Publicaties

Publicaties
Array
(
    [0] => WP_Post Object
        (
            [ID] => 24042
            [post_author] => 28
            [post_date] => 2019-04-12 11:11:55
            [post_date_gmt] => 2019-04-12 09:11:55
            [post_content] => Maastricht Airport, 11 april 2019 – Vandaag werd bekend dat Facebook de internetactiviteiten van haar gebruikers blijft volgen, ook nadat ze hun account hebben gedeactiveerd. Deactiveren is de eerste stap naar definitieve verwijdering van een account. Facebook zelf zegt hierover in haar gegevensbeleid dat zij de privacy bij deactivering van een account 'zal beheren' maar hoe zij dit doet blijkt niet uit de tekst. In werkelijkheid bedoelt Facebook daarmee, dat zij het surfgedrag van de gebruiker blijft volgen om hem gepersonaliseerde advertenties te kunnen laten zien voor het geval hij mocht besluiten zijn account weer te reactiveren. Het begrip 'deactiveren' is daarmee feitelijk misleidend: weliswaar beëindigt de gebruiker zijn zichtbare activiteiten, maar Facebook gaat met haar eigen onzichtbare activiteiten vrolijk verder. De enige manier om hier een einde aan te maken, is definitieve verwijdering van de account (#deletefacebook).

Deze versluierde praktijk van Facebook is de zoveelste reden om Facebook te mijden wanneer uw privacy u lief is. Weliswaar vermeldt Facebook zelf prominent op haar company site dat zij "takes data protection and people's privacy very seriously" en  "committed" is "to continuing to comply with data protection laws", maar het zou plezierig zijn als zij daar eindelijk eens een serieus begin mee zou maken. Gelukkig helpen diverse nationale privacywaakhonden daar een handje bij: alleen al de Ierse privacyautoriteit maakte vorige maand in haar jaarverslag bekend dat zij een 10-tal actieve onderzoeken naar gegevensverwerkingspraktijken van Facebook heeft lopen.

Eén daarvan heeft als specifiek onderwerp de manier waarop Facebook met persoonsgegevens omgaat bij haar 'targeted advertising' en 'behavioural analysis'. Bezien vanuit het perspectief van de Algemene Verordening Gegevensbescherming valt daar veel over te zeggen. Facebook informeert de gebruikers niet duidelijk genoeg over welke persoonsgegevens zij op welk moment verzamelt, laat staan met welke middelen. Ook blijven de verwerkingsdoeleinden schimmig. Net zo duister is voor de gebruiker met welke partijen Facebook de verzamelde gegevens vervolgens deelt. Die worden alleen maar in algemene termen aangeduid. Kortom, het in de AVG centraal staande transparantiebeginsel als voorwaarde voor rechtmatige verwerking van persoonsgegevens zou door Facebook nog wel iets serieuzer genomen mogen worden. En zo niet, dan zal het klachten, onderzoeken en sancties blijven regenen.

Meer informatie?

Neem dan contact op met ons team Privacy. Zij zijn u graag van dienst.

 

April 2019
            [post_title] => De lange arm van Facebook
            [post_excerpt] => 
            [post_status] => publish
            [comment_status] => closed
            [ping_status] => closed
            [post_password] => 
            [post_name] => de-lange-arm-van-facebook
            [to_ping] => 
            [pinged] => 
            [post_modified] => 2019-04-12 11:15:03
            [post_modified_gmt] => 2019-04-12 09:15:03
            [post_content_filtered] => 
            [post_parent] => 0
            [guid] => https://www.boelszanders.nl/?post_type=publication&p=24042
            [menu_order] => 0
            [post_type] => publication
            [post_mime_type] => 
            [comment_count] => 0
            [filter] => raw
        )

    [1] => WP_Post Object
        (
            [ID] => 24031
            [post_author] => 2
            [post_date] => 2019-04-04 09:00:09
            [post_date_gmt] => 2019-04-04 07:00:09
            [post_content] => Steeds meer gemeenten maken gebruik van kentekenparkeren. In plaats van het verkrijgen van een papieren bon bij een parkeerautomaat, voert de parkeerder zijn of haar kenteken in bij de betaalautomaat of in een app. Gemeenten kunnen door middel van scanauto's eenvoudig controleren of een parkeerder heeft betaald. Het Gerechtshof Amsterdam heeft op 7 februari 2019 geoordeeld dat kentekenparkeren geen inbreuk vormt op de privacy van automobilisten.

