WhatsApp wordt aangeschreven door artikel 29 Data Protection Working Party

facebook-257168_640(1)
CC0 Public Domain

De artikel 29 Data Protection Working Party is het onafhankelijke advies -en overlegorgaan van Europese privacytoezichthouders. De werkgroep bestaat uit de diverse nationale Europese privacytoezichthouders, zoals ook de Nederlandse Autoriteit Persoonsgegevens.

Deze werkgroep heeft onlangs een open brief gestuurd aan WhatsApp in verband met het delen van de data van de gebruikers van WhatsApp met moederbedrijf Facebook. In augustus 2016 werden de gebruiksvoorwaarden en de privacyverklaring van WhatsApp aangepast waarin werd aangegeven dat data met moeder bedrijf Facebook zou worden gedeeld TENZIJ je zelf actief actie ondernam en de instelling wijzigde.

Is de toestemming om data te delen op de juiste wijze verkregen?

Het is aldus maar de vraag of de betrokkene op de correcte wijze toestemming heeft gegeven om deze gegevens te delen met Facebook.

In de brief doet de werkgroep dan ook het verzoek aan WhatsApp om alle relevante informatie, zoals welke categorieën van persoonsgegevens worden doorgegeven, maar ook op welke wijze WhatsApp deze gegevens heeft verkregen en met welke partijen deze gegevens worden gedeeld, aan de werkgroep te sturen zodat de werkgroep kan beoordelen of de verwerking compliant is met de Europese regelgeving. Zij sluit de brief af met een dringend beroep richting WhatsApp om in de tussentijd te stoppen met het delen van de data met moederbedrijf Facebook.

Ik ben zeer benieuwd naar de acties van WhatsApp/Facebook.

94% bedrijven heeft te maken met datalek

Wederom in het nieuws dat het niet langer de vraag is OF je met datalek te maken krijgt maar WANNEER.

De vraag is niet OF je met datalek te maken krijgt maar WANNEER

Uit een onderzoek uit 2015 was dit ook al de conclusie. Dus wat dat betreft is er niets nieuws onder de zon.

Er wordt gesproken over een datalek wanneer er zich een beveiligingsincident heeft voorgedaan waarbij gegevens verloren zijn gegaan OF wanneer onrechtmatige verwerking van deze gegevens redelijkerwijs niet is uit te sluiten. Dit heb ik eerder toegelicht in een blog.

Het is daarom voor alle bedrijven belangrijk om een procedure in te stellen, waarin zowel het voorkomen, als ook het detecteren en opvolgen van een datalek wordt opgenomen. Hierbij is de samenwerking tussen de disciplines IT, security en legal essentieel.

Pokémon Go

Pokémon, 21 jaar geleden bedacht in Japan. Destijds via tv, spellen op de spelcomputer en een kaartspel. Zelf had ik de indruk dat Pokémon een beetje was uitgedoofd en toen was daar opeens Pokémon Go.

27541296473_1f91ef4461_z

Bron: Flickr – Eduardo Woo – CC BY-SA2.0

Hype

En het is een regelrechte hype. Nog voordat de app officieel in Nederland uitkwam, zag ik veel mensen met hun telefoon zoeken naar Pokémon. In de Efteling vindt in augustus zelfs een speciaal Pokémon Go evenement plaats. Toch bleek diezelfde Efteling een jaar geleden niet geïnteresseerd te zijn in een spel waarbij ook gebruik werd gemaakt van augmented reality waarbij sprookjesfiguren konden worden gezocht.

Privacy

In verband met de instellingen van de app, ontstond er zelfs commotie over de privacy. In de iOS versie gaf je complete toegang onder je Google account. Hier werd snel op gereageerd door de app en middels een update werd deze toegang behoorlijk ingeperkt.

Hiermee zijn niet automatisch alle privacy issues opgelost. Een Duits verbond van consumentenorganisaties heeft vraagtekens gezet bij diverse bepalingen uit de voorwaarden van de app. Persoonsgegevens worden bijvoorbeeld doorgegeven aan derde partijen wat niet zou zijn toegestaan.

