Moet alle oude software worden afgeschaft onder de Privacyverordening?

| AE 9721 | Privacy, Software | 16 reacties

Een lezer vroeg me:

De Algemene Verordening Gegevensbescherming (AVG of GDPR) stelt strenge eisen aan ICT-systemen, zoals privacy by design en beveiliging. Hebben wij nu een probleem met al onze legacy software?

Op 25 mei 2018 wordt de Algemene Verordening Gegevensbescherming (AVG of GDPR) van kracht. Deze gaat een grote verandering opleveren bij alle bedrijven die iets doen met persoonlijke gegevens. Eén belangrijk aspect daarbij is de inrichting van ICT-systemen die dergelijke persoonsgegevens opslaan.

Gegevensbescherming door ontwerp, in het Engels privacy by design, houdt in dat de voor verwerking gebruikte mechanismen zo zijn ontworpen dat zij zo veel mogelijk rekening houden met de privacy van betrokkenen en de vereisten uit de AVG. Een systeem dat hieraan voldoet, zou dus bijvoorbeeld knoppen ingebouwd hebben waarmee betrokkenen inzage in hun persoonsgegevens kunnen krijgen. Ook andere maatregelen, gericht op bijvoorbeeld het minimaliseren van de hoeveelheid persoonsgegevens en het zo spoedig mogelijk pseudonimiseren van persoonsgegevens, vallen onder dit beginsel.

Meer algemeen moeten passende technische en organisatorische maatregelen worden genomen om te waarborgen (én te kunnen aantonen) dat verwerkingen in overeenstemming met de AVG worden uitgevoerd. ICT-systemen moeten dus aantoonbaar uitgevoerd zijn met dergelijke waarborgen.

De AVG kent geen uitzondering voor software die reeds in gebruik was voor de inwerkingtreding (25 mei 2016). Dat betekent dat ook bij die systemen moet worden voldaan aan de eisen van passende waarborgen en privacy by design. In zoverre heb je dus een probleem met dergelijke legacy software.

Echter, de AVG eist ook weer niet dat je hele infrastructuur volledig opnieuw moet worden opgebouwd. Randvoorwaarde is namelijk dat je rekening houdt met de aard, de omvang, de context en het doel van de verwerking, alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen.

Je moet dus een afweging maken welke problemen of beperkingen er zitten in je huidige infrastructuur, en hoe je daar een kosteneffectieve oplossing kunt treffen waarmee mensen hun rechten kunnen halen. Dat kan zijn een vervanging, maar een extra systeem er naast zou ook een legitieme oplossing kunnen zijn. Zolang je maar kunt aantonen dat je erover nagedacht hebt en dat deze oplossing uiteindelijk goed genoeg is.

Arnoud

Valt iedere bit straks onder de Privacyverordening?

| AE 9642 | Privacy | 27 reacties

Naar aanleiding van de recente vraag of een klassenfoto privacygevoelig is, kreeg ik diverse opmerkingen onder meer via Twitter:

Net als het getal 098773557 . Want misschien een bsn. Het AVG virus noem ik dat, elk stukje data wordt er uiteindelijk door besmet.

De Privacyverordening als virus, het moet niet gekker worden. Maar ik snap de zorg, want inderdaad kunnen heel wat brokjes informatie persoonsgegevens zijn, zeker met de nieuwe, brede definitie van dat begrip die we vanaf 25 mei gaan krijgen.

Ik geloof onmiddellijk dat het getal 098773557 ergens een persoonsidentificatie is, maar die definitie is echter niet zo breed dat een sequentie van tekens een persoonsgegeven is enkel omdat het ergens gekoppeld zou kunnen zijn aan een persoon.

Waar het om gaat, is of het getal of andere sequentie met redelijke inspanning te herleiden is tot een persoon. Dat hoeft niet perse door jou te kunnen, het gaat erom of objectief gezien die herleiding mogelijk is. Een IP-adres is daarom dus al snel een persoonsgegeven: via de internetprovider is het te herleiden tot de natuurlijke persoon die abonnee is. Dat die provider daar niet snel aan meewerkt, doet er niet toe. Het is eenvoudig genoeg.

Voor mij gaat het mis bij het genoemde getal: ik heb geen idee hoe ik van daar moet komen tot een persoon, op welke wijze dan ook. Dat ergens iemand dat als sleutel in een lijst heeft, zal best – maar hoe weet ik wie die lijst heeft?

Je zou een redelijke aanname kunnen doen dat een groot bedrijf zoals Shell haar personeel personeelsnummers geeft, en dat 098773557 dan een geldig nummer is. Of een CRM-pakket blijkt met dergelijke identifiers te werken, en je weet een aantal bedrijven te noemen die dat gebruiken en dus (zo mag je vermoeden) iemand hebben als klant of personeel met dat nummer.

Dan blijf je echter terugkomen bij het feit dat met dit nummer wel op een of andere manier bedoeld moet zijn om te wijzen naar die persoon. Waar blijkt dat uit? De tweet in dit voorbeeld geeft nergens enige hint van een persoon wiens bsn dit zou moeten zijn. Daarmee gaat de herleidbaarheid dus al heel snel mis.

Als meneer had getwitterd “Net als het getal 098773557 – ID van een klant van me – …”, dan zou ik het misschien wel een persoonsgegeven noemen. Hij kan dan immers het ID herleiden tot die klant, en dat maakt objectief gezien het gegeven inderdaad persoonlijk. Die tweet wordt daarmee dan in feite giftig afval, en je zou hem dan als een datalek kunnen zien.

