Recent is een rechtbankuitspraak bekend gemaakt waarin een ICT-leverancier voor een aanzienlijk (tweederde) deel verantwoordelijk is gesteld voor schade door gijzelsoftware bij zijn klant. De rechtbank oordeelde dat de beveiliging tekortschoot, media voorspellen in de sector een golf aan schadeclaims.
De Aanbestedingswet biedt het mkb meer kansen om opdrachten te verwerven bij (kleinere) overheden dan je hoogstwaarschijnlijk zelf voor mogelijk houdt. Maar hoe benut je die kansen als bedrijf?
De Algemene verordening gegevensbescherming (Avg) is alweer twee jaar van toepassing. Op de eerste ‘verjaardag’ van de Avg schreven we al een overzichtsblog, nu is het tijd voor een nieuwe update: wat heeft er het afgelopen jaar allemaal plaatsgevonden op Avg-gebied?
Bedrijven die hun klanten willen laten zien dat ze privacy serieus nemen en verantwoord omgaan met persoonsgegevens, kunnen zich laten certificeren op basis van de Data Pro gedragscode. Dit was al mogelijk voor MKB’ers, en sinds kort ook voor organisaties met meer dan 50 medewerkers. De eerste certificaten voor grote bedrijven zijn uitgereikt aan AFAS Software, Visma Connect en Visma Raet.
Wanneer moet ik algemene voorwaarden gebruiken? En heb ik daarnaast nog een verwerkersovereenkomst nodig? Jurist Sylvia Huydecoper legt uit.
NLdigital brengt nieuwe algemene voorwaarden voor ICT-bedrijven op de markt. Deze NLdigital Voorwaarden vervangen de veelgebruikte Nederland ICT voorwaarden uit 2014. De standaard in de markt op het gebied van algemene voorwaarden is volledig up-to-date met de laatste wet- en regelgeving, en is getoetst onder lidbedrijven.
De AP deelt een boete uit aan de KNLTB. De tennisbond ging de fout in als verwerkingsverantwoordelijke. Dit heeft niet direct gevolgen voor verwerkers.
Wissel jij persoonsgegevens uit met partijen in het buitenland? Weet jij waar je aan moet voldoen om een goed beschermingsniveau te waarborgen? Wij geven je een praktisch overzicht waar dit per land, binnen en buiten de EU, is toegelicht.
In haar recente uitleg van de grondslagen voor verwerking gegevensbescherming, geeft de Nederlandse autoriteit aan dat ‘gerechtvaardigd belang’ nooit geldt in het geval van een commercieel belang.
Sinds de Avg van kracht is, kun je op verschillende manieren laten zien dat je op een verantwoorde manier met persoonsgegevens omgaat. De vraag is echter: welke certificering is geschikt voor jouw organisatie?
We duiden onze Data Pro certificering soms aan als ‘Avg-certificering’. Échte Avg-certificeringen in de zin van artikel 42 Avg zijn er op dit moment echter nog niet en dat geldt dus ook voor Data Pro. Onze juristen leggen het graag aan je uit!
Al tientallen jaren maken duizenden leveranciers in de digitale sector gebruik van onze algemene voorwaarden. Dit jaar geven onze juristen de algemene voorwaarden weer een periodieke update. Zij nodigen je uit om met suggesties te komen.
Alle organisaties waren er vorig jaar druk mee: voldoen aan de Avg. Inmiddels zijn we een jaar verder. De hype is voorbij, maar nog steeds moet je als organisatie compliant zijn. Wat is het afgelopen jaar gebeurd op Avg-gebied? En wat moet je als organisatie doen om up-to-date te blijven? Wij helpen je hier graag bij en hebben daarom het afgelopen jaar onze dienstverlening doorontwikkeld.
Juridisch adviseur Irvette Tempelman van Nederland ICT was gisteren aanwezig in Brussel om de visie van Nederland ICT te delen bij het stakeholder event van de European Data Protection Board (EDPB) over de guideline processor/controller.
Wat is een datalek en aan wie moet je zo’n lek melden? Maar hoe weet je wanneer en wat je daarvoor moet regelen? We hebben een aantal veelgestelde vragen en antwoorden voor je op een rij gezet.
