45PNBANNER22
Gefaciliteerd door Burgerrechtenvereniging Vrijbit

Privacy

Data Privacy Day: in 2018 barst de storm echt los

Dit is misschien wel de spannendste editie van Data Privacy Day ooit. Wat op 28 januari 1981 begon met een Europees verdrag omtrent het verwerken van persoonsgegevens is verworden tot de GDPR, de Algemene Verordening Gegevensbescherming die al over vier maanden van toepassing wordt. En dan barst de storm echt los.

Wat kunnen we verwachten in 2018?

1. Invoering GDPR

2. Kritischer consumenten en privacy als business enabler

Consumenten worden langzaam maar zeker wakker. Ze worden kritischer en vragen bedrijven steeds vaker naar hoe zij met persoonsgegevens omgaan. Transparantie hierover zal in 2018 dus nog belangrijker worden, waardoor privacy voor bedrijven ook een business enabler kan worden. 

 3. De impact van nieuwe technologieën

Privacy by design is in 2018 belangrijker dan ooit. Als bedrijven of overheden geautomatiseerde keuzes maken, hebben burgers dan iets te zeggen over welke data ze daarvoor gebruiken? Of misschien de overheid? En wat gebeurt er met alle data die robots kunnen zien en horen in hun omgeving? 

 4. Actievere toezichthouders

Privacytoezichthouders worden dit jaar nog actiever. Dat betekent dat het voor organisaties moeilijker wordt om te ontkomen aan controles en dat het urgenter wordt om volgens de regels te handelen.

 5. Definitieve uitspraak Amerikaanse hooggerechtshof in zaak ‘U.S. versus Microsoft’

Naar verwachting komt er nog voor de zomer een uitspraak van het Amerikaanse hooggerechtshof in de zaak ‘U.S. versus Microsoft’, die al sinds 2014 loopt. De zaak draait om e-mails die op een server van Microsoft in Ierland staan opgeslagen en waar Amerikaanse opsporingsdiensten inzage in willen. Nadat een federale rechter Microsoft in het gelijk stelde, stapte het Amerikaanse ministerie van Justitie naar het Amerikaanse hooggerechtshof. Wanneer dit uiteindelijk in het voordeel van het ministerie beslist, zou een massaverschuiving van data het gevolg kunnen zijn. Persoonsgegevens van consumenten en bedrijven die buiten de VS zijn opgeslagen, maar wel door een Amerikaans bedrijf, kunnen dan namelijk alsnog door de Amerikaanse autoriteiten worden ingezien: zonder tussenkomst van het land waar de gegevens daadwerkelijk staan en tegen de regels van de GDPR in. 

Alles bij de bron; Emerce


 

SOLV Jaaroverzicht privacy: 2017 in vogelvlucht

Het was weer een bewogen op het gebied van privacy. Met de komst van de Algemene verordening gegevensbescherming (hierna: “AVG”) vanaf 25 mei 2018 staan gegevensbescherming en privacy meer dan ooit in de schijnwerpers: nieuwe wet- en regelgeving, ontwikkelingen in de rechtspraak (hier en hier), big dataTinderUber en NS. Ontzettend veel nieuws om over te bloggen dus, daarom blikken we graag samen terug op (bijna) al het moois dat dit jaar in de wereld van privacy is gebeurd.

Alles bij de bron; SOLV


 

Privacy bij ziekte blijft problematisch

Uit onwetendheid of gemakzucht worden privacyregels geschonden en wordt medische informatie ongeoorloofd gevraagd, opgeslagen en gedeeld. Privacy bij ziekte blijft een lastig onderwerp...

...Vorig jaar baarde de overheidsinstantie Autoriteit Persoonsgegevens (AP) opzien door in haar uitgave ‘De zieke werknemer en privacy’ op te nemen dat een leidinggevende ook niet mag vragen welke handelingen een zieke medewerker wel of niet meer kan uitvoeren. Deze nieuwe regel staat op gespannen voet met de trend van de afgelopen jaren om steeds meer het overleg over ziekteverzuim neer te leggen bij de direct leidinggevende en de medewerker...

...Ook aan ziekteverzuimcijfers en -overzichten worden regels gesteld. Zo mag een werkgever daarin geen medische gegevens opnemen die herleidbaar zijn tot personen. En verder mogen individuele verzuimgegevens in de eigen organisatie alleen belanden bij personen die direct betrokken zijn bij het verzuimbeleid.

De praktijk is op veel plaatsen anders. Regelmatig is er brede toegang tot ziekteverzuimoverzichten waarin met naam en toenaam is beschreven hoe vaak en hoe lang werknemers in de afgelopen periode ziek zijn geweest. In een uitzonderlijk geval staat daar zelfs de aard van de ziekte bij vermeld. Dat is in strijd met de wet.

Alles bij de bron; PWNet


 

Beetje bij beetje verliezen we onze bewegingsvrijheid

Rejo Zenger deed op de website van Bits Of Freedom nog een laatste oproep aan de leden van de Eerste Kamer om het wetsvoorstel tegen te houden.

Maar, eigenlijk zouden alle alarmbellen moeten afgaan: ‘er is nu al vrijwel geen enkele manier om nog ongezien te reizen’ en ‘de politie heeft blijkbaar al zoveel middelen, is het dan nooit genoeg?’

Zie ook het dossier Cameratoezicht van Sargasso.

Bron; Sargasso


 

Juridische vraag: Mag er bij een verzoek tot inzage van persoonsgegevens om een kopie ID worden gevraagd?

