WhatsApp wordt aangeschreven door artikel 29 Data Protection Working Party

facebook-257168_640(1)
CC0 Public Domain

De artikel 29 Data Protection Working Party is het onafhankelijke advies -en overlegorgaan van Europese privacytoezichthouders. De werkgroep bestaat uit de diverse nationale Europese privacytoezichthouders, zoals ook de Nederlandse Autoriteit Persoonsgegevens.

Deze werkgroep heeft onlangs een open brief gestuurd aan WhatsApp in verband met het delen van de data van de gebruikers van WhatsApp met moederbedrijf Facebook. In augustus 2016 werden de gebruiksvoorwaarden en de privacyverklaring van WhatsApp aangepast waarin werd aangegeven dat data met moeder bedrijf Facebook zou worden gedeeld TENZIJ je zelf actief actie ondernam en de instelling wijzigde.

Is de toestemming om data te delen op de juiste wijze verkregen?

Het is aldus maar de vraag of de betrokkene op de correcte wijze toestemming heeft gegeven om deze gegevens te delen met Facebook.

In de brief doet de werkgroep dan ook het verzoek aan WhatsApp om alle relevante informatie, zoals welke categorieën van persoonsgegevens worden doorgegeven, maar ook op welke wijze WhatsApp deze gegevens heeft verkregen en met welke partijen deze gegevens worden gedeeld, aan de werkgroep te sturen zodat de werkgroep kan beoordelen of de verwerking compliant is met de Europese regelgeving. Zij sluit de brief af met een dringend beroep richting WhatsApp om in de tussentijd te stoppen met het delen van de data met moederbedrijf Facebook.

Ik ben zeer benieuwd naar de acties van WhatsApp/Facebook.

94% bedrijven heeft te maken met datalek

Wederom in het nieuws dat het niet langer de vraag is OF je met datalek te maken krijgt maar WANNEER.

De vraag is niet OF je met datalek te maken krijgt maar WANNEER

Uit een onderzoek uit 2015 was dit ook al de conclusie. Dus wat dat betreft is er niets nieuws onder de zon.

Er wordt gesproken over een datalek wanneer er zich een beveiligingsincident heeft voorgedaan waarbij gegevens verloren zijn gegaan OF wanneer onrechtmatige verwerking van deze gegevens redelijkerwijs niet is uit te sluiten. Dit heb ik eerder toegelicht in een blog.

Het is daarom voor alle bedrijven belangrijk om een procedure in te stellen, waarin zowel het voorkomen, als ook het detecteren en opvolgen van een datalek wordt opgenomen. Hierbij is de samenwerking tussen de disciplines IT, security en legal essentieel.

Pokémon Go

Pokémon, 21 jaar geleden bedacht in Japan. Destijds via tv, spellen op de spelcomputer en een kaartspel. Zelf had ik de indruk dat Pokémon een beetje was uitgedoofd en toen was daar opeens Pokémon Go.

27541296473_1f91ef4461_z

Bron: Flickr – Eduardo Woo – CC BY-SA2.0

Hype

En het is een regelrechte hype. Nog voordat de app officieel in Nederland uitkwam, zag ik veel mensen met hun telefoon zoeken naar Pokémon. In de Efteling vindt in augustus zelfs een speciaal Pokémon Go evenement plaats. Toch bleek diezelfde Efteling een jaar geleden niet geïnteresseerd te zijn in een spel waarbij ook gebruik werd gemaakt van augmented reality waarbij sprookjesfiguren konden worden gezocht.

Privacy

In verband met de instellingen van de app, ontstond er zelfs commotie over de privacy. In de iOS versie gaf je complete toegang onder je Google account. Hier werd snel op gereageerd door de app en middels een update werd deze toegang behoorlijk ingeperkt.

Hiermee zijn niet automatisch alle privacy issues opgelost. Een Duits verbond van consumentenorganisaties heeft vraagtekens gezet bij diverse bepalingen uit de voorwaarden van de app. Persoonsgegevens worden bijvoorbeeld doorgegeven aan derde partijen wat niet zou zijn toegestaan.

In de Verenigde Staten heeft de non-profit organisatie Common Sense Media die “the safe use of media and technology by young people” als speerpunt hebben haar bezorgdheid uitgesproken over de app. Of er inderdaad wordt voldaan aan het strenge vereiste om toestemming te vragen aan ouders van kinderen (zoals onder meer ook de Europese Verordening voorschrijft) is zeer de vraag.

Er wordt door sommigen betoogd dat het spel zelfs is ontwikkeld ten behoeve van spionage en door criminelen of terroristen misbruikt zou kunnen worden.

