Daar is het verkiezingsdrukwerk weer of gooit de GDPR roet in het eten?

Zondag 26 mei is het verkiezingsdag en dus draaien de communicatieteams van onze politici op volle toeren. Resultaat? Uw brievenbus zit weldra weer propvol verkiezingsdrukwerk. Veel van die brieven, folders en flyers zijn gepersonaliseerd op uw naam. En toch zegt de GDPR dat direct marketing zónder uw expliciete toestemming uit den boze is. Hebben onze politici dan een streepje voor?

Hoe raken de kandidaten aan uw gegevens? Daar zorgt de verkiezingswetgeving voor. In de aanloop naar de verkiezingen krijgen de kandidaten toegang tot het bevolkingsregister. Daaruit plukken ze uw:

  • Voornaam en naam
  • Adres
  • Rijksregisternummer
  • Geslacht
  • Geboortedatum

Die gegevens mogen ze gebruiken tot de verkiezingsdag. Daarna is het voor de kandidaten en partijen verboden om de kiezerslijsten nog te gebruiken. Het enige probleem is dat daar geen enkele controle op is.

In de weken voor de verkiezingen valt er veel gepersonaliseerd verkiezingsdrukwerk in uw brievenbus. Misschien is het een leuk idee om te controleren of de dames en heren die naar uw stem dingen de GDPR-regels correct toepassen. Staat de verplichte informatie over uw privacy op het drukwerk of niet? En wat als u een aangetekende brief stuurt met het verzoek u mee te delen welke persoonsgegevens de afzender van u beheert? De GDPR schrijft voor dat u binnen de maand een antwoord krijgt.

Bron : Wolters – Kluwer

Microsoft breidt privacy-instellingen Office uit

Microsoft voegt nieuwe privacyfuncties toe aan zijn Office-toepassingen, zodat gebruikers meer controle krijgen over de informatie die ze met het bedrijf delen. 

Net als bij Windows, verzamelt Microsoft ook in Office verschillende datapunten van zijn gebruikers. Een deel daarvan is noodzakelijk voor de goede werking van bepaalde producten en diensten, maar andere gegevens die worden verzameld zijn optioneel.

Die optionele gegevens worden alleen bijgehouden indien de gebruiker daar toestemming voor geeft. Microsoft wil het naar eigen zeggen eenvoudiger maken voor gebruikers om daarin een lijn te trekken. Daarom gaat het eerst en vooral transparanter communiceren over zijn dataverzameling, en alle gegevens die het verzamelt duidelijk categoriseren als ‘vereist’ of ‘optioneel’.

Bron : Techzine

Privacywaakhond controleert strenger op naleving GDPR

De privacywaakhond GBA gaat een tandje bijsteken om de naleving door bedrijven van de Europese privacyregels (GDPR) te verzekeren, waarschuwt de nieuwe voorzitter David Stevens. Boetes kunnen daar bij horen. ‘Tijd van sit back and relax over GDPR is voorbij.’

Bijna elf maanden na haar oprichting heeft de Gegevensbeschermingsautoriteit eindelijk een directiecomité. De GBA verving in mei vorig jaar de voormalige privacycommissie en kreeg meteen ruimere bevoegdheden, in de eerste plaats om de naleving van de Europese regels inzake databescherming (GDPR) af te dwingen.

Maar de GBA bleef al die maanden een tijger zonder tanden. Een taalkwestie verhinderde het aantreden van het directiecomité van vijf leden. Een van de directeurs moest het Duits machtig zijn, maar de selectie van zo’n kandidaat liet op zich wachten. Zonder directiecomité was de hoeder van onze privacy de facto ‘gehandicapt’, erkende waarnemend hoofd Willem Debeuckelaere in januari.

Vandaag leggen voorzitter David Stevens en vier andere directeurs eindelijk de eed af. De GBA is afhankelijk van het parlement. In een gesprek zet Stevens, die drie jaar voorzitter zal zijn en tot nu privacyhoofd bij de marktonderzoeker Nielsen was, meteen de puntjes op de i. Het is tijd dat de GBA meer gaat doen dan louter de ‘machine draaiende houden’, zegt hij.

Bron : De Tijd

 

Strengere toepassing van de privacywetgeving?

Met de benoeming van de voltallige directie kan de GBA nu pas écht van start gaan. In hoofdzaak heeft de GBA een adviserende rol. Sinds 25 mei hebben heel wat bedrijven inspanningen geleverd om in lijn te zijn met de wetgeving, maar de onzekerheid over het omgaan met de persoonlijke gegevens van klanten en werknemers blijft. In dat geval treedt de GBA dan bemiddelend en adviserend op.

