In de mail ontving ik het volgende bericht;

Goedemorgen,

Na de zoveelste envelop van Bevolkingsonderzoek voor darmkankeronderzoek en borstscreening besloot ik mij grondig af te melden, dus ik belde eerst om te vragen of ze mijn gegevens helemaal uit hun database konden verwijderen. Ja, dat kon, maar dan hadden ze wel een handtekening nodig.

Ik ontving een formulier met vakjes om aan te vinken. Ik vinkte alles aan, stuurde het op en kreeg later keurig netjes een bevestigingsbrief met een lijst voor alles waar ik nu voor afgemeld ben, waaronder:

"Geen gebruik van mijn lichaamsmateriaal voor wetenschappelijk onderzoek BMHK. De beoordeling van uitstrijkjes en zelfafnamesets vindt plaats in een screeningslaboratorium. Het lichaamsmateriaal wordt na beoordeling door het laboratorium vernietigd en wordt niet gebruikt voor wetenschappelijk onderzoek."

Dit lijkt erop dat lichaamsmaterialen normaal gesproken standaard en zonder toestemming van de patient gebruikt kunnen worden voor diverse wetenschappelijke activiteiten. Is dit misschien iets voor PrivacyNieuws om verder uit te diepen?

Met vriendelijke groet, .....

Ik heb de schrijfster geantwoordt dat er in 2017 zeker twee artikelen over zijn geplaatst omdat de wet destijds is opgerekt. Voor de geïnteresseerden ... dat waren deze twee berichten; 1 & 2.

Met haar instemming plaats ik haar bijdrage zodat jullie weten dat je je ervoor af kunt melden en hoe dat in zijn werk gaat.

Vandaag start de Autoriteit Persoonsgegevens (AP) een nieuwe voorlichtingscampagne over de privacywet. Een jaar na het van toepassing worden van de Algemene verordening gegevensbescherming (AVG), leven er nog veel vragen over de nieuwe privacywet. De campagne ‘Wat betekent de privacywet voor jou?’ maakt mensen bewuster van hun privacyrechten en geeft mkb'ers praktische hulp bij de naleving van de wet.

Op hulpbijprivacy.nl, de campagnewebsite van de AP, publiceert de AP de komende maanden steeds over een ander onderdeel van de AVG. De eerste campagnemaand staat in het teken van de vraag ‘hoe faciliteer je als mkb-er de privacyrechten van je klanten?’. De volgende onderwerpen zijn: beveiliging van persoonsgegevens, verwerkersovereenkomsten, verwerking van gegevens van (zieke) werknemers en de grondslagen voor verwerking van persoonsgegevens.

De campagne er ook op gericht om bij iedereen het bewustzijn en de kennis over privacyrechten te vergroten. Mensen weten inmiddels dat er een privacywet is, maar weten nog niet goed wat deze voor hen betekent, wat hun rechten zijn. Zij mogen bijvoorbeeld hun gegevens inzien en laten wijzigen of wissen. Ook hebben zij het recht bij een organisatie hun persoonsgegevens op te vragen en mee te nemen naar een andere ‘aanbieder’. En komen ze er met de organisatie niet uit, dan kan iedereen sinds 25 mei een klacht indienen bij de AP.

Alles bij de bron; AP

Het Ministerie van Financiën staat op het punt om bedrijven te verplichten op grote schaal persoonlijke data te exporteren. De maatregel zit verstopt in een bijzinnetje van een Kamerbrief van de Minister van Financiën en verplicht bedrijven om bij 'virtual assets', digitaal te verhandelen waren zoals bitcoins, vastgoed maar ook aankopen in computerspelletjes, klantgegevens mee te sturen. De informatie van alle betrokken partijen blijft zichtbaar voor iedereen in de waardeketen.

Consumenten, bedrijven en burgers kunnen geen bezwaar maken tegen het verplicht toevoegen van hun persoonsgegevens.

Politieke aandacht krijgt dit onderwerp niet omdat het wordt gepresenteerd als technische maatregel. In de Kamerbrief van 21 maart 2019 laat de Minister na om te wijzen op de grote reikwijdte en impact. Wel wordt gesuggereerd dat door een consultatieronde aan de reacties van de markt gehoor zal worden gegeven.

