Finse Post maakte zonder toestemming digitale mailbox aan voor klanten
De Finse Post maakte voor klanten automatisch en zonder hun toestemming een digitale mailbox aan en bood ook geen optie voor een opt-out. Daarmee zijn meerdere artikelen van de AVG overtreden, aldus de Finse privacytoezichthouder, die een boete van 2,4 miljoen euro oplegde. De uitspraak volgt op een klacht die meer dan zes jaar geleden werd ingediend.
De klager stelde dat zijn documenten en facturen naar een digitale mailbox gingen waar hij zich nooit voor had aangemeld. De Finse privacytoezichthouder startte een onderzoek en ontdekte dat de digitale mailbox gekoppeld was aan andere algemene postdiensten van de Finse Post. De klant kon niet kiezen of hij de digitale mailbox wilde gebruiken of niet, omdat de verschillende postdiensten allemaal via één contract aan elkaar waren gekoppeld.
Daarnaast was het niet mogelijk om met de digitale mailbox te stoppen zonder dat dit ook gevolgen had voor het afnemen van andere diensten. Tevens bleek dat standaard verschillende opties waren ingeschakeld voor het ontvangen van digitale post. Een melding over het ontvangen van digitale post verscheen niet bij alle gebruikers, maar was afhankelijk van het soort apparaat dat werd gebruikt en de ingestelde fontgrootte.
Doordat mensen niet wisten dat er een mailbox voor hen was aangemaakt konden ze zo digitale post ontvangen zonder dat ze hier weet van hadden, wat voor problemen had kunnen zorgen, aldus de toezichthouder. Volgens de autoriteit werden klanten van de Finse Post niet goed geïnformeerd dat de mailbox automatisch werd aangemaakt nadat ze zich voor de postdiensten hadden aangemeld. Verder stelde de toezichthouder dat de Finse Post geen grondslag had voor de verwerking van persoonsgegevens voor het aanmaken van de mailbox.
Het aanmaken van de mailbox was namelijk niet noodzakelijk voor het functioneren van de algemene postdiensten, waar de klant zich wel bewust voor had aangemeld. Vanwege de lange duur van de overtredingen en het grote aantal getroffen gebruikers, zo'n twee miljoen, alsmede de jaaromzet, kwam de Finse privacytoezichthouder tot een boete van 2,4 miljoen euro.
Ik log er gewoon nooit op in, nooit gedaan ook dus geen idee of er wat in staat en wat dat zou zijn.
Ik log er gewoon nooit op in, nooit gedaan ook dus geen idee of er wat in staat en wat dat zou zijn.
Dan ga je misschien een keer keihard nat als er iets staat waar je actie op had moeten ondernemen.
En 100% verlies je dat als het een deurwaarderszaak wordt.
Wel een lekker popcorn onderwerp als je dan loopt te klagen, dus hou het maar zo.
Begin dit jaar FBTO verzocht om 'Mijn FBTO' (door hun aangemaakte en door mij nooit gebruikte) op te heffen, maar nog steeds wordt daar post naartoe gestuurd.
Ik log er gewoon nooit op in, nooit gedaan ook dus geen idee of er wat in staat en wat dat zou zijn.
Dan ga je misschien een keer keihard nat als er iets staat waar je actie op had moeten ondernemen.
En 100% verlies je dat als het een deurwaarderszaak wordt.
Wel een lekker popcorn onderwerp als je dan loopt te klagen, dus hou het maar zo.
Vreemd want ik heb het ook niet en werkelijk geen idee hoe ik daar op in zou moeten loggen. Ze hebben me ook nooit een brief met account gegevens gestuurd als ik dat wel zou willen. Ook geen digid meer, dat heb ik netjes opgezegd.
Ik zie wel dit op de site staan, die van mij is niet "geactiveerd" en ik ga ervan uit dat ze dat daar dan ook weten.
Ik log er gewoon nooit op in, nooit gedaan ook dus geen idee of er wat in staat en wat dat zou zijn.
Dan ga je misschien een keer keihard nat als er iets staat waar je actie op had moeten ondernemen.
En 100% verlies je dat als het een deurwaarderszaak wordt.
Wel een lekker popcorn onderwerp als je dan loopt te klagen, dus hou het maar zo.
Ik log er gewoon nooit op in, nooit gedaan ook dus geen idee of er wat in staat en wat dat zou zijn.
Dan ga je misschien een keer keihard nat als er iets staat waar je actie op had moeten ondernemen.
En 100% verlies je dat als het een deurwaarderszaak wordt.
Wel een lekker popcorn onderwerp als je dan loopt te klagen, dus hou het maar zo.
Dat valt wel mee. Als je er nooit gebruik van hebt gemaakt dan krijg je er alleen berichten van de Belastingdienst in, en die krijg je dan ook nog per post. Je moet zelf expliciet aangeven dat je dingen in die berichtenbox wil ontvangen en dat je die informatie niet meer op andere wijze wil ontvangen. Voor die berichtenbox heb je ook DigiD nodig, en het hebben van DigiD is niet verplicht. Er is ook geen wet waarin staat dat je verplicht bent om gebruik te maken van die box. Als je er dus nooit gebruik van hebt gemaakt dan kan je er ook niets iets in krijgen wat je alleen en uitsluitend daar zou kunnen vinden.
Ik log er gewoon nooit op in, nooit gedaan ook dus geen idee of er wat in staat en wat dat zou zijn.
Dan ga je misschien een keer keihard nat als er iets staat waar je actie op had moeten ondernemen.
En 100% verlies je dat als het een deurwaarderszaak wordt.
Wel een lekker popcorn onderwerp als je dan loopt te klagen, dus hou het maar zo.
