Tag: privacyverordening

About privacyverordening

Subscribe Feeds

Moet alle oude software worden afgeschaft onder de Privacyverordening?

Geplaatst op in Intellectuele rechten, Privacy, 16 reacties

Een lezer vroeg me:

De Algemene Verordening Gegevensbescherming (AVG of GDPR) stelt strenge eisen aan ICT-systemen, zoals privacy by design en beveiliging. Hebben wij nu een probleem met al onze legacy software?

Op 25 mei 2018 wordt de Algemene Verordening Gegevensbescherming (AVG of GDPR) van kracht. Deze gaat een grote verandering opleveren bij alle bedrijven die iets doen met persoonlijke gegevens. Eén belangrijk aspect daarbij is de inrichting van ICT-systemen die dergelijke persoonsgegevens opslaan.

Gegevensbescherming door ontwerp, in het Engels privacy by design, houdt in dat de voor verwerking gebruikte mechanismen zo zijn ontworpen dat zij zo veel mogelijk rekening houden met de privacy van betrokkenen en de vereisten uit de AVG. Een systeem dat hieraan voldoet, zou dus bijvoorbeeld knoppen ingebouwd hebben waarmee betrokkenen inzage in hun persoonsgegevens kunnen krijgen. Ook andere maatregelen, gericht op bijvoorbeeld het minimaliseren van de hoeveelheid persoonsgegevens en het zo spoedig mogelijk pseudonimiseren van persoonsgegevens, vallen onder dit beginsel.

Meer algemeen moeten passende technische en organisatorische maatregelen worden genomen om te waarborgen (én te kunnen aantonen) dat verwerkingen in overeenstemming met de AVG worden uitgevoerd. ICT-systemen moeten dus aantoonbaar uitgevoerd zijn met dergelijke waarborgen.

De AVG kent geen uitzondering voor software die reeds in gebruik was voor de inwerkingtreding (25 mei 2016). Dat betekent dat ook bij die systemen moet worden voldaan aan de eisen van passende waarborgen en privacy by design. In zoverre heb je dus een probleem met dergelijke legacy software.

Echter, de AVG eist ook weer niet dat je hele infrastructuur volledig opnieuw moet worden opgebouwd. Randvoorwaarde is namelijk dat je rekening houdt met de aard, de omvang, de context en het doel van de verwerking, alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen.

Je moet dus een afweging maken welke problemen of beperkingen er zitten in je huidige infrastructuur, en hoe je daar een kosteneffectieve oplossing kunt treffen waarmee mensen hun rechten kunnen halen. Dat kan zijn een vervanging, maar een extra systeem er naast zou ook een legitieme oplossing kunnen zijn. Zolang je maar kunt aantonen dat je erover nagedacht hebt en dat deze oplossing uiteindelijk goed genoeg is.

Arnoud

Valt iedere bit straks onder de Privacyverordening?

Geplaatst op in Privacy, 27 reacties

Naar aanleiding van de recente vraag of een klassenfoto privacygevoelig is, kreeg ik diverse opmerkingen onder meer via Twitter:

Net als het getal 098773557 . Want misschien een bsn. Het AVG virus noem ik dat, elk stukje data wordt er uiteindelijk door besmet.

De Privacyverordening als virus, het moet niet gekker worden. Maar ik snap de zorg, want inderdaad kunnen heel wat brokjes informatie persoonsgegevens zijn, zeker met de nieuwe, brede definitie van dat begrip die we vanaf 25 mei gaan krijgen.

Ik geloof onmiddellijk dat het getal 098773557 ergens een persoonsidentificatie is, maar die definitie is echter niet zo breed dat een sequentie van tekens een persoonsgegeven is enkel omdat het ergens gekoppeld zou kunnen zijn aan een persoon.

Waar het om gaat, is of het getal of andere sequentie met redelijke inspanning te herleiden is tot een persoon. Dat hoeft niet perse door jou te kunnen, het gaat erom of objectief gezien die herleiding mogelijk is. Een IP-adres is daarom dus al snel een persoonsgegeven: via de internetprovider is het te herleiden tot de natuurlijke persoon die abonnee is. Dat die provider daar niet snel aan meewerkt, doet er niet toe. Het is eenvoudig genoeg.

