Fruitmandgate

De kranten in Staphorst en omgeving staan er al weken bol van: fruitmandgate.

In Staphorst was het tot voor kort een goed gebruik om fruitmanden te bezorgen bij 80-plussers en ernstig zieken. De gemeente, zorginstelingen en kerken stuurden ieder jaar hun lijstjes naar het plaatselijke Rode Kruis, die vervolgens de fruitmanden bezorgde. Een waar staaltje van Christelijke naastenliefde, zoals je in een gemeenschap als Staphorst zou verwachten.

Maar dit jaar geen fruitmanden voor de zieken en bejaarden. De voorzitter van de plaatselijke afdeling van het Rode Kruis legt de schuld bij de AVG. “Doorgeschoten wetgeving”, noemt hij het. Feit is echter, dat het niet de schuld is van de AVG zelf, maar van het toegenomen privacybewustzijn bij de gemeente, de zorginstellingen en de kerken. Met dank aan de AVG hielden zij kennelijk hun gegevensverstrekkingen nog eens tegen het licht en zagen dat zij eigenlijk al jaren de wet overtraden, namelijk de Wet Basisregistratie personen (gemeente), het medisch beroepsgeheim (zorginstellingen) en de Wet bescherming persoonsgegevens (kerken). En nu zit het Rode Kruis deze Kerst dus werkloos thuis met 700 fruitmanden. Lees verder

De belangrijkste vraag rond gegevensbescherming voor 2019

Auteur: Karen Siemers

Kunnen we door uitsluitend vragen te stellen belangrijke thema’s inzichtelijk maken?

Heeft uw organisatie ook geworsteld met de vraag welke verschillende verwerkingen plaatsvinden op uw initiatief? Hoe kunnen we ‘een verwerking’ daarvoor pragmatisch definiëren? Welke rol hebben we daarbij als organisatie qua verantwoordelijkheden en aansprakelijkheid? Wat spreken we af met onze samenwerkingspartners? Wie is binnen onze organisatie verantwoordelijk voor wat? Wanneer is een verwerking te onderscheiden van vergelijkbare verwerkingen? Hoe kunnen we alle verwerkingen gestructureerd en overzichtelijk op ons netvlies krijgen? Weten we zeker dat we alle verwerkingen op ons netvlies hebben? En waarom doen we die verwerking van persoonsgegevens? Zijn het allemaal wel echt persoonsgegevens? Is het rechtmatig? Hebben we alle huidige persoonsgegevens nodig of kunnen we het ook met minder? Moeten we misschien juist meer vastleggen om het doel van de verwerking op een goede manier te verwezenlijken? Lees verder

AVG en volmacht

Auteur: Jeroen Terstegge

Onlangs kreeg ik de vraag voorgelegd of een belastingadviseur aan een betrokkene een volmacht kan vragen voor het gebruik van zijn of haar Burgerservicenummer (BSN) ten behoeve van diens belastingaangifte. Een betrokkene kan immers op grond van de UAVG geen toestemming geven voor de verwerking van het BSN door de belastingadviseur. De vraag lag voor of het werken met een volmacht een juridisch toegestaan alternatief was. Mijn antwoord was: ja. Sterker nog, het is naar mijn mening de enige mogelijkheid voor een belastingadviseur om het BSN te mogen verwerken. Art. 46 UAVG schrijft immers voor dat het BSN “slechts (wordt) gebruikt ter uitvoering van de [belastingwetgeving])”. Omdat dat precies het doel van de volmacht is, valt de verwerking door de financieel adviseur dus binnen de toegestane doeleinden van art. 46 UAVG. Omgekeerd: zonder de volmacht is de verwerking van het BSN door belastingadviseurs juist verboden, omdat het BSN dan niet gebruikt wordt voor de uitvoering van de belastingwetgeving. De rechtshandeling waar de volmacht op ziet, is immers het doen van aangifte en dat is hier de “uitvoering” als bedoeld in art. 46 UAVG.  

