Waarom staat er nog steeds Privacy Shield in privacyverklaringen?

| AE 12891 | Ondernemingsvrijheid, Privacy | 21 reacties

Een lezer vroeg me:

Het valt me op dat vele, vele privacyverklaringen nog steeds verwijzen naar het Privacy Shield, bijvoorbeeld bij Amerikaanse verwerkers: “[naam] is self-certified under the US-EU Privacy Shield and we have entered into a Data Processing Addendum with them.” Het Schrems II arrest is van juli vorig jaar, hoezo heeft nog niemand dat geüpdatet?
Inderdaad, als je even snel kijkt dan zie je vele, vele partijen hun inzet van een verwerker of hun verstrekking aan een derde in de VS rechtvaardigen met een verwijzing naar het Privacy Shield. Dat is gek, want in 2020 verklaarde het Hof van Justitie nog dat Amerika niet veilig is voor persoonsgegevens en dat je die er dus niet heen mag brengen vanwege mooie woorden in die Privacy Shield overeenkomst.

Toch  bestaat het verdrag nog steeds. Sterker nog, de VS verwacht nog steeds van gecertificeerde leden dat ze zich aan alle afspraken houden. Amerikaanse partijen blijven dit dus netjes zeggen, en vanuit hun perspectief klopt het ook gewoon. Maar in Europa is het geen rechtsgeldige argumentatie meer.

De zinsnede van de vraagsteller is formeel correct: dat bedrijf staat in de VS op de Privacy Shield lijst, dat klopt. En de Europese afnemer van hun diensten heeft een verwerkersovereenkomst met ze gesloten, dat klopt ook. Twee ware beweringen dus. Maar het is niet zo dat daarmee het Europese bedrijf een grondslag heeft om dit Amerikaanse bedrijf de persoonsgegevens te geven.

De hoogste tijd in ieder geval om die zinsnede eruit te halen, en te vervangen door hoe je het wél doet. Werk je met SCC, de juridische constructie waar het Hof van Justitie nóg niet op geschoten heeft? Of aparte toestemming?

Wil het bij jullie trouwens lukken om Europese equivalenten te vinden voor Amerikaanse clouddiensten?

Arnoud

Mag je je salaris in bitcoin ontvangen?

| AE 12896 | Ondernemingsvrijheid | 32 reacties

Een lezer vroeg me:

Ik las dat in El Salvador de bitcoin nu wettig betaalmiddel is. Je kunt daar dus eisen dat je salaris in bitcoin uitbetaald wordt. Nu vroeg ik me af, is het in Nederland ook mogelijk, bijvoorbeeld als vrijwillige afspraak of via een cao?
De voldoening van het in geld vastgestelde loon geschiedt in Nederlands wettig betaalmiddel of door girale betaling, zo staat in het Burgerlijk Wetboek (art. 7:620 BW). Je mag ook salaris in buitenlands geld ontvangen als je dat hebt afgesproken, maar als werknemer kun je altijd weer van die afspraak af.

Loon in natura mag wel, en je zou denk ik prima bitcoin als een natura-betaling kunnen zien omdat het in Nederland geen wettig betaalmiddel of giraal geld is. De wet noemt als mogelijkheden voor loon namelijk (art. 7:617 BW) onder meer:

  • indien die vorm van loon gewoonte is of wenselijk is wegens de aard van de onderneming van de werkgever: zaken, geschikt voor het persoonlijk gebruik van de werknemer en zijn huisgenoten, met uitzondering van alcoholhoudende drank en andere voor de gezondheid schadelijke genotmiddelen;

  • diensten, voorzieningen en werkzaamheden door of voor rekening van de werkgever te verrichten, onderricht, kost en inwoning daaronder begrepen;

Of je nu bitcoins een zaak (een fysiek ding) noemt of een dienst, in beide gevallen zijn ze in principe geschikt om als loon te dienen. Een complicatie is wel dat je de bitcoins dan op hun werkelijke waarde moet waarderen (7:617 lid 2 BW) en die waarde op de loonstrook moet zetten. Dat lijkt me vrij lastig, er is geen officiële koers.

