Posts By: rreumerman

De AVG in Beeld: Toestemming – wanneer – niet (van onze Privacy Management Partners)

De AVG in Beeld: Toestemming – wanneer – niet (van onze Privacy Management Partners)

Posted on by in Nieuws with Reacties uitgeschakeld voor De AVG in Beeld: Toestemming – wanneer – niet (van onze Privacy Management Partners)

 

In de blogserie “De AVG in Beeld” zullen wij met het oog op ons initiatief Privacy Proof de specifieke onderdelen van de Algemene Verordening Gegevensbescherming (AVG) behandelen en verhelderen. In deze blog behandelen we het tweede deel van het onderwerp Toestemming en gaan we in op: wanneer moet u uw klant (niet) om toestemming vragen?

In onze vorige blog hebben we de voorwaarden voor een rechtsgeldige toestemming op een rijtje gezet.

De conclusie was dat toestemming vragen best wat om het lijf heeft. In deze blog gaan we in op de vraag wanneer je nu wel en niet om toestemming moet vragen. Ons uitgangspunt is daarbij: vraag zo min mogelijk om toestemming. Niet omdat zware voorwaarden aan rechtsgeldige toestemming worden gesteld, maar omdat het privacyrechtelijk gezien niet redelijk is. In de loop van de voorbereidingen op de AVG is het wellicht een goed idee om eens nauwkeurig na te gaan: vraagt uw organisatie toestemming op momenten waar het eigenlijk niet de bedoeling is?

De grondslagen

Privacywetgeving verplicht de verantwoordelijke na het bepalen en uitdrukkelijk omschrijven van de doelen van de gegevensverwerking een rechtvaardigingsgrondslag te definiëren. Er zijn zes verschillende grondslagen (artikel 6 lid 1 AVG) die niet zo veel verschillen van de grondslagen die we al kenden uit de Wet bescherming persoonsgegevens. Ze houden op hoofdlijnen in dat de verwerking:

a)    akkoord is vanuit uw klant door toestemming voor een of meer specifieke doeleinden;

b)    noodzakelijk is voor de uitvoering van een overeenkomst waarbij uw klant partij is, of om maatregelen te nemen op verzoek van de klant vóór de sluiting   van een overeenkomst;

c)     noodzakelijk is om te voldoen aan een wettelijke verplichting die op uw organisatie rust;

d)    noodzakelijk is om de vitale belangen van uw klant of van een andere natuurlijke persoon te beschermen;

e)    noodzakelijk is voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan uw     organisatie is opgedragen;

f)     noodzakelijk is voor de gerechtvaardigde belangen van uw organisatie of van een derde, behalve wanneer de belangen of de rechten en vrijheden op het  gebied van gegevensbescherming van uw klant, zwaarder wegen (met name bij een kind).

Om persoonsgegevens te mogen verwerken moet u altijd een van bovenstaande opties kunnen aanwijzen. Nieuw in de AVG is dat de overheid het gerechtvaardigd belang niet meer mag gebruiken bij uitoefening van haar publieke taken. Belangrijk om niet te vergeten is dat uw klant bezwaar mag maken bij de grondslag gerechtvaardigd belang maar ook wanneer de verwerking plaatsvindt op basis van een publieke taak (artikel 21 AVG). Na een dergelijk bezwaar volgt (opnieuw) een belangenafweging, maar dan op basis van de informatie van het individuele geval.

Toestemming als vluchtstrook

De veelbesproken toestemmingsgrondslag is dus slechts één van de mogelijkheden. In de praktijk betekent dit voor veel organisaties dat ze helemaal niet om toestemming hoeven te vragen! Wij schetsen om dat helder te maken de grondslagen als een vijfbaans snelweg (zie afbeelding hieronder).

De privacywetgeving heeft alvast voor u nagedacht wat mogelijke situaties kunnen zijn waarbij u persoonsgegevens zal moeten verwerken. Het resultaat daarvan zijn zes grondslagen op basis waarvan organisaties persoonsgegevens mogen verwerken. Vitaal belang (D) is een grondslag die niet vaak gebruikt kan worden. Daarbij gaat het echt om levensbedreigende situaties. Is een persoon buiten bewustzijn en is medische hulp geboden? Dan kunt u zonder toestemming direct de noodzakelijke persoonsgegevens verwerken om hulp te bieden.

U kunt ook met uw klanten een overeenkomst (B) sluiten voor bijvoorbeeld de koop van een product of dienst. Om te leveren dient u dan persoonsgegevens te verwerken. Let op dat u dan geen persoonsgegevens verwerkt die niet noodzakelijk zijn voor de uitvoering daarvan. Voor extra verwerkingen kan het zijn dat u toch toestemming moet vragen. Bijvoorbeeld wanneer u naast de verkoop analyses wilt uitvoeren op het koopgedrag zodat u persoonsgebonden aanbiedingen kan doen.

 

ToestemmingDan houden we nog twee grondslagen over, die elkaars alternatieven vormen. Vaak wordt het gerechtvaardigd belang (F) genoemd als ‘restcategorie’. Bij het gerechtvaardigd belang wordt een afweging gemaakt door de organisatie die persoonsgegevens verwerkt (weegt het belang, de grondrechten en fundamentele vrijheden van mijn klanten zwaarder dan de gerechtvaardigde belangen van mijn organisatie?). Die afweging wordt niet zo beschreven bij de grondslag toestemming (A). Dan ligt de afweging in principe bij de klant zelf, die hij/zij maakt op basis van de verplichte informatie. Het is maar de vraag of dat, ondanks alle strenge voorwaarden, in de praktijk ook goed lukt.

Er zijn twee goede argumenten om niet te kiezen voor toestemming maar voor het gerechtvaardigd belang. Ten eerste voorkomt u met een goede belangenafweging (inclusief een zorgvuldige DPIA met behulp van deskundigen en stakeholders) dat u zo’n afweging op het bordje van de klant schuift. Die zou met het geven van toestemming ook de voor- en nadelen moeten inschatten, met vaak een complexe achterliggende technologie en bedrijfsvoering en daarin ook risico’s van eventuele toekomstig ander gebruik van de persoonsgegevens moeten meenemen. De kans dat uw klant dat in die split-second lukt is niet groot.

Daarnaast is er een tweede argument gelet op uw bedrijfsvoering. Verwerkingen die voor de bedrijfscontinuiteit essentieel zijn, zijn bij voorkeur niet op toestemming gebaseerd. Deze mag namelijk te allen tijde zonder opgaaf van redenen worden ingetrokken. Bovendien kunnen we de metafoor in bovenstaande afbeelding nog een stukje doortrekken. Bij het kiezen van een grondslag geldt: “keep to your lane”. Je mag niet van grondslag wisselen.