In de Verenigde Staten heeft de non-profit organisatie Common Sense Media die “the safe use of media and technology by young people” als speerpunt hebben haar bezorgdheid uitgesproken over de app. Of er inderdaad wordt voldaan aan het strenge vereiste om toestemming te vragen aan ouders van kinderen (zoals onder meer ook de Europese Verordening voorschrijft) is zeer de vraag.

Er wordt door sommigen betoogd dat het spel zelfs is ontwikkeld ten behoeve van spionage en door criminelen of terroristen misbruikt zou kunnen worden.

In het nieuws

De app brengt heel wat teweeg, ook op juridisch gebied:

  • Zo was het Israëlische leger bezorgd over datalekken en verbood het spelen van Pokémon Go
  • Ziekenhuizen in de Verenigde Staten verbieden het vanuit “patient safety” en “privacy reasons”
  • Twee Amerikaanse spelers werden zelfs opgepakt vanwege het feit dat ze ’s nachts over het hek van een dierentuin klommen om Pokémon te vangen
  • In Bosnië worden spelers zelfs gewaarschuwd voor een mijnenveld

En ook in Nederland waren er de nodige bijzonderheden:

  • Het politiebureau in Amsterdam waarschuwde voor het spel
  • Gebruikers moesten van het spoor worden gehaald en treinen moesten langzamer rijden
  • Ontslag vanwege het spelen van Pokémon Go

Tenslotte

De app is erg slim bedacht van de makers Niantic Labs. De app is gratis en dat betekent dat je betaalt met je privacy. Wel goed om daar in ieder geval even bij stil te staan en daar zo goed mogelijk mee om te gaan. Veel plezier met het spel!

Europese Privacy Verordening

Op 25 mei 2016 is de Europese Privacy Verordening in werking getreden. De Nederlandse tekst van deze Verordening tref je hier aan.

De Verordening heeft directe werking in alle lidstaten en dus ook in Nederland. Alhoewel bedrijven 2 jaar de tijd krijgen om hun processen aan te passen aan de vereisten van de Verordening is het aan te raden hier tijdig mee te beginnen. De veranderingen die de wetgeving met zich meebrengt zijn namelijk behoorlijk ingrijpend, vooral op het gebied van accountability. Organisaties zullen actief moeten kunnen aantonen dat zij voldoen aan de Verordening waarbij het van belang is dat bewijs kan worden geleverd omtrent een deugdelijk management op het gebied van privacy. Zo dienen bijvoorbeeld alle verwerkingen van persoonsgegevens binnen een organisatie te worden gedocumenteerd. Dit is een behoorlijk intensief en tijdrovend proces. Maar ook andere wijzigingen kunnen behoorlijk ingrijpend zijn.

Mijn advies : start zo vroeg mogelijk zodat je later niet voor verrassingen komt te staan. 25 mei 2018 lijkt nu nog ver weg, maar is dichterbij dan je denkt!

 

 

Waterdichte systemen bestaan niet meer

Anno 2016 is het niet langer de vraag voor bedrijven OF er een inbraak op hun systemen plaatsvindt maar WANNEER.

Uit de Breach Level Index (BLI) van het Nederlandse beveiligings- en security bedrijf Gemalto over 2015 blijkt dat er elke seconde wereldwijd 22 datarecords lekken. In het overgrote deel gaat het daarbij om een inbraak in systemen maar ook onbedoeld verlies of blootstelling van de gegevens komt veelvuldig voor.

Per inbraak meer data

In 2015 vonden wereldwijd 1.673 datalekken plaats waarbij 707 miljoen datarecords aangetast. Bij 46 datalekken werden telkens meer dan 1 miljoen gegevens buitgemaakt.12 procent van het totaal aantal datalekken vond in Europa plaats, in totaal gaat het daarbij om 209 incidenten. 8 hiervan vonden in Nederland plaats.

