8 maart 2022

Webinar DDMA: Data delen buiten de EU

PRIVACY
Webinar DDMA

Op donderdag 10 maart van 16.00 – 17.00 uur organiseert DDMA een webinar over het delen van data buiten de EU. Ze praten je in een uur bij over Schrems-II, de huidige stand van zaken en hoe je nu verder kunt in de praktijk. 

Bijna twee jaar lang was er relatief weinig nieuws over de directe impact van de Schrems-II uitspraak. In 2022 lijken toezichthouders toch scherper te kijken naar het delen van data buiten de EU. Kun je Google Analytics nog gebruiken? En hoe zit dat met andere marketingtools buiten de Europese grenzen? Op 10 maart praten ze je bij over de huidige stand van zaken en hoe jij nu verder kunt in de praktijk. Inclusief ruimte voor vragen.

Over DDMA

DDMA is de branchevereniging voor datagedreven marketing, sales en service. We werken samen met DDMA om kennis te delen met onze leden.

Aanmelden

Je vindt hier meer informatie over deze webinar en een formulier om aan te melden. Als lid van NLdigital kun je met korting deelnemen. Vink hiervoor bij aanmelding aan dat je lid bent van NLdigital en gebruik de kortingscode: NLDIGITALXDDMA2022.

Datalek: wat is het en hoe kun je het voorkomen?

PRIVACY, PRIVACY
Datalek voorkomen

Heel vervelend, je hebt een datalek en nu? Onze juridisch adviseur Henk Bethlehem vertelt je welke acties je moet nemen in het geval van een datalek en hoe je het kunt voorkomen. We hebben veelgestelde vragen en antwoorden over datalekken voor je op een rij gezet:

Publicatiedatum: 8 maart 2022

Wat is een datalek?

Bij een datalek gaat het om de ongeoorloofde of onbedoelde toegang tot persoonsgegevens. En ook om het ongewenst vernietigen, verliezen, wijzigen en verstrekken van persoonsgegevens. De term komt niet voor in de Avg. Daar gaat het over een ‘inbreuk in verband met persoonsgegevens’.

Wat zijn voorbeelden van datalekken?

Voorbeeld van datalekken zijn:

  • Je bent een USB-stick verloren met daarop niet-versleutelde gegevens.
  • Een ransomware-aanval kan ook een datalek zijn als je niet meer bij de gegevens kunt, of als een ander ze heeft buitgemaakt.
  • Je laptop is gestolen met daarop niet versleutelde gegevens.

Welke acties kan ik nemen in het geval van een datalek?

Is er sprake van een datalek, zorg dan allereerst voor overzicht. Analyseer de situatie en kijk wat je kunt doen om verdere schade te voorkomen. Kijk bijvoorbeeld wie toegang tot de informatie heeft gehad. En of je gegevens op afstand kunt wissen. Ga vervolgens na of je het datalek bij de Autoriteit Persoonsgegevens (AP) en eventueel de betrokkene moet melden. Dat kun je doen met behulp van deze Guidelines en/of de informatie op de website van de AP.

Moet ik elk datalek melden? En hoeveel tijd heb ik om dat te doen?

Je hoeft niet elk datalek te melden bij de AP. Alleen als het datalek leidt tot een risico voor rechten en vrijheden van betrokkenen. Je hebt daar 72 uur voor. Als verwerker hoef je trouwens nooit de melding aan de AP te doen. Dat is aan je klant (de verwerkingsverantwoordelijke). Is het niet helemaal duidelijk of je verwerker of verwerkingsverantwoordelijke bent? Ga dit na in onze quickscan. Ben je verwerker en heb je een datalek? Dan is het wel belangrijk dat je je klant op de hoogte stelt van dit lek. Partijen zijn verplicht om hierover afspraken te maken in een verwerkersovereenkomst, dus kijk dat goed na. Heb je nog geen verwerkersovereenkomst? Lees er hier meer over en/of bestel of download onze voorbeeld verwerkersovereenkomst.

Hoe kan ik de risico’s van een datalek bepalen?

Bepaal het risico door de volgende zaken na te gaan:

  • de aard van de inbreuk
  • de aard, gevoeligheid en omvang van de persoonsgegevens
  • de ernst van de gevolgen voor personen
  • het aantal getroffen personen

Wie meldt een datalek bij de AP (en eventueel de betrokkene)?

Dat doet de verwerkingsverantwoordelijke zelf. Waarbij de verwerker ondersteuning kan bieden door informatie aan te leveren, als die bekend is. Vandaar ook de 24-uurs of 48-uurs termijn die partijen in een verwerkersovereenkomst afspreken.

Hoe kan ik een datalek voorkomen?

Een datalek is niet altijd te voorkomen. Maar wat je wel in de hand hebt, is dat je zorgt voor een goede informatiebeveiliging, met toegangscontrole en encryptie. Ook kun je door middel van dataminimalisatie een datalek voorkomen. Wat je niet hebt verzameld, kun je immers ook niet onbedoeld vrijgeven. En dat geldt ook voor het opschonen van je systemen. Wat je niet meer nodig hebt, kun je verwijderen. Het opleiden van medewerkers is ook van belang. Als men herkent dat ze niet op bepaalde e-mails moeten klikken of reageren, kun je soms een datalek voorkomen. En tot slot kun je er ook voor zorgen dat je voorbereid bent. Bijvoorbeeld door iemand op afstand beschikbaar te hebben die een wachtwoord of apparaat kan resetten.

Moet ik datalekken ook bijhouden in een register?