Er zijn echter ook organisaties die bewust wél kiezen voor toestemming. Soms heeft te maken met verwachtingsmanagement van uw klanten. Als je persoonsgegevens wil gebruiken op een manier die uw klant niet verwacht, kan dat ervoor zorgen uw belang niet opweegt tegen het belang van de klant in het kader van het gerechtvaardigd belang. Dat betekent dat toestemming vragen soms de enige optie is om verrassingen te voorkomen en gegevens rechtmatig te verwerken. Omgekeerd zorgt het ervoor dat wanneer de verwerking binnen deze ‘reasonable expectation of privacy’ valt, toestemming dus niet nodig is.

De keuze voor toestemming kan ook te maken hebben met de ‘risk appetite’ van organisaties. We zien steeds vaker dat de Autoriteit Persoonsgegevens toestemming vereist. Af en toe zelfs in gevallen waar je met een zorgvuldige belangenafweging en de juiste maatregelen nog wel had kunnen gaan voor het gerechtvaardigd belang. Om die reden kiezen organisaties af en toe toch voor de zekerheid. Op die manier zullen ze niet de discussie hoeven aan te gaan met de toezichthouder.

Als het echt niet anders kan: (uitdrukkelijke) toestemming

Als u bijzondere gegevens wilt verwerken dan kan het zijn dat u onder specifieke omstandigheden om uitdrukkelijke toestemming van uw klanten moet gaan vragen. Dan gaat het bijvoorbeeld om genetische gegevens, gegevens over gezondheid of gegevens waaruit ras, politieke opvattingen of religieuze overtuigingen uit op te maken zijn. Voor veel van de verwerkingen in deze categorieën geldt echter dat er een uitzonderingen bestaan die geen toestemming vereisen. Wanneer deze niet van toepassing zijn is toestemming dus een laatste redmiddel.

Eenzelfde soort situatie ontstaat als uw organisatie persoonsgegevens buiten de grenzen van de EU en EER wilt verwerken. Er zijn een hoop andere uitzonderingsgronden. Zoals een passend (adequaat) beschermingsniveau, modelcontracten of Binding Corporate Rules. Met uitdrukkelijke toestemming is het in dergelijke situaties alsnog internationale doorgifte mogelijk. Mocht ook dat niet lukken, dan is er nog een uitzondering voor specifieke incidentiele verwerkingen (artikel 49 lid 1 paragraaf 2 AVG).

Ten slotte heeft u de grootste kans op het vragen van uitdrukkelijke toestemming wanneer uw organisatie gebruik maakt van geautomatiseerde besluitvorming (waaronder profilering) op basis van bijzondere persoonsgegevens (artikel 22 lid 4 AVG). Alleen wanneer de verwerking noodzakelijk is om redenen van zwaarwegend algemeen belang op grond van Europees of Nederlands recht kunt u op deze manier bijzondere persoonsgegevens verwerken.

Het komt voor dat andere wetgeving dan de AVG u verplicht om toestemming te vragen, bijvoorbeeld de Telecommunicatiewet wanneer het gaat over het versturen van nieuwsbrieven. We zien vaker een spanningsveld ontstaan wanneer in de sectorale wetgeving het vragen om toestemming verplicht wordt gesteld. Dit zullen we in een toekomstige blog nader toelichten.

Toestemming is niet de hamvraag

Bij het overgrote deel van gegevensverwerkingen zal het niet noodzakelijk zijn om toestemming te vragen. De meeste organisaties kunnen zich baseren op een andere grondslag. Bij het verwerken van bijzondere persoonsgegevens zijn er ook uitzonderingen op het verbod waar geen toestemming voor nodig is, zo ook bij internationaal gegevensverkeer. Alleen bij het verwerken van bijzondere persoonsgegevens in de sfeer van geautomatiseerde besluitvorming (profiling) ligt het voor de hand om (uitdrukkelijke) toestemming te vragen aan de betrokkenen.

Bedenk goed dat wanneer blijkt dat toestemming noodzakelijk blijkt, de AVG specifieke voorwaarden stelt aan een rechtsgeldige toestemming. Vergeet daarbij niet om procedureel en op werkinstructie niveau toestemming een plek te geven, zodat áls u om toestemming moet of wil vragen, het geven en intrekken daarvan efficiënt en rechtmatig verloopt!

Bron: pmppartners.nl, 9 januari 2018
De AVG in Beeld: Gegevenswissing (van onze Privacy Management Partners)

De AVG in Beeld: Gegevenswissing (van onze Privacy Management Partners)

Posted on by in Nieuws with Reacties uitgeschakeld voor De AVG in Beeld: Gegevenswissing (van onze Privacy Management Partners)

 

In de blogserie “De AVG in Beeld” zullen wij met het oog op ons initiatief Privacy Proof de specifieke onderdelen van de Algemene Verordening Gegevensbescherming (AVG) behandelen en verhelderen. In deze blog behandelen we het recht op gegevenswissing, vaak gelinkt aan het bekendere ‘recht om vergeten te worden’.

Al onder de bestaande privacywetgeving kunnen personen verzoeken doen om gegevens te laten verwijderen.

Dit in drie gevallen: (1) als gegevens feitelijk onjuist zijn, (2) omdat een verwerking onvolledig of ‘niet terzake dienend’ is of (3) als de verwerking op een andere manier in strijd met de wet blijkt. Met de komst van de AVG vinden we in artikel 17 een aangepaste versie van dit recht op gegevenswissing. In deze blog beschrijven wat het precies inhoudt en wat de relatie is met het ‘Recht om vergeten te worden’.

Rechten van betrokkenen zijn verstevigd onder de AVG om meer empowerment te creëren. Het recht op dataportabiliteit was daar een voorbeeld van, daar schreven we al eerder een blog over. Het recht op gegevenswissing is een extra maatregel om te voorkomen dat organisaties persoonsgegeven langer bewaren dan noodzakelijk. Maar vormt bovendien ook een manier om grondrechten op het gebied van privacy in praktijk te waarborgen.

h4>Wanneer moet u wissen?

In de AVG staat dat organisaties verplicht zijn om persoonsgegevens te wissen als er sprake is van een van de volgende situaties:

Wat moet u daarna nog doen?

Wanneer de organisatie de gegevens openbaar heeft gemaakt, geldt het volgende: wanneer blijkt dat de organisatie de gegevens moet wissen, dient hij andere organisaties ervan op de hoogte te stellen dat deze persoon heeft verzocht iedere koppeling naar of kopie of reproductie van de persoonsgegevens te wissen. U moet hierbij (technische) maatregelen nemen om deze verplichting na te komen, maar mag daarbij de beschikbare technologie en middelen in acht nemen. Deze bepaling is geschreven om het recht op vergetelheid te versterken in een online omgeving.

De AVG heeft nog een extra staartje voor het recht op gegevenswissing in artikel 19. U moet als organisatie namelijk iedere ontvanger in kennis stellen van de wissing. Van deze verplichting bent u alleen uitgezonderd wanneer het onmogelijk of onevenredig veel inspanning vergt. Indien uw klant vraagt om een lijst met ontvangers, dient u deze te geven.