Belanghebbende had een procedure aangespannen tegen de gemeente Amsterdam naar aanleiding van een parkeerboete. Naar eigen zeggen had belanghebbende wel willen betalen, maar was dit niet mogelijk zonder de registratie van privégegevens. Volgens belanghebbende heeft een burger op grond van artikel 8 EVRM het recht zo weinig mogelijk sporen achter te laten om zijn privéleven te beschermen. Daarnaast stelt belanghebbende dat veel onduidelijkheid bestaat over de opslag en verwerking van de gegevens bij het systeem van kentekenparkeren. Het is niet duidelijk of de gegevens mogelijk voor andere doeleinden worden gebruikt. Bovendien ontbreekt een wettelijke grondslag die een rechtvaardiging voor de inbreuk op de privacy geeft, aldus belanghebbende.

De rechtbank heeft in eerste aanleg geoordeeld dat kentekenparkeren geen inbreuk vormt op de privacy van automobilisten. Belanghebbende ging in hoger beroep, maar werd wederom in het ongelijk gesteld. Volgens het Hof wordt artikel 8 EVRM geschonden indien sprake is van een inmenging door de overheid in het privéleven van een burger, waarvoor geen rechtvaardingsgrond bestaat. Voor de beoordeling of sprake is van een inmenging is de wijze van verzamelen, vastleggen, bewerken en bewaren van gegevens van belang. Daarnaast speelt de redelijke verwachting die de burger in omstandigheden van het geval mocht hebben ten aanzien van zijn privacy een rol. Het Hof kwam evenals de rechtbank tot de conclusie dat het invoeren van het kenteken voor de aanschaf van een parkeerrecht weliswaar het privéleven raakt, maar dat door de korte en beperkte bewaarduur en het beperkte gebruik geen sprake is van een inmenging in het privéleven. Daarnaast worden de redelijke verwachtingen van belanghebbende niet geschaad. Belanghebbende kon immers verwachten dat controle zou plaatsvinden en dat bij en ten behoeve van die controle het kenteken van de auto zou worden geregistreerd. Het toegepaste systeem van kentekenparkeren is derhalve niet in strijd met artikel 8 EVRM en levert geen schending van de privacy van automobilisten op.

Meer informatie
Heeft u vragen of wilt u meer informatie over dit onderwerp ontvangen? Neem dan contact op met een van onze advocaten van team Privacy. Zij zijn u graag van dienst.

April 2019
            [post_title] => Kentekenparkeren: schending van de privacy?
            [post_excerpt] => 
            [post_status] => publish
            [comment_status] => closed
            [ping_status] => closed
            [post_password] => 
            [post_name] => kentekenparkeren-schending-van-de-privacy
            [to_ping] => 
            [pinged] => 
            [post_modified] => 2019-04-11 13:11:17
            [post_modified_gmt] => 2019-04-11 11:11:17
            [post_content_filtered] => 
            [post_parent] => 0
            [guid] => https://www.boelszanders.nl/?post_type=publication&p=24031
            [menu_order] => 0
            [post_type] => publication
            [post_mime_type] => 
            [comment_count] => 0
            [filter] => raw
        )

    [2] => WP_Post Object
        (
            [ID] => 23624
            [post_author] => 2
            [post_date] => 2019-02-20 13:38:10
            [post_date_gmt] => 2019-02-20 12:38:10
            [post_content] => Binnen de Europese Unie ("EU") geldt de Algemene Verordening Gegevensbescherming ("AVG"). Indien een organisatie die binnen de EU is gevestigd, persoonsgegevens aan een ander land binnen de EU wil doorgeven dient deze zich aan de AVG te houden. Er gelden geen aanvullende regels. Voor het doorgeven van persoonsgegevens buiten de EU (aan een derde land) stelt de AVG extra voorwaarden.

Op 30 maart 2019 treedt het Verenigd Koninkrijk ("VK") uit de Europese Economische Ruimte ("EER")[1]. Mochten de EER en het VK niet tot een overeenkomst ("no-dealbrexit") komen waaronder het VK de EER verlaat, dan wordt het VK een derde land onder de AVG.

De AVG stelt dat doorgifte van persoonsgegevens naar een derde land alleen mag als het land het door de AVG geboden beschermingsniveau niet ondermijnt. Er dient sprake te zijn van een adequaat niveau van gegevensbescherming. Landen die een met de AVG vergelijkbaar niveau van gegevensbescherming bieden in hun nationale wetgeving worden geacht een passend niveau van gegevensbescherming te bieden. De Europese Commissie stelt vast of dit het geval is en neemt dan een zogeheten "adequaatheidsbeslissing". Indien een dergelijke beslissing is genomen hoeven er geen aanvullende waarborgen voor doorgifte van persoonsgegevens naar derde landen worden getroffen.