Voor mij gaat het mis bij het genoemde getal: ik heb geen idee hoe ik van daar moet komen tot een persoon, op welke wijze dan ook. Dat ergens iemand dat als sleutel in een lijst heeft, zal best – maar hoe weet ik wie die lijst heeft?

Je zou een redelijke aanname kunnen doen dat een groot bedrijf zoals Shell haar personeel personeelsnummers geeft, en dat 098773557 dan een geldig nummer is. Of een CRM-pakket blijkt met dergelijke identifiers te werken, en je weet een aantal bedrijven te noemen die dat gebruiken en dus (zo mag je vermoeden) iemand hebben als klant of personeel met dat nummer.

Dan blijf je echter terugkomen bij het feit dat met dit nummer wel op een of andere manier bedoeld moet zijn om te wijzen naar die persoon. Waar blijkt dat uit? De tweet in dit voorbeeld geeft nergens enige hint van een persoon wiens bsn dit zou moeten zijn. Daarmee gaat de herleidbaarheid dus al heel snel mis.

Als meneer had getwitterd “Net als het getal 098773557 – ID van een klant van me – …”, dan zou ik het misschien wel een persoonsgegeven noemen. Hij kan dan immers het ID herleiden tot die klant, en dat maakt objectief gezien het gegeven inderdaad persoonlijk. Die tweet wordt daarmee dan in feite giftig afval, en je zou hem dan als een datalek kunnen zien.

Specifiek bij zo’n voorbeeld zou je denk ik het getal nog wel mogen retweeten en betrekken in discussie. De informatievrijheid zou in zo’n geval namelijk ook meewegen, en de kans op identificatie en schade is vrij klein, dus in de belangenafweging onder de AVG kom je denk ik al snel bij een rechtvaardiging uit.

Arnoud

Wat moet je onder de AVG doen met ongewenst verkregen persoonsgegevens?

Geplaatst op in Privacy, 16 reacties

Een lezer vroeg me:

Af en toe krijgen wij als PC-reparateurs per mail allerlei persoonlijke informatie van klanten gemaild, ongevraagd. Denk aan een verslag wat er misging, maar soms ook medische of andere gevoelige gegevens. Soms zelfs van collegabedrijven die ons als tweedelijns ondersteuning inschakelen. Dat is een probleem onder de AVG, want die mail is natuurlijk onbeveiligd. Wat moeten wij daar mee?

Inderdaad ben je onder de AVG verplicht zorgvuldig met persoonsgegevens om te gaan die je binnenkrijgt, en het doet er niet toe of je gevraagd hebt om die gegevens. Maar het is niet zo dat je per direct een boete krijgt wanneer iemand je ongevraagd zijn medisch dossier mailt, of zelfs maar dat die persoon een schadeclaim kan indienen. Zolang je maar adequaat je mail monitort op dergelijke gegevens, en ze wist zodra duidelijk is dat ze irrelevant zijn.

Wanneer de gegevens van een collega komen, wordt het een iets ander verhaal. Die collega is verantwoordelijke voor die gegevens, en mag ze niet zomaar aan een derde verstrekken. Dat mag in dit soort situaties eigenlijk alleen als jij als verwerker (voorheen: bewerker) bent aangesteld en er een verwerkersovereenkomst tussen jou en hem is gesloten, waarin staat dat jij in de uitvoering van je PC-reparaties persoonsgegevens kan ontvangen, dat je daarmee zorgvuldig om zult gaan et cetera. Die zal er dus sowieso moeten komen.

Nog steeds ben je dan niet schadeplichtig als je die mails binnenkrijgt en er adequaat op reageert. Maar hij is dat wel: hij verstrekt persoonsgegevens aan derden zonder afdoende maatregelen te hebben genomen. Dus de bal ligt bij hem om hier wat aan te doen. Hooguit ontstaat voor jou een probleem als dit stelselmatig gebeurt en je nooit eens een escalatie opstart om hier een einde aan te maken (of een verwerkersovereenkomst te sluiten).

