Forse AVG boete voor ACCOR – opt-in voorschriften en meer

De Franse AVG toezichthouder heeft hotelketen ACCOR een boete opgelegd van 600.000 Euro omdat iedereen automatisch werd aangemeld voor de nieuwsbrief. Daarnaast bleek tijdens het onderzoek dat er nog meer niet klopte aan de bedrijfsvoering.

Dat de ACCOR boete in Nederland nog weinig de pers heeft gehaald is jammer. De overtredingen die zijn geconstateerd komen namelijk wel vaker voor, dus ook hier. Daarnaast is met de berichtgeving hierover in de Franse pers op 17 augustus ook duidelijk gemaakt dat het tegenwerken van onderzoek naar AVG overtredingen een zeer domme zaak is.

Opt-in

De zaak tegen ACCOR is begonnen na klachten van klanten van de hotelketen, die onder meerdere namen en ook in Nederland actief is. Bij elke aanvraag, boeking of transactie stond het vak voor het ontvangen van de nieuwsbrief al aangevinkt.

Dat is niet toegestaan. De persoon moet bewust de handeling voor een opt-in maken. Dat het mogelijk is het vinkje uit te zetten doet daar niet aan toe. In Nederland komt dit ook voor. Hoewel de meest bouwers van websites en formulieren hier wel opletten gaat het mis. De vraag daarbij is wel of dit altijd opzet is of dat men een plug-in voor de website maakt die niet op de predefined instellingen is gecontroleerd. Voor de AVG maakt dat overigens niets uit. Het vinkje mag mag nooit standaard aanstaan en de ondernemer is daarvoor verantwoordelijk.

Afmelden en communicatie

De tweede fout die ACCOR heeft gemaakt is dat het langere tijd niet in staat was afmeldingen voor de nieuwsbrief te verwerken. Op klachten hierover werd amper gereageerd. Dat is opgevat als een vorm van tegenwerken. Als het alleen sprake was geweest van een bug was het oordeel op dit punt van toezichthouder CNIL wellicht milder geweest. Het feit dat klanten gewoon geen antwoord kregen op de mails doet vermoeden dat er meer aan de hand was.

Wachtwoorden

Dat er meer aan de hand was is tijdens het onderzoek wel gebleken. Het bedrijf heeft weinig medewerking verleend aan het onderzoek. Een van de redenen daarvoor is wel boven tafel gekomen. “The company allowed the use of insufficiently strong passwords”. Daardoor is artikel 32 van de AVG overtreden. Dat bepaalt dat persoonlijke gegevens afdoende moeten worden beschermd.

Dit deel van de overtredingen verdient echt aandacht. De meeste ondernemers zullen zich niet realiseren dit onderdeel van een aanmeldprocedure, bestelling of inschrijving waarbij de klant iets invult hem kan worden aangerekend. Dat wil zeggen als hij de klant feitelijk dwingt een onveilig wachtwoord aan te maken.

Boeteverhoging

De oorspronkelijke AVG boete die CNIL in gedachten had voor ACCOR is overigens na overleg met de Europese collega’s naar boven bijgesteld. Ook dat staat in het rapport te lezen en zegt veel over het gedrag van de hotelketen in de EU landen. Het is niet de eerste keer dat tegenwerken van AVG onderzoek leidt tot een hogere boete en versnelde publicatie van de boete met de naam van de overtreder.