Privacy Archieven - NLdigital

14 september 2023

Masterclass Privacy by design

Iedere IT-leverancier die producten en diensten ontwikkelt heeft de verplichting om goed over privacy na te denken. Hoe beter je hier al over nadenkt in het ontwerp van je systeem (privacy by design), hoe gemakkelijker het is om de gegevens van jouw klanten fatsoenlijk te beschermen. Maar hoe doe je dat dan? Jaap-Henk Hoepman van de Radboud Universiteit vertelt je hier meer over tijdens een masterclass op woensdag 15 november 2023.

Privacy by design

De architectuur van een systeem, de manier waarop het ontworpen is, en welke informatie het systeem verwerkt, bepaalt in essentie hoe privacy vriendelijk het is. Privacy vriendelijk ontwerpen, oftewel privacy by design, is dus heel belangrijk. Dit kan via verschillende technische en organisatorische maatregelen. Maar wat zijn dan die maatregelen, en hoe pas je dat toe? Daar gaat Jaap-Henk Hoepman de ins en outs over vertellen in zijn masterclass. Hoepman is universitair hoofddocent aan de vakgroep Informatica van de Radboud Universiteit en expert in privacy by design.

Hoepman zal tijdens de masterclass acht hardnekkige mythes rondom privacy ontkrachten en bespreekt daarbij de bijbehorende dilemma’s, benaderingen en technieken die je kunt toepassen zodat je je product of dienst privacy vriendelijk kunt inrichten.

Doel masterclass

Na het bijwonen van dit evenement heb je praktische handvatten om met privacy by design aan de slag te gaan.

Programma

14.30 u.	Inloop
14.45 u.	Opening NLdigital
15.00 u.	Presentatie Jaap-Henk Hoepman
16.30 u.	Borrel en meet & greet Jaap-Henk en juristen van NLdigital
17.30 u.	Einde

Praktische informatie

De masterclass vindt plaats op kantoor bij NLdigital, De Corridor 5 in Breukelen vanaf 15.00 uur. Leden van NLdigital kunnen gratis deelnemen. Ben je geen lid, dan betaal je €695,- voor deze masterclass.

Na afloop ben je van harte welkom om nog even een drankje te drinken en na te praten met de andere deelnemers. Of stel je vragen aan Jaap-Henk of aan de juristen van NLdigital: zij zijn ook aanwezig voor een meet & greet.

Wil je voorafgaand aan het event alvast meer lezen over privacy by design, lees dan hier ons artikel over dit onderwerp.

Over de spreker

Jaap-Henk Hoepman (1966) is gasthoogleraar in de PRISEC – Privacy And Security groep aan de Universiteit van Karlstad, Zweden. Daarnaast is hij Universitair Hoofddocent bij de Digital Security groep van de Radboud Universiteit Nijmegen, gedetacheerd bij iHub, de interdisciplinaire research hub on Digitalization and Society. Ook is hij Universitair Hoofddocent in de sectie IT Recht van de Faculteit Rechtsgeleerdheid van de Rijksuniversiteit Groningen. Daarnaast is hij principal scientist (en voormalig wetenschappelijk directeur) van het Privacy & Identity Lab.

Hij doet onderzoek op het gebied van privacy by design en privacy vriendelijke protocollen voor identity management en het ‘Internet of Things’. Hij spreekt regelmatig over deze onderwerpen op nationale en internationale congressen en publiceert hierover in (inter)nationale tijdschriften. Ook treedt hij op als deskundige in de media, en schrijft hij artikelen voor de populair wetenschappelijke pers. Hij is actief in het publieke debat over privacy en veiligheid in de samenleving.

4 augustus 2023

Eerste Data Pro Verificaties toegekend

AVG, PRIVACY, PRIVACY

De eerste Data Pro Verificaties zijn toegekend. De organisaties SkyKick en Visma-Raet hebben als eerste succesvol het Data Pro Verificatieproces doorlopen. Hiermee tonen de bedrijven aan dat zij als verwerker van gegevens van derden zich houden aan de Data Pro Code, de officiële Avg gedragscode voor de ICT-sector.

Dit voorjaar is de Data Pro Code officieel goedgekeurd door de Autoritieit Persoonsgegevens. Na een korte implementatieperiode is het hiervoor geaccrediteerde toezichthoudend orgaan nu operationeel en kunnen organisaties die de Avg gedragscode volgen zich officieel verbinden aan de Data Pro Code. Goedgekeurde organisaties ontvangen het Data Pro Verified-label. Hiermee tonen zij aan dat zij gegevensbescherming in hun organisatie hoog in het vaandel hebben staan en werken volgens de door branchevereniging NLdigital gestelde norm.

Stevig beoordelingskader, praktische toetsing

De door NLdigital ontwikkelde Data Pro Code is de eerste Nederlandse volledig goedgekeurde Avg gedragscode en de vijfde in Europa. Voor de definitieve accreditatie is een stevig gefundeerd beoordelingskader opgezet. De toetsing daarentegen, is heel praktisch. Dankzij deze praktische opzet is het ook voor kleine en middelgrote bedrijven haalbaar om een Data Pro Verificatie te behalen.

