De European Data Protection Board (EDPB) heeft aanbevelingen opgesteld voor de doorgifte van persoonsgegevens naar derde landen. Hiermee worden landen bedoeld waar de persoonsgegevens minder goed beschermd zijn dan in de EU. Het beoogde doel is meer duidelijkheid voor het bedrijfsleven, nadat het Europese Hof van Justitie het EU-VS Privacy Shield ongeldig verklaarde. In juli concludeerde de hoogste Europese rechter namelijk in de Schrems II-arrest dat de bescherming van persoonsgegevens in de VS ernstig tekortschiet, ondanks het Privacy Shield. Dat waren de afspraken tussen de EU en de VS op basis waarvan bedrijven persoonsgegevens vanuit de EU mochten doorgeven aan de VS. Met deze uitspraak zette het Hof een streep door het Privacy Shield.  Lees meer…

De Stichting Onderzoek Marktinformatie (SOMI) roept ouders wereldwijd op om zich te melden bij de stichting wanneer hun kinderen gebruik hebben gemaakt van TikTok, de populaire social media-app van Chinese origine waarmee korte muziekvideo’s opgenomen en gedeeld kunnen worden. TikTok schiet tekort in het beschermen van kinderen die de app gebruiken. Dat stelt SOMI, dat nader onderzoek instelt naar de praktijken en het businessmodel van TikTok. Ook de Autoriteit Persoonsgegevens, afgekort AP, is bezig met een onderzoek naar TikTok en de AP verwacht met de eerste resultaten van het onderzoek later dit jaar te kunnen komen. De app verzamelt en verspreidt waarschijnlijk ongeautoriseerd persoonsgegevens van gebruikers, met name van minderjarigen. Daarmee schendt TikTok naar het zich laat aanzien de Europese GDPR voorschriften. In een vervolgstap op het onderzoek kan SOMI namens bezorgde ouders overtredingen bestrijden en verbeterd toezicht afdwingen. Ook de onafhankelijk European Data Protection Board heeft aangekondigd een task force te zullen oprichten om onderzoek te doen naar de gegevensverwerking door TikTok. Het Amerikaanse bedrijf Penetrum heeft eerder al onderzoek afgerond naar TikTok en is daarbij tot de conclusie gekomen dat er in de app sprake is van gegevensverzameling en tracking, waarbij onder meer digitale profielen en gebruikersinformatie naar China worden gestuurd.

Lees meer…

Recentelijk is door CTG in België een stresstest rond GDPR ontwikkeld. De nieuwe dienst moet ervoor zorgen dat GDPR-procedures bij bedrijven in Europa geen dode letter blijven. Aan de hand van levensechte simulaties testen privacy-experts of ondernemingen er in de praktijk in slagen een datalek of gegevensverzoek van a tot z aan te pakken volgens de in de wet voorgeschreven procedures en binnen de wettelijke deadlines. 85% van de inbreuken op GDPR gebeurt zonder kwade opzet en door de eigen medewerkers. Maar ze tasten het vertrouwen dat partners en klanten in bedrijven stellen wel ernstig aan. Een simpel voorbeeld is de receptionist(e) die een vraag tot verwijdering uit de bestanden vergeet door te geven of een medewerker die per ongeluk op een phishing mail klikt waardoor gevoelige data op straat komt te liggen.

Lees meer…

De Nederlandse Autoriteit Persoonsgegevens, afgekort AP, start een onderzoek naar Nederlandse bedrijven met een PSD2-vergunning die betaalrekeninginformatie verwerken. De AP wil te weten komen of die bedrijven zich bewust zijn van de privacyrisico’s die de verwerking van rekeninggegevens met zich meebrengt en of ze voldoen aan de privacyregelgeving. Zoals bekend staat PSD2  voor de tweede Payment Services Directive, een Europese richtlijn voor betaaldienstverleners. Deze richtlijn regelt onder meer dat niet alleen banken maar ook andere partijen toegang tot een betaalrekening mogen krijgen, mits een klant daar uitdrukkelijk mee heeft ingestemd. Nederlandse bedrijven die dit willen, moeten daarvoor een vergunning hebben van De Nederlandsche Bank. Het is heel simpel, met een PSD2-vergunning én uitdrukkelijke instemming van de rekeninghouder, kunnen bedrijven toegang krijgen tot de betaalgegevens van bankklanten.  Lees meer…

