Tag: privacy

De belangrijkste vraag rond gegevensbescherming voor 2019

Auteur: Karen Siemers

Kunnen we door uitsluitend vragen te stellen belangrijke thema’s inzichtelijk maken?

Heeft uw organisatie ook geworsteld met de vraag welke verschillende verwerkingen plaatsvinden op uw initiatief? Hoe kunnen we ‘een verwerking’ daarvoor pragmatisch definiëren? Welke rol hebben we daarbij als organisatie qua verantwoordelijkheden en aansprakelijkheid? Wat spreken we af met onze samenwerkingspartners? Wie is binnen onze organisatie verantwoordelijk voor wat? Wanneer is een verwerking te onderscheiden van vergelijkbare verwerkingen? Hoe kunnen we alle verwerkingen gestructureerd en overzichtelijk op ons netvlies krijgen? Weten we zeker dat we alle verwerkingen op ons netvlies hebben? En waarom doen we die verwerking van persoonsgegevens? Zijn het allemaal wel echt persoonsgegevens? Is het rechtmatig? Hebben we alle huidige persoonsgegevens nodig of kunnen we het ook met minder? Moeten we misschien juist meer vastleggen om het doel van de verwerking op een goede manier te verwezenlijken? Lees verder

Tooling voor de Privacy Professional

De Algemene Verordening Gegevensbescherming (hierna: AVG) is sinds 25 mei 2018 een feit. Organisaties in Europa, en in sommige gevallen ook daarbuiten[1], moeten bij het verwerken van persoonsgegevens zich aan strengere privacywet- en regelgeving houden. Niet alleen dat, organisaties moeten ook aantoonbaar aan de AVG voldoen,[2] de zogenaamde verantwoordingsplicht[3]. Onderdeel van de verantwoordingsplicht zijn:  

  • het vastleggen van een verwerkingsregister[4]; en
  • het documenteren van datalekken[5].

Lees verder

Baas over eigen zorgdata in een digitaal landschap

Informatie- en communicatietechnologie biedt zowel burgers als bedrijven en overheden enorme kansen. Dit geldt ook in de gezondheidszorg. Welke beren op de weg kunnen we verwachten? Wat betekent dit voor het recht van de zorgconsument op de informationele zelfbeschikking? Biedt de privacywetgeving op dit moment voldoende bescherming voor de zorgconsument? Hieronder wordt ingegaan op deze vragen.

Lees verder

Medeverantwoordelijkheid in het geval van een fanpagina

Ben je als beheerder van een fanpagina op Facebook medeverantwoordelijk voor de verwerking van persoonsgegevens via die pagina? Dit was recentelijk de centrale vraag die het Europese Hof van Justitie (HvJ EU) kreeg voorgelegd. Het antwoord op deze vraag lijkt ogenschijnlijk eenvoudig: nee. Immers, als beheerder maak je gebruik van een platform dat door Facebook wordt aangeboden. Facebook bepaalt voor welk doel en op welke wijze zij persoonsgegevens van de bezoekers op jouw fanpagina verwerkt. Dan is Facebook toch de verantwoordelijke? Het HvJ EU ziet dat bij bepaalde omstandigheden anders…

Facebook biedt allerlei diensten aan die kosteloos gebruikt kunnen worden. Een van die mogelijkheden is het aanmaken van een (fan)pagina. Bedrijven gebruiken het bijvoorbeeld om hun merk of product te promoten terwijl fans het gebruiken om samen te praten over hun favoriete band. De beheerder van de pagina moet een specifieke overeenkomst met Facebook sluiten en instemmen met de gebruikersvoorwaarden.

Lees verder

Aandachtspunten bij eHealth voor zorgaanbieders

Zorg staat (weer) op de agenda van de Autoriteit Persoonsgegevens dit jaar. Vorig jaar was AP al bezig met gezondheidsgegevens in commerciële context. Dit jaar spreekt de AP in het toezichtskader[1] over risicogericht toezicht op zorginstellingen. Speciale aandacht gaat zoals vanouds uit naar de beveiliging van medische gegevens. Ook focust de AP zich extra op de juiste grondslag met name bij uitwisselingen van medische gegevens. Tot zover geen spannende ontwikkelingen waar organisaties niet reeds waakzaam voor zijn in praktijk. Er zijn meer enerverende uitdagingen waar in deze blog een achtergrond voor wordt geschetst: eHealth. 

 

Lees verder

Nut en noodzaak hernieuwde aanmelding FG’s/DPO’s

Functionaris GegevensbeschermingSinds 3 april verlangt de Autoriteit Persoonsgegevens dat organisaties hun FG/DPO opnieuw aanmelden met behulp van een online formulier. Wettelijk is hernieuwde aanmelding niet nodig, maar toch is het een goed idee. Lees in deze blog over nut en noodzaak van de hernieuwde aanmelding. Hopelijk heeft de AP ook voorzien in passende waarborgen om onjuiste meldingen er uit te filteren.