Bedrijven die de Data Pro Code volgen maken gebruik van de standaard Verwerkersovereenkomst van NLdigital. Onderdeel van deze verwerkersovereenkomst is het Data Pro Statement. Hierin verklaart een organisatie hoe zij omgaan met de gegevens die zij verwerken. Zodra het Data Pro Statement volledig ingevuld is en een organisatie hier ook naar handelt, volgt de organisatie automatisch de Data Pro Code. Bedrijven kunnen hun professionaliteit aantonen door zich te laten beoordelen. Het toezicht op de naleving van de gedragscode is extern belegd bij de internationaal geaccrediteerde Avg-toezichtorganisatie SCOPE Europe.

Meer weten over de Data Pro Code en hoe je jouw organisatie kunt laten verifiëren? Kijk dan hier.

SkyKick heeft vanaf het vroege begin veel waarde gezien en gekregen van het Data Pro certificeringstraject. En die waarde is alleen maar toegenomen voor onze klanten en partners met de definitieve goedkeuring, en het nieuwe verificatieproces met SCOPE Europe.

Het SkyKick team is dan ook erg content dat ze als eerste organisatie het nieuwe verificatie proces met SCOPE Europe succesvol heeft doorlopen en trots op het behalen van de nieuwe Data Pro verified status.

Gerard Doeswijk, Global Data Protection Officer – SkyKick

Het EU-US Data Privacy Framework is er: en nu?

AVG, PRIVACY, PRIVACY, PRIVACY

Na 3 jaar onzekerheid rondom de gegevensoverdracht naar de Verenigde Staten, heeft de Europese Commissie op 10 juli 2023 het nieuwe EU-US Data Privacy Framework (DPF) aangenomen. Dankzij het DPF is het een stuk makkelijker geworden voor Europese bedrijven en organisaties om persoonsgegevens van Europese burgers door te geven aan Amerikaanse bedrijven.

Wat is er ook al weer gebeurd?

Een korte opfrisser. Vanaf de jaren ‘90 konden persoonsgegevens doorgegeven worden naar de VS op basis van het Safe Harbor akkoord. In 2015 werd hier een streep door gezet door het Europese Hof van Justitie, omdat dit akkoord de privacy van Europeanen onvoldoende beschermde (Schrems I). Daaruit volgde na vele onderhandelingen een nieuwe juridische basis: het Privacy Shield. In de zomer van 2020 haalde het Europese Hof ook deze regeling onderuit, omdat het onvoldoende garanties voor gegevensbescherming bood (Schrems II). Sindsdien kon de doorgifte van persoonsgegevens naar de VS eigenlijk alleen via ‘Standard Contractual Clauses’ (SCC’s), samen met een zogeheten ‘Data Transfer Impact Assessment’ (DTIA). Hierbij moest je als organisatie ook aanvullende maatregelen treffen om het beschermingsniveau te waarborgen. Maar welke aanvullende maatregelen voldoende waren, was niet altijd even duidelijk. Er werd dus reikhalzend uitgekeken naar een nieuw adequaatheidsbesluit.

Het Data Privacy Framework

Begin 2022 sloten de EU en de VS al een politiek akkoord om een nieuw adequaatheidsbesluit op te zetten. Vervolgens werden via een ‘Executive Order’ aanpassingen doorgevoerd in het rechtsstelsel van de VS. Daarin zitten aanvullende waarborgen voor veilige datadoorgifte naar de VS. Deze aanpassingen hebben ervoor gezorgd dat de Amerikaanse inlichtingendiensten alleen toegang tot gegevens mogen hebben indien dit ‘noodzakelijk en proportioneel’ is voor de nationale veiligheid, en er een onafhankelijk en onpartijdig verhaalmechanisme is ingesteld voor klachten van Europese burgers. Betrokkenen kunnen hun klachten indienen bij hun nationale toezichthouder. Via de European Data Protection Board gaan de klachten naar de VS. Daar onderzoekt een ‘Civil Liberties Protection Officer’ de klachten. Is de betrokkene het niet eens met de uitkomst hiervan, dan kan er beroep aangetekend worden bij het ‘Data Protection Review Court’.

De Europese Commissie heeft volgend op deze aanpassingen het Data Privacy Framework aangenomen. Met dit nieuwe adequaatheidsbesluit geeft de Europese Commissie aan dat het beschermingsniveau van persoonsgegevens in de VS gelijkwaardig is aan dat van Europa. Het adequaatheidsbesluit is met de goedkeuring ervan op 10 juli gelijk in werking getreden. Het adequaatheidsbesluit wordt om de vier jaar door de Europese Commissie getoetst. De eerste evaluatie staat gepland voor volgend jaar.

Wat betekent het Data Privacy Framework voor Amerikaanse organisaties?

