Een bedrijf verzamelt en verkoopt mijn zakelijke persoonsgegevens. Mag dit zomaar van de AVG?
Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: Onlangs kreeg ik mail van een zakelijke datahandelaar (business information provider) waarin werd aangegeven dat mijn zakelijke persoonsgegevens, zoals mobiel nummer, e-mailadres en titel, worden opgenomen in een database met zakelijke profielen van mensen. Deze profielen worden dan vervolgens gebruikt als “product” om te verkopen aan geïnteresseerden. Mag dit zomaar van de AVG?
Antwoord: Het korte antwoord is: nee, maar de praktijk is hardnekkig en omdat het voor de meeste mensen weinig meetbare schade oplevert, gebeurt er weinig tegen.
"Zakelijke persoonsgegevens" zijn natuurlijk gewoon persoonsgegevens, ze gaan immers over een levend persoon. Dat ze publiek gemaakt zijn (bv. op website of LinkedIn profiel) is niet relevant bij vraag of het persoonsgegevens zijn, of bij de vraag of verwerking legaal is onder de AVG.
Verwerking van persoonsgegevens vereist een grondslag. Toestemming is de bekendste, maar in de praktijk zitten de meeste datahandelsorganisaties op een andere - het legitiem belang. Dit is omdat in de AVG (overweging 46) staat dat "direct marketing" een legitiem belang is. Weliswaar moet je dan een opt-out bieden, maar omdat weinig mensen die gebruiken is dat dan verder een eenvoudige invuloefening.
De AVG eist alleen heel wat meer dan dat. Zo kom je al vrijwel meteen bij de vraag hoe deze datahandelaar aan de brondata komt, oftewel welke grondslag heeft de verstrekker van die data om dit aan datahandelaren te geven? Die is er meestal niet. Ook moet je als betrokkene geïnformeerd worden over zo'n verstrekking, wat zelden tot nooit gebeurt. Hetzelfde geldt als de handelaar de gegevens aan iemand verstrekt. En zo kan ik nog wel even doorgaan.
Natuurlijk kun je bezwaar maken, en in veel gevallen zullen je gegevens dan worden gewist. Alleen kunnen ze 'zomaar' weer toegevoegd worden in een nieuwe aankoopronde, en dan begint het gedoe weer opnieuw. En er zijn er ook die met onzinargumentatie komen waarom je recht op vergetelheid niet geldt - bijvoorbeeld omdat je je telefoonnummer vermeldt op je website "zodat er niets te vergeten valt", aldus eens zo'n handelaar tegen een klant van me.
Dit soort praktijken kan eigenlijk alleen aangepakt worden door de toezichthouder, maar die lijkt dit te klein bier te vinden want ik zie weinig handhaving. En natuurlijk, je kunt zelf een rechtszaak beginnen maar dat is behoorlijk duur en de kosten krijg je niet vergoed van de verliezende handelaar. Nog los van het feit dat men bij een dagvaarding gewoon je gegevens wist waarna je zaak niet meer verder kan (gebrek aan belang). Je moet wel héél principieel zijn om er dan nog wat van te maken.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Dat ligt dan ook niet aan de AVG, maar aan een zwaar onderbezette controlerende instantie.
(zoals die van onze pandjesprins; CM.com).
Je moet eerste een account aanmaken - waar je eerst akkoord moet gaan met hun chanterende voorwaardes.
Zelfs als je ongeveer buurman bent van een kantoor van hen, ga je absoluut niet met mensen in aanraking kunnen komen die iets voor je zouden kunnen beteken.
En dat is er slechts eentje, maar zelfs mijn BV die al jaren opgeheven is, en in de KvK een uniek telefoonnummer had tegen gebruikers (lees 100% misbruikers), wordt nog dikwijls gebeld.
Maar mag dat wel ?
https://tweakers.net/nieuws/217668/belgische-datahandelaar-krijgt-avg-boete-van-174000-euro-voor-grote-databases.html
Enerzijds ben ik enorm op mijn privacy gesteld. Terwijl ik digitale diensten verkoop. Dus dat moet dan wel op het internet ;-) Door de wol geverfd, stalk me maar een keertje en binnen een dag durf je zelf de tent niet meer uit.Dus dàt is het niet. Wel dat mijn eigen privesfeer echt bijna goddelijk heilig is. Net als die van mijn gebruikers.
Aan de andere kant heb je dan klanten die hun geld aan je geven. Wat ook eens per ongeluk kan gebeuren. Of dubbel. Of dat iemand het niet goed gesnapt heeft, de pest in heeft en soms ook erg onvriendelijk kan zijn. Wat kan gebeuren, want met al dat internet ken je elkaar niet. Daarnaast nog, met alle internet criminaliteit is het maar een dun lijntje dat men zich belazerd voelt. Wat alleszins begrijpelijk is. Voor zulke mensen is het heel belangrijk dat ik bereikbaar ben. Dat heb ik zelf weliswaar goed geregeld, maar dan heb je er altijd nog een paar die zelfs dat niet gezien hebben. Met transacties ongedaan maken, niks aan de hand, koop ik veel goodwill. Ik wil dus echt wel mijn privacy als ik ergens hun geld zit uit te geven. Maar ik wil ook goed bereikbaar kunnen zijn voor als er wat aan de hand is. In die context kan een AVG dus ook verhinderen dat ik een goede vertrouwensrelatie met klanten opbouw. Niet enkel voor mezelf maar ook voor andere leden van de Stichting Eerlijk Zaken Doen.
