Hoe veilig is Office365 eigenlijk?

Veel bedrijven, groot en klein maken gebruik van de services van Microsoft. Die zijn handig en bekend. De strategie van Microsoft om ons allemaal naar hun cloud te krijgen mag dan ook een succes genoemd worden. Maar hoe zit het met de beveiliging?

Cookiewalls niet toegestaan volgens AP

Iedereen zal bekend zijn met cookies. Cookies zijn kleine bestanden die de aanbieder van een website op de computer, telefoon of tablet van een bezoeker plaatst. Met cookies kan informatie worden verzameld of opgeslagen over het websitebezoek van de bezoeker. Het gebruik van cookies is geregeld in de Telecommunicatiewet. Daarin is bepaald dat bezoekers van een website moeten worden geïnformeerd over het plaatsen en uitlezen van cookies op hun apparaat en dat hiervoor in bepaalde gevallen toestemming is vereist. Daarnaast is op bijvoorbeeld tracking cookies (in combinatie met overige gegevens die over het websitebezoek worden verzameld) ook de Algemene verordening gegevensbescherming (AVG) van toepassing. Onlangs publiceerde de Autoriteit Persoonsgegevens (AP) een normuitleg over cookiewalls waarin zij duidelijk maakt dat cookiewalls in strijd zijn met de AVG en daarom niet zijn toegestaan.

Verschillende soorten cookies

Er bestaan verschillende soorten cookies. Er zijn cookies die technisch noodzakelijk zijn om de website goed te laten werken. Deze zogeheten functionele cookies zijn bijvoorbeeld nodig om in te loggen, af te rekenen in een webshop of voor taalkeuzes. Voor deze cookies is geen toestemming vereist. Ook bestaan er analystische cookies. Deze verschaffen inzicht in het functioneren van een website. Zulke cookies mogen geen of maar weinig gevolgen hebben voor de privacy van bezoekers. Anders is er toestemming vereist. Dit is bijvoorbeeld het geval als er gebruik wordt gemaakt van Google Analytics. Wel kan Google Analytics met gebruik van deze handleiding van de AP zo worden ingesteld dat u de privacy van uw bezoekers zo goed mogelijk beschermt. Tot slot zijn er de tracking cookies. Bij tracking cookies gaat het om gegevens over het internetgedrag van gebruikers. Tracking cookies kunnen bijhouden welke websites iemand bezoekt. Uit de informatie over bezochte websites kunnen persoonlijke interesses worden afgeleid. Op basis hiervan kunnen organisaties hun websitebezoekers bijvoorbeeld gerichte advertenties tonen. Met tracking cookies worden doorgaans persoonsgegevens verwerkt. Omdat deze cookies niet noodzakelijk zijn voor de gevraagde dienst en voor het functioneren van de website, is voor het gebruik van tracking cookies toestemming van de websitebezoeker nodig.

Cookiewalls niet toegestaan

Een cookiewall houdt in dat mensen die een website willen bezoeken of app willen gebruiken, de vraag krijgen om cookies te accepteren voordat zij daartoe toegang krijgen. Geven zij geen toestemming, dan krijgen zij geen toegang. Zoals gezegd is voor het plaatsen van tracking cookies toestemming van de bezoeker nodig. Hetzelfde geldt voor andere ‘volgsoftware’ of digitale methodes om surfgedrag te volgen. Dit geldt voor een website, maar ook voor apps of andere diensten. De AVG stelt strenge eisen aan geldige toestemming. Een van de eisen is dat de toestemming vrij moet zijn gegeven. Toestemming wordt geacht niet vrij te zijn gegeven als de bezoeker geen echte of vrije keuze heeft, of het weigeren van de toestemming nadelige gevolgen heeft. Volgens de AP is er bij een cookiewall geen sprake van vrije toestemming. Immers, als toestemming wordt geweigerd, krijg je geen toegang tot de website. De ‘take it or leave it’ is geen echte of vrije keuze en er kan dus niet worden geweigerd zonder nadelige gevolgen. Hierdoor staan mensen volgens de AP onder druk hun persoonsgegevens af en dat is onrechtmatig.

Terecht verbod?