Gegevens kunnen pas met Amerikaanse bedrijven gedeeld worden, als die bedrijven zich bij het DPF hebben aangesloten en in het DPF-register staan. Amerikaanse organisaties kunnen dit doen via zelf-certificering. Let op: dat is dus anders dan bij andere adequaatheidsbesluiten, waar deze actieve deelname van organisaties niet vereist is. Amerikaanse organisaties moeten onder andere hun privacybeleid laten aansluiten bij het DPF, deze wijzigingen doorvoeren in hun privacyverklaring en dit publiekelijk bekend maken. Ook dienen zij een onafhankelijk verhaalmechanisme in te stellen. Vervolgens kunnen zij de aanvraag tot opname in het register indienen bij de ‘International Trade Administration’ (ITA) van de US Department of Commerce. De ITA controleert de naleving van het DPF, en neemt na akkoord de organisatie op in het register.

Amerikaanse bedrijven die zijn gecertificeerd onder het Privacy Shield worden automatisch overgezet naar het DPF-register, en moeten binnen drie maanden hun privacybeleid bijwerken en aansluiten bij het DPF. Anders vervalt hun inschrijving.

Meer informatie hierover is te vinden op de website van de ITA.

Hoe zit het met de andere doorgiftemechanismen?

Naast een adequaatheidsbesluit heb je ook nog onder andere de SCC’s en de BCR’s (voor gegevensverkeer tussen verschillende vestigingen binnen de eigen internationale organisatie). Wanneer een Amerikaanse organisatie aangesloten is bij het DPF, hoef je geen SCC’s of BCR’s meer overeen te komen. Je hoeft dus ook geen DTIA meer uit te voeren.

Is een Amerikaanse organisatie niet aangesloten bij het DPF, dan moet je gebruik maken van een ander doorgiftemechanisme, zoals de SCC’s. In dat geval moet je ook een DTIA uitvoeren. De waarborgen die de VS heeft doorgevoerd in hun rechtsstelsel gelden niet alleen voor het DPF: de waarborgen gelden voor alle gegevensdoorgiften naar de VS, onder welk doorgiftemechanisme dan ook. Dat betekent dat die waarborgen het uitvoeren van een DTIA zullen vergemakkelijken – en ook kan het daardoor zijn dat het niet meer vereist is om aanvullende maatregelen op de SCC’s in te voeren.

Wat betekent het Data Privacy Framework voor jou als organisatie?

Als je persoonsgegevens aan een Amerikaanse partij wil doorgeven, doorloop dan de volgende stappen.

Controleer of de Amerikaanse partij in het DPF-register staat;
Zo ja: dan kan je persoonsgegevens doorgeven naar deze partij zonder verdere voorwaarden (natuurlijk gelden de overige Avg-verplichtingen nog wel);
Staat de organisatie niet in het register, maak dan gebruik van een ander doorgiftemechanisme, zoals de SCC’s. Voer in dat geval ook een DTIA uit (en verwijs hierbij naar het besluit van de Europese Commissie dat het beschermingsniveau van persoonsgegevens in de VS gelijkwaardig is aan dat van Europa).

Tot slot

Het Europese Hof van Justitie heeft al twee keer eerder een soortgelijke constructie ongeldig verklaard. Er is ook ditmaal weer kritiek op het DPF. Onder andere vanuit het Europees Parlement en de European Data Protection Board. De kans is dus groot dat het Europese Hof in de toekomst moet beslissen over het DPF (met mogelijk een Schrems III tot gevolg). Een dergelijke uitspraak laat echter doorgaans enige jaren op zich wachten. Tot die tijd kunnen Europese organisaties zonder verdere voorwaarden persoonsgegevens blijven doorgeven aan Amerikaanse organisaties onder het DPF.

21 maart 2023

Webinar: ‘Avg in vogelvlucht: basisbegrippen en do’s en don’ts

AVG, PRIVACY, PRIVACY, PRIVACY, AVG, PRIVACY

Wil je meer weten over de verplichtingen uit de Algemene verordening gegevensbescherming (Avg)? Leren welke do’s en don’ts van belang zijn om te zorgen dat je organisatie Avg compliant is? Neem dan deel aan ons webinar op dinsdag 26 september 2023 en krijg inzichten en praktische handvatten voor jouw organisatie om te voldoen aan de verplichtingen van de Avg.

Jurist Inge Bremmer legt de basisbegrippen van de Avg uit, zoals het verschil tussen verwerker en verantwoordelijke. Aan de orde komen vragen als: Ben ik verwerker en/of verwerkingsverantwoordelijke? En moet ik als verwerker ook een register bijhouden? Moet ik een (sub)verwerkersovereenkomst hebben? Moet ik een DPO/functionaris gegevensbescherming hebben? Welke Avg-tools biedt NLdigital (Data Pro)?

Tijdens de webinar krijg je uitgebreid de mogelijkheid vragen te stellen.

