Rechter: DPG Media overtrad AVG, maar AP had geen boete mogen opleggen

Mijn passpoort bied geen enkele informatie dat gebruikt kan worden, om te checken dat ik eigenaar ben van een bepaald account. Dus ja helemaal overbodig, en een schending van mijn privacy, want na deze aan vraag kunnen ze mijn account aan een echte persoon koppellen.

Dus een bedijf dat gegvens over een anoniem account bewaard, hoord dus een modelijkheid te bieden dat ik online ( zie google ) die informatie kan in zien. En ik vind het dus ook belachelijk dat DPG hier gewwon vrijuit gaat.

Volgens mij kan je tot op de dag van vandaag je eigen account niet eens verwijderen via de instellingen, laat staan een verzoek doen tot inzage persoonsgegevens. Als je naar de instellingen gaat, zul je zien dat je wordt doorverwezen naar de algemene voorwaarden, waar ze je vertellen een e-mail te sturen. Het is dus geen excuus dat het alleen geldt voor mensen die een e-mail of brief sturen, als dat überhaupt de enige manieren zijn waarop je zo’n verzoek kan indienen.

Maar DPG overtreed meerdere AVG regels, die cookie walls op bijna al hun sites (en tot vorig jaar ook op Tweakers). Zelfs nu nog op DPG websites, de NEE/cancel moet net zo makkelijk zijn als de JA/Accept. Of in DPG's geval, de "akkoord' en "instellen". Dit zijn gewoon dark patterns. Google is recent ook door Frankrijk hiervoor op de vingers getikt.

Helemaal mee eens. De DPG doet het niet goed qua cookiewall en GDPR. Ook bijv. bij nu.nl dat je verplicht een account moet aanmaken om artikelen te kunnen lezen, waardoor ze het recht hebben om meer info van je op te slaan (want omdat je inlogt is er een 'technische noodzaak'). Ik vind dat een nogal kromme interpretatie van de regels omdat het je verplicht wordt zo'n account te maken. Dat moet ook aangepakt worden vind ik.

Maar daar was deze boete niet voor, dus ik snap ook wel dat dat niet terecht is.

Ik vind trouwens ook wel dat de GDPR te ingewikkeld is. Maar daar is de industrie zelf schuldig aan, want die probeert steeds via achterdeurtjes de boel te omzeilen. Bijvoorbeeld die verplichte nu.nl accounts, de dark patterns in de cookiewalls.

Als de industrie gewoon een beetje mee zou werken dan was het niet nodig geweest om die wet zo complex te maken om elk omweggetje dicht te timmeren.

Wat ook niet helpt is dat maar 2 Belgische bedrijven vrijwel de complete Nederlandse media in handen hebben. Dat is natuurlijk ook niet gewenst en hier heeft de ACM ook nog een steekje laten vallen. Gelukkig is er de NOS ook nog maar die wou Balkenende ergens in 2006 afschaffen, dus fijn dat dat hem niet gelukt is.

[Reactie gewijzigd door GekkePrutser op 22 juli 2024 21:58]

zonder dat er ook maar iemand aantoonbaar schade heeft opgelopen

Dit is nou typisch wat het gezegde over het kalf en de put duidelijk wil maken:
De AP moet kunnen optreden als er iemand aantoonbaar schade kan oplopen door fouten van een bedrijf.

Verder geef ik de rechter in deze zaak volkomen gelijk.

Een boete is niet om geleden schade te vergoeden. Anders kan je elke snelheidsbekeuring wel gaan aanvechten. Het is om gedrag te corrigeren en herhaling te willen voorkomen. Zoals @CH4OS al meldt, een boete is altijd vervelend, ook een 1% boete voel je wel, maar is nauwelijks substantieel te noemen.

Heeft iemand schade geleden als jij met 200 kilometer per uur over de snelweg rijd en daar een snelheidsboete voor krijgt?

We hebben het hier niet over een schadevergoeding, het gaat om boetes. En die krijg je als je de wet overtreed.

Ik vind de boete nog laag.

De rechter roept ze nu toch terug. Ze "kunnen" dus niet zomaar de boetes uitschrijven.

De boetes zijn dan ook niet alleen bedoeld als schadevergoeding (geen persoon krijgt geld), maar als afschrikwekkende functie. Houd je aan de wet, anders dikke boete. En terecht!! Dpg is een gigantisch bedrijf met genoeg geld om dit wél naar behoren te regelen.