In totaal hebben er in 2015 weliswaar minder datalekken plaatsgevonden maar het aantal datarecords dat hierbij is aangetast is behoorlijk gestegen.

Identiteitsfraude

In 2013 en 2014 werden nog voornamelijk financiële gegevens, zoals creditcardgegevens, buit gemaakt. In 2015 blijkt dat kwaadwillende hackers voornamelijk gegevens stelen om hiermee identiteitsfraude te kunnen plegen.

Beveiliging

Zorgwekkend is dat er slechts in 4 procent van de gevallen sprake was van versleutelde data. Het beveiligen van persoonsgegevens wordt steeds belangrijker. Maak daarbij zeker gebruik van twee-factor authenticatie en encryptietechnieken. Als onderdeel van je privacybeleid zou je dit in een beveiligings- en securitybeleid dienen op te nemen en in de organisatie in te voeren.

 

Beleidsregels meldplicht datalekken

Vandaag heeft het College bescherming persoonsgegevens (CBP, dat vanaf januari 2016 Autoriteit Persoonsgegevens zal heten)  de definitieve beleidsregels gepubliceerd inzake de meldplicht datalekken die per 1 januari 2016 ingaat.

Op basis van de beleidsregels kunnen organisaties beoordelen of er sprake is van een datalek dat gemeld dient te worden bij het CBP en mogelijk de betrokkenen.

Datalek

Er is sprake van een datalek als er een beveiligingsincident is opgetreden waarbij persoonsgegevens verloren zijn gegaan of waarbij onrechtmatige verwerking van de persoonsgegevens niet kan worden uitgesloten.

Melding

Als een datalek leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens of wanneer hier een aanzienlijke kans op bestaat dient een melding binnen 72 uur plaats te vinden aan het CBP. In de afweging of er sprake is van (een aanzienlijke kans op) ernstige nadelige gevolgen moet rekening worden gehouden met de aard van de persoonsgegevens. Als er sprake is van gevoelige gegevens (zoals bijzondere persoonsgegevens, financiële gegevens, inloggegevens etc.) zal een melding sneller verplicht zijn.

Daarnaast dienen betrokkenen afzonderlijk te worden geïnformeerd als een datalek waarschijnlijk ongunstige gevolgen zal hebben voor hun persoonlijke levenssfeer.De melding aan betrokkenen kan achterwege worden gelaten op het moment dat de persoonsgegevens dusdanig zijn versleuteld (door encryptie, hashing) dat deze onbegrijpelijk of ontoegankelijk zijn voor derden.

Boete

Bij overtreding kan het CBP een boete opleggen die kan oplopen tot 820.000 Euro. Wanneer de overtreding niet opzettelijk is gepleegd of het gevolg is van ernstig verwijtbare nalatigheid, volgt er eerst een bindende aanwijzing van het CBP voordat over wordt gegaan tot oplegging van een boete.

Verantwoordelijke

De verplichting tot het doen van een melding rust op de verantwoordelijke. Verwerking van persoonsgegevens wordt vaak uitbesteed aan bewerkers. Het is aldus zaak om goede afspraken met bewerkers te maken zodat je als verantwoordelijke tijdig en op de juiste wijze geïnformeerd wordt.

 

 

 

Databank mag worden doorverkocht

money-718614_1920
CC0 Public Domain

Op 22 oktober 2015 oordeelde de voorzieningenrechter in Amsterdam dat een deurwaarder een database met daarin de gegevens van 10.000 “topvrouwen” uit het bedrijfsleven mag doorverkopen aan een derde partij.

Achtergrond

Woman Capital is een headhuntersbureau en was eerder door de rechter veroordeeld een bedrag van meer dan € 54.000,- te betalen aan een voormalig partner van het bureau. Omdat Woman Capital niet in staat was dit bedrag te betalen werd door een deurwaarder beslag gelegd op de database van Woman Capital met daarin de profielen van 10.000 vrouwen opgenomen. De deurwaarder was van plan de database te veilen.