Doelgroep

Deze webinar is bestemd voor iedereen die binnen zijn organisatie te maken krijgt met de Avg, maar nog weinig of geen basiskennis heeft of zijn basiskennis wil opfrissen. Het webinar kan gebruikt worden als ‘awareness’ training.

Deze webinar vindt plaats op dinsdag 26 september 2023 van 13.30 – 14.30 uur online via Teams.

Kosten

Het webinar is gratis voor leden. Niet-leden betalen € 75,- (excl. btw).

Meld je aan

14 maart 2023

DATA PRO: AP keurt SCOPE Europe goed als toezichthouder

AVG, PRIVACY, PRIVACY, PRIVACY, AVG, PRIVACY, PRIVACY, REGELGEVING

In 2017 heeft NLdigital samen met haar leden de Data Pro Code ontwikkeld: een concrete invulling van de eisen van de Avg. Deze gedragscode is in 2020 goedgekeurd door de Autoriteit Persoonsgegevens (AP), met als opschortende voorwaarde dat we een geaccrediteerd, onafhankelijk, toezichthoudend orgaan hebben. Onlangs liet de AP ons weten dat ze akkoord is met SCOPE Europe als toezichthouder voor de Data Pro gedragscode. De Data Pro Code is daarmee de eerste volledig goedgekeurde Avg-gedragscode in Nederland en de vijfde in Europa.

“We zijn heel blij met deze volgende stap voor onze Data Pro-gedragscode,” zegt Lotte de Bruijn, directeur van NLdigital. “Als vertegenwoordiger van de branche voelen we een verantwoordelijkheid om bedrijven te helpen om aan de Avg te voldoen. We geloven bovendien dat een gedragscode een goede manier is om transparantie en vertrouwen in de markt te stimuleren.”

Gabriela Mercuri, Managing Director van SCOPE Europe: “Deze tweede accreditatie als toezichthouder is een grote mijlpaal voor SCOPE Europe. De Data Pro Code is opnieuw een belangrijk initiatief dat laat zien dat de digitale sector zich committeert aan hoge standaarden voor dataprotectie. We zijn heel trots dat we in deze context kunnen bijdragen aan het cruciale streven om de privacy van Europese burgers te beschermen.”

Wil je meer weten over SCOPE Europe? Kijk dan op scope-europe.eu.

Wil je je met jouw bedrijf aansluiten bij de Data Pro Code? Neem dan contact met ons op.

De Data Pro Code is opgenomen in het overzicht van Europese Avg-gedragscodes van de European Data Protection Board.

Handige tool voor ontwikkelaars: GDPR Developer’s Guide

AVG, PRIVACY, PRIVACY, PRIVACY, AVG, PRIVACY, PRIVACY, REGELGEVING, AVG, PRIVACY

De CNIL (Franse Autoriteit Persoonsgegevens) heeft eerder een handige tool ontwikkeld met handvatten voor de naleving van de Avg-principes voor web- en applicatie ontwikkelaars. Deze GDPR Developer’s Guide biedt een richtlijn voor de belangrijkste Avg-principes en de verschillende aandachtspunten bij het ontwikkelen en implementeren van apps. Dus ontwikkel je websites en applicaties? Lees dan vooral verder.

