Posts Under: Nieuws

De AVG in Beeld: het BSN (van onze Privacy Management Partners)

De AVG in Beeld: het BSN (van onze Privacy Management Partners)

Posted on by in Nieuws with Reacties uitgeschakeld voor De AVG in Beeld: het BSN (van onze Privacy Management Partners)
In de blogserie “De AVG in Beeld” zullen wij met het oog op ons initiatief Privacy Proof de specifieke onderdelen van de Algemene Verordening Gegevensbescherming (AVG) behandelen en verhelderen. In deze blog gaan we in op het burgerservicenummer (BSN). Verandert er iets met de komst van de AVG?
Wanneer u dit leest bent u misschien net zelf op vakantie geweest of staat u aan de vooravond daarvan. Voor de gevorderde privacyprofessional komen daar interessante situaties bij kijken. Want hoe zit dat met het afgeven van uw paspoort of ID bij de receptie? Het kan ook een groot onderwerp zijn in de dagelijkse gang van zaken binnen uw organisatie. Is het BSN voor u de manier om een persoon te authentiseren of werkt het goed om datakwaliteit te borgen? Mag dat wel? En als we het dan toch erover hebben: dat BSN, is dat nu een bijzonder persoonsgegeven of niet?

Wbp versus AVG

In de Richtlijn staat in artikel 8 lid 7 dat lidstaten de voorwaarden vaststellen voor het rechtmatig gebruik van een nationaal identificatienummer of enig ander identificatiemiddel van algemene aard. Lees: ruimte voor lidstaten om eigen voorwaarden te stellen voor het verwerken van dit soort persoonsgegevens. Lidstaten mogen dus al sinds de Richtlijn zelf bepalen óf en zo ja welke voorwaarden gesteld worden aan een nationaal identificatienummer. Het BSN is daar bij uitstek het bekendste voorbeeld van, maar ook andere nationale identificatienummers zoals het BIG-nummer voor geregistreerde beroepen vallen hieronder.

In de Wet bescherming persoonsgegevens (Wbp) staat in artikel 24 dat ‘een nummer dat ter identificatie van een persoon bij wet is voorgeschreven, bij de verwerking slechts gebruikt wordt ter uitvoering van de betreffende wet dan wel voor doeleinden bij de wet bepaald’. Oftewel: het BSN mag u alleen gebruiken als er ergens in een wet staat dat uw organisatie die bevoegdheid heeft óf als het in lijn is met doeleinden van de wet. Dit is dus de Nederlandse regel die is opgesteld binnen de ruimte die Europa heeft gegeven.

In de Uitvoeringswet AVG (artikel 44 – nummering volgens consultatieversie van december 2016) staat precies hetzelfde als in de Wbp. Dat is niet gek, want eerder schreven we al dat Nederland de ruimte die lidstaten krijgen van de AVG beleidsneutraal doorvoert. Maar wat verandert er dan?

In de AVG staat dezelfde bepaling als in de Richtlijn, maar nu in artikel 87. Waarom telkens die verwijzingen naar de artikelnummers? Omdat dát eigenlijk de grootste verandering is. Onder de Richtlijn is de bepaling over nationale identificatienummers een lid van het artikel over bijzondere persoonsgegevens. In de Wbp zien we daarom de Nederlandse regel terug in de paragraaf “De verwerking van bijzondere persoonsgegevens.” In de AVG staat de bepaling over nationale identificatienummers (en de ruimte die lidstaten hebben daar voorwaarden voor te stellen) in het hoofdstuk “Bepalingen in verband met specifieke situaties op het gebied van gegevensverwerking”. Ook in de Uitvoeringswet AVG zien we geen relatie meer tussen bijzondere persoonsgegevens (ras, etniciteit, politieke opvattingen, etc.) en het nationaal identificatienummer.

Kortom, onder de AVG is het BSN dus géén bijzonder persoonsgegeven meer. Desondanks blijft (voor Nederland) het verbod voor verwerking van BSN gelden zoals we dit al jaren kennen. Dit verbod kan alleen worden opgeheven door een wettelijke bevoegdheid of handelen met BSN naar een doeleinde van zo’n wet. Bijzondere persoonsgegevens hebben nog een lijstje met uitzonderingsredenen waardoor het verbod in sommige gevallen niet meer geldt. Voor nationale identificatienummers gelden deze niet, dus u hoeft niet eens te denken aan de vaak geopperde toestemming, hoe uitdrukkelijk ook!