Daar komt bij dat je in ieder geval het stuk loon gelijk aan het minimumloon perse als geld of giraal moet betalen (art. 7a Wet minimumloon en minimumvakantiebijslag). Honderd procent in bitcoin iemand uitbetalen is dus sowieso niet mogelijk.

Ik ben benieuwd of er werknemers in Nederland zijn die zo’n afspraak hebben, het voelt moeilijk voorstelbaar binnen deze regels. Temeer omdat er óók nog in de wet staat dat wie loon uitbetaalt op een manier die binnen de wet niet kan, alsnog het loon gewoon in geld moet uitbetalen zonder dat het eerdere loon terug hoeft (art. 7:621 BW).

Arnoud

Stevige kritiek cyberbeveiligers op plan voor jaarlijkse IT-audit

| AE 12867 | Ondernemingsvrijheid | 15 reacties

Vorige week werd bekend dat de Nederlandse vereniging van it-auditors (Norea) werkt aan een certificaat waarmee bedrijven kunnen aantonen dat hun netwerken veilig zijn. Experts in cybersecurity keuren het plan af, maar niet iedereen kan zich in de kritiek vinden. De discussie is met name of zo’n certificaat iets toevoegt, maar het punt “we zijn hier te vroeg mee” is ook wel een hele leuke.

Norea werkt aan een it-auditverklaring, schrijft het op de website. De Nederlandse Orde van Register EDP-Auditors is de beroepsorganisatie van IT-auditors in Nederland, en je zou dus verwachten dat die wel iets weten van het auditten van IT-0mgevingen. Security is daar een onlosmakelijk deel van, dus niet gek dat men ook daar een slag wil slaan.

Het verslag van de Norea-auditor, vaak een accountant, geeft een breed oordeel: zowel over de weerbaarheid van een organisatie tegenover hackers, als over de kwaliteit van de digitalisering in een organisatie. En het is dat “vaak een accountant” waar de security-pro’s over vallen. Want, zoals Alex Bik, technisch directeur van BIT zegt: Een echte techneut die de techniek snapt, staat over het algemeen niet te trappelen om bij een accountantskantoor te gaan werken.

Waar ik dan weer tegenover wil stellen dat zulke slimme mensen toch ook juridische adviesbureaus binnenstappen, en dat we toch ook al geruime tijd werken met ISO certificeringen rondom security. Als deze certificeringsorganisaties capabele mensen kunnen vinden, waarom dan niet de it-auditbedrijven?

Fundamenteler vind ik de kritiek dat een jaarlijkse verklaring te statisch is. Security verandert immers een stuk sneller dan je jaarrekening, en een bedrijf dat in januari gecertificeerd is kan prima in februari gehackt worden zonder dat dat iets afdoet aan de waarde van het certificaat. Maar wat heb je er dan aan, aan zo’n momentopname?

Daarentegen vind ik de stap verder die Norea wil nemen weer wél een goeie:

Volgens Vettewinkel-Raymakers van Norea zijn [certificeringen als ISO27001 en NEN7510] hiervoor juist onvoldoende: ‘Bij deze certificering wordt niet gekeken naar wat er daadwerkelijk gebeurt bij een organisatie. Wij kijken ook in hoeverre bedrijven zich aan de regels houden.
En zeker bij de bedrijven die ict niet als core business hebben, lijkt het me echt een goede om niet alleen de papieren checks af te gaan maar ook daadwerkelijk met je toetsenbord in de modder te gaan zitten. Daar kan de Norea aanpak dus wel degelijk meerwaarde bieden.

Het komt voor mij dan uiteindelijk neer op ‘beter iets dan niets’ versus ‘dit is onvolledig dus je houdt jezelf voor de gek’. Maar gezien het belang van security heb ik echt liever kleine stapjes vooruit en zeer basale verbeteringen (zoals dat mensen eindelijk pátchen, backups maken en wachtwoorden als welkom123 tegenhouden) dan dat we nog een paar jaar wachten op een mooi Europees framework.