Jazeker. Zowel datalekken die je meldt, als die je niet meldt, moet je bijhouden in een register voor datalekken. Daarin neem je op wat er is gebeurd, wanneer dat is gebeurd, op welke datum en hoe laat je dat hebt ontdekt, om wat voor datalek het gaat, hoeveel personen het betreft, wat het geschatte gevolg is voor de betrokkene, of je het datalek binnen 72 uur hebt gemeld bij de AP en de betrokkene, en zo niet, waarom niet. Tot slot moet je nog noemen welke maatregelen je hebt genomen om datalekken te voorkomen.

Moet ik een protocol hebben voor het melden van datalekken?

Jazeker. Dat is van belang om te hebben, zodat je personeel weet wat ze moeten doen in het geval dat er zich een incident voordoet.

Heeft NLdigital ook een datalekprotocol voor mij?

We helpen onze leden met handige documenten, zoals een voorbeeld datalekkenprotocol. Je vindt dit protocol in het ledenportal.

17 februari 2022

Export persoonsgegevens buiten Europa weer op losse schroeven

PRIVACY, PRIVACY, PRIVACY

Na het vaststellen van nieuwe Standard Contractual Clauses (SCC’s) door de Europese Commissie in juni 2021, leek het erop dat uitwisseling van persoonsgegevens met de VS weer mogelijk was. Maar een recente uitspraak van de Oostenrijkse privacytoezichthouder (de Datenschützbehörde, DSB) gooit roet in het eten. Het politieke spel tussen de EU en de VS over bescherming van privacy is daarmee weer terug op de agenda. Intussen is het voor bedrijven die gebruik maken van buitenlandse IT-diensten onduidelijk waar ze aan toe zijn. 

Hoe zat het ook alweer?

Dankzij de Avg gelden in heel Europa dezelfde regels voor het beschermen van persoonsgegevens. Verwerk je gegevens buiten de EU, dan moet je aanvullende afspraken maken. Om dat makkelijker te maken had de EU met de Verenigde Staten een verdrag afgesloten: Privacy Shield. Maar in 2020 deed het Hof van Justitie van de Europese Unie een uitspraak met grote gevolgen. De uitspraak staat bekend als de Schrems II-zaak, waarin privacy-activist Max Schrems (opnieuw) klaagde over doorgifte van zijn persoonsgegevens naar de Verenigde Staten.

Als gevolg van deze uitspraak is onder andere Privacy Shield per direct ongeldig verklaard. Dit legde een bom onder het internationale dataverkeer en de onzekerheid nam toe. Om uit de impasse te komen, die met de Schrems II-zaak is ontstaan, publiceerde de European Data Protection Board (EDPB) aanbevelingen. De EDPB is een onafhankelijk Europees orgaan dat bestaat uit vertegenwoordigers van nationale toezichthouders, zoals de Autoriteit Persoonsgegevens. Daarnaast kwam de Europese Commissie met de lang verwachtte update van de Standard Contractual Clauses (SCC).

Door SCC’s te sluiten met de partij buiten de EU (de VS of een ander ‘derde land’) waarmee persoonsgegevens worden uitgewisseld, zou deze uitwisseling weer rechtmatig mogelijk zijn. Het resultaat was natuurlijk dat iedereen als een bezetene SCC’s ging sluiten met buitenlandse partijen. Administratief een nachtmerrie, maar noodzakelijk om nog gegevens te kunnen uitwisselen.

Addertje onder het gras

De kern van de Schrems II-zaak is dat opsporingsdiensten in de VS toegang kunnen krijgen tot persoonsgegevens van Europeanen op servers in de VS. Maar in de VS hebben Europeanen niet dezelfde mogelijkheden om bij misstanden naar de Amerikaanse rechter te stappen. De rechtsbescherming van persoonsgegevens in de VS, is volgens Europa onvoldoende gegarandeerd. Het gesneuvelde Privacy Shield moest deze extra bescherming wel bieden, maar de hoogste Europese rechter vond dus van niet. Als oplossing gaf de EDPB aan dat je naast SCC’s ook een zogenaamd ‘Data Transfer Impact Assessment’ (DTIA) moet uitvoeren. Elk bedrijf dat gegevens exporteert naar een derde land moet in een DTIA onderzoeken of de privacy van betrokkenen voldoende is beschermd, gezien het rechtsstelsel, de relevante wet- en regelgeving en de mate van inmenging van de overheid in het land waarnaar de persoonsgegevens worden geëxporteerd.

Veel bedrijven zijn dan ook sinds Schrems II met juristen aan de slag gegaan om DTIA’s uit te voeren. Als uit een DTIA volgt dat de rechtsbescherming onvoldoende is, dan moet je passende aanvullende technische en organisatorische maatregelen nemen (zodat de gegevens wel voldoende beschermd zijn), of niet aan de uitwisseling beginnen. Hoe zo’n assessment precies moet worden uitgevoerd en welke aanvullende maatregelen dan afdoende zijn, is nog steeds niet duidelijk. Veel bedrijven staan dus voor een praktisch onmogelijke opgave.

Uitspraak Oostenrijkse toezichthouder inzake Google Analytics

Het bedrijf van meneer Schrems (Non Of Your Business) heeft na de Schrems II-uitspraak 101 klachten ingediend bij diverse toezichthouders in Europa. De Oostenrijkse DSB heeft in december op één van deze klachten beslist. De klacht ging over een lokale Oostenrijkse website die Google Analytics gebruikt. Bij dat gebruik worden er persoonsgegevens, namelijk IP-adressen en advertentie-ID’s naar de VS gestuurd om surfgedrag te analyseren. Ondanks dat de Oostenrijkse websitehouder en Google Analytics SCC’s sloten en aanvullende beveiligingsmaatregelen namen (waaronder encryptie van data in rust, pseudonimiseringsmaatregelen en een strenge interne procedure om na te gaan of gegevens aan opsporingsdiensten verstrekt moesten worden) is dit niet voldoende volgens de Oostenrijkse privacytoezichthouder (DSB). Volgens de DSB zijn deze maatregelen niet effectief genoeg om rechtsbescherming zeker te stellen. Hierdoor is de data export niet toegestaan.

