Opinie

Nog steeds bestaat er discussie over de vraag of de tijd die Verwerker neemt voor het melden van een datalek aan Verwerkingsverantwoordelijke af gaat van de 72 uur die Verwerkingsverantwoordelijke heeft. Dat is vreemd, want art. 33 lid 1 AVG is vrij duidelijk:

Indien een inbreuk in verband met persoonsgegevens heeft plaatsgevonden, meldt de verwerkingsverantwoordelijke deze zonder onredelijke vertraging en, indien mogelijk, uiterlijk 72 uur nadat hij er kennis van heeft genomen [...] Indien de melding aan de toezichthoudende autoriteit niet binnen 72 uur plaatsvindt, gaat zij vergezeld van een motivering voor de vertraging.

Ten eerste is het natuurlijk zaak om de melding zo snel mogelijk te doen en dus zonder onredelijke vertraging. Het liefst natuurlijk eerder dan 72 uur: dat is nadrukkelijk een maximale termijn.

Lees hier verder. >>>

Regelmatig hoor je term 'privacywet' als mensen de AVG bedoelen. Er is geen algemene 'privacywet'. Er is wel een wet die gaat over gegevens. Met name over gegevensbescherming. Ziedaar de naam: "Algemene Verordening.... Gegevensbescherming". Het was de oplettende lezer al opgevallen dat "AVG" geen P bevat. De echte kenner wist dat ook al over de Wbp: de "Wet bescherming persoonsgegevens" - niet de Wet bescherming privacy.

Lees hier verder. >>>

Door ons en vele anderen is uitvoerig geschreven over toestemming als grondslag. Over dat toestemming als grondslag het laatste redmiddel is. Op andere blogs lees je vooral ook veel over dat die toestemming 'vrijelijk' moet zijn: geinformeerd, ondubbelzinnig, zonder dwang. Vermoedelijk is toestemming een van de moeilijkste onderwerpen van de AVG.

De discussie die ik minder vaak hoor is hoe onhandig toestemming is om mee te werken. De AVG gaat immers veel verder dan het vragen om toestemming. Je moet die toestemming administreren (art. 7 lid 1). Je moet er op voorbereid zijn dat de betrokkene zijn toestemming op ieder moment kan intrekken en vanaf dat moment dus jouw grondslag wegneemt. Elke keer als ik ergens lees dat toestemming nodig is, vraag ik me af of die administratie ook echt gevoerd wordt en wat er gebeurt bij intrekking.

Lees hier verder. >>>

In een vorige opinie schreef ik dat de on-premise softwareleverancier niet een Verwerker wordt als er situaties zijn waarin hij in contact komt met data van de klant. Waardoor je in veel situaties kunt volstaan met geheimhoudingsverklaring en geen verwerkersovereenkomst hoeft te regelen. Uit de reacties die ik heb gekregen kwam het verzoek om een paar concrete situaties uit te werken. Bij deze.

Lees hier verder. >>>

Een van de meest gestelde AVG-vragen in de softwareindustrie is of je een verwerker bent als je on-premise software levert. En dus of in dat geval wel een verwerkersovereenkomst is vereist. De discussie gaat dan om ondersteunende diensten zoals consultancy (applicatiebeheer voor de klant bijvoorbeeld, of configuratiewerkzaamheden) en support (waaronder het 'inbellen'). Jouw medewerkers kunnen in contact komen met de persoonsgegevens die jouw klant verwerkt. Maar maakt dat van jou een Verwerker in de zin van de AVG?

Lees hier verder. >>>

Organisaties kunnen op verschillende manier de privacy van betrokkenen schenden. Hoewel het lekken van persoonsgegevens daar slechts één van is, is dat wel hetgeen vaak de media haalt. Het beveiligen van persoonsgegevens wordt door velen dan ook als het belangrijkste onderdeel gezien van privacy en is om die reden in veel gevallen een belangrijk onderdeel van de data protection impact assessment (DPIA). Dit is naar mijn idee echter onjuist. In dit artikel is beschreven waar een DPIA feitelijk over moet gaan en waarom beveiliging daar niet in thuis hoort.

Lees hier verder. >>>

Sinds de komst van de AVG hebben cybersecurityexperts er een extra uitdaging bij, namelijk het beveiligen van persoonsgegevens. De valkuil voor hen is dat zij, door onvoldoende kennis van de AVG, denken dat dat het enige is wat gegevensbescherming inhoudt. Echter, het beveiligen van gegevens is slechts 1 van de 99 artikelen uit de AVG.

Ik hoor ook regelmatig geluiden over de FG die half op de stoel van de CISO gaat zitten, omdat hij/zij zich geroepen voelt om een inhoudelijke mening of reactie te geven over artikel 32. Echter, het feit dat de AVG een artikel bevat over informatiebeveiliging, maakt dat niet automatisch een verantwoordelijkheid van de FG.