Thema’s Developer’s Guide

Ontwikkel in overeenstemming met de Avg
Bekijk hier de zes stappen die helpen bij het ontwikkelen van privacy-vriendelijke apps en websites.
Identificeer persoonsgegevens
Bekijk hier voorbeelden van persoonlijke data en het verschil tussen anonimisering en pseudonimisering van persoonsgegevens, begrippen die je niet met elkaar moet verwarren.
Bereid je ontwikkeling voor
Houd al vanaf de ontwerpfase rekening met de principes van de bescherming van persoonsgegevens om de privacy te waarborgen.
Beveilig je ontwikkelomgeving
Want deze geeft toegang tot een grote hoeveelheid aan centrale gegevens.
Beheer je broncode
Gebruik een tool om de broncode te beheren, zoals een versiebeheersysteem, om de verschillende versies in de loop van de tijd bij te houden. Ongeacht de omvang van je project.
Maak een weloverwogen architectuurkeuze
De keuze van ondersteunende middelen zoals lokale opslag, server, cloud is hierbij een cruciale.
Beveilig je websites, applicaties en servers
Websites, applicaties en servers moeten ‘state-of-the-art’ beveiligingsregels bevatten.
Minimaliseer data verzameling
Verzamel alleen persoonsgegevens die relevant en noodzakelijk zijn in relatie tot de doeleinden waarvoor ze worden verwerkt, zoals gedefinieerd op het moment van verzamelen.
Beheer gebruikersprofielen
Definieer de verschillende toegangs- en autorisatierollen, zodat personen alleen toegang hebben tot de gegevens als dit echt nodig is.
Beheer je bibliotheken en software development kit
Gebruik je softwarecomponenten die door derden zijn geschreven? Ze geven je tips voor het integreren van deze tools, terwijl je zelf de controle houdt.
Zorg voor kwaliteit van de code en bijbehorende documentatie
Gebruik goede technieken voor het schrijven van codes. De leesbaarheid hiervan vermindert onderhoud en bugfixes.
Test je applicaties
Controleer de juiste werking en garandeer goede gebruikservaring en spoor hiermee fouten op voordat het in productie gaat. Dit verkleint risico op inbreuken op persoonsgegevens.
Informeer gebruikers
Alle informatie of communicatie met betrekking tot de verwerking van persoonsgegevens moet beknopt, transparant, begrijpelijk en gemakkelijk toegankelijk zijn.
Bereid je voor op uitoefenen van rechten
Personen van wie je de gegevens verwerkt, hebben recht op inzage, etc. Houdt rekening met deze rechten en geef hen de middelen om hun rechten uit te oefenen. Hoe kunnen ze contact opnemen en hoe behandel je bijvoorbeeld verzoek tot inzage? Dit kun je van tevoren vastleggen.
Definieer een bewaartermijn voor gegevens
Persoonsgegevens kunnen niet voor onbepaalde tijd worden bewaard. Dit moet worden bepaald voor de doeleinden van de verwerking. Zodra het doel is bereikt, moeten de gegevens gearchiveerd, verwijderd of anoniem gemaakt worden.
Houdt bij technische uitvoering rekening met wettelijke basis
De verwerking van persoonsgegevens moet gebaseerd zijn op een van de ‘rechtsgrondslagen’ genoemd in artikel 6 van de Avg.
Gebruik analytics op je websites en applicaties
Informeer gebruikers over de cookies en vraag goedkeuring hiervoor.

Meer informatie

Wil je hier meer over lezen? Er staan uitgebreide aandachtspunten in de guide. Je kunt deze lezen op de site van CNIL. Heb je vragen over de toepassing van de Avg? Neem dan contact op met één van onze juristen.

31 oktober 2022

Column Jelmer Schreuder: ‘Het sprookjesdier’

AVG, PRIVACY, PRIVACY, PRIVACY, AVG, PRIVACY, PRIVACY, REGELGEVING, AVG, PRIVACY, CYBERSECURITY, PRIVACY, TELECOM

Het blijft een diep gekoesterd geloof op het ministerie van Justitie en Veiligheid: de veilig breekbare encryptie. Inderdaad: een contradictio in terminis. Minister na minister op dit ministerie verkondigde encryptie belangrijk te vinden, maar wilde het ook op een ‘veilige’ manier kraken. De huidige minister sprak in een Kamerdebat over dit idee als een metaforische eenhoorn, en koos daarmee onbedoeld de perfecte beschrijving van deze fabel.

De opsporingsdiensten zijn de afgelopen eeuw verslaafd geraakt aan de taps via telecombedrijven en willen die door kunnen zetten op het internet. Encryptie is voor hen daarbij een obstakel. Wat ze tijdens het wensdenken over breekbare encryptie over het hoofd zien is dat de dreiging fundamenteel anders is. Het aantal potentiële aanvallers op het internet is meerdere orden van grootte groter dan in het verleden. Niet meer beperkt door fysieke barrières kan een aanval van over de hele wereld komen.

De beste beveiliging tegen een aanval is niet aangesloten zijn op het internet, maar dat is meestal onwerkbaar. De optie die daar direct op volgt is end-to-end encryptie: waarbij ontsleuteling alleen gedaan kan worden door de zender en ontvanger. Het Nationaal Cyber Security Centrum (NSCS is onderdeel van hetzelfde ministerie, maar dan wél met begrip van IT) promoot het Zero Trust principe.

Dat leggen ze als volgt uit: “Hierbij wordt het concept van een vertrouwde netwerkpositie uit de architectuur verwijderd. Het is gebaseerd op de erkenning dat traditionele beveiligingsmodellen werken op de verouderde veronderstelling dat alles aan de binnenkant van het netwerk van een organisatie kan worden vertrouwd. (…) Handhaaf strikte toegangscontrole op een need-to-know-basis.”

Met dat laatste komen we bij de kern. Heeft de overheid een ‘need-to-know’ van alle communicatie en informatie die verspreid wordt? Hierover boog de Cyber Security Raad zich, een adviesraad met vertegenwoordiging vanuit overheid, wetenschap en bedrijfsleven. Zij concludeerden: “Het optimaliseren van hackactiviteiten en het intensiever gebruikmaken van bedrijfsvoeringgegevens zijn (…) reële alternatieven voor rechtmatige toegang tot end-to-end versleutelde communicatie.” Reële alternatieven, geen geloof in eenhoorns noodzakelijk.

Maar is het risico van één oppermachtige sleutelbewaarder überhaupt werkbaar op het internet? Volgens de principes die het NCSC promoot niet en zij zijn binnen de overheid de hoogste cybersecurity-autoriteit.

