€ 750.000 boete voor TikTok wegens privacy-schending kinderen

Kinderen worden als extra kwetsbare groep gezien in de wetgeving. Zij zijn zich minder bewust van de gevolgen van hun handelen. Juist ook bij de verwerking van hun persoonsgegevens door sociale media. Daarom krijgen kinderen extra bescherming van de privacywet

Enkele miljoenen Nederlanders, de meesten kinderen, gebruiken TikTok. Ze maken korte filmpjes over zichzelf en delen die op het platform van TikTok

De privacywetgeving legt internetplatforms beperkingen op bij het verzamelen en gebruiken van gegevens van de gebruikers. Ze moeten de gebruikers duidelijk en volledig informeren over het gebruik van hun gegevens.

Gebruikers van platforms als TikTok zijn vaak zeer jong (50 procent van de TikTok-gebruikers zijn jonger dan 17), en de wijze van informeren dient te zijn afgestemd op de aard van de gebruikers. Sinds enige informeert het platform gebruikers in de Nederlandse taal, maar voorheen gebeurde dat alleen in de Engelse taal. Omdat er twijfel kan bestaan of kinderen Engels begrijpen was de vraag aan de orde of TikTok daarmee de privacy regels heeft overtreden.

De Autoriteit Persoonsgegevens (AP) startte daarom in 2020 een onderzoek naar de Chinese app, omdat er twijfel was of jonge kinderen begrepen hoe de app hun persoonsgegevens verzamelde, verwerkte en verder gebruikte. Het ging in dit geval dus niet om het verzamelen en gebruiken zelf, maar om de uitleg die daarbij dient te worden verstrekt.

De AP heeft vastgesteld dat in dit specifieke geval voor deze doelgroep een uitleg in de Engels taal onvoldoende is om e voldoen aan de informatieplicht.
“Kinderen worden als extra kwetsbare groep gezien in de wetgeving. Zij zijn zich minder bewust van de gevolgen van hun handelen. Juist ook bij de verwerking van hun persoonsgegevens door sociale media. Daarom krijgen kinderen extra bescherming van de privacywet”: aldus de AP in een bericht van 22 juli 2021.

De AP heeft op grond daarvan een boete van € 750.000,- opgelegd aan TikTok, waartegen beroep is aangetekend. Overigens wordt het onderzoek door de AP van Nederland overgedragen aan Ierland, omdat na de start van het onderzoek het hoofdkantoor in Ierland is gevestigd. Volgens de regels is dan de Ierse privacy autoriteit bevoegd geworden een oordeel te geven.

Ook de Nederlandse Consumentenbond is bezig met een zaak tegen TikTok. Dit betreft dan schending van de privacywetgeving door  onrechtmatig gebruik van gegevens van kinderen, door die te gebruiken om gerichte te adverteren. Dit is in strijd met de Algemene Verordening Gegevensbescherming (AVG) die bepaalt dat kinderen daartegen beschermd dienen te worden. Volgens de Consumentenbond heeft TikTok die wet overtreden, en daarmee veel geld verdiend.

Meer informatie over datalekken en privacyschendingen, mail aan info@advocaten.nl of stel een vraag

Wie beschermt de gegevens van zzp’ers?

Gek eigenlijk dat je als zzp’er verplicht bent je btw-nummer, waarin het volledige burgerservicenummer is opgenomen, naar al je opdrachtgevers te sturen.

Voor zzp’ers bestaat het btw-nummer waarmee zij facturen sturen mede uit hun burgerservicenummer. En dat ligt gevoelig.

Het burgerservicenummer (BSN), sinds 2014 alleen nog vindbaar op de achterkant van een identiteitskaart, is een uniek nummer – enkel en alleen herleidbaar naar jou. Volgens de Wet bescherming persoonsgegevens is het dan ook een ‘bijzonder persoonsgegeven’, en dat betekent dat er strenge regels voor gelden: organisaties buiten de overheid mogen het nummer alleen gebruiken als dat wettelijk is vastgelegd. Zo’n nummer is namelijk gevoelig voor identiteitsfraude.

Gek dus eigenlijk dat je als zzp’er verplicht bent je btw-nummer, waarin het volledige burgerservicenummer is opgenomen, naar al je opdrachtgevers te sturen. Afgelopen 12 maart stelden kamerleden van regeringspartijen CDA en VVD daar kamervragen over. Opnieuw, want in 2013 dienden twee kamerleden van de VVD en PvdA al eens een motie over het btw-nummer van zzp’ers in. Ook zij wilden destijds dat de Belastingdienst de nummers zou aanpassen, zodat het BSN niet zichtbaar is. Vier vragen over het btw-nummer van zzp’ers.