De Nederlandse Autoriteit Persoonsgegevens (AP), waar ook twee klachten liggen, heeft inmiddels gewaarschuwd dat zij wel eens tot een vergelijkbare uitspraak zou kunnen komen. Ook de CNIL (Franse privacy toezichthouder) heeft op 10 februari 2022 een uitspraak gedaan, vergelijkbaar met de DSB.

Hoe nu verder?

Deze uitspraak zorgt opnieuw voor onduidelijkheid. Over de voorwaarden, maar ook welke technische en organisatorische maatregelen je moet nemen, zodat de export van persoonsgegevens naar de VS wel is toegestaan. De meest zekere optie op dit moment: zorg ervoor dat gegevens op servers in Europa staan en niet worden geëxporteerd. Of vraag als bedrijf aan ieder individu specifiek toestemming voor export van gegevens (je krijgt dan een soort ‘dubbele cookietoestemming’). Wellicht kunnen er ook nog aanvullende maatregelen getroffen worden die wel voldoende zijn voor de Europese toezichthouders. Maar welke dat zijn is niet duidelijk. Dit alles maakt vrij verkeer van gegevens er natuurlijk niet makkelijker op. Het beperkt Europese bedrijven in hun gebruik van buitenlandse diensten.

Voor een meer structurele oplossing voor álle bedrijven vragen wij als branchevereniging al sinds oktober 2020 aandacht voor dit probleem in de politiek. Uiteindelijk is het aan de EU en de VS om dit conflict van wetgeving op te lossen. Dat kan door nieuwe afspraken te maken over hoe we de persoonlijke data van elkaars burgers in de digitale wereld respecteren. Uiteraard houden we je via deze website op de hoogte van de ontwikkelingen.

Heb je vragen?

Elke donderdag van 10.00 – 11.00 uur is er een digitaal juridisch spreekuur voor leden. Hierin beantwoordt onze jurist Henk Bethlehem vragen van leden.

Je werknemers monitoren: mag dat?

PRIVACY, PRIVACY, PRIVACY, ETHIEK, HRM, PRIVACY
Werknemers monitoren

Technologisch gezien kan je je medewerkers goed monitoren. Maar, mag het ook juridisch gezien? Onze jurist Henk Bethlehem praat je bij.

Wat doe je als allereerst?

Als je erover denkt je werknemers te monitoren, stel jezelf dan allereerst de vraag: waarom en met welk doel wil ik mijn personeel monitoren? Maak hierna een afweging tussen de privacy van je personeel en het bedrijfsbelang dat je met de controle wilt dienen. Welk belang weegt in dit geval zwaarder? Is controle echt noodzakelijk?

Belangrijk: stel dat het juridisch mag, maak dan ook een ethische afweging. Denk erover na of je het echt wilt. Of dat je het belangrijker vindt dat je personeel onbespied blijft.

Hoe beslis je welk belang zwaarder weegt?

Als je werknemers wilt monitoren, moet het bedrijfsbelang dus belangrijker zijn dan de privacy van je personeel. Oftewel: je moet een gerechtvaardigd belang hebben. Je moet ook kunnen uitleggen waarom het bedrijfsbelang zwaarder weegt dan de belangen van jouw werknemers. Waarom is het monitoren van je werknemers noodzakelijk? Je kan bijvoorbeeld ook doelen voor een dag of week afspreken die ze moeten halen. Onderschat dit niet, want het belang van jouw werknemers zal héél vaak zwaarder wegen dan het bedrijfsbelang.

Mag je stiekem controleren?

Als je je werknemers gaat monitoren, moet je ze vooraf informeren. Je mag ze dus niet stiekem monitoren of controleren. Uitzondering: je hebt een hele goede reden. Je verdenkt iemand bijvoorbeeld van een strafbaar feit, waarbij het je niet is gelukt om dat feit op een andere manier te stoppen.

Als je stiekem gaat controleren, houd je dan aan de volgende regels:

  • Stiekem controleren moet incidenteel zijn. Je kan het dus niet voor langere tijd doen.
  • Achteraf moet je het betreffende personeel(slid) altijd informeren.
  • Doe voordat je start met monitoren een zogenaamde data protection impact assessment (DPIA).

Wat is een DPIA en wanneer heb je die nodig?

Een data protection impact assessment (DPIA) is een manier om privacyrisico’s en bijbehorende maatregelen in kaart te brengen. Je moet altijd vooraf een DPIA doen: als je je werknemers vooraf hebt geïnformeerd over de controle én als je dit in het geheim doet. In onze ledenportal vind je een gratis stappenplan waarmee je de DPIA kunt uitvoeren. 

Blijkt uit de DPIA dat je de privacyrisico’s niet kunt beperken met maatregelen? Dan moet je in overleg met de Autoriteit Persoonsgegevens (AP).

Let op:

  • Heb je een functionaris voor de gegevensbescherming (FG)? Vraag haar of hem dan ook altijd om advies bij het uitvoeren van de DPIA.
  • Heb je een ondernemingsraad (OR)? Dan heb je instemming van hen nodig voordat je start met de controle. Vraag pas om instemming als uit de DPIA blijkt dat je kan starten met de controle.

Heb je vragen?