 

Identiteitsfraude: de waarde van een veilig BSN

De meeste argumenten waarom we het BSN moeten beschermen gaan over (het risico op) identiteitsfraude. Via ANP heeft het Centrum Meldpunt Identiteitsfraude (CMI) dit jaar nog laten weten 1.724 meldingen ontvangen te hebben in 2016 – dit is meer dan het dubbele dan in 2015 werd gemeld. De tweede grootste categorie van meldingen bestond uit fraude met een paspoort (316), gevolgd door de ID-kaart (223) of het rijbewijs (152). De precieze cijfers van 2016 zijn nog niet algemeen beschikbaar, maar kijkend naar het lijstje uit 2015 vallen het ID en het BSN wel op.

bsn

De nieuwe cijfers geven volgens het CMI overigens niet aan dat identiteitsfraude toeneemt, maar in ieder geval dat het vaker wordt gemeld. Overheidscampagnes besteden de laatste jaren meer en meer aandacht in de media aan bescherming van persoonsgegevens (liever gezegd de schandalen daaromtrent) en dragen bij aan een groter bewustzijn en kritische houding. Ook is er de KopieID app van de overheid om gemakkelijk en snel uitgangspunten van richtsnoeren van de Autoriteit Persoonsgegevens uit 2012 (toen nog CBP) te volgen. Daarbij is het wegstrepen van het BSN de vaste prik.

Wat kan nu gebeuren als het BSN van uw klanten verkeerd terecht komt? Of als een haarscherpe kopie van een ID in verkeerde handen komt? Een naam, geboortedatum en BSN is voor kwaadwillende personen voldoende om een lening aanvragen of een telefoonabonnement afsluiten. Maar ook het frauderen met een namaakversie van een ID-bewijs kan nare gevolgen hebben omdat daar een veel vervelendere situatie achter kan zitten, zoals zware criminaliteit waarvoor een andere identiteit uitkomst biedt. Tot slot is het BSN in haar huidige hoedanigheid een nummer dat de spil is in het web in overheidscommunicatie. Dat betekent dat wanneer ergens een foute identiteit schuilt achter een BSN-gebruik, door verschillende koppelingen het probleem voor de echte persoon achter het BSN snel kan groeien.

 

En de praktijk?

Het gebruik van het BSN is vaak een punt van discussie. In de praktijk komt de juridische werkelijkheid soms in de knel. Het strenge regime laat de nummers slechts door wettelijk bevoegde organisaties verwerken. Daarnaast zien we (wettelijke) verplichtingen voor gebruik van het nummer, soms zelfs in openbare communicatie. De Autoriteit Persoonsgegevens heeft onlangs aangegeven om dergelijke situaties te onderzoeken. Daarbij gaat het over het BTW-nummer van zzp’ers dat deels uit hun BSN bestaat.

Hoe dan ook, de AVG (eigenlijk sec de Nederlandse Uitvoeringswet AVG) toont opnieuw een stukje juridische waarheid met daarachter een veel complexere praktijk. Daarvoor worden de meest creatieve oplossingen bedacht, bijvoorbeeld het vervangbaar maken van het BSN zoals je met een pincode mogelijk is . Anderen berusten in de gedachte dat met strengere handhaving het probleem van het BSN zal vervagen.

 

Waarom (en hoe) dan wel?

Bekijk voor uw organisatie of en waar in de wet staat dat het BSN verwerkt moet worden. In de Wet algemene bepalingen BSN of Wet Aanvullende Bepalingen Verwerking Persoonsgegevens in de Zorg staan de meeste, maar het kan ook dat in sectorale wetgeving de bevoegdheid is toegedicht aan organisaties. De laatste wet heette tot 1 juli overigens de Wet gebruik BSN in de zorg. Werkt u bij een gemeente, zorginstelling, zorgverzekeraar of onderwijsinstelling? Dan zult u het BSN moeten verwerken, maar blijf daarbij wel altijd goed in de gaten houden met welk doel u het BSN verwerkt. Voor onderwijsinstellingen is het gebruik van het BSN verplicht, maar onder de noemer onderwijsnummer of persoonsgebonden nummer (PGN). Het BSN blijft een nummer dat bedoeld is om Nederlandse burgers te identificeren, en kan dus niet als lidnummer in uw systemen of briefkenmerknummer worden gebruikt.

Natuurlijk zijn er ook voordelen van het gebruik van het BSN. Sommige organisaties gebruiken (on)bewust het BSN voor eigen doeleinden of zonder wettelijke grondslag. Het BSN is namelijk een handig nummer, bijvoorbeeld als blijkt dat ouders hun pasgeboren tweeling dezelfde initialen hebben gegeven. Onder de huidige en aankomende wetgeving zorgt deze efficiëntie echter niet voor een rechtmatige verwerking.

Zijn er dan echt geen manieren om het BSN te verwerken zonder wettelijke bevoegdheid? Nee, in principe niet. Ook het vervormen of versleutelen van een BSN blijft een onrechtmatige verwerking zonder grondslag uit de wet. Toch zijn er zijn wel praktische oplossingen denkbaar om het unieke en handige karakter van een BSN te gebruiken. De omslag tussen BSN en een ander uniek nummer moet daarvoor altijd bij een organisatie plaatsvinden die wél deze bevoegdheid heeft.