In het nieuws

De app brengt heel wat teweeg, ook op juridisch gebied:

  • Zo was het Israëlische leger bezorgd over datalekken en verbood het spelen van Pokémon Go
  • Ziekenhuizen in de Verenigde Staten verbieden het vanuit “patient safety” en “privacy reasons”
  • Twee Amerikaanse spelers werden zelfs opgepakt vanwege het feit dat ze ’s nachts over het hek van een dierentuin klommen om Pokémon te vangen
  • In Bosnië worden spelers zelfs gewaarschuwd voor een mijnenveld

En ook in Nederland waren er de nodige bijzonderheden:

  • Het politiebureau in Amsterdam waarschuwde voor het spel
  • Gebruikers moesten van het spoor worden gehaald en treinen moesten langzamer rijden
  • Ontslag vanwege het spelen van Pokémon Go

Tenslotte

De app is erg slim bedacht van de makers Niantic Labs. De app is gratis en dat betekent dat je betaalt met je privacy. Wel goed om daar in ieder geval even bij stil te staan en daar zo goed mogelijk mee om te gaan. Veel plezier met het spel!

Europese Privacy Verordening

Op 25 mei 2016 is de Europese Privacy Verordening in werking getreden. De Nederlandse tekst van deze Verordening tref je hier aan.

De Verordening heeft directe werking in alle lidstaten en dus ook in Nederland. Alhoewel bedrijven 2 jaar de tijd krijgen om hun processen aan te passen aan de vereisten van de Verordening is het aan te raden hier tijdig mee te beginnen. De veranderingen die de wetgeving met zich meebrengt zijn namelijk behoorlijk ingrijpend, vooral op het gebied van accountability. Organisaties zullen actief moeten kunnen aantonen dat zij voldoen aan de Verordening waarbij het van belang is dat bewijs kan worden geleverd omtrent een deugdelijk management op het gebied van privacy. Zo dienen bijvoorbeeld alle verwerkingen van persoonsgegevens binnen een organisatie te worden gedocumenteerd. Dit is een behoorlijk intensief en tijdrovend proces. Maar ook andere wijzigingen kunnen behoorlijk ingrijpend zijn.

Mijn advies : start zo vroeg mogelijk zodat je later niet voor verrassingen komt te staan. 25 mei 2018 lijkt nu nog ver weg, maar is dichterbij dan je denkt!

 

 

Waterdichte systemen bestaan niet meer

Anno 2016 is het niet langer de vraag voor bedrijven OF er een inbraak op hun systemen plaatsvindt maar WANNEER.

Uit de Breach Level Index (BLI) van het Nederlandse beveiligings- en security bedrijf Gemalto over 2015 blijkt dat er elke seconde wereldwijd 22 datarecords lekken. In het overgrote deel gaat het daarbij om een inbraak in systemen maar ook onbedoeld verlies of blootstelling van de gegevens komt veelvuldig voor.

Per inbraak meer data

In 2015 vonden wereldwijd 1.673 datalekken plaats waarbij 707 miljoen datarecords aangetast. Bij 46 datalekken werden telkens meer dan 1 miljoen gegevens buitgemaakt.12 procent van het totaal aantal datalekken vond in Europa plaats, in totaal gaat het daarbij om 209 incidenten. 8 hiervan vonden in Nederland plaats.

In totaal hebben er in 2015 weliswaar minder datalekken plaatsgevonden maar het aantal datarecords dat hierbij is aangetast is behoorlijk gestegen.

Identiteitsfraude

In 2013 en 2014 werden nog voornamelijk financiële gegevens, zoals creditcardgegevens, buit gemaakt. In 2015 blijkt dat kwaadwillende hackers voornamelijk gegevens stelen om hiermee identiteitsfraude te kunnen plegen.

Beveiliging

Zorgwekkend is dat er slechts in 4 procent van de gevallen sprake was van versleutelde data. Het beveiligen van persoonsgegevens wordt steeds belangrijker. Maak daarbij zeker gebruik van twee-factor authenticatie en encryptietechnieken. Als onderdeel van je privacybeleid zou je dit in een beveiligings- en securitybeleid dienen op te nemen en in de organisatie in te voeren.

 

Beleidsregels meldplicht datalekken

Vandaag heeft het College bescherming persoonsgegevens (CBP, dat vanaf januari 2016 Autoriteit Persoonsgegevens zal heten)  de definitieve beleidsregels gepubliceerd inzake de meldplicht datalekken die per 1 januari 2016 ingaat.

Op basis van de beleidsregels kunnen organisaties beoordelen of er sprake is van een datalek dat gemeld dient te worden bij het CBP en mogelijk de betrokkenen.

