Tag: privacy

Wat je niet leest op NU.nl over de eerste boete van de AP

Auteur: Karen Siemers

De kogel is door de kerk. Vandaag heeft de Autoriteit Persoonsgegevens haar allereerste echte AVG-boete uitgedeeld à 460.000 euro. Nog voor de lunch reageren diverse mainstream media en de gemiddelde privacy professional heeft het bericht vast al langs zien komen in zijn of haar LinkedIN-feed. Na een normale werkdag, lees je hier onze kijk op dit stukje nieuwe geschiedenis. Voor vanavond bij een goed glas wijn of rustig tijdens de ochtendkoffie.

 

Het aloude gevecht tegen nieuwsgierigheid

In april 2018 was de media in rep en roer. Het patiëntendossier van een bekende Nederlander was ingekeken door 85 ziekenhuismedewerkers, die er niets te zoeken hadden. Een klokkenluider meldde het probleem via Publeaks. Het HagaZiekenhuis nam maatregelen en meldde op 4 april het datalek bij de AP, de bekende Nederlander schikte voor 14.000 euro en de AP begon in oktober 2018 een onderzoek. Het probleem: deze medewerkers waren niet direct betrokken bij de behandeling van de bekende Nederlander of bij de beheersmatige afwikkeling daarvan, maar waren wel nieuwsgierig.

 

Lees verder

Wat kunnen we leren van de boetes voor British Airways en Marriott?

Auteur: Jeroen Terstegge

Afgelopen week maakte de Britse toezichthouder, de Information Commissioner (ICO), bekend voornemens te zijn een boete op te leggen aan British Airways (BA) en Marriott hotels, beide voor datalekken. Voor BA ligt een boete van ruim 183,39 miljoen GBP (204 miljoen euro) in het verschiet. Dit bedrag vormt 1,5% van de totale wereldwijde jaaromzet van BA. Daarmee is dit de hoogste AVG-boete tot nu toe. Voor Marriott ligt een boete van 99 miljoen GBP (110 miljoen euro) klaar. Een paar leerpunten op een rijtje…

Wat is er gebeurd bij BA?

In 2018 is British Airways slachtoffer geworden van een hackaanval op het bagageclaimgedeelte van haar website, vermoedelijk door de beruchte groep Magecart, een groep criminelen die gespecialiseerd is in het stelen van creditcardgegevens. Deze groep zat vermoedelijk ook achter de hack van Ticketmaster. Magecart is erin geslaagd om op de BA website een script te plaatsen waardoor gedurende 15 dagen persoonsgegevens van zo’n 500.000 klanten konden worden onderschept, waaronder namen, huisadressen en creditcardgegevens, inclusief de CVV code op de achterkant van de kaart. Niet onbelangrijk hier in het feit dat BA de CVV codes helemaal niet opslaat (geheel conform de PCI-DSS standaard). Maar omdat de hackers de gegevens al op de website onderschepten, konden ze de CVV code onversleuteld te pakken krijgen en hoefden ze helemaal niet in te breken op de servers van BA (waar de CVV codes dus sowieso niet werden opgeslagen). Lees verder

Betrek jij ook betrokkenen tijdens een DPIA?

Auteur: Sander Roobol

Veel organisaties zijn er inmiddels mee bekend: het uitvoeren van een data protection impact assessment (DPIA). De minimale vereisten zijn summier in de wet uitgewerkt. Optioneel is het een vereiste om betrokkenen naar hun visie op de voorgenomen verwerking van persoonsgegevens te vragen. In de praktijk wordt deze optie vaak overgeslagen terwijl het een toegevoegde waarde heeft voor een organisatie en haar DPIA. In deze blog ga ik in op het betrekken van betrokkenen bij een DPIA. Is dit vereiste wel zo optioneel? En wat is de toegevoegde waarde?

Doel DPIA

Als een verwerking van persoonsgegevens waarschijnlijk een hoog risico inhoudt voor betrokkenen, dan is een organisatie in veel gevallen verplicht voorafgaand aan de gegevensverwerking een DPIA uit te voeren. In artikel 35 lid 7 AVG staan vier voorwaarden genoemd waaraan een DPIA in elk geval moet voldoen. Dit zijn – beknopt beschreven – een systematische beschrijving van de verwerking en haar doeleinde, een beoordeling van de noodzaak en evenredigheid, beoordeling van de risico’s en de beoogde maatregelen om de risico’s te mitigeren. Een DPIA is dus bedoeld om de risico’s in kaart te brengen en passende maatregelen te nemen. Lees verder

De AVG in Beeld: Toezicht

Auteur: Alfonso Okué

In de blogserie “De AVG in Beeld” zullen wij met het oog op onze PrivacyProof®-methodiek de specifieke onderdelen van de Algemene Verordening Gegevensbescherming (AVG) behandelen en verhelderen. In deze blog beschrijven we aan de hand van een aantal praktijkvoorbeelden, de wettelijke vereisten en geven wij een aantal tips en tricks om de AVG op een praktische, pragmatische, hanteerbare, beheersbare en leuke manier te organiseren. Lees verder

AVG-beheersing en het Dunning-Kruger-effect

Auteur: Jacques Eding

Hoe voorkom je dat je door zelfoverschatting verkeerde keuzes maakt in privacymanagement?