Bron: pmppartners.nl, 9 januari 2018

De AVG in Beeld: biometrische gegevens (van onze Privacy Management Partners)

De AVG in Beeld: biometrische gegevens (van onze Privacy Management Partners)

Posted on by in Nieuws with Reacties uitgeschakeld voor De AVG in Beeld: biometrische gegevens (van onze Privacy Management Partners)
In de blogserie “De AVG in Beeld” zullen wij met het oog op ons initiatief Privacy Proof de specifieke onderdelen van de Algemene Verordening Gegevensbescherming (AVG) behandelen en verhelderen. In deze blog gaan we in op biometrische gegevens. Een nieuwkomer onder de AVG, in de categorie bijzondere persoonsgegevens. Wat moet u daar over weten?

Kon u het rijtje met bijzondere persoonsgegevens al opdreunen onder de huidige privacywetgeving?

Dan weet u vast ook al dat er twee nieuwe soorten persoonsgegevens bij zijn gekomen onder de AVG. Naast genetische gegevens vinden we ook de zinsnede “biometrische gegevens met het oog op de unieke identificatie van een persoon” in artikel 9 lid 1 AVG. De kwalificatie van een bijzonder persoonsgegeven betekent dat een verbod op verwerking geldt voor deze gegevens. Natuurlijk mogen ze onder omstandigheden wel gebruikt worden, maar dan moet wel aan specifieke voorwaarden voldaan zijn. Daar gaan we in deze blog op in.

Wat zijn biometrische gegevens?

De AVG omschrijft in haar definities biometrische gegevens als “persoonsgegevens die het resultaat zijn van een specifieke technische verwerking met betrekking tot de fysieke, fysiologische of gedragsgerelateerde kenmerken van een natuurlijke persoon op grond waarvan eenduidige identificatie van die natuurlijke persoon mogelijk is of wordt bevestigd, zoals gezichtsafbeeldingen of vingerafdrukgegevens” (artikel 4 lid 14).

Kortom, we hebben het over meetgegevens van personen die specifieke eigenschappen bevatten. Andere voorbeelden van biometrische gegevens zijn de iris, het netvlies, de geometrie van een handomtrek, stemgeluid, handschrift en de manier dat iemand zich voortbeweegt.

In de AVG-overwegingen vinden we terug dat foto’s alleen onder de definitie van biometrische gegevens vallen wanneer zij worden verwerkt met behulp van bepaalde technische middelen die de unieke identificatie of authenticatie van een natuurlijke persoon mogelijk maken. Het smoelenboek met collega’s zal dus geen verwerking van bijzondere persoonsgegevens zijn. Een nieuw systeem waarbij alle collega’s door middel van gezichtsherkenning hun computer kunnen unlocken, valt wel onder de bijzondere categorie waar een verbod op rust.

Wat zijn de uitzonderingen voor het verwerken van biometrische gegevens?

Naast de uitzonderingsgrondslagen uit de AVG in artikel 9 lid 2 kunnen lidstaten bijkomende voorwaarden of beperkingen stellen voor de verwerking van biometrische gegevens. In de Uitvoeringswet AVG (consultatieversie, december 2016) heeft Nederland voorlopig voorzien in extra uitzonderingsmogelijkheid in artikel 26 Uitvoeringswet AVG.

Het verbod op de verwerking van biometrische gegevens (verwerkt met het oog op unieke identificatie van een persoon) kan voor een specifiek proces worden opgeheven indien dit “geschiedt met het oog op de identificatie van de betrokkene en slechts voor zover dit doel noodzakelijk en proportioneel is voor behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of een derde.” Er dient dus wel een juiste belangenafweging plaats te vinden, maar binnen deze kaders ontstaat er onder deze consultatieversie van de Uitvoeringswet ruimte voor het gebruik van biometrie onder Nederlandse wetgeving.

Deze uitbreiding van de AVG-uitzonderingen is een logische stap gelet op de situatie waarin veel organisaties nu of in nabije toekomst met biometrische toegangscontrole werken voor locaties. Zonder de uitzondering in de Uitvoeringswet AVG is een van de weinige opties voor rechtmatig gebruik van biometrie de uitdrukkelijke toestemming. Die is vaak problematisch gelet op de werkgever-werknemer verhouding. Toestemming is in die gevallen bijna nooit ‘vrij’ gegeven.

Verplichte DPIA bij biometrische gegevens

In overweging 91 van de AVG staat nog iets interessants. Daar wordt uitgelegd wanneer u een Data Protection Impact Assessment (of (D)PIA, of in het Nederlands GEB) moet uitvoeren indien biometrische gegevens worden verwerkt. Daar staat:

“Een gegevensbeschermingseffectbeoordeling dient ook te worden gemaakt wanneer persoonsgegevens worden verwerkt met het oog op het nemen van besluiten met betrekking tot specifieke natuurlijke personen na een systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen die is gebaseerd op de profilering van deze gegevens, of na de verwerking van bijzondere categorieën van persoonsgegevens, biometrische gegevens, of gegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen.”