Gelukkig werden we voor de zomer aangenaam verrast door een ruime Kamermeerderheid die het kabinet dwong de realiteit te erkennen en voor sterke encryptie te gaan staan. Het ministerie had geen andere keuze meer dan dit te accepteren. Is deze discussie dan eindelijk klaar? Helaas niet, want de nieuwste minister sprak wederom de hoop uit op het bestaan van de eenhoorn.

En zo blijft die eenhoorn rondwaren op het ministerie, in plaats van waar die thuishoort: in het rijk der fabelen.

Deze column verscheen in oktober 2022 in ICT Magazine.

8 maart 2022

Webinar DDMA: Data delen buiten de EU

AVG, PRIVACY, PRIVACY, PRIVACY, AVG, PRIVACY, PRIVACY, REGELGEVING, AVG, PRIVACY, CYBERSECURITY, PRIVACY, TELECOM, PRIVACY

Op donderdag 10 maart van 16.00 – 17.00 uur organiseert DDMA een webinar over het delen van data buiten de EU. Ze praten je in een uur bij over Schrems-II, de huidige stand van zaken en hoe je nu verder kunt in de praktijk.

Bijna twee jaar lang was er relatief weinig nieuws over de directe impact van de Schrems-II uitspraak. In 2022 lijken toezichthouders toch scherper te kijken naar het delen van data buiten de EU. Kun je Google Analytics nog gebruiken? En hoe zit dat met andere marketingtools buiten de Europese grenzen? Op 10 maart praten ze je bij over de huidige stand van zaken en hoe jij nu verder kunt in de praktijk. Inclusief ruimte voor vragen.

Over DDMA

DDMA is de branchevereniging voor datagedreven marketing, sales en service. We werken samen met DDMA om kennis te delen met onze leden.

Aanmelden

Je vindt hier meer informatie over deze webinar en een formulier om aan te melden. Als lid van NLdigital kun je met korting deelnemen. Vink hiervoor bij aanmelding aan dat je lid bent van NLdigital en gebruik de kortingscode: NLDIGITALXDDMA2022.

Datalek: wat is het en hoe kun je het voorkomen?

AVG, PRIVACY, PRIVACY, PRIVACY, AVG, PRIVACY, PRIVACY, REGELGEVING, AVG, PRIVACY, CYBERSECURITY, PRIVACY, TELECOM, PRIVACY, PRIVACY

Heel vervelend, je hebt een datalek en nu? Onze juridisch adviseur Henk Bethlehem vertelt je welke acties je moet nemen in het geval van een datalek en hoe je het kunt voorkomen. We hebben veelgestelde vragen en antwoorden over datalekken voor je op een rij gezet:

Publicatiedatum: 8 maart 2022

Wat is een datalek?

Bij een datalek gaat het om de ongeoorloofde of onbedoelde toegang tot persoonsgegevens. En ook om het ongewenst vernietigen, verliezen, wijzigen en verstrekken van persoonsgegevens. De term komt niet voor in de Avg. Daar gaat het over een ‘inbreuk in verband met persoonsgegevens’.

Wat zijn voorbeelden van datalekken?

Voorbeeld van datalekken zijn:

Je bent een USB-stick verloren met daarop niet-versleutelde gegevens.
Een ransomware-aanval kan ook een datalek zijn als je niet meer bij de gegevens kunt, of als een ander ze heeft buitgemaakt.
Je laptop is gestolen met daarop niet versleutelde gegevens.

Welke acties kan ik nemen in het geval van een datalek?

Is er sprake van een datalek, zorg dan allereerst voor overzicht. Analyseer de situatie en kijk wat je kunt doen om verdere schade te voorkomen. Kijk bijvoorbeeld wie toegang tot de informatie heeft gehad. En of je gegevens op afstand kunt wissen. Ga vervolgens na of je het datalek bij de Autoriteit Persoonsgegevens (AP) en eventueel de betrokkene moet melden. Dat kun je doen met behulp van deze Guidelines en/of de informatie op de website van de AP.

Moet ik elk datalek melden? En hoeveel tijd heb ik om dat te doen?

Je hoeft niet elk datalek te melden bij de AP. Alleen als het datalek leidt tot een risico voor rechten en vrijheden van betrokkenen. Je hebt daar 72 uur voor. Als verwerker hoef je trouwens nooit de melding aan de AP te doen. Dat is aan je klant (de verwerkingsverantwoordelijke). Is het niet helemaal duidelijk of je verwerker of verwerkingsverantwoordelijke bent? Ga dit na in onze quickscan. Ben je verwerker en heb je een datalek? Dan is het wel belangrijk dat je je klant op de hoogte stelt van dit lek. Partijen zijn verplicht om hierover afspraken te maken in een verwerkersovereenkomst, dus kijk dat goed na. Heb je nog geen verwerkersovereenkomst? Lees er hier meer over en/of bestel of download onze voorbeeld verwerkersovereenkomst.