Privacy

In reactie hierop heeft een groot aantal vrouwen bezwaar gemaakt op basis van schending van hun privacy. De deurwaarder is vervolgens een kort geding gestart om duidelijkheid te verkrijgen. De rechter oordeelde dat verkoop is toegestaan en de privacy van personen in de database voldoende is gewaarborgd. Dit voornamelijk omdat de deurwaarder in de veilingvoorwaarden had opgenomen dat alleen organisaties die in dezelfde branche opereren een bod mochten uitbrengen op de database.

Hieruit vloeit voort dat degenen die mogen bieden op het databestand gebonden zullen zijn aan dezelfde regelgeving met betrekking tot persoonsgegevens en privacy als Woman Capital en dezelfde discretie in acht dienen te nemen. Voldoende aannemelijk is dan ook dat de koper van het databestand dit voor hetzelfde doel als Woman Capital zal gebruiken. Hiermee zijn de gegevens van de personen die zijn opgenomen in het databestand en hun privacy vooralsnog voldoende gewaarborgd.

Juiste beslissing?

Helaas zijn via de website van Woman Capital geen voorwaarden of privacyverklaring (meer) toegankelijk. Ik vraag me namelijk af of hierin bijvoorbeeld was opgenomen dat gegevens niet zouden worden verkocht aan derde partijen. Als dit het geval zou zijn geweest, lijkt doorverkoop niet zonder meer mogelijk.

Het feit dat de rechter doorverkoop heeft toegestaan heeft volgens mij ook te maken met de omstandigheid dat iedere “topvrouw” aan de koper van de database een verzoek kan richten tot verwijdering uit de database. De koper moet aan zo’n verzoek voldoen en daarmee is de confidentialiteit toch nog gewaarborgd.

Op de website van Woman Capital lees ik dat het College Bescherming Persoonsgegevens een onderzoek zou zijn gestart. Mocht dat daadwerkelijk zo zijn dan ben ik benieuwd naar de bevindingen van het CBP.

 

Mini-congres Meldplicht Datalekken

Op 18 november a.s. geef ik samen met ir. Ed Muylkens van EMCS IT Services een presentatie op het mini-congres over de meldplicht datalekken. Het mini-congres wordt georganiseerd door EMCS IT Services in samenspraak met Tribes en het Juristencollectief. Het Juristencollectief is een samenwerking waarin ik vanuit LegalTech met andere juristen zelfstandig samenwerk en op die manier krachten bundel voor ondernemers.

Meldplicht Datalekken
Vanaf 1 januari a.s. bent u verplicht inbreuken op de beveiliging van privacygevoelige data te melden bij het College Bescherming Persoonsgegevens (CBP) en de betrokkenen. U heeft daar vast al over gelezen in de media. Dit is het gevolg van de wetswijziging Meldplicht Datalekken en de uitbreiding van de boetebevoegdheid voor het College Bescherming Persoonsgegevens (CBP) die de Eerste Kamer op 26 mei 2015 heeft aangenomen.

Wat betekent dit en wat zijn de gevolgen voor u?
Boetes voor overtreding van de wet kunnen oplopen tot € 810.000 of 10% van uw jaaromzet. U dient daarom stappen te ondernemen om u daartegen te beschermen. Dit ongeacht het aantal dossiers met privacy gevoelige informatie. Ook heeft deze wet gevolgen voor contracten met bestaande klanten en relaties.
Kom naar ons minicongres. Daar verneemt u wat dit voor u en uw bedrijf betekent.

Onderwerpen tijdens het mini-congres
De volgende onderwerpen zullen aan bod komen tijdens het mini-congres:
-Op welke gegevens is de Wet bescherming persoonsgegevens van toepassing? Wat mag wel en wat niet?
-Welke effecten heeft de nieuwe meldplicht datalekken op uw bedrijf?
-Wie is er aansprakelijk als de Wet bescherming persoonsgegevens niet wordt gevolgd en welke risico’s loopt u?
-Welke maatregelen moeten worden genomen op het gebied van informatiebeveiliging? Onderverdeeld naar techniek, organisatie en menselijke gedrag.
-Hoe realiseert u op praktische wijze informatiebeveiliging in uw bedrijf?