Met andere woorden:  het lijkt erop dat niet alle biometrische gegevens per definitie bijzondere persoonsgegevens zijn, maar alleen de biometrische gegevens die worden gebruikt met het oog op de unieke identificatie van een persoon. Die bijzin in artikel 9 lid 1 AVG staat daar niet voor niets. Het is goed mogelijk dat de AVG hier dus voor het uitvoeren van een DPIA een bredere interpretatie dan biometrische gegevens als bijzonder persoonsgegeven heeft bedoeld.

Beveiliging met biometrie

Los van het soms nog wat onduidelijke juridische kader, speelt uiteraard ook de praktijk nog een rol. Al een langere tijd tonen veel initiatieven succesvol aan dat ook beveiliging met biometrie niet 100% waterdicht is. Zo kunnen slimme jongens met play-doh, lijm of foto’s van vingerafdrukken al een eind komen. Maar wie weet ziet de AP dat nog door de vingers.

 

Bron: pmppartners.nl, 9 januari 2018
De AVG in Beeld: profilering (van onze Privacy Management Partners)

De AVG in Beeld: profilering (van onze Privacy Management Partners)

Posted on by in Nieuws with Reacties uitgeschakeld voor De AVG in Beeld: profilering (van onze Privacy Management Partners)

<

In de blogserie “De AVG in Beeld” zullen wij met het oog op ons initiatief Privacy Proof de specifieke onderdelen van de Algemene Verordening Gegevensbescherming (AVG) behandelen en verhelderen. In deze blog gaan we in op profilering. Als u zich aan de AVG wilt houden, moet u bij profilering datakwaliteit, transparantie en menselijkheid in overweging nemen. Wat moet u hier over weten?
Algoritmes die discrimineren, adverteerders die meer van je weten dan je eigen vader, en fatale fouten als deze:
“Vorige maand is Amerikaanse gevangene Lamonte Mims vrijgelaten op basis van de voorspelling van het algoritme genaamd PSA: Mims kan veilig vrijgelaten worden zonder zorgen voor een terugval. Vijf dagen later vermoordde en beroofde hij een 71 jaar oude man. Een van de medewerkers was vergeten een eerder arrest in het systeem te zetten.” (-Wired.com, vertaald)
Profilering staat vaak in de schijnwerpers, maar niet altijd negatief: het zal bijvoorbeeld niet lang meer duren voor we gepersonaliseerde hotelkamers gaan zien. Dimitri Tokmetzis van de Correspondent noemt het zelfs ‘standaardgereedschap’ (de digitale schaduw). En omdat profilering hand in hand gaat met big data en persoonsgegevens, kan ook de AVG er niet omheen. Artikel 22 behandelt expliciet profilering, als onderdeel van besluitvorming op basis van geautomatiseerde verwerking, wanneer het besluit rechtsgevolgen voor iemand heeft of andere serieuze gevolgen heeft.
De Nederlandse overheid gebruikt nu geen profilering voor vervroegde vrijlatingsbesluiten, maar zet het wel in voor andere gebieden waar serieuze gevolgen mogelijk zijn. Dit zijn bijvoorbeeld Jeugdzorg, de Belastingdienst, fraudedetectie (SyRI), onderwijs, en veiligheid (het raffinaderij-concept bij de Politie) [2]. Profilering is onderdeel van onze samenleving; hoe zorgt de AVG ervoor dat problemen als die van Mims zo veel mogelijk achterwege blijven?
Datakwaliteit
Een vergeten arrest veroorzaakt een onterecht groen licht voor vrijlating: kleine menselijke fouten kunnen grote gevolgen hebben voor de betrokkene of voor anderen. En niet alleen fouten kunnen funest zijn: denk je eens in dat uw kleine zusje/dochter op uw Netflixprofiel series gaat kijken. Zou u de aanbevelingen nog vertrouwen?
Gegevens vormen de basis voor besluiten, en moeten dus correct zijn. Hoe zorg je daarvoor? Periodieke checks, en reminders voor betrokkenen om hun gegevens actueel te houden, zijn een logische eerste stap. Maar ook een efficiënte inrichting van het inzage– en correctierecht, die op het eerste gezicht voor de betrokkene zijn bedoeld, kunnen de organisatie hierin ondersteunen.
Natuurlijk kan geen organisatie al zijn gegevens altijd actueel houden. De AVG vereist ook alleen dat er redelijke maatregelen zijn genomen voor de datakwaliteit, zoals die hierboven beschreven. Wat rest om ernstige gevolgen veroorzaakt door onjuiste informatie te voorkomen, is menselijk bewustzijn. Wanneer een verwerking rechtsgevolgen of andere serieuze gevolgen voor iemand heeft, moet het uiteindelijke besluit altijd genomen worden door een mens. Een persoon die erkent dat ook een algoritme het fout kan hebben.
Transparantie
Iedereen weet wat profilering is, maar niet iedereen heeft door wanneer hij geprofileerd wordt. Volgens de Autoriteit Persoonsgegevens vertellen organisaties niet altijd dat ze aan profilering doen. In de verplichte privacyverklaring wordt profilering verbloemd als:
  • (risico)profiel;
  • gedragsanalyse;
  • persoonlijke/gepersonaliseerde aanbiedingen;
  • op basis van uw (surf)gedrag of (surf)gedrag van anderen;
  • interesse-gebaseerd;
  • gebaseerd op uw voorkeuren;
  • segmentering/segment(en);
  • online behavioural advertising/targeting.