Arnoud

Eh nee, je BSN blijft gewoon een verboden nummer onder de Privacyverordening

Geplaatst op in Privacy, 33 reacties

Een lezer vroeg me:

In diverse media lees ik dat het verbod op verwerken van het burgerservicenummer (BSN) gaat verdwijnen. Dit verbod staat in de Wet bescherming persoonsgegevens, maar die komt te vervallen zodra de AVG is aangenomen. Klopt dat, en mag ik dan gewoon het bsn gaan gebruiken als bijvoorbeeld klantnummer?

Nee, dit klopt niet. Ook onder de Privacyverordening blijft het gewoon verboden om iemands BSN te gebruiken, tenzij in een wet expliciet staat dat je hem móet gebruiken. (Een BSN mág je dus nooit gebruiken, soms móet je het gebruiken.)

De verwarring komt door het feit dat de Privacyverordening vermeldt dat de Richtlijn waar de Wbp op is gebaseerd, wordt ingetrokken. De Wbp wordt dan ook ingetrokken per 25 mei volgend jaar. Artikel 24 Wbp gaat dan gezellig mee, en in dat artikel staat het verbod op verwerken van iemands burgerservicenummer.

Echter, de regering heeft al een Uitvoeringswet AVG aangekondigd waarin ze eigen aanvullingen bovenop de AVG gaat doen. Dat mag, de AVG vermeldt op diverse plekken dat een land zelf keuzes mag maken. Zo staat er in dat je vanaf zestien jaar je eigen beslissingen over persoonsgegevens mag nemen, maar dat een land die grens omlaag mag halen (tot minimaal 13).

Artikel 44 van de huidige tekst daarvan is letterlijk artikel 24 Wbp:

Een nummer dat ter identificatie van een persoon bij wet is voorgeschreven, wordt bij de verwerking van persoonsgegevens slechts gebruikt ter uitvoering van de betreffende wet dan wel voor doeleinden bij de wet bepaald.

En ja, ik weet dat deze tekst net uit de internetconsultatie is en dat er nog van alles kan gebeuren. Maar ik acht de kans echt núl komma nul dat dit artikel gaat veranderen of verdwijnen. Die uitvoeringswet is grotendeels een formaliteit, en het is dus buitengewoon onverstandig om te denken dat er straks een gaatje komt om met bsn’s te gaan werken.

Arnoud

Mag je mensen nog verplicht op nieuwsbrieven laten abonneren onder de Privacyverordening?

Geplaatst op in Privacy, 25 reacties

Een lezer vroeg me:

Is het straks onder de Privacyverordening (AVG of GDPR) nog toegestaan om gratis e-book of deelname aan een quiz of iets dergelijks te koppelen aan een verplichte opt-in voor een nieuwsbrief?

Het is een populaire manier van nieuwsbriefbuilding: bied een ebook of factsheet of andere interessante download aan, maar alleen nadat men het e-mailadres heeft ingevuld zodat daar de nieuwsbrief heengestuurd kan worden. (Zelfs mijn kantoor doet het.) Ook bij allerlei quizzen en tests zie je dit veel: vul je e-mailadres in om de resultaten te ontvangen, en dan krijg je meteen ook de nieuwsbrief.

Mag het straks nog? Toestemming onder de GDPR moet namelijk in vrijwilligheid worden gegeven, en zeggen “geef toestemming of anders geen ebook voor jou” klinkt niet als heel vrijwillig.

Expliciet uitgesloten is het niet. Het dichtst bij komt artikel 7.4 over toestemming:

Bij de beoordeling van de vraag of de toestemming vrijelijk kan worden gegeven, wordt onder meer ten sterkste rekening gehouden met de vraag of voor de uitvoering van een overeenkomst, met inbegrip van een dienstenovereenkomst, toestemming vereist is voor een verwerking van persoonsgegevens die niet noodzakelijk is voor de uitvoering van die overeenkomst.

Dit artikel verbiedt het dus niet, maar zegt wel “dit weegt zwáár mee bij de bepaling of het vrijwillig is”.

Bij de overeenkomst tot deelname aan een quiz of tot schenking van een ebook is het niet echt noodzakelijk ook de nieuwsbrief te ontvangen. De daarvoor geëiste toestemming valt dus onder artikel 7.4 en is dus verdacht. Je zou dan moeten zeggen, zó belangrijk is zo’n ebook of quiz nou ook weer niet, dus what’s the harm, zeker omdat je de nieuwsbrief op ieder moment weer kunt opzeggen. Dan zou uit die beoordeling toch komen dat de toestemming vrijwillig is gegeven.