Wanneer, waar & hoe aan te melden?
De workshop wordt gehouden op 18 november a.s. op de Tribes lokatie, Flight Forum 840 in Eindhoven. Uw gastheer van Tribes is Jan-Joris Bernaards. Aanvang 13.00 uur, einde 17.00 uur aansluitend een netwerkborrel.
Kosten € 75 ex. BTW voor externen. Relaties van Tribes, Het Juristencollectief of EMCS IT Services betalen € 50 ex. BTW.
Aanmelden kan via mail: contact@emcs-it-services.nl, onder vermelding van de bedrijfsnaam, naam bezoeker(s), mailadres en telefoonnummer. U ontvangt dan een bevestiging.

Streaming juridisch nieuw(s)?

meerkatDe techniek blijft zich maar ontwikkelen en de mogelijkheden lijken eindeloos te zijn. Maar wat je kunt doen is zeker niet altijd toegestaan. Het live streamen van materiaal via Meerkat en Periscope is een goed voorbeeld daarvan. De betaalzender HBO blijkt boos op Periscope vanwege het streamen van de nieuwste aflevering van Games of Thrones.

Gebruikersvoorwaarden
Streamen van materiaal waarvan je zelf rechthebbende bent en dat ook rechtsgeldig is gefilmd (zie hieronder) vormt uiteraard geen probleem. In de gebruiksvoorwaarden van de streamingsdiensten staat duidelijk vermeld dat je zelf volledig verantwoordelijk bent voor de content die je plaatst/streamt. In artikel 4 van de voorwaarden van Meerkat wordt dit als volgt omschreven:

All Content, whether publicly posted or privately transmitted, is the sole responsibility of the person who originated such Content. We may, but are not required to monitor or control the Content posted via the Services and we cannot take responsibility for such Content. Any use or reliance on any Content or materials posted via the Services or obtained by you through the Services is at your own risk.

Materiaal legaal
De vraag of het materiaal dat wordt gestreamd legaal is hangt af van de vraag of het materiaal rechtmatig is verkregen. Mochten er opnames worden gemaakt op de desbetreffende plek? Bij concerten of in de rechtszaal gelden bijvoorbeeld huisregels waaruit blijkt dat het niet is toegestaan opnames te maken. Ditzelfde zal ook snel gelden voor een congres waarvoor deelnemers een toegangskaart dienen te betalen. Ook is het niet toegestaan stiekem opnames te maken van personen in besloten ruimtes.

Publicatie toegestaan?
Wanneer het gaat om opnames die rechtmatig zijn gemaakt dan kan het op grond van een privacybelang toch nog steeds verboden zijn om het materiaal te publiceren. Voornamelijk wanneer een persoon die is gefilmd een redelijk belang heeft zich te verzetten tegen een publicatie. Dit is mogelijk op basis van het portretrecht.

Daarnaast kan het verboden zijn om opnames te publiceren vanwege het feit dat daarmee het auteursrecht van de rechthebbende wordt geschonden.

Streamen is geen downloaden en dus legaal?
Na de invoering van het downloadverbod werd vanuit meerdere bronnen beweerd dat streamen niet hetzelfde zou zijn als downloaden en dus was toegestaan. Ook in het geval de “bron” illegaal zou zijn. Deze redenering klopt niet en dat is ook door een uitspraak van de Reclame Code Commissie van 31 juli 2014 benadrukt.