Wanneer hoeft u niet te wissen?

Zoals u van wetgeving wellicht inmiddels gewend bent, zijn er ook weer uitzonderingen. Het bovenstaande (zowel de verplichting om te wissen als de verplichting om andere organisaties te laten weten dat iemand heeft verzocht om verwijdering) is niet van toepassing in de volgende gevallen.

Wanneer de verwerking nodig is:

Wat heeft dit te maken met het Recht om vergeten te worden?

In de AVG staat achter de titel van artikel 17 “(Right to be forgotten)” en in de Nederlandse vertaling “(Recht op vergetelheid)”. Enkelen herinneren zich wellicht nog wel vaag een uitspraak tussen een Spaanse ondernemer en een saleskantoor van Google in Spanje. Deze rechtszaak ging over een ondernemer die telkens als hij zijn naam intypte in Google als een van de eerste zoekresultaten werd geconfronteerd met zijn eerdere faillissement.

De informatie in de krant was juist en ook geplaatst in lijn met wettelijke verplichtingen (bij openbare verkoop is maximale publiciteit de bedoeling om zoveel mogelijk bieders te trekken op last van de minister van Arbeid en Sociale Zaken). De hoogste Europese rechter van de Europese Unie sprak zich uit over de vraag of het recht op gegevenswissing (onder de richtlijn) betekent dat de heer Costeja kon eisen van Google de verwijzingen naar dat krantenartikel te verwijderen, omdat de informatie hem schade berokkende en wenste op een gegeven moment vergeten te worden.

De Europese rechter geeft aan dat via het recht op gegevenswissing en het recht op bezwaar Costeja van Google mag eisen dat de links worden verwijderd. Met het oog op de AVG is dit eigenlijk slechts de uitleg van artikel 17 lid 1 sub c AVG. De omstandigheid of hij nu daadwerkelijk schade had speelde daarbij geen rol. De kern van de afweging tussen de (economische) belangen van de zoekmachine en de grondrechten van Costeja in het kader van de gevoeligheid van de informatie over zijn faillissement en het feit dat de informatie zestien jaar daarvoor is gepubliceerd. Sinds die tijd kennen we via de zoekmachine ook citaten als “Sommige resultaten zijn mogelijk verwijderd op grond van Europese wetgeving inzake gegevensbescherming.” Costeja heeft dus op juridisch vlak zijn gelijk behaald, echter zullen inmiddels veel (meer) mensen van zijn situatie afweten dan hij had gewenst.

In een samenleving waar de opslagcapaciteit het bewaren van gegevens niet meer begrensd, hebben we sturing gekregen vanuit de privacywetgeving. Met de AVG is die sturing iets concreter geworden.  Het recht op gegevenswissing stelt personen in staat organisaties alert te houden op wanneer het tijd wordt schoon schip te maken. Tegelijkertijd blijft er de ruimte voor organisaties om gegevens wél te bewaren wanneer daar goede redenen voor zijn. Idealiter zijn organisaties zich daar zelf ook al goed bewust van. Het is aan te raden de komende tijd eens te bekijken wat de status hiervan is binnen uw organisatie, voordat u dat vergeet!

 

Bron: pmppartners.nl, 9 januarai 2018
De AVG in Beeld: Recht van inzage (van onze Privacy Management Partners)

De AVG in Beeld: Recht van inzage (van onze Privacy Management Partners)

Posted on by in Nieuws with Reacties uitgeschakeld voor De AVG in Beeld: Recht van inzage (van onze Privacy Management Partners)

 

In de blogserie “De AVG in Beeld” zullen wij met het oog op ons initiatief Privacy Proof de specifieke onderdelen van de Algemene Verordening Gegevensbescherming (AVG) behandelen en verhelderen. In deze blog behandelen we het recht van inzage. Wat zijn de spelregels vanuit de AVG en wat betekent dat voor uw organisatie?

Het is al langer bekend dat personen, waarvan gegevens worden verwerkt, beschikken over bepaalde ‘rechten van betrokkenen’. Na het recht op dataportabiliteit
en gegevenswissing is het in deze blogreeks nu de beurt aan het inzagerecht.

Recht van inzage

Al onder de bestaande privacywetgeving kunnen personen inzageverzoeken doen bij alle organisaties en instanties die hun gegevens gebruiken. In praktijk blijkt dat dit recht soms wordt gebruikt in context van een discussie die weinig te maken heeft met privacy. Daarbij heeft het gros van de organisaties vaak geen efficiënte manier om op dit soort verzoeken in te gaan. Dat leidt tot frustratie en veel extra werk.

Wat valt onder het inzagerecht?

In lijn met de AVG kan een persoon slechts informatie opvragen wanneer dit eigen persoonsgegevens zijn. Gaat het om gegevens van een kind? Dan mag totdat het kind 16 is de ouder(s) of wettelijke vertegenwoordiger een verzoek doen. Daaronder vallen in ieder geval alle persoonsgegevens die geautomatiseerd worden verwerkt. Voor de offline-gegevens geldt dat wanneer ze in een ‘bestand’ (artikel 4 lid 6 AVG) zitten of bedoeld zijn om daarin te worden opgenomen, ook vallen onder de reikwijdte van het inzagerecht.Rechtspraak heeft in het verleden uitgewezen dat juridisch analyses of documenten waarin slechts sporadisch de naam van de persoon voorkomt niet beschikbaar gesteld hoeven te worden als iemand daar om vraagt via het inzagerecht. Persoonlijke interne notities die niet bestemd zijn om in een dossier te worden opgenomen vallen eveneens buiten het inzagerecht.

Is een samenvatting van alle gegevens die u van een persoon heeft in dossiers goed genoeg? Volgens de Autoriteit Persoonsgegevens niet. De toezichthouder heeft in lijn met rechtspraak aangegeven dat daarmee een belangrijk deel van de informatiewaarde verloren gaat.

Wat moet u precies laten inzien?

In uitbreiding van wat er in de huidige privacywet staat, geeft de AVG in artikel 15 een lijst van informatie die u moet verstrekken bij een inzageverzoek:
•doeleinden van verwerking;
• categorie persoonsgegevens;
• (categorie) van ontvangers;
• bewaartermijnen;
• dat de verzoeker het recht heeft gegevens te rectificeren of wissen en de verwerking te beperken of bezwaar te maken;
• dat de verzoeker het recht heeft een klacht in te dienen bij de toezichthouder;
• wanneer u de gegevens van een andere partij heeft verkregen, alle beschikbare informatie over deze bron;
• wanneer de gegevens buiten de grenzen van EU/EER zijn gegaan, welke passende waarborgen zijn genomen.Waar onder de huidige richtlijn lidstaten zelf nog mochten bepalen of een recht op kopie van persoonsgegevens bestond, is de AVG daar helder in. Artikel 15 lid 3 AVG geeft aan dat u een kopie dient te verstrekken.

