20 januari 2023
IT & Privacy
Privacy gewaarborgd, ook internationaal
Toen Emma Handson een zzp’er wilde inhuren die werkt vanuit Curaçao, was dat niet zo simpel als het klinkt. In samenwerking met Banning Advocaten moesten ze ervoor zorgen dat documenten van klanten met behoud van privacy mochten worden overgedragen, zodat deze zzp’er ermee aan de slag kon. Klinkt ingewikkeld misschien, maar advocaat Floortje Eijdems van Banning Advocaten legt het graag uit. Klik hier om het volledige interview te lezen.
14 december 2022
Geen bewaartermijnenbeleid en onvoldoende beveiliging leidt tot boete van € 800.000,- voor platform Discord
De Franse privacy toezichthouder (CNIL) heeft online platform Discord een boete van € 800.000,- opgelegd wegens (meerdere) schendingen van de Algemene Verordening Gegevensbescherming (AVG). Discord is een online platform waarop, kort gezegd, gebruikers met elkaar kunnen communiceren. Het is vooral populair onder gamers. De AVG-schendingen bestaan onder andere uit het niet hebben van een bewaartermijnenbeleid en een onvoldoende beveiligingsniveau. Over het boetebesluit en de (herstel)acties van Discord lees je meer in deze blog. AVG-schendingen Op grond van de AVG mogen persoonsgegevens niet langer worden bewaard dan noodzakelijk is voor de doeleinden waarvoor ze worden verwerkt. Discord voldoet hier volgens CNIL…
26 januari 2022
Google Analytics binnenkort verboden?
De Autoriteit Persoonsgegevens waarschuwt op haar website: “Let op: gebruik Google Analytics mogelijk binnenkort niet toegestaan”. Aanleiding van dit bericht is een onderzoek van de Oostenrijkse privacy toezichthouder naar Google Analytics waaruit volgt dat (in het onderzochte geval) de software in strijd is met de AVG. De Autoriteit Persoonsgegevens doet momenteel zelf onderzoek naar de software en zal begin dit jaar duidelijkheid verschaffen of de software is toegestaan of niet. Het gebruik van de software staat dus op losse schroeven. Vanwege de populariteit van Google Analytics kan dit voor veel bedrijven gevolgen hebben. Wat is er aan de hand? De…
07 juli 2021
Europa zet eerste stap voor Artificial Intelligence regels
We staan er niet altijd bij stil dat een groot deel van onze keuzes niet geheel vrij zijn, maar computergestuurd worden gemaakt. Wie bepaalt welke volgende serie je gaat kijken of welke muziek je gaat luisteren? Wie bepaalt welk nieuws je krijgt te zien? Ook bepalen computers steeds meer keuzes van bedrijven en overheden. Welke kandidaat is geschikt voor die baan? Krijg je wel of geen hypotheek? Wat is de hoogte van mijn toeslag? Is er sprake van fraude? Het spreekt voor zich dat er aan de Artificial Intelligence (AI) en algoritmes die deze keuzes maken of beïnvloeden, hoge risico’s…
01 juli 2021
Autoriteit Persoonsgegevens beboet orthodontiepraktijk voor onbeveiligde website
“Let op het slotje in de adresbalk van de internetbrowser”. Een advies dat al sinds de jaren 90 geldt. Het slotje wordt namelijk weergegeven indien een verbinding tussen een computer en website is versleuteld. Indien de verbinding niet is versleuteld kunnen gegevens die worden uitgewisseld worden afgeluisterd en/of aangepast. Een kwaadwillende vestigt zich dan tussen de gebruiker en de website en tapt zo alle informatie af. Indien een verbinding is versleuteld met behulp van een certificaat zijn de gegevens onleesbaar voor een kwaadwillende, maar wél leesbaar voor de gebruiker en website. In de jaren 90 waarschuwden banken er reeds voor.…
18 juni 2021
Google G Suite for Education verboden terrein voor onderwijsinstellingen?
