WhatsApp wordt aangeschreven door artikel 29 Data Protection Working Party

facebook-257168_640(1)
CC0 Public Domain

De artikel 29 Data Protection Working Party is het onafhankelijke advies -en overlegorgaan van Europese privacytoezichthouders. De werkgroep bestaat uit de diverse nationale Europese privacytoezichthouders, zoals ook de Nederlandse Autoriteit Persoonsgegevens.

Deze werkgroep heeft onlangs een open brief gestuurd aan WhatsApp in verband met het delen van de data van de gebruikers van WhatsApp met moederbedrijf Facebook. In augustus 2016 werden de gebruiksvoorwaarden en de privacyverklaring van WhatsApp aangepast waarin werd aangegeven dat data met moeder bedrijf Facebook zou worden gedeeld TENZIJ je zelf actief actie ondernam en de instelling wijzigde.

Is de toestemming om data te delen op de juiste wijze verkregen?

Het is aldus maar de vraag of de betrokkene op de correcte wijze toestemming heeft gegeven om deze gegevens te delen met Facebook.

In de brief doet de werkgroep dan ook het verzoek aan WhatsApp om alle relevante informatie, zoals welke categorieën van persoonsgegevens worden doorgegeven, maar ook op welke wijze WhatsApp deze gegevens heeft verkregen en met welke partijen deze gegevens worden gedeeld, aan de werkgroep te sturen zodat de werkgroep kan beoordelen of de verwerking compliant is met de Europese regelgeving. Zij sluit de brief af met een dringend beroep richting WhatsApp om in de tussentijd te stoppen met het delen van de data met moederbedrijf Facebook.

Ik ben zeer benieuwd naar de acties van WhatsApp/Facebook.

Advertenties

94% bedrijven heeft te maken met datalek

Wederom in het nieuws dat het niet langer de vraag is OF je met datalek te maken krijgt maar WANNEER.

De vraag is niet OF je met datalek te maken krijgt maar WANNEER

Uit een onderzoek uit 2015 was dit ook al de conclusie. Dus wat dat betreft is er niets nieuws onder de zon.

Er wordt gesproken over een datalek wanneer er zich een beveiligingsincident heeft voorgedaan waarbij gegevens verloren zijn gegaan OF wanneer onrechtmatige verwerking van deze gegevens redelijkerwijs niet is uit te sluiten. Dit heb ik eerder toegelicht in een blog.

Het is daarom voor alle bedrijven belangrijk om een procedure in te stellen, waarin zowel het voorkomen, als ook het detecteren en opvolgen van een datalek wordt opgenomen. Hierbij is de samenwerking tussen de disciplines IT, security en legal essentieel.

Europese Privacy Verordening

Op 25 mei 2016 is de Europese Privacy Verordening in werking getreden. De Nederlandse tekst van deze Verordening tref je hier aan.

De Verordening heeft directe werking in alle lidstaten en dus ook in Nederland. Alhoewel bedrijven 2 jaar de tijd krijgen om hun processen aan te passen aan de vereisten van de Verordening is het aan te raden hier tijdig mee te beginnen. De veranderingen die de wetgeving met zich meebrengt zijn namelijk behoorlijk ingrijpend, vooral op het gebied van accountability. Organisaties zullen actief moeten kunnen aantonen dat zij voldoen aan de Verordening waarbij het van belang is dat bewijs kan worden geleverd omtrent een deugdelijk management op het gebied van privacy. Zo dienen bijvoorbeeld alle verwerkingen van persoonsgegevens binnen een organisatie te worden gedocumenteerd. Dit is een behoorlijk intensief en tijdrovend proces. Maar ook andere wijzigingen kunnen behoorlijk ingrijpend zijn.

Mijn advies : start zo vroeg mogelijk zodat je later niet voor verrassingen komt te staan. 25 mei 2018 lijkt nu nog ver weg, maar is dichterbij dan je denkt!

 

 

De wet geldt ook op internet

Op 15 maart 2016 mocht ik bij Social Media Club 0495 wederom een presentatie geven over het gebruik van social media. Op deze avond kwamen uiteenlopende onderwerpen aan bod. Van identiteitsdiefstal tot foto’s van de wintersport waardoor een boete werd opgelegd voor schoolverzuim en meer.

Ine Feijen van Dipro Film maakte ook die avond enkele foto’s en deze zijn opgenomen op de website van smc0495.

De slides van de presentatie vind je ook hier.

