Op 22 januari heeft de Autoriteit Persoonsgegevens met de lancering van een nieuwe vacature-website een vertrouwde traditie van het crowdsourcen van compliance controles voortgezet. De nieuwe vacaturewebsite van de AP maakt namelijk gebruik van cookies van Google Analytics en Vimeo/Cloudflare. Ik heb direct dezelfde dag de FG gemaild met deze observatie.

Vandaag heeft de AP het mogelijk gemaakt voor betrokkenen om een pagina op te zoeken op de website van de AP om te achterhalen wat er is gebeurd. Dat beschrijf ik bewust wat omslachtig omdat de informatie best lastig te vinden is als je niet al weet dat de AP deze fout heeft gemaakt.

Wat is er eigenlijk gebeurd?

De AP heeft de nieuwe vacature-website laten ontwikkelen en hosten door Spielwork. De website was al langer online beschikbaar met meer cookies zoals cookies van Facebook. Iemand heeft in ieder geval voor het publiekelijk verwijzen naar deze website aandacht besteed en een aantal cookies (laten) verwijderen. Omdat dit niet de eerste keer is dat de AP een vergelijkbare fout heeft gemaakt heb ik gevraagd hoe het heeft kunnen gebeuren dat deze fout is gemaakt en welke maatregelen de AP gaat nemen om de kans op herhaling te voorkomen. De AP heeft daarop gereageerd door te zeggen geen vragen te beantwoorden. In de publicatie van de AP gaat de AP wel duidelijk in op deze vragen.

Er heeft onvoldoende controle plaatsgevonden voordat een video online werd gezet. We hebben het proces aangescherpt door onder andere bij hoogrisicoverwerkingen controle te laten plaatsvinden voordat zaken online gaan.

Ook geeft de AP wat aanbevelingen voor verwerkingsverantwoordelijken, Het zijn op zich redelijke goede tips die ongeveer neerkomen op: zorg dat het op papier goed geregeld is en controleer voor livegang of alles ook echt klopt in de praktijk.

Op 28 januari, zes dagen na het melden, heb ik zelf opgemerkt dat het gebruik van cookies die ik had opgemerkt is gestopt waardoor er geen nieuwe persoonsgegevens meer worden verwerkt. Er is pas toen ik daar navraag naar deed bevestigd dat er aanpassingen zijn doorgevoerd. Het heeft ongeveer twee maanden gekost van mijn melding totdat de AP informatie heeft gepubliceerd.

Betrokkenen informeren

Hoewel ik behoorlijk positief ben over de informatie die de AP beschikbaar stelt aan betrokkenen ben ik niet overtuigd dat de AP ook echt betrokkenen heeft geïnformeerd.

De AP heeft de informatie niet verschaft op de website waar het verkeerd is gegaan. Ook staat het niet op de voorpagina van de hoofdwebsite van de AP. Hoewel de AP mijn contactgegevens heeft en weet dat ik betrokkene ben heb ik geen brief of e-mail gekregen. Als ik kijk naar artikel 14 van de AVG staat er niet hoe een verwerkingsverantwoordelijke betrokkenen moet informeren. Maar als je het mij vraagt is de AP in dit geval de grenzen wel dusdanig aan het oprekken dat ik betwijfel of ze dit vanuit hun toezichthoudersrol wel zouden goedkeuren. Ik hoop in ieder geval niet dat anderen dit als voorbeeld gaan gebruiken.

Op mijn vraag waarom de AP zo lang heeft gewacht met het informeren van betrokkenen heeft de AP geantwoord dat de AP geen vragen beantwoord. Ook hier is het wat lastig hoe je artikel 14(3) van de AVG zou moeten interpreteren als de verwerkingsverantwoordelijke al te laat is met het informeren van betrokkenen. Maar ik kan me niet voorstellen dat de AP als toezichthouder het goed zou keuren als een verwerkingsverantwoordelijke langer dan een maand wacht met het informeren van betrokkenen over een verwerking.

De informatie die de AP wel verstrekt is overigens opmerkelijk goed. De AP informeert over wat er is verwerkt, voor welk doel, aan wie de persoonsgegevens zijn verstrekt. De AP is zelfs erg transparant over onzekerheid over de bewaartermijnen.