Mag u inzage weigeren?

Jazeker. Er zijn twee scenario’s denkbaar waarbij u nee kunt verkopen richting personen die hun inzageverzoek indienen. Ten eerste wanneer u geen persoonsgegevens verwerkt van die persoon, of zo minimaal dat ze vallen onder de uitzonderingen zoals hierboven in deze blog geschetst.Ten tweede geldt er een uitzondering voor het recht van kopie. In artikel 15 lid 3 AVG staat dat het recht om een kopie te verkrijgen geen afbreuk mag doen aan de rechten en vrijheden van anderen. Daarbij kunt u denken aan het recht van privacy (bescherming van persoonsgegevens) van een andere persoon, maar ook aan bedrijfsgeheimen of intellectueel eigendom. De weigering dient u wel goed te beargumenteren én te vertellen tegen degene die het inzageverzoek heeft gedaan.In Nederlandse uitvoeringswet AVG is nog een extra uitzondering neergelegd voor archiefbescheiden. Het inzagerecht is niet van toepassing op archieven die in een archiefbewaarplaats zijn opgenomen. Voor de overige archiefbescheiden geldt dat wanneer de verzoeken zodanig ongericht zijn, deze mogen worden geweigerd.

Los van de vraag of u kúnt weigeren met een goede reden, moet u onverwijld maar in ieder geval binnen een maand reageren op het verzoek van uw klant of cliënt. Die termijn ligt vast in de AVG, dus daar zijn geen eigen ruimere termijnen voor mogelijk.

Maar: vergeet niet na te denken

Misschien wel het allerbelangrijkste van de praktische uitvoering van het recht op inzage is het volgende: de identificatie van de verzoeker. Voorkom dat de personen binnen uw organisatie gegevens delen met onbevoegde personen. Het is verleidelijk om klantgericht een persoon aan een balie of telefoon direct te willen helpen. Maar u zult de eerste niet zijn die daarmee onbewust een datalek veroorzaakt.

Zorg voor interne procedures

De AVG staat in lijn met het accountability-principe dat organisaties regelingen moeten treffen om het gemakkelijker te maken voor personen om hun de rechten van betrokkenen uit te oefenen. Daarbij hint de AVG op mechanismen voor recht op inzage, correctie en verwijdering. U kunt daarbij er vanuit gaan dat personen bij u ook digitaal een dergelijk verzoek moeten kunnen indienen. Heldere en bruikbare interne procedures kunnen hierbij helpen zonder de klantvriendelijkheid te ondermijnen.
Bron: pmppartners.nl, 9 januari 2018
De AVG in Beeld: het BSN (van onze Privacy Management Partners)

De AVG in Beeld: het BSN (van onze Privacy Management Partners)

Posted on by in Nieuws with Reacties uitgeschakeld voor De AVG in Beeld: het BSN (van onze Privacy Management Partners)
In de blogserie “De AVG in Beeld” zullen wij met het oog op ons initiatief Privacy Proof de specifieke onderdelen van de Algemene Verordening Gegevensbescherming (AVG) behandelen en verhelderen. In deze blog gaan we in op het burgerservicenummer (BSN). Verandert er iets met de komst van de AVG?
Wanneer u dit leest bent u misschien net zelf op vakantie geweest of staat u aan de vooravond daarvan. Voor de gevorderde privacyprofessional komen daar interessante situaties bij kijken. Want hoe zit dat met het afgeven van uw paspoort of ID bij de receptie? Het kan ook een groot onderwerp zijn in de dagelijkse gang van zaken binnen uw organisatie. Is het BSN voor u de manier om een persoon te authentiseren of werkt het goed om datakwaliteit te borgen? Mag dat wel? En als we het dan toch erover hebben: dat BSN, is dat nu een bijzonder persoonsgegeven of niet?

Wbp versus AVG

In de Richtlijn staat in artikel 8 lid 7 dat lidstaten de voorwaarden vaststellen voor het rechtmatig gebruik van een nationaal identificatienummer of enig ander identificatiemiddel van algemene aard. Lees: ruimte voor lidstaten om eigen voorwaarden te stellen voor het verwerken van dit soort persoonsgegevens. Lidstaten mogen dus al sinds de Richtlijn zelf bepalen óf en zo ja welke voorwaarden gesteld worden aan een nationaal identificatienummer. Het BSN is daar bij uitstek het bekendste voorbeeld van, maar ook andere nationale identificatienummers zoals het BIG-nummer voor geregistreerde beroepen vallen hieronder.

In de Wet bescherming persoonsgegevens (Wbp) staat in artikel 24 dat ‘een nummer dat ter identificatie van een persoon bij wet is voorgeschreven, bij de verwerking slechts gebruikt wordt ter uitvoering van de betreffende wet dan wel voor doeleinden bij de wet bepaald’. Oftewel: het BSN mag u alleen gebruiken als er ergens in een wet staat dat uw organisatie die bevoegdheid heeft óf als het in lijn is met doeleinden van de wet. Dit is dus de Nederlandse regel die is opgesteld binnen de ruimte die Europa heeft gegeven.

In de Uitvoeringswet AVG (artikel 44 – nummering volgens consultatieversie van december 2016) staat precies hetzelfde als in de Wbp. Dat is niet gek, want eerder schreven we al dat Nederland de ruimte die lidstaten krijgen van de AVG beleidsneutraal doorvoert. Maar wat verandert er dan?

In de AVG staat dezelfde bepaling als in de Richtlijn, maar nu in artikel 87. Waarom telkens die verwijzingen naar de artikelnummers? Omdat dát eigenlijk de grootste verandering is. Onder de Richtlijn is de bepaling over nationale identificatienummers een lid van het artikel over bijzondere persoonsgegevens. In de Wbp zien we daarom de Nederlandse regel terug in de paragraaf “De verwerking van bijzondere persoonsgegevens.” In de AVG staat de bepaling over nationale identificatienummers (en de ruimte die lidstaten hebben daar voorwaarden voor te stellen) in het hoofdstuk “Bepalingen in verband met specifieke situaties op het gebied van gegevensverwerking”. Ook in de Uitvoeringswet AVG zien we geen relatie meer tussen bijzondere persoonsgegevens (ras, etniciteit, politieke opvattingen, etc.) en het nationaal identificatienummer.

Kortom, onder de AVG is het BSN dus géén bijzonder persoonsgegeven meer. Desondanks blijft (voor Nederland) het verbod voor verwerking van BSN gelden zoals we dit al jaren kennen. Dit verbod kan alleen worden opgeheven door een wettelijke bevoegdheid of handelen met BSN naar een doeleinde van zo’n wet. Bijzondere persoonsgegevens hebben nog een lijstje met uitzonderingsredenen waardoor het verbod in sommige gevallen niet meer geldt. Voor nationale identificatienummers gelden deze niet, dus u hoeft niet eens te denken aan de vaak geopperde toestemming, hoe uitdrukkelijk ook!

