Volg Software Zaken

Privacy in het nieuws

| Joost Krapels | Privacy

Dat de hype rondom privacy na de inwerking treding van de AVG niet voor altijd even groot zou blijven is voor niemand een verrassing. Of het naleven van wet-en regelgeving belangrijk blijft voor bedrijven, hangt af van de assertiviteit en activiteit van Toezichthouders. In dit artikel bespreken wij wat er de laatste tijd gebeurd is op het gebied van privacy, acties die de Nederlandse en andere Europese Toezichthouders de afgelopen tijd hebben gedaan, en wat deze van plan zijn in de toekomst. Kortom: hoe was privacy in het nieuws?

Nederland

Overheid maakt extra afspraken met Microsoft

Door haar grote omvang is Microsoft zowel technisch als juridisch lastig te controleren op naleving van de AVG. De Nederlandse overheid heeft, na meerdere signalen van ontevredenheid over het gebrek aan transparantie en twijfel over naleving van de AVG, aanvullende afspraken gemaakt Microsoft over jaarlijkse audits.

Volledige artikel

Onderzoek luchtvaartpassagiers nu ook in Nederland

Ook Nederland heeft nu een wetsvoorstel geaccepteerd dat Nederland doet voldoen aan de Europese PNR-richtlijn. De controle van alle passagiers die Nederland in- en uitvliegen op criminele en terroristische patronen zal gedaan worden door de zogeheten Pi-NL eenheid, die valt onder Defensie. Het project heeft een eigen Functionaris Gegevensbescherming gekregen, en de AP zal toezicht houden.

Volledige artikel

AP publiceert jaarverslag 2018

De Autoriteit Persoonsgegevens heeft met de invoering van de AVG een meer te doen gekregen dan in de jaren er voor. Als toezichthoudend orgaan krijgt de AP veel vragen, die het makkelijkst te beantwoorden zijn door transparant te opereren. In april bracht de AP haar jaarverslag uit, waarin zij ook toelicht welke punten in de tweede helft van 2019 extra aandacht krijgen.

Het jaarverslag

AP publiceert boetebeleid 2019

Zoals al ruim een jaar door de media geroepen wordt, mogen toezichthouders boetes opleggen tot 20 miljoen euro, of 4% van de jaaromzet van het bedrijf als dit hoger is. Het woord tot wordt echter vaak weggelaten, en de toezichthouders leggen zelden de maximum boetes op. De Autoriteit Persoonsgegevens publiceerde in maart een overzicht hoe zij het bedrag van een opgelegde boete berekent.

Het boetebeleid

Toelichting datalekken door AP

Datalekken zijn, door de media aandacht die er vaak mee gemoeid komt, een zichtbaar deel van de AVG. Door de kans op boetes en reputatieschade zijn bedrijven terughoudend in het melden van datalekken. Datalekken moeten echter niet gemeld worden om te weten waar de AP een boete naar moet sturen, maar om de toezichthouder te laten meekijken hoe de betrokken personen beter beschermen kunnen of konden worden. Bedrijven en betrokkenen informeren is deel van de AP’s campagne “wat betekent de privacywet voor jou(w bedrijf)?”

Volledig artikel

Campagne “wat betekent de privacywet voor jou(w bedrijf)?”

De Autoriteit Persoonsgegevens heeft naast het houden van toezicht ook een raadgevende rol. Om Nederlandse bedrijven en consumenten te informeren over de AVG is de AP een campagne gestart. In deze campagne komt elke maand een ander onderwerp, zoals bijvoorbeeld privacyrechten, aan bod. Het centrale informatiepunt is de website www.hulpbijprivacy.nl.

Meer over de campagne

AP start onderzoek naar verwerken nationaliteit door de Belastingdienst

De Belastingdienst kan het niet leuker maken, maar wel makkelijker. Of zij bij het makkelijker maken ook onder andere de nationaliteit van alle personen in hun systemen mogen verwerken, is volgens de AP nog maar de vraag. De toezichthouder is in mei een onderzoek gestart.

