WhatsApp wordt aangeschreven door artikel 29 Data Protection Working Party

facebook-257168_640(1)
CC0 Public Domain

De artikel 29 Data Protection Working Party is het onafhankelijke advies -en overlegorgaan van Europese privacytoezichthouders. De werkgroep bestaat uit de diverse nationale Europese privacytoezichthouders, zoals ook de Nederlandse Autoriteit Persoonsgegevens.

Deze werkgroep heeft onlangs een open brief gestuurd aan WhatsApp in verband met het delen van de data van de gebruikers van WhatsApp met moederbedrijf Facebook. In augustus 2016 werden de gebruiksvoorwaarden en de privacyverklaring van WhatsApp aangepast waarin werd aangegeven dat data met moeder bedrijf Facebook zou worden gedeeld TENZIJ je zelf actief actie ondernam en de instelling wijzigde.

Is de toestemming om data te delen op de juiste wijze verkregen?

Het is aldus maar de vraag of de betrokkene op de correcte wijze toestemming heeft gegeven om deze gegevens te delen met Facebook.

In de brief doet de werkgroep dan ook het verzoek aan WhatsApp om alle relevante informatie, zoals welke categorieën van persoonsgegevens worden doorgegeven, maar ook op welke wijze WhatsApp deze gegevens heeft verkregen en met welke partijen deze gegevens worden gedeeld, aan de werkgroep te sturen zodat de werkgroep kan beoordelen of de verwerking compliant is met de Europese regelgeving. Zij sluit de brief af met een dringend beroep richting WhatsApp om in de tussentijd te stoppen met het delen van de data met moederbedrijf Facebook.

Ik ben zeer benieuwd naar de acties van WhatsApp/Facebook.

Advertenties

Beleidsregels meldplicht datalekken

Vandaag heeft het College bescherming persoonsgegevens (CBP, dat vanaf januari 2016 Autoriteit Persoonsgegevens zal heten)  de definitieve beleidsregels gepubliceerd inzake de meldplicht datalekken die per 1 januari 2016 ingaat.

Op basis van de beleidsregels kunnen organisaties beoordelen of er sprake is van een datalek dat gemeld dient te worden bij het CBP en mogelijk de betrokkenen.

Datalek

Er is sprake van een datalek als er een beveiligingsincident is opgetreden waarbij persoonsgegevens verloren zijn gegaan of waarbij onrechtmatige verwerking van de persoonsgegevens niet kan worden uitgesloten.

Melding

Als een datalek leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens of wanneer hier een aanzienlijke kans op bestaat dient een melding binnen 72 uur plaats te vinden aan het CBP. In de afweging of er sprake is van (een aanzienlijke kans op) ernstige nadelige gevolgen moet rekening worden gehouden met de aard van de persoonsgegevens. Als er sprake is van gevoelige gegevens (zoals bijzondere persoonsgegevens, financiële gegevens, inloggegevens etc.) zal een melding sneller verplicht zijn.

Daarnaast dienen betrokkenen afzonderlijk te worden geïnformeerd als een datalek waarschijnlijk ongunstige gevolgen zal hebben voor hun persoonlijke levenssfeer.De melding aan betrokkenen kan achterwege worden gelaten op het moment dat de persoonsgegevens dusdanig zijn versleuteld (door encryptie, hashing) dat deze onbegrijpelijk of ontoegankelijk zijn voor derden.

Boete

Bij overtreding kan het CBP een boete opleggen die kan oplopen tot 820.000 Euro. Wanneer de overtreding niet opzettelijk is gepleegd of het gevolg is van ernstig verwijtbare nalatigheid, volgt er eerst een bindende aanwijzing van het CBP voordat over wordt gegaan tot oplegging van een boete.

Verantwoordelijke

De verplichting tot het doen van een melding rust op de verantwoordelijke. Verwerking van persoonsgegevens wordt vaak uitbesteed aan bewerkers. Het is aldus zaak om goede afspraken met bewerkers te maken zodat je als verantwoordelijke tijdig en op de juiste wijze geïnformeerd wordt.