Anderzijds werkt de GBA ook sanctionerend. Bij grove en constante inbreuken op de privacywetgeving kan de GBA ook boetes opleggen. In onze buurlanden gebeurde dit al. Kijk maar naar de monsterboete van 50 miljoen euro die de gegevensbeschermingsautoriteit begin dit jaar in Frankrijk (CNIL) uitschreef.  Het gebrek aan een slagkrachtig directiecomité zorgde bij ons voor stilstand. Daar komt dus nu een einde aan. Met de nieuwe directie zal mogelijks de strijd tegen inbreuken op de privacywetgeving worden opgevoerd.

Bron : Wolters Kluwer

Parlement benoemt directeurs Gegevensbeschermingsauthoriteit

Hoewel de GBA al op 23 mei 2018 van start ging als opvolger van de Privacycommissie, duurde het tot nu vooraleer de benoemingsprocedure rond was. De vijf kandidaten hebben allen een achtergrond gerelateerd aan privacy en data. David Stevens is bedrijfsjurist en Europees DPO bij The Nielsen Company. Charlotte Dereppe is raadgever op het kabinet van de staatssecretaris voor Privacy (Philippe De Backer). Alexandra Jaspar is hoofd DPO en compliance bij bpost. Peter Van den Eynde is rechtskundig adviseur bij de Privacycommissie en Hielke Hijmans is onafhankelijk deskundige Europees Privacyrecht.

Bron : DataNews

Toestemming verkrijgen, het lijkt zo eenvoudig

Wanneer mag je iets doen met persoonsgegevens van een ander? Als die ander je zegt dat het goed is, toch? Het lijkt zo simpel. Maar eigenlijk is het verwerken van persoonsgegevens van een ander op basis van diens toestemming een van de meest ingewikkelde wettelijke grondslagen die er zijn. Daarbij is het belangrijk je bewust te zijn van het concept ‘toestemming gegeven op basis van gelijkwaardigheid van partijen’, een concept dat nauw is verbonden met de ontwikkeling van een liberale, democratische maatschappij waarin iedereen voor de wet gelijk is.

In de geschiedenis van de westerse privacy, zo schrijft historicus David Vincent, is er altijd sprake geweest van ruilhandel bij het weggeven van een deel van je privacy op basis van toestemming: je krijgt er altijd iets voor terug. Zo werd bij het verstrekken van sociale voorzieningen – bijvoorbeeld de armenwet in Engeland – ‘onderhandeld’ over het opgeven van een deel van je recht op privacy in ruil voor het recht op bijstand. Recenter ging het verkrijgen van een sociale huurwoning nog hand in hand met het toestaan van inspecties door beambten in je eigen huis. Natuurlijk was die ruilhandel nooit echt gelijkwaardig. Met de inwerkingtreding van de AVG wordt echte gelijkwaardigheid beoogd. Want toestemming moet worden gegeven zonder enige vorm van dwang of negatieve consequenties bij onthouding, en op basis van alle relevante informatie. Op basis van gelijkwaardigheid dus.

Dit laatste maakt echter het gebruik van toestemming in alle niet-gelijkwaardige relaties lastig. Want hoe gelijkwaardig is je verhouding met je baas, je docent, of zelfs met een online dienstverlener? Het is dus logisch dat de toezichthoudende autoriteit hier kritisch tegenover staat.

Ogenschijnlijk ligt het met online dienstverleners makkelijker, want klanten kunnen ook besluiten om vergelijkbare commerciële diensten elders af te nemen, toch? Niet dus. Zeker op het internet zijn bijna-monopolisten, zoals Google, Facebook en Adobe, ontstaan. Besluiten dat je hen je toestemming onthoudt, betekent niet zelden dat je jezelf daarmee uitsluit van hun diensten.

De essentiële vraag lijkt dan ook: hebben wij nog wel de keuze om onze toestemming wel of niet te geven?

Toch is er hoop. Volgens een recente normuitleg van de Autoriteit Persoonsgegevens aangaande ‘cookie walls’ behoort het gebruik (van bepaalde websites) zonder het geven van toestemming (voor het gebruik van specifieke cookies) nu ook tot de mogelijkheden. Dit is het geval wanneer deze websites (bijna-)monopolist zijn of een openbare dienst aanbieden. In zo’n situatie is sprake van ongelijkwaardige verhoudingen, waardoor toestemming niet meer werkt. Daarmee lijkt bij dergelijke ongelijkwaardige verhoudingen de essentie dus niet meer het ‘kiezen’ te zijn, maar het definiëren van hetgeen waarvoor nog toestemming mag worden gevraagd.

