Kennisbank  GDPR

View all AML - CDD - KYC Artificial Intelligence Basel Brexit ERM GDPR Governance - Behavioral Risk - Soft Controls Insurance MiFID Security 


Photo: Janet Helder, Lid Raad van Bestuur UWV. Photo: Jiri Büller

UWV gestraft voor datalekken

07 juli 2021
Kennisbank

Vandaag maakt de Autoriteit Persoonsgegevens, afgekort AP bekend dat het Uitvoeringsinstituut Werknemersverzekeringen, afgekort UWV een boete opgelegd heeft van 450.000 euro. Het UWV had het versturen van groepsberichten via de ‘Mijn Werkmap’-omgeving niet goed beveiligd. Dat is een persoonlijke omgeving op de website van het UWV, waar werkzoekenden contact hebben met het UWV. Het gevolg was dat er verschillende datalekken van persoonsgegevens, waaronder gezondheidsgegevens van in totaal ruim 15.000 mensen geconstateerd werden. Voor sommige experts niet echt een verrassing. 
Lees meer…

TikTok gedaagd voor de rechter namens minderjarigen

03 juni 2021
Kennisbank

De Stichting SOMI heeft gisteren, 2 juni, TikTok gedagvaard voor het overtreden van de privacywetgeving via een massaclaim namens ouders van kinderen die TikTok hebben gebruikt. Het claimbedrag kan oplopen tot ruim € 1,4 mld. Volgens de Stichting Onderzoek Marktinformatie (SOMI) is TikTok nalatig als het gaat om het waarborgen van de veiligheid en privacy van kinderen op het platform. Internationaal heeft dit al tot meerdere sterfgevallen onder minderjarigen geleid. Volgens SOMI is het daarom noodzaak om “zo snel mogelijk in te grijpen”. De bedragen die SOMI als schadevergoeding eist voor de deelnemers aan haar massaclaim tegen TikTok kan oplopen tot ruim 1,4 miljard euro, gebaseerd op de ruim 1 miljoen Nederlandse minderjarige gebruikers. De dagvaarding omvat 146 pagina’s en als u verder leest dan kunt u deze helemaal bekijken.
Lees meer…

Photo: Links Siewert van Otterloo

ProctorExam voortaan Security Verified

26 mei 2021
Kennisbank

ProctorExam is nu ‘Security Verified’ door het ICT Institute, een onafhankelijke partij in IT-auditing. De garantie van gegevensbescherming en -beveiliging voor zowel examenafnemers als organisaties heeft de hoogste prioriteit. ProctorExam onderzoekt continu hoe dat extra stapje gezet kan worden om aan die urgentie te voldoen. Security Verified is een open standaard voor informatiebeveiliging vergelijkbaar met ISO 27001, met de nadruk op AVG. Sinds de inwerkingstelling van de Europese GDPR regels (sinds 25 mei 2018) is elk bedrijf dat met waardevolle of persoonlijke gegevens te maken heeft, verplicht om zorg te dragen voor informatiebeveiliging. Security Verified maakt het voor organisaties gemakkelijk om te bewijzen dat ze dergelijke stappen hebben genomen. Security Verified integreert GDPR compliance alleen nog meer, aangezien dit de huidige wettelijke eisen zijn binnen de Europese Unie.
Lees meer…

GDPR is jarig…

25 mei 2021
Kennisbank

Michel  Klompmaker

Het is vandaag precies drie jaar geleden dat de GDPR van kracht werd. De Europese wetgeving die schril afsteekt ten opzichte van wat men in de USA en China belangrijk vindt. In Europa omarmen we namelijk vooruitgang, op voorwaarde dat de mens wel centraal blijft staan. En niet zoals aan de andere kant van de Atlantische Oceaan en in China, waar respectievelijk het bedrijfsleven en de overheid (lees de communistische partij en haar leden) centraal staan.  De Europese wetgever heeft er heel bewust voor gekozen om de mens controle te geven over technologische toepassingen met persoonsgegevens door eerst een nieuw en modern grondrecht in het leven te roepen – ‘De bescherming van persoonsgegevens’, artikel 8 van het Handvest van de grondrechten van de EU.
Lees meer…

