Locatefamily.com moet 525.000 euro betalen aan AP

Voorzittershamer met weegschaal op een stapel eurobiljetten

Locatefamily.com moet een boete van 525.000 euro betalen aan de Autoriteit Persoonsgegevens. De site publiceert zonder medeweten of toestemming persoonsgegevens van mensen. Het verwijderen van deze gegevens is niet eenvoudig, omdat de site geen vertegenwoordiger heeft in de EU. Volgens de Europese privacywetgeving is dat wel verplicht.

Dat schrijft de Autoriteit Persoonsgegevens in een persverklaring.

AP ontvangt tientallen klachten

Locatefamily.com is een website die familieleden die elkaar uit het oog zijn verloren met elkaar in contact probeert te brengen. Daarvoor verzamelt het adresgegevens en telefoonnummers. Naar eigen zeggen zijn deze gegevens bemachtigd uit openbare bronnen, zoals sociale media en fora. Een deel van deze informatie komt van bedrijven die deze gegevens verzamelt en doorverkoopt.

De Autoriteit Persoonsgegevens ontving, net als negen Europese toezichthouders en de Canadese privacywaakhond, tientallen klachten over Locatefamily.com. Mensen zeggen dat ze geen idee hebben hoe hun gegevens op de site zijn beland. Ze hebben zich in ieder geval niet aangemeld bij de site.

‘Wat privé is, moet privé blijven’

Monique Verdier, vicevoorzitter van de AP, noemt het een kwalijke zaak dat een site zomaar namen, adressen en telefoonnummers open en bloot publiceert. Met deze informatie is het voor cybercriminelen mogelijk om identiteitsfraude te plegen, je lastig te vallen met ongewenste telefoontjes of erger ineens bij je huis aan te kloppen. “Wat privé is, moet privé blijven”, aldus Verdier.

“Als jij die informatie wilt delen, kan dat natuurlijk”, zo vervolgt Verdier haar betoog. “Maar je moet daar zélf voor kunnen kiezen. Bij Locatefamily.com krijgen veel mensen die keuze niet. En als jouw adres en telefoonnummer dan tóch op zo’n site belanden, moet je in ieder geval makkelijk kunnen regelen dat die informatie van de site af gaat. Dat kan hier niet. Dat komt mede doordat Locatefamily.com geen vertegenwoordiger in de EU heeft.”

Locatefamily.com krijgt boete van ruim een half miljoen euro

Locatefamily.com heeft een verwijderingsformulier. Desondanks is het laten verwijderen van persoonsgegevens ‘niet eenvoudig’, omdat de site geen vertegenwoordiger heeft in de EU. Volgens artikel 27 van de Algemene Verordening Gegevensbescherming (AVG) is dit wel verplicht voor een bedrijf dat op deze manier diensten aanbiedt in de EU. Volgens de toezichthouder worden zo’n 700.000 Nederlanders vermeld in de database van Locatefamily.com.

Het onderzoek naar de website startte in mei 2018. In december 2020 kreeg de site een boete van 525.000 euro opgelegd, zo staat er in het boetebesluit. Daarbovenop heeft de toezichthouder een dwangsom opgelegd van 20.000 euro voor iedere twee weken dat Locatefamily.com geen Europese vertegenwoordiger aanwijst, met een maximum van 120.000 euro. De site had tot 18 maart 2021 de tijd om een Europese vertegenwoordiger aan te wijzen. Of dat inmiddels is gebeurd is onbekend.

Locatefamily.com zegt dat het niet in Europa gevestigd is en geen ‘zakelijke relaties’ in de EU heeft. Als mensen het verwijderingsformulier invullen, worden hun gegevens ‘binnen enkele dagen’ verwijderd. Op de vraag waar het hoofdkantoor is gevestigd, wil de site geen antwoord geven.

Negende privacyboete die de toezichthouder oplegt

Dit is de negende boete die de Autoriteit Persoonsgegevens oplegt sinds de AVG van kracht is. Het HagaZiekenhuis in Den Haag kreeg in 2019 een boete van 460.000 euro omdat de medische dossiers van patiënten voor al het personeel destijds toegankelijk waren. Afgelopen jaar ontvingen de Koninklijke Nederlandse Lawn Tennisbond (KNLTB), Stichting Bureau Kredietregistratie (BKR) en een bedrijf dat vingerafdrukken van medewerkers verzamelde een boete opgelegd van de toezichthouder. De boetebedragen kwamen respectievelijk uit op 525.000 euro, 830.000 euro en 725.000 euro.

De toezichthouder legde tevens een boete van 575.000 euro op aan VoetbalTV wegens het onrechtmatig verwerken van persoonsgegevens. De privacywaakhond was verder van mening dat een commercieel belang nooit een gerechtvaardigd belang kon zijn. De organisatie vocht de boete aan en werd door de rechter in het gelijk gesteld. De uitspraak kwam echter te laat voor VoetbalTV, dat in september faillissement aanvroeg. Inmiddels werkt het bedrijf aan een doorstart.

In februari van dit jaar deelde de Autoriteit Persoonsgegevens een boete van 440.000 euro uit aan het Onze Lieve Vrouwe Gasthuis (OLVG). Het Amsterdamse ziekenhuis had jarenlang onvoldoende maatregelen genomen om ongeautoriseerde toegang tot medische dossiers te voorkomen. Ook werd er geen meerfactorauthenticatie toegepast om de dossiers te beveiligen. Booking.com moet een bedrag van 475.000 euro ophoesten, omdat het pas na drie weken een datalek meldde bij de toezichthouder. Om dezelfde reden kreeg de PVV Overijssel deze week een privacyboete opgelegd. Omdat het echter een politieke stichting zonder winstoogmerk en beperkte financiële middelen is, verlaagde de AP het boetebedrag van 525.00 euro naar 7.500 euro.

Techredacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. Meer over Anton.
Plaats een reactie
Een reactie plaatsen