Datum: 21 februari 2019
De PSD2 is een Europese betaalrichtlijn die bedrijven toegang geeft tot het betalingsverkeer van consumenten. Met deze nieuwe wet wil de EU de concurrentie en innovatie in het Europese betalingsverkeer vergroten. Hiermee kunnen bedrijven bijvoorbeeld inzage krijgen in bankrekeningen, bestedingspatronen, stortingen etc…
Maar het gaat nog verder, consumenten kunnen hun betalingsverkeer nu ook door andere bedrijven laten uitvoeren en zullen er straks bedrijven zijn die nieuwe betalingsdiensten starten die mogelijk goedkoper of efficiënter zijn. De banken mogen bedrijven alleen toegang geven wanneer de consument daar expliciet toestemming voor geeft. Deze toestemming kun je ook elk moment weer worden intrekken waardoor diezelfde bedrijven de toegang weer wordt ontzegt.
Bovendien bepaalt de consument ook nog eens wélk bedrijf vervolgens in jouw gegevens mag neuzen en wie niet. Wanneer je helemaal niets doet krijgt niemand anders toegang tot jou gegevens. De consument staat dus aan het roer.
Datum: 21 februari 2019
De Autoriteit Persoonsgegevens (AP) heeft bij politieke partijen informatie opgevraagd over de wijze waarop zij omgaan met persoonsgegevens tijdens verkiezingscampagnes. Het gaat daarbij vooral over de eventuele dienstverleners die partijen helpen bij hun campagnes. Politieke voorkeur is een bijzonder persoonsgegeven dat op basis van de Algemene verordening gegevensbescherming (AVG) extra goed moet worden beschermd. Ook vraagt de AP interactieve kieswijzers scherp te letten op de eisen die worden gesteld aan de mogelijke verwerking van gegevens op dit soort sites.
Er zijn externe organisaties die in opdracht van politieke partijen ondersteunen bij campagnewerkzaamheden. Deze organisaties richten zich mogelijk ook bijvoorbeeld op het benaderen van potentiële kiezers via sociale media.
De informatie die daarbij wordt gebruikt of verzameld kan mogelijk privacygevoelig zijn omdat het bijzondere persoonsgegevens kan betreffen. Politieke partijen zelf mogen hun ledenadministratie gebruiken voor directe contacten met de geregistreerde leden. Die gegevens mogen niet zomaar gedeeld worden met andere organisaties waarmee wordt samengewerkt. Ook van potentiële leden of kiezers mag niet zomaar een bestand worden aangelegd, of persoonsgegevens worden verwerkt, waarbij de politieke overtuiging is vastgelegd.
Het gebruik van persoonsgegevens in politieke campagnes heeft de laatste jaren internationaal veel aandacht gekregen, onder meer door het stiekem verzamelen van persoonsgegevens via sociale media en het heel gericht mikken op specifieke doelgroepen waarbij deze persoonsgegevens illegaal zijn verwerkt.
Verkennend onderzoek
De AP heeft alle politieke partijen die op dit moment zitting hebben in de Tweede Kamer vragen gesteld over de manier waarop ze zaken doen met dienstverleners en de manier waarop persoonsgegevens daarbij worden verwerkt. De toezichthouder richt zich daarbij in het bijzonder op organisaties die door politieke partijen worden ingehuurd met als doel campagne-uitingen gericht in te zetten op (groepen van) personen, zogeheten ‘microtargeting’. Daarnaast richt het onderzoek zich op de vraag of en op welke wijze politieke partijen gegevens over potentiële kiezers registreren.
Bijzondere persoonsgegevens
Bijzondere persoonsgegevens zoals politieke voorkeur maar ook geloofsovertuiging, etniciteit en medische gegevens hebben in de AVG extra waarborgen gekregen. Deze gegevens mogen alleen bij uitzondering verwerkt worden, en ook de vertrouwelijkheid en de beveiliging moet op orde zijn.
Interactieve kieswijzers
De AP heeft in 2017 onderzoek verricht naar de beveiliging van de toegang tot interactieve kieswijzers op internet. In het kader van de naderende verkiezingen, roept de toezichthouder nu iedereen die een dergelijke kieshulp beheert op de eisen voor de bescherming van persoonsgegevens die de AVG daaraan stelt na te leven. Een aantal beheerders van kieswijzers is daar ook via een brief van de AP op gewezen, maar de oproep is nadrukkelijk aan iedereen gericht die een interactieve kieswijzer beheert of overweegt aan te gaan bieden.
Grondslag en beveiliging
In 2018 is de AVG van toepassing geworden. Daarin is nadrukkelijk omschreven wat er moet zijn geregeld als er persoonsgegevens worden verwerkt, waar altijd een wettelijke grondslag voor moet zijn. Interactieve stemwijzers verwerken mogelijk ook politieke opvattingen van de bezoekers van hun websites. De verwerking van deze bijzondere persoonsgegevens is verboden, tenzij één van de wettelijke uitzonderingen op dit verbod van toepassing is. Ook moet de beveiliging van de persoonsgegevens op orde zijn.
Bron: Autoriteit Persoonsgegevens
Datum: 12 februari 2019
Praktijkervaring leert ons dat er veel verwarring is over wat wel of niet onder persoonsgegevens wordt verstaan. De eerste gedachtegang is dat een overleden persoon onder de Algemene Verordening Gegevensbescherming (AVG) valt en dat zijn/haar persoonsgegevens middels de AVG beschermd moeten worden.