Toestemming verkrijgen, het leek zo eenvoudig…

Bron : The Privacy Factory

Facebook maakt ongevraagd je telefoonnummer bekend

Gebruikers hebben ontdekt dat iemand perfect opzoekbaar is op Facebook via zijn of haar telefoonnummer. Zelfs al heeft die persoon dat nummer enkel opgegeven voor beveiligingsfuncties.

Wie zijn account wil beveiligen, kan naast een wachtwoord ook een sms-bericht krijgen met een unieke code. Zo’n beveiliging heet tweestapsverificatie, two-factor authentication of kortweg 2FA. Facebook liet altijd uitschijnen dat dit nummer enkel werd gebruikt voor beveiligingsdoeleinden. Wie dus liever niet gevonden werd via zijn of haar nummer, kon wel zonder zorgen 2FA gebruiken. Dat blijkt nu een leugen.

Dat Facebook graag gebruikers identificeert op hun nummer is geen verrassing. Een telefoonnummer is immers een veel unieker identificatiegegeven dan pakweg een e-mailadres of je eigen naam. Maar Facebook heeft er wel over gelogen. Het bedrijf beloofde aanvankelijk dat een telefoonnummer dat werd gebruikt voor 2FA niet zou worden gebruikt voor andere doeleinden. Het bedrijf heeft dus telefoonnummers bemachtigd met veiligheid als excuus.

Het is niet de eerste keer dat Facebook wordt betrapt op privacyschending met telefoonnummers, of het misleiden van gebruikers. In september 2018 stelden onderzoekers vast dat het nummer dat je gebruikt voor 2FA ook kan gebruikt worden door adverteerders om zeer gericht te adverteren. Meer nog: als vrienden jouw nummer in hun telefoonboek hebben, en ze geven Facebook daar toegang toe, dan koppelt Facebook dat aan jouw profiel.

Bron: Data News

Fiscale overheidsdatabank schendt de privacywetgeving

Wie FisconetPlus, een databank van de FOD Financiën, wil gebruiken om fiscale regelgeving op te vragen, heeft daar sinds vorig jaar een Microsoft-account voor nodig. Aangezien daarbij verplicht persoonsgegevens moeten vrijgegeven worden, handelt de overheidsdienst in strijd met de GDPR. Dat concludeert de Gegevensbeschermingsautoriteit.

Precies een jaar geleden lanceerde de FOD Financiën een nieuwe versie van de databank met fiscale regelgeving. FisconetPlus kreeg een personaliseerde interface, waarbij gebruikers bijvoorbeeld hun favoriete publicaties kunnen opslaan of automatische waarschuwingen kunnen krijgen bij wijziging aan een bepaald domein van de fiscaliteit.

De keerzijde van de medaille: een verplichte authenticatiedrempel voor iedereen die openbare informatie wilde opvragen. Voorheen was de databank, die de enige officiële bron in België is die de fiscale en juridische informatie bevat in de verschillende landstalen, vrij toegankelijk. De nieuwe databank draait sinds vorig jaar op een sharepoint van Microsoft in de G-Cloud, waardoor iedereen plots verplicht moest inloggen met een e-mailadres van Microsoft.

De GBA heeft de inlogprocedure van de overheidsdienst nu getoetst aan de GDPR, de Europese privacywetgeving die sinds mei vorig jaar in voege is. “De creatie van deze Microsoft-account houdt duidelijk een verwerking van persoonsgegevens in. Bij de creatie van deze account dienen namelijk persoonsgegevens zoals emailadres, land, geboortedatum en telefoonnummer te worden verstrekt”, merkt de GBA op in een advies.

Het oordeel van de Gegevensbeschermingsautoriteit is dan ook niet mals. “Het verplicht maken door overheden van het gebruik van een Microsoft-account om toegang te krijgen tot een toepassing die enkel openbare informatie, en geen persoonsgegevens ontsluit, is in strijd met de GDPR.”

Bron: Data News

AVG en de Brexit: hoe zit het nu precies?