De Autoriteit Persoonsgegevens laat haar tandjes zien, Enschede reageert

29 april 2021
Kennisbank

De Autoriteit Persoonsgegevens (AP) meldt vandaag dat ze de gemeente Enschede een boete heeft opgelegd van 600.000 euro. De gemeente gebruikte wifi tracking in de binnenstad op een manier die niet mag. Met andere woorden het was mogelijk om het winkelende publiek en andere mensen die in de binnenstad wonen of werken te volgen. De gemeente Enschede besloot in 2017 om via sensoren de drukte in de binnenstad te gaan meten. De gemeente huurde daarvoor een bedrijf in dat is gespecialiseerd in het tellen van passanten. Meetkastjes in de winkelstraten vingen de wifi signalen op van de mobiele telefoons van passerende mensen. Van een ieder werd de telefoon apart geregistreerd, met een unieke code. Uit onderzoek van de AP bij de gemeente Enschede blijkt dat dit het geval was. De privacy van burgers was dus niet goed gewaarborgd, omdat zij konden worden gevolgd zonder dat dit noodzakelijk was, aldus de AP. De gemeente Enschede heeft bezwaar aangetekend tegen de boete.

Lees meer…

EDPB in de clinch met de Amerikanen

09 december 2020
Kennisbank

De European Data Protection Board (EDPB) heeft aanbevelingen opgesteld voor de doorgifte van persoonsgegevens naar derde landen. Hiermee worden landen bedoeld waar de persoonsgegevens minder goed beschermd zijn dan in de EU. Het beoogde doel is meer duidelijkheid voor het bedrijfsleven, nadat het Europese Hof van Justitie het EU-VS Privacy Shield ongeldig verklaarde. In juli concludeerde de hoogste Europese rechter namelijk in de Schrems II-arrest dat de bescherming van persoonsgegevens in de VS ernstig tekortschiet, ondanks het Privacy Shield. Dat waren de afspraken tussen de EU en de VS op basis waarvan bedrijven persoonsgegevens vanuit de EU mochten doorgeven aan de VS. Met deze uitspraak zette het Hof een streep door het Privacy Shield.  Lees meer…

Het Chinese TikTok wordt eindelijk aangepakt

28 juli 2020
Kennisbank

De Stichting Onderzoek Marktinformatie (SOMI) roept ouders wereldwijd op om zich te melden bij de stichting wanneer hun kinderen gebruik hebben gemaakt van TikTok, de populaire social media-app van Chinese origine waarmee korte muziekvideo’s opgenomen en gedeeld kunnen worden. TikTok schiet tekort in het beschermen van kinderen die de app gebruiken. Dat stelt SOMI, dat nader onderzoek instelt naar de praktijken en het businessmodel van TikTok. Ook de Autoriteit Persoonsgegevens, afgekort AP, is bezig met een onderzoek naar TikTok en de AP verwacht met de eerste resultaten van het onderzoek later dit jaar te kunnen komen. De app verzamelt en verspreidt waarschijnlijk ongeautoriseerd persoonsgegevens van gebruikers, met name van minderjarigen. Daarmee schendt TikTok naar het zich laat aanzien de Europese GDPR voorschriften. In een vervolgstap op het onderzoek kan SOMI namens bezorgde ouders overtredingen bestrijden en verbeterd toezicht afdwingen. Ook de onafhankelijk European Data Protection Board heeft aangekondigd een task force te zullen oprichten om onderzoek te doen naar de gegevensverwerking door TikTok. Het Amerikaanse bedrijf Penetrum heeft eerder al onderzoek afgerond naar TikTok en is daarbij tot de conclusie gekomen dat er in de app sprake is van gegevensverzameling en tracking, waarbij onder meer digitale profielen en gebruikersinformatie naar China worden gestuurd.