Privacy First en de VBNL (Verenigde Bitcoinbedrijven Nederland) hebben inmiddels begrepen dat de wereldwijde bezwaren tegen de maatregel worden genegeerd. Daarom sturen zij vandaag een brandbrief aan de Minister van Financiën. Daarbij wijzen ze op de strijdigheid die de maatregel kan hebben met andere internationale afspraken en verdragen die de persoonlijke levenssfeer beschermen.
Waar bekend is dat de consument zeer terughoudend is met het zélf ter beschikking stellen van de eigen gegevens, moet de overheid dat ook zijn. Privacy First vindt het uitermate kwalijk dat het Ministerie van Financiën van plan lijkt te zijn op een achternamiddag met één pennestreek namens alle Nederlandse consumenten en bedrijven tot in lengte van dagen toestemming te geven voor ongebreidelde export van persoonsdata in het economisch verkeer.

De argumentatie dat sprake zou zijn van een noodzakelijke maatregel voor terrorismebestrijding is ongegrond. Deskundigen bij Europol (!) geven aan dat genoemd internationaal voorstel ‘overkill’ is en niet nodig voor de opsporing. De regel voegt niets toe aan het bestaande Europese raamwerk ter bestrijding van witwassen en terrorismefinanciering en verhoogt slechts het risico van ongewenste datalekken. Onze gehele brief is HIER te lezen.

Bron; Persbericht

Een hacker heeft toegang gekregen tot persoonlijke gegevens van woningzoekenden bij huurmakelaar NederWoon, een organisatie met meer dan 25.000 huurwoningen. De indringer had onder meer toegang tot de namen, adressen, telefoonnummers ID-bewijzen en werkgeversverklaringen van mogelijk duizenden woningzoekenden...

...De hacker kreeg toegang tot gegevens die door woningzoekenden zijn ingevuld of geüpload over de periode 2017 tot en met 2019, de indringer kon daar ongemerkt in rondneuzen. NederWoon weet nog niet exact welke gegevens er in de database zaten. Bij de invulvelden die de organisatie op de website gebruikte om de database te vullen werd gevraagd om een naam, adres, woonplaats, telefoonnummer en een e-mailadres. Woningzoekenden hadden ook de mogelijkheid om online documenten te uploaden, waaronder identiteitsbewijzen met BSN-nummers en werkgeversverklaringen. Ook daar kon de hacker bij. 

De gelekte persoonsgegevens maken identiteitsfraude mogelijk. Criminelen kopen bijvoorbeeld op naam van iemand anders spullen zonder te betalen. ,,Met een BSN-nummer in combinatie met andere gegevens kun je soms al een lening afsluiten of een huurcontract tekenen. Hoe meer de kwaadwillende in handen heeft, hoe meer schade hij kan uitrichten.’’ aldus de AP.

Alles bij de bron; deStentor

In Groningen opent vandaag de eerste privacy-escaperoom van de stad: ‘Hack the Room!’ De bedoeling van deze educatieve escaperoom is om medewerkers van bedrijven in ‘Het Kwadraat’ te leren hacken in een realistische bedrijfsomgeving.

De escaperoom is speciaal ontworpen door een ervaren privacy jurist en een hacker. Samen hebben zij één doel: medewerkers veiliger leren werken en zo de organisatie minder risico  laten lopen op het gebied van ‘security’. Slordigheden rond de werkplek, zoals niet uitloggen als men even de kamer uit is, zwakke wachtwoorden en rondslingerende documenten dragen hier in grote mate aan bij. 

De escaperoom kan ingezet worden bij alle medewerkers die contact hebben met klanten, die met (gevoelige) persoonsgegevens werken, op de financiële administratie werken etc. Het spelen van de escaperoom draagt bij aan het verhogen van bewustzijn rondom de risico’s die de organisatie loopt als het gaat om informatiebeveiliging op de werkplek. Wat kun je als hacker als iemand de computer niet heeft vergrendeld? Hoe ver kom je met een zwak wachtwoord, de informatie die men deelt op social media en het gedrag rondom de printer?

Teams moeten in 60 minuten hun gegijzelde data weer veilig stellen en voorkomen hiermee een imago-schandaal in de krant van morgen.