En bij een overheidsorganisatie als:

  • risico-inschatting;
  • risicogericht controleren.

Over profilering moet helder en begrijpelijk worden gecommuniceerd. Naast de informatie die de verantwoordelijke bij een ‘normale’ verwerking aan de betrokkene duidelijk moet maken, is er ook de verplichting om nuttige informatie over de onderliggende logica, en de te verwachten gevolgen voor de betrokkene te geven. Nuttige informatie bestaat bijvoorbeeld uit de gegevens die het algoritme meeneemt in het besluit, hoe zwaar elk van deze gegevens meeweegt, en de (typen) uitkomsten.

Het probleem met transparantie

In het voorbeeld van Mims heeft de ontwikkelaar van de PSA-software, The Arnold Foundation, de code niet willen vrijgeven. Algoritmes zijn vaak commerciële producten, ook als ze door overheden worden gebruikt. De code en logica daarvoor willen de ontwikkelaars begrijpelijkerwijs niet zomaar vrijgeven. Daarbij: wat zou de gemiddelde persoon aan een code hebben? En kan een gemeentemedewerker uitleggen aan een bezorgde betrokkene hoe het algoritme werkt? Het vrijgeven van de code helpt concurrenten waarschijnlijk meer dan betrokkenen. Daarom kan het advies van de AVG hier aangehouden worden: maak de logica van het algoritme duidelijk, en laat alle technische onbegrijpelijkheden achterwege. Het nut van de informatie voor de betrokkene staat voorop.

Menselijkheid

Het belangrijkste principe rondom profilering in de AVG is dat de menselijke waardigheid en empowerment wordt behouden. De organisatie kan niet de verantwoordelijkheid voor het besluit bij het algoritme leggen: Iedere betrokkene heeft recht op een menselijke tussenkomst bij een besluit met significante gevolgen. Daarbij mag na een dergelijk besluit de betrokkene zijn of haar eigen standpunt kenbaar maken aan de verantwoordelijke, en mag het besluit aanvechten. Men moet beseffen dat de inrichting van een algoritme het resultaat is van een keuze voor het meewegen van bepaalde factoren voor een beslissing (en daarmee het weglaten van andere). Kortom, het is goed te realiseren dat een algoritme geen eenduidige waarheid geeft.

Bron:pmppartners.nl, 9 januari 2018
Oprichter Fox-IT: ‘Gevaar voor sluizen wordt onderschat’

Oprichter Fox-IT: ‘Gevaar voor sluizen wordt onderschat’

Posted on by in Nieuws with Reacties uitgeschakeld voor Oprichter Fox-IT: ‘Gevaar voor sluizen wordt onderschat’

 

Minister Cora van Nieuwenhuizen van Infrastructuur en Waterstaat meldde dinsdag dat sluizen die voor de samenleving cruciaal zijn goed beveiligd worden tegen hackers. Het online beveiligingsbedrijf FoX-IT diverse heeft echter diverse sluizen kunnen hacken, vertelde oprichter Ronald Prins tijdens het Radio1 -programma Langs de Lijn en Omstreken

Gesprek met waterschappen over digitale bedreigingen

Binnenlands Bestuur meldde afgelopen vrijdag dat software voor de besturing van sluizen doorgaans maar 5 jaar ondersteund wordt met beveiligingsupdates, terwijl de software veel langer mee gaat Onder meer SGP en CDA stelden naar aanleiding van het artikel de minister vragen. Het kabinet gaat woensdag bij het bestuurlijk overleg Water in gesprek met waterschappen om te praten over digitale bedreigingen, maar de minister wilde het beeld wegenemen ‘dat er nu van alles mis zou zijn’. Bij de kritische infrastructuur wordt er volgens Van Nieuwenhuizen niet met verouderde software gewerkt. Zorgen over de ‘echt vitale onderdelen’ zijn volgens haar niet nodig.

Zestig sluizen tegelijk

Prins, die afscheid neemt als directeur bij Fox-IT dat onder meer hofleverancier is van de AIVD en diverse andere Rijksdiensten, is weinig gerust door de antwoorden van de minister, zo maakt hij duidelijk in de uitzending van dinsdagavond. Naar aanleiding van het antwoord van de minister zegt hij: ‘Dan stel ik me zo voor: een mannetje in Zeeland dat in een auto rondrijdt, die binnen 30 minuten bij een sluis kan zijn en dingen op handbediening kan overnemen, maar een hacker neemt zestig sluizen tegelijk.’

