Privacy in het nieuws
| Joost Krapels |
Privacy
Dat de hype rondom privacy na de inwerking treding van de AVG niet voor altijd even groot zou blijven is voor niemand een verrassing. Of het naleven van wet-en regelgeving belangrijk blijft voor bedrijven, hangt af van de assertiviteit en activiteit van Toezichthouders. In dit artikel bespreken wij wat er de laatste tijd gebeurd is op het gebied van privacy, acties die de Nederlandse en andere Europese Toezichthouders de afgelopen tijd hebben gedaan, en wat deze van plan zijn in de toekomst. Kortom: hoe was privacy in het nieuws?
Nederland
Overheid maakt extra afspraken met Microsoft
Door haar grote omvang is Microsoft zowel technisch als juridisch lastig te controleren op naleving van de AVG. De Nederlandse overheid heeft, na meerdere signalen van ontevredenheid over het gebrek aan transparantie en twijfel over naleving van de AVG, aanvullende afspraken gemaakt Microsoft over jaarlijkse audits.
Onderzoek luchtvaartpassagiers nu ook in Nederland
Ook Nederland heeft nu een wetsvoorstel geaccepteerd dat Nederland doet voldoen aan de Europese PNR-richtlijn. De controle van alle passagiers die Nederland in- en uitvliegen op criminele en terroristische patronen zal gedaan worden door de zogeheten Pi-NL eenheid, die valt onder Defensie. Het project heeft een eigen Functionaris Gegevensbescherming gekregen, en de AP zal toezicht houden.
AP publiceert jaarverslag 2018
De Autoriteit Persoonsgegevens heeft met de invoering van de AVG een meer te doen gekregen dan in de jaren er voor. Als toezichthoudend orgaan krijgt de AP veel vragen, die het makkelijkst te beantwoorden zijn door transparant te opereren. In april bracht de AP haar jaarverslag uit, waarin zij ook toelicht welke punten in de tweede helft van 2019 extra aandacht krijgen.
AP publiceert boetebeleid 2019
Zoals al ruim een jaar door de media geroepen wordt, mogen toezichthouders boetes opleggen tot 20 miljoen euro, of 4% van de jaaromzet van het bedrijf als dit hoger is. Het woord tot wordt echter vaak weggelaten, en de toezichthouders leggen zelden de maximum boetes op. De Autoriteit Persoonsgegevens publiceerde in maart een overzicht hoe zij het bedrag van een opgelegde boete berekent.
Toelichting datalekken door AP
Datalekken zijn, door de media aandacht die er vaak mee gemoeid komt, een zichtbaar deel van de AVG. Door de kans op boetes en reputatieschade zijn bedrijven terughoudend in het melden van datalekken. Datalekken moeten echter niet gemeld worden om te weten waar de AP een boete naar moet sturen, maar om de toezichthouder te laten meekijken hoe de betrokken personen beter beschermen kunnen of konden worden. Bedrijven en betrokkenen informeren is deel van de AP’s campagne “wat betekent de privacywet voor jou(w bedrijf)?”
Campagne “wat betekent de privacywet voor jou(w bedrijf)?”
De Autoriteit Persoonsgegevens heeft naast het houden van toezicht ook een raadgevende rol. Om Nederlandse bedrijven en consumenten te informeren over de AVG is de AP een campagne gestart. In deze campagne komt elke maand een ander onderwerp, zoals bijvoorbeeld privacyrechten, aan bod. Het centrale informatiepunt is de website www.hulpbijprivacy.nl.
AP start onderzoek naar verwerken nationaliteit door de Belastingdienst
De Belastingdienst kan het niet leuker maken, maar wel makkelijker. Of zij bij het makkelijker maken ook onder andere de nationaliteit van alle personen in hun systemen mogen verwerken, is volgens de AP nog maar de vraag. De toezichthouder is in mei een onderzoek gestart.
