Categorie: Kennisitem

Fruitmandgate

De kranten in Staphorst en omgeving staan er al weken bol van: fruitmandgate.

In Staphorst was het tot voor kort een goed gebruik om fruitmanden te bezorgen bij 80-plussers en ernstig zieken. De gemeente, zorginstelingen en kerken stuurden ieder jaar hun lijstjes naar het plaatselijke Rode Kruis, die vervolgens de fruitmanden bezorgde. Een waar staaltje van Christelijke naastenliefde, zoals je in een gemeenschap als Staphorst zou verwachten.

Maar dit jaar geen fruitmanden voor de zieken en bejaarden. De voorzitter van de plaatselijke afdeling van het Rode Kruis legt de schuld bij de AVG. “Doorgeschoten wetgeving”, noemt hij het. Feit is echter, dat het niet de schuld is van de AVG zelf, maar van het toegenomen privacybewustzijn bij de gemeente, de zorginstellingen en de kerken. Met dank aan de AVG hielden zij kennelijk hun gegevensverstrekkingen nog eens tegen het licht en zagen dat zij eigenlijk al jaren de wet overtraden, namelijk de Wet Basisregistratie personen (gemeente), het medisch beroepsgeheim (zorginstellingen) en de Wet bescherming persoonsgegevens (kerken). En nu zit het Rode Kruis deze Kerst dus werkloos thuis met 700 fruitmanden. Lees verder

AVG en volmacht

Auteur: Jeroen Terstegge

Onlangs kreeg ik de vraag voorgelegd of een belastingadviseur aan een betrokkene een volmacht kan vragen voor het gebruik van zijn of haar Burgerservicenummer (BSN) ten behoeve van diens belastingaangifte. Een betrokkene kan immers op grond van de UAVG geen toestemming geven voor de verwerking van het BSN door de belastingadviseur. De vraag lag voor of het werken met een volmacht een juridisch toegestaan alternatief was. Mijn antwoord was: ja. Sterker nog, het is naar mijn mening de enige mogelijkheid voor een belastingadviseur om het BSN te mogen verwerken. Art. 46 UAVG schrijft immers voor dat het BSN “slechts (wordt) gebruikt ter uitvoering van de [belastingwetgeving])”. Omdat dat precies het doel van de volmacht is, valt de verwerking door de financieel adviseur dus binnen de toegestane doeleinden van art. 46 UAVG. Omgekeerd: zonder de volmacht is de verwerking van het BSN door belastingadviseurs juist verboden, omdat het BSN dan niet gebruikt wordt voor de uitvoering van de belastingwetgeving. De rechtshandeling waar de volmacht op ziet, is immers het doen van aangifte en dat is hier de “uitvoering” als bedoeld in art. 46 UAVG.  

De relatie tussen de AVG/UAVG en de volmacht (Titel 3 Boek 3 Burgerlijk Wetboek) is voor velen ondoorzichtig. Met enige regelmaat zien we ook dat -soms ten onrechtmatig- toestemming gevraagd wordt waar beter een volmacht had kunnen worden afgegeven of waar ondanks de volmacht alsnog om toestemming van de betrokkene wordt gevraagd. We zetten even een paar belangrijke zaken rondom volmacht en de AVG/UAVG hieronder op een rijtje: Lees verder

Blogserie Wat maakt een goede FG? – Risicosturing

Deze tweede blog in de reeks ‘Wat maakt een goede FG?’ gaat over risicosturing. Dat klinkt paniekerig, maar juist een goede FG weet risico om te keren in rust en houvast. We zien hoe onmisbaar de objectieve beoordeling is die in de AVG wordt voorgeschreven – om er ver­volgens achter te komen dat je zonder de Schaal van Erg nooit objectief genoeg kunt zijn. Dus: hoe erg is bijvoorbeeld een smoelenboek? En hoeveel prioriteit verdient zoiets? Gelukkig is er altijd nog de PIA om dat grondig uit te zoeken. En lang leve de Schaal van Erg als je de FG van een verwerker bent.

Deze blog voor functionarissen voor gegevensbescherming (data protection officers) is de tweede in een korte reeks.

Benieuwd naar het hele artikel, inclusief een praktische Schaal van Erg? Lees hier de blog als PDF.