 

Identiteitsfraude: de waarde van een veilig BSN

De meeste argumenten waarom we het BSN moeten beschermen gaan over (het risico op) identiteitsfraude. Via ANP heeft het Centrum Meldpunt Identiteitsfraude (CMI) dit jaar nog laten weten 1.724 meldingen ontvangen te hebben in 2016 – dit is meer dan het dubbele dan in 2015 werd gemeld. De tweede grootste categorie van meldingen bestond uit fraude met een paspoort (316), gevolgd door de ID-kaart (223) of het rijbewijs (152). De precieze cijfers van 2016 zijn nog niet algemeen beschikbaar, maar kijkend naar het lijstje uit 2015 vallen het ID en het BSN wel op.

bsn

De nieuwe cijfers geven volgens het CMI overigens niet aan dat identiteitsfraude toeneemt, maar in ieder geval dat het vaker wordt gemeld. Overheidscampagnes besteden de laatste jaren meer en meer aandacht in de media aan bescherming van persoonsgegevens (liever gezegd de schandalen daaromtrent) en dragen bij aan een groter bewustzijn en kritische houding. Ook is er de KopieID app van de overheid om gemakkelijk en snel uitgangspunten van richtsnoeren van de Autoriteit Persoonsgegevens uit 2012 (toen nog CBP) te volgen. Daarbij is het wegstrepen van het BSN de vaste prik.

Wat kan nu gebeuren als het BSN van uw klanten verkeerd terecht komt? Of als een haarscherpe kopie van een ID in verkeerde handen komt? Een naam, geboortedatum en BSN is voor kwaadwillende personen voldoende om een lening aanvragen of een telefoonabonnement afsluiten. Maar ook het frauderen met een namaakversie van een ID-bewijs kan nare gevolgen hebben omdat daar een veel vervelendere situatie achter kan zitten, zoals zware criminaliteit waarvoor een andere identiteit uitkomst biedt. Tot slot is het BSN in haar huidige hoedanigheid een nummer dat de spil is in het web in overheidscommunicatie. Dat betekent dat wanneer ergens een foute identiteit schuilt achter een BSN-gebruik, door verschillende koppelingen het probleem voor de echte persoon achter het BSN snel kan groeien.

 

En de praktijk?

Het gebruik van het BSN is vaak een punt van discussie. In de praktijk komt de juridische werkelijkheid soms in de knel. Het strenge regime laat de nummers slechts door wettelijk bevoegde organisaties verwerken. Daarnaast zien we (wettelijke) verplichtingen voor gebruik van het nummer, soms zelfs in openbare communicatie. De Autoriteit Persoonsgegevens heeft onlangs aangegeven om dergelijke situaties te onderzoeken. Daarbij gaat het over het BTW-nummer van zzp’ers dat deels uit hun BSN bestaat.

Hoe dan ook, de AVG (eigenlijk sec de Nederlandse Uitvoeringswet AVG) toont opnieuw een stukje juridische waarheid met daarachter een veel complexere praktijk. Daarvoor worden de meest creatieve oplossingen bedacht, bijvoorbeeld het vervangbaar maken van het BSN zoals je met een pincode mogelijk is . Anderen berusten in de gedachte dat met strengere handhaving het probleem van het BSN zal vervagen.

 

Waarom (en hoe) dan wel?

Bekijk voor uw organisatie of en waar in de wet staat dat het BSN verwerkt moet worden. In de Wet algemene bepalingen BSN of Wet Aanvullende Bepalingen Verwerking Persoonsgegevens in de Zorg staan de meeste, maar het kan ook dat in sectorale wetgeving de bevoegdheid is toegedicht aan organisaties. De laatste wet heette tot 1 juli overigens de Wet gebruik BSN in de zorg. Werkt u bij een gemeente, zorginstelling, zorgverzekeraar of onderwijsinstelling? Dan zult u het BSN moeten verwerken, maar blijf daarbij wel altijd goed in de gaten houden met welk doel u het BSN verwerkt. Voor onderwijsinstellingen is het gebruik van het BSN verplicht, maar onder de noemer onderwijsnummer of persoonsgebonden nummer (PGN). Het BSN blijft een nummer dat bedoeld is om Nederlandse burgers te identificeren, en kan dus niet als lidnummer in uw systemen of briefkenmerknummer worden gebruikt.

Natuurlijk zijn er ook voordelen van het gebruik van het BSN. Sommige organisaties gebruiken (on)bewust het BSN voor eigen doeleinden of zonder wettelijke grondslag. Het BSN is namelijk een handig nummer, bijvoorbeeld als blijkt dat ouders hun pasgeboren tweeling dezelfde initialen hebben gegeven. Onder de huidige en aankomende wetgeving zorgt deze efficiëntie echter niet voor een rechtmatige verwerking.

Zijn er dan echt geen manieren om het BSN te verwerken zonder wettelijke bevoegdheid? Nee, in principe niet. Ook het vervormen of versleutelen van een BSN blijft een onrechtmatige verwerking zonder grondslag uit de wet. Toch zijn er zijn wel praktische oplossingen denkbaar om het unieke en handige karakter van een BSN te gebruiken. De omslag tussen BSN en een ander uniek nummer moet daarvoor altijd bij een organisatie plaatsvinden die wél deze bevoegdheid heeft.

Bron: pmppartners.nl, 9 januari 2018

De AVG in Beeld: biometrische gegevens (van onze Privacy Management Partners)

De AVG in Beeld: biometrische gegevens (van onze Privacy Management Partners)

Posted on by in Nieuws with Reacties uitgeschakeld voor De AVG in Beeld: biometrische gegevens (van onze Privacy Management Partners)
In de blogserie “De AVG in Beeld” zullen wij met het oog op ons initiatief Privacy Proof de specifieke onderdelen van de Algemene Verordening Gegevensbescherming (AVG) behandelen en verhelderen. In deze blog gaan we in op biometrische gegevens. Een nieuwkomer onder de AVG, in de categorie bijzondere persoonsgegevens. Wat moet u daar over weten?

Kon u het rijtje met bijzondere persoonsgegevens al opdreunen onder de huidige privacywetgeving?

Dan weet u vast ook al dat er twee nieuwe soorten persoonsgegevens bij zijn gekomen onder de AVG. Naast genetische gegevens vinden we ook de zinsnede “biometrische gegevens met het oog op de unieke identificatie van een persoon” in artikel 9 lid 1 AVG. De kwalificatie van een bijzonder persoonsgegeven betekent dat een verbod op verwerking geldt voor deze gegevens. Natuurlijk mogen ze onder omstandigheden wel gebruikt worden, maar dan moet wel aan specifieke voorwaarden voldaan zijn. Daar gaan we in deze blog op in.