Lees hier verder. >>>

In het verleden heeft de AP het Burgerservicenummer (BSN) een 'bijzonder persoonsgegeven' genoemd. Ik herinner me dat uit 2016 maar wellicht was het al eerder.
Die woordkeus heeft grote gevolgen gehad: het BSN werd binnen de overheid een soort 'untouchable' gegeven. Het hielp natuurlijk niet dat de titel van dat stukje was "AP treedt op tegen verboden gebruik BSN". In de praktijk geldt voor het BSN sindsdien "verboden tenzij" en ik heb de stellige overtuiging dat die benadering te streng is.

Lees hier verder. >>>

Binnen de gegevensbescherming wordt regelmatig gesproken over privacyrisico's. Dat vind ik eigenlijk best vreemd. In het woord risico schuilt namelijk een zekere onzekerheid. Die onzekerheid kennen we vanuit de informatiebeveiliging: risico = kans × impact. Het gaat daarbij om het maken van een inschatting van een mogelijk incident in de toekomst. Echter, wanneer spreken we binnen gegevensbeschermingeigenlijk van kans? Gegevensbescherming kent zeker ook de beveiliging van persoonsgegevens, zoals benoemd in artikel 32, maar hoe zit dat met de overige artikelen? Denk aan zaken als dataminimalisatie, inzagerecht, transparantie, rectificatie en wissing van gegevens, bescherming tegen profilering, etc. Is daarbij sprake van kans? Je hebt dat als verantwoordelijke op dit moment goed ingericht of niet. Daar hoef je dus geen inschatting voor de toekomst bij te maken. Ja, het niet goed ingericht hebben van dat soort onderwerpen vormt een risico voor de betrokkenen, maar wellicht is het dan eerlijker om het te hebben over gegevensbeschermingsonkunde (bij de verantwoordelijke) in plaats van privacyrisico's.

Lees hier verder. >>>

Een veel gemaakte fout rondom de Algemene Verordening Gegevensbescherming (AVG) is dat voor de verwerking van persoonsgegevens altijd toestemming nodig is. Om persoonsgegevens te mogen verwerken heb je een grondslag nodig. In normaal Nederlands betekent dit dat je een juridisch onderbouwde reden moet hebben om dit te mogen doen. De AVG biedt meerdere grondslagen, waar toestemming er slechts een van is. Voordat we dieper ingaan op toestemming, bekijken we eerst welke grondslagen de AVG biedt.

Lees hier verder. >>>

De AP meldt dat de KvK stopt met de verkoop van namen en adressen van bedrijven. Het belangrijkste probleem daarmee is dat het adres van een ZZP'er in veel gevallen een prive-adres is.

Mij viel vooral dit citaat op:

Wolfsen: ‘De persoonsgegevens uit het Handelsregister zijn toch vooral bedoeld om de rechtszekerheid in het economisch verkeer te dienen. Dus om informatie te verkrijgen die je nodig hebt in het zakelijk verkeer. Zoals wie je leverancier is, wie de bestuurder van een bedrijf is en wie tekenbevoegd is enzovoort. Deze persoonsgegevens mogen natuurlijk niet voor hele andere doeleinden worden gebruikt.’

Lees hier verder. >>>

In de eerste helft van 2018 zijn alle rijksambtenaren overgegaan naar een andere mobiliteitskaart. Daarbij zou ik zelf als rijksambtenaar overgaan van een naamloze mobiliteitskaart naar een waar mijn voorletters, achternaam en geboortedatum op vermeld staan. Ook zouden vele persoonsgevens naar de aanbieder van deze nieuwe mobiliteitskaart gaan, waaronder mijn thuisadres, telefoonnummer en naam van het minsterie en de afdeling waar ik werk. Ik, en vele collega's met mij, hadden daar de nodige bedenkingen bij. Mijn belangrijkste bezwaren waren tegen de verwerking van mijn thuisadres, naam en geboortedatum. Hieronder licht ik toe waarom.

Lees hier verder. >>>

Bezint eer ge begint. Dit geldt voor alles, ook voor de verwerking van persoonsgegevens. Een goede DPIA is naar mijn idee de basis voor een goede en eerlijke verwerking. Alleen hebben we nog een lange weg te gaan daarin, denk ik.

Ongeveer een jaar geleden zijn wij begonnen met het ontwikkelen van een eigen DPIA model. De reden daarvoor was omdat we vonden dat er geen goed model beschikbaar was. De enige beschikbare was het model Gegevensbeschermingseffectbeoordeling Rijksdienst (GEB Rijksdienst), maar deze vonden we te weinig sturend, legde te weinig de vinger op de zere plek en vergde daardoor de aanwezigheid van een expert om er een goede invulling aan te geven. Zeker voor MKB organisaties was het uitvoeren van een DPIA daardoor geen eenvoudige opgave.