Het Information Commissioner’s Office (ICO) heeft Facebook £ 500.000 beboet wegens ernstige inbreuken op de wetgeving inzake gegevensbescherming. In juli heeft het ICO een Notice of Intent uitgegeven om Facebook te boeten als onderdeel van een breed onderzoek naar het gebruik van data-analyse voor politieke doeleinden. Na beraadslagingen van het bedrijf te hebben overwogen, heeft de ICO de boete aan Facebook uitgevaardigd en bevestigd dat het bedrag – het maximum dat is toegestaan ​​volgens de wetten die golden op het moment dat de incidenten plaatsvonden – ongewijzigd blijft. De volledige boeteregeling is hier te lezen.
Lees meer…

Bakir Lashkari
De implementatie van de Algemene verordening gegevensbescherming (AVG) heeft het thema databescherming bij veel organisaties hoog op de bedrijfsagenda gezet. Maar compliance is daarmee nog niet zover:  “it is a long way to go”.  Er is nog veel onduidelijkheid over de Algemene verordening gegevensbescherming (AVG). Nu, medio september 2018 maken we even een tussenbalans op. Voor de hoofdonderwerpen uit de AVG zijn inmiddels op Europees niveau richtlijnen / guidelines samengesteld. Deze  geven adviezen over de uitleg van belangrijke onderdelen van de wet, maar ze zijn niet in alle situaties doelmatig hanteerbaar. Daarnaast zijn nog niet alle guidelines in het Nederlands voorhanden.
Lees meer…

De Algemene Verordening Gegevensbescherming (AVG), de nieuwe Europese privacywet, staat volop in de belangstelling. Over de AVG wordt veel zinnigs gezegd, maar de claims van adviseurs en privacyconsultants moeten genuanceerd worden bekeken. De AVG is een complexe wet, die op basis van algemene uitgangspunten en principes is geformuleerd. Bovendien is specifieke deskundigheid op automatiseringsgebied geboden om de noodzakelijke informatiebeveiliging te kunnen beoordelen, aldus Jan de Heer van NOREA, de Nederlandse beroepsorganisatie van IT-auditors. NOREA heeft een Privacy Control Framework (PCF) ontwikkeld dat kan worden gebruikt voor een objectieve beoordeling van de manier waarop in een organisatie met persoonsgegevens wordt omgegaan.  Lees meer…

Yves Van Couter, Stephanie De Smet & Garance Dekeyser
In haar arrest van 5 juni 2018 had het Europese Hof van Justitie een duidelijke boodschap voor de eigenaars van Facebook Fan Pagina’s: door uw keuze om het sociale netwerk van Facebook te gebruiken voor marketingactiviteiten, bent u samen met Facebook mede verantwoordelijk voor het verwerken van persoonsgegevens van de bezoekers van uw Fan Pagina. Dit arrest heeft er voor gezorgd dat een aantal bedrijven de drastische beslissing genomen hebben om hun Facebook Fan pagina’s af te sluiten. Anderen worstelen ermee om een pragmatische oplossing te vinden voor deze nieuwe (gezamenlijke) verantwoordelijkheid.
Lees meer…

Onlangs is een wetsvoorstel door het ministerie van Financiën bekendgemaakt dat grote impact zou kunnen hebben op de privacy van burgers. Het gaat om de wijziging van de Wet op het financieel toezicht in verband met het via een centraal elektronisch systeem geautomatiseerd verstrekken en ontsluiten van identificerende gegevens door banken en betaaldienstverleners (Wet verwijzingsportaal bankgegevens).
Lees meer…

Michel Klompmaker
Afgelopen donderdag vond in het fraaie Louwman Museum in Den Haag de vierde editie plaats van het Nationaal Privacy Event met meer dan 300 bezoekers.  Daar sprak de directeur van de AP, de heer Aleid Wolfsen de bezoekers toe via een op 23 mei opgenomen videoboodschap. De AP mag vanaf 25 mei 2018  in principe als toezichthouder gaan  handhaven. We zijn benieuwd wat de eerste concrete stappen van de AP zullen zijn. Daarnaast staat het burgers vrij om in contact te treden met de AP en meldingen te doen op basis van de Europese wetgeving rond GDPR. Het is nog niet zeker waar de focus van de AP naar toe gaat, naar de overheidsinstanties of naar enkele grotere bedrijven, die nog op geen enkele manier stappen gezet hebben… Zo heeft, en dit is slechts een voorbeeld, volgens insiders een grote gemeente als Amsterdam, haar zaakjes nog lang niet op orde. Daarnaast kijken we met spanning uit naar wat de AP gaat doen met de serieuze meldingen van individuele burgers. Die moeten natuurlijk eerst aldaar gefilterd gaan worden, want er zullen ongetwijfeld ook veel meldingen tussen zitten van allerlei querulanten, die via deze indirecte manier hun recht willen gaan halen. Maar er is meer te doen over de AP…
Lees meer…