Lees meer…

Europese GDPR stresstest vanuit België

29 mei 2020
Kennisbank

Recentelijk is door CTG in België een stresstest rond GDPR ontwikkeld. De nieuwe dienst moet ervoor zorgen dat GDPR-procedures bij bedrijven in Europa geen dode letter blijven. Aan de hand van levensechte simulaties testen privacy-experts of ondernemingen er in de praktijk in slagen een datalek of gegevensverzoek van a tot z aan te pakken volgens de in de wet voorgeschreven procedures en binnen de wettelijke deadlines. 85% van de inbreuken op GDPR gebeurt zonder kwade opzet en door de eigen medewerkers. Maar ze tasten het vertrouwen dat partners en klanten in bedrijven stellen wel ernstig aan. Een simpel voorbeeld is de receptionist(e) die een vraag tot verwijdering uit de bestanden vergeet door te geven of een medewerker die per ongeluk op een phishing mail klikt waardoor gevoelige data op straat komt te liggen.

Lees meer…

Aanbieders van nieuwe online rekeningdiensten door Autoriteit Persoongegevens onder de loep

09 maart 2020
Kennisbank

De Nederlandse Autoriteit Persoonsgegevens, afgekort AP, start een onderzoek naar Nederlandse bedrijven met een PSD2-vergunning die betaalrekeninginformatie verwerken. De AP wil te weten komen of die bedrijven zich bewust zijn van de privacyrisico’s die de verwerking van rekeninggegevens met zich meebrengt en of ze voldoen aan de privacyregelgeving. Zoals bekend staat PSD2  voor de tweede Payment Services Directive, een Europese richtlijn voor betaaldienstverleners. Deze richtlijn regelt onder meer dat niet alleen banken maar ook andere partijen toegang tot een betaalrekening mogen krijgen, mits een klant daar uitdrukkelijk mee heeft ingestemd. Nederlandse bedrijven die dit willen, moeten daarvoor een vergunning hebben van De Nederlandsche Bank. Het is heel simpel, met een PSD2-vergunning én uitdrukkelijke instemming van de rekeninghouder, kunnen bedrijven toegang krijgen tot de betaalgegevens van bankklanten.  Lees meer…

Mag de rechtspraak meer dan anderen?

31 december 2019
Kennisbank

Caroline Raat

De website rechtspraak.nl  is in strijd met de AVG. Gerechtelijke uitspraken (vonnissen, arresten, beschikkingen) bevatten vaak persoonsgegevens. Daarmee vallen zij onder de werking van de Algemene verordening gegevensbescherming (AVG). Zo’n vijf procent ervan wordt geanonimiseerd op www.rechtspraak.nl gezet in het zogeheten uitsprakenregister. De verouderde, door een niet te traceren commissie opgestelde Anonimiseringsrichtlijnen die hierop worden toegepast, zijn volgens de AVG niet voldoende: alleen direct herleidbare persoonsgegevens (NAW, geboortedatum, etc…) worden weggehaald. De AVG bepaalt echter dat ook alle indirect herleidbare informatie verwerking van persoonsgegevens is. Dit betreft al die informatie waaraan een persoon met enige inspanning te herkennen valt. Zoals beschrijvingen en kwalificaties van mensen. En daarvan komen er nogal wat voor in uitspraken: wat hebben zij gedaan, geschreven en gezegd? In combinatie met andere informatie (‘de context’) valt, zeker in het huidige internettijdperk vrij gemakkelijk te achterhalen om welke persoon dit gaat. De vraag is of dit niet-AVG-conforme uitsprakenregister, dat als bron dient voor andere publicaties en uitspraken, wel op deze manier in stand mag blijven. In deze bijdrage wordt uitgelegd dat dit volgens de AVG alleen is toegestaan als het verwerken van persoonsgegevens in de vorm van publiceren van herleidbare gegevens noodzakelijk is om aan een wettelijke plicht te voldoen. Nederland heeft zo’n wet niet, maar gebruikt diverse ‘rechtersregelingen’.
Lees meer…