Statement van de AP

Statement AP betaalgegevens voor direct marketing

Banken kunnen door middel van geldstromen een vrij scherp beeld vormen van hun klanten. Toen enkele banken hun privacy statements aangepast hadden, en aanstalten maakten om betaalverkeer te gaan analyseren voor direct-marketing doeleinden liet de AP van zich horen. Door middel van een brief aan de Nederlandse Vereniging voor Banken gaf zij aan dat het bieden van een betaalrekening en direct marketing geen verenigbare doelen zijn.

De brief aan de NVB

AP legt boete en dwangsom op aan ziekenhuis

Begin 2018 kwam het Haga Ziekenhuis in Den Haag negatief in het nieuws, omdat tientallen medewerkers onterecht toegang hadden tot het patiëntendossier van een bekende Nederlander. Dit tekortschieten van beveiligingsmaatregelen resulteert in een boete van 460.000 euro in combinatie met een last onder dwangsom van maximaal 300.000 euro als het ziekenhuis in oktober de zaken nog niet op orde heeft.

Volledig artikel en boetebesluit

AP verduidelijkt cookiewall

Cookies zijn er in alle soorten en maten, van functionele cookies tot tracking cookies die het gedrag en de interesses van bezoekers bijhouden. Bedrijven mogen zich voor functionele cookies beroepen op “gerechtvaardigd belang” en “toestemming”, maar hebben voor tracking cookies expliciete toestemming nodig. Personen toegang tot een website verbieden als deze niet akkoord gaan met tracking cookies is volgens de AP verboden.

Volledig artikel

Handleiding voor IoT apparaten door AP

Amazon Alexa’s en Google Home’s komen in steeds meer huishoudens te staan, en zelfs koelkasten kunnen met het internet verbonden worden. Dit alles natuurlijk met de nodige privacy zorgen van dien. De AP bracht daarom een handleiding uit hoe veilig met soort soort apparaten om te gaan is. Opvallend is dat de toezichthouder meer aandacht besteedt aan data die in verkeerde handen komt dan aan de techgiganten die de apparaten ontwikkelen.

Volledig artikel en de handleiding

AP neemt initiatief met posten informatie

De AP lijkt steeds meer haar draai te vinden als centrale toezichthouder onder de AVG. Zo post zij op Twitter en LinkedIn geregeld artikelen en toelichtingen over allerdaagse privacyvraagstukken. Ook beantwoordt zij via deze kanalen vragen van geïnteresseerden en privacy professionals.

Bijvoorbeeld over de groep 8 musical en IoT devices voor vaderdag.

Europa

ICO deelt boete uit aan British Airways

De Britse Toezichichthouder Information Commissioner’s Officer, kortweg ICO, is van plan de luchtvaartmaatschappij een boete van 183 miljoen pond (203 miljoen euro) op te leggen. BA zou haar klanten niet goed beschermd hebben tegen een fout op haar website die bezoekers naar een fraudelente website leidde, waar persoonsgegevens en betaalgegevens buitgemaakt zijn.

Volledig artikel

ICO deelt boete uit aan Marriott

Ook de hotelketen Marriott kan binnenkort een boete van de Britse Toezichthouder verwachten. Door een tekortschietende Due Diligence bij een overname in 2016 zijn in enkele jaren tijd 340 miljoen records gelekt. Het lek ontstond in 2014, en is pas in 2018 opgemerkt. De geplande boete voor nalatigheid is 99,2 miljoen pond(110 miljoen euro).

Volledig artikel

Statement hoofd van de ICO

Data uitwisseling met de VS

Europese bedrijven mogen met Amerikaans bedrijven persoonsgegevens uitwisselen, mits deze zich aangesloten hebben bij het Privacy Shield of gebruik maken van Standard Contractual Clauses. Max Schrems, bekend zijn rechtszaak omtrent Safe Harbour (voorganger Privacy Shield) trekt momenteel wederom de veiligheid van “Europese data” in de VS in twijfel.

Volledig artikel

Statement EDPS over Facebook Cryptovaluta

Facebook richt zich op een grotere markt dan social media alleen. Recentelijk kwam zij uit met Libra, een Cryptomunt waarmee wereldwijd eenvoudig geld overgemaakt kan worden. De Europese Privacy Toezichthouder EDPS plaatse als reactie hierop een statement, waarin zij haar zorgen uitte over de combinatie van gedetaillerde informatie over betaalverkeer met de gigantische hoeveel persoonsgegevens die Facebook nu al verwerkt.