Heb je een vraag aan onze juristen, bijvoorbeeld over monitoren of de DPIA? Ze helpen je graag verder. Stel je vraag privé of kom naar ons juridisch inloopspreekuur.

Naar het ledenportal

Heb je een vraag aan onze juristen, bijvoorbeeld over monitoren of de DPIA? Ze helpen je graag verder. Stel je vraag via het ledenportal of kom naar ons juridisch inloopspreekuur. Nog geen lid, maar heb wel een vraag aan onze juristen? Ook dan helpen we je graag. Lees hier meer over onze juridische dienstverlening.


Dit artikel is geplaatst op 9 november 2021.

10 vragen en antwoorden over Data Pro certificering

PRIVACY, PRIVACY, PRIVACY, ETHIEK, HRM, PRIVACY, AVG, PRIVACY

Het Data Pro Certificaat is het keurmerk voor professionele verwerkers van persoonsgegevens. De onafhankelijke certificering is gericht op het versterken van pricacybewust gedrag binnen organisaties en is gebaseerd op de Data Pro Code, de Avg-gedragscode van NLdigital die is goedgekeurd door de Autoriteit Persoonsgegevens (AP). Verwerkers die zich houden aan deze code, kunnen dit aantonen door zich te laten certificeren. Certificering is toegankelijk voor alle verwerkers van data die werkzaam zijn in de digitale sector. Maar hoe gaat dit proces van certificering in z’n werk, wat zijn de kosten en waar te beginnen? Onze jurist Henk Bethlehem beantwoordt 10 veelgestelde vragen over Data Pro certificering. 

Publicatiedatum: 12 oktober 2021

Waarom zou ik mijn bedrijf laten certificeren?

Dat is een goede vraag. Je kunt ook zonder een Data pro Certificaat aan de Avg voldoen. Maar met Data Pro certificering draag je uit naar je klanten dat je een externe auditor hebt laten toetsen dat je als verwerker volgens de wet- en regelgeving handelt. Dit wekt vertrouwen bij je klanten en partners. Het is altijd goed om extern te laten toetsen of je je documenten en processen op orde hebt.

Hoelang duurt het certificeringsproces?

Dat hangt ervan af. Het ene bedrijf is verder met implementatie van de Avg dan het andere. Je zult tijdens het proces bepaalde informatie moeten aanleveren over je bedrijf en de manier waarop je met persoonsgegevens omgaat. Op basis van die informatie zullen onze externe auditors je bedrijf gaan beoordelen op verschillende onderdelen. Met twee weken kan het proces van A tot Z klaar zijn, maar het kan ook drie maanden duren. Doe het self-assessment om te toetsen of je aan de Data Pro Code voldoet. Dit is direct een goede voorbereiding op de Data Pro certificering.

Wat kost Data pro certificering?

De kosten hangen af van de omvang van je organisatie en of je lid bent bij ons of niet. Vanaf € 699,- kun je als lidbedrijf al gecertificeerd zijn. Hier is een handig kostenoverzicht te vinden. De kosten variëren van € 699,- voor een lidbedrijf met een personeelsomvang tot 50 medewerkers tot € 5499,- voor een lidbedrijf met meer dan 50 werknemers.

Hoe start ik met Data pro certificering?

Dat kun je het beste doen door ons gratis oriëntatiepakket aan te vragen. Daarin staan handige Avg-tips, maar ook welke informatie nodig is voor de externe auditors om je certificeringsaanvraag in behandeling te nemen.

Waar kan ik mij laten certificeren?

Dat kan eenvoudig, door je hier op te geven. Na inschrijving ontvang je een totaalpakket om je organisatie voor te bereiden op de certificering. Als jouw organisatie er klaar voor is, kun je direct starten met certificering.

Stel ik heb het oriëntatiepakket aangevraagd, hoe gaan we dan verder?

Je kunt dan gebruikmaken van onze standaardverwerkersovereenkomst en juridische handleiding om de Avg verder te implementeren. Na die stap ben je in principe klaar om certificering aan te vragen. Als je wilt kun je ook eerst nog onze juristen om hulp vragen.

Is er verschil tussen Data pro certificering voor mkb’ers en voor grote bedrijven?

Er is geen verschil voor wat betreft het keurmerk dat je kunt ontvangen. Die is gelijk voor zowel grote als kleine organisaties. Het verschil zit in de audit. Bedrijven met een omvang vanaf 50 werknemers, worden ook op locatie geaudit.

Welke certificering kan ik het beste kiezen: ISO- NEN- of Data Pro?

We schreven hier eerder een artikel over, die je hier kunt teruglezen. In het artikel worden ISO- en NEN-normen vergeleken met het Data Pro Certificaat. Als je hier vragen over hebt, dan kun je contact opnemen met onze juristen.

Hoelang is het Data pro Certificaat geldig?

Het certificaat is één jaar vanaf het moment van uitreiken geldig. Na een jaar kun je opnieuw het certificeringsproces doorlopen.

Is Data Pro certificering een Avg-certificering?

Als gecertificeerde laat je zien dat je voldoet aan de eisen uit onze Gedragscode. Een ‘echte’ Avg-certificering is er momenteel nog niet. De AP heeft aangegeven dat de Raad voor Accreditatie op termijn certificatie-instellingen zal accrediteren om Avg-certificaten te verlenen. In dit artikel vind je meer uitleg over dit onderwerp.

Is data van klanten bij jou in goede handen? Maak dit eenvoudig aantoonbaar en inzichtelijk met het Data Pro Certificaat!