Wat zijn biometrische gegevens?

De AVG omschrijft in haar definities biometrische gegevens als “persoonsgegevens die het resultaat zijn van een specifieke technische verwerking met betrekking tot de fysieke, fysiologische of gedragsgerelateerde kenmerken van een natuurlijke persoon op grond waarvan eenduidige identificatie van die natuurlijke persoon mogelijk is of wordt bevestigd, zoals gezichtsafbeeldingen of vingerafdrukgegevens” (artikel 4 lid 14).

Kortom, we hebben het over meetgegevens van personen die specifieke eigenschappen bevatten. Andere voorbeelden van biometrische gegevens zijn de iris, het netvlies, de geometrie van een handomtrek, stemgeluid, handschrift en de manier dat iemand zich voortbeweegt.

In de AVG-overwegingen vinden we terug dat foto’s alleen onder de definitie van biometrische gegevens vallen wanneer zij worden verwerkt met behulp van bepaalde technische middelen die de unieke identificatie of authenticatie van een natuurlijke persoon mogelijk maken. Het smoelenboek met collega’s zal dus geen verwerking van bijzondere persoonsgegevens zijn. Een nieuw systeem waarbij alle collega’s door middel van gezichtsherkenning hun computer kunnen unlocken, valt wel onder de bijzondere categorie waar een verbod op rust.

Wat zijn de uitzonderingen voor het verwerken van biometrische gegevens?

Naast de uitzonderingsgrondslagen uit de AVG in artikel 9 lid 2 kunnen lidstaten bijkomende voorwaarden of beperkingen stellen voor de verwerking van biometrische gegevens. In de Uitvoeringswet AVG (consultatieversie, december 2016) heeft Nederland voorlopig voorzien in extra uitzonderingsmogelijkheid in artikel 26 Uitvoeringswet AVG.

Het verbod op de verwerking van biometrische gegevens (verwerkt met het oog op unieke identificatie van een persoon) kan voor een specifiek proces worden opgeheven indien dit “geschiedt met het oog op de identificatie van de betrokkene en slechts voor zover dit doel noodzakelijk en proportioneel is voor behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of een derde.” Er dient dus wel een juiste belangenafweging plaats te vinden, maar binnen deze kaders ontstaat er onder deze consultatieversie van de Uitvoeringswet ruimte voor het gebruik van biometrie onder Nederlandse wetgeving.

Deze uitbreiding van de AVG-uitzonderingen is een logische stap gelet op de situatie waarin veel organisaties nu of in nabije toekomst met biometrische toegangscontrole werken voor locaties. Zonder de uitzondering in de Uitvoeringswet AVG is een van de weinige opties voor rechtmatig gebruik van biometrie de uitdrukkelijke toestemming. Die is vaak problematisch gelet op de werkgever-werknemer verhouding. Toestemming is in die gevallen bijna nooit ‘vrij’ gegeven.

Verplichte DPIA bij biometrische gegevens

In overweging 91 van de AVG staat nog iets interessants. Daar wordt uitgelegd wanneer u een Data Protection Impact Assessment (of (D)PIA, of in het Nederlands GEB) moet uitvoeren indien biometrische gegevens worden verwerkt. Daar staat:

“Een gegevensbeschermingseffectbeoordeling dient ook te worden gemaakt wanneer persoonsgegevens worden verwerkt met het oog op het nemen van besluiten met betrekking tot specifieke natuurlijke personen na een systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen die is gebaseerd op de profilering van deze gegevens, of na de verwerking van bijzondere categorieën van persoonsgegevens, biometrische gegevens, of gegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen.”

Met andere woorden:  het lijkt erop dat niet alle biometrische gegevens per definitie bijzondere persoonsgegevens zijn, maar alleen de biometrische gegevens die worden gebruikt met het oog op de unieke identificatie van een persoon. Die bijzin in artikel 9 lid 1 AVG staat daar niet voor niets. Het is goed mogelijk dat de AVG hier dus voor het uitvoeren van een DPIA een bredere interpretatie dan biometrische gegevens als bijzonder persoonsgegeven heeft bedoeld.

Beveiliging met biometrie

Los van het soms nog wat onduidelijke juridische kader, speelt uiteraard ook de praktijk nog een rol. Al een langere tijd tonen veel initiatieven succesvol aan dat ook beveiliging met biometrie niet 100% waterdicht is. Zo kunnen slimme jongens met play-doh, lijm of foto’s van vingerafdrukken al een eind komen. Maar wie weet ziet de AP dat nog door de vingers.

 

Bron: pmppartners.nl, 9 januari 2018
De AVG in Beeld: profilering (van onze Privacy Management Partners)

De AVG in Beeld: profilering (van onze Privacy Management Partners)

Posted on by in Nieuws with Reacties uitgeschakeld voor De AVG in Beeld: profilering (van onze Privacy Management Partners)

