Tag: GDPR

Medeverantwoordelijkheid in het geval van een fanpagina

Ben je als beheerder van een fanpagina op Facebook medeverantwoordelijk voor de verwerking van persoonsgegevens via die pagina? Dit was recentelijk de centrale vraag die het Europese Hof van Justitie (HvJ EU) kreeg voorgelegd. Het antwoord op deze vraag lijkt ogenschijnlijk eenvoudig: nee. Immers, als beheerder maak je gebruik van een platform dat door Facebook wordt aangeboden. Facebook bepaalt voor welk doel en op welke wijze zij persoonsgegevens van de bezoekers op jouw fanpagina verwerkt. Dan is Facebook toch de verantwoordelijke? Het HvJ EU ziet dat bij bepaalde omstandigheden anders…

Facebook biedt allerlei diensten aan die kosteloos gebruikt kunnen worden. Een van die mogelijkheden is het aanmaken van een (fan)pagina. Bedrijven gebruiken het bijvoorbeeld om hun merk of product te promoten terwijl fans het gebruiken om samen te praten over hun favoriete band. De beheerder van de pagina moet een specifieke overeenkomst met Facebook sluiten en instemmen met de gebruikersvoorwaarden.

Lees verder

Highlights uit de WP29 Conceptrichtlijn voor de AVG Meldplicht Datalekken

De AVG bevat voor organisaties een meldplicht datalekken. De Artikel 29 Werkgroep heeft een conceptrichtlijn gepubliceerd die moet helpen bij het invullen van deze meldplicht door in te gaan op o.a. de volgende onderwerpen: wanneer gaat de 72-uurs termijn lopen, welke informatie moet ik doorgeven aan de Toezichthouder, welk middel kan ik inzetten om betrokkenen te informeren en waar moet ik op letten als ik een risicobeoordeling uitvoer? Enkele highlights uit de conceptrichtlijn passeren in deze blog de revue.

Op 1 januari 2016 is de Meldplicht Datalekken van kracht geworden. Ook de Algemene Verordening Gegevensbescherming (AVG) bevat een meldplicht voor datalekken (art. 33 en 34 AVG). Lees verder

De AVG in Beeld: bewaring en archivering

In de blogserie “De AVG in Beeld” zullen wij met het oog op onze PrivacyProof®-methodiek de specifieke onderdelen van de Algemene Verordening Gegevensbescherming (AVG) behandelen en verhelderen. In deze blog beschrijven we aan de hand van een aantal praktijkvoorbeelden, de wettelijke vereisten en geven we een aantal praktische handvaten over het hamsteren van persoonsgegevens.

Wij krijgen de afgelopen maanden veel vragen over het opstellen van archiveringsdoelen en het bepalen van een bewaartermijn. Kort gezegd, heeft iedere branche of onderneming een wettelijke of contractuele bewaartermijn. Maar hoe beheert u netjes de archivering- en bewaartermijnen?

Lees verder

De AVG in Beeld: Gegevensverwerking van kinderen (deel 1)

In de blogserie “De AVG in Beeld” zullen wij met het oog op ons initiatief Privacy Proof de specifieke onderdelen van de Algemene Verordening Gegevensbescherming (AVG) behandelen en verhelderen. In twee delen zetten we de vereisten bij gegevensverwerking over kinderen uiteen. Deze blog beschrijft de toestemmingsvereisten bij een gegevensverwerking van kinderen tot zestien jaren oud. De volgende ‘AVG in Beeld’: Kinderen betreft de verplichting om de wettelijke vertegenwoordiger te informeren.

Welke ouder, oma, opa, tante, oom of andere wettelijke vertegenwoordiger heeft het meegemaakt dat een kind voor het gebruik van social media, app of computerspel om zijn of haar toestemming heeft gevraagd? Waarschijnlijk bijna niemand. Kinderen van tegenwoordig zijn immers geen digibeten. Zij kunnen gemakkelijk spelletjes, social media-accounts en applicaties openen zonder dat de ouders daartoe hebben ingestemd, ook al wordt er wel gevraagd om toestemming van hen.

Er bestaan een hoop cowboy-verhalen over de gegevensverwerking bij kinderen. De beruchtste is deze: om überhaupt gegevens van kinderen te mogen verwerken, moet men toestemming hebben van de ouders of wettelijk vertegenwoordiger. Niet waar! Zelfs niet als ook de AP op haar website die fout maakt:

“Verwerkt u straks gegevens van kinderen online? Bijvoorbeeld via een app, online game, webwinkel of via sociale media? Dan mag u dit bij kinderen onder de 16 jaar alleen doen met toestemming van de ouders. Onder de AVG moet u dan dus controleren of de ouders daadwerkelijk toestemming hebben gegeven.”