11 februari 2021

Moderniseer toezicht AP om nieuwe privacy-schandalen te voorkomen

PRIVACY, PRIVACY, PRIVACY, ETHIEK, HRM, PRIVACY, AVG, PRIVACY, AVG, PRIVACY

Deze week werd bekend dat de implementatie van DigiD op de website coronatest.nl niet voldoet aan de veiligheidseisen. Vorige week moest minister De Jonge al diep door het stof in het Kamerdebat over het datalek bij de GGD. De Tweede Kamer had onvoldoende vertrouwen in de maatregelen die de minister en de GGD aankondigden. Een meerderheid stemde daarom in met een voorstel om de capaciteit van de Autoriteit Persoonsgegevens (AP) flink uit te breiden.

Dat klinkt mooi, maar het is nog maar de vraag of deze extra mensen een volgend datalek kunnen voorkomen. Ook met twee keer zo veel handhavers kan de AP niet bij elke organisatie in Nederland achter de voordeur kijken. De sleutel ligt in het moderniseren van haar rol: organiseer toezicht dichter op de werkvloer, met de nadruk op preventie.

Avg vraagt om toezicht dicht op de organisatie

Een belangrijke conclusie uit het Kamerdebat was dat het GGD-lek kon gebeuren omdat er te weinig aandacht was voor privacy. Er waren wel signalen dat het systeem kwetsbaar was, maar niemand greep in. Om dat te voorkomen heb je iemand nodig die dicht op de organisatie zit, mandaat heeft en privacy hoog op de prioriteitenlijst heeft staan. In de Avg wordt een dergelijke vorm van toezicht aangemoedigd. De wet gaat uit van een getrapt model: toezicht door management, door een onafhankelijke FG, door sectorale gedragscodes en certificeringen en tot slot door de nationale toezichthouder.

Bij NLdigital hebben we al vroeg ingezet op een sectorale gedragscode met bijbehorende certificering. Onze onafhankelijke auditor komt bij bedrijven over de vloer, stelt de juiste vragen en toetst op gedrag. De ervaring van de afgelopen drie jaar leert dat dit voor bedrijven verrassende inzichten oplevert. Bedrijven die op deze manier hun Avg-compliance regelen, leggen dus automatisch de nadruk op preventie, bewustzijn en gedrag.

Andere rol voor AP

De Autoriteit Persoonsgegevens heeft in deze opzet een belangrijke rol. Onze Data Pro gedragscode is formeel door de AP goedgekeurd. Ook de certificering kan de goedkeuring van de AP krijgen. Ze speelden daarin een constructieve en adviserende rol, zonder hun taak als toezichthouder uit het oog te verliezen. Deze wisselwerking tussen privacy-autoriteit, branchevertegenwoordigers en bedrijven zorgt uiteindelijk voor een invulling van de Avg die praktisch toepasbaar is en potentiële problemen zo vroeg mogelijk identificeert.

Wij pleiten daarom voor een andere rol voor de AP: zet de extra capaciteit in om systeemtoezicht te organiseren en organisaties te informeren en begeleiden. Dit is de enige manier om een complex en veelomvattend onderwerp als gegevensbescherming toekomstbestendig te borgen. En de beste manier om een herhaling van het debacle bij de GGD te voorkomen.

18 januari 2021

Online bijeenkomst commissie Privacy

PRIVACY, PRIVACY, PRIVACY, ETHIEK, HRM, PRIVACY, AVG, PRIVACY, AVG, PRIVACY, PRIVACY

Dinsdag 16 februari 2021 van 9.30 – 11.00 uur is de online bijeenkomst van de commissie Privacy. Deelnemers aan deze commissie zijn vertegenwoordigers van lidbedrijven aangesloten bij NLdigital die binnen hun organisatie op strategisch niveau verantwoordelijk zijn voor privacy en de impact van privacy op de business. Deze bijeenkomst zal online via Teams plaatsvinden.

Programma

Op het programma van deze bijeenkomst staat o.a.

Actualiteiten:

  • Brexit-deal: wat betekent dit voor data?
  • Apple iOS 14 – privacy informatie. Wat zijn tot nu toe jullie ervaringen?

Stand van zaken Europa:

  • DSA – privacy aspecten
  • Nieuwe e-Privacy tekst van Portugese EU voorzitterschap
  • Joint opinions van de EDPB & EDPS over beiden SCC’s van de EC (over de relatie controller-processor en over data transfers)
  • Guidelines EDPB over voorbeelden van melden van datalekken

Interesse in deelname aan deze commissie?

Ben je werkzaam bij een lidbedrijf van NLdigital en strategisch verantwoordelijk voor privacy?

Meld je aan
24 november 2020

Dataverkeer impasse duurt voort, verstoring digitale diensten dreigt

PRIVACY, PRIVACY, PRIVACY, ETHIEK, HRM, PRIVACY, AVG, PRIVACY, AVG, PRIVACY, PRIVACY, PRIVACY

Afgelopen juli heeft het Hof van Justitie van de Europese Unie het Privacy Shield met onmiddellijke ingang ongeldig verklaard. Dit gebeurde in de spraakmakende Schrems II-zaak. Deze uitspraak legde een bom onder het internationale dataverkeer en de onzekerheid neemt toe. De ‘European Data Protection Board’ (EDPB) heeft een conceptdocument uitgebracht om uit de impasse te komen die met de Schrems II-zaak is ontstaan. Maar na het lezen van deze aanbevelingen zijn onze zorgen alleen maar groter geworden en zien wij geen aanknopingspunten voor een werkbare oplossing.