Tot het moment het VK de EU verlaat zal het VK een adequaat beschermingsniveau bieden. Op het moment dat het VK de EU daadwerkelijk verlaat, zullen er aanvullende waarborgen moeten worden getroffen zolang de EC nog geen adequaatheidsbeslissing heeft genomen. Organisaties vragen zich af hoe met een no-dealbrexit en de AVG om te gaan. Daarom hebben de Europese toezichthouders (waaronder de Autoriteit Persoonsgegevens) op 12 februari een instructie voor doorgifte van persoonsgegevens naar het VK bij een no-dealbrexit gepubliceerd. Deze instructie vindt u hier.

De instructie
Uit de instructie volgen vijf stappen die een organisatie moet zetten om zich voor te bereiden op een no-dealbrexit. Deze stappen zijn:
  1. Vaststellen bij welke verwerkingsactiviteiten er persoonsgegevens aan het VK worden doorgegeven;
  2. Bepalen welk instrument voor de doorgifte van persoonsgegevens in uw situatie van toepassing is (zie hieronder);
  3. Ervoor zorgen dat het gekozen instrument voor de doorgifte van persoonsgegevens op 30 maart 2019 klaar is voor gebruik;
  4. In uw interne documenten aangeven dat er persoonsgegevens aan het VK worden doorgegeven;
  5. Uw privacyverklaring aanpassen om de lezers van uw situatie op de hoogte te stellen.
Ten aanzien van instrumenten (2) kan worden gedacht aan het maken van afspraken met de partij in het VK aan wie persoonsgegevens worden doorgegeven. Bijvoorbeeld over het gebruik maken van standaardbepalingen voor gegevensbescherming die door de EC zijn goedgekeurd. Er kan ook gebruik worden gemaakt van bindende bedrijfsvoorschriften. Onder bindende bedrijfsvoorschriften wordt verstaan het beleid dat een groep ondernemingen hanteert voor de bescherming van persoonsgegevens. Met dit beleid tracht de groep passende waarborgen te bieden voor de doorgifte van persoonsgegevens binnen de groep. Zowel binnen als buiten de EER. Daarnaast kan gebruik worden gemaakt van een gedragscode of certificeringsmechanisme die waarborgen bieden voor de doorgifte van persoonsgegevens. De gedragscode of het certificeringsmechanisme dient dan bindende en afdwingbare toezeggingen te bevatten van de organisatie in het derde land die in het belang van de natuurlijk persoon zijn. De hoofdregel is aldus dat passende waarborgen moeten worden getroffen voor doorgifte van persoonsgegevens naar derde landen. Of, dat de gegevens op basis van een adequaatheidsbesluit worden doorgegeven. Onder omstandigheden is een afwijking toegestaan. Wat toegestane afwijkingen zijn vindt u hier. Publieke autoriteiten kunnen overwegen om mechanismen te gebruiken die volgens de AVG beter bij hun omstandigheden passen. Een optie is om daarvoor een juridisch bindend en afdwingbaar instrument te gebruiken, zoals een overeenkomst. Of, een administratieve regelingen die - na advies van de EDPB - goed is gekeurd door de bevoegde nationale toezichthoudende autoriteit. Meer informatie Wilt u meer informatie ontvangen over het doorgeven van persoonsgegevens aan de VK na de Brexit? Neem dan contact op met team Privacy, zij zijn u graag van dienst. [1] Bij de Europese Economische Ruimte (EER) horen alle EU-landen en Liechtenstein, Noorwegen en IJsland. [post_title] => Instructie voor doorgifte persoonsgegevens onder de AVG in het geval van een no-dealbrexit [post_excerpt] => [post_status] => publish [comment_status] => closed [ping_status] => closed [post_password] => [post_name] => instructie-voor-doorgifte-persoonsgegevens-onder-de-avg-in-het-geval-van-een-no-dealbrexit [to_ping] => [pinged] => [post_modified] => 2019-02-20 13:38:10 [post_modified_gmt] => 2019-02-20 12:38:10 [post_content_filtered] => [post_parent] => 0 [guid] => https://www.boelszanders.nl/?post_type=publication&p=23624 [menu_order] => 0 [post_type] => publication [post_mime_type] => [comment_count] => 0 [filter] => raw ) [3] => WP_Post Object ( [ID] => 22836 [post_author] => 2 [post_date] => 2019-01-17 12:13:18 [post_date_gmt] => 2019-01-17 11:13:18 [post_content] => Wat houdt screening