De AVG zegt hierover het volgende: “een persoonsgegeven is alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (de betrokkene)” (Artikel 4, AVG). Onder een natuurlijk persoon wordt verstaan iemand die nog leeft, een overleden persoon valt niet onder een natuurlijk persoon. Dit betekent dat informatie ofwel direct over iemand gaat, ofwel naar deze persoon te herleiden is. Gegevens van een overleden persoon of van een rechtspersoon vallen hier niet onder.
Datum: 7 februari 2019
In 2018 zijn er 20.881 datalekken gemeld bij de Autoriteit Persoonsgegevens (AP). Het aantal meldingen is meer dan verdubbeld ten opzichte van 2017. De meeste datalekken werden gemeld door organisaties uit de sectoren zorg en welzijn, openbaar bestuur en financiële dienstverlening. Het aantal meldingen overstijgt het eerder geschatte aantal fors. De AP breidt daarom haar capaciteit uit om meer actie te kunnen ondernemen. Deze acties kunnen leiden tot meer handhavende maatregelen.
In ruim tweederde (63%) van de datalekken die in 2018 zijn gemeld, gaat het om persoonsgegevens die aan een verkeerde ontvanger zijn gestuurd. De overige 37% bestaat uit onder meer kwijtgeraakte persoonsgegevens door bijvoorbeeld een verloren of gestolen laptop of usb-stick, hacking, phishing of malware. Het gaat in de meeste gevallen om NAW-gegevens, gegevens over geslacht, medische gegevens en BSN.
Phishing
Uit de meldingen valt op dat datalekken door hacking en phishing met name voorkomen in de zorg. Bij phishing kan het gaan nep e-mails die afkomstig lijken van een betrouwbare partij. Wanneer op de link wordt geklikt of een bijlage wordt geopend kan een virus, bijvoorbeeld ransomware, worden geïnstalleerd. Dit is een type malware dat gegevens versleutelt en ervoor zorgt dat deze niet meer toegankelijk zijn.
Sectoren met de meeste meldingen
In 2018 kwamen de meeste meldingen van datalekken van organisaties uit de volgende sectoren:
Acties 2018
De AP heeft een palet aan verschillende instrumenten om actie mee te ondernemen. In 2018 heeft de AP in veel gevallen uitleg gegeven aan organisaties over te nemen beveiligingsmaatregelen, heeft gevraagd om aanvullende informatie over het datalek, zijn brieven met normuitleg gestuurd en normoverdragende gesprekken gevoerd met organisaties.
In 2018 heeft de AP bij 298 datalekmeldingen actie ondernomen richting organisaties die een datalek gemeld hebben. Een deel van deze interventies loopt nog. Over het algemeen leidden deze acties tot een waarschuwing en beëindiging van de overtreding. Hieronder vielen ook interventies naar mogelijke datalekken bij organisaties die dit níet hebben gemeld bij de AP. Het komende jaar gaat de AP daar meer aandacht aan besteden.
In november 2018 heeft de AP vervoersdienst Uber een boete van 600.000 euro opgelegd voor het te laat melden van een datalek. Het ging om het te laat melden aan zowel de AP als aan de betrokkenen.
Meldplicht datalekken onder de AVG
Vanaf 25 mei 2018 geldt de Algemene verordening gegevensbescherming (AVG). De meldplicht datalekken is onder de AVG grotendeels hetzelfde gebleven als in de jaren daarvoor. De AVG stelt wel strengere eisen aan de registratie van datalekken. Een organisatie moet voortaan alle datalekken documenteren en niet meer alleen de gemelde datalekken. Daarnaast zijn de boetes vanaf 25 mei hoger.
Vanaf 25 mei 2018 geldt de meldplicht datalekken in alle EU-landen. In Nederland geldt deze meldplicht al sinds 1 januari 2016.
Bron: Autoriteit Persoonsgegevens
Datum: 31 januari 2019
Bescherming van de privacy is een breed gedeelde zorg. Maar liefst 94% maakt zich zorgen over de bescherming van zijn persoonsgegevens. Een op drie mensen maakt zich zelfs veel of zeer veel zorgen. Dat blijkt uit onderzoek dat de Autoriteit Persoonsgegevens (AP) liet doen in het kader van de Dag van de Privacy.Mensen maken zich vooral zorgen over misbruik van (een kopie van) hun identiteitsbewijs, organisaties die hun online zoekgedrag volgen en hen volgen via het wifi-signaal van hun mobiele telefoon. Voorzitter Aleid Wolfsen van de AP: “Terecht dat mensen zich bewust worden van het belang van de bescherming van hun privacy. In onze digitale samenleving delen we steeds meer en makkelijker onze persoonsgegevens. Gegevens die vaak zeer gevoelige informatie prijsgeven; bijvoorbeeld over je gezondheid, je financiën, je geloof of je koopgedrag. Je privacyrechten helpen je om zeggenschap te houden over je persoonsgegevens. Gebruik ze!”
De Autoriteit Persoonsgegevens maakt deze cijfers bekend op de Europese Dag van de Privacy. Het doel van deze dag is mensen beter te informeren over hun rechten bij het gebruik van hun persoonsgegevens. Iedereen heeft privacyrechten, zoals het recht om je persoonsgegevens in te zien, te laten wijzigen of zelfs volledig te laten wissen. Met de nieuwe privacywet zijn deze rechten uitgebreid en versterkt.
Privacyzorgen
94% van de ondervraagden geeft in het onderzoek aan zich zorgen te maken over de bescherming van hun persoonsgegevens. 32% daarvan maakt zich (zeer) veel zorgen. Slechts 6% maakt zich helemaal geen zorgen. Bescherming van de privacy is daarmee een breed gedeelde zorg.