AVG en de Brexit
Voor organisaties die persoonsgegevens doorgeven aan partijen in het Verenigd Koninkrijk geldt dat zij dit in geval van een harde Brexit na 29 maart 2019 niet meer mogen doen zonder hiervoor bepaalde instrumenten te gebruiken waarmee passende waarborgen worden geboden. Bij het ontbreken van een adequaatheidsbesluit voor het VK is de snelste oplossing gebruik te maken van de standaardbepalingen van de Europese Commissie. De andere instrumenten moeten eerst worden goedgekeurd door de bevoegde nationale toezichthoudende autoriteit en de vraag is of dit nog vóór de Brexit kan worden geregeld. In deze blog bespreken we de mogelijkheden om ook na een harde Brexit persoonsgegevens te blijven uitwisselen met partners in het VK.

De situatie
Als er geen overeenstemming wordt bereikt over de relatie tussen de EU en het VK, wordt het VK op 30 maart 2019 om 0.00 uur een derde land. Het gevolg daarvan is dat organisaties niet meer zomaar persoonsgegevens mogen doorgeven aan partijen in het VK. Maar wat als uw organisatie haar servers in Londen heeft staan of een vestiging heeft in Manchester? De European Data Protection Board (EDPB) heeft op 12 februari 2019 uitleg gegeven over de doorgifte van persoonsgegevens in geval van een no-deal Brexit.

Adequaatheidsbesluit
De eenvoudigste oplossing zou zijn dat de Europese Commissie een zgn. adequaatheidsbesluit vaststelt voor het VK. Het VK wordt dan op de lijst van landen geplaatst met een passend beschermingsniveau waaraan persoonsgegevens mogen worden doorgegeven. Het ligt in de lijn der verwachtingen dat voor het VK op termijn een adequaatheidsbesluit wordt vastgesteld, echter dit zal op het moment van de Brexit waarschijnlijk nog niet het geval zijn. Organisaties zullen dus op zoek moeten naar andere instrumenten die de AVG biedt.

Standaardbepalingen voor gegevensbescherming
De snelste manier om de doorgifte van persoonsgegevens naar het VK te regelen is met behulp van door de Europese Commissie goedgekeurde standaardbepalingen. Dit zijn modelcontracten die aanvullende waarborgen bieden ten aanzien van persoonsgegevens. Deze standaardbepalingen mogen niet worden aangepast. Wel kunnen ze worden opgenomen in een overeenkomst en worden aangevuld, voor zover de aanvullingen niet in tegenspraak zijn met de inhoud van de standaardbepalingen.

Ad-hoc contractbepalingen
Als partijen wijzigingen aanbrengen in de standaardbepalingen van de Europese Commissie of eigen bepalingen willen vaststellen, moeten deze eerst worden goedgekeurd door de nationale toezichthoudende autoriteit na advies van de EDPB. Het zal enige tijd duren voordat een dergelijke goedkeuring is gegeven, waardoor ook dit instrument waarschijnlijk geen uitkomst zal bieden voor organisaties die hiermee nu nog zouden moeten beginnen.

Binding Corporate Rules
Internationale organisaties of multinationals die persoonsgegevens doorgeven aan vestigingen in het VK kunnen ‘binding corporate rules’ (bindende bedrijfsvoorschriften) vaststellen. Hiermee worden passende waarborgen geboden voor de bescherming van persoonsgegevens, waardoor binnen de groep van ondernemingen doorgifte van deze gegevens kan plaatsvinden. Bindende bedrijfsvoorschriften moeten worden goedgekeurd door de toezichthoudende autoriteit, na advies van de EDPB en bieden net als de ad-hoc contractbepalingen, geen snelle oplossing.

Gedragscodes of certificeringsmechanismen
Ook gedragscodes of certificeringsmechanismen kunnen passende waarborgen bieden voor de doorgifte van persoonsgegevens. Dit zijn echter nieuwe instrumenten binnen de AVG. De EDPB werkt aan richtsnoeren om meer uitleg te geven over de voorwaarden en procedures.

Afwijkingen voor specifieke situaties
Onder bepaalde omstandigheden is doorgifte van persoonsgegevens naar een derde land ook mogelijk als er geen passende waarborgen zijn. Denk hierbij bijvoorbeeld aan uitdrukkelijke instemming van de betrokkene of aan noodzakelijkheid in verband met het sluiten of uitvoeren van een overeenkomst. Zie voor de overige afwijkingen artikel 49 AVG.

Overgangsregeling?
De ICT sector in Nederland heeft de Autoriteit Persoonsgegevens om een overgangsregeling gevraagd om bedrijven meer tijd te gunnen om zich aan te passen aan de nieuwe situatie. Vooralsnog is geen reactie van de Autoriteit Persoonsgegevens bekend…

Bron: The Privacy Factory

GDPR : Horen – Zien – Zwijgen ?

