De risico’s van persoonsgegevensverzamelaars | onderzoek naar verkoop vertrouwelijke gegevens kredietbeoordelaar Experian aan criminelen

Om allerlei redenen worden er in de wereld enorme verzamelingen van persoonsgegevens aangelegd.
Dit heeft soms commerciële redenen, waarbij te denken valt aan bedrijven als Facebook en LinkedIn. Ook zijn er marketing databanken die minder in de publiciteit treden maar die naar verluid over een enorme hoeveelheid informatie beschikken.
De integriteitswetgeving, zoals in Nederland de Wet op het financieel toezicht (Wft) en Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft), leggen verplichtingen aan ondernemingen op om allerlei persoonsgegevens te verifiëren en te bewaren. Er zijn diverse bedrijven die zich op de “integriteitsmarkt” richten en beloven dat zij informatie kunnen leveren over personen en organisaties over de hele wereld.

Al heel lang bestaan bedrijven die zich bezighouden met kredietbeoordeling en handelsinformatie. Uit dit bericht blijkt dat er nu in de Verenigde Staten een groot strafonderzoek plaats vindt naar het wereldwijd opererende kredietbeoordelingsbedrijf Experian, dat vertrouwelijke gegevens zou hebben doorverkocht aan criminelen. Een ander artikel spreekt over het hacken van de Experian database. Zie ook dit ArsTechnica bericht over het lekken van burgerservicenummers en het stuk bij NBC.

Het wordt tijd dat er meer aandacht besteed gaat worden aan de risico’s gemoeid met organisaties die zich met persoonsgegevensverzamelingen bezig houden. Niet alleen juridisch (worden de regels wel juist toegepast / zijn er nieuwe regels en controlemechanismen nodig) maar ook technisch. De digitale wereld ziet er totaal anders uit dan de ‘klassieke’ fysieke wereld en vergt een eigen aanpak.

NB Dat het bewustzijn bij de overheid niet altijd even groot is blijkt uit het voorbeeld van de gemeente Rotterdam, die BSN-gegevens aan een Deens bedrijf verstrekte ten behoeve van een goed bedoelde stadsactie.

Aanvulling 24 april 2014
Zie over de activiteiten van kredietwaardigheidsonderzoekers het artikel van Wouter Dammers “Doorgeefsoftware kredietwaardigheidsdata moet letten op privacy”. Het artikel gaat over het gebruik ten behoeve van beoordeling van de kredietwaardigheid van (persoons)gegevens uit bedrijfsadministraties.

Aanvulling 26 mei 2014
Inmiddels is één van de marketing databanken, het bedrijf YD, in het nieuws gekomen door een bericht van het CBP. Zie dit bericht van het CBP onder de titel “CBP: YD schendt privacywet door zonder toestemming cookies te plaatsen”. Verder schrijven zij “Het CBP zal YD uitnodigen voor een hoorzitting. Hierna zal de toezichthouder controleren in hoeverre de overtredingen voortduren en beslissen over eventuele inzet van handhavende maatregelen.” Op Lexology verscheen een artikel over deze zaak, “CBP’s first cookie law investigation: YD violates privacy rules and telecommunication rules“.

Aanvulling 1 februari 2016
Het eerder genoemde bedrijf YD, ook bekend onder de naam Yieldr, wenst zich niet aan de wet te houden en is nu weg uit Nederland, zo blijkt uit een bericht van de Autoriteit Persoonsgegevens van 19 januari 2016. De AP schrijft:

Autoriteit Persoonsgegevens: sanctie YD voor schending privacywet

De Autoriteit Persoonsgegevens (tot 1 januari 2016: College bescherming persoonsgegevens [CBP]) publiceert vandaag de last onder dwangsom die de toezichthouder eerder aan het online advertentiebedrijf YD Display Advertising Benelux BV (YD) heeft opgelegd. YD heeft inmiddels de verantwoordelijkheid voor de verwerking van persoonsgegevens naar een in het Verenigd Koninkrijk gevestigde vennootschap verplaatst. Hierdoor is de Nederlandse Wet bescherming persoonsgegevens (Wbp) niet meer van toepassing op deze activiteiten en is de Autoriteit Persoonsgegevens niet langer bevoegd om in deze zaak op te treden. De Autoriteit Persoonsgegevens heeft de privacytoezichthouder van het Verenigd Koninkrijk geïnformeerd over deze zaak.

Europese privacyverordening
Begin 2018 zal naar verwachting de Europese privacyverordening in werking treden. Deze verordening zal rechtstreeks gelden in alle lidstaten van de EU. Hierdoor zal er geen verschil meer zijn in het geldende privacyrecht in de verschillende lidstaten. Op het terrein van de bescherming van persoonsgegevens gelden dan dezelfde rechten en plichten. Bovendien moeten de Europese privacytoezichthouders dan in bepaalde gevallen verplicht samenwerken. De Engelse privacytoezichthouder heeft laten weten in verband met de huidige verschillen tussen de Wet bescherming persoonsgegevens en de in het Verenigd Koninkrijk geldende wetgeving geen mogelijkheid te zien voor het nemen van nadere maatregelen.

Aanvulling 1 april 2016
De CBP heet tegenwoordig Autoriteit Persoonsgegevens

Over Ellen Timmer, advocaat ondernemingsrecht @Pellicaan

Verbonden aan Pellicaan Advocaten, http://www.pellicaan.nl/, kantoor Capelle aan den IJssel (Rotterdam), telefoon 088-6272287, fax 088-6272280, e-mail ellen.timmer@pellicaan.nl ||| Weblogs: algemeen: https://ellentimmer.wordpress.com/ ||| modernisering ondernemingsrecht: http://flexbv.wordpress.com/
Dit bericht werd geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, ICT, privacy, e-commerce en getagged met , , , , , , , . Maak dit favoriet permalink.

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit / Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit / Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit / Bijwerken )

Google+ photo

Je reageert onder je Google+ account. Log uit / Bijwerken )

Verbinden met %s