De Autoriteit Persoonsgegevens (AP) heeft een advies gepubliceerd over het (voorgenomen) gebruik van Google G Suite for Education door onderwijsinstellingen in Nederland. De conclusie is glashard: momenteel is het gebruik van Google G Suite for Education in strijd met de AVG. Hoe komt de AP tot deze conclusie? Hogeschool van Amsterdam en Rijksuniversiteit Groningen De Hogeschool van Amsterdam (HvA) en de Rijksuniversiteit Groningen (RUG) willen gebruik maken van Google G Suite for Education en hebben daarom een DPIA (ook wel gegevensbeschermingseffectbeoordeling genoemd) uitgevoerd. Met een DPIA wordt onderzocht wat de risico’s zijn van een voorgenomen gegevensverwerking. Uit de DPIA is…
01 juni 2021
€ 4000 schadevergoeding voor schending privacy
Schending van de privacy kan recht geven op schadevergoeding. De AVG bevat daarvoor een apart artikel (82 AVG). Ook kan een vordering worden ingesteld op grond van onrechtmatige daad. Recent kende Gerechtshof Arnhem/Leeuwarden € 4.000,- toe vanwege het onrechtmatig publiceren van informatie over een psycholoog op een zwarte lijst voor zorgverleners. Zwartelijstartsen.nl De stichting in kwestie onderhield een website met een ‘zwarte lijst’, waarop zij onder meer namen van artsen en psychologen plaatste die in het BIG-register waren opgenomen met een tuchtrechtelijke maatregel. De betreffende website is begin dit jaar door de rechter verboden en inmiddels offline. Dat vormde het…
10 mei 2021
Boete opgelegd voor het datalek in het dossier ‘Barbie’ deels ongegrond verklaard
De rechtbank heeft onlangs uitspraak gedaan in het beroep van het HagaZiekenhuis gericht tegen de boete die de Autoriteit Persoonsgegevens (“AP”) had opgelegd, omdat het ziekenhuis de beveiliging van het elektronisch patiëntendossier niet op orde had. (Voor de feiten die hebben geleid tot het opleggen van de boete wordt verwezen naar de blog van collega, Suzan Wolters). Verlaging boete De rechtbank verlaagt de boete van 460.000 euro naar 350.000 euro vanwege het feit dat het ziekenhuis (onder andere) in de bezwaarfase een aantal maatregelen had getroffen, waarmee volgens de rechtbank het ziekenhuis in ieder geval de bereidwilligheid heeft getoond om…
06 mei 2021
Autoriteit Persoonsgegevens beboet gemeente Enschede voor wifitracking. Is Bluetrace alweer vergeten?
De gemeente Enschede heeft tussen 2017 en 2020 wifimetingen in haar binnenstad laten verrichten. Dit zijn metingen gebaseerd op sensoren in de binnenstad die het wifisignaal van passanten registreert. Hiermee wilde de gemeente het effect van haar investeringen in de binnenstad in kaart brengen. Middels een klacht wordt de Autoriteit Persoonsgegevens (‘AP’) geïnformeerd over de vermeende onrechtmatigheid van het wifitrackingsysteem. De AP is hierop een onderzoek gestart. Dit onderzoek heeft geresulteerd in een boete van € 600.000,- voor de gemeente. Situatieschets De gemeente heeft om en nabij de 11 sensoren laten ophangen. Elk met een bereik van 70 meter. Deze…
01 april 2021
Boete Booking.com voor te laat melden datalek
Na Uber is Booking.com het tweede platform dat een boete krijgt van de AP voor het te laat melden van een datalek. Bij het datalek werden gegevens van meer dan 4.000 klanten ingezien. Eerder waarschuwde de AP al voor een explosieve toename van hacks gericht op het buitmaken van persoonsgegevens. Daarvan was ook bij Booking.com sprake. Zoals wel vaker bij datalekken was de zwakke schakel niet de techniek, maar de mens. Criminelen achterhaalden per telefoon de inloggegevens van hotelmedewerkers tot Booking.com. Op die manier kregen zij toegang tot hun accounts bij Booking.com en daarmee ook tot de persoonsgegevens van gasten…
19 maart 2021
Inzage in persoonsgegevens? Let op tot wie je het verzoek richt.
Op grond van artikel 15 van de AVG kan een betrokkene een verzoek indienen om inzage te krijgen in zijn of haar persoonsgegevens. Naast de persoonsgegevens zelf, dient onder meer inzage worden verstrekt omtrent de herkomst van de persoonsgegevens, de periode waarin verwerking plaatsvindt en informatie over de ontvangers aan wie de persoonsgegevens worden verstrekt. Een verzoek tot inzage wordt gericht aan de verwerkingsverantwoordelijke. Dat is een natuurlijk persoon of rechtspersoon, een dienst of een ander orgaan. Die of dat stelt alleen of samen met anderen het doel van en de middelen voor de verwerking vast. Als dus één partij…
02 maart 2021
Arbeidsrecht IT & Privacy
Privacy werknemers beschermen betekent ook inbreukmakers aanpakken
Wat te doen als een medewerker toegang tot camerabeelden en inkloktijden van collega’s misbruikt voor privédoeleinden en richting collega’s suggestieve opmerkingen maakt over wat zij heeft gezien? Dergelijk gedrag rechtvaardigt volgens de kantonrechter te Rotterdam ontbinding van de arbeidsovereenkomst wegens verwijtbaar handelen. Wat was er aan de hand? De werkneemster in kwestie was bij haar werkgever belast met de controle van de werkurenregistratie, camerabewaking en naleving van de huisregels. Zij had daarom toegang tot het camerasysteem en het klok- en tijdregistratiesysteem. De werkgever had in het bijbehorend camerareglement bepaald dat de beelden alleen mochten worden gebruikt voor de doelstellingen van…
17 februari 2021
Google reviews (laten) verwijderen? Let op: de lat ligt hoog
Een (onterecht) lage of negatieve beoordeling op internet is voor veel ondernemingen erg vervelend. Met het grote aanbod online, zal een consument sneller kiezen voor een onderneming met een goede beoordeling. Des te vervelender is het als er nepreviews geplaatst worden. Dat dit niet zo gemakkelijk te verwijderen is, blijkt uit een recente gepubliceerde uitspraak. Deze uitspraak ging over een kort geding tegen Google door een bedrijf in de in- en verkoop van (o.m.) laptops. Het computerbedrijf verzoekt verwijdering van negatieve reviews. Zonder succes. Het wettelijke uitgangspunt Het uitgangspunt voor verwijderingsverzoeken is dat een internetplatform als Google gehouden is om…
16 februari 2021
Praktische handvatten voor datalekken
Bij ontdekking van een datalek van persoonsgegevens moet snel worden gehandeld. Als er een meldingsplicht is bij de toezichthoudende autoriteit (de Autoriteit Persoonsgegevens), dient het datalek binnen 72 uur na ontdekking gemeld te worden. Ook moeten betrokkenen soms worden geïnformeerd. De voorwaarden voor een meldingsplicht bestaat uit open normen en zijn daarom voor verschillende interpretaties vatbaar. Het Europese privacy adviesorgaan (EDPB) heeft daarom een document opgesteld met praktische handvatten voor veelvoorkomende datalekken. Aan de hand van een aantal voorbeeldsituaties wordt onder meer besproken of er een meldingsplicht is aan de toezichthouder en/of betrokkene(n). Wat is een datalek? Terug naar de…
12 februari 2021
IT & Privacy Zorg
Autoriteit Persoonsgegevens legt (weer) boete op aan een ziekenhuis, voorbode voor de GGD?
