Hoe gaat het eigenlijk met de invoering van de nieuwe privacywet in foodstad Ede? Toevallig las ik daar vandaag een bericht over in De Kruiwagen, het lijfblad van de Vereniging van Amateurtuinders Ede.
Onder het kopje ‘Mededelingen VAT-Ede bestuur’ meldt voorzitter Eline van Haarlem dat de 450 tuinders zich echt geen zorgen hoeven te maken. Hun privacy is bij het bestuur in goede handen. Als lid van Tuinenpark De Koekelt, onderdeel van VAT-Ede, viel ik zowat van mijn stoel.
Eerst het bericht, dan de analyse en het commentaar:
Van Haarlem beweert dus dat VAT-Ede zorgvuldig met de privacy van haar leden omgaat. Maar in haar bestuurscolumn levert ze meteen zelf het bewijs aan dat dit niet zo is. Ik licht er drie punten uit:
1. Leden zijn niet tijdig en volledig geïnformeerd
Van Haarlem refereert aan allerlei bedrijven en organisaties die hun relaties de afgelopen periode hebben geïnformeerd over hoe zij met de data van klanten en leden omgaan. VAT-Ede heeft dat – zo te lezen heel bewust – niet gedaan.
Maar juist dat actief en op tijd informeren van leden is wettelijk verplicht onder de nieuwe wet. Dat moet zelfs heel gedetailleerd gebeuren, zie ook deze instructie. De informatie over de nieuwe privacywet heeft het afgelopen jaar in zoveel media gestaan, dat je wel onder een steen geleefd moet hebben om dat niet te weten. Er stond op 25 mei geen privacyverklaring op de VAT-Ede website en leden zijn ook niet tijdig en inhoudelijk per e-mail of brief geïnformeerd, los van de mededeling “u zult daar weinig van merken”.
Screenshot van de website Vat-Ede.nl zonder verplichte privacyverklaring
VAT-Ede overtreedt dus de privacywet en Van Haarlem is zo handig om dat zelf zwart-op-wit toe te geven. Handig omdat alle 450 leden van VAT-Ede nu een goede reden hebben om aangifte te doen bij de Autoriteit Persoonsgegevens.
2. Het ledenbestand ligt al jarenlang op straat
Dan de prachtige zinsnede: “Wat u misschien wel opvalt, is dat u voortaan bcc gemaild wordt.” Dit was het moment dat ik van mijn stoel tuimelde.
Het in het to- of cc-veld plakken van een grote groep geadresseerden van een mailing was sinds de begindagen van het internet al not-done, want een aantasting van de privacy. Alle andere ontvangers kunnen je adresgegevens dan zien en daar desgewenst gebruik of misbruik van maken. En nu, anno 2018, heeft Van Haarlem dan eindelijk ook het licht gezien. Haar naïeve “voortaan in bcc”-belofte impliceert dat moestuinvereniging VAT-Ede de privacy van haar leden al jarenlang heeft geschonden. Au!
Blijkbaar weet de voorzitter ook niet dat dit al vóór de invoering van de AVG strafbaar was. Onder de Meldplicht Datalekken is dit een duidelijk gevalletje ‘datalek’ en daar kunnen forse boetes voor worden uitgedeeld.
Als lid van VAT-Ede kun je in je mailbox zelf nagaan of je complex mailings heeft verzonden met alle adressen in het to- of cc-veld. Bij De Koekelt – waar ik zelf tuinier – zijn dat er meerdere. Zo mailde huidig VAT-Ede secretaris Tineke Werner de leden van Tuinenpark De Koekelt op 28 mei 2015, 28 april 2015 en 3 december 2014 met alle pakweg 150 adressen in het to-veld. Koekelt-secretaris Henk van der Laak deed hetzelfde op 4 juni 2014. Uit privacy-overwegingen voeg ik hier geen screenshot van bij.
Op 17 mei 2017 meldde diezelfde Van der Laak per e-mail aan alle leden dat hij ledeninformatie (onder meer e-mails en teeltplannen) kwijt was geraakt ten gevolge van een ransomware-aanval. Hij was blijkbaar onvoorzichtig geweest op het internet en had zijn computer onvoldoende beveiligd, met als gevolg dat ledeninformatie was verdwenen.
Screenshot van de e-mail van de Koekelt-secretaris
Door geklungel van digibete bestuursleden is het ledenbestand van VAT-Ede nu dus grotendeels openbaar.