Op 6 november 2018 heeft de Autoriteit Persoonsgegevens (AP) aan Uber een boete opgelegd van € 600.000,– voor het te laat melden van een datalek. Weliswaar is deze boete opgelegd op basis van de oude Wet bescherming persoonsgegevens (Wbp), maar de conclusies zouden niet wezenlijk anders zijn onder de Avg. Met name de conclusie van de AP dat Uber Technologies Inc. in de VS geen verwerker kan zijn voor Uber BV in Nederland is opmerkelijk.
Op 26 november 2018 heeft minister Koolmees een brief naar de Kamer gestuurd over de voortgang van de uitwerking van maatregelen voor ‘werken als zelfstandige’ die moeten resulteren in een wet die de Wet DBA vervangt. Er zijn vier concrete maatregelen die nu verder worden uitgewerkt.
Op partijen rust de verplichting onder de Avg om afspraken te maken over het wissen en/of retourneren van de persoonsgegevens na afloop van de overeenkomst. De bedoeling hiervan is dat de verwerkingsverantwoordelijke en de verwerker praktische afspraken maken over het moment waarop persoonsgegevens bij einde overeenkomst gewist of terugbezorgd worden, de wijze waarop dit zal gebeuren en door wie en welke vergoeding hiertegenover staat.
Het grootste deel van de verplichtingen in de Avg is gericht aan de verwerkingsverantwoordelijke. Maar er zijn ook verplichtingen die rechtstreeks gelden voor de verwerker. Misschien wel de belangrijkste daarvan is het beveiligen van de verwerkingen. In dit deel van de uitgelegd-serie gaan we hier nader op in.
Net als bij de Wbp bestaan er onder de Avg verschillende grondslagen voor verwerking. Zo kun je bijvoorbeeld verwerken op grond van een ‘wettelijke plicht’, ‘toestemming’ of een ‘gerechtvaardigd belang’. Maak je gebruik van toestemming? Dan moet de toestemming onder de Avg: specifiek, vrij, op informatie berustend en ondubbelzinnig worden gegeven.
Organisaties die persoonsgegevens verwerken moeten op basis van de Avg de personen van wie zij persoonsgegevens verwerken (betrokkenen) hierover informeren. Dit gebeurt in de praktijk vaak door middel van een zogenoemd ‘privacy statement’: een verklaring van de verwerkingsverantwoordelijke aan de betrokkene. Nederland ICT heeft een voorbeeld privacy statement opgesteld.
Verwerk je biometrische gegevens met het oog op de unieke identificatie van een persoon? Dus bijvoorbeeld voor toegangscontrole of tijdsregistratie? Dan verandert er met de komst van de Avg het één en ander op het punt van ‘grondslag’.
Bedrijven zijn op dit moment hard bezig om per 25 mei te voldoen aan Avg (GDPR). Maar ook het kabinet moet aan de bak. De Europese regels moeten namelijk nog vastgelegd worden in de Nederlandse wet. Onlangs bleek echter dat minister Dekker in tijdnood komt en voorstelt een aantal vernieuwingen op de lange baan te schuiven. En dat betekent dat bedrijven mogelijk ook na 25 mei nog te maken kunnen krijgen met aanpassingen in de wetgeving.
De ICT-sector is heel divers, maar één ding hebben de meeste ICT-bedrijven gemeen: ze verzamelen, bewerken en bewaren data in opdracht van hun klanten. Voor deze rol van ‘data processor’ geeft de Avg (GDPR) andere regels dan voor verantwoordelijken. Om ICT-bedrijven te helpen aan deze regels te voldoen, heeft Nederland ICT de Data Pro Code ontwikkeld.
Onze Helpdesk Juridisch krijgt veel vragen over de Avg. Waar gaat deze verordening precies over? Wanneer is er precies sprake van verwerking van persoonsgegevens? Wat is het verschil tussen een verwerker en de verwerkingsverantwoordelijke? En wat kan Nederland ICT voor mij betekenen? We hebben het voor je op een rij gezet.