De Autoriteit Persoonsgegevens (AP) maakte gisteren bekend een boete van EUR 440.000 te hebben opgelegd aan ziekenhuis OLVG. Het ziekenhuis had onvoldoende maatregelen getroffen om patiëntengegevens goed te beveiligen. Beveiliging in de zorg Omdat ziekenhuizen met medische persoonsgegevens werken, is een strenge beveiliging van de gegevens noodzakelijk. De Algemene Verordening Gegevensbescherming schrijft dan ook o.a. voor dat hoe gevoeliger de gegevens zijn, hoe beter deze beveiligd moeten worden. Op die manier worden de risico’s die gepaard gaan met het verwerken van medische gegevens zo veel als mogelijk beperkt. In de zorg is de norm voor de beveiliging neergelegd in de…
07 januari 2021
Spoofing van jouw website; wat is het en wat kan je ertegen doen?
Internetoplichting komt steeds vaker voor. Zowel particulieren als bedrijven zijn hier slachtoffer van. Een voorbeeld is een website van een bedrijf nabouwen om bezoekers te doen geloven dat deze gekopieerde website tot dat bedrijf behoort. Dit wordt ook wel spoofing genoemd. Hoe deze oplichtingsmethode werkt en wat je ertegen kan doen lees je in deze blog. Hoe werkt spoofing? Bij spoofing van een website wordt de ‘echte’ website van een bedrijf nagebouwd door een kwaadwillende (hierna ‘oplichter’ genoemd). Dit kost de oplichter vaak slechts enkele minuten. De twee websites zullen nagenoeg identiek zijn. Het verschil bestaat meestal slechts uit de…
03 december 2020
Een commercieel belang toch een gerechtvaardigd belang?
De AVG vereist voor elke verwerking van data een grondslag. Een door bedrijven veel gebruikte grondslag is het zogeheten gerechtvaardigd belang. Wát precies een gerechtvaardigd belang is, is in de AVG niet uitgewerkt. Het betreft een ‘open norm’, waarbij een bedrijf per verwerking moet bepalen welk belang zij daarbij heeft, of dat als ‘gerechtvaardigd’ kwalificeert, de verwerking echt noodzakelijk is en of het privacybelang van de betrokkene van wie data worden verwerkt – kort gezegd – niet zwaarder dient te wegen. Dat is soms een complexe puzzel… De Autoriteit Persoonsgegevens (“AP”) dacht de praktijk van dienst te zijn met een…
27 oktober 2020
Ronde tafel gesprek voor het Data Privacy Congres 2020
27 juli 2020
BKR verbeurt boete van EUR 830.000,- voor schending inzagerechten
Bureau Krediet Registratie (BKR) heeft de AVG ernstig overtreden doordat het inzagerecht van betrokkenen onvoldoende is gefaciliteerd. Dit concludeert de Autoriteit Persoonsgegevens (AP) na een twee jaar durend onderzoek. De overtreding bestaat enerzijds uit het opwerpen van een drempel voor betrokkenen door slechts éénmaal per jaar kosteloos per post een inzageverzoek konden indienen. Anderzijds werd de AVG overtreden doordat kosteloze inzage langs elektronische weg in zijn geheel niet mogelijk was. Dit levert BKR een boete van EUR 830.000,- op. In deze blog lees je meer over het boetebesluit van de AP. Inzageprocedure bij BKR Betrokkenen hadden bij BKR twee mogelijkheden…
22 juli 2020
Doorgifte persoonsgegevens naar de Verenigde Staten zonder het Privacy Shield
Eerder deze maand schreven wij een artikel over de doorgifte van persoonsgegevens van en naar het Verenigd Koninkrijk (VK) na de Brexit. Dit keer zijn de Verenigde Staten (VS) aan de beurt. Niet omdat we dat zo gepland hadden, maar omdat het Hof van Justitie van de Europese Unie (HvJEU) vorige week met een belangrijke uitspraak kwam voor de uitwisseling van persoonsgegevens naar de VS. Doorgifte naar de VS Net als het VK na de Brexit, is ook de VS een derde land in de zin van de AVG. Uitwisseling van persoonsgegevens met ondernemingen die gevestigd zijn in derde landen…
15 juli 2020
Doorgifte van persoonsgegevens van en naar het Verenigd Koninkrijk na de Brexit
Op 31 januari 2020 heeft het Verenigd Koninkrijk de Europese Unie (EU) verlaten. Tot 31 december 2020 geldt een overgangsperiode. Gedurende die overgangsperiode blijft de AVG in het Verenigd Koninkrijk van kracht. Ondertussen onderhandelen partijen over de nieuwe verhoudingen, waaronder ook de uitwisseling en bescherming van persoonsgegevens. De impact op het dataverkeer tussen het Verenigd Koninkrijk en de lidstaten is afhankelijk van de uitkomst van deze onderhandelingen. Wieger Weijland amp; Floortje Eijdems schreven hier een artikel over in Privacyweb. Klik hier voor de volledige publicatie.
