De Europese Commissie heeft haar adequaatheidsbesluit over het EU-VS-kader voor gegevensbescherming vastgesteld. In het besluit wordt geconcludeerd dat de Verenigde Staten een adequaat – met dat van de Europese Unie vergelijkbaar – beschermingsniveau waarborgt voor persoonsgegevens die binnen het nieuwe kader vanuit de EU aan Amerikaanse bedrijven worden doorgegeven. Op basis van het nieuwe adequaatheidsbesluit kunnen persoonsgegevens veilig vanuit de EU worden doorgegeven aan Amerikaanse bedrijven die aan het kader deelnemen, zonder dat er aanvullende waarborgen voor gegevensbescherming moeten komen. Om de bezwaren van het Europees Hof van Justitie weg te nemen, zijn in het EU-VS-kader voor gegevensbescherming nieuwe bindende waarborgen ingevoerd. Zo wordt de toegang van Amerikaanse inlichtingendiensten tot EU-gegevens beperkt tot wat noodzakelijk en evenredig is, en wordt er een Data Protection Review Court (DPRC) opgericht, waartoe natuurlijke personen uit de EU toegang zullen hebben. Het nieuwe kader is grondig verbeterd ten opzichte van het privacyschild mechanisme. Als de DPRC bijvoorbeeld constateert dat de gegevens in strijd met de nieuwe waarborgen zijn verzameld, kan hij opdracht geven tot het wissen van de gegevens. De nieuwe waarborgen op het gebied van de toegang van de overheid tot gegevens komen bovenop de vereisten waaraan Amerikaanse bedrijven die gegevens uit de EU invoeren, zich zullen moeten houden. Lees meer…

Hans Timmerman

Europees Parlement en EU-Raad bereikten afgelopen week een voorlopig (!?) politiek akkoord over een Europese digitale identiteit (eID). De Tweede Kamer debatteerde eerder heftig met staatssecretaris Van Huffelen, die – tegen de uitdrukkelijke wil van de Kamer in – tóch ingestemde met het EU-voorstel. Iets dat de regering – afgelopen weekend gevallen – wel vaker deed: zich niets aantrekken van de volksvertegenwoordiging. Ironie is dat een eigen Europese app voor Apple en Google platformen, Europa juist afhankelijk maakt van de Big Tech industrie. Zoals een Clingendael artikel terecht concludeert: ‘We worden afhankelijk van hun goedwillendheid wat betreft de controle over en de beschikbaarheid van een essentiële component van onze democratische rechtsorde: het vaststellen van identiteit, van burgerschap.’ Het hebben van een identiteit is essentieel; zonder identiteit ben je geen burger. Iedere burger heeft via een geboortebewijs en paspoort al een gedigitaliseerd identiteitsbewijs. Immers op de ingebouwde chip is identiteit inclusief foto, BSN en vingerafdruk eenduidig vastgelegd, inclusief de mogelijkheid tot elektronische communicatie. Wat is de meerwaarde van het hebben van extra digitale attributen?  Lees meer…

De Europese Commissie stelt nieuwe wetgeving voor om de samenwerking tussen gegevensbeschermingsautoriteiten te stroomlijnen bij de handhaving van de algemene verordening gegevensbescherming (AVG) in grensoverschrijdende zaken. De nieuwe verordening zal voorzien in concrete procedureregels voor de autoriteiten bij de toepassing van de AVG in zaken die gevolgen hebben voor personen in meer dan één lidstaat. Zo zal de leidende gegevensbeschermingsautoriteit worden verplicht een “samenvatting van de belangrijkste punten” aan haar betrokken collega’s te sturen, waarin de belangrijkste elementen van het onderzoek en haar standpunten over de zaak worden vermeld, zodat de autoriteit haar standpunten in een vroeg stadium kenbaar kan maken. Het voorstel zal voor minder meningsverschillen zorgen en de consensusvorming tussen autoriteiten vanaf de beginstadia van het proces vergemakkelijken.
Lees meer…

Twee van de drie stichtingen die schadeclaims hebben ingediend tegen TikTok hebben mogelijk een ongeldige claim. De advocaten van TikTok geven aan dat de stichtingen zich niet hebben gehouden aan wettelijke termijnen. Het risico bestaat dat de twee stichtingen hun zaak niet kunnen voortzetten. Alleen de claim van stichting SOMI voldoet aan de wettelijke vereisten. Nadat stichting SOMI TikTok in juni dagvaardde voor een bedrag van 1,4 miljard euro vanwege grootschalige schendingen van de privacy van kinderen door de sociale videodienst, dienden ook de stichting Take Back Your Privacy (gesteund door de Consumentenbond) en de stichting Massaschade & Consument schadeclaims in. De twee zaken zijn grotendeels gelijk aan de zaak die SOMI startte. De drie zaken worden nu tegelijkertijd behandeld door de rechtbank. Lees meer…