van personeel in? Screening houdt in dat u als (toekomstig) werkgever informatie opvraagt over een sollicitant of werknemer om zo een inschatting te maken van zijn of haar integriteit en betrouwbaarheid. Het screenen van personeel houdt in dat opgegeven referenties worden nagegaan, cv's worden gecheckt, een zwarte lijst wordt geraadpleegd en al dan niet wettelijk verplicht een VOG wordt opgevraagd. De vraag is of dit mag onder de AVG. Allereerst: wanneer is het raadzaam om een (toekomstige) werknemer te screenen? Het is raadzaam om werknemers bij indiensttreding te screenen als de werknemers met gevoelige data of kwetsbare groepen in aanmerking komen waardoor hun integriteit en betrouwbaarheid zeer belangrijk is. Welke voorwaarden stelt de AVG aan screening? Ook na invoering van de AVG is het screenen van personeel toegestaan. De AVG stelt evenwel een aantal eisen aan het screenen van personeel en kent een aantal nieuwe begrippen. Zoals: (bijzondere) persoonsgegevens, gerechtvaardigd belang, noodzakelijkheid, informatieplicht, doel, bewaartermijnen, strafrechtelijke gegevens en DPIA. Dit zijn de factoren en eisen waar u als werkgever bij het screenen van personeel rekening mee moet houden. Wat dit inhoudt zal onderstaand kort worden uiteengezet. Persoonsgegevens Bij het screenen van personeel is de AVG van toepassing. Er zullen namelijk persoonsgegevens worden verwerkt. De AVG beschrijft een persoonsgegeven als alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. De AVG onderscheidt van de gewone persoonsgegevens nog bijzondere persoonsgegevens. Bijvoorbeeld gegevens over de gezondheid. Voor het verwerken van bijzondere persoonsgegevens gelden aparte regels. Voorop staat dat er voor het verwerken van (bijzondere) persoonsgegevens een grondslag moet zijn. Gerechtvaardigd belang De grondslag voor het screenen van personeel is het gerechtvaardigd belang. U, als werkgever, moet een concreet gerechtvaardigd belang hebben bij het screenen van personeel. Voor de invulling van het gerechtvaardigde belang dient een belangenafweging plaats te vinden tussen het belang van u als werkgever bij het screenen en de belangen van de (toekomstig) werknemer bij het respecteren van de privacy. Er is sprake van een gerechtvaardigd belang indien het belang van u als werkgever zwaarder weegt dan het privacybelang van de werknemer. Daarvan is sprake indien het een functie betreft waarbij met gevoelige data wordt gewerkt of met bedrijfsgeheime informatie. Toestemming van de (toekomstig) werknemer is geen grond voor het screenen van personeel. De AVG eist namelijk dat toestemming in vrijheid moet zijn gegeven om rechtsgeldig te zijn. Een (toekomstig) werknemer staat in een afhankelijke positie ten opzichte van u als (toekomstig) werkgever. De toestemming wordt dan niet geacht in vrijheid te kunnen zijn gegeven. Noodzakelijk Het screenen van personeel moet noodzakelijk zijn. Dat betekent dat het belang dat met screening wordt nagestreefd niet met een minder ingrijpend middel dan het screenen van personeel kan worden bereikt. Informatieplicht Als werkgever dient u verder aan de informatieplicht te voldoen. Dat betekent dat de (toekomstig) werknemer vooraf wordt geïnformeerd over het feit dat een screening wordt uitgevoerd en achteraf wat de resultaten zijn. Doel en bewaartermijn De gegevens die uit de screening volgen mogen niet voor een ander doel worden gebruikt dan waarvoor zij zijn opgevraagd. De gegevens die uit de screening voortvloeien moeten toereikend zijn én u mag niet meer gegevens verzamelen dan nodig. De gegevens mogen ook niet langer worden bewaard dan noodzakelijk voor het doel is. Bovendien moeten de gegevens goed worden beveiligd. Bijzondere persoonsgegevens Bijzondere persoonsgegevens zoals de gezondheid van een (toekomstig) werknemer mogen in principe geen onderwerp van screening zijn. Tenzij voor de functie bijzondere functie-eisen gelden en het daarom noodzakelijk is om bijzondere persoonsgegevens te verwerken. Bijvoorbeeld