Telecom en internetprovider 1&1 is de tweede partij in Duitsland die zo aan de schandpaal wordt genageld. De fouten die dit bedrijf heeft gemaakt zijn dan erg dom en verwijtbaar, maar waarschijnlijk ook pijnlijk herkenbaar.
Bedrijfsstructuur
1&1 is bij iedereen in Duitsland bekend. Het is jaren de grootste landelijke uitdager van Deutsche Telekom geweest met vaste telefonie. Daarnaast zorgde het jaren achtereen voor de nodige ophef door het opkopen van concurrenten. Of het nu ging om vaste telefonie, mobiel, internettoegang of hosting. 1&1 kwam altijd wel langs om een bod uit te brengen. Het bedrijf, dat inmiddels formeel Ionos by 1&1 SE heet, is de paraplu voor de volgende bedrijven: 1&1 Drillisch, 1&1 Versatel, Arsys, Fasthosts, GMX, InterNetX, mail.com, Sedo, Strato, united-domains en WEB.DE. Zelf valt het weer onder United Internet, dat claimt in Europa 24 miljoen betaalde contracten te hebben.
Persoonsgegevens
Het onderdeel dat door de Duitse toezichthouder op een boete is getrakteerd is 1&1 Telecom GmbH. In weerwil van wat het op de eigen website vermeldt besteed het weinig aandacht aan het beschermen van de persoonsgegevens van de klanten. De toezichthouder heeft vastgesteld dat het de medewerkers bij telefonisch contact met klanten uitsluitend om de combinatie van naam en geboortedatum vroegen. Daarna werd er van uitgegaan dat de beller ook de desbetreffende klant was.
Meewerken
BfDI meldt in het persbericht dan 1&1 op deze tekortkoming is gewezen. Het bedrijf beloofde beterschap en stelde zich coöperatief op. Dat leidde er toe dat op basis van deze twee makkelijk te achterhalen gegevens geen data meer werd gedeeld met bellers. Ook werd een betere authentificatie methode voorbereid.
Het is deze houding en het meewerken dat 1&1 Telecom GmbH voor een nog grotere AVG boete heeft behoed. Dat het persbericht hier melding van maakt is niets anders dan een forse waarschuwing voor andere partijen in de markt: BfDI tegenwerken is niet slim en een dure vergissing.
Boete
Het ontbreken van de AVG vereiste van TOM (Technisch Organisatorische Maatregelen) om persoonsgegevens systematisch te beschermen kost 1&1 Telecom GmbH €9.550.000. Die boete had dus een stuk hoger kunnen zijn, de kwartaalomzet van de holding voor Q3-2019 was immers €3,8 miljard.
Waarschuwingen
Het BfDI persbericht is glashelder en bevat twee expliciete waarschuwingen. De eerste is dat BfDI deze zaak op het spoor is gekomen door signalen uit de markt (lees: klagende klanten). De tweede waarschuwing staat ook letterlijk genoemd. Er wordt onderzoek bij andere partijen gedaan of daar niet op dezelfde wijze artikel 32 van de AVG wordt overtreden.
Duitsland dus niet relevant?
Dat is een voorstelbare vraag, het antwoord is dat het wel relevant is. De AVG geldt namelijk overal in de EU. Wat in Duitsland niet door de beugel kan, zal ook in Nederland niet zijn toegestaan. De waarschuwing van het BfDI persbericht gaat dus ook op voor elke ondernemer in Nederland die per telefoon bereikbaar is voor ondersteuning of (after) sales. Het is absoluut onvoldoende van een klant te verwachten dat hij/zij zich slechts identificeert op basis van de naam waarmee hij/zij bij de leverancier is geregistreerd en de geboortedatum. Wie dat accepteert en de klant zo de mogelijkheid geeft NAW+T+E en andere persoonsgerelateerde gegevens in te zien of te modificeren is kandidaat voor fanmail van de Nederlandse toezichthouder.