Over de vraag of cookiewalls onder alle omstandigheden ontoelaatbaar zijn valt te twisten. Zo bepaalt de Telecommunicatiewet dat een cookiewall enkel verboden is voor overheidswebsites. Ook in de aankomende ePrivacy Verordening worden cookiewalls naar verwachting niet als zodanig, maar slechts in bepaalde gevallen ontoelaatbaar geacht. Bijvoorbeeld als er geen of weinig andere keuze is dan gebruik te maken van die specifieke website. Bovendien is de uitleg van de AP niet in lijn met de Conclusie van de Advocaat Generaal van het Europese Hof van Justitie in de Planet49 zaak (C-673/17; ECLI:EU:C:2019:246). In deze zaak mocht de toestemming voor het verwerken van persoonsgegevens wel als voorwaarde worden gesteld in ruil voor de toegang tot een dienst (het zonder betaling meedoen met een loterij). Hier valt een vergelijking te trekken met de toestemming bij cookiewalls op websites.

Het is al met al dus nog maar de vraag of het standpunt van de AP op langere termijn stand zal houden. Dit neemt echter niet weg dat we op dit moment te maken hebben met de strikte uitleg van de AP. Dit creëert op zijn minst juridische onzekerheid. De AP heeft al aangegeven dat zij de controle op de juiste naleving zal intensiveren en heeft een aantal specifieke partijen hier al een brief over gestuurd.

Toestemming vragen zonder cookiewall

Hoe kan er dan wel om toestemming worden gevraagd? Bezoekers of gebruikers moeten de mogelijkheid hebben om tracking cookies te weigeren. Dit kan bijvoorbeeld door het gebruik van een informatiebalk of pop-up met een duidelijke keuze tussen ‘ja’ en ‘nee’. Verwijzen naar bijvoorbeeld de algemene voorwaarden of een privacyverklaring is onvoldoende. Hetzelfde geldt als ervan wordt uitgegaan dat toestemming wordt gegeven als wordt doorgegaan met het gebruik van de website nadat een informatiebalk in beeld is verschenen. Ook leveren volgens de AP vooraf aangevinkte selectievakjes voor het accepteren van cookies geen geldige toestemming op. Dit laatste volgt ook uit de Conclusie van de AG in de Planet49 zaak. Belangrijk is verder dat er nog geen tracking cookies (of analytische cookies die gevolgen hebben voor de privacy) worden geplaatst voordat de bezoeker hierover is geïnformeerd en een keuze heeft gemaakt.

Indien u vragen heeft over het gebruik van cookies en het op de juiste manier informeren en vragen om toestemming, kunt u contact opnemen met Richella Soetens, advocaat IT, IE & Privacy bij De Clercq Advocaten Notariaat (r.soetens@declercq.com).

1 jaar AVG

Op 25 mei 2019 is het precies één jaar geleden dat de veelbesproken Algemene verordening gegevensbescherming (AVG) van toepassing werd. Onlangs publiceerde de Autoriteit Persoonsgegevens (AP) tevens haar jaarverslag over 2018. Tijd de balans op te maken. Wat is de opbrengst geweest van één jaar AVG? Zijn er hoge boetes uitgedeeld? Voor wat voor soort overtredingen? En waar moet u in 2019 op letten?

Jaarverslag 2018

2018 was voor de AP een hectisch jaar, zo mag uit het jaarverslag gerust worden opgemaakt. Niet alleen werd daarin de AVG van toepassing, ook nam de AP veel nieuwe medewerkers aan en werd een nieuwe organisatiestructuur opgetuigd en geïmplementeerd.

De AP geeft aan dat zij er bewust voor heeft gekozen in 2018 de nadruk te leggen op het bevorderen van de naleving van de privacyregels. Enerzijds door veel te investeren in voorlichting en advisering. Anderzijds door bij overtredingen eerder te zoeken naar het beëindigen van de overtreding dan naar het sanctioneren daarvan.