Specifiek bij zo’n voorbeeld zou je denk ik het getal nog wel mogen retweeten en betrekken in discussie. De informatievrijheid zou in zo’n geval namelijk ook meewegen, en de kans op identificatie en schade is vrij klein, dus in de belangenafweging onder de AVG kom je denk ik al snel bij een rechtvaardiging uit.

Arnoud

Wat moet je onder de AVG doen met ongewenst verkregen persoonsgegevens?

| AE 9579 | Privacy | 16 reacties

Een lezer vroeg me:

Af en toe krijgen wij als PC-reparateurs per mail allerlei persoonlijke informatie van klanten gemaild, ongevraagd. Denk aan een verslag wat er misging, maar soms ook medische of andere gevoelige gegevens. Soms zelfs van collegabedrijven die ons als tweedelijns ondersteuning inschakelen. Dat is een probleem onder de AVG, want die mail is natuurlijk onbeveiligd. Wat moeten wij daar mee?

Inderdaad ben je onder de AVG verplicht zorgvuldig met persoonsgegevens om te gaan die je binnenkrijgt, en het doet er niet toe of je gevraagd hebt om die gegevens. Maar het is niet zo dat je per direct een boete krijgt wanneer iemand je ongevraagd zijn medisch dossier mailt, of zelfs maar dat die persoon een schadeclaim kan indienen. Zolang je maar adequaat je mail monitort op dergelijke gegevens, en ze wist zodra duidelijk is dat ze irrelevant zijn.

Wanneer de gegevens van een collega komen, wordt het een iets ander verhaal. Die collega is verantwoordelijke voor die gegevens, en mag ze niet zomaar aan een derde verstrekken. Dat mag in dit soort situaties eigenlijk alleen als jij als verwerker (voorheen: bewerker) bent aangesteld en er een verwerkersovereenkomst tussen jou en hem is gesloten, waarin staat dat jij in de uitvoering van je PC-reparaties persoonsgegevens kan ontvangen, dat je daarmee zorgvuldig om zult gaan et cetera. Die zal er dus sowieso moeten komen.

Nog steeds ben je dan niet schadeplichtig als je die mails binnenkrijgt en er adequaat op reageert. Maar hij is dat wel: hij verstrekt persoonsgegevens aan derden zonder afdoende maatregelen te hebben genomen. Dus de bal ligt bij hem om hier wat aan te doen. Hooguit ontstaat voor jou een probleem als dit stelselmatig gebeurt en je nooit eens een escalatie opstart om hier een einde aan te maken (of een verwerkersovereenkomst te sluiten).

Arnoud

Eh nee, je BSN blijft gewoon een verboden nummer onder de Privacyverordening

| AE 9513 | Privacy | 31 reacties

Een lezer vroeg me: In diverse media lees ik dat het verbod op verwerken van het burgerservicenummer (BSN) gaat verdwijnen. Dit verbod staat in de Wet bescherming persoonsgegevens, maar die komt te vervallen zodra de AVG is aangenomen. Klopt dat, en mag ik dan gewoon het bsn gaan gebruiken als bijvoorbeeld klantnummer? Nee, dit klopt… Lees verder

Mag je mensen nog verplicht op nieuwsbrieven laten abonneren onder de Privacyverordening?

| AE 9508 | E-mail, Privacy | 23 reacties

Een lezer vroeg me: Is het straks onder de Privacyverordening (AVG of GDPR) nog toegestaan om gratis e-book of deelname aan een quiz of iets dergelijks te koppelen aan een verplichte opt-in voor een nieuwsbrief? Het is een populaire manier van nieuwsbriefbuilding: bied een ebook of factsheet of andere interessante download aan, maar alleen nadat… Lees verder

Hoe veel overgangsrecht krijgen we bij de Privacyverordening?

| AE 9200 | Privacy | 8 reacties

Een lezer vroeg me: Op 25 mei volgend jaar treedt de Privacyverordening in werking, las ik. Dus vanaf dan krijgen we al die strenge nieuwe regels over toestemming, privacyverklaringen en datalekken, met boetes tot een paar miljoen per overtreding. Maar wat ik nergens kan vinden, is hoe veel overgangsrecht we dan krijgen om onze systemen… Lees verder

Wanneer hebben wij een data protection officer nodig als bedrijf?

| AE 9090 | Privacy | 16 reacties

Een lezer vroeg me: In 2018 komt de Privacyverordening eraan. Eén van de plichten daaruit is het aanstellen van een data protection officer ofwel een functionaris gegevensbescherming. Maar welke bedrijven moeten dit nu verplicht doen? De functionaris voor de gegevensbescherming oftewel de data protection officer (DPO) is een onafhankelijk en deskundig persoon binnen de organisatie… Lees verder

Wbp move over: de Europese Privacyverordening is hier!

| AE 8592 | Privacy | 26 reacties

Na buitengewoon veel gelobby, gesteggel en geharrewar over toestemming geven, profiling, toezicht en boetes zijn we er dan eindelijk uit: de Europese Privacyverordening is definitief aangenomen in het Europees Parlement. De nieuwe regels zullen de huidige nationale privacywetten, zoals onze Wet bescherming persoonsgegevens, gaan vervangen en zo een éénvormige privacyregulering bieden voor alle Europese burgers…. Lees verder