Heeft u nog vragen over het FG-schap? U kunt in het onderstaande formulier uw reactie achterlaten. Wilt u geen blog meer missen? Abonneer u dan op de PMP-nieuwsbrief of volg Privacy Management Partners op Twitter of LinkedIn.

To notify or not to notify: Wanneer moet een datalek gemeld worden aan de Autoriteit Persoonsgegevens?

Met ingang van de nieuwe privacywet de Algemene Verordening Gegevensbescherming (hierna AVG) komt er heel veel op organisaties af. De AVG bevat nieuwe eisen en een aantal aangescherpte eisen omtrent de verwerking van persoonsgegevens. Eén van die eisen is de meldplicht datalekken[1]. Organisaties die een datalek hebben die persoonsgegevens bevat, moeten deze melden bij het meldloket van de Autoriteit Persoonsgegevens (hierna AP) en soms ook aan de betrokkenen van wie de persoonsgegevens zijn gelekt. Het doel van de meldingsplicht is o.a. de algemene verhoging van het beveiligingsniveau van informatiedragers, verhoging van de interne bewustwording bij organisaties en het zelfredzamer maken van mensen door hen in staat te stellen om maatregelen te kunnen nemen om de negatieve impact van een datalek te beperken. In deze blog zal ik inzoomen op de te treffen maatregelen voor, tijdens en na een datalek.

Lees verder

Blogserie Wat maakt een goede FG? – De juiste persoon in de juiste setting

FG’s spelen een belangrijke rol bij de bescherming van persoonsgegevens. Essentieel is dat die rol goed wordt ingevuld. Maar wat maakt een goede FG? In deze blog wordt ingegaan op de functie van de FG, zijn profiel en zijn missie. Tien praktische vragen helpen bepalen of de setting waarbinnen een FG moet werken klopt. FG-schap mag best een uitdaging zijn, maar nooit een onmogelijke opdracht.

Een functionaris voor gegevensbescherming (data protection officer) is wettelijk toezichthouder. Je meerwaarde is dat je jouw organisatie als geen ander weet te helpen om privacywetgeving na te leven, vanwege je wetsexpertise en kennis van de praktijk en omdat je het dichtst bij het vuur zit. Dit is sinds de jaren ’90 de kerngedachte achter de FG. Vandaar dat de FG-functie in de Wet Bescherming Persoonsgegevens was opgenomen en nu ook in de Algemene Verordening Gegevensbescherming is teruggekeerd.

Benieuwd naar het hele artikel, inclusief een praktische setting-check? Lees hier de blog als PDF.

Heeft u nog vragen over het FG-schap? U kunt in het onderstaande formulier uw reactie achterlaten. Wilt u geen blog meer missen? Abonneer u dan op de PMP-nieuwsbrief of volg Privacy Management Partners op Twitter of LinkedIn.

Tooling voor de Privacy Professional

De Algemene Verordening Gegevensbescherming (hierna: AVG) is sinds 25 mei 2018 een feit. Organisaties in Europa, en in sommige gevallen ook daarbuiten[1], moeten bij het verwerken van persoonsgegevens zich aan strengere privacywet- en regelgeving houden. Niet alleen dat, organisaties moeten ook aantoonbaar aan de AVG voldoen,[2] de zogenaamde verantwoordingsplicht[3]. Onderdeel van de verantwoordingsplicht zijn:  

  • het vastleggen van een verwerkingsregister[4]; en
  • het documenteren van datalekken[5].

Lees verder

Privacyverklaring: guidelines on transparency

De informatieplicht is waarschijnlijk niet het eerste waar u in de aanloop naar 25 mei mee aan de slag gaat. Hoewel de inhoud van een privacyverklaring vaak tijdens DPIA’s, inventarisaties voor het verwerkeringsregister, en het opstellen van reglementen naar boven komt, kan de vertaling naar informatie voor de betrokkenen nog veel denkwerk kosten. Traditionele ‘disclaimers’ en algemene voorwaarden zijn duidelijk niet meer genoeg, maar wanneer is een privacyverklaring dan wel goed? De guidelines van de Europese werkgroep van toezichthouders staan vol met concrete tips voor de verschillende vormen waarin de communicatie kan plaatsvinden. Soms vergen die wat meer nadenkwerk, maar ze laten u ook de vrijheid om een voor u werkende vorm te vinden. Wij hebben tussen alle DPIA’s door de tekst uitgeplozen en zetten in deze blog de belangrijkste punten op een rij. Kort samengevat, voor de transparantie-eis geldt hetzelfde als voor alle maatregelen uit de AVG: het aflopen van de checklist van artikel 12, 13 en 14 is niet voldoende, u moet bij de risico’s en uw organisatie passende keuzes maken, en ze kunnen uitleggen.