Enkele in het oog springende cijfers over 2018:

  • De AP ontving ruim 11.000 klachten en bijna 21.000 datalekmeldingen.
  • 720 klachten en 298 datalekmeldingen werden afgehandeld door middel van een interventie, zoals een brief of gesprek waarin de AP uitleg gaf over de privacyregels.
  • De AP rondde 16 onderzoeken af en startte 17 handhavingstrajecten. Deze hebben geleid tot sancties voor onder meer Uber, de Belastingdienst en het UWV.* Aan Uber werd een boete opgelegd van EUR 600.000 voor het te laat melden van een datalek. UWV kreeg een last onder dwangsom opgelegd omdat zij de toegangsbeveiliging van het werkgeversportaal niet had uitgerust met meerfactorauthenticatie. De Nationale Politie kreeg een last onder dwangsom opgelegd voor de gebrekkige beveiliging van een IT-systeem. Een dwangsom van EUR 48.000 werd ingevorderd bij InsingerGilissen Bankiers, wegens het niet voldoen aan een inzageverzoek. Tot slot werd de Belastingdienst verboden om met ingang van 1 januari 2020 nog langer het BSN te gebruiken in het btw-nummer.
  • Verschillende audits werden uitgevoerd, in zowel de publieke als de private sector, zoals of een FG was aangemeld, of een verwerkingsregister was aangelegd en of een privacybeleid was opgesteld.

Elders in Europa

Hoe stellen de toezichthouders elders in Europa zich op? In verschillende lidstaten zijn inmiddels de eerste boetes opgelegd voor overtredingen van de AVG. Hieronder treft u een bloemlezing aan:

  • De Poolse toezichthouder legde in maart 2019 een boete van EUR 220.000 op aan een Pools bedrijf wegens schending van de informatieplicht. Het bedrijf had een omvangrijke database aangelegd met persoonsgegevens welke het bedrijf uit publieke bronnen had verzameld. Echter zonder betrokkenen daarover te informeren.   
  • De Franse toezichthouder legde in januari 2019 een boete van EUR 50.000.000 op aan Google wegens een gebrek aan transparantie, schending van de informatieplicht en het niet-rechtsgeldig verkrijgen van toestemming.
  • De toezichthouder van Malta legde in februari 2019 een boete van EUR 5.000 op aan het Maltese Kadaster, omdat het Kadaster een online portaal niet goed had beveiligd.
  • De Duitse toezichthouder (meer specifiek die van Baden-Württemberg) legde in september 2018 een boete van EUR 20.000 op aan een Duits sociaal netwerk. Het sociaal netwerk had melding gemaakt van een datalek waarbij wachtwoorden en e-mailadressen van gebruikers waren gelekt. Uit vervolgonderzoek van de toezichthouder bleek dat wachtwoorden niet versleuteld waren opgeslagen, waarmee inbreuk was gemaakt op de verplichting passende beveiligingsmaatregelen te treffen.
  • De Oostenrijkse toezichthouder legde in september 2018 een boete van EUR 5.280 op aan een wedkantoor dat gebruik maakte van een video surveillance systeem. De toezichthouder oordeelde dat geen rechtsgrond aanwezig was en dat de opnamen te lang werden bewaard.      

Wat brengt 2019?

In haar jaarverslag stelt de AP nadrukkelijk dat de focus in 2019 zal verschuiven van voorlichting naar handhaving. In 2019 zal steviger worden ingezet op handhaving. Waar de AP bij de afhandeling van een klacht nu nog vaak aanstuurt op het beëindigen van de (mogelijke) overtreding, zal zij in 2019 vaker overgaan tot onderzoek en het opleggen van sancties. Als aandachtsgebieden voor 2019 noemt de AP i) de beveiliging en grondslagen voor verwerking van persoonsgegevens in de zorg, ii) niet-gemelde datalekken en iii) handel in persoonsgegevens.

Heeft u vragen over de AVG of aanverwante wet- en regelgeving? Neemt u dan contact op met Jeroen van Helden, advocaat IT, IE & Privacy bij De Clercq Advocaten Notariaat (j.vanhelden@declercq.com).

*De overtredingen dateren vaak uit het pre-AVG tijdperk en zijn dus beoordeeld en gesanctioneerd volgens de Wet bescherming persoonsgegevens en niet volgens de AVG.