06 juli 2020
IT & Privacy Vastgoed, Bouw & Overheid
Zwarte lijsten van huurders: waar moet je op letten?
Deze blog is onderdeel van een tweeluik over het gebruik van persoonsgegevens in de vastgoedsector. Andere woningcorporaties/verhuurders waarschuwen over ongewenst gedrag van huurders? Dat kan via een zwarte lijst. Op een dergelijke lijst staan huurders die bijvoorbeeld in verband worden gebracht met hennepteelt in de woning of wanbetaling. Zwarte lijsten kunnen echter inbreuk maken op de privacy van huurders. Het naleven van de AVG (Algemene verordening gegevensbescherming) is daarom bij deze lijsten van groot belang. In de vorige blog is een uitspraak van de rechter behandeld waarbij een woningcorporatie een zwarte lijst hanteerde. Naast het feit dat de huurder op…
26 juni 2020
Hennepteelt in huurwoning een strafrechtelijk persoonsgegeven?
Deze blog is onderdeel van een tweeluik over het gebruik van persoonsgegevens in de vastgoedsector. Als woningcorporatie heb je liever geen overlast veroorzakende huurders in de huurwoningen. Via een platform wordt daarom geregeld informatie gedeeld met andere woningcorporaties over overlast gevende huurders. Bij het Gerechtshof Arnhem-Leeuwaren kwam onder meer de vraag aan de orde of dit is toegestaan in verband met de Algemene Verordening Gegevensbescherming (AVG). Hoe het Gerechtshof oordeelde leest u in deze blog. Wat was er aan de hand? In deze zaak had een woningcorporatie een huurwoning ontruimd vanwege het telen van hennep in de woning. Door deze…
11 juni 2020
Camera’s met gezichtsherkenning bij supermarkten toegestaan?
De Autoriteit Persoonsgegevens (AP) heeft via een brief supermarkten gewezen op de regels voor het gebruik van gezichtsherkenningssoftware. Deze software verwerkt biometrische gegevens. Eén van de mogelijkheden om biometrische gegevens te verwerken is wanneer het noodzakelijk is voor authenticatie of beveiliging. Waar de scheidslijn tussen wel/niet noodzakelijk is, blijft vaag. De norm van de AP is – kortgezegd – dat het voor de beveiliging van kerncentrales is toegestaan, maar voor garages van reparatiebedrijven niet. Waar valt de supermarkt onder? De norm van de AP geeft aan in welke gevallen het beveiligen via biometrische persoonsgegevens proportioneel is. Bij een kerncentrale is…
01 mei 2020
Scannen van vingerafdruk levert bedrijf boete van € 725.000,- op
De Autoriteit Persoonsgegevens (AP) maakte gisteren bekend een boete van € 725.000,- te hebben opgelegd aan een bedrijf dat vingerafdrukken van werknemers scant voor de aanwezigheids- en tijdsregistratie. Volgens de AP is de manier waarop dit bedrijf de vingerafdruk gebruikte in strijd met de AVG. Waarom is dit volgens de AP in strijd met de AVG en waarom is de boete zo hoog? Dat leest u in deze blog. Onrechtmatige verwerking Het scannen van een vingerafdruk voor beveiligingsdoeleinden levert een verwerking van bijzondere persoonsgegevens op. Die gegevens worden door de AVG extra beschermd omdat de verwerking ervan hoge risico’s met…
07 april 2020
Meer duidelijkheid over recht op schadevergoeding bij schending AVG
Bij een onrechtmatige verwerking van jouw persoonsgegevens, kan je schadevergoeding vorderen. De AVG biedt hiervoor de mogelijkheid. Dit betekent alleen niet dat bij iedere schending van de AVG iemand recht heeft op schadevergoeding. Dit blijkt uit een viertal uitspraken van de Raad van State op 1 april 2020. In slechts één van deze vier uitspraken wordt schadevergoeding toegekend. Vier uitspraken In vier afzonderlijke zaken is schadevergoeding gevorderd bij een bestuursorgaan vanwege een onrechtmatige verwerking van persoonsgegevens. In drie zaken betreffen het vorderingen tegen een gemeente doordat persoonsgegevens onrechtmatig op een internetforum zijn geplaatst. Dit internetforum is bedoeld om gegevens uit…
20 maart 2020
Veiligheid tijdens thuiswerken
Veiligheid garanderen tijdens thuiswerken? De Autoriteit Persoonsgegevens (‘AP’) heeft vier punten geformuleerd. Wij leggen ze voor u uit en voorzien van ze van concrete aanbevelingen: Faciliteer een beveiligde werkomgeving en verstrek thuiswerkapparatuur aan werknemers. Versleutel de thuiswerkapparatuur en stel regels vast omtrent thuiswerken. Leg in ieder geval vast dat thuiswerkapparatuur nooit onbeheerd achter mag worden gelaten, bijvoorbeeld in de auto. Vooral auto’s met een sleutelloos toegangssysteem zijn vaak doelwit van diefstal. Indien de thuiswerkapparatuur dan is versleuteld, verkleint dat de kans dat een datalek bij de AP moet worden gemeld. Voorkom dat (bedrijfs)informatie op moet worden geslagen op de persoonlijke…