een oogtest voor een piloot. Strafrechtelijke gegevens mogen alleen worden verwerkt op basis van een gerechtvaardigde grondslag onder toezicht van de overheid. In de context van het screenen van personeel dient het noodzakelijk te zijn dat strafrechtelijke gegevens worden opgevraagd, die niet kenbaar worden via het opvragen van een VOG. Data Protection Impact Assessment Screenen van personeel brengt verder een verhoogd privacy risico met zich mee. Daarom kan het vereist zijn dat u een Data Protection Impact Assessment (gegevensbeschermingseffectbeoordeling) uitvoert. U moet in wezen een risicoanalyse maken om te kijken of eventuele privacy risico's kunnen worden verkleind. Conclusie Dit alles betekent dat u als werkgever een gedegen afweging moet maken voordat u de beslissing maakt om (toekomstige) werknemers te screenen. Houdt daarbij altijd bovenstaand beoordelingskader in het achterhoofd. Het is aan te raden om deze beslissing ook te documenteren. Als integriteit en betrouwbaarheid belangrijke issues zijn binnen uw organisatie, is het verder raadzaam om werknemers bij indiensttreding een geheimhoudings- en boetebeding te laten ondertekenen. Door het laten ondertekenen van een geheimhoudingsbeding worden de werknemers erop gewezen dat zij met gevoelige data omgaan die niet met derden mag worden gedeeld. Wilt u graag meer informatie over dit onderwerp of privacy in het algemeen ontvangen? Neem dan contact met een van de advocaten van team Privacy. Zij helpen u graag verder! Januari 2019 [post_title] => Het screenen van werknemers en de AVG [post_excerpt] => [post_status] => publish [comment_status] => closed [ping_status] => closed [post_password] => [post_name] => het-screenen-van-werknemers-en-de-avg [to_ping] => [pinged] => [post_modified] => 2019-01-17 12:13:18 [post_modified_gmt] => 2019-01-17 11:13:18 [post_content_filtered] => [post_parent] => 0 [guid] => https://www.boelszanders.nl/?post_type=publication&p=22836 [menu_order] => 0 [post_type] => publication [post_mime_type] => [comment_count] => 0 [filter] => raw ) [4] => WP_Post Object ( [ID] => 21963 [post_author] => 14 [post_date] => 2018-12-13 12:15:22 [post_date_gmt] => 2018-12-13 11:15:22 [post_content] => De Algemene verordening gegevensverwerking (AVG) bevat een aantal verplichtingen voor organisaties die op grote schaal bijzondere persoonsgegevens verwerken en dit als kerntaak hebben. Deze organisaties zijn onder meer verplicht een functionaris voor de gegevensbescherming aan te stellen en moeten in bepaalde gevallen een zogenaamde DPIA doen. Maar hoe zit dit nu voor uw eigen zorginstelling? In de zorg hebben organisaties vrijwel altijd als kerntaak het verwerken van bijzondere persoonsgegevens omdat zij medische gegevens verwerken. Maar verwerkt uw organisatie deze gegevens ook op grote schaal? De AP maakte al eerder bekend dat de verwerking van bijzondere persoonsgegevens door ziekenhuizen, huisartsenposten en zorggroepen altijd grootschalig is, ongeacht het aantal patiënten. Voor alle overige zorgaanbieders heeft de AP op 11 december jl. op haar website verduidelijkt dat de verwerking ook als grootschalig wordt beschouwd als:
  • een praktijk of instelling meer dan 10.000 patiënten heeft ingeschreven óf als een organisatie gemiddeld meer dan 10.000 patiënten per jaar behandelt;
  • én de gegevens van deze patiënten in één informatiesysteem staan.
De definitie grootschaligheid is daarmee voor (vrijwel) hele zorgsector gelijk. Daarnaast heeft de AP in het verlengde hiervan tevens haar eerdere standpunt ten aanzien van de gegevensverwerking door apothekers genuanceerd. Zo geeft de AP aan dat wanneer er minder dan 10.000 betrokkenen in het systeem van een apotheek zijn ingeschreven, de AP dat – net als bij andere zorgaanbieders – niet ziet als grootschalig. Meer informatie? Heeft u vragen over dit onderwerp? Wilt u meer informatie? Neem dan contact op met Sharinne Ibrahim of een van de andere advocaten van Team Privacy. Zij zijn u graag