Lees hier verder. >>>

Sinds september 2019 bestaat de NEN-ISO/IEC 27701 standaard. NEN omschrijft deze standaard als volgt:

NEN-ISO/IEC 27701 specificeert eisen en geeft richtlijnen voor het inrichten, implementeren, onderhouden en continu verbeteren van een managementsysteem voor privacy-informatie ('Privacy Information Management System', PIMS) in de vorm van een uitbreiding op ISO/IEC 27001 en ISO/IEC 27002 voor privacymanagement binnen de context van de organisatie

De 27001 en 27002 standaarden gaan over informatiebeveiliging. Iedereen die een beetje verstand heeft van gegevensbescherming, weet dat gegevensbescherming meer is dan alleen de beveiliging van persoonsgegevens. Is het dus verstandig om een standaard die een organisatie grip moet geven op gegevensbescherming, te baseren op een standaard voor informatiebeveiliging? In dit artikel ga ik in op die vraag.

Lees hier verder. >>>

In haar verslag over 2017 en 2018 heeft de Saksische toezichthouder (DPA) de vraag behandeld of een penetratietest moet worden gezien als een verwerking door een Verwerker. Dit bericht is alweer van enige tijd geleden maar levert in de praktijk nog steeds vragen op. In de discussies die ik heb kunnen vinden (links onderin) mis ik de brontekst en het kernargument. Daarom toch nog ook deze bijdrage aan dit debat.

Zoals je hier gewend bent: wij proberen volledig te zijn. Dus: 'warning: long read'.

Lees hier verder. >>>

Onderstaand mijn vertaling van het advies uit paragraaf 4.3.4 van het rapport (link). Mijn Duits is niet perfect, dus als er fouten in staan hoor ik dat graag (in de comments). De onderstreping is door mij toegevoegd.

De oorspronkelijke tekst staat onderin, zowel ter referentie als verantwoording.

Lees hier verder. >>>

In mijn opiniestuk over de verwarring tussen privacy en beveiliging tijdens een PIA, noemde ik concrete vrijheid en mentale vrijheid als basis voor privacy. Deze keuze heeft wellicht wat toelichting nodig, want ik wijk daarmee af van wat veel privacyspecialisten als onderverdeling hanteren, namelijk: lichamelijke privacy, territoriale privacy, informatieprivacy en communicatieprivacy. Op zich vind ik dit een interessante onderverdeling, maar naar mijn idee raakt dit niet de kern van wat privacy feitelijk is.

Lees hier verder. >>>

Busreiziger Michiel Jonker heeft een rechtszaak aangespannen tegen de Autoriteit Persoonsgegevens (AP), vanwege de weigering van de AP om handhavend op te treden tegen vervoerbedrijf Breng/Connexxion. Connexxion weigert, net als veel andere Nederlandse vervoerbedrijven, sinds medio 2018 om in de bus betaling van kaartjes met contant geld te accepteren. Volgens Jonker is dit een schending van zijn privacy, omdat dit hem als busreiziger verplicht tot pinbetaling, waarbij zijn persoonsgegevens worden verwerkt. Jonker diende hierover in juli 2018 een handhavingsverzoek in bij de AP.

Lees hier verder. >>>

De AP schrijft dat websites toegankelijk moeten blijven als de gebruiker tracking cookies weigert. De NOS bericht daarover met een naar mijn idee vrij onduidelijk verhaal over de vraag of dit nu terecht is of niet.

Lees hier verder. >>>

De uitkomsten van een DPIA worden doorgaans geheim gehouden. Ze worden beschouwd als interne bedrijfsinformatie. Eigenlijk is dat gek. Je brengt namelijk risico's in kaart voor anderen; de betrokkenen. Die zouden moeten mogen weten welk risico ze lopen. Toch?

Lees hier verder. >>>

Artikel 30 van de AVG eist dat een verwerkingsverantwoordelijke een register bijhoudt van de verwerkingsactiviteiten die onder zijn verantwoordelijkheid plaatsvinden. En dat is heel logisch. Om de overige artikelen van de AVG te kunnen naleven, moet je natuurlijk wel weten om welke gegevens het precies gaat. Veel organisaties leggen vanwege deze verplichting zo'n verwerkingsregister aan, gebruikmakend van zelf gemaakte Excelsheets tot aan specifiek daarvoor ontwikkelde tooling. En hoewel je met zo'n verwerkingsregister voldoet aan een van de vele eisen vanuit de AVG, is de vraag of het hebben van zo'n apart register de juiste aanpak is. Persoonsgegevens zijn namelijk niet het enige soort gegeven dat om goed beheer en om goede beveiliging vraagt. Ook voor andere vertrouwelijke bedrijfsinformatie geldt dat het goed zicht hebben erop noodzakelijk is om ze goed te kunnen beheren en beveiligen. Eigenlijk wil je als organisatie een centraal overzicht hebben van alle bedrijfsinformatie. Of iets een persoonsgegeven is en de verwerking daarvan dus onder de AVG valt, zou eigenlijk niet meer dan een attribuut van informatie in dat centrale overzicht moeten zijn.

Lees hier verder. >>>