Soms wordt wel verdedigd dat je zo’n nieuwsbrief mag sturen omdat de quizdeelnemer of ebookaanvrager een dienst bij je afneemt, en klanten mag je mailen zonder toestemming. Dat klopt in principe, maar “klant” is wel beperkt tot iemand die een betaalde dienst (of product) afneemt. Bij een gratis dienst is het dus überhaupt niet mogelijk je te beroepen op dit recht. Bovendien moet er voor of bij het doen van de bestelling een opt-out worden geboden, dus dat pakt ook onhandig uit: mensen kunnen dan meteen zeggen “laat maar die nieuwsbrief” en vervolgens alsnog het ebook of de quiz afnemen.

Arnoud

Hoe veel overgangsrecht krijgen we bij de Privacyverordening?

Geplaatst op in Privacy, 8 reacties

Een lezer vroeg me:

Op 25 mei volgend jaar treedt de Privacyverordening in werking, las ik. Dus vanaf dan krijgen we al die strenge nieuwe regels over toestemming, privacyverklaringen en datalekken, met boetes tot een paar miljoen per overtreding. Maar wat ik nergens kan vinden, is hoe veel overgangsrecht we dan krijgen om onze systemen en dergelijke aan te passen. Hoe veel jaar is dat?

Dit is misschien een tikje pijnlijk maar het ding is al in werking en we zitten al in het overgangsrecht. Op 25 mei vorig jaar werd de Privacyverordening aangenomen, en twee jaar daarna wordt hij “van kracht” oftewel dan gelden al die regels écht. Die twee jaar is de overgangsperiode.

Volgens mij beseffen nog maar héél weinig mensen dit. En ik durf nu al wel te voorspellen dat we straks in 2017 een heleboel boze berichten gaan lezen dat men zich overvallen voelt door die nieuwe wet en alles dat daarvoor “ineens” moet worden gedaan, inclusief hernieuwde toestemming vragen, bewerkersovereenkomsten herzien en de documentatie voor alles op orde hebben.

Maar wie het goed wil doen, kan beter nú al aan de slag. Een paar aandachtspunten:

  • Is je toestemmingsvraag losgekoppeld van andere vragen (dus niet “Ik bestel en wil de nieuwsbrief”) en kan toestemming net zo eenvoudig worden ingetrokken als gegeven?
  • Is je toestemmingsvraag specifiek? Wordt ieder beoogd gebruik duidelijk genoemd?
  • Kun je bewijzen dat iedere betrokkene toestemming heeft gegeven? En hoe lang bewaar je dat bewijs?
  • Zijn je privacyverklaringen al herschreven in duidelijke taal die geschikt is voor de doelgroep? Of heb je nog steeds dat typische wollige privacyjargon dat wij juristen prettig leesbaar vinden?
  • Heb je al gekeken of je een privacy officer nodig hebt?
  • Heb je al je processen nagelopen op verwerkingen van persoonsgegevens, en per verwerking vastgelegd wat er gebeurt en waarom dat niet een onsje minder kan?
  • Heb je daar ook bij gezet of je het risico verhoogd inschat, en zo ja een privacy impact assessment uitgevoerd?

De AVG kent natuurlijk nog véél meer aandachtspunten, maar als je deze op orde hebt dan moet je een heel eind komen.

(Terzijde: in ons boek De Algemene Verordening Gegevensbescherming lees je exact wat elk artikel van de Privacyverordening betekent voor de praktijk. Het verschijnt in februari, dus teken nu in!)

Arnoud

Wanneer hebben wij een data protection officer nodig als bedrijf?

Geplaatst op in Privacy, 16 reacties

privacy-statement.jpgEen lezer vroeg me:

In 2018 komt de Privacyverordening eraan. Eén van de plichten daaruit is het aanstellen van een data protection officer ofwel een functionaris gegevensbescherming. Maar welke bedrijven moeten dit nu verplicht doen?