<

In de blogserie “De AVG in Beeld” zullen wij met het oog op ons initiatief Privacy Proof de specifieke onderdelen van de Algemene Verordening Gegevensbescherming (AVG) behandelen en verhelderen. In deze blog gaan we in op profilering. Als u zich aan de AVG wilt houden, moet u bij profilering datakwaliteit, transparantie en menselijkheid in overweging nemen. Wat moet u hier over weten?
Algoritmes die discrimineren, adverteerders die meer van je weten dan je eigen vader, en fatale fouten als deze:
“Vorige maand is Amerikaanse gevangene Lamonte Mims vrijgelaten op basis van de voorspelling van het algoritme genaamd PSA: Mims kan veilig vrijgelaten worden zonder zorgen voor een terugval. Vijf dagen later vermoordde en beroofde hij een 71 jaar oude man. Een van de medewerkers was vergeten een eerder arrest in het systeem te zetten.” (-Wired.com, vertaald)
Profilering staat vaak in de schijnwerpers, maar niet altijd negatief: het zal bijvoorbeeld niet lang meer duren voor we gepersonaliseerde hotelkamers gaan zien. Dimitri Tokmetzis van de Correspondent noemt het zelfs ‘standaardgereedschap’ (de digitale schaduw). En omdat profilering hand in hand gaat met big data en persoonsgegevens, kan ook de AVG er niet omheen. Artikel 22 behandelt expliciet profilering, als onderdeel van besluitvorming op basis van geautomatiseerde verwerking, wanneer het besluit rechtsgevolgen voor iemand heeft of andere serieuze gevolgen heeft.
De Nederlandse overheid gebruikt nu geen profilering voor vervroegde vrijlatingsbesluiten, maar zet het wel in voor andere gebieden waar serieuze gevolgen mogelijk zijn. Dit zijn bijvoorbeeld Jeugdzorg, de Belastingdienst, fraudedetectie (SyRI), onderwijs, en veiligheid (het raffinaderij-concept bij de Politie) [2]. Profilering is onderdeel van onze samenleving; hoe zorgt de AVG ervoor dat problemen als die van Mims zo veel mogelijk achterwege blijven?
Datakwaliteit
Een vergeten arrest veroorzaakt een onterecht groen licht voor vrijlating: kleine menselijke fouten kunnen grote gevolgen hebben voor de betrokkene of voor anderen. En niet alleen fouten kunnen funest zijn: denk je eens in dat uw kleine zusje/dochter op uw Netflixprofiel series gaat kijken. Zou u de aanbevelingen nog vertrouwen?
Gegevens vormen de basis voor besluiten, en moeten dus correct zijn. Hoe zorg je daarvoor? Periodieke checks, en reminders voor betrokkenen om hun gegevens actueel te houden, zijn een logische eerste stap. Maar ook een efficiënte inrichting van het inzage– en correctierecht, die op het eerste gezicht voor de betrokkene zijn bedoeld, kunnen de organisatie hierin ondersteunen.
Natuurlijk kan geen organisatie al zijn gegevens altijd actueel houden. De AVG vereist ook alleen dat er redelijke maatregelen zijn genomen voor de datakwaliteit, zoals die hierboven beschreven. Wat rest om ernstige gevolgen veroorzaakt door onjuiste informatie te voorkomen, is menselijk bewustzijn. Wanneer een verwerking rechtsgevolgen of andere serieuze gevolgen voor iemand heeft, moet het uiteindelijke besluit altijd genomen worden door een mens. Een persoon die erkent dat ook een algoritme het fout kan hebben.
Transparantie
Iedereen weet wat profilering is, maar niet iedereen heeft door wanneer hij geprofileerd wordt. Volgens de Autoriteit Persoonsgegevens vertellen organisaties niet altijd dat ze aan profilering doen. In de verplichte privacyverklaring wordt profilering verbloemd als:
  • (risico)profiel;
  • gedragsanalyse;
  • persoonlijke/gepersonaliseerde aanbiedingen;
  • op basis van uw (surf)gedrag of (surf)gedrag van anderen;
  • interesse-gebaseerd;
  • gebaseerd op uw voorkeuren;
  • segmentering/segment(en);
  • online behavioural advertising/targeting.

En bij een overheidsorganisatie als:

  • risico-inschatting;
  • risicogericht controleren.

Over profilering moet helder en begrijpelijk worden gecommuniceerd. Naast de informatie die de verantwoordelijke bij een ‘normale’ verwerking aan de betrokkene duidelijk moet maken, is er ook de verplichting om nuttige informatie over de onderliggende logica, en de te verwachten gevolgen voor de betrokkene te geven. Nuttige informatie bestaat bijvoorbeeld uit de gegevens die het algoritme meeneemt in het besluit, hoe zwaar elk van deze gegevens meeweegt, en de (typen) uitkomsten.

Het probleem met transparantie

In het voorbeeld van Mims heeft de ontwikkelaar van de PSA-software, The Arnold Foundation, de code niet willen vrijgeven. Algoritmes zijn vaak commerciële producten, ook als ze door overheden worden gebruikt. De code en logica daarvoor willen de ontwikkelaars begrijpelijkerwijs niet zomaar vrijgeven. Daarbij: wat zou de gemiddelde persoon aan een code hebben? En kan een gemeentemedewerker uitleggen aan een bezorgde betrokkene hoe het algoritme werkt? Het vrijgeven van de code helpt concurrenten waarschijnlijk meer dan betrokkenen. Daarom kan het advies van de AVG hier aangehouden worden: maak de logica van het algoritme duidelijk, en laat alle technische onbegrijpelijkheden achterwege. Het nut van de informatie voor de betrokkene staat voorop.

Menselijkheid

Het belangrijkste principe rondom profilering in de AVG is dat de menselijke waardigheid en empowerment wordt behouden. De organisatie kan niet de verantwoordelijkheid voor het besluit bij het algoritme leggen: Iedere betrokkene heeft recht op een menselijke tussenkomst bij een besluit met significante gevolgen. Daarbij mag na een dergelijk besluit de betrokkene zijn of haar eigen standpunt kenbaar maken aan de verantwoordelijke, en mag het besluit aanvechten. Men moet beseffen dat de inrichting van een algoritme het resultaat is van een keuze voor het meewegen van bepaalde factoren voor een beslissing (en daarmee het weglaten van andere). Kortom, het is goed te realiseren dat een algoritme geen eenduidige waarheid geeft.

Bron:pmppartners.nl, 9 januari 2018
Oprichter Fox-IT: ‘Gevaar voor sluizen wordt onderschat’

Oprichter Fox-IT: ‘Gevaar voor sluizen wordt onderschat’

Posted on by in Nieuws with Reacties uitgeschakeld voor Oprichter Fox-IT: ‘Gevaar voor sluizen wordt onderschat’

 

Minister Cora van Nieuwenhuizen van Infrastructuur en Waterstaat meldde dinsdag dat sluizen die voor de samenleving cruciaal zijn goed beveiligd worden tegen hackers. Het online beveiligingsbedrijf FoX-IT diverse heeft echter diverse sluizen kunnen hacken, vertelde oprichter Ronald Prins tijdens het Radio1 -programma Langs de Lijn en Omstreken

Gesprek met waterschappen over digitale bedreigingen

Binnenlands Bestuur meldde afgelopen vrijdag dat software voor de besturing van sluizen doorgaans maar 5 jaar ondersteund wordt met beveiligingsupdates, terwijl de software veel langer mee gaat Onder meer SGP en CDA stelden naar aanleiding van het artikel de minister vragen. Het kabinet gaat woensdag bij het bestuurlijk overleg Water in gesprek met waterschappen om te praten over digitale bedreigingen, maar de minister wilde het beeld wegenemen ‘dat er nu van alles mis zou zijn’. Bij de kritische infrastructuur wordt er volgens Van Nieuwenhuizen niet met verouderde software gewerkt. Zorgen over de ‘echt vitale onderdelen’ zijn volgens haar niet nodig.

Zestig sluizen tegelijk

Prins, die afscheid neemt als directeur bij Fox-IT dat onder meer hofleverancier is van de AIVD en diverse andere Rijksdiensten, is weinig gerust door de antwoorden van de minister, zo maakt hij duidelijk in de uitzending van dinsdagavond. Naar aanleiding van het antwoord van de minister zegt hij: ‘Dan stel ik me zo voor: een mannetje in Zeeland dat in een auto rondrijdt, die binnen 30 minuten bij een sluis kan zijn en dingen op handbediening kan overnemen, maar een hacker neemt zestig sluizen tegelijk.’

Onderschatting een probleem

Fox-IT probeert op verzoek van provincies en waterschappen regelmatig sluizen en te hacken en slaagt daar regelmatig in, stelt Prins bovendien. Een probleem van de overheid is volgens hem de grote onderschatting van het risico. ‘Want als je onderkent dat het een probleem is, moet je ook met een oplossing komen en dat vinden we heel moeilijk.’ Prins stelt tot slot dat hij een aantal voorbeelden kent van sluizen die te hacken zijn. ‘Ik zal ze niet noemen, maar we schrikken elke keer weer van wat er in potentie mogelijk is.’

 

Bron: Binnenlandsbestuur.nl, 19 december 2017
Problemen rondom AVG onvermijdelijk

Problemen rondom AVG onvermijdelijk

Posted on by in Nieuws with Reacties uitgeschakeld voor Problemen rondom AVG onvermijdelijk

 

De VNG heeft in aanloop naar de inwerkingtreding van de Algemene Verordening Gegevensbescherming (AVG) een stappenplan ontwikkeld voor gemeenten. De vereniging stelt in het document dat het onvermijdelijk is dat gemeenten in de praktijk tegen vragen en problemen aanlopen.

Niet zelf het wiel uitvinden

Volgens VNG kan het daarom helpen om ervaringen en kennis over de AVG uit te wisselen, bijvoorbeeld slimme oplossingen voor problemen. ‘ Door met elkaar te praten, discussiëren en elkaar te helpen voorkomen we dat iedereen het wiel zelf uit moet vinden, en stimuleren we nadenken over privacy’, schrijft de organisatie. De VNG raadt gemeenten aan om als eerste een Functionaris Gegevensbescherming (FG) aan te stellen. Deze functionaris is een interne toezichthouder en heeft een informerende en adviserende taak. Ook kan de FG kan fungeren als centraal aanspreekpunt in het voorbereidingsproces.

Privacy-beleid opstellen en uitdragen

VNG beschrijft in het rapport nog een viertal stappen, waaronder een privacy-beleid opstellen en uitdragen. ‘Privacy is een onderwerp dat van belang is voor alle medewerkers van een gemeente door de gehele gemeentelijke organisatie en niet alleen van de FG of privacy officer’, schrijft de VNG. ‘Dit houdt bijvoorbeeld in dat het college van B&W eindverantwoordelijk is, de gemeenteraad zijn controlerende taken kan uitoefenen, de lijnmanagers gedelegeerd verantwoordelijk zijn en er duidelijke privacyinstructies worden gegevens aan de professionals op de werkvloer. Zo komt privacy in de hele organisatie op de kaart.’

Modelovereenkomst

Het bijhouden van een register van verwerkingen en het aanpassen van werkprocessen ook opgenomen in het stappenplan. Een laatste stap is afspraken met derden maken. De VNG heeft onder meer een model verwerkersovereenkomst opgesteld dat gemeenten een handvat biedt om de eigen verwerkersovereenkomst met derde partijen vorm te geven.

Het stappenplan is hier te vinden

Bron: Binnenlandsbestuur.nl, 4 december 2017
Nederland is goed op weg met AVG

Nederland is goed op weg met AVG

Posted on by in Nieuws with Reacties uitgeschakeld voor Nederland is goed op weg met AVG

ECP en VKA presenteren Nationale Privacy Benchmark 2017

In 2017 hebben Nederlandse organisaties werk gemaakt van privacybescherming ten aanzien van de aankomende Algemene Verordening Gegevensbescherming (AVG). Twee derde van de Nederlandse organisaties hebben de rol van de functionaris gegevensbescherming (fg) belegd. Dat is een vooruitgang ten opzichte van vorig jaar. Toen was de fg-rol bij slechts 35 procent belegd. Het percentage ligt in de publieke sector iets lager dan in de private sector (respectievelijk 61 procent en 72 procent).

Dat blijkt uit de Nationale Privacy Benchmark 2017 van adviesbureau Verdonck, Klooster & Associates (VKA) en ECP | Platform voor de Informatiesamenleving. De partijen ondervroegen juristen, privacy officers, beleidsmedewerkers, ict’ers of bestuurders van 97 organisaties naar privacybescherming en AVG-gereedheid.

De organisaties schrijven dat het goed beleggen van de rollen en verantwoordelijkheden een belangrijke randvoorwaarde is om te voldoen aan de wetgeving. Uit het onderzoek blijkt dat er ten opzichte van voorgaande jaren (2015 en 2016) vooruitgang is geboekt, maar er zijn nog wel stappen te maken.

Eén van de verbeterpunten is gericht op de verantwoordelijkheden van de medewerkers. Voor 54 procent is het een uitdaging om hen uit te leggen wat er van hen verwacht wordt. In de praktijk wordt deze stap pas aan het einde van het traject ingepland.

Gekeken naar de belangrijkste risico’s voor privacy bescherming, blijkt het menselijk handelen het grootste probleem te vormen. 94 procent ziet het onzorgvuldig menselijk handelen ook als het belangrijkste risico. Dat wordt opgevolgd door het te lang bewaren van data (73 procent) en de afhankelijkheid van leveranciers en ketenpartners (65 procent).

Privacy by Design

Binnen de AVG speelt ook ‘privacy by design’ een rol. Daarbij wordt gekeken naar gebruik van persoonsgegevens en hoe deze passend worden beschermd. Slechts 12 procent zegt dat de medewerkers weten wat privacy by design voor hen inhoudt. De private sector lijkt op dit punt een kleine voorsprong te hebben op de publieke sector. 68 procent zegt hier stappen mee te maken en 20 procent is er nog niet mee bezig. De onderzoekers schrijven dit toe aan de relatieve nieuwheid van dit punt en het open karakter van de norm.

Nationale Privacy Benchmark 2017

VKA heeft voor het derde jaar een enquête onder Nederlandse organisaties uitgevoerd naar privacybescherming en AVG-gereedheid. Dit jaar is het onderzoek gedaan in samenwerking met ECP. Vertegenwoordigers van 97 organisaties, variërend van juristen, privacy officers, beleidsmedewerkers, ict’ers of bestuurders, zijn ondervraagd. Het rapport is hier te downloaden.

Bron: Computable.nl, 21 november 2017
IT gemeente gaat burger meer geld kosten

IT gemeente gaat burger meer geld kosten

Posted on by in Nieuws with Reacties uitgeschakeld voor IT gemeente gaat burger meer geld kosten

De uitgaven die gemeenten aan IT besteden, stijgen gemiddeld per inwoner 7 euro.

De ICT-benchmark gemeenten van M&I Partners laat een trendbreuk zien. De afgelopen jaren lagen de kosten vrij stabiel tussen de 72 en 74 euro per inwoner.
Maar daar kwam in 2016 een einde aan. Meer uitgaven aan personeel en advies rond privacy en informatiebeveiliging zijn de belangrijkste redenen die Partners signaleert in de benchmark voor de kostenstijging.

Bron: AGConnect.nl, 1 november 2017.