WhatsApp wordt aangeschreven door artikel 29 Data Protection Working Party

facebook-257168_640(1)
CC0 Public Domain

De artikel 29 Data Protection Working Party is het onafhankelijke advies -en overlegorgaan van Europese privacytoezichthouders. De werkgroep bestaat uit de diverse nationale Europese privacytoezichthouders, zoals ook de Nederlandse Autoriteit Persoonsgegevens.

Deze werkgroep heeft onlangs een open brief gestuurd aan WhatsApp in verband met het delen van de data van de gebruikers van WhatsApp met moederbedrijf Facebook. In augustus 2016 werden de gebruiksvoorwaarden en de privacyverklaring van WhatsApp aangepast waarin werd aangegeven dat data met moeder bedrijf Facebook zou worden gedeeld TENZIJ je zelf actief actie ondernam en de instelling wijzigde.

Is de toestemming om data te delen op de juiste wijze verkregen?

Het is aldus maar de vraag of de betrokkene op de correcte wijze toestemming heeft gegeven om deze gegevens te delen met Facebook.

In de brief doet de werkgroep dan ook het verzoek aan WhatsApp om alle relevante informatie, zoals welke categorieën van persoonsgegevens worden doorgegeven, maar ook op welke wijze WhatsApp deze gegevens heeft verkregen en met welke partijen deze gegevens worden gedeeld, aan de werkgroep te sturen zodat de werkgroep kan beoordelen of de verwerking compliant is met de Europese regelgeving. Zij sluit de brief af met een dringend beroep richting WhatsApp om in de tussentijd te stoppen met het delen van de data met moederbedrijf Facebook.

Ik ben zeer benieuwd naar de acties van WhatsApp/Facebook.

94% bedrijven heeft te maken met datalek

Wederom in het nieuws dat het niet langer de vraag is OF je met datalek te maken krijgt maar WANNEER.

De vraag is niet OF je met datalek te maken krijgt maar WANNEER

Uit een onderzoek uit 2015 was dit ook al de conclusie. Dus wat dat betreft is er niets nieuws onder de zon.

Er wordt gesproken over een datalek wanneer er zich een beveiligingsincident heeft voorgedaan waarbij gegevens verloren zijn gegaan OF wanneer onrechtmatige verwerking van deze gegevens redelijkerwijs niet is uit te sluiten. Dit heb ik eerder toegelicht in een blog.

Het is daarom voor alle bedrijven belangrijk om een procedure in te stellen, waarin zowel het voorkomen, als ook het detecteren en opvolgen van een datalek wordt opgenomen. Hierbij is de samenwerking tussen de disciplines IT, security en legal essentieel.

Mini-congres Meldplicht Datalekken

Op 18 november a.s. geef ik samen met ir. Ed Muylkens van EMCS IT Services een presentatie op het mini-congres over de meldplicht datalekken. Het mini-congres wordt georganiseerd door EMCS IT Services in samenspraak met Tribes en het Juristencollectief. Het Juristencollectief is een samenwerking waarin ik vanuit LegalTech met andere juristen zelfstandig samenwerk en op die manier krachten bundel voor ondernemers.

Meldplicht Datalekken
Vanaf 1 januari a.s. bent u verplicht inbreuken op de beveiliging van privacygevoelige data te melden bij het College Bescherming Persoonsgegevens (CBP) en de betrokkenen. U heeft daar vast al over gelezen in de media. Dit is het gevolg van de wetswijziging Meldplicht Datalekken en de uitbreiding van de boetebevoegdheid voor het College Bescherming Persoonsgegevens (CBP) die de Eerste Kamer op 26 mei 2015 heeft aangenomen.

Wat betekent dit en wat zijn de gevolgen voor u?
Boetes voor overtreding van de wet kunnen oplopen tot € 810.000 of 10% van uw jaaromzet. U dient daarom stappen te ondernemen om u daartegen te beschermen. Dit ongeacht het aantal dossiers met privacy gevoelige informatie. Ook heeft deze wet gevolgen voor contracten met bestaande klanten en relaties.
Kom naar ons minicongres. Daar verneemt u wat dit voor u en uw bedrijf betekent.

