Auteur: Karen Siemers

Wat je niet leest op NU.nl over de eerste boete van de AP

Auteur: Karen Siemers

De kogel is door de kerk. Vandaag heeft de Autoriteit Persoonsgegevens haar allereerste echte AVG-boete uitgedeeld à 460.000 euro. Nog voor de lunch reageren diverse mainstream media en de gemiddelde privacy professional heeft het bericht vast al langs zien komen in zijn of haar LinkedIN-feed. Na een normale werkdag, lees je hier onze kijk op dit stukje nieuwe geschiedenis. Voor vanavond bij een goed glas wijn of rustig tijdens de ochtendkoffie.

 

Het aloude gevecht tegen nieuwsgierigheid

In april 2018 was de media in rep en roer. Het patiëntendossier van een bekende Nederlander was ingekeken door 85 ziekenhuismedewerkers, die er niets te zoeken hadden. Een klokkenluider meldde het probleem via Publeaks. Het HagaZiekenhuis nam maatregelen en meldde op 4 april het datalek bij de AP, de bekende Nederlander schikte voor 14.000 euro en de AP begon in oktober 2018 een onderzoek. Het probleem: deze medewerkers waren niet direct betrokken bij de behandeling van de bekende Nederlander of bij de beheersmatige afwikkeling daarvan, maar waren wel nieuwsgierig.

 

Lees verder

De belangrijkste vraag rond gegevensbescherming voor 2019

Auteur: Karen Siemers

Kunnen we door uitsluitend vragen te stellen belangrijke thema’s inzichtelijk maken?

Heeft uw organisatie ook geworsteld met de vraag welke verschillende verwerkingen plaatsvinden op uw initiatief? Hoe kunnen we ‘een verwerking’ daarvoor pragmatisch definiëren? Welke rol hebben we daarbij als organisatie qua verantwoordelijkheden en aansprakelijkheid? Wat spreken we af met onze samenwerkingspartners? Wie is binnen onze organisatie verantwoordelijk voor wat? Wanneer is een verwerking te onderscheiden van vergelijkbare verwerkingen? Hoe kunnen we alle verwerkingen gestructureerd en overzichtelijk op ons netvlies krijgen? Weten we zeker dat we alle verwerkingen op ons netvlies hebben? En waarom doen we die verwerking van persoonsgegevens? Zijn het allemaal wel echt persoonsgegevens? Is het rechtmatig? Hebben we alle huidige persoonsgegevens nodig of kunnen we het ook met minder? Moeten we misschien juist meer vastleggen om het doel van de verwerking op een goede manier te verwezenlijken? Lees verder

Aandachtspunten bij eHealth voor zorgaanbieders

Zorg staat (weer) op de agenda van de Autoriteit Persoonsgegevens dit jaar. Vorig jaar was AP al bezig met gezondheidsgegevens in commerciële context. Dit jaar spreekt de AP in het toezichtskader[1] over risicogericht toezicht op zorginstellingen. Speciale aandacht gaat zoals vanouds uit naar de beveiliging van medische gegevens. Ook focust de AP zich extra op de juiste grondslag met name bij uitwisselingen van medische gegevens. Tot zover geen spannende ontwikkelingen waar organisaties niet reeds waakzaam voor zijn in praktijk. Er zijn meer enerverende uitdagingen waar in deze blog een achtergrond voor wordt geschetst: eHealth. 

 

Lees verder

Bent u al bekend met KnowledgeNet Chapter Netherlands?

Slechts een klein maar enthousiast deel van privacylievend Nederland is er zich bewust van: vier keer per jaar komt een aantal privacy professionals bijeen ter lering, netwerking en vermaak. Deze groep bestaat uit zo’n 100 leden van de IAPP en is nog steeds groeiende. Deze blog geeft een kijkje in de keuken en een vluchtige blik in de toekomst van de officiële IAPP KnowledgeNet Chapter Netherlands.

Lees verder

De AVG in Beeld: het BSN

In de blogserie “De AVG in Beeld” zullen wij met het oog op ons initiatief Privacy Proof de specifieke onderdelen van de Algemene Verordening Gegevensbescherming (AVG) behandelen en verhelderen. In deze blog gaan we in op het burgerservicenummer (BSN). Verandert er iets met de komst van de AVG?

 Wanneer u dit leest bent u misschien net zelf op vakantie geweest of staat u aan de vooravond daarvan. Voor de gevorderde privacyprofessional komen daar interessante situaties bij kijken. Want hoe zit dat met het afgeven van uw paspoort of ID bij de receptie? Het kan ook een groot onderwerp zijn in de dagelijkse gang van zaken binnen uw organisatie. Is het BSN voor u de manier om een persoon te authentiseren of werkt het goed om datakwaliteit te borgen? Mag dat wel? En als we het dan toch erover hebben: dat BSN, is dat nu een bijzonder persoonsgegeven of niet?

bsn

Wbp versus AVG

In de Richtlijn staat in artikel 8 lid 7 dat lidstaten de voorwaarden vaststellen voor het rechtmatig gebruik van een nationaal identificatienummer of enig ander identificatiemiddel van algemene aard. Lees: ruimte voor lidstaten om eigen voorwaarden te stellen voor het verwerken van dit soort persoonsgegevens. Lidstaten mogen dus al sinds de Richtlijn zelf bepalen óf en zo ja welke voorwaarden gesteld worden aan een nationaal identificatienummer. Het BSN is daar bij uitstek het bekendste voorbeeld van, maar ook andere nationale identificatienummers zoals het BIG-nummer voor geregistreerde beroepen vallen hieronder.