Vraag: Wanneer je je wettelijk recht op inzage of verwijdering van je persoonsgegevens wilt uitoefenen, wordt steeds vaker gevraagd of je een kopie van je identiteitsbewijs wilt opsturen. Is dat eigenlijk wel toegestaan?

...In principe mag een bedrijf dus vragen om een kopie ID, hoewel men dan wel natuurlijk zorgvuldig om moet gaan met die kopie. Je zou voor de grap eens kunnen informeren welke beveiligingsmaatregelen men daarbij neemt, want ook dat is deel van je inzagerecht (informatierecht).

Natuurlijk is het altijd verstandig om op zo'n kopie je foto en BurgerServiceNummer door te strepen en over de kopie de naam te schrijven van het bedrijf waar je deze heen stuurt. Dat voorkomt identiteitsfraude en beperkt de impact van datalekken.

Alles bij de bron; Security


 

Onafgeschermd publiceren WHOIS-gegevens is in strijd met de wet

Het onbeperkt publiekelijk toegankelijk maken van WHOIS-gegevens via internet is een vorm van verwerking van persoonsgegevens waarvoor een wettelijke grondslag mist. Nederlandse registries handelen in strijd met de Nederlandse privacywetgeving door de gegevens te publiceren.

Dat concludeert de Autoriteit Persoonsgegevens naar aanleiding van een verzoek van een Nederlandse registry om zich hier over uit te spreken. De Icann, die verantwoordelijk is voor de uitgifte van top-level-domeinen, vereist van registrars en registries dat ze publiekelijk toegang bieden tot de WHOIS-database met daarin de naam, het adres, e-mailadres en telefoonnummer van domeinnaamhouders. Dit is met name om contact met de domeinnaamhouder mogelijk te maken.

Het gaat hierbij om verwerking van persoonsgegevens, constateert de Autoriteit Persoonsgegevens, maar de Icann en de registries kunnen zich niet beroepen op grondslagen die hier voor vereist zijn. Zo is de verwerking niet 'noodzakelijk voor de uitvoering van een overeenkomst' en is er ook geen 'gerechtvaardigd belang'.

Alles bij de bron; Tweakers


 

Hoe kunnen we de privacy van cliënten in de gehandicaptenzorg beschermen?

Zorg verlenen aan mensen met een verstandelijke beperking betekent ook vaak een inbreuk op hun privacy. Jurist Monica de Visser beschrijft in 2 artikelen hoe je inbreuken op de privésfeer en persoonlijke leefomgeving toch zoveel mogelijk bewaakt.

Zorg verlenen houdt al snel een grote inbreuk op de privacy van cliënten in. Dat geldt al helemaal wanneer cliënten langdurig worden behandeld en verzorgd in zorginstellingen zoals ziekenhuizen, verpleeghuizen en instellingen voor mensen met een verstandelijke beperking.

Er zijn drie vormen van inbreuk op privacy te onderscheiden:

  • De inbreuk op de privésfeer die medische handelingen noodzakelijkerwijs met zich meebrengen;
  • inbreuk op de eigen leefomgeving bij onderzoek en verblijf in zorginstellingen; en
  • inbreuk op persoonlijke informatie met de verwerking van persoonsgegevens.

In deze column sta ik stil bij de eerste twee inbreuken op privacy in de zorg, en wettelijke maatregelen om de privacy van cliënten toch zoveel mogelijk te bewaken.

Persoonsgegevens over iemand zijn gezondheid (o.a. zijn beperking, stoornis of aandoening) noemen we bijzondere persoonsgegevens.  Voor het gebruik van bijzondere persoonsgegevens door organisaties gelden extra strenge regels.

Hoe moeten we omgaan met (bijzondere) persoonsgegevens van een cliënt in de zorg?
In principe mogen bijzondere persoonsgegevens niet worden verwerkt. Onder verwerking wordt bijna al datgene verstaan wat je met een persoonsgegeven kunt doen, bijvoorbeeld het opslaan in het cliëntdossier of cliëntgegevens gebruiken voor kwaliteits- of tevredenheidsonderzoek.

Voor het mogen verwerken van bijzondere persoonsgegevens zijn strikte regels voor de zorginstelling van toepassing. De persoonsgegevens mogen alleen voor bepaalde doelen worden verwerkt (=doelbinding) en dan alleen nog met zo min mogelijke inbreuk op de privacy van een cliënt (=dataminimalisatie).

Alles bij de bron; Klik 1 & Klik 2


 

Redenen om visuele privacy serieus te nemen

Bij onderzoek naar ‘Visual Hacking’, het hacken van data door mee te kijken op iemands scherm, blijkt dat bijna negen van de tien mensen het idee hebben dat er iemand meegluurt op hun scherm.  76 procent stelde dat zij per ongeluk iets op het scherm van iemand anders zagen dat zij niet hadden mogen zien. Meer dan de helft gaf echter toe dat zij geen stappen namen om belangrijke informatie te beveiligen bij het werken in het openbaar.

De  nieuwe Europese Privacy Wetgeving die vanaf 25 mei 2018 van toepassing is legt meer verantwoordelijkheid bij organisaties als het gaat om privacy.  Ook visuele privacy valt hieronder. Peter Barker, EMEA Market Development Manager bij 3M stelt: "Mensen weten dat visueel hacken een risico vormt, maar toch nemen veel organisaties geen voorzorgsmaatregelen.  Het is een feit dat visuele privacy één van de gemakkelijkste en meest kosten-doeltreffende gebieden van de mobiele beveiliging is om in te voeren, simpelweg door het installeren van privacy-filters op alle beeldschermen."

Alles bij de bron; ManagersOnLine