Mensen vrezen vooral misbruik van (een kopie van) hun identiteitsbewijs. En maken zich zorgen om gegevens die ze achterlaten bij hun online zoekgedrag en gegevens over waar zij zich bevinden via het wifi-signaal van hun mobiele telefoon. Webwinkels springen eruit als het type organisaties waarbij mensen zich het meeste zorgen maken over de verwerking van hun persoonsgegevens. De zorgen zijn vooral ingegeven door angst dat gegevens in verkeerde handen vallen.
Privacyrechten nog weinig gebruikt
Slechts 12% zegt wel eens gebruik te hebben gemaakt van een privacyrecht. Mensen weten niet hoe ze dat moeten doen, vinden het gedoe of niet belangrijk genoeg. Het recht op dataportabiliteit en het recht op een menselijke blik bij geautomatiseerde besluiten zijn de minst bekende rechten. Met de nieuwe privacywet, de AVG, zijn de privacyrechten uitgebreid en versterkt.
Privacyrechten kun je zelf uitoefenen, door een organisatie op deze rechten te wijzen. Sinds 25 mei zijn die rechten versterkt: iedereen kan sindsdien ook een privacyklacht indienen bij de AP. Gevraagd wat mensen doen als hun rechten worden geschonden, zegt 62% eerst contact op te nemen met de organisaties, 59% van de ondervraagden zegt een klacht in te dienen bij de AP.
Tips om meer controle te houden over je persoonsgegeven
Bron: Autoriteit Persoonsgegevens
Datum: 22 januari 2019
De Autoriteit Persoonsgegevens (AP) heeft bij dertig private organisaties opgevraagd welke afspraken zij hebben met andere partijen wanneer die voor hen persoonsgegevens verwerken. Volgens de Europese privacyregels moeten deze afspraken vastgelegd zijn in een zogeheten verwerkersovereenkomst. De AP heeft informatie opgevraagd bij bedrijven in onder meer de energiesector, media en handel.
Verwerkersovereenkomst
In de Europese privacyregels staat dat organisaties die persoonsgegevens verwerken een verwerkersovereenkomst moeten sluiten als ze samenwerken met andere partijen bij de verwerking van die persoonsgegevens. Dat is bijvoorbeeld nodig bij als zij IT-voorzieningen uitbesteden. Organisaties blijven er zelf verantwoordelijk voor dat persoonsgegevens goed beschermd zijn. Daarom mag een organisatie alleen verwerkers inschakelen die voldoende garanties bieden dat zij ook aan de wettelijke vereisten voldoen.
In de verwerkersovereenkomst moet staan hoe de bescherming en verwerking van persoonsgegevens is geregeld. In de verwerkersovereenkomst staat in ieder geval:
Reeks van verkennende onderzoeken
Sinds de invoering van de Algemene Verordening gegevensbescherming (AVG) op 25 mei 2018 controleert de AP regelmatig of organisaties vereisten uit de privacywetgeving naleven. Zo keek de AP eerder of overheidsorganisaties, ziekenhuizen, (zorg)verzekeraars en banken een functionaris voor de gegevensbescherming hebben. Ook deed de AP een verkennend onderzoek bij grote private organisaties om te onderzoeken of zij een register van verwerkingsactiviteiten bijhouden.
Bron: Autoriteit Persoonsgegevens
Datum: 15 januari 2019
Herinnert u zich de grote golf aan AVG nieuwsberichten, AVG mails, vragen over de AVG van collega’s en klanten en stapels te ondertekenen verwerkersovereenkomsten nog die u vlak voor of net na 25 mei 2018 heeft ontvangen? Veel organisaties zijn toentertijd actief begonnen met het AVG proof maken van hun organisatie. Inmiddels zijn we enkele maanden verder en is het een stuk stiller rond de AVG. Betekent dit stilte voor de storm?
Het correct naleven van de AVG is wettelijk verplicht en het AVG proof worden is dus heel belangrijk. De belangrijkste reden hiervoor is dat de klant/personeel het recht heeft dat zijn persoonsgegevens met zorg worden behandeld zodat de privacy wordt gewaarborgd. Daarnaast hangt de kans op een boete als een ‘zwaard van Damocles’ boven een organisatie indien de AVG nog niet op orde is. Deze boete kan behoorlijk fors zijn. De Autoriteit Persoonsgegevens (AP) is druk bezig met het uitoefenen van controles en zal dit continueren. Zeker nu de klant steeds mondiger wordt en de drempel voor de klant steeds lager wordt voor het indienen van een klacht.
Inmiddels zijn veel organisaties al ver gevorderd met het integreren van de AVG binnen de organisatie. Hoe zit dat bij uw organisatie? Metis Privacy B.V. kan u hierbij helpen. Mocht u de AVG nog niet hebben geïntegreerd in uw organisatie, wilt u (of uw personeel) worden bijgeschoold of wilt u graag een objectieve scan om te bekijken of uw organisatie AVG proof is, neem dan vrijblijvend contact op met Metis Privacy B.V. Metis Privacy B.V. heeft een gespecialiseerd team die u op het gebied van AVG geheel kan helpen en ontlasten.
Mocht u overige vragen hebben over onze dienstverlening of over de AVG neem contact met ons op. Wij zijn bereikbaar op telefoonnummer 0512 23 24 00.
Datum: 8 januari 2019
De Autoriteit Persoonsgegevens (AP) legt Uber B.V. en Uber Technologies, Inc (UTI) een boete van 600.000 euro op voor het overtreden van de meldplicht datalekken. In 2016 vond een datalek bij het Uber-concern plaats waarbij onbevoegden toegang tot persoonsgegevens van klanten en chauffeurs kregen. Het Uber-concern krijgt de boete omdat zij de AP en betrokkenen niet binnen 72 uur na het ontdekken van het lek heeft geïnformeerd.