Ik hoop dat er meer en hogere boetes komen vanuit de AP om bedrijven er echt toe te dwingen te stoppen met het onnodig opvragen, bewaren en verzamelen.

19. Op grond van artikel 83, vijfde lid, van de AVG is verweerder bevoegd een boete op te leggen bij een inbreuk van artikel 12 van de AVG. Op grond van de Boetebeleidsregels Autoriteit Persoonsgegevens (Boetebeleidsregels) valt de overtreding van artikel 12, tweede lid, van de AVG onder Categorie III. De basisboete van Categorie III bedraagt € 525.000.(...)

Bron: [url="https://uitspraken.rechts...d=ECLI:NL:RBAMS:2023:5074"]https://uitspraken.rechts...d=ECLI:NL:RBAMS:2023:5074[/url]

Dat is blijkbaar het bedrag wat is vastgesteld in de AVG als artikel 12 wordt overtreden.

AVG slaat ook vrijwel nergens op. Het legitimeert op een eenvoudige wijze onbeperkt opslaan en gebruik van persoonsgegevens. Je hoeft maar 'n simpele reden (verzinsels zijn ook prima) te hebben en het mag al.

Het feit dat ik of meer privacy gevoelige info moet opsturen of mijn data niet kan inzien/laten verwijderen is misschien niet direct financiële schade maar wel een overtreding van de wet.

Moet je mensen die met 300 over een snelweg razen ook vrij laten gaan want er is geen schade?

Als jij door rood licht rijdt, zal - als je daarmee geen aanrijding veroorzaakt - niemand aantoonbare schade lijden. En toch krijg je er een boete voor. Hieruit blijkt wel dat boetes zelden alleen bedoeld zijn als vergoeding van aantoonbaar geleden schade.

het gaat ook om principes en de naam die je als bedrijf wilt hebben. het gaat natuurlijk niet om alleen het geld maar ook de precedent die je schept.

Toezichthouders kunnen ook fouten maken dus rechtsbescherming is ook voor bedrijven belangrijk. We zijn immers een rechtstaat. Dit soort uitspraken aan de hand van een concrete situatie zijn nuttig om de normen verder uit te laten kristalliseren.

Bovendien is de AP nog een relatief jonge organisatie. Het is goed dat ze handhavend optreden en voorbeelden stellen maar dat moet wel redelijk blijven.

[Reactie gewijzigd door PjotterP op 22 juli 2024 21:58]

ja, het kan inderdaad gejat zijn, goed punt

En wat is dan wel goed in plaats van een identiteitskaart? Dat zie ik volgens mij nergens vermeld staan. Het lijkt mij niet meer dan logisch dat jij bewijst de persoon te zijn door je ID op te sturen.

Ik had bij nu.nl mijn echte naam niet gebruikt en hier evenmin, dus ik zou mijn accounts niet kunnen laten verwijderen met mijn ID?

En hoe bewijst dat ID dan dat je dezelfde persoon bent als die controle bij het aanmaken helemaal niet gedaan is?

Inderdaad. Dit is nou eens een geval waar er met één maat wordt gemeten, maar er eigenlijk twee van toepassing zijn.

Daarnaast zal ik je even bijspringen en stellen:
het argument van de rechtbank dat de boete zo heel hoog zou zijn, is dus ook gewoon kul.


De jaarwinst van DPG zit rondom de 200mil EUR.
De omzet ligt dus nog een flinke tik hoger, maar laten we die 200mil even als ondergrens nemen.
Dan zou 500k dus 0.25% zijn.

De AVG kent twee boete categoriën. Te weten: een lage categorie tot aan 2% jaaromzet in Art 83.4 en en hoge categorie tot aan 4% jaaromzet in Art 83.5

Alle overtredingen in zake de rechten van de betrokkene op inzage en correctie van gegevens, vallen onder de hoge categorie. Hier overtreedt DPG artikel 12.2. Zij moeten de rechten op inzage, correctie en verwijdering faciliteren; en volgens artikel 12.6 mogen zij slechts weigeren bij gerede twijfel inzake de identiteit van de persoon die het verzoek indient en daarbij om verdere informatie vragen die de identiteit kan bevestigen.