02 maart 2020
IT & Privacy Technologie & Innovatie
EDPB richtlijnen slimme auto’s
Auto’s worden steeds slimmer. Ze genereren data over het voertuig (bijvoorbeeld over de prestaties van de motor), maar ook steeds meer data over de bestuurder en/of passagiers. Voorbeelden hiervan zijn rijstijl, welke locaties bezocht zijn en mogelijk hartslag, vingerafdrukken of oogbewegingen van inzittenden. Bestuurders maken ook steeds meer gebruik van applicaties van derden zoals Waze of Flitsmeister, die eveneens gegevens verzamelen. Daarnaast zijn er andere partijen voor wie deze gegevens erg waardevol zijn zoals leasemaatschappijen of verzekeraars. Nu deze data (voor een groot deel) te herleiden zijn naar natuurlijke personen, spreken we over persoonsgegevens. Een goede reden voor de European…
26 februari 2020
G2C marketing & AVG
Bij de term direct marketing is men al snel geneigd te denken aan het commercieel aanprijzen van producten vanuit het bedrijfsleven (B2C= Business to Consumer). Het is echter ook denkbaar dat overheidsinstellingen gebruik maken van het instrument van de direct marketing. Men spreekt dan van government to citizen marketing (G2C). In deze blog zal bij G2C worden stilgestaan vanuit AVG-perspectief. De basis van direct marketing binnen de AVG De verwerking van persoonsgegevens bij het aanprijzen van producten door ondernemingen wordt bestreken door art. 6 lid 1(f) AVG. Uitgangspunt is dat het bedrijfsleven een zwaarwegend belang moet hebben bij het aanprijzen…
31 januari 2020
Gevonden USB-stick werknemer bekijken leidt tot hogere billijke vergoeding
Een werkgever die privébestanden bekijkt van een werknemer, schendt diens privacy. Dit kan leiden tot een hogere billijke vergoeding, zo blijkt uit een uitspraak van Kantongerecht Tilburg uit 2018, die pas recent werd gepubliceerd. De gevonden USB-stick De werkgever in kwestie vond een USB-stick en besloot deze te bekijken. Op de stick trof de werkgever privébestanden van een werknemer aan, waaronder een echtscheidingsconvenant, informatie over bezoek aan een psycholoog, een overzicht van haar maatschappelijke betrokkenheid (nevenactiviteiten) en sollicitatiebrieven. Uiteindelijk ontslaat de werkgever de werknemer op staande voet, onder meer vanwege het verrichten van nevenactiviteiten onder werktijd en het onder werktijd…
Verwijderingsverzoek stemfragment in theatershow
Is de stem in een geluidsfragment uit een televisieprogramma een persoonsgegeven in de zin van de Algemene Verordening Gegevensbescherming (AVG)? En kan de persoon die te horen is in het geluidsfragment verzoeken dit fragment te verwijderen uit een cabaretshow? De Rechtbank Midden-Nederland heeft hier onlangs over geoordeeld. Wat was er aan de hand? Een cabaretier gebruikte in het theater een geluidsfragment uit het televisieprogramma ‘Opsporing Verzocht’. In dat fragment was een vrouwenstem te horen die als getuige een beschrijving gaf van overvallers van een bloemenzaak. De vrouw beschreef de overvallers als volgt: “degene die praatte, eh ja, had een Ali…
20 december 2019
Normuitleg AP inzake het gerechtvaardigd belang (november 2019)
Op 1 november 2019 publiceerde de Autoriteit persoonsgegevens (AP) een normuitleg van het begrip ‘gerechtvaardigd belang’ uit de AVG. De normuitleg van de AP beperkt de mogelijkheden om deze grondslag te gebruiken als basis voor de verwerking van persoonsgegevens. Is die beperking terecht? Gerechtvaardigd belang Een voor ondernemingen belangrijke grondslag voor de verwerking van persoonsgegevens is het gerechtvaardigd belang. Een verwerking kan immers niet altijd worden gebaseerd op een wettelijke verplichting of op een overeenkomst. Weliswaar zou de verwerkingsverantwoordelijke de betrokkene om toestemming kunnen vragen, maar dat heeft allerlei praktische nadelen. Gelukkig biedt de AVG in navolging van Richtlijn 95/46/EU…
02 december 2019
De stellige ontkenning van een elektronische ondertekening
In de huidige informatiemaatschappij wordt gebruik gemaakt van een elektronische handtekening voor het ondertekenen van een elektronische verklaring. Denk aan internetbankieren of bankieren door middel van een app op een mobiele telefoon. Het komt in de praktijk regelmatig voor dat iemand expliciet of impliciet ontkent dat hij de middelen heeft gebruikt om de elektronische handtekening aan te maken waarmee een elektronische verklaring is ondertekend, bijvoorbeeld door te stellen dat deze middelen zijn gestolen.