Wereldwijd werden ruim 57 miljoen Uber-gebruikers getroffen door dit datalek onder wie ongeveer 174.000 Nederlanders. Het ging om persoonsgegevens zoals namen, e-mailadressen en telefoonnummers van klanten en chauffeurs.
Bron: Autoriteit Persoonsgegevens
Datum: 11 december 2018
De AVG vertelt ons (draagt ons op) om maatregelen te nemen om de beveiliging van systemen te waarborgen en/of te versterken. In vaktermen wordt dit hardening genoemd, oftewel, gij zult maatregelen treffen om uw systemen en dus de betrokkenen te beschermen. Dit zijn dan veelal technische en daarnaast ook organisatorische maatregelen.
Uit eigen onderzoek blijkt dat het MKB, en dan vooral de kleine ondernemers, niet of nauwelijks met beveiliging van gegevens bezig zijn, het kost immers tijd en geld.
Toegegeven, het kan best wat tijd vergen, maar het hoeft niet altijd duur te zijn. Sterker nog, we kunnen zelf enkele basale beveiligingsmaatregelen nemen om in ieder geval de meest voorkomende kwetsbaarheden het hoofd te bieden, namelijk:
Bovenstaand is uitgelegd hoe u “endpoint” beveiliging kunt initiëren, maar hoe kunt u organisatorische maatregelen nemen? Onderstaand noemen we enkele organisatorische maatregelen.
Uw IT-leverancier kan u helpen bij het treffen van organisatorische maatregelen.
Mocht u naar aanleiding van dit artikel vragen hebben dan kunt u contact opnemen met Metis Privacy B.V. op telefoonnummer 0512- 23 24 00.
Datum: 6 december 2018
De Autoriteit Persoonsgegevens (AP) waarschuwt voor profiteurs die kwalijke nepbrieven versturen aan ondernemers. In de brief schermen de profiteurs met een bedrijfsbezoek door de AP, intimideren ze met mogelijk hoge boetes en bieden ze tegen veel geld een waardeloze AVG-scan aan.
Hoe herkent u een echte AP-brief?
Correspondentie van de AP is altijd op briefpapier, het is dus geen gekopieerd velletje. Een echte AP-brief is opgesteld in foutloos Nederlands en bevat altijd de naam en het telefoonnummer van een contactpersoon.
Twijfelt u aan de juistheid van een brief?
Bel dan met het Informatie- en Meldpunt Privacy van de AP, 088 – 1805 250. Samen kunnen we checken of uw brief juist is.
Bron: https://www.autoriteitpersoonsgegevens.nl/nl/nieuws/ap-waarschuwt-voor-nepbrieven
De Autoriteit Persoonsgegevens heeft sinds de invoering van de Algemene verordening gegevensbescherming (AVG) op 25 mei van dit jaar meer dan 7000 tips en klachten over vermeende privacyschendingen ontvangen. De vragenlijn van de toezichthouder werd zo’n tienduizend keer gebeld, zo melden de Telegraaf en Trouw.
Bij een aantal van de klachten heeft de Autoriteit Persoonsgegevens een onderzoek naar mogelijke overtredingen ingesteld. Om hoeveel onderzoeken het gaat wil de toezichthouder niet kenbaar maken. Wel laat de AP weten dat het alle klachten en tips aan het analyseren is, om zo te kijken of er knelpunten zijn die prioriteit horen te krijgen. Volgend jaar januari volgt de eerste officiële evaluatie van de AVG.
In de AVG is een meldplicht datalekken opgenomen. Wanneer een datalek een risico vormt voor de rechten en vrijheden van een individu zijn organisaties verplicht om de betreffende toezichthouder binnen 72 uur na ontdekking van het lek te informeren. Eerder deze maand werd bekend dat alle Europese privacytoezichthouders sinds de introductie van de AVG in totaal 18.000 meldingen van datalekken hebben ontvangen. Vorig jaar werden er alleen bij de Autoriteit Persoonsgegevens 10.000 datalekken gerapporteerd.
Bron: www.security.nl
Datum: 19 november 2018
Microsoft moet de privacy van de producten die ze aan de Rijksoverheid levert verbeteren. Dat is gebleken uit het Data Protection Impact Assessment (DPIA) dat het ministerie van Justitie en Veiligheid heeft laten uitvoeren. In april 2019 moet Microsoft de nodige aanpassingen hebben gedaan.
Het gaat om de producten ‘Microsoft Office’ en ‘Windows 10 Enterprise’ die binnen de Rijksoverheid worden gebruikt. In deze producten wordt informatie van en over de gebruiker verzameld en opgeslagen in een database in de Verenigde Staten. De manier waarop dit gebeurt brengt hoge risico’s met zich mee voor de privacy van de gebruiker.
Office verstuurt gegevens van gebruikers in het geheim
Het Data Protection Impact Assessment (DPIA) is uitgevoerd in opdracht van Strategisch Leveranciers Management Microsoft Rijk (SLM Microsoft), het aanspreekpunt voor Microsoft bij de Rijksoverheid. Uit het DPIA is gebleken dat Microsoft via Office in het geheim gedragsgegevens verzameld van 300.000 rijkswerkplekken, van ministeries en politie tot rechtspraak en toezichthouders. De ingebouwde telemetrie-software zorgt ervoor dat (diagnostische) informatie die eerst opgeslagen is in het apparaat, in batches via internet wordt verstuurd naar Microsoft.