Arnoud

Kun je een CISO persoonlijk aansprakelijk stellen voor prutserniveau beveiliging?

| AE 12861 | Ondernemingsvrijheid | 14 reacties

Bij het bedrijf Solarwinds, waardoor vorig jaar een enorme cyberaanval mogelijk bleek, is nu de CEO en CISO persoonlijk aangeklaagd door aandeelhouders. Dat las ik bij Secureworld, dankzij Henri Koppen’s Linkedin-discussie. Een CISO persoonlijk aansprakelijk stellen maakt het beroep nu niet bepaald aantrekkelijker, zegt deze terecht. Tegelijkertijd, als het wáár is wat ik lees (wachtwoord: solarwinds123, geen UAC, geen… Lees verder

Waarom heeft een social media dienst een reglement nodig om mensen te mogen bannen?

| AE 12856 | Ondernemingsvrijheid, Uitingsvrijheid | 22 reacties

Een lezer vroeg me: Toevallig vond ik een vonnis waarin Youtube vrijgesproken wordt vanwege hun weghalen van een antivax video met een interview met Tweede Kamerlid Wybren van Haga. De video’s werden van YouTube verwijderd omdat deze in strijd zouden zijn met het Covid-beleid van het platform. Omdat dit conform beleid was gegaan, mocht Youtube dit… Lees verder

Lotto moet 10.000 euro boete betalen voor gokreclame op tienersite Girlscene

| AE 12850 | Ondernemingsvrijheid, Regulering | 18 reacties

Lotto moet 10.000 euro boete betalen voor advertenties op tienerwebsite Girlscene, maakt de Kansspelautoriteit (Ksa) vrijdag bekend. Dat las ik bij Nu.nl. Logisch, adverteren in media gericht op minderjarigen is gewoon keihard verboden. Het was ook geen eerste keer, al in 2017 is men hiervoor op de vingers getikt en toen werd een last onder… Lees verder

Oostenrijks hof vraagt EU-hof of Facebook met gebruikersdata GDPR ‘ondermijnt’

| AE 12801 | Ondernemingsvrijheid, Privacy | 9 reacties

Het Oostenrijkse Hooggerechtshof heeft het Hof van Justitie van de Europese Unie gevraagd of Facebook juridisch gezien wel gebruikersdata mag verwerken. Dat las ik bij Tweakers. De vraag draait om het verschil tussen toestemming en een contract als grondslag om persoonsgegevens te mogen verwerken. Sinds de AVG van kracht is, houdt Facebook namelijk vol dat… Lees verder

‘Belgische providers moeten fup verhogen als 1 op 10 klanten deze overschrijdt’

| AE 12795 | Ondernemingsvrijheid | 8 reacties

De Belgische toezichthouder BIPT heeft een nieuw richtsnoer geïntroduceerd over hoe mobiele en vaste providers om moeten gaan met onbeperkt internet. Dat meldde Tweakers onlangs. Een van de maatregelen is dat providers gebruikers niet mogen blokkeren als zij over de fair use policy oftewel FUP gaan. De BIPT noemt dit een “beleid van redelijk gebruik” en doet… Lees verder

Consumentenbonden EU dienen klacht in tegen WhatsApp wegens ‘druk op gebruikers’

| AE 12784 | Innovatie, Ondernemingsvrijheid | 10 reacties

Verschillende Europese consumentenorganisaties hebben een klacht ingediend tegen WhatsApp, las ik bij Tweakers. Volgens de organisaties oefent de chatapp te veel druk uit op zijn gebruikers om de nieuwe gebruiksvoorwaarden en het vernieuwde privacybeleid te accepteren: ‘Je kunt niet volledig gebruikmaken van WhatsApp totdat je de updates aanvaardt. Voor een korte periode kun je nog wel… Lees verder