29 november 2019
Verwerkingen van persoonsgegevens waarvoor een DPIA moet plaatsvinden
Voor bepaalde soorten verwerkingen moet verplicht een Data Protection Impact Assessment (“DPIA”) worden uitgevoerd. In het besluit van de Autoriteit Persoonsgegevens (“AP”) dat deze week is gepubliceerd, kunt u zien voor welke verwerkingen deze DPIA-plicht geldt. De lijst van de AP borduurt voort op de al eerder door de AP gepubliceerde informatie op haar website. Nieuw is dat een DPIA óók moet worden uitgevoerd voor de start van een verwerking van biometrische gegevens (bijvoorbeeld vingerafdrukken). De lijst van de AP bevat een opsomming van verschillende typen verwerkingen. Per type verwerking geeft de AP aan onder welke voorwaarden een DPIA verplicht…
05 november 2019
Autoriteit Persoonsgegevens legt sancties op aan zorgverzekeraars
De Autoriteit Persoonsgegevens (AP) heeft in 2018 aan twee zorgverzekeraars (VGZ en Menzis) een last onder dwangsom opgelegd, zo blijkt uit een recent nieuwsbericht van de AP. In beide gevallen bleek dat de systemen van de zorgverzekeraars niet waren ingericht om ongeautoriseerde toegang te voorkomen. Voor een soortgelijke overtreding werd eerder het Haga Ziekenhuis beboet (link blog). Onderzoek AP Zorgverzekeraars verwerken medische gegevens om er (onder meer) voor te zorgen dat verleende zorg wordt vergoed. Aangezien medische gegevens zeer gevoelig zijn, brengt het verwerken van deze gegevens hoge risico’s met zich mee. Medische persoonsgegevens zijn dan ook bijzondere persoonsgegevens in…
30 oktober 2019
IT & Privacy IT & Privacy
Intern beraad en het inzagerecht
Bij vergaderingen worden geregeld persoonlijke meningen en gedachten over andere personen op tafel gegooid. Mag een betrokkene, de persoon over wie de meningen en gedachten gaan, een inzageverzoek doen ten aanzien van de vastleggingen hiervan? Het Gerechtshof Den Haag deed daar onlangs een uitspraak over. Het inzageverzoek zag op documenten van een kerk waarin, volgens de betrokkene, met smaad en laster werd gesproken over haar. De uitspraak In de uitspraak komen, kort gezegd, drie vragen aan bod, namelijk (i) of er sprake is van persoonsgegevens in de zin van de AVG, (ii) in welke vorm inzage moet worden gegeven, en…
11 september 2019
Platform-to-business (P2B) verordening per 12 juli 2020 van kracht
Vanaf 12 juli 2020 moeten “onlinetussenhandelsdiensten” voldoen aan de regels van de P2B-verordening. Dit zijn online platforms die handel tussen zakelijke partijen en eindgebruikers mogelijk maken. De verordening legt verplichtingen op aan online platforms voor wat betreft algemene voorwaarden, transparantie en geschillenbeslechting. Zakelijke gebruikers die via het platform producten of diensten verkopen aan consumenten, kunnen een beroep doen op deze bepalingen. Onder meer de volgende platforms vallen onder deze verordening: reserveringsplatforms, bijvoorbeeld voor hotels; vergelijkingssites, bijvoorbeeld voor mobiele telefonie(-abonnementen); online marktplaatsen waar ondernemers hun producten of diensten aanbieden; appstores. Transparantie De verordening verlangt meer transparantie van platforms. Algemene voorwaarden moeten…
E-privacy verordening
De EU is al enige tijd bezig met een verordening die de e-Privacyrichtlijn moet vervangen. De regels van deze nu nog geldende richtlijn zijn in Nederland geïmplementeerd in de Telecommunicatiewet. De bekendste regel daaruit is de “cookiewet”. De voorgestelde verordening, genaamd de e-Privacyverordening, zal bij inwerkingtreding de richtlijn vervangen en aanvullende regels stellen ten opzichte van de Algemene Verordening Gegevensbescherming (“AVG”) voor wat betreft elektronische communicatiegegevens. Welke extra verplichtingen dit met zich mee kan brengen voor u, leest u hier. Toepassingsbereik De verordening zal van toepassing zijn op alle aanbieders van elektronische communicatiediensten. Deze diensten moeten dan wel aan eindgebruikers…
06 september 2019
Misbruik van het recht op inzage uit de AVG
Het recht op inzage is bedoeld om ervoor te zorgen dat iemand kan nagaan of er persoonsgegevens van hem/haar worden verwerkt en of dat op een correcte manier gebeurt. Als het inzagerecht voor een ander doel wordt gebruikt kan er sprake zijn van misbruik van recht. De Nederlandse rechter heeft onder de Wet bescherming persoonsgegevens al enkele malen geoordeeld dat aan een inzageverzoek bij misbruik van recht niet hoeft te worden voldaan. Een recent vonnis zet deze lijn onder de AVG voort. Het probleem Misbruik van het inzagerecht is lastig vast te stellen omdat de verzoeker geen reden voor zijn…