Bij een standaardaanvraag via het geregistreerde email adres bestaat zulke gerede twijfel helemaal niet.
En al helemaal niet in gevallen waar de gekoppelde account al afgezworen en de-facto gesloten is; maar enkel nog de verantwoordelijke beschikking heeft gehouden over de gegevens omdat deze niet
automatisch mee verwijderd worden. Dat is dus overtreding #1 in het hoge segment.

Vervolgens vragen zij in een geval waar er dus al geen sprake kan zijn van gerede twijfel, om een volledige kopie nationaal identiteitsbewijs. Dat is een schending van Artikel 9. Gegevens waaruit ethniciteit blijkt, zoals het nationaal identiteitsbewijs, mogen niet verwerkt worden, tenzij in uitzonderlijke situaties. De enige situatie op die lijst is waar de betrokkene uitdrukkelijk toestemming heeft verleend. Maar zoals we allemaal weten moet zulke toestemming om rechtsgeldig te zijn, vrijelijk gegeven zijn. En als daar tegenover staat dat je, zonder die gegevens prijs te geven, je account niet opgeruimd kunt krijgen - dan is dat dus niet een geval van vrijelijk gegeven. Dus DPG had niet om het ID bewijs mogen vragen. En dat is overtreding #2 in het hoge segment. Want Artikel 9 valt daar ook onder.

Maar wacht; het is ook een overtreding van het data-minimalisatie principe zoals gesteld in Artikel 5.1c. Want je kunt met veel minder indringende middelen toe. En ja; ook Artikel 5 valt in het hoge segment. Dus de teller gaat naar 3.

Maar wacht! We zijn er nog niet. Want het is ook een overtreding van de Nederlandse wet inzake nationale identiteitsbewijzen. Want DPG mag daar bij wet helemaal niet om vragen. En Artikel 87 uit hoofdstuk IX van de AVG geeft lidstaten het recht dit soort aanvullende bepalingen te maken waar het verwerkingen van nationale identificatienummers betreft.

En, ja, je raadt het vast al: alle artikelen uit hoofdstuk IX vallen ook onder het hoge segment.
Dus overtreding nummer vier.


Nu is het zo dat autoriteiten zich aan de richtlijnen van de EDPB moeten houden om EU-breed een consistent boete-beleid te voeren. Deze stellen een aantal toetsingseisen en rekenmethodes vast, waaronder valt of er sprake is van individuele overtredingen of een samenloop van overtredingen in een logische keten; of er sprake is van overlappende overtredingen waar het één een gedeeltelijke specialisatie of causaal gevolg is van het ander; etc.

De facto kom je in de meeste gevallen uit op het feit dat er slechts één boete gegeven mag worden waarbij als maximale hoogte, de maximaal vastgestelde hoogte geldt voor de zwaarste overtreding.
Dat is hier dus een overtreding binnen de hoge categorie (max 4% jaaromzet).

Maar let op! Om de daadwerkelijke hoogte van de boete binnen die norm vast te stellen is het dus wel de bedoeling dat alle overtredingen als afzonderlijke overtredingen in acht genomen worden als maatstaf voor zwaarte van de totale overtreding.

En dan begint ~0.5% van een maximale 4%, dwz grofweg 1/8e van de maximale boete ineens heel courant te lijken, voor totaal 4 overtredingen - alle vier in het hoge segment - niet?

Als je dan ook nog eens na gaat dat 200mil de jaarwinst is en dus de absolute ondergrens van de jaaromzet van DPG. Dat in realiteit het zo is dat een gezond bedrijf ca. 5% winstmarge heeft, wat wil zeggen dat de omzet ~20 keer zo hoog zal zijn geweest. En dat de boete daarmee feitelijk naar alle waarschijnlijkheid slechts 0.025% van de omzet en grofweg 1/160e van het maximum betreft...

nou. Dan was dat dus eigenlijk gewoon een schijntje en hadden ze er heel licht vanaf gekomen.

----

Conclusie: kan iemand even zorgen dat de rechtbank die hier uitspraak over gedaan heeft, zich wat gaat bijscholen en tot die tijd geen uitspraken meer doet in dit soort gevallen?
Dank u wel!

[Reactie gewijzigd door R4gnax op 22 juli 2024 21:58]