Categorie: Kennisitem

Wat je niet leest op NU.nl over de eerste boete van de AP

Auteur: Karen Siemers

De kogel is door de kerk. Vandaag heeft de Autoriteit Persoonsgegevens haar allereerste echte AVG-boete uitgedeeld à 460.000 euro. Nog voor de lunch reageren diverse mainstream media en de gemiddelde privacy professional heeft het bericht vast al langs zien komen in zijn of haar LinkedIN-feed. Na een normale werkdag, lees je hier onze kijk op dit stukje nieuwe geschiedenis. Voor vanavond bij een goed glas wijn of rustig tijdens de ochtendkoffie.

 

Het aloude gevecht tegen nieuwsgierigheid

In april 2018 was de media in rep en roer. Het patiëntendossier van een bekende Nederlander was ingekeken door 85 ziekenhuismedewerkers, die er niets te zoeken hadden. Een klokkenluider meldde het probleem via Publeaks. Het HagaZiekenhuis nam maatregelen en meldde op 4 april het datalek bij de AP, de bekende Nederlander schikte voor 14.000 euro en de AP begon in oktober 2018 een onderzoek. Het probleem: deze medewerkers waren niet direct betrokken bij de behandeling van de bekende Nederlander of bij de beheersmatige afwikkeling daarvan, maar waren wel nieuwsgierig.

 

Lees verder

Wat kunnen we leren van de boetes voor British Airways en Marriott?

Auteur: Jeroen Terstegge

Afgelopen week maakte de Britse toezichthouder, de Information Commissioner (ICO), bekend voornemens te zijn een boete op te leggen aan British Airways (BA) en Marriott hotels, beide voor datalekken. Voor BA ligt een boete van ruim 183,39 miljoen GBP (204 miljoen euro) in het verschiet. Dit bedrag vormt 1,5% van de totale wereldwijde jaaromzet van BA. Daarmee is dit de hoogste AVG-boete tot nu toe. Voor Marriott ligt een boete van 99 miljoen GBP (110 miljoen euro) klaar. Een paar leerpunten op een rijtje…

Wat is er gebeurd bij BA?

In 2018 is British Airways slachtoffer geworden van een hackaanval op het bagageclaimgedeelte van haar website, vermoedelijk door de beruchte groep Magecart, een groep criminelen die gespecialiseerd is in het stelen van creditcardgegevens. Deze groep zat vermoedelijk ook achter de hack van Ticketmaster. Magecart is erin geslaagd om op de BA website een script te plaatsen waardoor gedurende 15 dagen persoonsgegevens van zo’n 500.000 klanten konden worden onderschept, waaronder namen, huisadressen en creditcardgegevens, inclusief de CVV code op de achterkant van de kaart. Niet onbelangrijk hier in het feit dat BA de CVV codes helemaal niet opslaat (geheel conform de PCI-DSS standaard). Maar omdat de hackers de gegevens al op de website onderschepten, konden ze de CVV code onversleuteld te pakken krijgen en hoefden ze helemaal niet in te breken op de servers van BA (waar de CVV codes dus sowieso niet werden opgeslagen). Lees verder

Privacy by design: hoe breng je het in praktijk?

privacy awarenessAuteur: Bart de Goeij

Veel organisaties kunnen wel onder woorden brengen hoe verwerkingen ‘privacy by design’ moeten worden ingericht. Tegelijkertijd vinden organisaties het in praktijk lastig om te komen tot een vaste werkwijze die gevolgd moet worden, niet in de laatste plaats omdat organisaties ‘from scratch’ een aanpak voor het werken volgens privacy by design proberen op te tuigen.

Het is belangrijk om je te realiseren dat privacy by design een algemeen beginsel is en geen technisch vereiste. De essentie is dat medewerkers die aan de slag gaan met persoonsgegevens op tijd nadenken over persoonsgegevensbescherming, oftewel vóórdat zij keuzes maken ten aanzien van de vormgeving van de verwerking. Om dit te realiseren reikt de AVG al verschillende concrete instrumenten aan die helpen om de essentie van privacy by design een plek te geven in het voortbrengingsproces en/of de beleidsontwikkeling. Het eerste is de DPIA (art 35 AVG; Nederlandse afkorting: GEB). Het tweede is de verplichte registratie van verwerkingen in het verwerkingsregister (art 30 AVG). Als organisaties hier slim mee omgaan, is de basis voor het voldoen aan privacy by design gelegd. Lees verder

Betrek jij ook betrokkenen tijdens een DPIA?