Lokale software, spellingcontrole en ePrivacy Verordening
Het opslaan van diagnostische informatie gebeurt wanneer lokaal geïnstalleerde software gebruikt wordt met een Microsoft-account of wanneer gebruikers de spellingscontrole gebruiken. Toch mag dat alleen met voorafgaande toestemming van de gebruiker. Het is niet precies duidelijk welke gegevens Microsoft verzamelt en bewaart over het gedrag van gebruikers. Wat wel bekend is, is dat het om grootschalige verwerking van persoonsgegevens gaat. De toekomstige ePrivacy Verordening bevat specifieke regels over het automatisch verspreiden van updates en over het gebruik van gegevens over de communicatie van gebruikers. Dat mag alleen als dat noodzakelijk is voor specifieke beveiligingsdoelen.
Microsoft moet verbeterplan nakomen
Microsoft is als verwerker mede verantwoordelijk voor de verwerking van persoonsgegevens. Het Rijk heeft een verbeterplan met Microsoft afgesproken om wijzigingen aan te brengen in de producten Windows 10 Enterprise en Microsoft Office, zodat ze voldoen aan de Algemene Verordening Gegevensbescherming (AVG). In april 2019 moet Microsoft met nieuwe versies van de programma’s komen, die dan opnieuw beoordeeld worden. Tot die tijd beperkt het Rijk de datastromen naar Microsoft zoveel mogelijk. Als blijkt dat de voortgang onvoldoende is, kan SLM Microsoft alsnog naar de Autoriteit Persoonsgegevens (AP) stappen met het verzoek om hierop meer te handhaven.
DPIA soms verplicht voor organisaties
De AVG verplicht het doen van een DPIA wanneer organisaties, zoals de Rijksoverheid, persoonsgegevens van gevoelige aard op grote schaal verwerken. Met een DPIA toetst u of er privacyrisico’s kleven aan de gegevensverwerking én of er maatregelen nodig zijn om deze risico’s te beheersen.
Bron: Website Rendement Uitgeverij – https://www.rendement.nl/nieuws/id21839-microsoft-moet-privacy-van-producten-bij-rijksoverheid-verbeteren.html
Datum: 15 november 2018
De Autoriteit Persoonsgegevens (AP) legt het Uitvoeringsinstituut Werknemersverzekeringen (UWV) een last onder dwangsom op van 150.000 euro per maand met een maximum van 900.000 euro omdat het beveiligingsniveau van het werkgeversportaal niet voldoet. Op uiterlijk 31 oktober 2019 moet het UWV het beveiligingsniveau van dit portaal op orde hebben. Als het UWV dit dan niet op orde heeft, moet zij de dwangsom betalen. Aleid Wolfsen, voorzitter van de AP: “Het gaat om gezondheidsgegevens van ontzettend veel mensen. Al deze mensen moeten ervan op aan kunnen dat het UWV zorgvuldig met hun gegevens omgaat”.
Gegevens over de gezondheid
Omdat het UWV geen meerfactorauthenticatie toepast bij de toegangsverlening tot het online werkgeversportaal is de beveiliging onvoldoende. Werkgevers en arbodiensten kunnen hier in een verzuimsysteem ziekteverzuimgegevens van werknemers invoeren en bekijken. Het gaat hier om gezondheidsgegevens van werknemers. Het UWV is daarom als aanbieder én beheerder van dit verzuimsysteem verplicht om de toegang tot dit portaal voldoende te beveiligen door minimaal meerfactorauthenticatie toe te passen.
Maatregelen UWV
Het UWV heeft eerder aangegeven meerfactorauthenticatie te willen implementeren. Daarnaast heeft het UWV al wel andere maatregelen getroffen om toegang door onbevoegden tot het werkgeversportaal tegen te gaan, maar deze gaan niet over de authenticatie en zijn daardoor niet passend.
Toegangsbeveiliging
Een organisatie die persoonsgegevens verwerkt, moet passende maatregelen nemen om deze goed te beveiligen. Aan de beveiliging van gezondheidsgegevens die online worden verwerkt worden extra hoge eisen gesteld. De verwerking van gezondheidsgegevens via internet mag alleen met behulp van (minimaal) meerfactorauthenticatie. Dit is een vorm van (toegangs)beveiliging waarbij de gebruiker zich op minimaal twee manieren moet authentiseren om toegang te krijgen tot een computer of applicatie. Bijvoorbeeld met een wachtwoord in combinatie met een sms-code.
Bron: https://www.autoriteitpersoonsgegevens.nl/nl/nieuws/ap-dwingt-uwv-met-sanctie-gegevens-beter-te-beveiligen
Datum: 5 november 2018
De Autoriteit Persoonsgegevens (AP) heeft in een zaak tussen de eigenaar van bedrijfspanden en omwonenden beslist dat de eigenaar zijn eigendommen mag beveiligen met camera’s. De AP heeft de belangen van de omwonenden afgewogen tegen de belangen van de eigenaar van de bedrijfspanden.
In dit geval blijkt dat de eigenaar van de bedrijfspanden zich kan beroepen op een gerechtvaardigd belang, te weten de bescherming van eigendommen. De zaak geeft meer inzicht in de normen voor cameratoezicht en in de beoordeling van de grondslag van het gerechtvaardigd belang bij het toepassen van cameratoezicht.
Terecht beroep op gerechtvaardigd belang als grondslag
Elke partij die persoonsgegevens verwerkt moet daarvoor een wettelijke grondslag hebben. De grondslag van het gerechtvaardigd belang is één van de zes grondslagen. Een partij kan zich alleen baseren op deze grondslag als hij voldoet aan drie voorwaarden:
Hoe nu verder?
De omwonenden hebben tegen het besluit beroep ingesteld. De rechtbank buigt zich nu over het beroep.