Onderschatting een probleem

Fox-IT probeert op verzoek van provincies en waterschappen regelmatig sluizen en te hacken en slaagt daar regelmatig in, stelt Prins bovendien. Een probleem van de overheid is volgens hem de grote onderschatting van het risico. ‘Want als je onderkent dat het een probleem is, moet je ook met een oplossing komen en dat vinden we heel moeilijk.’ Prins stelt tot slot dat hij een aantal voorbeelden kent van sluizen die te hacken zijn. ‘Ik zal ze niet noemen, maar we schrikken elke keer weer van wat er in potentie mogelijk is.’

 

Bron: Binnenlandsbestuur.nl, 19 december 2017
Problemen rondom AVG onvermijdelijk

Problemen rondom AVG onvermijdelijk

Posted on by in Nieuws with Reacties uitgeschakeld voor Problemen rondom AVG onvermijdelijk

 

De VNG heeft in aanloop naar de inwerkingtreding van de Algemene Verordening Gegevensbescherming (AVG) een stappenplan ontwikkeld voor gemeenten. De vereniging stelt in het document dat het onvermijdelijk is dat gemeenten in de praktijk tegen vragen en problemen aanlopen.

Niet zelf het wiel uitvinden

Volgens VNG kan het daarom helpen om ervaringen en kennis over de AVG uit te wisselen, bijvoorbeeld slimme oplossingen voor problemen. ‘ Door met elkaar te praten, discussiëren en elkaar te helpen voorkomen we dat iedereen het wiel zelf uit moet vinden, en stimuleren we nadenken over privacy’, schrijft de organisatie. De VNG raadt gemeenten aan om als eerste een Functionaris Gegevensbescherming (FG) aan te stellen. Deze functionaris is een interne toezichthouder en heeft een informerende en adviserende taak. Ook kan de FG kan fungeren als centraal aanspreekpunt in het voorbereidingsproces.

Privacy-beleid opstellen en uitdragen

VNG beschrijft in het rapport nog een viertal stappen, waaronder een privacy-beleid opstellen en uitdragen. ‘Privacy is een onderwerp dat van belang is voor alle medewerkers van een gemeente door de gehele gemeentelijke organisatie en niet alleen van de FG of privacy officer’, schrijft de VNG. ‘Dit houdt bijvoorbeeld in dat het college van B&W eindverantwoordelijk is, de gemeenteraad zijn controlerende taken kan uitoefenen, de lijnmanagers gedelegeerd verantwoordelijk zijn en er duidelijke privacyinstructies worden gegevens aan de professionals op de werkvloer. Zo komt privacy in de hele organisatie op de kaart.’

Modelovereenkomst

Het bijhouden van een register van verwerkingen en het aanpassen van werkprocessen ook opgenomen in het stappenplan. Een laatste stap is afspraken met derden maken. De VNG heeft onder meer een model verwerkersovereenkomst opgesteld dat gemeenten een handvat biedt om de eigen verwerkersovereenkomst met derde partijen vorm te geven.

Het stappenplan is hier te vinden

Bron: Binnenlandsbestuur.nl, 4 december 2017
Nederland is goed op weg met AVG

Nederland is goed op weg met AVG

Posted on by in Nieuws with Reacties uitgeschakeld voor Nederland is goed op weg met AVG

ECP en VKA presenteren Nationale Privacy Benchmark 2017

In 2017 hebben Nederlandse organisaties werk gemaakt van privacybescherming ten aanzien van de aankomende Algemene Verordening Gegevensbescherming (AVG). Twee derde van de Nederlandse organisaties hebben de rol van de functionaris gegevensbescherming (fg) belegd. Dat is een vooruitgang ten opzichte van vorig jaar. Toen was de fg-rol bij slechts 35 procent belegd. Het percentage ligt in de publieke sector iets lager dan in de private sector (respectievelijk 61 procent en 72 procent).

Dat blijkt uit de Nationale Privacy Benchmark 2017 van adviesbureau Verdonck, Klooster & Associates (VKA) en ECP | Platform voor de Informatiesamenleving. De partijen ondervroegen juristen, privacy officers, beleidsmedewerkers, ict’ers of bestuurders van 97 organisaties naar privacybescherming en AVG-gereedheid.

De organisaties schrijven dat het goed beleggen van de rollen en verantwoordelijkheden een belangrijke randvoorwaarde is om te voldoen aan de wetgeving. Uit het onderzoek blijkt dat er ten opzichte van voorgaande jaren (2015 en 2016) vooruitgang is geboekt, maar er zijn nog wel stappen te maken.

Eén van de verbeterpunten is gericht op de verantwoordelijkheden van de medewerkers. Voor 54 procent is het een uitdaging om hen uit te leggen wat er van hen verwacht wordt. In de praktijk wordt deze stap pas aan het einde van het traject ingepland.

Gekeken naar de belangrijkste risico’s voor privacy bescherming, blijkt het menselijk handelen het grootste probleem te vormen. 94 procent ziet het onzorgvuldig menselijk handelen ook als het belangrijkste risico. Dat wordt opgevolgd door het te lang bewaren van data (73 procent) en de afhankelijkheid van leveranciers en ketenpartners (65 procent).