Lees verder

BYOD: hoe beschermt u de privacy?

BYOD valt niet meer weg te denken uit het hedendaagse bedrijfsleven. Steeds meer organisaties stellen hun medewerkers in staat om voor zakelijke doeleinden te werken met hun eigen privéapparaten . Bring Your Own Device (BYOD), biedt voordelen als gebruiksvriendelijkheid en keuze voor de medewerker. Hiernaast zien werkgevers als voornaamste voordelen een toename in de productiviteit en kostenbesparing betreffende hardware investeringen. BYOD brengt echter ook de nodige uitdagingen met zich mee op het gebied van security, maar zeer zeker ook op het gebied van privacy van de medewerkers. De AVG eist van organisaties dat zij gepaste technische en organisatorische maatregelen treffen om de verwerking van persoonsgegevens, dus ook door en van medewerkers, in overeenstemming met de AVG uit te voeren. Dit moet onder de AVG ook kunnen worden aangetoond. Hier valt het waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van gegevensverwerkende processen ook onder. De volgende vraag luidt dan: wat zijn de specifieke BYOD-uitdagingen en wélke maatregelen moeten er vervolgens worden genomen?

Twee van de voornaamste uitdagingen zijn:

  1. Het zorgdragen voor een juiste omgang en het beschermen van de privacy.
  2. Beveiliging van het apparaat tegen malware, verlies of diefstal.
Lees verder

Consumentenvertrouwen in het Internet of Things

De ontwikkeling van het Internet of Things (IoT), waarbij apparaten zelfstandig communiceren met de gebruiker of met andere apparaten, heeft als gevolg dat het garanderen en faciliteren van privacyrechten zoals transparantie, inzage en correctie ten aanzien van de gegevensverwerking, steeds lastiger zal worden. Dit komt doordat de datastromen minder overzichtelijk zijn en minder makkelijk zijn toe te wijzen aan een verantwoordelijke partij. Het bieden van overzicht aan de gebruiker is echter essentieel voor het vereiste consumentenvertrouwen.

Connected cars, auto’s voorzien van communicatieapparatuur en omgevingssensoren, leveren een typische casus waarin de uitdagingen en mogelijkheden die IoT brengt duidelijk worden. Deze auto’s ontvangen en versturen relevante gegevens voor de verkeersdoorstroming of voor het voorkomen van ongelukken of anticiperen op bijzonderheden op de weg. Daarvoor zijn deze auto’s uitgerust met sensoren die kunnen communiceren met sensoren in andere auto’s of met meetapparatuur op de weg.

Lees verder

Win het boek ‘Grip op de AVG’ op Burst Your Bubble

“Privacy is een superactueel onderwerp en het raakt iedereen”.

Vrijdag 15 september organiseert 33Toeren een journalistiek-kunstzinnig festival rondom privacy: Burst Your Bubble. Op dit festival maakt u kans op een gratis exemplaar van Grip op de AVG. Zorg dat u grip op privacy krijgt, en sla twee vliegen in één klap: kom naar het festival en maak kans op ons boek. Wees erbij!

Burst Your Bubble
Lees verder

Privacy awareness in organisaties: de missende schakel tussen papier en praktijk

Informatiebeveiliging staat bij veel organisaties hoog in het vaandel.privacy awareness Zeker nu de ransomware WannaCry diep in de portemonnee van een aantal grote namen heeft gegrepen. Er zijn CISO-opleidingen te over en veel organisaties waarin teamleden nog steeds inloggegevens met elkaar uitwisselen. We gaan er echter vanuit dat het laatste steeds meer uitzondering dan regel wordt. De meesten draaien op zijn minst regelmatig een back-up en werken met up-to-date software. Maar wat als een collega achter die goed beveiligde computer geen bezwaar voelt om wat series op de werklaptop online te streamen? Of een collega besluit een eigen map op de privélaptop bij te houden met de personeelsadministratie, omdat dat nu eenmaal makkelijker werkt dan inloggen via Citrix? Tegen een ongeïnformeerd of ongeïnteresseerd persoon kan geen informatiebeveiliger op.

 

Niet alleen informatiebeveiligers moeten met deze problemen omgaan. Het beleid van privacy officers kan als een kaartenhuis in elkaar vallen zonder bewustzijn bij de medewerkers. En dan heeft privacy ook nog te maken met een onderwerp dat minder leeft of tastbaar is, ondanks de groeiende aandacht.

 

Hoe creëert u privacy awareness?

Privacy moet niet alleen in het beleid en de functieprofielen staan. Het moet terug te vinden zijn in de cultuur, in de dagelijkse gedachten van werknemers. Wat zorgt ervoor dat privacy niet doordringt, en wat is eraan te doen? Wij stellen voor dat u begint met twee belangrijke stappen.

Lees verder