Bron: Website Autoriteit Persoonsgegevens. https://autoriteitpersoonsgegevens.nl/nl/nieuws/ap-geeft-inzicht-gebruik-camera%E2%80%99s-voor-beveiligen-eigendom?pk_campaign=nieuwsbrief_01112018&pk_keyword=cameratoezicht
Datum: 31 oktober 2018
Internetcriminelen hebben in 2018 bij ruim de helft (52%) van de kleine bedrijven geprobeerd geld of gegevens buit te maken. Dit blijkt uit het Alert Online-onderzoek onder mkb’ers die deze maand is uitgekomen. Phishing en acquisitiefraude zijn hierbij de meest gebruikte methodes. Hoewel de dreiging bij kleine bedrijven toeneemt, maken zij zich juist steeds minder zorgen over hun digitale veiligheid.
In 2017 maakt 65% van de kleine bedrijven met één tot negen werknemers zich nog weinig zorgen over de digitale veiligheid op de zaak. In 2018 is dit percentage gestegen naar 75%. De onbezorgdheid is onterecht. “Steeds meer kleine bedrijven werken ook digitaal; bestellingen en betalingen worden online gedaan, bedrijfsprocessen worden aangestuurd door computers,” zegt minister Grapperhaus van het ministerie van Justitie en Veiligheid. “Dat biedt kansen om makkelijker en sneller het werk te doen, maar maakt een bedrijf ook kwetsbaar. Er hoeft maar één medewerker op een verkeerde link te klikken en het bedrijf ligt stil. Met grote financiële schade en een deuk in de reputatie tot gevolg. Daarom trek ik nog dit jaar 1,2 miljoen euro uit voor trainingen en voorlichting aan mkb’ers. Het is belangrijk dat ondernemers goede informatie krijgen welke risico’s er zijn, zodat ze weten welke maatregelen ze zelf kunnen nemen.”
“De digitale weerbaarheid van het mkb is niet goed op orde. Eén op de vijf mkb-bedrijven is al slachtoffer geworden van internetcriminaliteit,” aldus Rutger Leukfeldt, lector cybersecurity in het mkb bij De Haagse Hogeschool en senioronderzoeker cybercrime bij het NSCR. “We zien dat met name kleinere bedrijven minder vaak technische en organisatorische maatregelen treffen. Hierdoor neemt niet alleen de kans toe dat zij slachtoffer worden, maar is ook de impact groot als het mis gaat.”
1 op de 5 phishingmail-ontvangers klikt
Phishing en acquisitiefraude zijn de meest voorkomende vormen van internetcriminaliteit in het bedrijfsleven. Met name kleine bedrijven zijn kwetsbaar hiervoor. Ruim een derde (37%) van de kleine bedrijven kampte met phishingmails, waarbij de ontvanger wordt verleid op een valse link of bijlage te klikken. Eén op de vijf deed dat ook daadwerkelijk. Een kwart (23%) had te maken met acquisitiefraude, ook wel bekend als spookfacturen voor diensten of producten die niet zijn geleverd.
Opvallend is dat 56% van de kleine bedrijven die is geconfronteerd met internetcriminaliteit geen extra beveiligingsmaatregelen heeft getroffen, zoals virussoftware of firewall installeren of updaten, wachtwoorden complexer maken, back-ups maken of het voorval rapporteren.
‘Die mail zag er zo echt uit…’
Arjan de Pee, eigenaar van Autobedrijf de Pee uit Krimpen aan den IJssel, trapte in een phishingmail: “De mail zag er zo echt uit. Na de klik ging mijn scherm direct op zwart. Al onze computerbestanden waren gegijzeld. Mijn autobedrijf lag plat. Wij konden niet meer bij onze programma’s en documenten. Alleen als wij een flink bedrag in bitcoins zouden betalen, zouden de internetcriminelen onze gegevens weer vrijgeven.”
Arjan de Pee won advies in bij zijn IT-adviseur. Hij kreeg het dringende advies niet te betalen. Want wie dat wel doet, houdt deze vorm van internetcriminaliteit in stand. “Gelukkig maakten we van sommige werkplaatsprogramma’s zoals de planning en klantendatabase, dagelijks back-ups. PDF’s, Word- en Exceldocumenten waren we kwijt. Ik grijp nog vaak mis.”
Arjan de Pee had nooit verwacht dat hij slachtoffer zou worden van internetcriminaliteit en dat de impact zo groot zou zijn. “Ik heb mijn les geleerd. Mijn IT-bedrijf heeft online monitoringsoftware voor ons geïnstalleerd met onder andere een goede virusscanner en firewall. Daarnaast maken we nu dagelijks automatisch back-ups die we bij meerdere online aanbieders opslaan. Dat kost niet veel, maar geeft zo’n veilig gevoel. Ik raad andere ondernemers aan dat ook te doen.”
Andere interessante feiten uit het Alert Online-onderzoek 2018:
Tips voor een betere cyberveiligheid
Met de volgende tips zetten mkb’ers de eerste stappen om zich beter te beschermen tegen internetcriminelen:
Alert Online-onderzoek
Alert Online voert jaarlijks een bewustwordingsonderzoek naar cyberveiligheid uit onder 2.000 Nederlanders. Voor het Alert Online-onderzoek 2018 zijn 712 respondenten uit het mkb ondervraagd over het bewustzijn en vaardigheden op het gebied van internetveiligheid op het werk.
Bron: https://www.deweekvandeveiligheid.nl/nieuws/details/article/kleine-bedrijven-meest-geconfronteerd-met-phishing-en-acquisitiefraude/
Datum: 16 oktober 2018
Een rondje op het web leert ons dat veel organisaties een gegevensbeschermingsbeleid, of kortweg een privacybeleid, regelmatig verwarren met een privacyverklaring. Ze lijken inhoudelijk op elkaar, maar er zijn verschillen. Het grootste verschil zit in de beoogde doelgroep.