3. Leden die informatie opvragen krijgen nul op het rekest
Tenslotte doet Van Haarlem in haar column een uitnodiging: “Wilt u precies weten welke gegevens van u bewaard blijven? Neem dan contact op met het bestuur.” Let wel: dit is wettelijk verplicht. Leden kunnen te allen tijde inzage vragen in de gegevens die van hen worden bewaard. Dit geldt voor alle rechtsorganen en aan zo’n verzoek moet binnen 30 dagen schriftelijk worden voldaan.
Maar als je bij VAT-Ede zo’n verzoek indient, loopt dat toch iets anders. Ik nam de proef op de som en vroeg de voorzitter op 29 mei om alle binnen VAT-Ede over mij opgeslagen informatie – in databestanden, e-mails, notulen en gespreksverslagen – aan mij te verstrekken. Voor de zekerheid vermeldde ik:
“Ik wijs u er op dat conform de per 25 mei geldende privacywetgeving GDPR-AVG u wettelijk verplicht bent mij al deze gegevens te verstrekken als ik daar om vraag.”
Op 16 juni 2018 antwoordde Van Haarlem:
“We kunnen en mogen je geen inzage geven i.v.m. de privacywetgeving.”
Op 17 juni 2018 mailde ik terug:
“Bijzonder dat u de privacywetgeving aanhaalt om mij informatie te onthouden die u juist op basis van diezelfde privacywet verplicht bent mij te verstrekken. Volgens mij snapt u de wet niet helemaal. U bent nu in overtreding. Hoor ik niets van u, dan zal ik hiervan melding maken bij de Autoriteit Persoonsgegevens en hen vragen u de boete op te leggen die op dit vergrijp staat. Deze boete kan oplopen tot maximaal 20 miljoen euro of 4% van de jaaromzet van uw vereniging.”
Op 21 juni 2018 mailde Van Haarlem pinnig terug:
“We blijven onszelf niet herhalen en kunnen je niet meer informatie geven, dus we verwijzen je terug naar onze eerdere mails.”
Het privacybeleid van VAT-Ede is dus een wassen neus. Sterker nog: er lijkt sprake te zijn van onwil van het verenigingsbestuur om zich aan de wet te houden.
Wat gaat de Autoriteit Persoonsgegevens doen?
Ik heb de daad bij het woord gevoegd en op 22 juni een melding gedaan over VAT-Ede bij de Autoriteit Persoonsgegevens. Ook omdat ik heel benieuwd ben of en op welke wijze de overheid de privacywet gaat handhaven.
Op 26 juni werd ik door de Autoriteit Persoonsgegevens gebeld met de mededeling dat mijn melding wordt opgeschaald naar een officiële klacht. Dat is in ieder geval pro-actief.
Intussen probeert de voorzitter van VAT-Ede ook pro-actiever te worden. Onder haar column in De Kruiwagen plaatste ze een oproep voor nieuwe bestuursleden. Dat lijkt me heel verstandig. Hopelijk melden zich dan mensen die wél weten hoe het internet en de Nederlandse wet werken.
_____
UPDATE September 2018 – Er blijkt meer aan de hand te zijn bij VAT-Ede. Kritische leden hebben zich verenigd en een soort Wikileaks-site opgezet over ‘machtsmisbruik en bestuurlijk falen’ bij de vereniging.
UPDATE December 2018 – Inmiddels zijn bij de Autoriteit Persoonsgegevens bijna 10.000 klachten over privacyschending binnengekomen. Het onderwerp leeft blijkbaar, maar hierdoor staat de behandel- en handhavingscapaciteit van de AP erg onder druk. Het duurde even voordat er daadwerkelijk actie werd ondernomen.
Op 17 oktober belde de Autoriteit Persoonsgegevens met VAT-Ede om duidelijk te maken dat het verenigingsbestuur zich toch echt aan de privacywet moet houden. Hoewel de AVG vooral is bedoeld om grote commerciële databedrijven als Google en Facebook accountable te houden, en amateurverenigingen en kleine ondernemingen (terecht) enige coulance krijgen om hun processen op orde te brengen, blijkt bij VAT-Ede sprake te zijn van bewuste onwil om leden transparant te informeren.
De AP heeft met VAT-Ede afgesproken, en ook aan mij bevestigd, dat het verenigingsbestuur mij binnen twee weken een volledig overzicht zou aanleveren van alle persoonlijke informatie die zij over mij heeft bijgehouden en opgeslagen, in zowel databestanden als e-mails, documenten, notulen en gespreksverslagen. In plaats van dat dit overzicht keurig aan mij werd verstrekt, werden mijn persoonlijke gegevens ongevraagd aan de AP gemaild, wat automatisch een nieuwe schending van mijn privacy opleverde. Immers het is niet toegestaan om zonder toestemming van betrokkene en een geldige verwerkersovereenkomst data aan een derde partij af te staan.
