Wat je niet leest op NU.nl over de eerste boete van de AP

Auteur: Karen Siemers

De kogel is door de kerk. Vandaag heeft de Autoriteit Persoonsgegevens haar allereerste echte AVG-boete uitgedeeld à 460.000 euro. Nog voor de lunch reageren diverse mainstream media en de gemiddelde privacy professional heeft het bericht vast al langs zien komen in zijn of haar LinkedIN-feed. Na een normale werkdag, lees je hier onze kijk op dit stukje nieuwe geschiedenis. Voor vanavond bij een goed glas wijn of rustig tijdens de ochtendkoffie.

 

Het aloude gevecht tegen nieuwsgierigheid

In april 2018 was de media in rep en roer. Het patiëntendossier van een bekende Nederlander was ingekeken door 85 ziekenhuismedewerkers, die er niets te zoeken hadden. Een klokkenluider meldde het probleem via Publeaks. Het HagaZiekenhuis nam maatregelen en meldde op 4 april het datalek bij de AP, de bekende Nederlander schikte voor 14.000 euro en de AP begon in oktober 2018 een onderzoek. Het probleem: deze medewerkers waren niet direct betrokken bij de behandeling van de bekende Nederlander of bij de beheersmatige afwikkeling daarvan, maar waren wel nieuwsgierig.

 

Lees verder

Wat kunnen we leren van de boetes voor British Airways en Marriott?

Auteur: Jeroen Terstegge

Afgelopen week maakte de Britse toezichthouder, de Information Commissioner (ICO), bekend voornemens te zijn een boete op te leggen aan British Airways (BA) en Marriott hotels, beide voor datalekken. Voor BA ligt een boete van ruim 183,39 miljoen GBP (204 miljoen euro) in het verschiet. Dit bedrag vormt 1,5% van de totale wereldwijde jaaromzet van BA. Daarmee is dit de hoogste AVG-boete tot nu toe. Voor Marriott ligt een boete van 99 miljoen GBP (110 miljoen euro) klaar. Een paar leerpunten op een rijtje…

Wat is er gebeurd bij BA?

In 2018 is British Airways slachtoffer geworden van een hackaanval op het bagageclaimgedeelte van haar website, vermoedelijk door de beruchte groep Magecart, een groep criminelen die gespecialiseerd is in het stelen van creditcardgegevens. Deze groep zat vermoedelijk ook achter de hack van Ticketmaster. Magecart is erin geslaagd om op de BA website een script te plaatsen waardoor gedurende 15 dagen persoonsgegevens van zo’n 500.000 klanten konden worden onderschept, waaronder namen, huisadressen en creditcardgegevens, inclusief de CVV code op de achterkant van de kaart. Niet onbelangrijk hier in het feit dat BA de CVV codes helemaal niet opslaat (geheel conform de PCI-DSS standaard). Maar omdat de hackers de gegevens al op de website onderschepten, konden ze de CVV code onversleuteld te pakken krijgen en hoefden ze helemaal niet in te breken op de servers van BA (waar de CVV codes dus sowieso niet werden opgeslagen). Lees verder

Privacy by design: hoe breng je het in praktijk?

privacy awarenessAuteur: Bart de Goeij

Veel organisaties kunnen wel onder woorden brengen hoe verwerkingen ‘privacy by design’ moeten worden ingericht. Tegelijkertijd vinden organisaties het in praktijk lastig om te komen tot een vaste werkwijze die gevolgd moet worden, niet in de laatste plaats omdat organisaties ‘from scratch’ een aanpak voor het werken volgens privacy by design proberen op te tuigen.

Het is belangrijk om je te realiseren dat privacy by design een algemeen beginsel is en geen technisch vereiste. De essentie is dat medewerkers die aan de slag gaan met persoonsgegevens op tijd nadenken over persoonsgegevensbescherming, oftewel vóórdat zij keuzes maken ten aanzien van de vormgeving van de verwerking. Om dit te realiseren reikt de AVG al verschillende concrete instrumenten aan die helpen om de essentie van privacy by design een plek te geven in het voortbrengingsproces en/of de beleidsontwikkeling. Het eerste is de DPIA (art 35 AVG; Nederlandse afkorting: GEB). Het tweede is de verplichte registratie van verwerkingen in het verwerkingsregister (art 30 AVG). Als organisaties hier slim mee omgaan, is de basis voor het voldoen aan privacy by design gelegd. Lees verder

Betrek jij ook betrokkenen tijdens een DPIA?