Een privacyverklaring is gericht aan de betrokkenen oftewel de personen waarvan gegevens worden verwerkt zoals klanten en patiënten. Een privacybeleid daarentegen is bedoeld voor de medewerkers van de organisatie, zij krijgen hiermee een handreiking over hoe hun organisatie omgaat met privacygegevens in het algemeen. Een privacybeleid is in de meeste gevallen gedetailleerder en bevat mogelijk verwijzingen naar procedures en protocollen.
Een privacybeleid is niet altijd verplicht. Met name grote organisaties kunnen verplicht worden gesteld om een privacybeleid te hebben. Hierbij wordt gelet op de aard, omvang, doel en context van de verwerking. Ook bij kleinere organisaties kan een privacybeleid verplicht zijn, met name wanneer zij bijzondere gegevens verwerken zoals medische gegevens of gegevens over iemands ras of religie maar ook als zij beeldopnamen verwerken.
Neem voor vragen of meer informatie contact op met Metis Privacy op telefoonnummer 0512 23 24 00.
Datum: 27 september 2018
Ministers Slob en Van Engelshoven (Onderwijs) maken één nieuwe wet over de gegevens van leerlingen, zodat de regels over privacy niet meer versnipperd in tien wetten staan. Daardoor wordt voor leerlingen, studenten en ouders duidelijker welke gegevens over hen worden verzameld en waarvoor deze gegevens worden gebruikt. Ook krijgen scholen en instellingen minder administratieve lasten. De Tweede Kamer stemde dinsdag in met de nieuwe wet.
Voor scholen worden drie administratieve handelingen makkelijker. Zo kunnen leerlingen voortaan digitaal worden uitgeschreven. Dat zorgt ervoor dat de tot nog toe benodigde papieren rompslomp overbodig wordt. Daarnaast wordt het voor DUO mogelijk om de geboorteplaats van leerlingen door te geven aan middelbare scholen en mbo’s. Scholen hoeven daardoor niet meer aan elke leerling te vragen naar de geboorteplaats.
Tenslotte krijgen basisscholen voortaan automatisch informatie over het niveau waarop hun oud-leerlingen in de eerste drie jaar van de middelbare school zitten. Die informatie is voor de basisschool nodig om hun eindadviezen te kunnen evalueren. Scholen vragen de niveaus van hun oud-leerlingen nu op bij de middelbare school, maar krijgen in veel gevallen niet of te weinig gegevens. Bovendien worden die dan veelal via de mail gedeeld. In de nieuwe vorm worden deze gegevens veiliger gedeeld.
Minder administratie
‘Bij alle wetswijzigingen kijken we er als ministerie naar hoe we de regeldruk voor scholen kunnen verminderen’, aldus minister Slob. ‘Hier konden we twee vliegen in één klap slaan: we maken een nieuwe en heldere wet over privacy, die allerlei losse bepalingen vervangt. En we zorgen ervoor dat scholen minder administratief gedoe hebben.’
De gegevens van leerlingen zitten nu in een aantal registers. Daar wordt gebruik van gemaakt om te bepalen hoeveel geld een school krijgt, maar ook om uitval van leerlingen te voorkomen en voor de inspectie om toezicht te houden. Bij zo’n register komen veel vraagstukken kijken rond privacy. De nieuwe wet wordt dan ook meteen aangepast aan de eisen van de huidige tijd.
Privacy
Zo wordt er ook in de nieuwe wet op gelet dat niet meer gegevens van leerlingen worden verstrekt dan noodzakelijk. En worden er duidelijke grenzen gesteld aan het gebruik van gegevens. Om ervoor te zorgen dat er in de toekomst niet steeds nieuwe wetten nodig zijn, wordt een deel van de afspraken vastgelegd in een zogeheten algemene maatregel van bestuur. Die kan na een Privacy Impact Assessment, en adviezen van de Autoriteit Persoonsgegevens en de Raad van State worden aangepast. Dat is een sneller traject dan een wetswijziging.
Bron: www.rijksoverheid.nl
https://www.rijksoverheid.nl/actueel/nieuws/2018/09/25/minder-administratie-door-nieuwe-wet-over-persoonsgegevens-in-het-onderwijs
Datum: 18 september 2018
Een werkgever verwerkt diverse persoonsgegevens van een werknemer. Indien werkgevers het verwerken van gegevens overlaten aan derden, een salarisadministrateur of een administratiekantoor, dient tussen de verwerkingsverantwoordelijke (werkgever) en de verwerker (salarisadministrateur/administratiekantoor) een verwerkersovereenkomst te zijn afgesloten.
In deze verwerkersovereenkomst wordt onder andere omschreven welke gegevens worden verwerkt, voor welk doel, de duur van verwerken, de maatregelen om de verwerking te beveiligen en de privacyrechten.
Bij een verzuimdienst geldt hetzelfde als bij bijvoorbeeld een salarisadministrateur. De verzuimdienst is verwerker en er dient een verwerkingsovereenkomst te worden opgemaakt tussen de verzuimdienst en de werkgever. Tussen een bedrijfsarts/arbodienst en de werkgever hoeft niet altijd een verwerkersovereenkomst te worden opgemaakt. Conform de Arbowet zijn werkgevers verplicht om gebruik te maken van deskundigen zoals een bedrijfsarts. Op het moment dat de bedrijfsarts om wettelijke verplichtingen door de werkgever wordt ingeschakeld is de bedrijfsarts zelf verwerkingsverantwoordelijk uit hoofde van zijn wettelijke verplichting. Wanneer een bedrijfsarts voor de werkgever meer gegevens gaat verwerken dan wettelijk noodzakelijk dient er wel een verwerkersovereenkomst te worden opgesteld voor die extra gegevens.