De conceptaanbevelingen liggen nu voor ter consultatie. Hierin vragen ze organisaties om te herstellen wat op politiek niveau niet is gelukt: uniformering op het gebied van privacy en cybersecurity creëren. Wij hebben dit in een brief naar de vaste Kamercommissie van Justitie en Veiligheid aan de orde gesteld. Hierin doen wij twee aanbevelingen om uit de impasse te komen.

1. Zorgvuldigheid gaat voor snelheid

Om zorgvuldig te kunnen reageren, is een realistische consultatieperiode noodzakelijk. De initieel gestelde deadline van 30 november was veel te krap. Sinds het verzenden van de brief heeft de EDBP gelukkig besloten om deze consultatieperiode te verlengen tot 21 december 2020. Dit is nog steeds krap, maar geeft meer ruimte om tot een werkbare handreiking te komen. Er moet een oplossing komen die mogelijk is met de middelen én dagelijkse praktijk van de meeste (Nederlandse) organisaties. Daarnaast biedt dit een mogelijkheid om de aanbevelingen te laten aansluiten bij de meer pragmatische en realistische concept standaardclausules van de Europese Commissie.

2. Plaats privacy in breder perspectief

Het is terecht dat Europese privacywetgeving eisen stelt aan data-uitwisseling. Naast het belang van gegevensbescherming moet echter ook het bredere perspectief meewegen. Er moet gekeken worden naar onder andere economische belangen, wetenschappelijk onderzoek en overige fundamentele rechten. Deze belangen hoeven niet strijdig met elkaar te zijn, maar moeten zorgvuldig in samenhang worden gewogen.

Wij hebben gevraagd dit dossier aan de orde te stellen tijdens de begrotingsbehandeling van het ministerie van Justitie en Veiligheid, die gepland staat op woensdag 25 en donderdag 26 november.

Hoe helpt NLdigital jouw organisatie?

Wij houden de publicaties rondom deze kwestie nauwlettend in de gaten. Momenteel zijn we bezig met het opstellen van een consultatie over de door de EDBP voorgestelde conceptaanbevelingen. De Europese Commissie vraagt ook om input over een tweetal Standard Contractual Clauses (SCC’s). Dit zijn modelcontracten die ervoor moeten zorgen dat het beschermingsniveau van data buiten de EU/EER gelijk is aan dat van binnen de EU. Die kun je hier en hier vinden. Ook hiervoor gaan wij aan de slag met de consultaties.

Heb je vragen hierover of wil je dat we je voorzien van breder Avg-advies? Op onze website en in ons Data Pro oriëntatiepakket vind je veel informatie over specifieke onderdelen van de Avg. Onze juristen geven advies en ondersteuning op het gebied van privacy en Avg. Ook kunnen bedrijven die hun klanten willen laten zien dat ze privacy serieus nemen en verantwoord omgaan met persoonsgegevens, zich laten certificeren. Certificering gebeurt op basis van de Avg-gedragscode van NLdigital, de Data Pro Code.

17 november 2020

Column Lotte de Bruijn: ‘Toverstaf’

PRIVACY, PRIVACY, PRIVACY, ETHIEK, HRM, PRIVACY, AVG, PRIVACY, AVG, PRIVACY, PRIVACY, PRIVACY, CYBERSECURITY, PRIVACY

Digitale technologie is soms bijna magisch. Zeker in deze tijden van thuisblijven en afstand houden ben ik me extra bewust van het gemak van onze digitale wereld. Met een paar simpele handelingen bestel je een paar nieuwe schoenen, of eten van je favoriete restaurant. En met collega’s werk je moeiteloos in dezelfde bestanden en mappen via de cloud.

Digitale kloof

Voor veel mensen is digitale technologie ook letterlijk magisch. Als in: ze hebben geen flauw idee hoe het werkt en accepteren maar gewoon dat het kan. En dat is gevaarlijk. Want wie eenmaal gelooft in de magie van technologie, verliest het vermogen om er kritisch naar te kijken. Die digitale kloof is een groeiend probleem. Het maakt mensen kwetsbaar voor misbruik, het verkleint mogelijkheden van mensen om mee te doen én het zet een rem op de adoptie van allerlei nuttige innovaties.

Helaas zijn ook politici niet immuun voor magisch denken. Dat leidt soms tot overdreven angsten voor technologie, maar aan de andere kant ook tot onmogelijke verwachtingen. Een goed voorbeeld is het oneindige debat rond encryptie. Iedereen is het erover eens dat sterke encryptie onmisbaar is om onze digitale infrastructuur veilig te houden. Toch duikt er eens in de zoveel tijd weer een politicus op die zegt: “Ja, het moet wel sterk zijn, maar ook weer niet zo sterk dat onze opsporingsdiensten het niet kunnen kraken.”

Uitzonderingen in encryptie

Onlangs kwam dit verzoek van niemand minder dan de overheden van Australië, Canada, India, Japan, Nieuw-Zeeland, het Verenigd Koninkrijk en de Verenigde Staten. In een gezamenlijke verklaring vroegen ze digitale bedrijven te stoppen met het aanbieden van end-to-end encryptie in hun producten. Althans: ze vroegen bedrijven om manieren te verzinnen om end-to-end encryptie zodanig aan te bieden dat de overheid en bedrijven zelf desgewenst nog wel de inhoud kunnen lezen. Experts leggen al decennia lang uit dat het inbouwen van uitzonderingen in encryptie het per definitie zwakker maakt. Toch zeggen deze landen opnieuw: zwaai maar met je toverstaf en zorg dat het werkt.

Ook onze eigen minister maakt zich schuldig aan magisch denken. Het officiële kabinetsstandpunt is dat encryptie niet verzwakt mag worden. Toch liet minister Grapperhaus eind vorig jaar weten dat het heel prettig zou zijn als iemand kon zorgen dat zijn opsporingsdiensten wél versleutelde berichten kunnen kraken. Gelukkig was de Tweede Kamer scherp en werden er meteen Kamervragen gesteld over hoe de minister deze uitspraak kan rijmen met zijn eigen beleid.