De relatie tussen de AVG/UAVG en de volmacht (Titel 3 Boek 3 Burgerlijk Wetboek) is voor velen ondoorzichtig. Met enige regelmaat zien we ook dat -soms ten onrechtmatig- toestemming gevraagd wordt waar beter een volmacht had kunnen worden afgegeven of waar ondanks de volmacht alsnog om toestemming van de betrokkene wordt gevraagd. We zetten even een paar belangrijke zaken rondom volmacht en de AVG/UAVG hieronder op een rijtje: Lees verder

De tien grootste misverstanden over de AVG

U hebt waarschijnlijk inmiddels wel gehoord van die nieuwe privacywet die sinds 25 mei van kracht is. Maar is alles wat u hoort of leest ook waar? De 10 grootste misverstanden en fake news op een rijtje:

  1. Het mag niet meer van de nieuwe privacyregels

Met stip op nummer 1: De bewering dat de regels nieuw zijn en dat nu opeens allerlei dingen niet meer mogen van de wet. Niets is minder waar. De meeste regels in de AVG, en zeker de regels die gaan over wat wel en niet mag met persoonsgegevens, zijn helemaal niet nieuw. Bijna al die regels stonden ook al in de vorige wet (de Wet bescherming persoonsgegevens uit 2000) en enkele regels stonden zelfs al in de wet van 1988 (de Wet persoonsregistraties). Grote kans dus dat als u denkt dat iets niet meer mag, u het vóór 25 mei ook al niet mocht. Alleen, u wist dat niet of het interesseerde u niet. Dit geldt trouwens ook voor de meeste rechten van betrokkenen, zoals het inzagerecht, en sommige wettelijke verplichtingen, zoals het sluiten van een verwerkersovereenkomst met een verwerker. Lees verder

Blogserie Wat maakt een goede FG? – Risicosturing

Deze tweede blog in de reeks ‘Wat maakt een goede FG?’ gaat over risicosturing. Dat klinkt paniekerig, maar juist een goede FG weet risico om te keren in rust en houvast. We zien hoe onmisbaar de objectieve beoordeling is die in de AVG wordt voorgeschreven – om er ver­volgens achter te komen dat je zonder de Schaal van Erg nooit objectief genoeg kunt zijn. Dus: hoe erg is bijvoorbeeld een smoelenboek? En hoeveel prioriteit verdient zoiets? Gelukkig is er altijd nog de PIA om dat grondig uit te zoeken. En lang leve de Schaal van Erg als je de FG van een verwerker bent.

Deze blog voor functionarissen voor gegevensbescherming (data protection officers) is de tweede in een korte reeks.

Benieuwd naar het hele artikel, inclusief een praktische Schaal van Erg? Lees hier de blog als PDF.

Heeft u nog vragen over het FG-schap? U kunt in het onderstaande formulier uw reactie achterlaten. Wilt u geen blog meer missen? Abonneer u dan op de PMP-nieuwsbrief of volg Privacy Management Partners op Twitter of LinkedIn.

To notify or not to notify: Wanneer moet een datalek gemeld worden aan de Autoriteit Persoonsgegevens?

Met ingang van de nieuwe privacywet de Algemene Verordening Gegevensbescherming (hierna AVG) komt er heel veel op organisaties af. De AVG bevat nieuwe eisen en een aantal aangescherpte eisen omtrent de verwerking van persoonsgegevens. Eén van die eisen is de meldplicht datalekken[1]. Organisaties die een datalek hebben die persoonsgegevens bevat, moeten deze melden bij het meldloket van de Autoriteit Persoonsgegevens (hierna AP) en soms ook aan de betrokkenen van wie de persoonsgegevens zijn gelekt. Het doel van de meldingsplicht is o.a. de algemene verhoging van het beveiligingsniveau van informatiedragers, verhoging van de interne bewustwording bij organisaties en het zelfredzamer maken van mensen door hen in staat te stellen om maatregelen te kunnen nemen om de negatieve impact van een datalek te beperken. In deze blog zal ik inzoomen op de te treffen maatregelen voor, tijdens en na een datalek.