Wie moet je aanspreken?
Het zal duidelijk zijn dat degene die materiaal streamt in principe verantwoordelijk is. Toch lijkt het ondoenlijk om deze personen aan te pakken. Dat is dan ook de reden dat betaalzender HBO boos is op de aanbieder van de streaming app en pleit voor een technisch soort oplossing van het probleem (tools voor ontwikkelaars om schending van auteursrecht tegen te gaan). Een bijkomend probleem daarbij is echter wel dat het materiaal maar tijdelijk beschikbaar is.

Voorlopig zal live-streaming naar verwachting alleen nog maar groter worden. Ik verwacht dat a.s. zaterdagavond de kampioenswedstrijd van PSV op grote schaal beschikbaar zal zijn via streams. Is deze ontwikkeling nog (juridisch) te stoppen?

Cookies & Google Analytics

SAMSUNGDe cookiewet is vanaf 5 juni 2012 van toepassing. Op grond hiervan dienen gebruikers van websites vooraf expliciet toestemming te geven voor het plaatsen van cookies. Noodzakelijk ofwel functionele cookies vielen sowieso buiten de wet.

Wetsvoorstel
Op grond van de wet ontstond grote ophef. Uiteindelijk werd op 20 mei 2013 een concept wetsvoorstel door minister Kamp openbaar gemaakt waarin de cookiewet zo wordt aangepast dat er geen toestemming meer hoeft te worden gevraagd voor cookies die niet privacygevoelig zijn. Het gaat dan onder andere om cookies die de werking van websites verbeteren: de analytic cookies.

Op 28 maart 2014 is het wetsvoorstel daadwerkelijk ingediend. Op 7 oktober 2014 is dit wetsvoorstel aangenomen door de Tweede Kamer en de Eerste Kamer is hiermee op 4 februari 2015 akkoord gegaan. Vanaf 11 maart 2015 is de nieuwe wet van toepassing.

Geldigheid
De cookiewet is niet alleen van toepassing op cookies maar geldt voor alle methoden waarmee je via een elektronisch communicatienetwerk informatie opslaat van of toegang verkrijgt tot informatie in de randapparatuur van een gebruiker.

Google Analytics uitzondering?
Naast de noodzakelijke of functionele cookies behoeft er ook geen toestemming meer te worden gevraagd voor cookies die niet privacygevoelig zijn. Hieronder vallen de analytic cookies (first party analytics), testing cookies en affiliate cookies.

Eerder werd geoordeeld dat Google Analytics derhalve onder het uitzonderingsregime zou vallen. Dit is echter maar zeer de vraag. Om namelijk te beoordelen of je voor het plaatsen van een cookie daadwerkelijk niet hoeft te voldoen aan de informatie- en toestemmingsverplichting wordt gekeken naar het daadwerkelijke gebruik dat je als plaatser van de cookie maakt van deze informatie. Volgens de minister valt Google Analytics vaak niet onder dit regime.

Wel heeft het College Bescherming Persoonsgegevens onlangs een handreiking gepubliceerd om Google Analytics zo privacyvriendelijk mogelijk in te stellen. Dus wanneer je met Google Analytics werkt volg dan de instellingen die in deze handreiking worden geboden.

Tracking cookies
Voor cookies die het surfgedrag van internetgebruikers volgen verandert er niets. Hiervoor moet nog steeds vooraf toestemming worden gegeven. Toch wordt ook dit vereiste door bedrijven vaak overtreden. De toestemming voor dergelijke cookies kan op twee manieren. Ofwel door het actief klikken op een button waarmee je toestemming geeft ofwel door het doorklikken op de website terwijl je duidelijk bent geïnformeerd omtrent de soorten cookies die daar worden geplaatst. Cookiemuren zijn in beginsel nog wel toegestaan maar niet voor websites die een algemene of publieke taak hebben.

Voorlichting
Ten aanzien van de voorlichting richting consumenten en MKB’ers is door overheid in samenwerking met het bedrijfsleven de website http://www.veiliginternetten.nl gelanceerd. Het is de bedoeling dat hierop tzt een tool ter beschikking wordt gesteld voor MKB’ers om bijv. privacy statement te kunnen genereren.