Een week na de deadline ontving ik het overzicht alsnog, maar zonder de vermelding waar de betreffende informatie fysiek of digitaal is opgeslagen, welke verwerkersovereenkomsten hierop van toepassing zijn, en hoe deze gegevens concreet zijn beveiligd, zodat mijn privacy daadwerkelijk is gegarandeerd. Ook heb ik, hoewel ik hier bij herhaling om heb gevraagd, nog steeds geen inzage gekregen in mijn persoonlijke gegevens, en heeft het VAT-Ede bestuur mij ook geen fysieke kopie willen verstrekken.
Omdat ik door deze non-coöperatieve houding geen enkel vertrouwen meer heb dat mijn persoonlijke gegevens bij VAT-Ede in goede handen zijn, heb ik op 6 november per e-mail aangegeven gebruik te willen maken van mijn wettelijke ‘recht op vergetelheid’. Ik mailde:
“Ik eis ik dat u AL mijn gegevens uit uw bestanden verwijderd en mij hiervan een officiële bevestiging mailt. Ik heb u tenslotte nooit toestemming gegeven om persoonlijke gegevens van mij op te slaan of te bewaren, en u heeft hier ook nooit op basis van een grondslag mijn toestemming voor gevraagd. Als u meent dat u deze grondslag of toestemming wel heeft, bent u verplicht concreet te onderbouwen waar u dit op baseert, welke gegevens het dan betreft en wat de exacte bewaartermijn van deze gegevens is. In dat geval trek ik die eventuele toestemming formeel meteen in.”
Een organisatie is verplicht om binnen 30 dagen op een verzoek in het kader van de AVG te reageren. Dat is niet gebeurd. In plaats daarvan ontving ik op 16 december een brief van VAT-Ede waarin voorzitter Eline van Haarlem en secretaris Tineke Werner mij sommeren dit artikel op Ede Citymarketing “te verwijderen en verwijderd te houden” op straffe van een rechtszaak en schadeclaim. Zij zijn van mening dat mijn feitelijke constateringen “de goede naam en eer van de vereniging aantasten,” maar vergeten gemakshalve om een gezonde blik in de spiegel te werpen. Bizar dat een bestuur zich meer druk maakt om haar eigen reputatie dan om de privacy van haar leden.
Op 18 december was voor mij de maat vol en heb ik een officieel handhavingsverzoek ingediend bij de Autoriteit Persoonsgegevens. Dat een organisatie moet wennen aan de AVG is begrijpelijk. Maar bewuste minachting van de wet (en van leden) is onacceptabel.
UPDATE December 2019 – Het heeft lang geduurd, maar op 12 december 2019, anderhalf jaar na dato, heeft de Autoriteit Persoonsgegevens dan eindelijk uitspraak gedaan in de zaak tegen VAT-Ede. In maar liefst 14 pagina’s motiveert onze privacy-waakhond dat op basis van de ingediende klacht en de reactie van VAT-Ede hierop niet eenduidig kan worden vastgesteld of VAT-Ede de AVG nu heeft overtreden of niet. Daarvoor is volgens de Autoriteit Persoonsgegevens ‘nader onderzoek’ nodig, en op prioriteringsgronden wil de AP daar geen capaciteit voor inzetten.
Deze prioriteringsafweging begrijp ik. Sinds de invoering van de AVG is de AP overspoeld met klachten en me dunkt dat er wel belangrijker zaken zijn dan die van een plaatselijke moestuinvereniging. Daar komt bij dat als je een klacht indient je een ‘persoonlijk belang’ (als gedupeerde) moet hebben en dat betekent dat de AP dus alleen naar zo’n individuele casus kijkt en niet naar verenigingsbrede schending van de privacy, zoals het ontbreken van een privacyverklaring op de website en het niet informeren van leden. Dat impliceert dat verenigingen en bedrijven er in de praktijk mee wegkomen als ze zich niet aan de AVG houden en dat er alleen nader onderzoek wordt verricht in zaken waarmee een groot maatschappelijk belang is gemoeid.
Hoewel de AP dus geen duidelijkheid kan verschaffen over de vraag of in mijn individuele geval sprake was van een schending van de privacy, is uit dit artikel, de onwil van VAT-Ede om gegevens te verstrekken en de beschuldigende en bedreigende reacties die ik van het bestuur van VAT-Ede ontving wel duidelijk geworden dat de privacy van leden bij deze club niet goed is geborgd, en dat er ook weinig hoop is op verbetering.