Commissie Digitale Zaken

Het is ook daarom heel belangrijk dat onze volksvertegenwoordigers voldoende kennis hebben van digitale technologie en onze sector. We hebben volksvertegenwoordigers nodig die inzien dat achter de magische interfaces een wereld schuilgaat van oneindig veel regels code, ronkende servers en honderdduizenden hardwerkende mensen.

Wat dat betreft is er goed nieuws: de Tweede Kamer heeft vanaf de volgende kabinetsperiode een vaste commissie Digitale Zaken. Ik verwacht dat dit bij zal dragen aan meer expertise van Kamerleden en een meer structurele behandeling van alles dat met digitaal te maken heeft. Hopelijk helpt dat om het volgende proefballonnetje over encryptie snel lek te prikken.

Deze column verscheen in november 2020 in ICT Magazine.

29 juli 2020

Privacy Shield per direct ongeldig: wat nu?

PRIVACY, PRIVACY, PRIVACY, ETHIEK, HRM, PRIVACY, AVG, PRIVACY, AVG, PRIVACY, PRIVACY, PRIVACY, CYBERSECURITY, PRIVACY, PRIVACY

Op 16 juli heeft het Hof van Justitie van de Europese Unie het Privacy Shield met onmiddelijke ingang ongeldig verklaard. Dit gebeurde in de spraakmakende zaak Schrems II, waarin Max Schrems opnieuw klaagde over doorgifte van zijn gegevens naar de Verenigde Staten. Geeft jouw organisatie persoonsgegevens door aan een partij in de VS? Dan leggen we je uit welke stappen je kunt ondernemen.

Wanneer is dit relevant?

Werkt jouw organisatie samen met Amerikaanse partijen? Bijvoorbeeld omdat je hostingpartij daar servers heeft staan, omdat je werkt met een Amerikaanse Saas-partij, e-mailtool of app of omdat je op een andere manier gegevens uitwisselt met de Verenigde Staten. Je kunt ook denken aan een moeder-, dochter- of zusterbedrijf met wie je gegevens uitwisselt of bepaalde onderhouds- of servicediensten die vanuit de VS worden geleverd en waarbij op jullie systemen wordt ingelogd.

Let wel: dat een bedrijf in de VS is gevestigd, betekent op zichzelf nog niet dat de gegevens ook met de VS worden uitgewisseld. Als je hierover twijfelt, vraag het dan na bij de betreffende partij.

Eerder dit jaar publiceerden we deze blog over het verwerken van persoonsgegevens in het buitenland. Als jij zelf of een partij die vóór jou gegevens verwerkt persoonsgegevens verwerkt in de VS of doorgeeft aan een partij die dat doet, dan maak je – als het goed is – gebruik van Privacy Shield of Standard Contractual Clauses.

Achtergrond: Wat is het Privacy Shield?

Persoonsgegevens mogen uitsluitend worden doorgegeven naar landen buiten de EU/EER als er sprake is van een in essentie gelijkwaardige bescherming aan het beveiligingsniveau van de Avg. Er zijn een aantal manieren om je te verzekeren van dat gelijkwaardige beschermingsniveau.

De meest eenvoudige manier is op basis van een zogenaamd adequaatheidsbesluit van de Europese Commissie (EC). Het EU-VS privacyschild-verdrag (of ‘Privacy Shield’) was zo een adequaatheidsbesluit. Op basis daarvan was de Verenigde Staten een ‘veilig land’ op voorwaarde dat een bedrijf was aangesloten bij Privacy Shield.
Een andere manier om dit beschermingsniveau te waarborgen is door in je overeenkomsten met bedrijven buiten de EU/EER gebruik te maken van standaardbepalingen (‘Standard Contractual Clauses’, opgesteld door de EC).

Stappenplan: zo blijf je Avg-proof

Door het wegvallen van Privacy Shield als basis voor het uitwisselen van gegevens met de VS en daarnaast de onduidelijkheid over welke extra waarborgen eventueel nodig zijn als je met standard contractual clauses werkt, is er een vacuüm ontstaan en is het voor bedrijven onduidelijk hoe zij de gegevensuitwisseling nu moeten inrichten. NLdigital kan dit niet wegnemen, want die onduidelijkheid is er nu eenmaal, maar we helpen je graag een stapje verder.

Heb je basis op orde

Wisselt jouw organisatie gegevens uit met een partij in de Verenigde Staten? Dan is het voor nu met name van belang dat jouw technische en organisatorische maatregelen up to date zijn om het vereiste beschermingsniveau van persoonsgegevens te waarborgen. Zorg ervoor dat je kan voldoen aan de transparantieverplichtingen en dat je datalekkenprotocol op orde is.

Dit is niets nieuws onder de zon: het voldoen aan privacyrechtelijke verplichtingen en de regels rondom internationale datastromen is een continu proces. Je moet voortdurend bekijken of de manier waarop je vandaag dingen doet, morgen nog wel de juiste is.

Als je daarnaast je handelingen goed documenteert en bewaart kan je achteraf aantonen op welke manier je persoonsgegevens verwerkt conform de Avg.

Krijg inzicht in je internationale gegevensuitwisseling

Het is daarnaast verstandig dat je goed bent voorbereid op eventuele vragen van je klanten over je internationale doorgifte van persoonsgegevens. Zorg ervoor dat je alle informatie op een rijtje hebt en je je verdiept in onderstaand stappenplan. Je kunt dit stappenplan ook downloaden.

