgifte-instrumenten die zijn goedgekeurd door de Europese Commissie. In het geval van Uber ontbraken deze maatregelen, waardoor de bescherming van de persoonsgegevens ernstig tekortschoot.

discussie

De juridische strijd die nu mogelijk zal volgen, kan de aandacht vestigen op een bredere discussie over de naleving van de privacywetten door grote internationale bedrijven. Experts wijzen erop dat het niet de eerste keer is dat Uber onder vuur ligt vanwege haar omgang met privacykwesties. In 2018 kreeg het bedrijf al een boete van 600.000 euro van de AP vanwege een datalek in 2016 waarbij de gegevens van 57 miljoen gebruikers, waaronder 174.000 Nederlanders, op straat kwamen te liggen. Dit nieuwe incident versterkt de bezorgdheid over hoe technologiebedrijven de privacy van hun gebruikers beheren en roept vragen op over de doeltreffendheid van de huidige regelgeving.

De AP is een onderzoek gestart naar Uber nadat meer dan 170 Franse chauffeurs een klacht indienden bij de Ligue des droits de l’Homme (LDH), een Franse belangenorganisatie op het gebied van mensenrechten. LDH diende vervolgens een klacht in bij de Franse privacytoezichthouder.

De Europese Unie heeft in de afgelopen jaren haar wetgeving rond gegevensbescherming aangescherpt, met de AVG als een van de meest ingrijpende maatregelen. De AVG verplicht bedrijven om strikte voorzorgsmaatregelen te nemen bij de verwerking van persoonsgegevens en legt zware boetes op bij overtredingen.

EER

De uitspraak van de AP kan ook bredere implicaties hebben voor andere technologiebedrijven die actief zijn in Europa. Bedrijven die gegevens van EU-burgers verwerken, moeten ervoor zorgen dat zij voldoen aan de AVG, zelfs wanneer deze gegevens worden doorgegeven aan landen buiten de EER. Dit incident benadrukt het belang van robuuste beveiligingsmaatregelen en de noodzaak om transparant te zijn over hoe gegevens worden beheerd en beschermd.

Hoewel Uber zich verzet tegen de boete, is de kans groot dat dit een lang juridisch gevecht zal worden. Mocht de boete standhouden, dan zou dit een precedent kunnen scheppen voor toekomstige handhavingsacties tegen andere bedrijven die de AVG niet naleven. De uitkomst van deze zaak zal met veel belangstelling worden gevolgd door zowel de technologie-industrie als privacy-activisten.

Toename klachten bij Autoriteit Persoonsgegevens

De Autoriteit Persoonsgegevens maakt melding dat het aantal privacyklachten sterk blijft toenemen. Ruim 15.000 mensen hebben in de eerste zes maanden van dit jaar een klacht ingediend bij de Autoriteit Persoonsgegevens (AP). Dat is bijna 60% meer dan in de tweede helft van 2018.

Een verklaring hiervoor is dat de mogelijkheid om privacyklachten in te dienen nieuw is in Nederland en steeds bekender wordt. Ook speelt waarschijnlijk een rol dat Nederland een sterk gedigitaliseerd land is. Mensen maken zich zorgen over hun privacy en klagen over een schending van hun privacyrechten. Zij lopen bijvoorbeeld vast bij een inzageverzoek of het verzoek om verwijdering van hun gegevens. Dit speelt vooral bij zakelijke dienstverleners, zoals energieleveranciers en de detailhandel.

Voorzitter Aleid Wolfsen:

“De toename is enorm. Iedere klacht verdient vanzelfsprekend de best passende behandeling. Daar werken we hard aan. Maar er is een grens aan wat realistisch is met een beperkt aantal medewerkers. Er moet een structurele oplossing komen, zodat we de klachten adequaat kunnen blijven behandelen. Daarover zijn we in gesprek met JenV. De bescherming van je privacy is een grondrecht, het mag nooit een wassen neus worden.”

Met de Algemene verordening gegevensbescherming (AVG) zijn de privacyrechten van mensen versterkt: iedereen kan sinds 25 mei 2018 een privacyklacht indienen bij de Autoriteit Persoonsgegevens (AP). Dat kan als iemand vermoedt dat zijn/haar persoonsgegevens zijn verwerkt op een manier die in strijd is met de privacywet. De tweede halfjaarrapportage geeft inzicht in de klachten die de AP heeft ontvangen in 2019 en de manier waarop de klachten zijn behandeld.

Wijze van behandeling.

15.313 mensen hebben in het eerste zes maanden van 2019 een privacyklacht ingediend bij de AP. Dat is een toename van 59% ten opzichte van het laatste half jaar van 2018. Ook het aantal internationale klachten is sterk toegenomen. Een verklaring voor het grote aantal klachten is dat de mogelijkheid om privacyklachten in te dienen nieuw is in Nederland en steeds bekender wordt. Ook speelt waarschijnlijk een rol dat Nederland een sterk gedigitaliseerd land is.

De AP heeft in de eerste helft van 2019 ruim 10.000 klachten afgerond. Veel telefonische klachten konden direct naar tevredenheid worden behandeld. De schriftelijke klachten zijn opgelost door op te treden tegen een overtreding door een brief te versturen met normuitleg, te bemiddelen of een normoverdragend gesprek te voeren (16%). In veel andere gevallen (29%) hebben medewerkers van de AP mensen op weg geholpen om zelf een klacht in te dienen bij de organisatie waarover de klacht gaat. Er lopen 68 onderzoeken naar aanleiding van een veelvoud aan klachten (2018: 20).

Het aantal klachten dat binnenkomt is groter dan de AP kan afhandelen met de huidige onderzoekscapaciteit. Hierdoor is in de loop van de maanden een achterstand ontstaan in de behandeling van klachten. Om deze toenemende hoeveelheid klachten en de toegenomen werkvoorraad adequaat te kunnen behandelen, is een oplossing nodig. De AP is hierover in gesprek met JenV.

Onderwerp van klachten.

De meeste klachten (32%) gaan over een schending van een privacyrecht, zoals het recht op inzage en het recht op verwijdering. Mensen krijgen bijvoorbeeld geen of geen volledige inzage in hun gegevens als ze daarom vragen of ondervinden drempels als zij persoonsgegevens verwijderd willen hebben.

Mensen klagen ook vaak (13%) over organisaties die persoonsgegevens doorgeven aan derden terwijl zij dit niet weten of willen. Zij worden bijvoorbeeld gebeld door onbekende bedrijven voor direct marketingdoelen.

Zakelijke dienstverleners (46%), de overheid (14%) en de IT-sector (13%) zijn de sectoren waarover de AP de meeste klachten ontvangt. Bij zakelijke dienstverleners, zoals energieleveranciers en de detailhandel gaan de klachten vooral over privacyrechten van mensen en direct marketing. Bij de overheid komt de rechtmatigheid van gegevensverwerkingen het meest aan de orde. Wat opvalt is dat veel klachten binnen het sociaal domein gaan over het doorgeven van persoonsgegevens aan derden.

Link: Van Nieuwenhuizen informeert over data binnen de mobiliteitssector