Wat is nu precies het probleem?
De Belastingdienst verstrekt een btw-nummer aan zzp’ers zodra die btw-plichtig zijn. En dat geldt voor alle zzp’ers die commerciële diensten leveren. Vervolgens zijn zelfstandigen verplicht dat nummer te vermelden op de facturen die ze naar hun klanten of opdrachtgevers sturen. Voor wie een eenmanszaak heeft is het btw-nummer het burgerservicenummer met de toevoeging B01. Een tweede bedrijf krijgt de toevoeging B02, enzovoorts.

Volgens de Autoriteit Persoonsgegevens zou een kwaadwillende met iemands BSN, volledige naam, woonadres én telefoonnummer identiteitsfraude kunnen plegen, door zich voor te doen als de persoon in kwestie.

Bij de inschrijving van een bedrijf bij de Kamer van Koophandel worden precies die gegevens online gepubliceerd. Voor zzp’ers gaat het dan meestal om hun voor- en achternaam, huisadres en privénummer. Logisch, als zzp’er wil je immers gevonden kunnen worden door opdrachtgevers. Maar het maakt identiteitsfraude óók gemakkelijker.

Komt identiteitsfraude bij zzp’ers vaak voor?
In 2015 ontving het Centraal Meldpunt Identiteitsfraude van het ministerie van Binnenlandse Zaken 805 meldingen van identiteitsfraude, waarvan 6 procent door misbruik van een BSN.

FNV Zelfstandigen zette vorig jaar een enquête uit onder de eigen leden en vroeg ze of ze ooit slachtoffer waren geweest van identiteitsfraude. Van de 250 leden die de enquête invulden, hadden zeven zzp’ers ooit last gehad van misbruik van hun persoonsgegevens. Denk dan aan het openen van een bankrekening, het afsluiten van een telefoonabonnement, of het verkopen van artikelen op Marktplaats onder een valse naam.

Waarom is er dan nog niets aan gedaan?
In 2014 adviseerde toenmalig staatssecretaris van Financiën Frans Weekers zijn opvolger Eric Wiebes de in 2013 ingediende motie af te wijzen. Wiebes deed dat, met het argument dat „de kans op identiteitsfraude bij het proces van omzetbelasting niet zodanig groot is” dat het een wijziging van btw-nummers rechtvaardigt. Het introduceren van nieuwe btw-nummers zou namelijk zo’n „grote impact” op de huidige werkwijze van de Belastingdienst hebben, dat het de handhaving van de omzetbelasting praktisch onmogelijk zou maken.

Wat zegt de Autoriteit Persoonsgegevens hierover?
Sinds vorige zomer onderzoekt de Autoriteit Persoonsgegevens (AP) of de Belastingdienst een wettelijke grondslag heeft voor het verwerken van het burgerservicenummer in het btw-nummer. De AP laat weten dat dit onderzoek „zich in de laatste fase bevindt”, en dat zij er daarom nog niets over kunnen zeggen.

Lees meer over de algemene verordening gegevensbescherming (AVG): De privacyregels worden strenger
Wel is zeker dat alles op 25 mei 2018 weer verandert, wanneer de algemene verordening gegevensbescherming (AVG) wordt ingevoerd. Volgens de AVG is het BSN géén bijzonder persoonsgegeven meer. Europese lidstaten mogen daarom zelf voorwaarden stellen aan het verwerken ervan. Welke voorwaarden dat in Nederland zullen zijn, staat nu nog niet vast.

Bron: nrc

verplichte melding Autoriteit Persoonsgegevens bij datalek

Volgens de Wet bescherming persoonsgegevens zijn bedrijven vanaf 1 januari 2016 verplicht de Autoriteit Persoonsgegevens in te lichten als gegevens op straat komen te liggen.

De oorzaken van een datalek bij een Nederlandse organisatie zijn vaak onbenullig, maar de gevolgen zijn vrijwel altijd groot. Met een nieuwe wet wil de regering Nederlandse bedrijven dwingen hun gegevens beter te beveiligen en betrokkenen sneller op de hoogte stellen als er gegevens uitlekken.

Mocht een bedrijf dit verzuimen, dan riskeren ze een boete tussen de 4.500 en 450.000 euro. Deze meldplicht is hard nodig, vindt Gert-Jan Zwenne, hoogleraar recht en informatiemaatschappij aan de Universiteit Leiden. Hij vertelt dat het Nederlandse bedrijfsleven elk jaar honderden miljoenen euro`s verliest door datalekken.

Richard Franken is directeur bij bedrijfsrecherchebureau Hoffmann en verbaast zich over de naïviteit bij bedrijven. Hij noemt het gebrek aan aandacht voor het gevaar van datalekken `een collectief negeren`. Mocht het onverhoopt misgaan, dan is het zaak snel te handelen, zegt Zwenne. `Het eerste wat je moet doen, is de schade beperken. Pas als je het lek hebt weten te dichten, ga je nadenken over hoe je dit gaat communiceren.`

Bron: Profnews