Wat ook opvallend is, is dat de AP aangeeft dat het niet duidelijk is naar welke landen persoonsgegevens zijn geëxporteerd en of deze landen passende waarborgen hebben genomen. Voor Google Analytics is het niet mogelijk om te vertrouwen op enige data-locatisatie instellingen als de gegevens niet in een account terecht zijn gekomen waar de AP controle over heeft. Vimeo en Cloudflare geven in hun privacy policies in ieder geval beiden aan dat er doorgifte naar de V.S. en andere landen plaatsvind. De AP heeft ervoor gekozen om betrokkenen niet te informeren over de details. Mogelijk omdat de AP dit niet verder heeft uitgezocht. En om eerlijk te zijn: het is in de praktijk ook enorm lastig om dit goed uit te zoeken. Als de AP er niet in slaagt de persoonsgegevens te laten verwijderen is het misschien de moeite waard om wat energie te stoppen in het uitzoeken van deze vraag. Het is namelijk zeer gebruikelijk dat websites niet informeren over doorgifte bij cookie-gebruik. En het is een interessant signaal van de AP dat zeggen dat je niet weet wat voor doorgifte er plaatsvindt acceptabel is.

Persoonsgegevens wissen

De AP heeft aangegeven bijna twee maanden na geïnformeerd te zijn over de verwerking de ontvangers van de persoonsgegevens te hebben verzocht de ontvangen persoonsgegevens te verwijderen. De AP heeft waarschijnlijk nog geen reactie ontvangen. Het zou heel netjes zijn als de AP betrokkenen op de hoogte houdt over de reactie van de ontvangers. Voor het geval dat de persoonsgegevens niet verwijderd worden kunnen betrokkenen er voor kiezen om hun rechten uit te oefenen of zelfs een klacht in te dienen bij/over de AP. De AP heeft geen indicatie gegeven of ze betrokkenen op de hoogte zullen houden.

Afhandeling van het incident

Omdat ik vaker de AP informeer over onbedoelde en/of onrechtmatige verwerkingen die de AP doet vind ik het interessant om te analyseren hoe dat proces verloopt. In het verleden is dat namelijk regelmatig heel slecht verlopen. Dit keer heb ik contact gehad met de FG en dat is eigenlijk heel vriendelijk verlopen. Maar waar ik me heel erg veel zorgen over maak is dat ik heel sterk het gevoel heb gekregen dat de AP zonder druk van mijn publicatie hierover mogelijk niet of in ieder geval ver beneden het wettelijk vereiste peil dit incident zou afhandelen. Daar komt bij dat ik ook merk dat er een hele sterke behoefte is om te verbeteren. Hoewel ik het belangrijk vind om de afhandeling primair te toetsen aan de AVG waar de AP ook zelf aan moet toetsen wil ik toch ook meegeven dat ik de indruk krijg dat de AP het langzaamaan beter doet en ook nog beter wil doen.

Kan het nog beter?

Ja, de gemeente Den Haag heeft een paar vergelijkbare incidenten gehad en de gemeente doet het nog beter dan de AP. Ik moet toegeven dat de gemeente wel wat meer tijd en aansporing nodig had om aan de slag te gaan. Maar toen de gemeente eenmaal om was liep alles eigenlijk heel erg positief. De communicatie met de gemeente, als er vertraging is of om even te bespreken wat de juiste aanpak is heel fijn verlopen. Ook kiest de gemeente ervoor om betrokkenen heel helder en vindbaar te informeren over de incidenten. Gewoon op de voorpagina van de websites waar het is fout gegaan:

• Centrum Jeugd & Gezin Den Haag
• Archeologie Den Haag
• Go Go Den Haag

De gemeente heeft zelfs de conclusie getrokken dat geen van de ontvangers wilde meewerken aan het verwijderen van de persoonsgegevens en daarvoor heeft de gemeente namens alle betrokkenen een klacht ingediend bij de AP. Zo is er voor de betrokkenen effectief niks meer om over te klagen. Ik ben heel erg benieuwd hoe de AP besluit deze klachten te behandelen. Ik ben ook benieuwd wat de AP gaat doen als bijvoorbeeld Vimeo, die bij de gemeente Den Haag weigerde mee te werken ook bij de AP weigert mee te werken.

Er missen nog wel een paar websites van de gemeente die betrokkenen nog moeten informeren. Maar deze drie zijn wat mij betreft het beste voorbeeld dat ik heb gezien. Ik wil graag meer aandacht voor zorgvuldig herstel van onbedoelde/onrechtmatige verwerkingen van persoonsgegevens en de gemeente Den Haag geeft hier een uitstekend voorbeeld mee.