Het statement op LinkedIn

Nieuwe privacy guidelines van EDPB en EDPS

Ook op landoverstijgend niveau is de EU een jaar na de ingang van de AVG nog druk bezig met privacy. De European Data Protection Board, een adviesgevend Europees orgaan, en de EDPS, de Toezichthouder voor Europese instanties, brengen geregeld richtlijnen uit. Zo gaf de EDPB laatst advies over video surveillance, en de EDPS over DPIA’s.

EDPD guidelines en EDPS guidelines

Oprichting Europese AI Ethics groep

Begin april heeft een groep van experts, opgezet door de Europese Commissie, de eerste versie van Europese AI Ethics guidelines uitgebracht. Geïnspireerd door het succes van de AVG is Europa nu op zoek naar een manier om de groei van AI op een veilige en ethische manier te faciliteren.

Volledig artikel

Verenigde Staten

FTC geeft Facebook boete van 5 miljard

Ook in de VS worden grote bedrijven ter verantwoording geroepen voor het verzaken persoonsgegevens te beschermen. In maart 2018 werd de situatie omtrent Cambridge Analytica aan het licht gesteld. De Federal Trade Commission heeft nu, ruim een jaar later, vastgesteld dat Facebook voor haar rol in dit geheel een boete van 5 miljard dollar verdient. Deze boete is echter een settlement, en Facebook is niet verboden om data met derde partijen te delen in de toekomst.

Volledig artikel

Google medewerkers beluisten IoT opnames

Om spraakgestuurde digitale assistenten, zoals Google Assistant, Amazon Alexa, of Apple’s Siri goed te laten werken, moeten de algoritmes er achter getraind worden. Dit vindt plaats door mensen te laten luisteren naar opnames, en het algoritme te laten weten of een gegeven antwoord goed was. Volgens een tester van Google worden er echter ook zeer persoonlijke gesprekken opgenomen. Of Google transparant genoeg is over jouw data gebruiken voor trainingsdoeleinden, en wat dit precies inhoudt, is de vraag.

Volledig artikel

Privacywetgeving voor de gehele VS

De AVG is een verordening die geldt voor alle lidstaten van de EU. Ook bedrijven die persoonsgegevens van personen binnen de EU verwerken of aan hen diensten leveren moeten aan de wet voldoen. De VS hebben momenteel nog niet zo’n uniforme wet, maar daar komt wellicht met de recentelijk geïntroduceerde Privacy Bill of Rights Acts verandering in. Het toezicht van deze AVG-achtige wet zou, mocht hij aangenomen worden, bij de FTC komen te liggen.

Volledig artikel

Privacywetgeving in Californië

Op “State” niveau zijn er in de VS flinke verschillen, zo ook op het gebied van privacy. In Californië is recentelijk de California Consumer Privacy Act, kortweg CCPA, aangenomen. Deze wet is bedoeld om de persoonsgegevens van inwoners van de staat te beschermen, en bedrijven die er gevestigd zijn verantwoording af te laten leggen. (lees, makkelijker aan te klagen) De wet zal in januari 2020 ingaan, en een paar maanden later in werking treden.

Meer over de CCPA

Meer informatie over AVG

ICT Institute organiseert trainingen over privacy en security. Voor FG’s houden wij een paar keer per jaar een gratis toegankelijke intervisie-bijeenkomst. De volgende bijeenkomsten zijn vrijdag 13 september 2019 en vrijdag 15 november. Ook bieden wij een gratis Linkedin groep waarin we tips en nieuws over security en privacy  met elkaar delen.

 

Image credit: www.gutenberg.org

Joost Krapels
Author: Joost Krapels
Joost Krapels MSc. is afgestudeerd aan de Vrije Universiteit Amsterdam, op de ontwikkeling van tools ter ondersteuning van privacywetgeving. Zijn BSc. heeft hij gehaald in Lifestyle Informatics (Artificial Intelligence) en zijn MSc. in Information Sciences, beide aan de VU Amsterdam. Tijdens zijn masterstage bij SoftwareZaken / ICT Institute heeft hij ondernemers geïnterviewd over de impact van de nieuwe privacywet AVG. Bij SoftwareZaken / ICT Institute is hij verantwoordelijk voor de doorontwikkeling van privacy tools en templates en voor advies aan opdrachtgevers.