28 januari was het Data Privacy Day, en dat lijkt me het ideale moment om even stil te staan bij de recent ingevoerde GDPR-wetgeving. Waar staan we vandaag? Hoe GDPR-compliant zijn de Belgische bedrijven? Ik hanteer zelf nogal een pragmatische aanpak als het over regelgeving gaat, en moet dus bekennen dat ik sommige ontwikkelingen de voorbije maanden met toenemende bezorgdheid gevolgd heb.

Ten eerste is er de Belgische Gegevensbeschermingsautoriteit zelf. In heel Europa, en bij uitbreiding de hele wereld, stond 25 mei 2018 met stip in de agenda’s genoteerd. Zes maanden later hebben de autoriteiten in België en de omringende landen hun eerste bevindingen gedeeld. Daaruit blijkt dat Nederland, Frankrijk en Duitsland sinds het begin van de zomer met systematische controles bij bedrijven van start gegaan zijn en inmiddels honderden bedrijven doorgelicht hebben. Daarbij wordt duidelijk gecommuniceerd over eventuele sancties én guidelinester verbetering. België hinkt achterop door het uitblijven van een directie om de Gegevensbeschermingsautoriteit te leiden. Nu pas zijn de eerste controles aangekondigd. Heel wat bedrijven maken zich dan ook zorgen over de slome opvolging van de GDPR in ons land. Afgelopen november sloeg Beltug, de Belgische vereniging van ICT-managers, al alarm. “Bedrijven willen in lijn zijn met de wetgeving, maar botsen op veel vraagtekens. (…) Er is nood aan begeleiding”, klonk het. Naast het correct willen naleven van de Europese regels, stuiten bedrijven nog op een ander probleem: dat van de oneerlijke concurrentie voor bedrijven die wél GDPR-compliant zijn, tegenover zij die de regels aan hun laars lappen omdat er toch geen sancties volgen. Intussen blijven de media rapporteren over de ‘gehandicapte privacywaakhond’ en luiden ook andere sectororganisaties de alarmbel.

Ten tweede lijkt er een gebrek aan awareness te heersen over GDPR bij de Belgische consument: de Autoriteit kreeg de eerste 6 maanden zo’n 148 klachten binnen. In Nederland ligt dat cijfer op 750… per maand. Die awareness en sense of urgencylijkt ook bij de Belgische bedrijven te ontbreken. Uit een enquête die we in oktober bij professionals uit verschillende sectoren hebben afgenomen, blijkt dat 12% van de kleine bedrijven en 21% van de middelgrote bedrijven in België nog geen enkele stap heeft ondernomen om te voldoen aan de GDPR-richtlijnen. Enkel bij de ondernemingen met meer dan 250 medewerkers zegt 100% al gesleuteld te hebben aan hun privacy-beleid, allicht vaak ook aangestuurd vanuit een internationaal hoofdkantoor.

Bij de kleine en middelgrote bedrijven ontbreken ook duidelijke procedures: 71% van de bedrijven met 50 tot 250 medewerkers heeft geen procedure als er vragen komen voor inzage, aanpassing of verwijdering. Bij de kleine bedrijven is vooral de voorbereiding op datalekken problematisch: 65% heeft daarvoor geen procedure. Dat is riskant, want een datalek moet binnen de 72u gemeld zijn aan de Autoriteit. Zonder procedures is dat geen sinecure. Met alle risico’s van dien: datalekken worden openbaar gemaakt door de Gegevensbeschermingsautoriteit. Zonder degelijk plan van aanpak ter preventie en opvolging, kunnen de gevolgen voor de reputatie van je bedrijf desastreus zijn.

Non-compliancy kan, naast de mogelijke wettelijke gevolgen, overigens nog een andere impact hebben op je business. Steeds meer bedrijven, nu nog vooral grotere spelers, weigeren samenwerking met partners die niet kunnen aantonen dat ze GDPR-compliant zijn. De verwachting is dat dat een ingeburgerde praktijk zal worden de komende jaren. En zo hoort het ook, als je het mij vraagt. De essentie van GDPR gaat immers om het respect voor de privacy van de klant. En wederzijds respect, dat zou de basis moeten zijn van elke samenwerking, groot of klein.

Laten we dus dit jaar massaal werk maken van die compliancy, zodat we voorbereid zijn op de volgende golf van regelgeving die binnenkort op ons afkomt: die van de e-Privacy.

Bron : Paul De Ridder – Wolters Kluwer