Databank mag worden doorverkocht

money-718614_1920
CC0 Public Domain

Op 22 oktober 2015 oordeelde de voorzieningenrechter in Amsterdam dat een deurwaarder een database met daarin de gegevens van 10.000 “topvrouwen” uit het bedrijfsleven mag doorverkopen aan een derde partij.

Achtergrond

Woman Capital is een headhuntersbureau en was eerder door de rechter veroordeeld een bedrag van meer dan € 54.000,- te betalen aan een voormalig partner van het bureau. Omdat Woman Capital niet in staat was dit bedrag te betalen werd door een deurwaarder beslag gelegd op de database van Woman Capital met daarin de profielen van 10.000 vrouwen opgenomen. De deurwaarder was van plan de database te veilen.

Privacy

In reactie hierop heeft een groot aantal vrouwen bezwaar gemaakt op basis van schending van hun privacy. De deurwaarder is vervolgens een kort geding gestart om duidelijkheid te verkrijgen. De rechter oordeelde dat verkoop is toegestaan en de privacy van personen in de database voldoende is gewaarborgd. Dit voornamelijk omdat de deurwaarder in de veilingvoorwaarden had opgenomen dat alleen organisaties die in dezelfde branche opereren een bod mochten uitbrengen op de database.

Hieruit vloeit voort dat degenen die mogen bieden op het databestand gebonden zullen zijn aan dezelfde regelgeving met betrekking tot persoonsgegevens en privacy als Woman Capital en dezelfde discretie in acht dienen te nemen. Voldoende aannemelijk is dan ook dat de koper van het databestand dit voor hetzelfde doel als Woman Capital zal gebruiken. Hiermee zijn de gegevens van de personen die zijn opgenomen in het databestand en hun privacy vooralsnog voldoende gewaarborgd.

Juiste beslissing?

Helaas zijn via de website van Woman Capital geen voorwaarden of privacyverklaring (meer) toegankelijk. Ik vraag me namelijk af of hierin bijvoorbeeld was opgenomen dat gegevens niet zouden worden verkocht aan derde partijen. Als dit het geval zou zijn geweest, lijkt doorverkoop niet zonder meer mogelijk.

Het feit dat de rechter doorverkoop heeft toegestaan heeft volgens mij ook te maken met de omstandigheid dat iedere “topvrouw” aan de koper van de database een verzoek kan richten tot verwijdering uit de database. De koper moet aan zo’n verzoek voldoen en daarmee is de confidentialiteit toch nog gewaarborgd.

Op de website van Woman Capital lees ik dat het College Bescherming Persoonsgegevens een onderzoek zou zijn gestart. Mocht dat daadwerkelijk zo zijn dan ben ik benieuwd naar de bevindingen van het CBP.

 

Mini-congres Meldplicht Datalekken

Op 18 november a.s. geef ik samen met ir. Ed Muylkens van EMCS IT Services een presentatie op het mini-congres over de meldplicht datalekken. Het mini-congres wordt georganiseerd door EMCS IT Services in samenspraak met Tribes en het Juristencollectief. Het Juristencollectief is een samenwerking waarin ik vanuit LegalTech met andere juristen zelfstandig samenwerk en op die manier krachten bundel voor ondernemers.

Meldplicht Datalekken
Vanaf 1 januari a.s. bent u verplicht inbreuken op de beveiliging van privacygevoelige data te melden bij het College Bescherming Persoonsgegevens (CBP) en de betrokkenen. U heeft daar vast al over gelezen in de media. Dit is het gevolg van de wetswijziging Meldplicht Datalekken en de uitbreiding van de boetebevoegdheid voor het College Bescherming Persoonsgegevens (CBP) die de Eerste Kamer op 26 mei 2015 heeft aangenomen.

Wat betekent dit en wat zijn de gevolgen voor u?
Boetes voor overtreding van de wet kunnen oplopen tot € 810.000 of 10% van uw jaaromzet. U dient daarom stappen te ondernemen om u daartegen te beschermen. Dit ongeacht het aantal dossiers met privacy gevoelige informatie. Ook heeft deze wet gevolgen voor contracten met bestaande klanten en relaties.
Kom naar ons minicongres. Daar verneemt u wat dit voor u en uw bedrijf betekent.