Auteur: Sander Roobol

Veel organisaties zijn er inmiddels mee bekend: het uitvoeren van een data protection impact assessment (DPIA). De minimale vereisten zijn summier in de wet uitgewerkt. Optioneel is het een vereiste om betrokkenen naar hun visie op de voorgenomen verwerking van persoonsgegevens te vragen. In de praktijk wordt deze optie vaak overgeslagen terwijl het een toegevoegde waarde heeft voor een organisatie en haar DPIA. In deze blog ga ik in op het betrekken van betrokkenen bij een DPIA. Is dit vereiste wel zo optioneel? En wat is de toegevoegde waarde?

Doel DPIA

Als een verwerking van persoonsgegevens waarschijnlijk een hoog risico inhoudt voor betrokkenen, dan is een organisatie in veel gevallen verplicht voorafgaand aan de gegevensverwerking een DPIA uit te voeren. In artikel 35 lid 7 AVG staan vier voorwaarden genoemd waaraan een DPIA in elk geval moet voldoen. Dit zijn – beknopt beschreven – een systematische beschrijving van de verwerking en haar doeleinde, een beoordeling van de noodzaak en evenredigheid, beoordeling van de risico’s en de beoogde maatregelen om de risico’s te mitigeren. Een DPIA is dus bedoeld om de risico’s in kaart te brengen en passende maatregelen te nemen. Lees verder

De AVG in Beeld: Toezicht

Auteur: Alfonso Okué

In de blogserie “De AVG in Beeld” zullen wij met het oog op onze PrivacyProof®-methodiek de specifieke onderdelen van de Algemene Verordening Gegevensbescherming (AVG) behandelen en verhelderen. In deze blog beschrijven we aan de hand van een aantal praktijkvoorbeelden, de wettelijke vereisten en geven wij een aantal tips en tricks om de AVG op een praktische, pragmatische, hanteerbare, beheersbare en leuke manier te organiseren. Lees verder

AVG-beheersing en het Dunning-Kruger-effect

Auteur: Jacques Eding

Hoe voorkom je dat je door zelfoverschatting verkeerde keuzes maakt in privacymanagement?

 

Het Dunning-Kruger effect is een psychologisch verschijnsel (een cognitieve bias). Simpel gezegd komt het erop neer dat afhankelijk van je kennis over een onderwerp je een zelfoverschatting maakt van je eigen kennis. Dus hoe minder je weet over iets, hoe meer je hierover denkt te weten; je overschat jezelf. In een ander schema zou je dit onbewust onbekwaam kunnen noemen. Hoe neem je dit psychologische aspect mee in het beoordelen of hoe je met de AVG-beheersing omgaat? Lees verder

Een blik op het gerechtvaardigd belang

Auteur: Maurice Reedijk

Zoals je ondertussen misschien wel weet onderscheidt de AVG zes verschillende rechtvaardigingsgronden voor de verwerking van persoonsgegevens, oftewel er zijn zes mogelijke voorwaarden die toelaten dat je persoonsgegevens mag verwerken. De laatste grondslag, het gerechtvaardigd belang (artikel 6f AVG) is in mijn ogen het meest interessant. Deze grondslag is in het algemeen niet bruikbaar voor overheden; die zullen zich moeten beroepen op een wettelijke verplichting of een publieke taak. De hamvraag: hoe werkt dat gerechtvaardigd belang nou eigenlijk?

 

Vorig jaar was ik aanwezig bij het IAPP Europe Data Protection Congress in Brussel en heb daar meerdere workshops bijgewoond. De workshop over het bepalen van een gerechtvaardigd belang was daarbij met uitstek het populairst. Het werd al snel pijnlijk duidelijk dat men eigenlijk geen idee heeft over hoe het gerechtvaardigd belang toegepast moet worden. En dat is gek, want voor commerciële bedrijven is dat misschien wel de belangrijkste grondslag voor de verwerking van persoonsgegevens. Veel mensen zijn van mening dat toestemming het meest voor de hand liggend is voor bedrijven, maar mijn collega Karen Siemers heeft in haar blog haarfijn uitgelegd waarom dat toch echt een illusie is (klik hier).

Lees verder

Fruitmandgate

De kranten in Staphorst en omgeving staan er al weken bol van: fruitmandgate.

