Nieuws
image

Finse toezichthouder noemt elektronisch sleutelsysteem flat in strijd met AVG

dinsdag 4 augustus 2020, 16:47 door Redactie, 8 reacties

Het elektronische sleutelsysteem dat een Fins flatgebouw installeerde is in strijd met de AVG, zo heeft de Finse privacytoezichthouder Tietosuojavaltuutettu geoordeeld. De zaak was aanspannen door de Arnhemse privacy-activist Michiel Jonker, zo laat stichting Privacy First vandaag weten.

De Vereniging van Eigenaren (VvE) van de flat had in 2018 besloten om een elektronische bewakingssysteem te installeren op alle externe ingangen van het gebouw. Bewoners zouden voortaan alleen nog toegang met een adresgebonden en gechipte sleutel krijgen. De VvE was daarnaast van plan om ook alle individuele appartementen op het systeem aan te sluiten.

Aanleiding om het systeem te installeren waren enkele incidenten in de kelder van de flat die volgens het bestuur door voormalige bewoners waren veroorzaakt. Die zouden via niet ingeleverde sleutels toegang tot de ruimte hebben gekregen. Het nieuwe elektronische sleutelsysteem moest dergelijke incidenten voorkomen. Het systeem voldeed volgens de VvE aan de privacywetgeving, omdat er geen persoonsgegevens werden verwerkt. De elektronische sleutels waren namelijk niet persoonsgebonden, maar adresgebonden.

Jonker maakte bezwaar tegen het systeem. De VvE had de noodzaak voor het systeem niet aangetoond en de wettelijke grondslag voor het verwerken van gegevens ontbrak. Ook waren de huurders niet geraadpleegd, waardoor een grote groep bewoners geen toestemming had gegeven. Daarnaast waren de verwerkte gegevens volgens Jonker wel herleidbaar tot personen, met name in het geval van eenpersoonshuishoudens.

De Finse privacytoezichthouder gaf Jonker op alle punten gelijk en noemde het systeem in strijd met de AVG. Ook wees de autoriteit erop dat een verhuurder niet namens een huurder toestemming kan geven voor de verwerking van persoonsgegevens. Daarnaast moet een gegeven toestemming voor het verwerken van persoonsgegevens op elk moment kunnen worden ingetrokken. Ten slotte wees de autoriteit erop dat de VvE ten onrechte geen alternatieven had onderzocht die geen of een minder grote inbreuk op de privacy plegen. De toezichthouder heeft de VvE de opdracht gegeven om de verwerking van persoonsgegevens aan de AVG te laten voldoen.

Reacties (8)
06-08-2020, 08:44 door jh81
Ik vind Jonker doorgaans erg goed bezig :)

Maar wat ik me dan af vraag.. hoe komt een Arnhemse boeren jongen betrokken bij een Finse woningcorporatie?
Hebben ze in Finland dan zo weinig?
06-08-2020, 09:39 door Anoniem
Wat heeft Jonker met een VVE in Finland te maken ?
06-08-2020, 10:30 door Anoniem
Door jh81: Maar wat ik me dan af vraag.. hoe komt een Arnhemse boeren jongen betrokken bij een Finse woningcorporatie?
Niet dat ik me dat niet ook afvroeg, maar is het werkelijk zo interessant? Je hoeft geen benadeelde te zijn om een melding te doen over een AVG-overtreding, en het belangrijkste is dát er een uitspraak over ligt die duidelijk helpt maken wat er wel en niet mag.

Wie weet kent Jonker iemand die daar woont, wie weet staan de verhoudingen in die VvE zo op scherp dat de eigenlijke klager liever anoniem bleef en in Jonker een vertegenwoordiger heeft gevonden die de klacht wel wilde indienen, wie weet is Jonker een fanatiekeling die actief op zoek gaat naar dit soort situaties om zich erin vast te kunnen bijten, wie weet zijn er nog wel 1001 andere manieren te bedenken waarop dit kan zijn gegaan.

De betrokkenheid van Jonker en hoe die tot stand is gekomen zijn niet bepalend voor de vraag of de klacht terecht is.
06-08-2020, 11:14 door Anoniem
Door jh81: Ik vind Jonker doorgaans erg goed bezig :)

Maar wat ik me dan af vraag.. hoe komt een Arnhemse boeren jongen betrokken bij een Finse woningcorporatie?
Hebben ze in Finland dan zo weinig?

Ik kan mij zo indenken dat PrivacyFirst (https://www.privacyfirst.nl/) - de stichting waar Jonker actief in is - logischerwijs graag op zoek is naar zaken waarbij bepaalde sleutelgegevens (zoals huisnummer in een flat, een nummer van een afvalpas, een kenteken bij parkeren) veelal (al dan niet terecht) gelijk worden gesteld een identiteit.

Uitspraken binnen de EU, zoals deze in Finland, helpen uiteraard bij andere zaken.
07-08-2020, 22:33 door Anoniem
Leuk woord voor scrabble: Tietosuojavaltuutettu. Maar heeft iemand enig idee hoe je dit uitspreekt?
10-08-2020, 15:48 door Anoniem
Door Anoniem: Ik kan mij zo indenken dat PrivacyFirst (https://www.privacyfirst.nl/) - de stichting waar Jonker actief in is - logischerwijs graag op zoek is naar zaken waarbij bepaalde sleutelgegevens (zoals huisnummer in een flat, een nummer van een afvalpas, een kenteken bij parkeren) veelal (al dan niet terecht) gelijk worden gesteld een identiteit.

Uitspraken binnen de EU, zoals deze in Finland, helpen uiteraard bij andere zaken.