Onderwerpen tijdens het mini-congres
De volgende onderwerpen zullen aan bod komen tijdens het mini-congres:
-Op welke gegevens is de Wet bescherming persoonsgegevens van toepassing? Wat mag wel en wat niet?
-Welke effecten heeft de nieuwe meldplicht datalekken op uw bedrijf?
-Wie is er aansprakelijk als de Wet bescherming persoonsgegevens niet wordt gevolgd en welke risico’s loopt u?
-Welke maatregelen moeten worden genomen op het gebied van informatiebeveiliging? Onderverdeeld naar techniek, organisatie en menselijke gedrag.
-Hoe realiseert u op praktische wijze informatiebeveiliging in uw bedrijf?

Wanneer, waar & hoe aan te melden?
De workshop wordt gehouden op 18 november a.s. op de Tribes lokatie, Flight Forum 840 in Eindhoven. Uw gastheer van Tribes is Jan-Joris Bernaards. Aanvang 13.00 uur, einde 17.00 uur aansluitend een netwerkborrel.
Kosten € 75 ex. BTW voor externen. Relaties van Tribes, Het Juristencollectief of EMCS IT Services betalen € 50 ex. BTW.
Aanmelden kan via mail: contact@emcs-it-services.nl, onder vermelding van de bedrijfsnaam, naam bezoeker(s), mailadres en telefoonnummer. U ontvangt dan een bevestiging.

Cookies & Google Analytics

SAMSUNGDe cookiewet is vanaf 5 juni 2012 van toepassing. Op grond hiervan dienen gebruikers van websites vooraf expliciet toestemming te geven voor het plaatsen van cookies. Noodzakelijk ofwel functionele cookies vielen sowieso buiten de wet.

Wetsvoorstel
Op grond van de wet ontstond grote ophef. Uiteindelijk werd op 20 mei 2013 een concept wetsvoorstel door minister Kamp openbaar gemaakt waarin de cookiewet zo wordt aangepast dat er geen toestemming meer hoeft te worden gevraagd voor cookies die niet privacygevoelig zijn. Het gaat dan onder andere om cookies die de werking van websites verbeteren: de analytic cookies.

Op 28 maart 2014 is het wetsvoorstel daadwerkelijk ingediend. Op 7 oktober 2014 is dit wetsvoorstel aangenomen door de Tweede Kamer en de Eerste Kamer is hiermee op 4 februari 2015 akkoord gegaan. Vanaf 11 maart 2015 is de nieuwe wet van toepassing.

Geldigheid
De cookiewet is niet alleen van toepassing op cookies maar geldt voor alle methoden waarmee je via een elektronisch communicatienetwerk informatie opslaat van of toegang verkrijgt tot informatie in de randapparatuur van een gebruiker.

Google Analytics uitzondering?
Naast de noodzakelijke of functionele cookies behoeft er ook geen toestemming meer te worden gevraagd voor cookies die niet privacygevoelig zijn. Hieronder vallen de analytic cookies (first party analytics), testing cookies en affiliate cookies.

Eerder werd geoordeeld dat Google Analytics derhalve onder het uitzonderingsregime zou vallen. Dit is echter maar zeer de vraag. Om namelijk te beoordelen of je voor het plaatsen van een cookie daadwerkelijk niet hoeft te voldoen aan de informatie- en toestemmingsverplichting wordt gekeken naar het daadwerkelijke gebruik dat je als plaatser van de cookie maakt van deze informatie. Volgens de minister valt Google Analytics vaak niet onder dit regime.

Wel heeft het College Bescherming Persoonsgegevens onlangs een handreiking gepubliceerd om Google Analytics zo privacyvriendelijk mogelijk in te stellen. Dus wanneer je met Google Analytics werkt volg dan de instellingen die in deze handreiking worden geboden.

Tracking cookies
Voor cookies die het surfgedrag van internetgebruikers volgen verandert er niets. Hiervoor moet nog steeds vooraf toestemming worden gegeven. Toch wordt ook dit vereiste door bedrijven vaak overtreden. De toestemming voor dergelijke cookies kan op twee manieren. Ofwel door het actief klikken op een button waarmee je toestemming geeft ofwel door het doorklikken op de website terwijl je duidelijk bent geïnformeerd omtrent de soorten cookies die daar worden geplaatst. Cookiemuren zijn in beginsel nog wel toegestaan maar niet voor websites die een algemene of publieke taak hebben.

Voorlichting
Ten aanzien van de voorlichting richting consumenten en MKB’ers is door overheid in samenwerking met het bedrijfsleven de website http://www.veiliginternetten.nl gelanceerd. Het is de bedoeling dat hierop tzt een tool ter beschikking wordt gesteld voor MKB’ers om bijv. privacy statement te kunnen genereren.