UWV, Oracle en Criteo onder vuur door privacywet AVG

Trouw en De Telegraaf melden dat er bovendien zo'n tienduizend keer is gebeld met de vragenlijn van de privacywaakhond. AP spreekt van topdrukte maar wil niet zeggen hoeveel van de gevallen hebben geleid tot onderzoek of officiële waarschuwingen. Het blijkt vaak te gaan om klachten over het opvragen van persoonsgegevens bij bedrijven, instellingen en organisaties.

De nieuwe wet is op 25 mei ingegaan en zorgde voor veel paniek bij bedrijven. Tegelijk bleek toen al dat veel organisaties hun zaakjes helemaal niet op orde hebben.

De Autoriteit Persoonsgegevens lijkt zich met name op grotere organisaties te richten, vermoedelijk om een krachtig voorbeeld te kunnen stellen. Ook de overheid zelf wordt niet gespaard: vlak na de invoering bleek al dat tien van de twaalf ministeries de nieuwe privacywet schendden, ondanks twee jaar voorbereidingstijd. Ook veel politieke partijen (die de wet vaak hartgrondig steunden) bleken in overtreding, evenals overheidsinstanties zoals de Sociale Verzekeringsbank.

UWV en Belastingdienst in de fout

De eerste grote verdachte is uitkeringsinstantie UWV. Deze organisatie is al eerder gewaarschuwd door de AP, maar gaat nog steeds in de fout. De waakhond constateerde dat nog altijd niet alle gegevens bij de UWV op de wettelijke wijze wordt beschermd, maar deelt vooralsnog geen boete uit. Het UWV krijgt nog tot 31 oktober 2019 om de problemen op te lossen. Daarna volgt een dwangsom van 150.000 euro.

Ook de Belastingdienst heeft zijn zaakjes nog niet op orde. Ook daar ligt een concrete eis: op 1 januari aanstaande moet de dienst gestopt zijn met het gebruik van het burgerservicenummer in het btw-nummer van ondernemers met een eenmanszaak. Die moet verplicht worden vermeld op websites van ondernemers en hun facturen, hetgeen dus hun privacy schendt.

De Belastingdienst gaat die deadline niet halen, maar heeft uitstel gekregen tot 25 mei 2019.

Oracle, Acxion en Critea aangeklaagd

Ook in het buitenland duiken bekende namen op. Privacy International heeft klachten ingediend tegen zeven bedrijven: twee data-brokers (Acxiom, Oracle), drie adtech-bedrijven (Criteo, Quantcast, Tapad) en twee betaaldiensten (Equifax, Experian). Deze klanten zijn ingediend in Frankrijk, Ierland en het Verenigd Koninkrijk.

PI-jurist Ailidh Callander: 'The data broker and ad-tech industries are premised on exploiting people's data. Most people have likely never heard of these companies, and yet they are amassing as much data about us as they can and building intricate profiles about our lives. GDPR sets clear limits on the abuse of personal data. PI's complaints set out why we consider these companies' practices are failing to meet the standard - yet we've only been able to scratch the surface with regard to their data exploitation practices. GDPR gives regulators teeth and now is the time to use them to hold these companies to account.'

Lees ook: Hoe gaat het met GDPR, een half jaar later?