Datalek

Er is sprake van een datalek als er een beveiligingsincident is opgetreden waarbij persoonsgegevens verloren zijn gegaan of waarbij onrechtmatige verwerking van de persoonsgegevens niet kan worden uitgesloten.

Melding

Als een datalek leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens of wanneer hier een aanzienlijke kans op bestaat dient een melding binnen 72 uur plaats te vinden aan het CBP. In de afweging of er sprake is van (een aanzienlijke kans op) ernstige nadelige gevolgen moet rekening worden gehouden met de aard van de persoonsgegevens. Als er sprake is van gevoelige gegevens (zoals bijzondere persoonsgegevens, financiële gegevens, inloggegevens etc.) zal een melding sneller verplicht zijn.

Daarnaast dienen betrokkenen afzonderlijk te worden geïnformeerd als een datalek waarschijnlijk ongunstige gevolgen zal hebben voor hun persoonlijke levenssfeer.De melding aan betrokkenen kan achterwege worden gelaten op het moment dat de persoonsgegevens dusdanig zijn versleuteld (door encryptie, hashing) dat deze onbegrijpelijk of ontoegankelijk zijn voor derden.

Boete

Bij overtreding kan het CBP een boete opleggen die kan oplopen tot 820.000 Euro. Wanneer de overtreding niet opzettelijk is gepleegd of het gevolg is van ernstig verwijtbare nalatigheid, volgt er eerst een bindende aanwijzing van het CBP voordat over wordt gegaan tot oplegging van een boete.

Verantwoordelijke

De verplichting tot het doen van een melding rust op de verantwoordelijke. Verwerking van persoonsgegevens wordt vaak uitbesteed aan bewerkers. Het is aldus zaak om goede afspraken met bewerkers te maken zodat je als verantwoordelijke tijdig en op de juiste wijze geïnformeerd wordt.

 

 

 

Databank mag worden doorverkocht

money-718614_1920
CC0 Public Domain

Op 22 oktober 2015 oordeelde de voorzieningenrechter in Amsterdam dat een deurwaarder een database met daarin de gegevens van 10.000 “topvrouwen” uit het bedrijfsleven mag doorverkopen aan een derde partij.

Achtergrond

Woman Capital is een headhuntersbureau en was eerder door de rechter veroordeeld een bedrag van meer dan € 54.000,- te betalen aan een voormalig partner van het bureau. Omdat Woman Capital niet in staat was dit bedrag te betalen werd door een deurwaarder beslag gelegd op de database van Woman Capital met daarin de profielen van 10.000 vrouwen opgenomen. De deurwaarder was van plan de database te veilen.

Privacy

In reactie hierop heeft een groot aantal vrouwen bezwaar gemaakt op basis van schending van hun privacy. De deurwaarder is vervolgens een kort geding gestart om duidelijkheid te verkrijgen. De rechter oordeelde dat verkoop is toegestaan en de privacy van personen in de database voldoende is gewaarborgd. Dit voornamelijk omdat de deurwaarder in de veilingvoorwaarden had opgenomen dat alleen organisaties die in dezelfde branche opereren een bod mochten uitbrengen op de database.

Hieruit vloeit voort dat degenen die mogen bieden op het databestand gebonden zullen zijn aan dezelfde regelgeving met betrekking tot persoonsgegevens en privacy als Woman Capital en dezelfde discretie in acht dienen te nemen. Voldoende aannemelijk is dan ook dat de koper van het databestand dit voor hetzelfde doel als Woman Capital zal gebruiken. Hiermee zijn de gegevens van de personen die zijn opgenomen in het databestand en hun privacy vooralsnog voldoende gewaarborgd.

Juiste beslissing?

Helaas zijn via de website van Woman Capital geen voorwaarden of privacyverklaring (meer) toegankelijk. Ik vraag me namelijk af of hierin bijvoorbeeld was opgenomen dat gegevens niet zouden worden verkocht aan derde partijen. Als dit het geval zou zijn geweest, lijkt doorverkoop niet zonder meer mogelijk.

Het feit dat de rechter doorverkoop heeft toegestaan heeft volgens mij ook te maken met de omstandigheid dat iedere “topvrouw” aan de koper van de database een verzoek kan richten tot verwijdering uit de database. De koper moet aan zo’n verzoek voldoen en daarmee is de confidentialiteit toch nog gewaarborgd.

Op de website van Woman Capital lees ik dat het College Bescherming Persoonsgegevens een onderzoek zou zijn gestart. Mocht dat daadwerkelijk zo zijn dan ben ik benieuwd naar de bevindingen van het CBP.