De functionaris voor de gegevensbescherming oftewel de data protection officer (DPO) is een onafhankelijk en deskundig persoon binnen de organisatie van de verwerker met als taak informeren en adviseren over de omgang met persoonsgegevens. De functionaris mag een werknemer zijn of een extern ingehuurde kracht. Het idee is dat je zo meer nadruk op toezicht en naleving van de Privacyverordening kunt leggen.

Aanstellen van een functionaris voor gegevensbescherming is verplicht in drie situaties, zo staat in artikel 37 van de Verordening:

  1. de verwerking wordt verricht door een overheidsinstantie of overheidsorgaan, behalve in het geval van gerechten bij de uitoefening van hun rechterlijke taken; Overheidsinstanties dus (rechtbanken zijn kort gezegd vrijgesteld van toezicht wegens de rechterlijke onafhankelijkheid)
  2. een verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met verwerkingen die vanwege hun aard, hun omvang en/of hun doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen; Het moet dus gaan om het uitvoeren van regelmatige en stelselmatige observatie op grote schaal van betrokkenen. Te denken valt aan recherchebureaus, maar ook aan internetbedrijven die diensten aanbieden om websitebezoek zeer gedetailleerd te monitoren (analytics).
  3. de verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met grootschalige verwerking van [bijzondere en strafrechtelijke persoonsgegevens]; dit zijn bijvoorbeeld persoonsgegevens over ras, seksuele voorkeur of politieke gezindheid.

Er zijn dus géén getalsmatige criteria, zoals in eerdere concepten van de Verordening nog wel stonden. Diverse artikelen verwijzen hier nog naar, bijvoorbeeld dat je pas een functionaris nodig hebt vanaf 500 medewerkers of als je van 250 mensen of meer persoonsgegevens verwerkt. Dat is dus allemaal niet meer uit de wet af te leiden.

Nadere Europese of nationale wetgeving kan voorschrijven dat in andere gevallen een functionaris verplicht is (lid 4). Het staat organisaties vrij daarnaast vrijwillig een functionaris te benoemen (lid 4). En dat kan nut hebben: een bedrijf met een goed opererende functionaris zal minder snel door de toezichthouder worden besprongen met audits en boetes. En als je bedenkt dat die 20 miljoen per overtreding kunnen zijn, dan loont het best de moeite daarover na te denken.

Arnoud

Wbp move over: de Europese Privacyverordening is hier!

Geplaatst op in Privacy, 26 reacties

wbp-west-bengal-policeNa buitengewoon veel gelobby, gesteggel en geharrewar over toestemming geven, profiling, toezicht en boetes zijn we er dan eindelijk uit: de Europese Privacyverordening is definitief aangenomen in het Europees Parlement. De nieuwe regels zullen de huidige nationale privacywetten, zoals onze Wet bescherming persoonsgegevens, gaan vervangen en zo een éénvormige privacyregulering bieden voor alle Europese burgers. Dat werd hoog tijd, want die oude regels waren uit 1995 en toen werkte internet iets anders dan nu. Wat betekent de privacyverordening voor de praktijk?

De definitieve tekst laat zien dat het in principe vooral méér, méér, méér regeltjes op gaat leveren. Er zijn geen volstrekt nieuwe begrippen of fundamenteel andere insteken. Het is aanscherpen, verdiepen, en vooral meer verplichten voor bedrijven die omgaan met persoonsgegevens. In theorie moet dit de privacy van de burger zeer ten goede komen. Maar ik ben bang voor een cookiewet on steroids: alle waarborgen uit de Verordening ten spijt zie ik de duizenden popups met “Graag willen wij uw uitdrukkelijke toestemming” al voor me.

Het begrip ‘persoonsgegeven’ wordt een eind opgerekt. Het gaat niet perse meer over identificeren aan de hand van iemands naam of contactgegevens: ook locatie en online nicknames zijn nu beschermde data geworden:

an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person;

Hiermee komt (hoop ik dan) een einde aan de discussie of een IP-adres, kenteken, nickname of “die meneer op de achterste bank met dat rode shirt” nu een persoonsgegeven is. Dat zijn ze: ze identificeren iemand aan de hand van een bepaalde identifier, en dat is genoeg. Een naam is ook maar gewoon een tekentje.