Lees verder

De AVG in Beeld: profilering

In de blogserie “De AVG in Beeld” zullen wij met het oog op ons initiatief Privacy Proof de specifieke onderdelen van de Algemene Verordening Gegevensbescherming (AVG) behandelen en verhelderen. In deze blog gaan we in op profilering. Als u zich aan de AVG wilt houden, moet u bij profilering datakwaliteit, transparantie en menselijkheid in overweging nemen. Wat moet u hier over weten?

profilering

Algoritmes die discrimineren, adverteerders die meer van je weten dan je eigen vader, en fatale fouten als deze:

“Vorige maand is Amerikaanse gevangene Lamonte Mims vrijgelaten op basis van de voorspelling van het algoritme genaamd PSA: Mims kan veilig vrijgelaten worden zonder zorgen voor een terugval. Vijf dagen later vermoordde en beroofde hij een 71 jaar oude man. [..] Een van de medewerkers was vergeten een eerder arrest in het systeem te zetten.” (-Wired.com, vertaald) [1]

Lees verder

Interview met Natalja Krijgsman over Grip op de AVG

“Met de komst van de AVG ligt concrete focus op hoe organisaties moeten communiceren: dat de communicatie van privacy vooral simpel, helder en begrijpelijk moet”

Natalja Krijgsman is communicatiewetenschapper, privacyconsultant, en nu ook auteur. Haar focus ligt op Big Data, privacy ethiek en communicatiebeleid rondom privacy.  Lees hieronder het interview over Natalja’s eerste auteursschap, het boek Grip op de AVG en hoe u zich voorbereid op mei 2018, als de AVG ingaat. 

interview
Lees verder

De AVG in Beeld: biometrische gegevens

In de blogserie “De AVG in Beeld” zullen wij met het oog op ons initiatief Privacy Proof de specifieke onderdelen van de Algemene Verordening Gegevensbescherming (AVG) behandelen en verhelderen. In deze blog gaan we in op biometrische gegevens. Een nieuwkomer onder de AVG, in de categorie bijzondere persoonsgegevens. Wat moet u daar over weten?

Kon u het rijtje met bijzondere persoonsgegevens al opdreunen onder de huidige privacywetgeving?

biometrische gegevens
Dan weet u vast ook al dat er twee nieuwe soorten persoonsgegevens bij zijn gekomen onder de AVG. Naast genetische gegevens vinden we ook de zinsnede “biometrische gegevens met het oog op de unieke identificatie van een persoon” in artikel 9 lid 1 AVG. De kwalificatie van een bijzonder persoonsgegeven betekent dat een verbod op verwerking geldt voor deze gegevens. Natuurlijk mogen ze onder omstandigheden wel gebruikt worden, maar dan moet wel aan specifieke voorwaarden voldaan zijn. Daar gaan we in deze blog op in.

Lees verder

De AVG in Beeld: het BSN

In de blogserie “De AVG in Beeld” zullen wij met het oog op ons initiatief Privacy Proof de specifieke onderdelen van de Algemene Verordening Gegevensbescherming (AVG) behandelen en verhelderen. In deze blog gaan we in op het burgerservicenummer (BSN). Verandert er iets met de komst van de AVG?

 Wanneer u dit leest bent u misschien net zelf op vakantie geweest of staat u aan de vooravond daarvan. Voor de gevorderde privacyprofessional komen daar interessante situaties bij kijken. Want hoe zit dat met het afgeven van uw paspoort of ID bij de receptie? Het kan ook een groot onderwerp zijn in de dagelijkse gang van zaken binnen uw organisatie. Is het BSN voor u de manier om een persoon te authentiseren of werkt het goed om datakwaliteit te borgen? Mag dat wel? En als we het dan toch erover hebben: dat BSN, is dat nu een bijzonder persoonsgegeven of niet?

bsn

Wbp versus AVG

In de Richtlijn staat in artikel 8 lid 7 dat lidstaten de voorwaarden vaststellen voor het rechtmatig gebruik van een nationaal identificatienummer of enig ander identificatiemiddel van algemene aard. Lees: ruimte voor lidstaten om eigen voorwaarden te stellen voor het verwerken van dit soort persoonsgegevens. Lidstaten mogen dus al sinds de Richtlijn zelf bepalen óf en zo ja welke voorwaarden gesteld worden aan een nationaal identificatienummer. Het BSN is daar bij uitstek het bekendste voorbeeld van, maar ook andere nationale identificatienummers zoals het BIG-nummer voor geregistreerde beroepen vallen hieronder.

Lees verder

De AVG in Beeld: Recht van inzage

In de blogserie “De AVG in Beeld” zullen wij met het oog op ons initiatief Privacy Proof de specifieke onderdelen van de Algemene Verordening Gegevensbescherming (AVG) behandelen en verhelderen. In deze blog behandelen we het recht van inzage. Wat zijn de spelregels vanuit de AVG en wat betekent dat voor uw organisatie?

Het is al langer bekend dat personen, waarvan gegevens worden verwerkt, beschikken over bepaalde ‘rechten van betrokkenen’. Na het recht op dataportabiliteit en gegevenswissing is het in deze blogreeks nu de beurt aan het inzagerecht.

recht van inzage
Al onder de bestaande privacywetgeving kunnen personen inzageverzoeken doen bij alle organisaties en instanties die hun gegevens gebruiken. In praktijk blijkt dat dit recht soms wordt gebruikt in context van een discussie die weinig te maken heeft met privacy. Daarbij heeft het gros van de organisaties vaak geen efficiënte manier om op dit soort verzoeken in te gaan. Dat leidt tot frustratie en veel extra werk.

Lees verder