05 september 2019
Rechter geeft de Autoriteit Persoonsgegevens gelijk: geen privacyschending door NS
Een reiziger van de NS had een verzoek ingediend bij de Autoriteit Persoonsgegevens (“AP”) om de NS op het matje te roepen. De NS zou namelijk de privacy van reizigers schenden. De AP heeft echter besloten om niet handhavend op te treden tegen de NS. De reiziger is uiteindelijk tegen deze beslissing van de AP in beroep gegaan bij de rechtbank. In deze blog leest u hoe de rechter heeft geoordeeld. Aanleiding van de rechtszaak De reiziger die de AP heeft benaderd stelt dat de NS zijn privacy schendt doordat er geen mogelijkheid is om anoniem te reizen met een…
02 september 2019
Toezichthouder voornemens gedragscode Nederland ICT goed te keuren
Gedragscodes zijn bedoeld om bij te dragen aan een juiste toepassing van de AVG in een bepaalde sector. Verwerkers en verwerkingsverantwoordelijken kunnen naar gedragscodes verwijzen om te demonstreren dat zij aan de regels van de AVG voldoen. De vereniging Nederland ICT heeft een gedragscode opgesteld voor verwerkers in de ICT-sector, de Data Pro Code. De gedragscode is bedoeld als een nadere uitwerking van de verplichtingen uit artikel 28 AVG voor verwerkers. De Autoriteit Persoonsgegevens heeft aangegeven dat zij voornemens is de gedragscode goed te keuren, onder de voorwaarde dat een toezichthouder wordt aangesteld en goedgekeurd. Belanghebbenden hebben nu de mogelijkheid…
26 augustus 2019
Anti-ronselbeding in strijd met het recht op privacy?
In de praktijk wordt regelmatig een anti-ronselbeding opgelegd aan werknemers, bedoeld om te voorkomen dat zij na einde dienstverband collega’s ‘weglokken’ naar een nieuwe werkgever. Met zo’n beding wordt inbreuk gemaakt op de privacy van de werknemer. Is die inbreuk te groot, dan kan dat de werkgever duur komen te staan. Zo oordeelde rechtbank Midden-Nederland dat een werkgever om die reden geen boetes kon innen voor overtreding van een anti-ronselbeding. Feiten Het gewraakte anti-ronselbeding verbood het de werknemers om na het eindigen van hun arbeidsovereenkomst, (ex-)werknemers van de oud-werkgever te “benaderen” en/of weg te lokken. Ook mochten zij geen (ex-)werknemers…
24 juli 2019
Miljoenenboetes door “Privacywaakhonden” na datalekken
De Europese privacy-toezichthouders zitten de laatste tijd niet stil. Verschillende boetes zijn uitgedeeld aan bedrijven die de Algemene Verordening Gegevensbescherming (“AVG”) onvoldoende naleven. De Autoriteit Persoonsgegevens (“AP”) heeft haar eerste boete op grond van de AVG uitgedeeld aan het HagaZiekenhuis. De boete bedraagt 460.000 euro (zie hierover de blog van mijn collega, Suzan Wolters). Een schamel bedrag vergeleken met de boetes die ICO (de Britse toezichthouder) uit wil delen. ICO heeft namelijk aangekondigd voornemens te zijn British Airways een boete op te leggen van 205 miljoen euro. Ook de hotelketen Marriot International hangt een boete van bijna 100 miljoen euro…
17 juli 2019
Dossier Barbie: datalek leidt tot boete van € 460.000
De eerste boete voor overtreding van de AVG is een feit. Aan het HagaZiekenhuis is een boete van € 460.000 én een dwangsom van € 300.000 opgelegd omdat het de beveiliging van het elektronisch patiëntendossier niet op orde heeft. Dat die beveiliging niet op orde is, werd pijnlijk duidelijk toen realityster ‘Barbie’ werd opgenomen. Medische informatie over haar welzijn werd verwerkt in haar elektronische patiëntendossier (EPD). Dit dossier werd door 197 medewerkers van het ziekenhuis bekeken. Een flink deel van die medewerkers – 85 – had echter niets met Barbie en haar behandeling te maken en dus ook niets met…
02 juli 2019
Veilig, veiliger, veiligst
Communicatie tussen burgers en de overheid geschiedt in toenemende mate digitaal. Op termijn streeft de overheid ernaar alleen nog digitaal te communiceren. Burgers moeten erop kunnen vertrouwen dat deze digitale communicatie veilig verloopt. Binnen de overheid zijn implementatieafspraken gemaakt over beveiligingsstandaarden voor mailservers en websites. De overheid hanteert open beveiligingsstandaarden. Dit zijn standaarden die voor eenieder vrijelijk te verkrijgen en gebruiken zijn. Hierdoor wordt de uitwisselbaarheid en veiligheid in vertrouwelijke communicatie binnen de overheid, maar ook naar haar burgers, vergroot. Binnen de overheid zijn de navolgende implementatie(streef)afspraken gemaakt: Implementatie- deadline Betreffende standaard Uitleg Toepassing Uiterlijk eind 2017 TLS / HTTPS…
27 juni 2019
Verwerking nationaliteit- en etniciteitgegevens bij de Belastingdienst: de Autoriteit Persoonsgegevens zit er bovenop!