Onderwerpen tijdens het mini-congres
De volgende onderwerpen zullen aan bod komen tijdens het mini-congres:
-Op welke gegevens is de Wet bescherming persoonsgegevens van toepassing? Wat mag wel en wat niet?
-Welke effecten heeft de nieuwe meldplicht datalekken op uw bedrijf?
-Wie is er aansprakelijk als de Wet bescherming persoonsgegevens niet wordt gevolgd en welke risico’s loopt u?
-Welke maatregelen moeten worden genomen op het gebied van informatiebeveiliging? Onderverdeeld naar techniek, organisatie en menselijke gedrag.
-Hoe realiseert u op praktische wijze informatiebeveiliging in uw bedrijf?

Wanneer, waar & hoe aan te melden?
De workshop wordt gehouden op 18 november a.s. op de Tribes lokatie, Flight Forum 840 in Eindhoven. Uw gastheer van Tribes is Jan-Joris Bernaards. Aanvang 13.00 uur, einde 17.00 uur aansluitend een netwerkborrel.
Kosten € 75 ex. BTW voor externen. Relaties van Tribes, Het Juristencollectief of EMCS IT Services betalen € 50 ex. BTW.
Aanmelden kan via mail: contact@emcs-it-services.nl, onder vermelding van de bedrijfsnaam, naam bezoeker(s), mailadres en telefoonnummer. U ontvangt dan een bevestiging.

Het recht om vergeten te worden…

4638981545_f0578a16fe_mEen van de punten van de nieuwe Europese Privacyverordening waar ik eerder over berichtte betreft het recht om vergeten te worden.

Uitspraak
Nu heeft het Europese Hof van Justitie op 13 mei 2014 een uitspraak gedaan op verzoek van de Spaanse rechter. Een Spanjaard had namelijk in Spanje een procedure aangespannen om een oud krantenartikel omtrent een beslaglegging die niet langer relevant was te verwijderen. Het Spaanse College Bescherming Persoonsgegevens (CBP) had geoordeeld dat Google hiertoe verplicht kon worden. Google spande daarop een procedure aan bij de Spaanse rechter en die Spaanse rechter legde vervolgens enkele vragen voor aan het Europese Hof ten aanzien van de uitleg van de privacyregels.

Europese privacyregelgeving van toepassing?
Voorzover bij het verzamelen, indexeren en publiceren van zoekresultaten persoonsgegevens worden verwerkt valt dit binnen de Europese privacyregelgeving. Nu Google bepaalt op welke wijze en waarom deze verwerking plaatsvindt is Google “verantwoordelijke” met betrekking tot dergelijke persoonsgegevens.

De Spaanse dochter van Google verkoopt advertentieruimte en daarom is Europese regelgeving van toepassing aldus het HvJ. Bedrijven met hoofdkantoor in de US kunnen aldus op basis van bovenstaande niet langer eenvoudig onder Europese regelgeving uitkomen.

Consequentie Google
Wanneer er wordt gezocht op een persoonsnaam mag bepaalde informatie (die wel legaal via de bronsite beschikbaar mag blijven) niet via de zoekresultaten worden getoond. De privacy van een persoon heeft in sommige gevallen voorrang boven de economische belangen van Google en de mogelijke belangen van het publiek voor wat betreft toegang tot informatie over een persoon. Of hier sprake van is dient telkens te worden beoordeeld. Wanneer het gaat om onjuiste informatie of niet langer relevante informatie kan hier sprake van zijn.

Formulier
Inmiddels zijn er bij Google al vele verzoeken van mensen ontvangen om hun resultaten uit de zoekresultaten te verwijderen. Google heeft er inmiddels een formulier voor opgesteld waarmee gebruikers een verzoek aan het bedrijf kunnen richten. Vervolgens wordt door specialisten beoordeeld of aan het verzoek dient te worden voldaan.

Houdbaar?
Volgens sommigen houdt het oordeel geen stand omdat degene die publiceert verantwoordelijk is en dat niet degene die informatie eenvoudiger doorzoekbaar maakt verantwoordelijk kan zijn.