Dat valt wel mee. Als je er nooit gebruik van hebt gemaakt dan krijg je er alleen berichten van de Belastingdienst in, en die krijg je dan ook nog per post. Je moet zelf expliciet aangeven dat je dingen in die berichtenbox wil ontvangen en dat je die informatie niet meer op andere wijze wil ontvangen. Voor die berichtenbox heb je ook DigiD nodig, en het hebben van DigiD is niet verplicht. Er is ook geen wet waarin staat dat je verplicht bent om gebruik te maken van die box. Als je er dus nooit gebruik van hebt gemaakt dan kan je er ook niets iets in krijgen wat je alleen en uitsluitend daar zou kunnen vinden.
Precies, door er wel een keer gebruik van te maken loop je een groter risico daar iets te ontvangen wat je mist.
Heb je al bedacht dat het bericht zelf bij het oud papier leggen precies dat datalek is waarvan je het erg vindt als het elektronisch gelezen wordt ?
Ik log er gewoon nooit op in, nooit gedaan ook dus geen idee of er wat in staat en wat dat zou zijn.
Dan ga je misschien een keer keihard nat als er iets staat waar je actie op had moeten ondernemen.
En 100% verlies je dat als het een deurwaarderszaak wordt.
Wel een lekker popcorn onderwerp als je dan loopt te klagen, dus hou het maar zo.
Ik log er gewoon nooit op in, nooit gedaan ook dus geen idee of er wat in staat en wat dat zou zijn.
Dan ga je misschien een keer keihard nat als er iets staat waar je actie op had moeten ondernemen.
En 100% verlies je dat als het een deurwaarderszaak wordt.
Wel een lekker popcorn onderwerp als je dan loopt te klagen, dus hou het maar zo.
Dat valt wel mee. Als je er nooit gebruik van hebt gemaakt dan krijg je er alleen berichten van de Belastingdienst in, en die krijg je dan ook nog per post. Je moet zelf expliciet aangeven dat je dingen in die berichtenbox wil ontvangen en dat je die informatie niet meer op andere wijze wil ontvangen. Voor die berichtenbox heb je ook DigiD nodig, en het hebben van DigiD is niet verplicht. Er is ook geen wet waarin staat dat je verplicht bent om gebruik te maken van die box. Als je er dus nooit gebruik van hebt gemaakt dan kan je er ook niets iets in krijgen wat je alleen en uitsluitend daar zou kunnen vinden.
Ik krijg van ING Bank al jaren mailberichten dat er "belangrijke" post voor mij "klaarstaat" in MijnING. Probleem is, ik heb geen MijnING en ook nooit gehad. Ik heb ING er meermalen op geattendeerd dat ik deze "belangrijke" post, die ik niet op papier krijg toegestuurd, op deze manier niet kan lezen. En dat ik geen MijnING-account wil aanmaken.
ING negeert dat en gaat gewoon door met die praktijk. Stel dat die "belangrijke" post ooit echt belangrijk zou worden, dan krijg je de vraag wie de schuld heeft als er iets misgaat.
De klager stelde dat zijn documenten en facturen naar een digitale mailbox gingen waar hij zich nooit voor had aangemeld. De Finse privacytoezichthouder startte een onderzoek en ontdekte dat de digitale mailbox gekoppeld was aan andere algemene postdiensten van de Finse Post. De klant kon niet kiezen of hij de digitale mailbox wilde gebruiken of niet, omdat de verschillende postdiensten allemaal via één contract aan elkaar waren gekoppeld.
Daarnaast was het niet mogelijk om met de digitale mailbox te stoppen zonder dat dit ook gevolgen had voor het afnemen van andere diensten. (...)
Finland is in een aantal opzichten een ramp op privacy-gebied, o.a. omdat:
1. men daar enorm naïef is en als norm hanteert dat men de (Finse) overheid altijd moet vertrouwen en dat burgers dus geen echte reden hebben om persoonsgegevens niet met de overheid te delen. En de Finse overheid is groot;
2. veel grote of middelgrote Finse bedrijven zichzelf zien als een soort "overheden" in hun relaties met burgers, en dus ook van zichzelf vinden dat ze de persoonsgegevens van burgers gewoon mogen verwerken en onder elkaar delen (de geprivatiseerde Finse post is hier kennelijk een voorbeeld van);
3. Finse rechters ook vanuit die collectivistische "overheid-is-goed"-gedachte redeneren en rechten van individuele burgers in de praktijk vaak negeren, soms in strijd met het internationaal recht. Het is in dat opzicht niet echt een "Westers" land, maar houdt voor buitenstaanders wel met succes die facade op.
Dus prima en moedige stap van de Finse privacy-toezichthouder. In een land als Finland vereist dat misschien nog wel meer moed van de toezichthouder dan in Nederland. En omdat die privacy-toezichthouder deel is van de overheid, zullen Finse rechters de toezichthouder, nu die eenmaal deze stap heeft gezet, waarschijnlijk niet terugfluiten. Het gaat dan dus niet primair om de inhoudelijke argumentatie van de toezichthouder, maar om de status van de toezichthouder als deel van de overheid, waarvoor Finse rechters "respect" menen te moeten tonen.
Alleen wel een beetje langzaam, zes jaar over de behandeling van een relatief eenvoudige klacht doen. Maar ook de Nederlandse privacy-toezichthouder overschrijdt de wettelijke behandelingstermijn vaak jaren en jaren, dus in dat opzicht lijkt er weinig verschil te zijn. Voor de geloofwaardigheid van de handhaving is dit welbeschouwd natuurlijk extreem schadelijk.
M.J.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?