Lees verder

De AVG in Beeld: bewaring en archivering

In de blogserie “De AVG in Beeld” zullen wij met het oog op onze PrivacyProof®-methodiek de specifieke onderdelen van de Algemene Verordening Gegevensbescherming (AVG) behandelen en verhelderen. In deze blog beschrijven we aan de hand van een aantal praktijkvoorbeelden, de wettelijke vereisten en geven we een aantal praktische handvaten over het hamsteren van persoonsgegevens.

Wij krijgen de afgelopen maanden veel vragen over het opstellen van archiveringsdoelen en het bepalen van een bewaartermijn. Kort gezegd, heeft iedere branche of onderneming een wettelijke of contractuele bewaartermijn. Maar hoe beheert u netjes de archivering- en bewaartermijnen?

Lees verder

BYOD: hoe beschermt u de privacy?

BYOD valt niet meer weg te denken uit het hedendaagse bedrijfsleven. Steeds meer organisaties stellen hun medewerkers in staat om voor zakelijke doeleinden te werken met hun eigen privéapparaten . Bring Your Own Device (BYOD), biedt voordelen als gebruiksvriendelijkheid en keuze voor de medewerker. Hiernaast zien werkgevers als voornaamste voordelen een toename in de productiviteit en kostenbesparing betreffende hardware investeringen. BYOD brengt echter ook de nodige uitdagingen met zich mee op het gebied van security, maar zeer zeker ook op het gebied van privacy van de medewerkers. De AVG eist van organisaties dat zij gepaste technische en organisatorische maatregelen treffen om de verwerking van persoonsgegevens, dus ook door en van medewerkers, in overeenstemming met de AVG uit te voeren. Dit moet onder de AVG ook kunnen worden aangetoond. Hier valt het waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van gegevensverwerkende processen ook onder. De volgende vraag luidt dan: wat zijn de specifieke BYOD-uitdagingen en wélke maatregelen moeten er vervolgens worden genomen?

Twee van de voornaamste uitdagingen zijn:

  1. Het zorgdragen voor een juiste omgang en het beschermen van de privacy.
  2. Beveiliging van het apparaat tegen malware, verlies of diefstal.
Lees verder

De AVG in Beeld: Gegevensverwerking van kinderen (deel 1)

In de blogserie “De AVG in Beeld” zullen wij met het oog op ons initiatief Privacy Proof de specifieke onderdelen van de Algemene Verordening Gegevensbescherming (AVG) behandelen en verhelderen. In twee delen zetten we de vereisten bij gegevensverwerking over kinderen uiteen. Deze blog beschrijft de toestemmingsvereisten bij een gegevensverwerking van kinderen tot zestien jaren oud. De volgende ‘AVG in Beeld’: Kinderen betreft de verplichting om de wettelijke vertegenwoordiger te informeren.

Welke ouder, oma, opa, tante, oom of andere wettelijke vertegenwoordiger heeft het meegemaakt dat een kind voor het gebruik van social media, app of computerspel om zijn of haar toestemming heeft gevraagd? Waarschijnlijk bijna niemand. Kinderen van tegenwoordig zijn immers geen digibeten. Zij kunnen gemakkelijk spelletjes, social media-accounts en applicaties openen zonder dat de ouders daartoe hebben ingestemd, ook al wordt er wel gevraagd om toestemming van hen.

Er bestaan een hoop cowboy-verhalen over de gegevensverwerking bij kinderen. De beruchtste is deze: om überhaupt gegevens van kinderen te mogen verwerken, moet men toestemming hebben van de ouders of wettelijk vertegenwoordiger. Niet waar! Zelfs niet als ook de AP op haar website die fout maakt:

“Verwerkt u straks gegevens van kinderen online? Bijvoorbeeld via een app, online game, webwinkel of via sociale media? Dan mag u dit bij kinderen onder de 16 jaar alleen doen met toestemming van de ouders. Onder de AVG moet u dan dus controleren of de ouders daadwerkelijk toestemming hebben gegeven.”

Lees verder