Da's dan toch een pluspuntje van de EU, dat je overal in de EU je rechten kunt verdedigen. Maar moet je daar niet "belanghebbend" voor zijn? Of hoef je alleen maar een melding te doen, zonder dat je er zelf iets mee te maken hoeft te hebben? Kan een stichting zoals Privacy First overal in de EU zaken beginnen over privacy, vanwege de statutaire doelstellingen? En hoe zit dat dan als de DPA in Finland iets (een data-verwerking) niet goedkeurt maar de AP in Nederland een vergelijkbare data-verwerking wel? Mag het hier dan wel of niet?

Deze zaak roept eigenlijk heel veel vragen op. Alle respect voor Jonker die dit op de kaart zet.
20-10-2020, 10:44 door Anoniem
Waarom speelt een dergelijke rechtzaak niet in NL? Er wordt hier momenteel in mijn kleine portiekwoning een dergelijk systeem op de portiekdeur aangebracht door de sociale woningbouwcorporatie (25.000 woningen) waarmee de toegang tot mijn huurwoning via deze portiekdeur 24/7 digitaal wordt geregistreerd zogenaamd ter beveiliging van de zes 1 persoonshuishoudens in deze portiekwoningen met nagenoeg geen verloop in huurders. Er is geen overleg geweest met de huurders, schriftelijke communicatie over wat een dergelijk systeem inhoudt en de aanvang van deze werkzaamheden was te laat (7 werkdagen), is tevens onduidelijk en heeft onjuistheden. Bevestigingformulier (om op te sturen) voor ontvangst van de 3 geregisteerde tags lijkt tevens een machtigingsformulier te zijn voor verwerking van persoonsgegevens, al is ook dit onduidelijk. Volgens dit 'formulier uitgave tags' is die verwerking van persoonsgegevens gebaseerd is op grondslag 'uitvoering van de overeenkomst' [welke overeenkomst?] (artikel 6 lid 1 sub b AVG) met de werkinstructie van woningcorporatie dat er bij een ernstig [?] incident voorafgaande toestemming is vereist door manager wonen voordat de toegangsinformatie mag worden geraadpleegt, idem bij verzoek politie en justitie. Ook de partij die conform de werkinstructie van woningcorporatie het onderhoud op het systeem uitvoert kan inzicht in de persoonlijke gegevens hebben. Tot slot staat er op dit formulier aangegeven dat de gegevens 30 dagen worden bewaard en daarna automatisch worden verwijderd.[inzage of dit ook gebeurt?] Op de website staat echter 10 weken. Telefonische klacht ( i.v.m. snelle aanvang werkzaamheden) over privacyschending door de verhuurder krijgt geen gehoor. Met andere woorden eenzelfde soort privacy schending die hier in NL eveneens juridisch bevochten dient te worden, en dat blijkt nagenoeg onmogelijk via gesubsidieerde rechtsbijstand.
26-11-2020, 10:34 door Anoniem
Door Anoniem: (....) Telefonische klacht ( i.v.m. snelle aanvang werkzaamheden) over privacyschending door de verhuurder krijgt geen gehoor. Met andere woorden eenzelfde soort privacy schending die hier in NL eveneens juridisch bevochten dient te worden, en dat blijkt nagenoeg onmogelijk via gesubsidieerde rechtsbijstand.

Wat je kunt doen, is:
1. een brief sturen naar de woningcorporatie, waarin je ze met onderbouwing van dezelfde argumenten die je hier aanvoert, verzoekt om het privacy-schendende systeem binnen vier weken te verwijderen, met verwijzing naar het nieuwsbericht op www.privacyfirst.nl over dit onderwerp.
2. als de woningcorportatie dat weigert, of niet reageert, kun je nadat die vier weken (een redelijke termijn) voorbij zijn gegaan, een handhavingsverzoek indienen bij de Autoriteit Persoonsgegevens (AP). Dat is gratis (alleen portokosten, tenzij ze inmiddels ook digitale verzoeken accepteren). Kijk wel even naar de instructies op de website van de AP. Daar staat waar zo'n handhavingsverzoek ("klacht") aan moet voldoen. Je moet bijvoorbeeld duidelijk maken welke persoonsgegevens van jou er worden verwerkt. De AP moet dan een inleidend onderzoek doen, eventueel gevolgd door een meer uitgebreid onderzoek, en vervolgens een beslissing nemen op jouw handhavingsverzoek. Je verwijst in je verzoek eveneens naar het nieuwsbericht op www.privacyfirst.nl. Als de AP jouw verzoek honoreert, zullen ze handhavend gaan optreden richting woningcorporatie.
3. Als de AP jouw verzoek echter niet honoreert (dus: afwijst), kun je daartegen binnen zes weken bezwaar maken. Dat is nog steeds gratis. De AP moet jouw bezwaar dan behandelen en een besluit op bezwaar nemen. Je zou contact kunnen opnemen met Privacy First, of zij je advies kunnen geven over je bezwaar, of feedback kunnen geven op een concept-tekst die jij opstelt.
4. Als de AP jouw bezwaar honoreert, gaat de AP handhaven. Als de AP jouw bezwaar niet honoreert, kun je daartegen binnen zes weken in beroep gaan bij de bestuursrechter. Dat kost geld, namelijk ca. 170 euro. Op dat moment moet je beslissen of je dat geld ergens vandaan kunt halen. Misschien wat vrienden die het net als jij een goed idee vinden om tegen deze privacy-schending op te komen? Als je je zaak bij de bestuursrechter wint, krijg je dat bedrag overigens terug, want dan moet de AP dat betalen.

Het kan dus wel. Maar je moet wel bereid zijn er wat voor te doen. De meeste mensen vinden dat te veel moeite.
Succes! (Als je dit nog leest...)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure