Nieuws Archieven | Pagina 2 van 6

Autoriteit Persoonsgegevens legt UWV een last onder dwangsom op!

Op 30 oktober maakte de Autoriteit Persoonsgegevens (AP) bekend, dat het Uitvoeringsinstituut Werknemersverzekeringen (UWV) een last onder dwangsom krijgt van 150.000 euro per maand met een maximum van 900.000, voor het onvoldoende beveiligen van gezondheidsgegevens.

Uiterlijk 31 oktober 2019 dient het UWV het beveiligingsniveau van zijn portaal op orde te hebben. Indien dit wordt verzaakt, moet het UWV deze dwangsom betalen.

Bron: https://www.privacy-web.nl/nieuws/ap-dwingt-uwv-met-sanctie-gegevens-beter-te-beveiligen

Kamerbrief over verhogen informatieveiligheid bij de overheid

Posted on by in Nieuws with no comments

Staatssecretaris Knops (BZK) heeft de Tweede Kamer de uitwerking van maatregelen gestuurd die de informatieveiligheid bij de overheid moet verhogen. Op deze pagina kunt u de brief downloaden.

Controles op naleving AVG

Posted on by in Nieuws with no comments

Sinds 25 mei 2018 geldt de AVG (Algemene Verordening Gegevensbescherming), deze wet verplicht bedrijven maar ook individuen om correct met persoonsgegevens om te gaan.

De AP (Autoriteit Persoonsgegevens) is de Nederlandse gegevensbeschermingsautoriteit die is aangesteld om toezicht te houden op het verwerken van persoonsgegevens. Onlangs is de AP begonnen met controles op de AVG naleving. De eerste pijlen werden gericht op overheidsorganisaties, maar sinds juli worden ook de private sectoren gecontroleerd. Hieronder wordt ingegaan op de aspecten waarop de AP zich primair lijkt te richten.

Functionaris voor de Gegevensbescherming
Overheidsinstanties en publieke organisaties waren verplicht om voor 25 mei jl. een FG (Functionaris voor de Gegevensbescherming ) aan te stellen, ongeacht het type gegevens dat ze verwerken. Deze functionaris ziet er intern op toe dat de regels uit de AVG worden nageleefd en fungeert als aanspreekpunt voor toezichthouder. De AP controleerde 400 overheidsorganisaties op het aanstellen van een FG. Uit de controle bleek dat minder dan 4% ‘mogelijk’ geen FG heeft aangesteld. Deze organisaties zijn schriftelijk verzocht om een eventueel aangestelde FG alsnog aan te melden voor een bepaalde datum. Blijft een aanmelding uit, dan kan de AP overgaan tot het opleggen van een sanctie.

Register van Verwerkingsactiviteiten
In dit register staat beschreven welke persoonsgegevens worden opgeslagen voor welke doeleinden en wie de verwerkingsverantwoordelijke is. In de private sector is de AP in Juli begonnen aan een willekeurige steekproef onder dertig grote organisaties, waarbij ze controleren of deze organisaties een register van verwerkingsactiviteiten bijhouden.

Het bijhouden van een dergelijk register is verplicht voor organisaties met meer dan 250 medewerkers. De uitkomsten van deze controles zijn nog niet gekend.

Klachten
Sinds 25 mei jl. bestaat voor iedereen het recht om een klacht in te dienen bij de AP over het gebruik van zijn/haar persoonsgegevens. Het blijkt dat de AP in een tijdsbestek van een dikke maand ruim 600 klachten ontving over de verwerking van hun persoonsgegevens. Uit een analyse van de eerste 400 klachten blijkt dat:

77% gaat over het niet (volledig) gehoor geven aan een verzoek om verwijdering.
18% gaat over de verstrekking van gegevens aan derden.
5% gaat over inzageverzoeken.

Bijna 90% van de klachten gaat over bedrijven, de rest over overheidsinstanties. De AP heeft alle klachten in behandeling en zal twee keer per jaar rapporteren over de wijze waarop de klachten zijn afgehandeld.

Bron: Privacy Web

Problemen bij project voor verbeteren informatieveiligheid

Posted on by in Nieuws with no comments

ENSIA is een gezamenlijk project van de VNG, gemeenten en verschillende ministeries. Het project streeft naar een zo effectief en efficiënt mogelijk ingericht verantwoordingsstelsel voor informatieveiligheid.

ENSIA wordt sinds 1 juli 2017 door verschillende Nederlands gemeenten (WAAR/DOOR WIE) gebruikt om efficiënter te werken. Zes bestaande verantwoordingsprocedures – voor DigiD, de Basisregistratie Personen, de PUN, de BAG, de BGT en Suwinet – werden gebundeld. Gemeenten vullen jaarlijks een zelfevaluatielijst in om zo in één keer verantwoording af te leggen over het gebruik van zes systemen.

Accountantsbureau BDO, dat bij meerdere gemeenten actief is, schreef een rapport naar aanleiding van de recente ervaringen. Hieruit blijkt dat het bewustzijn van én de organisatie rondom informatieveiligheid bij gemeenten fors is toegenomen. Maar dat de verwachte efficiëntieverbetering nog niet is gehaald.

Dit komt doordat het belang van informatieveiligheid nog moet doordringen tot alle werknemers. Medewerkers mijden vaak nog de eigen verantwoordelijkheid. Zoals een medewerker die even wegloopt van zijn pc zonder deze te vergrendelen. Een cultuuromslag is dus nodig om de meerwaarde van ENSIA in te zien.

Daarnaast zijn procedures binnen gemeenten vaak nog versnipperd, waardoor het verzamelen van bewijsstukken voor een audit veel werk en tijd kost.

Volgens BDO zijn het geen onoverkomelijke problemen. In het rapport staan enkele suggesties om problemen te verhelpen:

draag het thema breder uit in de organisatie, zodat iedereen zich met het verbeteren van informatieveiligheid bezighoudt;
zorg voor eenduidig beleid en eenduidige procedures; en gebruik ENSIA niet alleen om aan verplichtingen te voldoen, maar zie het als een instrument tot verbetering.

Lees het volledige artikel.

Kabinet presenteert nieuwe Nederlandse Cybersecurity Agenda

Posted on by in Nieuws with no comments

Het kabinet heeft de nieuwe Nederlandse Cybersecurity Agenda gepresenteerd die moet helpen bij het versterken van de digitale veiligheid. De agenda bestaat uit zeven ambities die zijn uitgewerkt in doelstellingen en maatregelen en samen door overheid en bedrijfsleven zullen worden uitgevoerd.

Volgens het kabinet neemt de dreiging van beroepscriminelen en statelijke actoren toe en zijn gebruikte aanvallen steeds geavanceerder en complexer. Nederlandse overheidsinstellingen en in Nederland gevestigde bedrijven zijn structureel doelwit van digitale spionage door statelijke actoren, zo laat de agenda weten. Zo zijn bijvoorbeeld multinationals en onderzoeksinstellingen in de energie-, hightech-, en chemische sector het slachto?er geworden van digitale spionage. Bij deze digitale inbraken zijn terabytes aan vertrouwelijke gegevens gestolen die een substantiële economische waarde vertegenwoordigen.

De Cybersecurity Agenda moet ervoor zorgen dat Nederland in staat is om op een veilige wijze de economische en maatschappelijke kansen van digitalisering te verzilveren en de nationale veiligheid in het digitale domein te beschermen. Dit moet worden gerealiseerd via de zeven ambities. Eén van de ambities stelt dat Nederland voorop zal lopen in het bevorderen van digitaal veilige hard- en software. Een andere laat weten dat Nederland zijn digitale slagkracht op orde moet krijgen.

Naast het versterken van cybersecurity wordt er ook ingezet op het aanpakken van cybercriminelen en het vergroten van bewustzijn onder gebruikers. “Door fors te investeren in de digitale veiligheid van Nederland, houden we ook cybercriminelen buiten de deur. Het Openbaar Ministerie en de Politie krijgen meer capaciteit om cybercriminelen op te pakken en te vervolgen. Tegelijkertijd mag ook verwacht worden dat burgers zelf meer doen om hun digitale deur op slot te zetten. Daarom wordt geïnvesteerd in voorlichting zodat mensen bekend zijn met de grootste risico’s en belangrijkste maatregelen.”

Bron: Security.nl – 21 april 2018

Functionaliteitsvergelijking iNavigator en Key2Control

Posted on by in Nieuws with no comments

Voor een gemeente in Noord-Nederland is door Peter Tak van Privacy Concepts een korte vergelijking gedaan van de verwerkingsregisters van Key2control en iNavigator. Hierbij is met name gekeken naar het voldoen aan de wettelijke verplichtingen vanuit de AVG en de efficiëntie bij het vullen en onderhouden van het register.

De tekst van het vergelijkend onderzoek vindt u hier. Een overzicht van de onderzochte functionaliteiten kunt hier u vinden.

Conclusie

Beide registers kunnen voldoen aan de minimale wettelijke eisen die de AVG stelt.

Key2control

Het register van Key2control is een gespecialiseerd verwerkingsregister. Het kent aparte velden voor alle wettelijk verplichte taken en voor een groot aantal optionele zaken die te maken hebben met het registreren van gegevensverwerkingen. Daarop kunt u ook allerlei selecties maken.

Hiermee zijn alle voor een gegevensverwerking relevante zaken vanuit één systeem inzichtelijk.

Daarnaast biedt het de mogelijkheid om zelf het niveau van detaillering te bepalen doordat u zelf de standaardwaarden voor categorieën gegevens kunt aanpassen. Door de wizard-gebaseerde invoer is duidelijk welke informatie vereist is. Met de ingebouwde controle op de wettelijk verplichte informatie en het verlopen van verwerkingsovereenkomsten is in één oogopslag te zien waar u nog niet voldoet aan de registratieverplichtingen. Door de uitgebreide rapportages kunt u veel eenvoudiger voldoen aan inzageverzoeken. Burgers kunnen vanaf april 2018 zelf zien welke verwerkingen u doorvoert in het openbare deel van het register.

iNavigator

Het register van iNavigator is integraal onderdeel van het DSP model met gemeentelijke procesbeschrijvingen en is hier binnen in feite een eenvoudig formulier. Veel informatie moet u in algemene velden opnemen waardoor deze niet makkelijk terug te vinden is en u er geen selecties op kunt maken. U zult een duidelijk proces en externe checklist moeten gebruiken om ervoor te zorgen dat alle verplichte informatie ook geregistreerd wordt. Ook verwerkings- en verstrekkings- overeenkomsten zult u buiten het systeem moeten registreren. Voor een volledig overzicht van een gegevensverwerking zult u dus informatie uit verschillende systemen moeten combineren.

Daarnaast zullen degenen die belast zijn met het bijhouden van het register ook de autorisatie moeten hebben om de beschrijvingen van de processen in het DSP model aan te passen en dienen de informatiearchitecten die het DSP model beheren, er rekening mee te houden dat wijzigingen die zij hierin doen, direct doorwerken in het verwerkingsregister. Het is in dit geval essentieel dat er duidelijke afspraken worden gemaakt en dat er onderlinge afstemming tussen de privacy officer en de informatiearchitect plaatsvindt bij wijzigingen in het model DSP.

Gemeenten zetten vaart achter hun privacy aanpak. “100e gemeente aangemeld op verwerkingsregister FG van Key2Control”.

Posted on by in Nieuws with Reacties uitgeschakeld

Vandaag, 21 februari 2018, heeft zich de 100^e gemeente aangemeld op het verwerkingsregister FG van Key2Control. Al direct sinds de start van het verwerkingsregister in september 2017 is de interesse van Nederlandse gemeenten, overheden en bedrijven in het register groot.

Vanaf de jaarwisseling neemt de interesse zelfs exponentieel toe en dan vooral bij gemeenten. Volgens de heer Arie Hartog, directeur van Key2Control, is deze ontwikkeling niet echt verrassend.

“Gemeenten zijn momenteel in een snel tempo bezig hun organisatie aan te passen om per 25 mei te voldoen aan de eisen van de AVG”

Dit betekent in de praktijk dat men nu vooral bezig is met het aanstellen van functionarissen gegevensbescherming, het inrichten van een verwerkingsregister FG en het uitvoeren van (D)PIA’s.

De interesse voor het verwerkingsregister FG van key2Control wijdt hij aan de gebruikersvriendelijkheid van de applicatie, de grote hoeveelheid voor de FG belangrijke functionaliteiten en aan het aanbieden van een standaard datastructuur die compliant is met de privacy handreiking van VNG Realisatie. Vanaf 1 maart zal deze dataset structuur uitgebreid worden met inhoud. Daarmee wordt het “klopwerk” voor gemeenten nog verder beperkt.

De applicatie wordt elke drie maanden uitgebreid met nieuwe – standaard- functionaliteiten. De afgelopen maand zijn o.a. 2 factor authenticatie, registreren van datalekken, het kunnen opnemen van PIA-documenten en het ondersteunen van gemeentelijke samenwerkingen toegevoegd. In april zullen functies als het kunnen publiceren van (delen) van de dataset naar de gemeentelijke website, SAML koppelingen en workflow opties opgenomen worden.

Nieuwe functionaliteiten worden vooral in samenwerking met- en op verzoek van de gemeenten zelf ontwikkeld. Ook dit ziet Hartog als een belangrijke meerwaarde.

Geïnteresseerden kunnen zich hier aanmelden voor een gratis proefaccount of kunnen een mailtje sturen naar [email protected]

De AVG in Beeld: Toestemming – wanneer – niet (van onze Privacy Management Partners)

Posted on by in Nieuws with Reacties uitgeschakeld

In de blogserie “De AVG in Beeld” zullen wij met het oog op ons initiatief Privacy Proof de specifieke onderdelen van de Algemene Verordening Gegevensbescherming (AVG) behandelen en verhelderen. In deze blog behandelen we het tweede deel van het onderwerp Toestemming en gaan we in op: wanneer moet u uw klant (niet) om toestemming vragen?

In onze vorige blog hebben we de voorwaarden voor een rechtsgeldige toestemming op een rijtje gezet.

De conclusie was dat toestemming vragen best wat om het lijf heeft. In deze blog gaan we in op de vraag wanneer je nu wel en niet om toestemming moet vragen. Ons uitgangspunt is daarbij: vraag zo min mogelijk om toestemming. Niet omdat zware voorwaarden aan rechtsgeldige toestemming worden gesteld, maar omdat het privacyrechtelijk gezien niet redelijk is. In de loop van de voorbereidingen op de AVG is het wellicht een goed idee om eens nauwkeurig na te gaan: vraagt uw organisatie toestemming op momenten waar het eigenlijk niet de bedoeling is?

De grondslagen

Privacywetgeving verplicht de verantwoordelijke na het bepalen en uitdrukkelijk omschrijven van de doelen van de gegevensverwerking een rechtvaardigingsgrondslag te definiëren. Er zijn zes verschillende grondslagen (artikel 6 lid 1 AVG) die niet zo veel verschillen van de grondslagen die we al kenden uit de Wet bescherming persoonsgegevens. Ze houden op hoofdlijnen in dat de verwerking:

a) akkoord is vanuit uw klant door toestemming voor een of meer specifieke doeleinden;

b) noodzakelijk is voor de uitvoering van een overeenkomst waarbij uw klant partij is, of om maatregelen te nemen op verzoek van de klant vóór de sluiting van een overeenkomst;

c) noodzakelijk is om te voldoen aan een wettelijke verplichting die op uw organisatie rust;

d) noodzakelijk is om de vitale belangen van uw klant of van een andere natuurlijke persoon te beschermen;

e) noodzakelijk is voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan uw organisatie is opgedragen;

f) noodzakelijk is voor de gerechtvaardigde belangen van uw organisatie of van een derde, behalve wanneer de belangen of de rechten en vrijheden op het gebied van gegevensbescherming van uw klant, zwaarder wegen (met name bij een kind).

Om persoonsgegevens te mogen verwerken moet u altijd een van bovenstaande opties kunnen aanwijzen. Nieuw in de AVG is dat de overheid het gerechtvaardigd belang niet meer mag gebruiken bij uitoefening van haar publieke taken. Belangrijk om niet te vergeten is dat uw klant bezwaar mag maken bij de grondslag gerechtvaardigd belang maar ook wanneer de verwerking plaatsvindt op basis van een publieke taak (artikel 21 AVG). Na een dergelijk bezwaar volgt (opnieuw) een belangenafweging, maar dan op basis van de informatie van het individuele geval.

Toestemming als vluchtstrook

De veelbesproken toestemmingsgrondslag is dus slechts één van de mogelijkheden. In de praktijk betekent dit voor veel organisaties dat ze helemaal niet om toestemming hoeven te vragen! Wij schetsen om dat helder te maken de grondslagen als een vijfbaans snelweg (zie afbeelding hieronder).

De privacywetgeving heeft alvast voor u nagedacht wat mogelijke situaties kunnen zijn waarbij u persoonsgegevens zal moeten verwerken. Het resultaat daarvan zijn zes grondslagen op basis waarvan organisaties persoonsgegevens mogen verwerken. Vitaal belang (D) is een grondslag die niet vaak gebruikt kan worden. Daarbij gaat het echt om levensbedreigende situaties. Is een persoon buiten bewustzijn en is medische hulp geboden? Dan kunt u zonder toestemming direct de noodzakelijke persoonsgegevens verwerken om hulp te bieden.

U kunt ook met uw klanten een overeenkomst (B) sluiten voor bijvoorbeeld de koop van een product of dienst. Om te leveren dient u dan persoonsgegevens te verwerken. Let op dat u dan geen persoonsgegevens verwerkt die niet noodzakelijk zijn voor de uitvoering daarvan. Voor extra verwerkingen kan het zijn dat u toch toestemming moet vragen. Bijvoorbeeld wanneer u naast de verkoop analyses wilt uitvoeren op het koopgedrag zodat u persoonsgebonden aanbiedingen kan doen.

Dan houden we nog twee grondslagen over, die elkaars alternatieven vormen. Vaak wordt het gerechtvaardigd belang (F) genoemd als ‘restcategorie’. Bij het gerechtvaardigd belang wordt een afweging gemaakt door de organisatie die persoonsgegevens verwerkt (weegt het belang, de grondrechten en fundamentele vrijheden van mijn klanten zwaarder dan de gerechtvaardigde belangen van mijn organisatie?). Die afweging wordt niet zo beschreven bij de grondslag toestemming (A). Dan ligt de afweging in principe bij de klant zelf, die hij/zij maakt op basis van de verplichte informatie. Het is maar de vraag of dat, ondanks alle strenge voorwaarden, in de praktijk ook goed lukt.

Er zijn twee goede argumenten om niet te kiezen voor toestemming maar voor het gerechtvaardigd belang. Ten eerste voorkomt u met een goede belangenafweging (inclusief een zorgvuldige DPIA met behulp van deskundigen en stakeholders) dat u zo’n afweging op het bordje van de klant schuift. Die zou met het geven van toestemming ook de voor- en nadelen moeten inschatten, met vaak een complexe achterliggende technologie en bedrijfsvoering en daarin ook risico’s van eventuele toekomstig ander gebruik van de persoonsgegevens moeten meenemen. De kans dat uw klant dat in die split-second lukt is niet groot.

Daarnaast is er een tweede argument gelet op uw bedrijfsvoering. Verwerkingen die voor de bedrijfscontinuiteit essentieel zijn, zijn bij voorkeur niet op toestemming gebaseerd. Deze mag namelijk te allen tijde zonder opgaaf van redenen worden ingetrokken. Bovendien kunnen we de metafoor in bovenstaande afbeelding nog een stukje doortrekken. Bij het kiezen van een grondslag geldt: “keep to your lane”. Je mag niet van grondslag wisselen.

Er zijn echter ook organisaties die bewust wél kiezen voor toestemming. Soms heeft te maken met verwachtingsmanagement van uw klanten. Als je persoonsgegevens wil gebruiken op een manier die uw klant niet verwacht, kan dat ervoor zorgen uw belang niet opweegt tegen het belang van de klant in het kader van het gerechtvaardigd belang. Dat betekent dat toestemming vragen soms de enige optie is om verrassingen te voorkomen en gegevens rechtmatig te verwerken. Omgekeerd zorgt het ervoor dat wanneer de verwerking binnen deze ‘reasonable expectation of privacy’ valt, toestemming dus niet nodig is.

De keuze voor toestemming kan ook te maken hebben met de ‘risk appetite’ van organisaties. We zien steeds vaker dat de Autoriteit Persoonsgegevens toestemming vereist. Af en toe zelfs in gevallen waar je met een zorgvuldige belangenafweging en de juiste maatregelen nog wel had kunnen gaan voor het gerechtvaardigd belang. Om die reden kiezen organisaties af en toe toch voor de zekerheid. Op die manier zullen ze niet de discussie hoeven aan te gaan met de toezichthouder.

Als het echt niet anders kan: (uitdrukkelijke) toestemming

Als u bijzondere gegevens wilt verwerken dan kan het zijn dat u onder specifieke omstandigheden om uitdrukkelijke toestemming van uw klanten moet gaan vragen. Dan gaat het bijvoorbeeld om genetische gegevens, gegevens over gezondheid of gegevens waaruit ras, politieke opvattingen of religieuze overtuigingen uit op te maken zijn. Voor veel van de verwerkingen in deze categorieën geldt echter dat er een uitzonderingen bestaan die geen toestemming vereisen. Wanneer deze niet van toepassing zijn is toestemming dus een laatste redmiddel.

Eenzelfde soort situatie ontstaat als uw organisatie persoonsgegevens buiten de grenzen van de EU en EER wilt verwerken. Er zijn een hoop andere uitzonderingsgronden. Zoals een passend (adequaat) beschermingsniveau, modelcontracten of Binding Corporate Rules. Met uitdrukkelijke toestemming is het in dergelijke situaties alsnog internationale doorgifte mogelijk. Mocht ook dat niet lukken, dan is er nog een uitzondering voor specifieke incidentiele verwerkingen (artikel 49 lid 1 paragraaf 2 AVG).

Ten slotte heeft u de grootste kans op het vragen van uitdrukkelijke toestemming wanneer uw organisatie gebruik maakt van geautomatiseerde besluitvorming (waaronder profilering) op basis van bijzondere persoonsgegevens (artikel 22 lid 4 AVG). Alleen wanneer de verwerking noodzakelijk is om redenen van zwaarwegend algemeen belang op grond van Europees of Nederlands recht kunt u op deze manier bijzondere persoonsgegevens verwerken.

Het komt voor dat andere wetgeving dan de AVG u verplicht om toestemming te vragen, bijvoorbeeld de Telecommunicatiewet wanneer het gaat over het versturen van nieuwsbrieven. We zien vaker een spanningsveld ontstaan wanneer in de sectorale wetgeving het vragen om toestemming verplicht wordt gesteld. Dit zullen we in een toekomstige blog nader toelichten.

Toestemming is niet de hamvraag

Bij het overgrote deel van gegevensverwerkingen zal het niet noodzakelijk zijn om toestemming te vragen. De meeste organisaties kunnen zich baseren op een andere grondslag. Bij het verwerken van bijzondere persoonsgegevens zijn er ook uitzonderingen op het verbod waar geen toestemming voor nodig is, zo ook bij internationaal gegevensverkeer. Alleen bij het verwerken van bijzondere persoonsgegevens in de sfeer van geautomatiseerde besluitvorming (profiling) ligt het voor de hand om (uitdrukkelijke) toestemming te vragen aan de betrokkenen.

Bedenk goed dat wanneer blijkt dat toestemming noodzakelijk blijkt, de AVG specifieke voorwaarden stelt aan een rechtsgeldige toestemming. Vergeet daarbij niet om procedureel en op werkinstructie niveau toestemming een plek te geven, zodat áls u om toestemming moet of wil vragen, het geven en intrekken daarvan efficiënt en rechtmatig verloopt!

Bron: pmppartners.nl, 9 januari 2018

De AVG in Beeld: Gegevenswissing (van onze Privacy Management Partners)

Posted on by in Nieuws with Reacties uitgeschakeld

In de blogserie “De AVG in Beeld” zullen wij met het oog op ons initiatief Privacy Proof de specifieke onderdelen van de Algemene Verordening Gegevensbescherming (AVG) behandelen en verhelderen. In deze blog behandelen we het recht op gegevenswissing, vaak gelinkt aan het bekendere ‘recht om vergeten te worden’.

Al onder de bestaande privacywetgeving kunnen personen verzoeken doen om gegevens te laten verwijderen.

Dit in drie gevallen: (1) als gegevens feitelijk onjuist zijn, (2) omdat een verwerking onvolledig of ‘niet terzake dienend’ is of (3) als de verwerking op een andere manier in strijd met de wet blijkt. Met de komst van de AVG vinden we in artikel 17 een aangepaste versie van dit recht op gegevenswissing. In deze blog beschrijven wat het precies inhoudt en wat de relatie is met het ‘Recht om vergeten te worden’.

Rechten van betrokkenen zijn verstevigd onder de AVG om meer empowerment te creëren. Het recht op dataportabiliteit was daar een voorbeeld van, daar schreven we al eerder een blog over. Het recht op gegevenswissing is een extra maatregel om te voorkomen dat organisaties persoonsgegeven langer bewaren dan noodzakelijk. Maar vormt bovendien ook een manier om grondrechten op het gebied van privacy in praktijk te waarborgen.

h4>Wanneer moet u wissen?

In de AVG staat dat organisaties verplicht zijn om persoonsgegevens te wissen als er sprake is van een van de volgende situaties:

De persoonsgegevens zijn niet langer nodig voor doeleinden waarvoor zij zijn verzameld of verwerkt. Dit is een uitwerking van het onderwerp ‘opslagbeperking’, vaak bekend onder de term bewaartermijnen.
De verwerking was gebaseerd op toestemming maar is ingetrokken en er is geen andere rechtsgrond voor de verwerking.
Er is door uw klant bezwaar gemaakt tegen de verwerking en de concrete afweging tussen uw gerechtvaardigde belang is minder dan de belangen, rechten en vrijheden van uw klant. Wanneer het een bezwaar tegen direct marketing-uitingen is, kunt u deze afweging achterwege laten en geldt direct dat u deze persoonsgegevens moet wissen.
De persoonsgegevens worden onrechtmatig verwerkt. Dit is de restcategorie voor situaties waarin organisaties niet voldoen aan de AVG. Volgens de AVG bent u verplicht de gegevens te wissen wanneer ‘de verwerking op een ander punt niet in overeenstemming is met de AVG’. Het is vooralsnog onduidelijk wat dit betekent, maar ik zou me kunnen voorstellen dat dit geldt voor overtreding van alle artikelen die in directe wijze refereren naar de verwerking zelf (zoals in hoofdstuk II, de beveiligingsvereisten in IV, V, IX of nationale wetgeving).
Er geldt voor uw organisatie een wettelijke verplichting om gegevens te wissen die voortvloeit uit Europees of Nederlands recht.
De persoonsgegevens zijn verzameld in het kader van het aanbieden van een app of website-account aan een kind, waarvoor het kind vanaf 16 (of sommige landen 13) jaar toestemming heeft gegeven. Deze situatie is met name beschreven om te waarborgen dat kinderen die zich op hun jonge leeftijd nog niet goed bewust waren van de consequenties, de mogelijkheid krijgen die gegevens van internet te laten verwijderen.

Wat moet u daarna nog doen?

Wanneer de organisatie de gegevens openbaar heeft gemaakt, geldt het volgende: wanneer blijkt dat de organisatie de gegevens moet wissen, dient hij andere organisaties ervan op de hoogte te stellen dat deze persoon heeft verzocht iedere koppeling naar of kopie of reproductie van de persoonsgegevens te wissen. U moet hierbij (technische) maatregelen nemen om deze verplichting na te komen, maar mag daarbij de beschikbare technologie en middelen in acht nemen. Deze bepaling is geschreven om het recht op vergetelheid te versterken in een online omgeving.

De AVG heeft nog een extra staartje voor het recht op gegevenswissing in artikel 19. U moet als organisatie namelijk iedere ontvanger in kennis stellen van de wissing. Van deze verplichting bent u alleen uitgezonderd wanneer het onmogelijk of onevenredig veel inspanning vergt. Indien uw klant vraagt om een lijst met ontvangers, dient u deze te geven.

Wanneer hoeft u niet te wissen?

Zoals u van wetgeving wellicht inmiddels gewend bent, zijn er ook weer uitzonderingen. Het bovenstaande (zowel de verplichting om te wissen als de verplichting om andere organisaties te laten weten dat iemand heeft verzocht om verwijdering) is niet van toepassing in de volgende gevallen.

Wanneer de verwerking nodig is:

om het recht op vrijheid van meningsuiting en informatie uit te oefenen;
om een wettelijke plicht van Europees of Nederlands recht na te komen die voor uw organisatie geldt of om uw publieke taak uit te oefenen;
om redenen van algemeen belang in het kader van volksgezondheid;
met het oog op archiveringsdoeleinden (algemeen belang, wetenschappelijk of historisch onderzoek of statistiek). Deze uitzondering is genuanceerder want geldt alleen in het geval dat wissen van deze gegevens de verwezenlijking van deze doeleinden onmogelijk of ernstig in het gedrag dreigt te komen.

Wat heeft dit te maken met het Recht om vergeten te worden?

In de AVG staat achter de titel van artikel 17 “(Right to be forgotten)” en in de Nederlandse vertaling “(Recht op vergetelheid)”. Enkelen herinneren zich wellicht nog wel vaag een uitspraak tussen een Spaanse ondernemer en een saleskantoor van Google in Spanje. Deze rechtszaak ging over een ondernemer die telkens als hij zijn naam intypte in Google als een van de eerste zoekresultaten werd geconfronteerd met zijn eerdere faillissement.

De informatie in de krant was juist en ook geplaatst in lijn met wettelijke verplichtingen (bij openbare verkoop is maximale publiciteit de bedoeling om zoveel mogelijk bieders te trekken op last van de minister van Arbeid en Sociale Zaken). De hoogste Europese rechter van de Europese Unie sprak zich uit over de vraag of het recht op gegevenswissing (onder de richtlijn) betekent dat de heer Costeja kon eisen van Google de verwijzingen naar dat krantenartikel te verwijderen, omdat de informatie hem schade berokkende en wenste op een gegeven moment vergeten te worden.

De Europese rechter geeft aan dat via het recht op gegevenswissing en het recht op bezwaar Costeja van Google mag eisen dat de links worden verwijderd. Met het oog op de AVG is dit eigenlijk slechts de uitleg van artikel 17 lid 1 sub c AVG. De omstandigheid of hij nu daadwerkelijk schade had speelde daarbij geen rol. De kern van de afweging tussen de (economische) belangen van de zoekmachine en de grondrechten van Costeja in het kader van de gevoeligheid van de informatie over zijn faillissement en het feit dat de informatie zestien jaar daarvoor is gepubliceerd. Sinds die tijd kennen we via de zoekmachine ook citaten als “Sommige resultaten zijn mogelijk verwijderd op grond van Europese wetgeving inzake gegevensbescherming.” Costeja heeft dus op juridisch vlak zijn gelijk behaald, echter zullen inmiddels veel (meer) mensen van zijn situatie afweten dan hij had gewenst.

In een samenleving waar de opslagcapaciteit het bewaren van gegevens niet meer begrensd, hebben we sturing gekregen vanuit de privacywetgeving. Met de AVG is die sturing iets concreter geworden. Het recht op gegevenswissing stelt personen in staat organisaties alert te houden op wanneer het tijd wordt schoon schip te maken. Tegelijkertijd blijft er de ruimte voor organisaties om gegevens wél te bewaren wanneer daar goede redenen voor zijn. Idealiter zijn organisaties zich daar zelf ook al goed bewust van. Het is aan te raden de komende tijd eens te bekijken wat de status hiervan is binnen uw organisatie, voordat u dat vergeet!

Bron: pmppartners.nl, 9 januarai 2018

De AVG in Beeld: Recht van inzage (van onze Privacy Management Partners)

Posted on by in Nieuws with Reacties uitgeschakeld

In de blogserie “De AVG in Beeld” zullen wij met het oog op ons initiatief Privacy Proof de specifieke onderdelen van de Algemene Verordening Gegevensbescherming (AVG) behandelen en verhelderen. In deze blog behandelen we het recht van inzage. Wat zijn de spelregels vanuit de AVG en wat betekent dat voor uw organisatie?

Het is al langer bekend dat personen, waarvan gegevens worden verwerkt, beschikken over bepaalde ‘rechten van betrokkenen’. Na het recht op dataportabiliteit
en gegevenswissing is het in deze blogreeks nu de beurt aan het inzagerecht.

Recht van inzage

Al onder de bestaande privacywetgeving kunnen personen inzageverzoeken doen bij alle organisaties en instanties die hun gegevens gebruiken. In praktijk blijkt dat dit recht soms wordt gebruikt in context van een discussie die weinig te maken heeft met privacy. Daarbij heeft het gros van de organisaties vaak geen efficiënte manier om op dit soort verzoeken in te gaan. Dat leidt tot frustratie en veel extra werk.

Wat valt onder het inzagerecht?

In lijn met de AVG kan een persoon slechts informatie opvragen wanneer dit eigen persoonsgegevens zijn. Gaat het om gegevens van een kind? Dan mag totdat het kind 16 is de ouder(s) of wettelijke vertegenwoordiger een verzoek doen. Daaronder vallen in ieder geval alle persoonsgegevens die geautomatiseerd worden verwerkt. Voor de offline-gegevens geldt dat wanneer ze in een ‘bestand’ (artikel 4 lid 6 AVG) zitten of bedoeld zijn om daarin te worden opgenomen, ook vallen onder de reikwijdte van het inzagerecht.Rechtspraak heeft in het verleden uitgewezen dat juridisch analyses of documenten waarin slechts sporadisch de naam van de persoon voorkomt niet beschikbaar gesteld hoeven te worden als iemand daar om vraagt via het inzagerecht. Persoonlijke interne notities die niet bestemd zijn om in een dossier te worden opgenomen vallen eveneens buiten het inzagerecht.

Is een samenvatting van alle gegevens die u van een persoon heeft in dossiers goed genoeg? Volgens de Autoriteit Persoonsgegevens niet. De toezichthouder heeft in lijn met rechtspraak aangegeven dat daarmee een belangrijk deel van de informatiewaarde verloren gaat.

Wat moet u precies laten inzien?

In uitbreiding van wat er in de huidige privacywet staat, geeft de AVG in artikel 15 een lijst van informatie die u moet verstrekken bij een inzageverzoek:
•doeleinden van verwerking;
• categorie persoonsgegevens;
• (categorie) van ontvangers;
• bewaartermijnen;
• dat de verzoeker het recht heeft gegevens te rectificeren of wissen en de verwerking te beperken of bezwaar te maken;
• dat de verzoeker het recht heeft een klacht in te dienen bij de toezichthouder;
• wanneer u de gegevens van een andere partij heeft verkregen, alle beschikbare informatie over deze bron;
• wanneer de gegevens buiten de grenzen van EU/EER zijn gegaan, welke passende waarborgen zijn genomen.Waar onder de huidige richtlijn lidstaten zelf nog mochten bepalen of een recht op kopie van persoonsgegevens bestond, is de AVG daar helder in. Artikel 15 lid 3 AVG geeft aan dat u een kopie dient te verstrekken.

Mag u inzage weigeren?

Jazeker. Er zijn twee scenario’s denkbaar waarbij u nee kunt verkopen richting personen die hun inzageverzoek indienen. Ten eerste wanneer u geen persoonsgegevens verwerkt van die persoon, of zo minimaal dat ze vallen onder de uitzonderingen zoals hierboven in deze blog geschetst.Ten tweede geldt er een uitzondering voor het recht van kopie. In artikel 15 lid 3 AVG staat dat het recht om een kopie te verkrijgen geen afbreuk mag doen aan de rechten en vrijheden van anderen. Daarbij kunt u denken aan het recht van privacy (bescherming van persoonsgegevens) van een andere persoon, maar ook aan bedrijfsgeheimen of intellectueel eigendom. De weigering dient u wel goed te beargumenteren én te vertellen tegen degene die het inzageverzoek heeft gedaan.In Nederlandse uitvoeringswet AVG is nog een extra uitzondering neergelegd voor archiefbescheiden. Het inzagerecht is niet van toepassing op archieven die in een archiefbewaarplaats zijn opgenomen. Voor de overige archiefbescheiden geldt dat wanneer de verzoeken zodanig ongericht zijn, deze mogen worden geweigerd.

Los van de vraag of u kúnt weigeren met een goede reden, moet u onverwijld maar in ieder geval binnen een maand reageren op het verzoek van uw klant of cliënt. Die termijn ligt vast in de AVG, dus daar zijn geen eigen ruimere termijnen voor mogelijk.

Maar: vergeet niet na te denken

Misschien wel het allerbelangrijkste van de praktische uitvoering van het recht op inzage is het volgende: de identificatie van de verzoeker. Voorkom dat de personen binnen uw organisatie gegevens delen met onbevoegde personen. Het is verleidelijk om klantgericht een persoon aan een balie of telefoon direct te willen helpen. Maar u zult de eerste niet zijn die daarmee onbewust een datalek veroorzaakt.

Zorg voor interne procedures

De AVG staat in lijn met het accountability-principe dat organisaties regelingen moeten treffen om het gemakkelijker te maken voor personen om hun de rechten van betrokkenen uit te oefenen. Daarbij hint de AVG op mechanismen voor recht op inzage, correctie en verwijdering. U kunt daarbij er vanuit gaan dat personen bij u ook digitaal een dergelijk verzoek moeten kunnen indienen. Heldere en bruikbare interne procedures kunnen hierbij helpen zonder de klantvriendelijkheid te ondermijnen.

Bron: pmppartners.nl, 9 januari 2018