Privacy by Design

Binnen de AVG speelt ook ‘privacy by design’ een rol. Daarbij wordt gekeken naar gebruik van persoonsgegevens en hoe deze passend worden beschermd. Slechts 12 procent zegt dat de medewerkers weten wat privacy by design voor hen inhoudt. De private sector lijkt op dit punt een kleine voorsprong te hebben op de publieke sector. 68 procent zegt hier stappen mee te maken en 20 procent is er nog niet mee bezig. De onderzoekers schrijven dit toe aan de relatieve nieuwheid van dit punt en het open karakter van de norm.

Nationale Privacy Benchmark 2017

VKA heeft voor het derde jaar een enquête onder Nederlandse organisaties uitgevoerd naar privacybescherming en AVG-gereedheid. Dit jaar is het onderzoek gedaan in samenwerking met ECP. Vertegenwoordigers van 97 organisaties, variërend van juristen, privacy officers, beleidsmedewerkers, ict’ers of bestuurders, zijn ondervraagd. Het rapport is hier te downloaden.

Bron: Computable.nl, 21 november 2017
IT gemeente gaat burger meer geld kosten

IT gemeente gaat burger meer geld kosten

Posted on by in Nieuws with Reacties uitgeschakeld voor IT gemeente gaat burger meer geld kosten

De uitgaven die gemeenten aan IT besteden, stijgen gemiddeld per inwoner 7 euro.

De ICT-benchmark gemeenten van M&I Partners laat een trendbreuk zien. De afgelopen jaren lagen de kosten vrij stabiel tussen de 72 en 74 euro per inwoner.
Maar daar kwam in 2016 een einde aan. Meer uitgaven aan personeel en advies rond privacy en informatiebeveiliging zijn de belangrijkste redenen die Partners signaleert in de benchmark voor de kostenstijging.

Bron: AGConnect.nl, 1 november 2017.
Noodplan voor Nederlandse kennis cybersecurity

Noodplan voor Nederlandse kennis cybersecurity

Posted on by in Nieuws with Reacties uitgeschakeld voor Noodplan voor Nederlandse kennis cybersecurity

 

Terwijl overheden van buurlanden dit jaar flink geïnvesteerd hebben in de academische capaciteit op gebied van cybersecurity,
blijft Nederland flink achter. Drie hoogleraren waarschuwen voor een ‘braindrain’ naar omliggende landen en publiceerden een noodplan
om de kennispositie van Nederland te redden.

Budgetten voor onderzoek steeds kleiner

De hoogleraren Herbert Bos, Michel van Eeten, Bart Jacobs zagen Duitsland afgelopen jaar een centrum voor cybersecurity opzetten waar
jaarlijks voor 50 miljoen aan vaste financiering wordt uitgegeven. Ze beschrijven in het noodplan hun verbazing over een gebrek aan Nederlandse
investeringen. ‘Wat doet Nederland? Het korte antwoord: nagenoeg niets. Al sinds 2014 is er geen nationale cybersecurity call for proposals
van NWO meer geweest. De afgelopen jaren is de investering in cybersecurity onderzoek steeds verder teruggelopen, tot ongeveer 1 miljoen euro
per jaar.’ De hoogleraren zien in het buitenland diverse van deze initiatieven. Deze zorgen mogelijk dat er in Nederland een ‘braindrain’ ontstaat,
omdat er in andere landen nieuw hoogopgeleid personeel nodig is, dat geworven wordt onder medewerkers van Nederlandse universiteiten.

Kennispositie strategisch belangrijk

Van de in de miljoenennota uitgetrokken 26 miljoen gaat er niets naar de academische wereld, en hoeveel van de extra 66 miljoen van het
regeerakkoord er naar onderzoek gaat is nog niet bekend. Een goede eigen kennispositie is volgens de hoogleraren van strategisch belang,
de capaciteit om zelf nieuwe generatief cybersecurity-experts op te leiden is nodig om een autonome belangenafweging te maken.

6 miljoen per jaar nodig

De hoogleraren doen in hun noodplan enkele voorstellen om de kennispositie van Nederland op gebied van cybersecurity te behouden.
Om deze uit te kunnen voeren is een fonds van 60 miljoen euro nodig voor een periode van 10 jaar. De voorstellen behelzen onder meer
een competitie van promotietrajecten en postdocs ten behoeve van onderzoekers in tijdelijke dienst, een gerichte ondersteuning
van vaste staf, waaronder assistent hoogleraren, om sterke onderzoeksgroepen te bouwen en de vorming van een ‘pool’ van cybersecurity experts,
om academische en operationele kennis te laten circuleren tussen kennisinstellingen, overheid en bedrijfsleven.

Bron: Binnenlandsbestuur.nl, 30 oktober 2017
Aantal datalekken in openbaar bestuur verdubbelt

Aantal datalekken in openbaar bestuur verdubbelt

Posted on by in Nieuws with Reacties uitgeschakeld voor Aantal datalekken in openbaar bestuur verdubbelt

 

Het aantal datalekken in het openbaar bestuur dreigt dit jaar te verdubbelen. In de eerste zes maanden van 2017 werden al 940 nieuwe gevallen gemeld, tegenover 825 datalekken in heel 2016.