Lees verder

Blogserie Wat maakt een goede FG? – De juiste persoon in de juiste setting

FG’s spelen een belangrijke rol bij de bescherming van persoonsgegevens. Essentieel is dat die rol goed wordt ingevuld. Maar wat maakt een goede FG? In deze blog wordt ingegaan op de functie van de FG, zijn profiel en zijn missie. Tien praktische vragen helpen bepalen of de setting waarbinnen een FG moet werken klopt. FG-schap mag best een uitdaging zijn, maar nooit een onmogelijke opdracht.

Een functionaris voor gegevensbescherming (data protection officer) is wettelijk toezichthouder. Je meerwaarde is dat je jouw organisatie als geen ander weet te helpen om privacywetgeving na te leven, vanwege je wetsexpertise en kennis van de praktijk en omdat je het dichtst bij het vuur zit. Dit is sinds de jaren ’90 de kerngedachte achter de FG. Vandaar dat de FG-functie in de Wet Bescherming Persoonsgegevens was opgenomen en nu ook in de Algemene Verordening Gegevensbescherming is teruggekeerd.

Benieuwd naar het hele artikel, inclusief een praktische setting-check? Lees hier de blog als PDF.

Heeft u nog vragen over het FG-schap? U kunt in het onderstaande formulier uw reactie achterlaten. Wilt u geen blog meer missen? Abonneer u dan op de PMP-nieuwsbrief of volg Privacy Management Partners op Twitter of LinkedIn.

Tooling voor de Privacy Professional

De Algemene Verordening Gegevensbescherming (hierna: AVG) is sinds 25 mei 2018 een feit. Organisaties in Europa, en in sommige gevallen ook daarbuiten[1], moeten bij het verwerken van persoonsgegevens zich aan strengere privacywet- en regelgeving houden. Niet alleen dat, organisaties moeten ook aantoonbaar aan de AVG voldoen,[2] de zogenaamde verantwoordingsplicht[3]. Onderdeel van de verantwoordingsplicht zijn:  

  • het vastleggen van een verwerkingsregister[4]; en
  • het documenteren van datalekken[5].

Lees verder

Baas over eigen zorgdata in een digitaal landschap

Informatie- en communicatietechnologie biedt zowel burgers als bedrijven en overheden enorme kansen. Dit geldt ook in de gezondheidszorg. Welke beren op de weg kunnen we verwachten? Wat betekent dit voor het recht van de zorgconsument op de informationele zelfbeschikking? Biedt de privacywetgeving op dit moment voldoende bescherming voor de zorgconsument? Hieronder wordt ingegaan op deze vragen.

Lees verder

Medeverantwoordelijkheid in het geval van een fanpagina

Ben je als beheerder van een fanpagina op Facebook medeverantwoordelijk voor de verwerking van persoonsgegevens via die pagina? Dit was recentelijk de centrale vraag die het Europese Hof van Justitie (HvJ EU) kreeg voorgelegd. Het antwoord op deze vraag lijkt ogenschijnlijk eenvoudig: nee. Immers, als beheerder maak je gebruik van een platform dat door Facebook wordt aangeboden. Facebook bepaalt voor welk doel en op welke wijze zij persoonsgegevens van de bezoekers op jouw fanpagina verwerkt. Dan is Facebook toch de verantwoordelijke? Het HvJ EU ziet dat bij bepaalde omstandigheden anders…

Facebook biedt allerlei diensten aan die kosteloos gebruikt kunnen worden. Een van die mogelijkheden is het aanmaken van een (fan)pagina. Bedrijven gebruiken het bijvoorbeeld om hun merk of product te promoten terwijl fans het gebruiken om samen te praten over hun favoriete band. De beheerder van de pagina moet een specifieke overeenkomst met Facebook sluiten en instemmen met de gebruikersvoorwaarden.

Lees verder