Overtreding 1: Ontbreken toestemming van gebruikers
Verwerking van persoonsgegevens mag slechts plaatsvinden als daar een (in artikel 8 van de Wbp genoemde) grondslag voor is. Voor wat betreft bijzondere persoonsgegevens, zoals politieke voorkeur en geloofsovertuiging, geldt dat deze slechts verwerkt mogen worden nadat hiervoor ondubbelzinnige toestemming van de betrokkene is verkregen. Voor een rechtsgeldige toestemming is vereist dat de betrokkene voldoende geïnformeerd is. De betrokkene dient begrijpelijke en voldoende informatie betreffende de verwerking te hebben gekregen. Daarnaast moet de gegeven toestemming specifiek zijn en moeten de betrokkene de toestemming vrij kunnen geven. Volgens de AP schortte het hier aan bij een aantal stemhulpen. Zo werd niet door alle stemhulpen een rechtsgeldige toestemming van gebruikers verkregen, omdat niet werd voldaan aan de verplichting om begrijpelijke en voldoende informatie te geven of omdat de toestemming niet specifiek of niet vrij gegeven was. De AP oordeelde dat een aantal stemhulpen in strijd met de Wbp handelden en hebben de stemhulpen hierop aangesproken.
Overtreding 2: Persoonsgegevens werden langer bewaard dan noodzakelijk
Ook werden persoonsgegevens langer bewaard worden dan noodzakelijk. Politieke voorkeuren of adviezen in combinatie met IP-adressen en/of e-mailadressen werden te lang en in sommige gevallen slechts voor onbepaalde tijd bewaard. Ook dit is in strijd met de Wbp.
Overtreding 3: Geen passende beveiligingsmaatregelen genomen
Verbindingen van websites waar (bijzondere) persoonsgegevens worden verwerkt moeten ten minste beveiligd zijn met https, een veiligheidsprotocol waarmee verstuurde data wordt versleuteld. Daarnaast moeten dergelijke websites een geldig certificaat hebben en geen gebruik maken van verouderde verbindingen of verouderde ecryptiemethodes. 14 van de 24 stemhulpen hadden de beveiliging echter niet op orde. Zij maakten geen gebruik van een veilige internetverbinding.
Overtreding 4: Geen toestemming voor het gebruik van cookies
Een aantal stemhulpen hadden zich ook schuldig gemaakt aan het onrechtmatig gebruik van advertentiecookies. Advertentiecookies mogen door websites allen geplaatst of uitgelezen worden als daarvoor van tevoren door de (geïnformeerde) betrokkene toestemming is gegeven. Een aantal stemhulpen had dit echter nagelaten. Hiermee handelden zij niet alleen in strijd met de Wbp door het verwerken van persoonsgegevens voor advertentiedoeleinden zonder toestemming van de betrokkene, maar handelden zij ook in strijd met artikel 11.7a de Telecommunicatiewet door onrechtmatig gebruik van advertentiecookies. Na hierop aangesproken te zijn door zowel de AP als de Autoriteit Consument en Markt (ACM) hebben de stemhulpen de cookies direct verwijderd.
Boetes voorkomen
De betreffende stemhulpen hebben na het onderzoek van de AP hun beleid en werkwijze voor de verwerking van persoonsgegevens aangepast. Als ze dit niet hadden gedaan dan hadden de stemhulpen een boete van maximaal €820.000,- per overtreding geriskeerd. Toch geldt: “bezint, eer ge begint”. Laat u vooraf goed voorlichten over de privacyaspecten van u product of dienst, voordat u deze op de markt brengt.
Vragen?
Heeft u nog vragen over dit artikel, neemt u dan contact op met Natascha van Duuren, Advocaat & partner IT, Privacy & Cybersecurity.