Ook de toestemming wordt opgerekt. Waar de huidige wet een vrije, specifieke en op informatie beruste uiting vereiste, luidt de huidige riedel als volgt:

any freely given, specific, informed and unambiguous indication of the data subject’s wishes by which he or she, by a statement or by a clear affirmative action, signifies agreement to the processing of personal data relating to him or her;

De toestemming moet dus nu ook “niet-ambigu” zijn, en er moet een verklaring of duidelijke bevestigende handeling zijn. Uit impliciet handelen valt dus geen toestemming meer af te leiden. En oh ja:

If the data subject’s consent is given in the context of a written declaration which also concerns other matters, the request for consent shall be presented in a manner which is clearly distinguishable from the other matters, in an intelligible and easily accessible form, using clear and plain language.

Wil je dus meerdere dingen vragen waarvan eentje een privacytoestemming is, dan zul je die privacytoestemming apart moeten vragen in gewone taal. En dit is dus waarom ik duizenden cookiepopups verwacht onder de nieuwe wet.

Het ‘recht te worden vergeten’ staat ook in de Verordening. Inhoudelijk weinig nieuws: je hád al het recht je gegevens te laten wissen als ze niet meer relevant zijn, en gewist worden in Google-zoekresultaten is niet anders dan gewist worden bij een winkel waar je jaren terug eens wat bestelde. Wel nieuw is dat de verantwoordelijke nu ook de plicht krijgt bij collega’s die deze data van hem hebben gekregen, het ook daar te laten verwijderen.

Verder heb je straks het recht een kopie van je data te krijgen in een portable formaat, zodat je deze bijvoorbeeld bij een andere dienstverlener kunt laten importeren. (Wel moet het gaan om geautomatiseerde diensten én moet de data verwerkt zijn krachtens toestemming of een contract.)

Verwerken zonder toestemming mag op zich nog steeds, mits je het kunt rechtvaardigen onder een eigen dringende noodzaak. Nieuw is dat mensen bezwaar kunnen maken tegen dergelijke verwerkingen. Bij zo’n bezwaar moet de verantwoordelijke vervolgens een stevige motivatie geven waarom ondanks het bezwaar hij tóch verder mag gaan. En dit wordt nog een leuke: specifiek bij profiling voor direct marketing is die motivatie per definitie niet mogelijk. De vraag voor de komende vijf jaar wordt dus of getargete internetadvertenties hieronder vallen.

De nieuwe wet zet veel zwaarder in op compliance. Bedrijfsprocessen die met persoonsgegevens werken, moeten gedocumenteerd worden (met name hoe toesteming verkregen is). Bedrijven moeten kunnen verantwoorden waarom het niet een onsje minder kan met die persoonsgegevens. En bedrijven wiens kernactiviteit het

processing operations which, by virtue of their nature, their scope and/or their purposes, require regular and systematic monitoring of data subjects on a large scale

is, moeten een onafhankelijke privacy officer aanstellen.

Om dit alles kracht bij te zetten, krijgt de toezichthouder een boetebevoegdheid die op kan lopen tot € 20.000.000 per overtreding of 4% van de wereldwijde jaaromzet voor de grote overtredingen en 10 miljoen/2% voor de meer formele dingen. Wereldwijd, want Google, Facebook en andere Amerikaanse bedrijven kunnen ‘pakken’ is expliciet de bedoeling. Deze vallen volgens de Verordening onder Europese jurisdictie wanneer zij persoonsgegevens van Europese burgers verwerken, ongeacht in welk land dat gebeurt. (En hee, komt dát even handig uit dat ze allemaal hun omzet via een Nederlandse IP-bv doorstromen.)

De Verordening is alles bij elkaar 261 pagina’s juridische taal, dus dat gaat nog wel even flink wat gepuzzel worden voor mij en mijn collega’s. En dat roept gelijk wel een zorg bij me op: deze wet is zó groot, kun je daar wel aan voldoen? Of omgekeerd, deze wet is zó groot, daar is altijd wel een truc in te vinden om er onderuit te komen. Dus was dit wel een goed idee, zó veel ineens regelen?

Arnoud