Onlangs heeft de Autoriteit Persoonsgegevens (“AP”) bekend gemaakt dat zij onderzoek doet naar verwerkingen van bijzondere persoonsgegevens door de Belastingdienst. Het gaat daarbij met name om gegevens over nationaliteit en etnische achtergrond. Het lijkt er op dat de Belastingdienst deze gegevens bij fraudeonderzoeken over kinderopvangtoeslag gebruikt. Onder de Algemene Verordening Gegevensbescherming (“AVG”) is dit niet toegestaan, tenzij de Belastingdienst zich kan beroepen op een uitzonderingsgrond. Wat is er aan de hand? De Belastingdienst doet regelmatig fraudeonderzoeken naar al dan niet terecht uitgekeerde kinderopvangtoeslag. Bij de AP zijn meldingen binnengekomen dat de Belastingdienst daarbij mogelijk bijzondere persoonsgegevens verwerkt, waaronder gegevens over…
03 juni 2019
Een klacht over een werknemer; inzet recherchebureau gerechtvaardigd?
Werkgevers schakelen regelmatig een onderzoeksbureau in als zij klachten ontvangen over grensoverschrijdend gedrag van een werknemer. Dat bureau verwerkt tijdens het onderzoek uiteraard persoonsgegevens van de werknemer in kwestie, waarbij soms vergaand in het privéleven wordt ‘gedoken’. Is hiervoor toestemming van de betreffende werknemer vereist? En wat zijn de rechten van de werknemer ten aanzien van zijn persoonsgegevens? De Rechtbank Amsterdam deed hier onlangs een uitspraak over. Wat was er aan de hand? Een werkgever heeft klachten ontvangen van een interne klant over een werknemer in verband met grensoverschrijdend gedrag, bestaande uit bedreiging en intimidatie. De betreffende klant meldde onder…
Inzage in documenten: kopie van document of lijst van persoonsgegevens?
Inzagerecht Bij een verzoek om inzage in de verwerking van persoonsgegevens wordt vaak gevraagd om een kopie van documenten waarin zich persoonsgegevens bevinden, zoals kopieën van gespreksverslagen, adviezen en correspondentie. De vraag die hierbij speelt is of het inzagerecht ook het recht op een afschrift (kopie) van deze documenten omvat? Onder de Privacyrichtlijn 1995 is deze vraag zowel door het Hof van Justitie als de Hoge Raad in zijn algemeenheid ontkennend beantwoord. Een punt van discussie is vervolgens of de Algemene Verordening Gegevensbescherming (“AVG”) daar verandering in heeft gebracht. Dat komt doordat het oorspronkelijke AVG-voorstel van de Europese Commissie weliswaar…
19 april 2019
Vallen sms- en WhatsAppberichten ook onder de Wob?
Recent heeft de Raad van State geoordeeld over de vraag of sms- en WhatsAppberichten documenten zijn in de zin van de Wet openbaarheid van bestuur (“Wob”). Bij een bevestigend antwoord zou namelijk ook de inhoud van die berichten kunnen worden opgevraagd met een Wob-verzoek. Het oordeel van de Raad van State leest u in deze blog. Wat was er aan de hand? De kwestie zag op het Wob-verzoek van Branchebelang Thuiszorg Nederland (“BTN”), ingediend bij de minister van Volksgezondheid, Welzijn en Sport (“Minister”), waarmee alle documenten werden opgevraagd betreffende de acties die door of namens de Minister zijn ondernomen naar…
18 april 2019
Een verwijderingsverzoek van het BSN
De Rechtbank Amsterdam heeft onlangs geoordeeld over een verzoek van een zelfstandige tot vervanging van haar Burgerservicenummer (“BSN”) bij de Belastingdienst. Het BSN zit bij zelfstandigen verwerkt in het btw-nummer. Die zijn verplicht dit nummer te vermelden op hun website en/of hun facturen. De zelfstandige in deze kwestie heeft op grond van art. 36 Wet bescherming persoonsgegevens (“Wbp”) een verwijderingsverzoek ingediend inclusief een verzoek tot vervanging van het BSN-gedeelte door een ander (willekeurig) cijfer. Toewijzing van dit verzoek zal echter leiden tot grote gevolgen en hoge kosten voor de Belastingdienst. Het systeem zal dan namelijk moeten worden aangepast. Hoe de…