Download stappenplan

 

  1. Bepaal of jouw organisatie persoonsgegevens doorgeeft aan de Verenigde Staten.
    Maak je bijvoorbeeld gebruik van een Amerikaanse subverwerker die is aangesloten bij het Privacy Shield, of heb je een klant de gevestigd is buiten de EU/EER? Dan kan het zijn dat je persoonsgegevens doorgeeft aan een land buiten de EU/EER. Nee? Dan hoef je niets te doen.
  2. Ja? Bepaal dan op basis van welke afspraken je persoonsgegevens doorgeeft aan een partij in de Verenigde staten.
    • Je geeft persoonsgegevens door aan een bedrijf dat gevestigd is in de Verenigde Staten en is aangesloten bij het Privacy Shield
      Het Privacy Shield is ongeldig verklaard en er geldt geen adequaatheidsbesluit meer voor de VS. Hierdoor kun je alleen nog persoonsgegevens doorgeven als er ‘passende waarborgen’ worden geboden. Eén van die passende waarborgen zijn de modelcontractsbepalingen van de EC. Het is aan te raden om een overstap naar het gebruik van modelcontractsbepalingen in gang te zetten.
    • Je maakt voor doorgifte van persoonsgegevens aan landen buiten de EU/EER gebruik van modelcontractsbepalingen
      De modelcontractsbepalingen kunnen wel gebruikt blijven worden voor doorgifte aan landen buiten de EU/EER, maar alleen als in de praktijk een gelijkwaardig beschermingsniveau kan worden gewaarborgd. Dit kan betekenen dat bedrijven extra waarborgen moeten bieden in aanvulling op de modelcontractsbepalingen.
  3. Bereid de overstap naar of uitbreiding van modelcontractsbepalingen voor.
    Jouw organisatie kan zich momenteel het beste gaan voorbereiden op het goed toepassen van modelcontractsbepalingen:

    • Bepaal per situatie of er in de praktijk een gelijkwaardig beschermingsniveau kan worden gewaarborgd.
      Er moet gekeken worden naar de ‘relevante aspecten van het rechtsstelsel’ van dat land. Met name wanneer het recht van dat land de overheidsinstanties van dat land toestaat om in te grijpen in de rechten van de betrokkenen met betrekking tot persoonsgegevens, is volgens het Hof het gebruik van enkel de modelcontractsbepalingen zonder aanvullende waarborgen onvoldoende voor een gelijkwaardig beschermingsniveau.
    • Bepaal aan de hand daarvan of er aanvullende waarborgen geboden moeten worden.
  4. Stop met het uitwisselen van gegevens naar de Verenigde Staten als je geen nieuwe afspraken kunt maken
    Lukt het jouw organisatie niet om samen met de partij in de Verenigde Staten de modelcontractsbepalingen toe te passen of aan te vullen? Dan ben je verplicht om de doorgifte van persoonsgegevens naar het betrokken derde land op te schorten of te beëindigen. Het is in dat geval uiteraard een optie om te werken met een andere partij waarmee wel passende afspraken gemaakt kunnen worden.

Wordt er in Nederland gehandhaafd op doorgifte naar de VS?

De European Data Protection Board (EPDB) heeft aangegeven een verdere verduidelijking van en richtsnoeren voor de uitspraak te publiceren. Het lijkt waarschijnlijk dat de Autoriteit Persoonsgegevens wacht met handhaving totdat de EDPB met deze verduidelijking komt, maar er is geen garantie.

Daarnaast is in het evaluatierapport van de Avg van de EC te lezen dat de EC bezig is met een modernisering van de modelcontractsbepalingen. Het lijkt dus verstandig om deze Europese ontwikkelingen nog even af te wachten, voordat je grote wijzigingen of een overstap naar de modelcontractsbepalingen gaat doorvoeren. Het is namelijk een flinke opgave om elke keer het beschermingsniveau in de praktijk uit te moeten zoeken als je persoonsgegevens doorgeeft naar een land buiten de EU/EER, zeker voor kleine en middelgrote bedrijven en/of bedrijven die geen juristen in huis hebben.

Hoe helpt NLdigital jouw organisatie?

NLdigital houdt de ontwikkelingen rondom deze uitspraak, de eventuele handhaving en alternatieve afspraken scherp in de gaten. We kunnen jouw organisatie helpen om de eerste stappen ter voorbereiding te zetten, of je voorzien van breder Avg-advies.

Op onze website en in ons Data Pro oriëntatiepakket vind je veel informatie over specifieke onderdelen van de Avg. Onze juristen geven advies en ondersteuning op het gebied van privacy en Avg. Ook kunnen bedrijven die hun klanten willen laten zien dat ze privacy serieus nemen en verantwoord omgaan met persoonsgegevens, zich laten certificeren. Certificering gebeurt op basis van de Avg-gedragscode van NLdigital, de Data Pro Code.

 

Gerelateerd

Export persoonsgegevens buiten Europa weer op losse schroeven

Export persoonsgegevens buiten Europa weer op losse schroeven

Het politieke spel tussen de EU en de VS over bescherming van privacy is terug op de agenda door een recente uitspraak van de Oostenrijkse privacytoezichthouder. Intussen is het voor bedrijven die gebruik maken van buitenlandse IT-diensten onduidelijk waar ze aan toe zijn. Een update van de huidige stand van zaken. 

Alle gerelateerde items

Nieuwsbrief

  •  *
    naam@bedrijf.nl
  •  *

NLdigital

De Corridor 5
3621 ZA Breukelen
(0348) – 49 36 36
info@nldigital.nl