Auteur: Sander Roobol

Veel organisaties zijn er inmiddels mee bekend: het uitvoeren van een data protection impact assessment (DPIA). De minimale vereisten zijn summier in de wet uitgewerkt. Optioneel is het een vereiste om betrokkenen naar hun visie op de voorgenomen verwerking van persoonsgegevens te vragen. In de praktijk wordt deze optie vaak overgeslagen terwijl het een toegevoegde waarde heeft voor een organisatie en haar DPIA. In deze blog ga ik in op het betrekken van betrokkenen bij een DPIA. Is dit vereiste wel zo optioneel? En wat is de toegevoegde waarde?

Doel DPIA

Als een verwerking van persoonsgegevens waarschijnlijk een hoog risico inhoudt voor betrokkenen, dan is een organisatie in veel gevallen verplicht voorafgaand aan de gegevensverwerking een DPIA uit te voeren. In artikel 35 lid 7 AVG staan vier voorwaarden genoemd waaraan een DPIA in elk geval moet voldoen. Dit zijn – beknopt beschreven – een systematische beschrijving van de verwerking en haar doeleinde, een beoordeling van de noodzaak en evenredigheid, beoordeling van de risico’s en de beoogde maatregelen om de risico’s te mitigeren. Een DPIA is dus bedoeld om de risico’s in kaart te brengen en passende maatregelen te nemen. Lees verder

De AVG in Beeld: Toezicht

Auteur: Alfonso Okué

In de blogserie “De AVG in Beeld” zullen wij met het oog op onze PrivacyProof®-methodiek de specifieke onderdelen van de Algemene Verordening Gegevensbescherming (AVG) behandelen en verhelderen. In deze blog beschrijven we aan de hand van een aantal praktijkvoorbeelden, de wettelijke vereisten en geven wij een aantal tips en tricks om de AVG op een praktische, pragmatische, hanteerbare, beheersbare en leuke manier te organiseren. Lees verder

Meet our new employee: Bente

Bente is our newest employee at Privacy Management Partners. As Junior Happiness Officer, her expertise lies in loyalty, cuddles and endless enthusiasm. She is always ready to help the PMP-team to relieve stress and clear the mind. Next to that, she has a positive mindset and excellent communication and investigation skills, in which she is a real addition to the team. By successfully finishing the puppy school, Bente has the right qualifications to start her career at PMP. It is most likely that if a Certified Information Privacy Dog-certificate existed, Bente would pass! Although Bente doesn’t have much knowledge about privacy and data protection (yet), she fully supports her skilled and experienced colleagues in their daily work.

Having a dog at the office has proven to positively impact the work environment, as it leads to more fun, less stress and improved internal communication and flexibility. Furthermore, office dogs improve the self-esteem and positive mindset of the employees, and they help them reduce their anxiety. According to Professor Randolph Barker from the Virginia Commonwealth University, this positive impact is caused by oxytocin, or ‘the happiness hormone’, which also reduces blood pressure. So, what’s not to like about our newest employee? Woof!

AVG-beheersing en het Dunning-Kruger-effect

Auteur: Jacques Eding

Hoe voorkom je dat je door zelfoverschatting verkeerde keuzes maakt in privacymanagement?