Datum: 6 september 2018
Mensen die medicijnen gebruiken krijgen deze vaak aangeleverd in een baxterzakje of in een doosje met een etiket. Op het etiket en op het baxterzakje staan persoonsgegevens van de patiënt en informatie over het medicijngebruik van de patiënt. Gegevens over het medicijngebruik zijn gegevens over de gezondheid en dus bijzondere persoonsgegevens.
Hoe kan het beste worden omgegaan met het weggooien van de etiketten op de doosjes?
Ons advies voor alle partijen, van patiënt tot ziekenhuis, is dat de etiketten op de doosjes het beste door de papierversnipperaar kunnen worden gehaald (bij afwezigheid van een papierversnipperaar kunnen de etiketten ook verscheurt of verknipt worden) of in een afvalbak voor gevoelige informatie kunnen worden gedeponeerd. Deze afvalbak wordt vervolgens opgehaald door een vernietigingsbedrijf, waardoor de gegevens niet op straat komen te liggen.
Hoe kan het beste worden omgegaan met het weggooien van de baxterzakjes?
Baxterzakjes worden over het algemeen geleverd aan patiënten die in een zorginstelling verblijven. Ons advies is dat de baxterzakjes het beste in de afvalbak voor medisch afval kunnen worden gedeponeerd. Deze afvalbak wordt vervolgens opgehaald door een vernietigingsbedrijf, waardoor de gegevens niet op straat komen te liggen. Indien een patiënt baxterzakjes ontvangt terwijl de patiënt niet over een medische afvalbak beschikt adviseren wij om het zakje te verknippen, zodat de opgedrukte informatie niet meer te herleiden is.
Datum: 6 september 2018
In een zaak die al dateert van 2016 heeft de Autoriteit Persoonsgegevens een dwangsom geïnd wegens een overtreding van de AVG. Theodoor Gilissen Bankiers moet een bedrag van € 48.000 overmaken wegens het onjuist behandelen van een inzageverzoek.
Vermogensbeheerder Theodoor Gilissen – inmiddels van naam veranderd en nu InsingerGilissen geheten – heeft € 48.000 moeten betalen wegens overtreding van de AVG. Al in 2016 deed een klant van deze bank een inzageverzoek in de gegevens die over hem waren vastgelegd. Zo’n verzoek hoeft niet gemotiveerd te worden. De klant wilde niet alleen een overzicht van zijn persoonsgegevens, maar ook afschrift van chatberichten tussen hem en de bank. Bovendien wilde hij een kopie van interne instructies over afspraken die met hem gemaakt zouden moeten worden. De bank weigerde deze gegevens te overhandigen, onder andere omdat de klant er een gerechtelijke procedure mee zou willen voorbereiden. Daarnaast betwistte de bank het recht op inzage in interne stukken.
Vermoeden weegt niet zwaar genoeg
De Autoriteit Persoonsgegevens (AP) is van mening dat de bank het recht op inzage in de vastgestelde persoonsgegevens onder de (toen nog) Wbp en AVG moet honoreren. Het feit dat de bank denkt dat deze voor iets anders gebruikt kunnen worden dan alleen controleren, weegt niet zwaar genoeg. Dit is immers niet meer dan een vermoeden. Theodoor Gilissen kreeg daarom een zogenoemde ‘last onder dwangsom’ opgelegd: de verplichting iets te regelen, met een prijskaartje voor iedere week dat dit niet gebeurde.
Maximum van € 60.000
In het geval van Gilissen was dit € 12.000 per week dat de gevraagde informatie uitbleef met een maximum van € 60.000. Uiteindelijk had de vermogensbeheerder een maand nodig om met de informatie over de brug te komen, zodat de te innen dwangsom op € 48.000 kwam. Dat bedrag is eerder deze week vastgesteld. Pas nu aan het inzageverzoek is voldaan, kan de AP uitspraak doen over de vraag of bij zo’n verzoek ook interne stukken zouden moeten worden overhandigd. Daar is mogelijk een nieuw verzoek voor nodig.
Bron: Rendement.nl
https://www.rendement.nl/nieuws/id21460-ap-int-dwangsom-voor-overtreding-avg.html
Datum: 28 augustus 2018
Het kan voorkomen dat bij een bepaalde verwerking van gegevens twee verwerkingsverantwoordelijken zijn, bijvoorbeeld bij een onderaannemer, ondernemers die een bedrijfspand delen, bepaalde zorginstellingen/bedrijven die gegevens met elkaar uitwisselen of bedrijven op een gemeenschappelijk bedrijventerrein. Verwerkingsverantwoordelijken zijn gezamenlijke verwerkingsverantwoordelijken wanneer ze gezamenlijk de doeleinden en middelen van verwerking hebben bepaald. De gezamenlijke verwerkingsverantwoordelijken moeten onderling vaststellen wie welke verantwoordelijkheden op zich neemt ten aanzien van verplichtingen uit de AVG.
De AVG stelt geen formele eisen aan hoe de verantwoordelijkheden worden vastgelegd. Het is dus niet nodig een aparte overeenkomst hiervoor op te stellen. Het is al voldoende en daarnaast ook zeer verstandig om de verantwoordelijkheidsverdeling vast te leggen in een samenwerkings- of uitwisselingsovereenkomst.
Ondanks de gemaakte afspraken kan iedere verantwoordelijke hoofdelijk worden aangesproken voor schade of iets dergelijks.