Het nieuwe online bestelsysteem van de Refter schendt de privacy van gebruikers. Persoonsgegevens worden zonder legitieme reden verzameld en daarnaast zijn de algemene voorwaarden niet in te zien. De Radboud Universiteit (RU) is op de hoogte van de schending, maar haalt het systeem niet uit de lucht.
Sinds de start van het academisch jaar werkt de Refter met een online bestelsysteem. Om een bestelling te plaatsen moet een voornaam, een achternaam en een e-mailadres verplicht worden ingevuld. ‘Dit gaat tegen de Algemene Verordening Gegevensbescherming (AVG) in, omdat niet al deze gegevens nodig zijn om iets te bestellen’, zegt Bart Jacobs, hoogleraar Interdisciplinary Hub for Digitalization and Society aan de RU.
Een groter probleem is het ontbreken van de algemene voorwaarden die moeten worden geaccepteerd om een bestelling te kunnen plaatsen. ‘Je moet nu ergens mee akkoord gaan terwijl je niet weet wat er in de voorwaarden staat’, aldus Jacobs. Door het ontbreken van de voorwaarden is het onduidelijk wat er met de gegevens gebeurt. Dit is ook een schending van de AVG. De universiteit is sinds 16 september op de hoogte van de privacyschending door een melding van Frank van Caspel, docent Filosofie van Gedragswetenschappen van de RU. Het systeem blijft echter onveranderd en hiermee riskeert de RU een boete.
Privacyschending
‘In de privacywetgeving zijn doelbinding en dataminimalisatie belangrijke criteria voor het verwerken van persoonsgegevens’, zegt Jacobs. ‘De gegevens die worden verwerkt moeten dus noodzakelijk zijn voor het doel en moeten minimaal zijn’, legt de hoogleraar uit. De persoonsgegevens die worden gevraagd bij het plaatsen van een bestelling zijn volgens Jacobs niet nodig. ‘Een e-mailadres is wel handig om een bevestiging van de bestelling te krijgen, maar dat hoort voldoende te zijn. Om de bestelling op te halen is een herkenbare naam ook handig, maar dat kan bij wijze van spreken ook “Pippo” zijn’, aldus de hoogleraar. ‘Een achternaam en telefoonnummer zijn sowieso niet nodig, maar worden wel gevraagd.’ Voor het maken van een account op de website moeten naast mailadres, naam en achternaam nog meer persoonsgegevens verplicht worden ingevuld: straat, huisnummer, postcode, stad, land en telefoonnummer. Het verzamelen van al deze gegevens is een schending van de privacywet.
Daarnaast zijn de algemene voorwaarden onvindbaar: ‘Er hoort een link te staan waar je op kunt klikken zodat je kunt zien wat de voorwaarden zijn, maar die link is er helemaal niet’, vertelt Jacobs. Het is daardoor onduidelijk waar de gegevens voor worden gebruikt, terwijl dit volgens de eisen van de AVG helder moet zijn. Bij navraag blijkt dat het kassabedrijf Eijsink de persoonsgegevens verwerkt. ‘Eijsink zou de gegevens na een dag weg moeten gooien aangezien ze enkel nodig zijn voor het versturen van een bevestiging van de bestelling. Het is nu onduidelijk of dit gebeurt, omdat er geen voorwaarden zijn’, aldus de hoogleraar. ‘Het zou kunnen dat Eijsink de informatie van Reftergasten voor eigen doeleinden gebruikt. Misschien worden de gegevens wel doorverkocht aan andere partijen of krijg je straks allerlei reclames op je mailadres’, concludeert Jacobs. ‘Het is geen moordzaak, maar het is slordig dat Eijsink niet over privacy heeft nagedacht en dat de universiteit als verantwoordelijke dit laat gebeuren.
Boete
Hoewel de universiteit het bestelsysteem heeft uitbesteed aan Eijsink, riskeert ze toch een boete. ‘De problemen met persoonsgegevens en ontbrekende voorwaarden moeten door Eijsink worden opgelost, maar de RU is er verantwoordelijk voor dat dit daadwerkelijk gebeurt’, aldus Jacobs. Beide partijen zijn in overtreding door de schending.
De Autoriteit Persoonsgegevens (AP) houdt toezicht op het naleven van de AVG en deelt boetes uit bij schending. ‘Het probleem is dat de AP het te druk heeft om allemaal boetes uit te delen, dus het risico op een boete is laag’, zegt Jacobs. ‘Het mag echter helemaal niet uitmaken dat het risico laag is. De universiteit moet het systeem veranderen omdat het illegaal is’, zegt Van Caspel.