Hoe kan ik de risico’s van een datalek bepalen?

Bepaal het risico door de volgende zaken na te gaan:

de aard van de inbreuk
de aard, gevoeligheid en omvang van de persoonsgegevens
de ernst van de gevolgen voor personen
het aantal getroffen personen

Wie meldt een datalek bij de AP (en eventueel de betrokkene)?

Dat doet de verwerkingsverantwoordelijke zelf. Waarbij de verwerker ondersteuning kan bieden door informatie aan te leveren, als die bekend is. Vandaar ook de 24-uurs of 48-uurs termijn die partijen in een verwerkersovereenkomst afspreken.

Hoe kan ik een datalek voorkomen?

Een datalek is niet altijd te voorkomen. Maar wat je wel in de hand hebt, is dat je zorgt voor een goede informatiebeveiliging, met toegangscontrole en encryptie. Ook kun je door middel van dataminimalisatie een datalek voorkomen. Wat je niet hebt verzameld, kun je immers ook niet onbedoeld vrijgeven. En dat geldt ook voor het opschonen van je systemen. Wat je niet meer nodig hebt, kun je verwijderen. Het opleiden van medewerkers is ook van belang. Als men herkent dat ze niet op bepaalde e-mails moeten klikken of reageren, kun je soms een datalek voorkomen. En tot slot kun je er ook voor zorgen dat je voorbereid bent. Bijvoorbeeld door iemand op afstand beschikbaar te hebben die een wachtwoord of apparaat kan resetten.

Moet ik datalekken ook bijhouden in een register?

Jazeker. Zowel datalekken die je meldt, als die je niet meldt, moet je bijhouden in een register voor datalekken. Daarin neem je op wat er is gebeurd, wanneer dat is gebeurd, op welke datum en hoe laat je dat hebt ontdekt, om wat voor datalek het gaat, hoeveel personen het betreft, wat het geschatte gevolg is voor de betrokkene, of je het datalek binnen 72 uur hebt gemeld bij de AP en de betrokkene, en zo niet, waarom niet. Tot slot moet je nog noemen welke maatregelen je hebt genomen om datalekken te voorkomen.

Moet ik een protocol hebben voor het melden van datalekken?

Jazeker. Dat is van belang om te hebben, zodat je personeel weet wat ze moeten doen in het geval dat er zich een incident voordoet.

Heeft NLdigital ook een datalekprotocol voor mij?

We helpen onze leden met handige documenten, zoals een voorbeeld datalekkenprotocol. Je vindt dit protocol in het ledenportal.

17 februari 2022

Export persoonsgegevens buiten Europa weer op losse schroeven

AVG, PRIVACY, PRIVACY, PRIVACY, AVG, PRIVACY, PRIVACY, REGELGEVING, AVG, PRIVACY, CYBERSECURITY, PRIVACY, TELECOM, PRIVACY, PRIVACY, PRIVACY

Na het vaststellen van nieuwe Standard Contractual Clauses (SCC’s) door de Europese Commissie in juni 2021, leek het erop dat uitwisseling van persoonsgegevens met de VS weer mogelijk was. Maar een recente uitspraak van de Oostenrijkse privacytoezichthouder (de Datenschützbehörde, DSB) gooit roet in het eten. Het politieke spel tussen de EU en de VS over bescherming van privacy is daarmee weer terug op de agenda. Intussen is het voor bedrijven die gebruik maken van buitenlandse IT-diensten onduidelijk waar ze aan toe zijn.

Hoe zat het ook alweer?

Dankzij de Avg gelden in heel Europa dezelfde regels voor het beschermen van persoonsgegevens. Verwerk je gegevens buiten de EU, dan moet je aanvullende afspraken maken. Om dat makkelijker te maken had de EU met de Verenigde Staten een verdrag afgesloten: Privacy Shield. Maar in 2020 deed het Hof van Justitie van de Europese Unie een uitspraak met grote gevolgen. De uitspraak staat bekend als de Schrems II-zaak, waarin privacy-activist Max Schrems (opnieuw) klaagde over doorgifte van zijn persoonsgegevens naar de Verenigde Staten.

Als gevolg van deze uitspraak is onder andere Privacy Shield per direct ongeldig verklaard. Dit legde een bom onder het internationale dataverkeer en de onzekerheid nam toe. Om uit de impasse te komen, die met de Schrems II-zaak is ontstaan, publiceerde de European Data Protection Board (EDPB) aanbevelingen. De EDPB is een onafhankelijk Europees orgaan dat bestaat uit vertegenwoordigers van nationale toezichthouders, zoals de Autoriteit Persoonsgegevens. Daarnaast kwam de Europese Commissie met de lang verwachtte update van de Standard Contractual Clauses (SCC).

Door SCC’s te sluiten met de partij buiten de EU (de VS of een ander ‘derde land’) waarmee persoonsgegevens worden uitgewisseld, zou deze uitwisseling weer rechtmatig mogelijk zijn. Het resultaat was natuurlijk dat iedereen als een bezetene SCC’s ging sluiten met buitenlandse partijen. Administratief een nachtmerrie, maar noodzakelijk om nog gegevens te kunnen uitwisselen.