Statement AP betaalgegevens voor direct marketing
Banken kunnen door middel van geldstromen een vrij scherp beeld vormen van hun klanten. Toen enkele banken hun privacy statements aangepast hadden, en aanstalten maakten om betaalverkeer te gaan analyseren voor direct-marketing doeleinden liet de AP van zich horen. Door middel van een brief aan de Nederlandse Vereniging voor Banken gaf zij aan dat het bieden van een betaalrekening en direct marketing geen verenigbare doelen zijn.
AP legt boete en dwangsom op aan ziekenhuis
Begin 2018 kwam het Haga Ziekenhuis in Den Haag negatief in het nieuws, omdat tientallen medewerkers onterecht toegang hadden tot het patiëntendossier van een bekende Nederlander. Dit tekortschieten van beveiligingsmaatregelen resulteert in een boete van 460.000 euro in combinatie met een last onder dwangsom van maximaal 300.000 euro als het ziekenhuis in oktober de zaken nog niet op orde heeft.
Volledig artikel en boetebesluit
AP verduidelijkt cookiewall
Cookies zijn er in alle soorten en maten, van functionele cookies tot tracking cookies die het gedrag en de interesses van bezoekers bijhouden. Bedrijven mogen zich voor functionele cookies beroepen op “gerechtvaardigd belang” en “toestemming”, maar hebben voor tracking cookies expliciete toestemming nodig. Personen toegang tot een website verbieden als deze niet akkoord gaan met tracking cookies is volgens de AP verboden.
Handleiding voor IoT apparaten door AP
Amazon Alexa’s en Google Home’s komen in steeds meer huishoudens te staan, en zelfs koelkasten kunnen met het internet verbonden worden. Dit alles natuurlijk met de nodige privacy zorgen van dien. De AP bracht daarom een handleiding uit hoe veilig met soort soort apparaten om te gaan is. Opvallend is dat de toezichthouder meer aandacht besteedt aan data die in verkeerde handen komt dan aan de techgiganten die de apparaten ontwikkelen.
Volledig artikel en de handleiding
AP neemt initiatief met posten informatie
De AP lijkt steeds meer haar draai te vinden als centrale toezichthouder onder de AVG. Zo post zij op Twitter en LinkedIn geregeld artikelen en toelichtingen over allerdaagse privacyvraagstukken. Ook beantwoordt zij via deze kanalen vragen van geïnteresseerden en privacy professionals.
Bijvoorbeeld over de groep 8 musical en IoT devices voor vaderdag.
Europa
ICO deelt boete uit aan British Airways
De Britse Toezichichthouder Information Commissioner’s Officer, kortweg ICO, is van plan de luchtvaartmaatschappij een boete van 183 miljoen pond (203 miljoen euro) op te leggen. BA zou haar klanten niet goed beschermd hebben tegen een fout op haar website die bezoekers naar een fraudelente website leidde, waar persoonsgegevens en betaalgegevens buitgemaakt zijn.
ICO deelt boete uit aan Marriott
Ook de hotelketen Marriott kan binnenkort een boete van de Britse Toezichthouder verwachten. Door een tekortschietende Due Diligence bij een overname in 2016 zijn in enkele jaren tijd 340 miljoen records gelekt. Het lek ontstond in 2014, en is pas in 2018 opgemerkt. De geplande boete voor nalatigheid is 99,2 miljoen pond(110 miljoen euro).
Statement hoofd van de ICO
Data uitwisseling met de VS
Europese bedrijven mogen met Amerikaans bedrijven persoonsgegevens uitwisselen, mits deze zich aangesloten hebben bij het Privacy Shield of gebruik maken van Standard Contractual Clauses. Max Schrems, bekend zijn rechtszaak omtrent Safe Harbour (voorganger Privacy Shield) trekt momenteel wederom de veiligheid van “Europese data” in de VS in twijfel.
Statement EDPS over Facebook Cryptovaluta
Facebook richt zich op een grotere markt dan social media alleen. Recentelijk kwam zij uit met Libra, een Cryptomunt waarmee wereldwijd eenvoudig geld overgemaakt kan worden. De Europese Privacy Toezichthouder EDPS plaatse als reactie hierop een statement, waarin zij haar zorgen uitte over de combinatie van gedetaillerde informatie over betaalverkeer met de gigantische hoeveel persoonsgegevens die Facebook nu al verwerkt.