Overweging 47 over gerechtvaardigd belang besteedt aandacht aan de te maken afwegingen, en benadrukt de verhouding die bestaat tussen de verwerkingsverantwoordelijke en de betrokkene en de verwachting die de betrokkene op basis van die verhouding heeft over de verwerking van de gegevens.
Als er zo'n relatie is maar de betrokkene op grond van die relatie geen verdere verwerking van persoonsgegevens verwacht dan wegen de belangen en grondrechten van de betrokkenen al snel zwaarder dan die van de verwerkingsverantwoordelijke. Als er helemaal geen verhouding en helemaal geen verwachting is dan is het heel vreemd als bij direct marketing het belang van de verwerkingsverantwoordelijke opeens zwaarder zou wegen. Dat strookt totaal niet met wat er verder in de overweging staat.
De context van wat verder in overweging 47 staat heeft dus betrekking op de zin over direct marketing. Als het niets met elkaar te maken had gehad dan was het een afzonderlijke overweging geweest. Dat is het niet, dus kan je het niet lezen alsof het los van elkaar staat. Dan kan het alleen gaan over direct marketing door een partij waar de betrokkene al een relatie mee heeft en redelijkerwijs dat soort dingen van kan verwachten, zoals bijvoorbeeld een nieuwsbrief van een webwinkel waar je iets hebt gekocht.
Valt direct marketing door partijen waar je niet al een relatie mee hebt trouwens niet onder het spamverbod? Zou verwerking ten behoeve van spam niet net zo verboden zijn als de spam zelf?
Dat ligt dan ook niet aan de AVG, maar aan een opzettelijk zwaar onderbezette controlerende instantie.
Je vergeet het woord opzettelijk. Ik heb dat voor je toegevoegd
Zoominfo lijkt een legitieme website maar het lijkt me sterk dat als je wilt uitschrijven je van ze af bent aangezien uitschrijven alleen met naam en toenaam mogelijk is waardoor ze je juiste gegevens alsnog hebben.
Helaas valt er weinig te doen tegen dit soort instanties maar er niet op reageren lijkt me beter.
Hun business model is verdienen aan jouw gegevens waar je geen toestemming voor hebt gegeven.
https://www.globenewswire.com/en/news-release/2023/03/20/2630797/0/en/Lowey-Dannenberg-P-C-Investigates-ZoomInfo-Technologies-for-Potential-Violations-of-Consumer-Protection-Laws.html
On June 21, 2022, a class action lawsuit was filed against ZoomInfo alleging, among other things, that ZoomInfo (i) unlawfully and intentionally intercepted, accessed, viewed, read, and/or scanned individuals’ personal information contained within their electronic communications without knowledge or consent
De data handelaren proberen doelbinding en proportionalteit vaak op basis van onzin te faken. De oplossing is eigenlijk dat we een AP krijgen die daadwerkelijk de mensen en de middelen heeft om in te grijpen. Los van de noodzaak om dergelijk praktijken middels strafrecht veel eenvoudiger vervolgbaar te maken. De politie weet echt wel wie in Nederland en Europa zich bij herhaling schuldig maken aan dit soort onethische praktijken. Het is aan de politiek om dit soort figuren middels harde wetgeving snel aan te pakken om te voorkomen dat dit soort aso's jarenlang slachtoffers kunnen blijven maken.
ik heb op mijn werkmail ook eenzelfde mail gehad dit phising was. het domain eindigde op .info ipv .com zoals het bedrijf zelf.
het ging hierbij ook om een bedrijf in amerika. mijn theorie op dit moment is dat er gebruik gemaakt wordt van amerikanse bedrijven die persoonsgegevens verzamelen omdat de wetgeven daar anders is dan de gdpr.
Hoe kwam ik tot de vaststelling :mijn hosting liet toe email adressen aan te maken die niet bestaan en die werden afgelevert op één plaats waardoor je verkeert gescherven namen kon detecteren waar het oorspronkelijk voor dient.
echter ging ik gewoon bij elk bedrijf een emailadres verzinnen met de berijfsnaam erin ... wat gebeurt er dan ?
Als er een lek onstaat kan je door te kijken naar het adres wie de lekkende partij is . Nu als je dit gebruikt voor wachtwoorden kan je ook detecteren als deze in lijsten voorkomen dat het bedrijf gehackt is van wie de herkomst is dat uw wachtwoord op de straatstenen belande . Dit heet werkelijke controle, Helaas heeft een half snotjochen die niet de nodige kennis heeft het bedrijf overgenomen en is deze functie helaas niet meer mogelijk (zo'n container based idiote hosting )De kennis die vroeger was is vergane glorie
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.