Melding
In september meldde Van Caspel voor het eerst aan de RU dat het bestelsysteem van de Refter tegen de AVG in gaat. Dat was het startpunt van zijn missie om dit systeem offline te halen. ‘Ik heb de zaak aangekaart bij de direct verantwoordelijken bij de Refter, mijn lokale privacy officer, de chief privacy officer van de universiteit, de onafhankelijke functionaris gegevensbescherming, de externe partij die het systeem in de lucht houdt, en zelfs het College van Bestuur is betrokken’, laat Van Caspel weten. ‘Ik ben ondertussen bij alle kastjes en muren geweest, maar het systeem blijft vooralsnog in de lucht’, concludeert hij.
Volgens Ronald Sarelse, Functionaris Gegevensbescherming aan de RU wordt er gewerkt aan een oplossing. ‘Eijsink heeft aangegeven dat het invullen van de voor- en achternaam noodzakelijk blijft. We gaan daar nog verder met ze over in gesprek’, zegt hij. Op de vraag waarom het systeem tussentijds niet uit de lucht wordt gehaald, antwoordt hij: ‘We hebben het risico voor gebruikers laag ingeschat. Het zijn namelijk geen bijzondere gegevens en er kan niet veel mee gebeuren. Daarnaast hoeven mensen dit systeem niet te gebruiken om te eten bij de Refter.’ Ook bevestigt hij dat het risico op een boete inderdaad laag is, maar dit is volgens hem niet de drijfveer om het systeem online te houden.
Rectificatie 22-11-2022: In een eerdere versie van dit artikel werd gezegd dat het lage risico op een boete een van de redenen was voor de universiteit om het systeem online te houden. Dit klopt volgens de Functionaris Gegevensbescherming niet: Hij gaf aan dat de reden voor het online houden van het systeem het lage risico is. Hiermee doelde hij op het lage risico voor gebruikers.
2 Reacties
Hoera, de knuppel in het hoenderhok! Nog een paar aanvullende punten:
– Een systeem om eten te bestellen hoeft helemaal NUL persoonsgegevens te verwerken. Het hoeft alleen maar een bestelling en betaling te accepteren, en een afhaalcode terug te geven (misschien namen van emeriti? 😀). Een mailadres vragen voor een bestelbevestiging mag hooguit optioneel, en dan in ieder geval na expliciete toestemming van de gebruiker. Daar is nu in het geheel geen sprake van.
– Het privacyteam zegt dat het niet om bijzondere persoonsgegevens gaat (medische data, etc.), en dat daarom het risico laag is. Ja: het risico bij een lek is lager bij normale persoonsgegevens dan bij bijzondere persoonsgegevens, maar dat is hier helemaal niet het punt. Het gaat erom dat de gegevens überhaupt illegaal verzameld worden. Het is niet minder illegaal omdat het geen bijzondere persoonsgegevens zijn.
– Bovendien zijn dit soort ‘lifestyle-gegevens’ (dieet), potentieel wel dégelijk risicovol. Wat als een moslim thuis moet uitleggen waarom ze al die varkenshamburgers besteld heeft, of als een zorgverzekeraar over 10 jaar een claim afwijst omdat Pietje tijdens zijn studententijd 4 jaar lang elke dag noodles en pizza’s at bij de Refter? Databases lekken, en vergaan niet.
– Het grote schandaal is hier de positie van het privacyteam. We hebben een systeem dat totaal niet cruciaal is (eten kan ook gewoon aan de balie besteld worden) en overduidelijk illegaal. Waarom dan niet de positie innemen dat het offline moet zo lang naar een oplossing gezocht wordt? Zeker als voor die oplossing geen duidelijk tijdspad is? Als het niet het privacyteam is dat binnen de organisatie met de vuist op tafel slaat en zegt dat hamburgerbestelgemak ondergeschikt is aan de wet, wie dan wel? 😮
Ik zeg: direct op zwart dat systeem, en pas weer live als het legaal is. ⚔ We zijn verdorie geen lokale jeux-de-boulesvereniging maar een grote Nederlandse universiteit!
Onbegrijpelijk dat mijn werkgever mij voortdurend (en terecht) op de huid zit om geldende regels op dit vlak in acht te nemen terwijl ze zelf toestaat dat de refter de regels flagrant schendt. Schande. Goed dat dit aan de kaak gesteld wordt.