Nieuwe privacy guidelines van EDPB en EDPS
Ook op landoverstijgend niveau is de EU een jaar na de ingang van de AVG nog druk bezig met privacy. De European Data Protection Board, een adviesgevend Europees orgaan, en de EDPS, de Toezichthouder voor Europese instanties, brengen geregeld richtlijnen uit. Zo gaf de EDPB laatst advies over video surveillance, en de EDPS over DPIA’s.
EDPD guidelines en EDPS guidelines
Oprichting Europese AI Ethics groep
Begin april heeft een groep van experts, opgezet door de Europese Commissie, de eerste versie van Europese AI Ethics guidelines uitgebracht. Geïnspireerd door het succes van de AVG is Europa nu op zoek naar een manier om de groei van AI op een veilige en ethische manier te faciliteren.
Verenigde Staten
FTC geeft Facebook boete van 5 miljard
Ook in de VS worden grote bedrijven ter verantwoording geroepen voor het verzaken persoonsgegevens te beschermen. In maart 2018 werd de situatie omtrent Cambridge Analytica aan het licht gesteld. De Federal Trade Commission heeft nu, ruim een jaar later, vastgesteld dat Facebook voor haar rol in dit geheel een boete van 5 miljard dollar verdient. Deze boete is echter een settlement, en Facebook is niet verboden om data met derde partijen te delen in de toekomst.
Google medewerkers beluisten IoT opnames
Om spraakgestuurde digitale assistenten, zoals Google Assistant, Amazon Alexa, of Apple’s Siri goed te laten werken, moeten de algoritmes er achter getraind worden. Dit vindt plaats door mensen te laten luisteren naar opnames, en het algoritme te laten weten of een gegeven antwoord goed was. Volgens een tester van Google worden er echter ook zeer persoonlijke gesprekken opgenomen. Of Google transparant genoeg is over jouw data gebruiken voor trainingsdoeleinden, en wat dit precies inhoudt, is de vraag.
Privacywetgeving voor de gehele VS
De AVG is een verordening die geldt voor alle lidstaten van de EU. Ook bedrijven die persoonsgegevens van personen binnen de EU verwerken of aan hen diensten leveren moeten aan de wet voldoen. De VS hebben momenteel nog niet zo’n uniforme wet, maar daar komt wellicht met de recentelijk geïntroduceerde Privacy Bill of Rights Acts verandering in. Het toezicht van deze AVG-achtige wet zou, mocht hij aangenomen worden, bij de FTC komen te liggen.
Privacywetgeving in Californië
Op “State” niveau zijn er in de VS flinke verschillen, zo ook op het gebied van privacy. In Californië is recentelijk de California Consumer Privacy Act, kortweg CCPA, aangenomen. Deze wet is bedoeld om de persoonsgegevens van inwoners van de staat te beschermen, en bedrijven die er gevestigd zijn verantwoording af te laten leggen. (lees, makkelijker aan te klagen) De wet zal in januari 2020 ingaan, en een paar maanden later in werking treden.
Meer informatie over AVG
ICT Institute organiseert trainingen over privacy en security. Voor FG’s houden wij een paar keer per jaar een gratis toegankelijke intervisie-bijeenkomst. De volgende bijeenkomsten zijn vrijdag 13 september 2019 en vrijdag 15 november. Ook bieden wij een gratis Linkedin groep waarin we tips en nieuws over security en privacy met elkaar delen.
Image credit: www.gutenberg.org
Joost Krapels MSc. heeft zijn BSc. in Artificial Intelligence en zijn MSc. in Information Sciences gehaald aan de VU Amsterdam. Bij ICT Institute adviseert hij over informatiebeveiliging (CISSP, Security+, IRCA/CQI Lead Auditor), privacy (CIPP/E), praktisch toepassen van de AVG, en voert hij IT Due Diligence onderzoek uit.