Addertje onder het gras

De kern van de Schrems II-zaak is dat opsporingsdiensten in de VS toegang kunnen krijgen tot persoonsgegevens van Europeanen op servers in de VS. Maar in de VS hebben Europeanen niet dezelfde mogelijkheden om bij misstanden naar de Amerikaanse rechter te stappen. De rechtsbescherming van persoonsgegevens in de VS, is volgens Europa onvoldoende gegarandeerd. Het gesneuvelde Privacy Shield moest deze extra bescherming wel bieden, maar de hoogste Europese rechter vond dus van niet. Als oplossing gaf de EDPB aan dat je naast SCC’s ook een zogenaamd ‘Data Transfer Impact Assessment’ (DTIA) moet uitvoeren. Elk bedrijf dat gegevens exporteert naar een derde land moet in een DTIA onderzoeken of de privacy van betrokkenen voldoende is beschermd, gezien het rechtsstelsel, de relevante wet- en regelgeving en de mate van inmenging van de overheid in het land waarnaar de persoonsgegevens worden geëxporteerd.

Veel bedrijven zijn dan ook sinds Schrems II met juristen aan de slag gegaan om DTIA’s uit te voeren. Als uit een DTIA volgt dat de rechtsbescherming onvoldoende is, dan moet je passende aanvullende technische en organisatorische maatregelen nemen (zodat de gegevens wel voldoende beschermd zijn), of niet aan de uitwisseling beginnen. Hoe zo’n assessment precies moet worden uitgevoerd en welke aanvullende maatregelen dan afdoende zijn, is nog steeds niet duidelijk. Veel bedrijven staan dus voor een praktisch onmogelijke opgave.

Uitspraak Oostenrijkse toezichthouder inzake Google Analytics

Het bedrijf van meneer Schrems (Non Of Your Business) heeft na de Schrems II-uitspraak 101 klachten ingediend bij diverse toezichthouders in Europa. De Oostenrijkse DSB heeft in december op één van deze klachten beslist. De klacht ging over een lokale Oostenrijkse website die Google Analytics gebruikt. Bij dat gebruik worden er persoonsgegevens, namelijk IP-adressen en advertentie-ID’s naar de VS gestuurd om surfgedrag te analyseren. Ondanks dat de Oostenrijkse websitehouder en Google Analytics SCC’s sloten en aanvullende beveiligingsmaatregelen namen (waaronder encryptie van data in rust, pseudonimiseringsmaatregelen en een strenge interne procedure om na te gaan of gegevens aan opsporingsdiensten verstrekt moesten worden) is dit niet voldoende volgens de Oostenrijkse privacytoezichthouder (DSB). Volgens de DSB zijn deze maatregelen niet effectief genoeg om rechtsbescherming zeker te stellen. Hierdoor is de data export niet toegestaan.

De Nederlandse Autoriteit Persoonsgegevens (AP), waar ook twee klachten liggen, heeft inmiddels gewaarschuwd dat zij wel eens tot een vergelijkbare uitspraak zou kunnen komen. Ook de CNIL (Franse privacy toezichthouder) heeft op 10 februari 2022 een uitspraak gedaan, vergelijkbaar met de DSB.

Hoe nu verder?

Deze uitspraak zorgt opnieuw voor onduidelijkheid. Over de voorwaarden, maar ook welke technische en organisatorische maatregelen je moet nemen, zodat de export van persoonsgegevens naar de VS wel is toegestaan. De meest zekere optie op dit moment: zorg ervoor dat gegevens op servers in Europa staan en niet worden geëxporteerd. Of vraag als bedrijf aan ieder individu specifiek toestemming voor export van gegevens (je krijgt dan een soort ‘dubbele cookietoestemming’). Wellicht kunnen er ook nog aanvullende maatregelen getroffen worden die wel voldoende zijn voor de Europese toezichthouders. Maar welke dat zijn is niet duidelijk. Dit alles maakt vrij verkeer van gegevens er natuurlijk niet makkelijker op. Het beperkt Europese bedrijven in hun gebruik van buitenlandse diensten.

Voor een meer structurele oplossing voor álle bedrijven vragen wij als branchevereniging al sinds oktober 2020 aandacht voor dit probleem in de politiek. Uiteindelijk is het aan de EU en de VS om dit conflict van wetgeving op te lossen. Dat kan door nieuwe afspraken te maken over hoe we de persoonlijke data van elkaars burgers in de digitale wereld respecteren. Uiteraard houden we je via deze website op de hoogte van de ontwikkelingen.

Heb je vragen?

Elke donderdag van 10.00 – 11.00 uur is er een digitaal juridisch spreekuur voor leden. Hierin beantwoordt onze jurist Henk Bethlehem vragen van leden.