Waarschuwing voor misleiding en oplichting binnen AVG & privacy

Misleiding en oplichting is niet branche of sector specifiek. Bankwezen als ook overheidsinstanties worden geconfronteerd met valse e-mails of facturen. De aandacht en noodzaak die met de AVG gepaard gaat, heeft ook de privacy sector interessant gemaakt voor gelijkende praktijken.

Naast oplichting en misleiding, lijken ook e-mail spammers brood te zien in de privacy wetgeving en in te spelen op eventuele waakzaamheid of angst van bedrijven om AVG compliant te zijn en daarmee boetes te voorkomen. Na een nieuwe waarschuwing vanuit de Autoriteit Persoonsgegevens (AP), hebben we de betreffende praktijken globaal op een rijtje gezet.

Oplichting voor boetes vanuit AP

De Autoriteit Persoonsgegevens heeft vandaag aangegeven signalen te ontvangen dat organisaties worden gebeld met de mededeling dat zij een boete moeten betalen omdat hun website niet voldoet aan de AVG. Deze persoon doet zich voor als een incassomedewerker die in opdracht van de AP boetes moet innen.

Nooit spontane boetes

De Nederlandse privacy toezichthouder geeft echter aan dat er altijd een onderzoek vooraf plaats vindt naar (wijze van) verwerking van persoonsgegevens en dat een boete nooit uit de lucht komt vallen.

AVG keurmerk misleiding

Al op 4 juni constateerden we eerste berichten dat er een uit Nederland afkomstige zelfbenoemde AVG keurmerk actief was, welke met pressiemiddel poogde organisaties lid te maken. Via Twitter hebben we toentertijd de waarschuwingen gedeeld.

Uit diezelfde berichtgevingen bleek dat deze AVG keurmerk Nederlandse als ook Belgische organisaties benaderden. Er werd door de zelfbenoemde AVG keurmerk een bericht toegestuurd met:

  1. de mededeling dat men niet AVG compliant is;
  2. de mededeling dat ze als AVG keurmerk samen werkten met de privacy toezichthouder (in Nederland de Autoriteit Persoonsgegevens, in België de Gegevens­beschermingsautoriteit);
  3. dat de organisatie om die reden binnen 7 dagen aangegeven moest worden bij de privacy toezichthouder;
  4. dat men in geval van lidmaatschap extra tijd kreeg om de zaken op orde te krijgen.

AP en AVG keurmerk

Op 7 juni kwam de AP met een bericht naar buiten, dat ze geen AVG keurmerken hebben goedgekeurd. Op dit moment zijn er in Nederland dan ook nog geen certificatie-instellingen geaccrediteerd voor het afgeven van AVG-certificaten, alhoewel  AP wel betrokken is bij accreditatie van instellingen die een AVG-certificaat kunnen toekennen. Deze instellingen zullen door de de Raad voor accreditatie (RvA) goedgekeurd moeten worden.

Ondanks een eventueel verworven AVG certificaat of AVG keurmerk, blijft het noodzaak om wijze van gegevensverwerking in de gaten te houden. Verwerking van gegevens, techniek of beveiligingsniveau kan immers over tijd veranderen.

Recht op vergetelheid e-mail spam

Ook zogenaamde e-mail spammers zien ineens een nieuwe niche om zich in te roeren. Recht op vergetelheid is een onderdeel van de AVG, waar een e-mail spammer gretig gebruik van kan maken. Middels een op het oog onschuldig bericht, eventueel vergezeld met een kwaadaardige link of zelfs document, kan iemand op gewiekste wijze de ontvangende partij ertoe bewegen actie te ondernemen in het kader van de AVG.

Het klikken op zo een link of openen van een document, kan vervolgens de welbekende gevolgen hebben waarbij bijvoorbeeld spyware of ransomware geïnstalleerd kan worden en de computer of zelfs gehele systeem vergrendeld kan worden, totdat de ontvangende partij over gaat tot betaling. Hiervoor raadt de politie aan niet te betalen.

Let op bij AVG aanbieders

AVG en daarmee privacy is een onderwerp dat veel bedrijven nog een blok aan het been zal zijn. Waar de één er voor kiest af te wachten, zal de ander schrikken van dergelijke mails.

Officiële keurmerken zijn er vanuit de Nederlandse privacy waakhond dan ook niet goedgekeurd. Desondanks zijn er meerdere aanbieders te vinden voor AVG keurmerken. Door de vele berichtgevingen die op de dubieuze handelswijze van een AVG keurmerk aanbieder volgde, zijn deze partijen in bijvoorbeeld de Google resultaten op "AVG keurmerk" ondergesneeuwd.

AVG en privacy niet op orde

Overigens, wij ontdekten dat een enkeling van de AVG keurmerk aanbieders, de privacy op de eigen website niet op orde had. Denk hierbij aan niet geanonimiseerde ip-adressen voor analytische doeleinden, of gebruik van embedded social media met eigen tracking mechanismen.

Hetzelfde gaat op voor enkele instanties die voorzien in AVG gerelateerde kwesties, zoals documentatie- c.q. registerplicht, waarbij er door de aanbieder zelfs geen SSL certificaat voor versleuteling van persoonsgegevens werd gehanteerd, of wederom ip-adressen van bezoekers verzameld werden.

Vele zaken zijn van buitenaf echter niet te beoordelen, want zelfs een SSL certificaat en groen slotje betekent niet dat de achterliggende organisatie ter goede trouw handelt. Ga dus altijd online de (naam van de) aanbieder na en wees niet onder de indruk van tijdsgebonden druk, zoals het betalen of handelen binnen een specifiek termijn. Toch nog twijfels? Neem dan vooral contact op met de Autoriteit Persoonsgegevens.