Vanaf vandaag maakt Stichting SOMI het voor alle Europese consumenten mogelijk om via haar SOMI app te controleren of zij slachtoffer zijn geworden van het Facebook-lek van april van dit jaar. Ook kan er worden gezien welke persoonsgegevens van hen op het Darkweb circuleren. In totaal zijn in april gegevens van ruim 533 miljoen Facebook-accounts gelekt, waaronder die van 5,4 miljoen Nederlandse accounts. Na de controle van de eigen gegevens kunnen consumenten meedoen aan het juridische onderzoek van de stichting en de mogelijke collectieve claim tegen Facebook, waarvoor bewijsverzameling van het overtreden van de AVG uit het datalek nodig is. De stichting looft daarom in totaal €10.000 uit aan iedereen die met zijn persoonlijke data kan bewijzen dat Facebook de AVG heeft overtreden. Lees meer…

Vandaag maakt de Autoriteit Persoonsgegevens, afgekort AP bekend dat het Uitvoeringsinstituut Werknemersverzekeringen, afgekort UWV een boete opgelegd heeft van 450.000 euro. Het UWV had het versturen van groepsberichten via de ‘Mijn Werkmap’-omgeving niet goed beveiligd. Dat is een persoonlijke omgeving op de website van het UWV, waar werkzoekenden contact hebben met het UWV. Het gevolg was dat er verschillende datalekken van persoonsgegevens, waaronder gezondheidsgegevens van in totaal ruim 15.000 mensen geconstateerd werden. Voor sommige experts niet echt een verrassing. 
Lees meer…

De Stichting SOMI heeft gisteren, 2 juni, TikTok gedagvaard voor het overtreden van de privacywetgeving via een massaclaim namens ouders van kinderen die TikTok hebben gebruikt. Het claimbedrag kan oplopen tot ruim € 1,4 mld. Volgens de Stichting Onderzoek Marktinformatie (SOMI) is TikTok nalatig als het gaat om het waarborgen van de veiligheid en privacy van kinderen op het platform. Internationaal heeft dit al tot meerdere sterfgevallen onder minderjarigen geleid. Volgens SOMI is het daarom noodzaak om “zo snel mogelijk in te grijpen”. De bedragen die SOMI als schadevergoeding eist voor de deelnemers aan haar massaclaim tegen TikTok kan oplopen tot ruim 1,4 miljard euro, gebaseerd op de ruim 1 miljoen Nederlandse minderjarige gebruikers. De dagvaarding omvat 146 pagina’s en als u verder leest dan kunt u deze helemaal bekijken.
Lees meer…

ProctorExam is nu ‘Security Verified’ door het ICT Institute, een onafhankelijke partij in IT-auditing. De garantie van gegevensbescherming en -beveiliging voor zowel examenafnemers als organisaties heeft de hoogste prioriteit. ProctorExam onderzoekt continu hoe dat extra stapje gezet kan worden om aan die urgentie te voldoen. Security Verified is een open standaard voor informatiebeveiliging vergelijkbaar met ISO 27001, met de nadruk op AVG. Sinds de inwerkingstelling van de Europese GDPR regels (sinds 25 mei 2018) is elk bedrijf dat met waardevolle of persoonlijke gegevens te maken heeft, verplicht om zorg te dragen voor informatiebeveiliging. Security Verified maakt het voor organisaties gemakkelijk om te bewijzen dat ze dergelijke stappen hebben genomen. Security Verified integreert GDPR compliance alleen nog meer, aangezien dit de huidige wettelijke eisen zijn binnen de Europese Unie.
Lees meer…

Michel  Klompmaker

Het is vandaag precies drie jaar geleden dat de GDPR van kracht werd. De Europese wetgeving die schril afsteekt ten opzichte van wat men in de USA en China belangrijk vindt. In Europa omarmen we namelijk vooruitgang, op voorwaarde dat de mens wel centraal blijft staan. En niet zoals aan de andere kant van de Atlantische Oceaan en in China, waar respectievelijk het bedrijfsleven en de overheid (lees de communistische partij en haar leden) centraal staan.  De Europese wetgever heeft er heel bewust voor gekozen om de mens controle te geven over technologische toepassingen met persoonsgegevens door eerst een nieuw en modern grondrecht in het leven te roepen – ‘De bescherming van persoonsgegevens’, artikel 8 van het Handvest van de grondrechten van de EU.
Lees meer…

De Autoriteit Persoonsgegevens (AP) meldt vandaag dat ze de gemeente Enschede een boete heeft opgelegd van 600.000 euro. De gemeente gebruikte wifi tracking in de binnenstad op een manier die niet mag. Met andere woorden het was mogelijk om het winkelende publiek en andere mensen die in de binnenstad wonen of werken te volgen. De gemeente Enschede besloot in 2017 om via sensoren de drukte in de binnenstad te gaan meten. De gemeente huurde daarvoor een bedrijf in dat is gespecialiseerd in het tellen van passanten. Meetkastjes in de winkelstraten vingen de wifi signalen op van de mobiele telefoons van passerende mensen. Van een ieder werd de telefoon apart geregistreerd, met een unieke code. Uit onderzoek van de AP bij de gemeente Enschede blijkt dat dit het geval was. De privacy van burgers was dus niet goed gewaarborgd, omdat zij konden worden gevolgd zonder dat dit noodzakelijk was, aldus de AP. De gemeente Enschede heeft bezwaar aangetekend tegen de boete.

Lees meer…