Kosten 4,6 miljoen 

Dat blijkt uit cijfers van de Autoriteit Persoonsgegevens waar de overheden sinds januari 2016 verplicht zijn elk datalek te melden. Uit aanvullend onderzoek van Binnenlands Bestuur blijkt dat gemeenten gemiddeld 32,1 uur aan het melden en verwerken van een lek besteden. Dat resulteert op jaarbasis in een totale kostenpost voor de overheid van 4,6 miljoen euro.

Verkeerde ontvanger

Het meest voorkomende datalek bestaat uit persoonsgegevens die per ongeluk aan een verkeerde ontvanger zijn verstuurd (41 procent). Andere datalekken betreffen persoonsgegevens die per abuis zijn gepubliceerd (13 procent) en kwijtgeraakte of gestolen apparaten of papieren (10 procent). Zo’n 5 procent van de datalekken bestaat uit geslaagde hackpogingen via  ransomware of phishing.

Werklast verschilt sterk

Het aantal uren dat gemeenten in een datalek steken loopt sterk uiteen. Waar sommige in een halve dag klaar waren, kostte het onder meer Nijmegen, Delft en Helmond meerdere weken om een datalek af te handelen. Een mail met één verkeerde bijlage bezorgde de gemeente Enschede zelfs tweehonderd uur werk.

Maatregelen

Na de constatering van een datalek moeten ambtenaren advies geven aan de verantwoordelijke manager. Ook moeten de betrokkenen worden geïnformeerd. Vaak wordt er ook nog extern advies ingewonnen en worden er maatregelen genomen die datalekken in de toekomst moeten voorkomen, zoals bewustwordingscampagnes en encryptie (het coderen en decoderen van gegevens).

Lees het hele verhaal deze week in BB18 (inlog).

 

Bronvermelding:

binnenlandsbestuur.nl, 3 oktober 2017
Gevoelige gegevens 1800 kwetsbare kinderen op straat

Gevoelige gegevens 1800 kwetsbare kinderen op straat

Posted on by in Nieuws with Reacties uitgeschakeld voor Gevoelige gegevens 1800 kwetsbare kinderen op straat

Gevoelige gegevens van bijna 1800 kwetsbare kinderen zijn op straat beland. Het gaat om gedetailleerde informatie, zoals huisadressen en roostertijden van leerlingen in het speciaal onderwijs, blijkt uit onderzoek van RTL Nieuws. De gegevens zijn door 21 gemeenten ten onrechte openbaar gemaakt tijdens de aanbesteding van speciaal leerlingenvervoer. Ouders zijn boos.  Gemeenten zijn verplicht het vervoer van leerlingen in het speciaal onderwijs openbaar aan te besteden. Om chauffeurs een indicatie te geven van de afstand die ze moeten afleggen, verstrekken gemeenten rittenlijsten. Die zijn door iedereen in te zien via de aanbestedingswebsite Tenderned.

Ziekte of beperking

Veel gemeenten anonimiseren de gegevens van leerlingen, maar bij 21 gemeenten gebeurde dat niet. Daardoor werd het mogelijk om de huisadressen, geboortedata, schoollocaties en roostertijden van kwetsbare kinderen in te zien. In sommige gevallen is via het type school de ziekte of beperking van een leerling te achterhalen. Zo valt af te leiden of het gaat om een kind met autisme of een spraakbeperking. Ook notities over rolstoelgebruik vallen onder de openbare documenten.

‘Heel triest’

“Ik vind het heel triest dat dit soort gegevens openbaar zijn”, zegt Peter Berlemon uit Rhenen, de vader van één van de betrokken kinderen. “Ik was hier niet van op de hoogte.” Een moeder die anoniem wil blijven, zegt: “Ik wil absoluut niet dat sommige mensen weten naar welke school mijn zoontje van 4 gaat. Als mensen hier verkeerd mee willen, kunnen ze deze gegevens gebruiken. Ik schrik hiervan.”

Volgens de Autoriteit Persoonsgegevens hebben de gemeenten meer gegevens openbaar gemaakt dan zou moeten. “Wij twijfelen over de noodzakelijkheid van de publicatie van deze persoonsgegevens.” De toezichthouder heeft contact met de betrokken gemeenten opgenomen en gevraagd de bewuste documenten aan te passen of te verwijderen.

Te weinig oog voor privacy

De meeste gemeenten laten in een reactie aan RTL Nieuws weten dat ze geschrokken zijn dat privacygevoelige informatie openbaar is geweest. Ze erkennen dat er te weinig oog was voor de privacy van de leerlingen. Deze week worden alle ouders per brief op de hoogte gebracht. De Rijksdienst voor Ondernemend Nederland is verantwoordelijk voor de website Tenderned en laat weten dat de verantwoordelijkheid voor de verspreiding van de gegevens bij de gemeenten ligt.

 

Bron: RTLNieuws.nl, 8 september 2017