Alles bij de bron; GroningerInternetCourant

Vorige week heeft het Hof van Justitie van de Europese Unie (hierna het Hof) bepaald dat werkgevers verplicht zijn om een systeem op te zetten waarmee de dagelijkse arbeidstijd van iedere werknemer wordt geregistreerd. Het Hof constateert dat indien er geen systeem is waarmee de dagelijkse arbeidstijd van iedere werknemer wordt geregistreerd, niet objectief en betrouwbaar kan worden vastgesteld hoeveel uren en op welke tijdstippen de werknemer heeft gewerkt, alsmede hoeveel overuren zijn gemaakt, waardoor het voor werknemers buitengewoon moeilijk en in de praktijk haast onmogelijk is om hun rechten af te dwingen.

Het mag voor zich spreken dat het bewaken van de maximumarbeidsduur en rusttijden van werknemers moet worden toegejuicht. Tegelijkertijd kan volgens de Autoriteit Persoonsgegevens (hierna AP) tijdsregistratie van werknemers als een personeelsvolgsysteem worden aangemerkt en zo'n systeem valt onder de strekking van de Algemene Verordening Persoonsgegevens (AVG).

Controleren van werknemers is in beginsel niet verboden, zolang werkgevers maar rekening houden met de privacy van hun werknemers. Zo moet de werkgever de werknemers informeren over de verwerking (wat wordt er verwerkt, met welk doel, etc.). Daarnaast moet de werknemer ook zijn rechten kunnen uitoefenen. Denk hierbij aan het inzagerecht. Een ander aandachtspunt is het doelbindingsvereiste. Het is van belang dat de resultaten van het registreren van de arbeidstijden alleen wordt gebruikt voor het doel waarvoor ze zijn verkregen. Deze resultaten mogen niet worden gebruikt voor een ander doel, tenzij het verenigbaar is met het oorspronkelijk verwerkingsdoel.

Al met al is ten aanzien van het bovenstaande afhankelijk wat er precies wordt geregistreerd. Simpel in- en uitklokken lijkt mijns inziens geen probleem en daar moeten we ook niet krampachtig over doen. Het kan echter zo zijn dat een werkgever meer persoonsgegevens registreert dan nodig. Daarom is mijn advies ook aan alle werkgevers om een stapje terug te nemen en te analyseren in hoeverre de werknemers gecontroleerd worden (en daar waar nodig maatregelen treffen om dat te verminderen). Tenzij ‘Big Brother’ op de werkvloer wordt geambieerd.

Alles bij de bron; AGConnect

Tientallen chemie-, industrie- en havenbedrijven testen of werknemers onder invloed zijn van alcohol of drugs, terwijl dat niet mag. Volgens de Europese privacywet mogen bedrijven hun personeel niet zomaar testen op drugs of alcohol. In de wet die vorig jaar inging staat dat ze daarvoor een speciale regeling moeten hebben. Slechts voor een paar beroepen vallen onder die uitzondering, zoals piloot, treinmachinist en schipper. Toch testen ook andere ondernemers hun personeel op drugs- en alcoholgebruik. Hun personeel werkt bijvoorbeeld met gevaarlijke stoffen en daarom wil de baas zeker weten dat ze niet onder invloed zijn...

...Maar lichaamseigen stoffen afnemen en medische gegevens verzamelen, dat mag uitdrukkelijk niet. In de AVG staat dat als een werkgever toch een test uitvoert bij zijn personeel, hij inbreuk maakt op de privacy van de werknemer. En dat is strafbaar.

Omdat ondernemers toch worstelen met de nieuwe wet, beloofde minister Sander Dekker voor Rechtsbescherming onlangs in gesprek te gaan met vakbonden en werkgevers. Hij wil met hen bespreken wanneer alcohol- en drugstesten nodig zijn vanwege veiligheid. Hij benadrukt wel dat de privacy van werknemers voorop staat.

Alles bij de bron; RTLZ

De Algemene verordening gegevensbescherming (AVG) heeft in het eerste jaar sinds de wet van kracht werd 89.000 meldingen van datalekken bij de Europese privacytoezichthouders opgeleverd. Daarnaast ontvingen de autoriteiten ook nog eens 144.000 privacyklachten en -vragen.

Dat heeft de Europese Commissie bekendgemaakt (pdf). De meeste privacyklachten gaan over telemarketing, spam en videosurveillance. 

In totaal zijn de Europese privacytoezichthouders 446 grensoverschrijdende onderzoeken gestart. 300 daarvan zijn gestart naar aanleiding van klachten van individuen. Voor de komende maanden wil de Europese Commissie zich gaan richten op een juiste en gelijkwaardige implementatie van de AVG door de verschillende lidstaten. 

Alles bij de bron; Security