In Staphorst was het tot voor kort een goed gebruik om fruitmanden te bezorgen bij 80-plussers en ernstig zieken. De gemeente, zorginstelingen en kerken stuurden ieder jaar hun lijstjes naar het plaatselijke Rode Kruis, die vervolgens de fruitmanden bezorgde. Een waar staaltje van Christelijke naastenliefde, zoals je in een gemeenschap als Staphorst zou verwachten.

Maar dit jaar geen fruitmanden voor de zieken en bejaarden. De voorzitter van de plaatselijke afdeling van het Rode Kruis legt de schuld bij de AVG. “Doorgeschoten wetgeving”, noemt hij het. Feit is echter, dat het niet de schuld is van de AVG zelf, maar van het toegenomen privacybewustzijn bij de gemeente, de zorginstellingen en de kerken. Met dank aan de AVG hielden zij kennelijk hun gegevensverstrekkingen nog eens tegen het licht en zagen dat zij eigenlijk al jaren de wet overtraden, namelijk de Wet Basisregistratie personen (gemeente), het medisch beroepsgeheim (zorginstellingen) en de Wet bescherming persoonsgegevens (kerken). En nu zit het Rode Kruis deze Kerst dus werkloos thuis met 700 fruitmanden. Lees verder

AVG en volmacht

Auteur: Jeroen Terstegge

Onlangs kreeg ik de vraag voorgelegd of een belastingadviseur aan een betrokkene een volmacht kan vragen voor het gebruik van zijn of haar Burgerservicenummer (BSN) ten behoeve van diens belastingaangifte. Een betrokkene kan immers op grond van de UAVG geen toestemming geven voor de verwerking van het BSN door de belastingadviseur. De vraag lag voor of het werken met een volmacht een juridisch toegestaan alternatief was. Mijn antwoord was: ja. Sterker nog, het is naar mijn mening de enige mogelijkheid voor een belastingadviseur om het BSN te mogen verwerken. Art. 46 UAVG schrijft immers voor dat het BSN “slechts (wordt) gebruikt ter uitvoering van de [belastingwetgeving])”. Omdat dat precies het doel van de volmacht is, valt de verwerking door de financieel adviseur dus binnen de toegestane doeleinden van art. 46 UAVG. Omgekeerd: zonder de volmacht is de verwerking van het BSN door belastingadviseurs juist verboden, omdat het BSN dan niet gebruikt wordt voor de uitvoering van de belastingwetgeving. De rechtshandeling waar de volmacht op ziet, is immers het doen van aangifte en dat is hier de “uitvoering” als bedoeld in art. 46 UAVG.  

De relatie tussen de AVG/UAVG en de volmacht (Titel 3 Boek 3 Burgerlijk Wetboek) is voor velen ondoorzichtig. Met enige regelmaat zien we ook dat -soms ten onrechtmatig- toestemming gevraagd wordt waar beter een volmacht had kunnen worden afgegeven of waar ondanks de volmacht alsnog om toestemming van de betrokkene wordt gevraagd. We zetten even een paar belangrijke zaken rondom volmacht en de AVG/UAVG hieronder op een rijtje: Lees verder

Blogserie Wat maakt een goede FG? – Risicosturing

Deze tweede blog in de reeks ‘Wat maakt een goede FG?’ gaat over risicosturing. Dat klinkt paniekerig, maar juist een goede FG weet risico om te keren in rust en houvast. We zien hoe onmisbaar de objectieve beoordeling is die in de AVG wordt voorgeschreven – om er ver­volgens achter te komen dat je zonder de Schaal van Erg nooit objectief genoeg kunt zijn. Dus: hoe erg is bijvoorbeeld een smoelenboek? En hoeveel prioriteit verdient zoiets? Gelukkig is er altijd nog de PIA om dat grondig uit te zoeken. En lang leve de Schaal van Erg als je de FG van een verwerker bent.

Deze blog voor functionarissen voor gegevensbescherming (data protection officers) is de tweede in een korte reeks.

Benieuwd naar het hele artikel, inclusief een praktische Schaal van Erg? Lees hier de blog als PDF.

Heeft u nog vragen over het FG-schap? U kunt in het onderstaande formulier uw reactie achterlaten. Wilt u geen blog meer missen? Abonneer u dan op de PMP-nieuwsbrief of volg Privacy Management Partners op Twitter of LinkedIn.