 

Het Dunning-Kruger effect is een psychologisch verschijnsel (een cognitieve bias). Simpel gezegd komt het erop neer dat afhankelijk van je kennis over een onderwerp je een zelfoverschatting maakt van je eigen kennis. Dus hoe minder je weet over iets, hoe meer je hierover denkt te weten; je overschat jezelf. In een ander schema zou je dit onbewust onbekwaam kunnen noemen. Hoe neem je dit psychologische aspect mee in het beoordelen of hoe je met de AVG-beheersing omgaat? Lees verder

Een blik op het gerechtvaardigd belang

Auteur: Maurice Reedijk

Zoals je ondertussen misschien wel weet onderscheidt de AVG zes verschillende rechtvaardigingsgronden voor de verwerking van persoonsgegevens, oftewel er zijn zes mogelijke voorwaarden die toelaten dat je persoonsgegevens mag verwerken. De laatste grondslag, het gerechtvaardigd belang (artikel 6f AVG) is in mijn ogen het meest interessant. Deze grondslag is in het algemeen niet bruikbaar voor overheden; die zullen zich moeten beroepen op een wettelijke verplichting of een publieke taak. De hamvraag: hoe werkt dat gerechtvaardigd belang nou eigenlijk?

 

Vorig jaar was ik aanwezig bij het IAPP Europe Data Protection Congress in Brussel en heb daar meerdere workshops bijgewoond. De workshop over het bepalen van een gerechtvaardigd belang was daarbij met uitstek het populairst. Het werd al snel pijnlijk duidelijk dat men eigenlijk geen idee heeft over hoe het gerechtvaardigd belang toegepast moet worden. En dat is gek, want voor commerciële bedrijven is dat misschien wel de belangrijkste grondslag voor de verwerking van persoonsgegevens. Veel mensen zijn van mening dat toestemming het meest voor de hand liggend is voor bedrijven, maar mijn collega Karen Siemers heeft in haar blog haarfijn uitgelegd waarom dat toch echt een illusie is (klik hier).

Lees verder

De belangrijkste vraag rond gegevensbescherming voor 2019

Auteur: Karen Siemers

Kunnen we door uitsluitend vragen te stellen belangrijke thema’s inzichtelijk maken?

Heeft uw organisatie ook geworsteld met de vraag welke verschillende verwerkingen plaatsvinden op uw initiatief? Hoe kunnen we ‘een verwerking’ daarvoor pragmatisch definiëren? Welke rol hebben we daarbij als organisatie qua verantwoordelijkheden en aansprakelijkheid? Wat spreken we af met onze samenwerkingspartners? Wie is binnen onze organisatie verantwoordelijk voor wat? Wanneer is een verwerking te onderscheiden van vergelijkbare verwerkingen? Hoe kunnen we alle verwerkingen gestructureerd en overzichtelijk op ons netvlies krijgen? Weten we zeker dat we alle verwerkingen op ons netvlies hebben? En waarom doen we die verwerking van persoonsgegevens? Zijn het allemaal wel echt persoonsgegevens? Is het rechtmatig? Hebben we alle huidige persoonsgegevens nodig of kunnen we het ook met minder? Moeten we misschien juist meer vastleggen om het doel van de verwerking op een goede manier te verwezenlijken? Lees verder

Tooling voor de Privacy Professional

De Algemene Verordening Gegevensbescherming (hierna: AVG) is sinds 25 mei 2018 een feit. Organisaties in Europa, en in sommige gevallen ook daarbuiten[1], moeten bij het verwerken van persoonsgegevens zich aan strengere privacywet- en regelgeving houden. Niet alleen dat, organisaties moeten ook aantoonbaar aan de AVG voldoen,[2] de zogenaamde verantwoordingsplicht[3]. Onderdeel van de verantwoordingsplicht zijn:  

  • het vastleggen van een verwerkingsregister[4]; en
  • het documenteren van datalekken[5].

Lees verder

Baas over eigen zorgdata in een digitaal landschap

Informatie- en communicatietechnologie biedt zowel burgers als bedrijven en overheden enorme kansen. Dit geldt ook in de gezondheidszorg. Welke beren op de weg kunnen we verwachten? Wat betekent dit voor het recht van de zorgconsument op de informationele zelfbeschikking? Biedt de privacywetgeving op dit moment voldoende bescherming voor de zorgconsument? Hieronder wordt ingegaan op deze vragen.

Lees verder

Medeverantwoordelijkheid in het geval van een fanpagina

Ben je als beheerder van een fanpagina op Facebook medeverantwoordelijk voor de verwerking van persoonsgegevens via die pagina? Dit was recentelijk de centrale vraag die het Europese Hof van Justitie (HvJ EU) kreeg voorgelegd. Het antwoord op deze vraag lijkt ogenschijnlijk eenvoudig: nee. Immers, als beheerder maak je gebruik van een platform dat door Facebook wordt aangeboden. Facebook bepaalt voor welk doel en op welke wijze zij persoonsgegevens van de bezoekers op jouw fanpagina verwerkt. Dan is Facebook toch de verantwoordelijke? Het HvJ EU ziet dat bij bepaalde omstandigheden anders…

Facebook biedt allerlei diensten aan die kosteloos gebruikt kunnen worden. Een van die mogelijkheden is het aanmaken van een (fan)pagina. Bedrijven gebruiken het bijvoorbeeld om hun merk of product te promoten terwijl fans het gebruiken om samen te praten over hun favoriete band. De beheerder van de pagina moet een specifieke overeenkomst met Facebook sluiten en instemmen met de gebruikersvoorwaarden.

Lees verder