Lees verder

De AVG in Beeld: Recht van inzage

In de blogserie “De AVG in Beeld” zullen wij met het oog op ons initiatief Privacy Proof de specifieke onderdelen van de Algemene Verordening Gegevensbescherming (AVG) behandelen en verhelderen. In deze blog behandelen we het recht van inzage. Wat zijn de spelregels vanuit de AVG en wat betekent dat voor uw organisatie?

Het is al langer bekend dat personen, waarvan gegevens worden verwerkt, beschikken over bepaalde ‘rechten van betrokkenen’. Na het recht op dataportabiliteit en gegevenswissing is het in deze blogreeks nu de beurt aan het inzagerecht.

recht van inzage
Al onder de bestaande privacywetgeving kunnen personen inzageverzoeken doen bij alle organisaties en instanties die hun gegevens gebruiken. In praktijk blijkt dat dit recht soms wordt gebruikt in context van een discussie die weinig te maken heeft met privacy. Daarbij heeft het gros van de organisaties vaak geen efficiënte manier om op dit soort verzoeken in te gaan. Dat leidt tot frustratie en veel extra werk.

Lees verder

De AVG in Beeld: Gegevenswissing

In de blogserie “De AVG in Beeld” zullen wij met het oog op ons initiatief Privacy Proof de specifieke onderdelen van de Algemene Verordening Gegevensbescherming (AVG) behandelen en verhelderen. In deze blog behandelen we het recht op gegevenswissing, vaak gelinkt aan het bekendere ‘recht om vergeten te worden’.

Al onder de bestaande privacywetgeving kunnen personen verzoeken doen om gegevens te laten verwijderen.

gegevenswissing
Dit in drie gevallen: (1) als gegevens feitelijk onjuist zijn, (2) omdat een verwerking onvolledig of ‘niet terzake dienend’ is of (3) als de verwerking op een andere manier in strijd met de wet blijkt. Met de komst van de AVG vinden we in artikel 17 een aangepaste versie van dit recht op gegevenswissing. In deze blog beschrijven wat het precies inhoudt en wat de relatie is met het ‘Recht om vergeten te worden’.

Lees verder

De AVG in Beeld: Toestemming – wanneer (niet)

In de blogserie “De AVG in Beeld” zullen wij met het oog op ons initiatief Privacy Proof de specifieke onderdelen van de Algemene Verordening Gegevensbescherming (AVG) behandelen en verhelderen. In deze blog behandelen we het tweede deel van het onderwerp Toestemming en gaan we in op: wanneer moet u uw klant (niet) om toestemming vragen?

In onze vorige blog hebben we de voorwaarden voor een rechtsgeldige toestemming op een rijtje gezet.

toestemming
De conclusie was dat toestemming vragen best wat om het lijf heeft. In deze blog gaan we in op de vraag wanneer je nu wel en niet om toestemming moet vragen. Ons uitgangspunt is daarbij: vraag zo min mogelijk om toestemming. Niet omdat zware voorwaarden aan rechtsgeldige toestemming worden gesteld, maar omdat het privacyrechtelijk gezien niet redelijk is. In de loop van de voorbereidingen op de AVG is het wellicht een goed idee om eens nauwkeurig na te gaan: vraagt uw organisatie toestemming op momenten waar het eigenlijk niet de bedoeling is?

Lees verder

De AVG in Beeld: Toestemming – het wat en hoe

In de blogserie ‘De AVG in Beeld‘ zullen wij met het oog op ons initiatief Privacy Proof de specifieke onderdelen van de Algemene Verordening Gegevensbescherming (AVG) behandelen en verhelderen. In twee delen behandelen we het onderwerp Toestemming. Deze keer: wat is toestemming en hoe vraagt u uw klant op de juiste manier om toestemming?

Toestemming is een vaak besproken onderwerp in de privacywereld. De AVG heeft met een paar extra nuances de voorwaarden voor toestemming goed op de kaart gezet.

toestemming
Toch blijven de basisprincipes vergelijkbaar met die uit de Wbp. In praktijk komt het voor dat aan deze principes nog niet is voldaan. In de loop van de voorbereidingen op de AVG is het dus een goed moment voor een integrale check: vraagt uw organisatie op de juiste manier om toestemming?

 

Lees verder

De AVG in Beeld: dataportabiliteit

In de blogserie “De AVG in Beeld” zullen wij met het oog op ons initiatief Privacy Proof de specifieke onderdelen van de Algemene Verordening Gegevensbescherming (AVG) behandelen en helder maken. Deze week bespreken wij als eerste in deze serie: de theorie van dataportabiliteit. 

Dataportabiliteit is een van de nieuwe rechten die de AVG toekent aan betrokkenen. De wetgeving duidt het aan met ‘Recht op overdraagbaarheid van gegevens’ (artikel 20).

dataportabiliteit
Het recht op dataportabiliteit is een middel van de AVG om betrokkenen meer zeggenschap te geven over hun eigen gegevens. Dat gaat niet zonder dat er aan specifieke voorwaarden zijn voldaan. Wilt u weten wat dataportabiliteit precies inhoudt, en hoe de uitoefening van dit recht werkt? Dan is deze blog voor u.

Lees verder