 

Het Dunning-Kruger effect is een psychologisch verschijnsel (een cognitieve bias). Simpel gezegd komt het erop neer dat afhankelijk van je kennis over een onderwerp je een zelfoverschatting maakt van je eigen kennis. Dus hoe minder je weet over iets, hoe meer je hierover denkt te weten; je overschat jezelf. In een ander schema zou je dit onbewust onbekwaam kunnen noemen. Hoe neem je dit psychologische aspect mee in het beoordelen of hoe je met de AVG-beheersing omgaat? Lees verder

Een blik op het gerechtvaardigd belang

Auteur: Maurice Reedijk

Zoals je ondertussen misschien wel weet onderscheidt de AVG zes verschillende rechtvaardigingsgronden voor de verwerking van persoonsgegevens, oftewel er zijn zes mogelijke voorwaarden die toelaten dat je persoonsgegevens mag verwerken. De laatste grondslag, het gerechtvaardigd belang (artikel 6f AVG) is in mijn ogen het meest interessant. Deze grondslag is in het algemeen niet bruikbaar voor overheden; die zullen zich moeten beroepen op een wettelijke verplichting of een publieke taak. De hamvraag: hoe werkt dat gerechtvaardigd belang nou eigenlijk?

 

Vorig jaar was ik aanwezig bij het IAPP Europe Data Protection Congress in Brussel en heb daar meerdere workshops bijgewoond. De workshop over het bepalen van een gerechtvaardigd belang was daarbij met uitstek het populairst. Het werd al snel pijnlijk duidelijk dat men eigenlijk geen idee heeft over hoe het gerechtvaardigd belang toegepast moet worden. En dat is gek, want voor commerciële bedrijven is dat misschien wel de belangrijkste grondslag voor de verwerking van persoonsgegevens. Veel mensen zijn van mening dat toestemming het meest voor de hand liggend is voor bedrijven, maar mijn collega Karen Siemers heeft in haar blog haarfijn uitgelegd waarom dat toch echt een illusie is (klik hier).

Lees verder

Fruitmandgate

De kranten in Staphorst en omgeving staan er al weken bol van: fruitmandgate.

In Staphorst was het tot voor kort een goed gebruik om fruitmanden te bezorgen bij 80-plussers en ernstig zieken. De gemeente, zorginstelingen en kerken stuurden ieder jaar hun lijstjes naar het plaatselijke Rode Kruis, die vervolgens de fruitmanden bezorgde. Een waar staaltje van Christelijke naastenliefde, zoals je in een gemeenschap als Staphorst zou verwachten.

Maar dit jaar geen fruitmanden voor de zieken en bejaarden. De voorzitter van de plaatselijke afdeling van het Rode Kruis legt de schuld bij de AVG. “Doorgeschoten wetgeving”, noemt hij het. Feit is echter, dat het niet de schuld is van de AVG zelf, maar van het toegenomen privacybewustzijn bij de gemeente, de zorginstellingen en de kerken. Met dank aan de AVG hielden zij kennelijk hun gegevensverstrekkingen nog eens tegen het licht en zagen dat zij eigenlijk al jaren de wet overtraden, namelijk de Wet Basisregistratie personen (gemeente), het medisch beroepsgeheim (zorginstellingen) en de Wet bescherming persoonsgegevens (kerken). En nu zit het Rode Kruis deze Kerst dus werkloos thuis met 700 fruitmanden. Lees verder

De belangrijkste vraag rond gegevensbescherming voor 2019

Auteur: Karen Siemers

Kunnen we door uitsluitend vragen te stellen belangrijke thema’s inzichtelijk maken?

Heeft uw organisatie ook geworsteld met de vraag welke verschillende verwerkingen plaatsvinden op uw initiatief? Hoe kunnen we ‘een verwerking’ daarvoor pragmatisch definiëren? Welke rol hebben we daarbij als organisatie qua verantwoordelijkheden en aansprakelijkheid? Wat spreken we af met onze samenwerkingspartners? Wie is binnen onze organisatie verantwoordelijk voor wat? Wanneer is een verwerking te onderscheiden van vergelijkbare verwerkingen? Hoe kunnen we alle verwerkingen gestructureerd en overzichtelijk op ons netvlies krijgen? Weten we zeker dat we alle verwerkingen op ons netvlies hebben? En waarom doen we die verwerking van persoonsgegevens? Zijn het allemaal wel echt persoonsgegevens? Is het rechtmatig? Hebben we alle huidige persoonsgegevens nodig of kunnen we het ook met minder? Moeten we misschien juist meer vastleggen om het doel van de verwerking op een goede manier te verwezenlijken? Lees verder