Handel in persoonsgegevens is toezichtprioriteit van de Autoriteit Persoonsgegevens

Op 25 mei jl. heeft de Autoriteit Persoonsgegevens het toezichtkader 2018-2019 bekend gemaakt. Daarin wordt vermeld dat de handelaars in persoonsgegevens extra aandacht zullen krijgen.

Het gaat hier om:

  • Partijen die persoonsgegevens verzamelen met het oog op marketing, zoals Facebook, Google en een groot aantal minder bij het publiek bekende bedrijven, waarvan een aantal via deze site te vinden zijn. Voorbeelden zijn Acxiom en Criteo. In de UK werd het bedrijf Verso door de privacytoezichthouder beboet.
  • Degenen die de kredietwaardigheid van mensen beoordelen, zoals Experian en Equifax. Bij deze bedrijven hebben enorme datalekken plaats gevonden. Een Nederlands voorbeeld is Focum, dat in 2017 werd genomineerd voor de Nederlandse Big Brother Award.
  • Ondernemingen die persoonsgegevens leveren ten behoeve van het cliëntenonderzoek dat op grond van de witwasbestrijding moet worden uitgevoerd door onder meer banken, verzekeringsmaatschappijen, accountants, trustkantoren en vele anderen. De persoonsgegevens hebben betrekking op cliënten-natuurlijke personen, de uiteindelijk belanghebbende bij een rechtspersoon (ubo) en op politiek prominente personen (PEP’s). Voorbeelden: World-Check.

Hierna volgt de passage in het toezichtkader over deze handelaren:

De handel in persoonsgegevens
De handel in persoonsgegevens is de afgelopen jaren toegenomen. Datahandelaren verzamelen op grote schaal persoonsgegevens van consumenten via een groot aantal verschillende online en offline bronnen. Zij verwerken deze tot profielen en verstrekken of verkopen deze gegevens vervolgens aan andere datahandelaren en/of afnemers die besluiten nemen over bijvoorbeeld de kredietwaardigheid van mensen of de gegevens gebruiken voor direct marketing-doeleinden. De meest bekende datahandelaren zijn de zogeheten handelsinformatiebureaus, maar er zijn veel meer bedrijven en organisaties die persoonsgegevens verhandelen waarover zij – veelal ten behoeve van een ander doel- beschikken. Mensen weten vaak niet om hoeveel gegevens het gaat, welke persoonsgegevens worden verstrekt aan welke partijen en met welk doel. Ook zijn mensen doorgaans niet op de hoogte van profilering. Er is een groot risico voor burgers als zij niet op de hoogte zijn van verwerkingen van hun gegevens en de daarop volgende verstrekking van hen betreffende profielen aan andere partijen. Zij komen er mogelijk pas achter nadat een beslissing is genomen die hen raakt, zoals het weigeren van een lening of abonnement. Een ander risico is dat sommige gegevens of opgestelde profielen onjuist zijn, met mogelijk verstrekkende gevolgen voor mensen. Mensen verliezen op deze wijze zeggenschap over hun gegevens.
De AP richt zich de komende periode op de handel in persoonsgegevens met als primair doel te bevorderen dat bedrijven en organisaties die persoonsgegevens verkopen dit alleen doen op basis van een juiste grondslag en voldoen aan de informatieplicht onder de AVG.

 


Aanvulling 19 juni 2021
De Spaanse privacy toezichthouder AEPD heeft op 26 april 2021 aan Equifax Iberica een boete van 1 miljoen euro opgelegd wegens overtreding van de AVG. De Spaanstalige uitspraak is hier (pdf, 184 pagina’s) te vinden.

De uitspraak wordt besproken op GDPRHub besproken waar ook een machinevertaling van de uitspraak is te vinden. Uit deze bespreking is af te leiden dat de klagers bezwaar maakten tegen het verzamelen van de gegevens uit een Spaans staatsblad en uit diverse uitgaven van oveheidsinstellingen, waarbij sommige informatie onnauwkeurig was of zelfs niets met de klager te maken had. Verder weigerde Equifax de gegevens te verwijderen toen daar om werd verzocht. Voorts meende Equifax zich te kunnen beroepen op het gerechtvaardigde belang van haar bedrijfsklanten. Uit het verslag blijkt dat Equifax de betrokkenen niet heeft geïnformeerd over de registratie (iets wat Nederlandse datahandelaren voor zover ik weet ook niet doen). Volgens het verslag heeft AEPD geoordeeld dat Equifax het doelbindingsprincipe heeft overtreden. Verder ontbrak een grondslag voor de verwerking van de persoonsgegevens. Het beroep van Equifax op eigen gerechtvaardigd belang en dat van haar klanten, alsmede op het belang van fraudepreventie, slaagde niet. Ook de verplichtingen tot nauwkeurigheid en dataminimalisatie werden niet nageleefd.

Over Ellen Timmer, advocaat ondernemingsrecht @Pellicaan

Verbonden aan Pellicaan Advocaten, http://www.pellicaan.nl/, kantoor Rotterdam, telefoon 088-6272287, fax 088-6272280, e-mail ellen.timmer@pellicaan.nl ||| Weblogs: algemeen: https://ellentimmer.com/ || modernisering ondernemingsrecht: http://flexbv.wordpress.com/ ||| Motto: goede bedoelingen rechtvaardigen geen slechte regels
Dit bericht werd geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, ICT, privacy, e-commerce, Ubo-register en getagged met , , , , , , , , , , , , , . Maak dit favoriet permalink.

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit /  Bijwerken )

Google photo

Je reageert onder je Google account. Log uit /  Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit /  Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit /  Bijwerken )

Verbinden met %s