van dienst. December, 2018 [post_title] => Definitie grootschaligheid voor (vrijwel) hele zorgsector gelijk [post_excerpt] => [post_status] => publish [comment_status] => closed [ping_status] => closed [post_password] => [post_name] => definitie-grootschaligheid-vrijwel-hele-zorgsector-gelijk [to_ping] => [pinged] => [post_modified] => 2018-12-13 12:16:47 [post_modified_gmt] => 2018-12-13 11:16:47 [post_content_filtered] => [post_parent] => 0 [guid] => https://www.boelszanders.nl/?post_type=publication&p=21963 [menu_order] => 0 [post_type] => publication [post_mime_type] => [comment_count] => 0 [filter] => raw ) [5] => WP_Post Object ( [ID] => 21948 [post_author] => 28 [post_date] => 2018-12-11 13:45:41 [post_date_gmt] => 2018-12-11 12:45:41 [post_content] => Op de website van de Autoriteit Persoonsgegevens (AP) valt sinds gisteren te lezen dat de AP bij 53 organisaties het privacybeleid heeft opgevraagd. Het gaat onder meer om bloedbanken, IVF-klinieken en gemeentelijke politieke partijen. De AP zal vervolgens controleren of het beleid van deze organisaties voldoet aan de eisen die in de AVG aan een privacybeleid worden gesteld. Zo moet bijvoorbeeld helder zijn welke categorieën persoonsgegevens worden verwerkt, met welk doel, hoe de gegevens worden beveiligd, welke rechten betrokkenen hebben en hoe zij die rechten kunnen uitoefenen. Hebben de organisaties geen beleid dat voldoet aan de gestelde eisen, dan overtreden zij de wet. Op de website geeft de AP aan dat zij zo nodig zal handhaven bij overtredingen. Gelet op deze actieve controle van de AP adviseren wij u om voor uw eigen organisatie na te gaan of uw organisatie reeds beschikt over een AVG proof privacybeleid. Oftewel een gegevensbeschermingsbeleid waarin is vastgelegd met welk doel persoonsgegevens worden verwerkt, hoelang de gegevens worden bewaard en hoe de gegevens worden beveiligd. Een privacybeleid is overigens iets anders dan een privacyverklaring. Alle organisaties die persoonsgegevens verwerken, moeten mensen heldere informatie geven over de persoonsgegevens die zij verwerken en voor welk(e) doel(en) zij deze gegevens verwerken. De meest aangewezen manier hiervoor is het opstellen van een online privacyverklaring. Meer informatie? Heeft uw organisatie nog geen privacybeleid of privacyverklaring? Neem dan contact op met team Privacy of team Zorg. Wij zijn u graag behulpzaam bij het opstellen van deze voor uw organisatie belangrijke documenten. [post_title] => De AP controleert actief het privacybeleid bij zorginstellingen [post_excerpt] => [post_status] => publish [comment_status] => closed [ping_status] => closed [post_password] => [post_name] => ap-controleert-actief-privacybeleid-zorginstellingen-en-politieke-partijen [to_ping] => [pinged] => [post_modified] => 2018-12-11 14:08:06 [post_modified_gmt] => 2018-12-11 13:08:06 [post_content_filtered] => [post_parent] => 0 [guid] => https://www.boelszanders.nl/?post_type=publication&p=21948 [menu_order] => 0 [post_type] => publication [post_mime_type] => [comment_count] => 0 [filter] => raw ) [6] => WP_Post Object ( [ID] => 21715 [post_author] => 17 [post_date] => 2018-11-29 11:07:17 [post_date_gmt] => 2018-11-29 10:07:17 [post_content] => Check of uw organisatie voldoet aan deze vijf concrete aanbevelingen van de AP en hoe het derhalve staat met de kwaliteit van het verwerkingsregister van uw organisatie. Op basis van het verkennend onderzoek naar de registers van verwerkingen komt de AP met de volgende vijf concrete aanbevelingen:
  • Benoem hoe lang en met welk doel je persoonsgegevens wil bewaren. Onder de Europese privacywetgeving is het niet toegestaan persoonsgegevens langer te bewaren dan noodzakelijk is voor het doel waarmee ze verzameld zijn. Ook moeten organisaties kunnen motiveren waarom ze deze gegevens verzamelen;
  • Neem de contactgegevens van de verwerkingsverantwoordelijke op in het register;
  • Zorg voor een overzichtelijk bestand van alle verwerkingen van persoonsgegevens waarin gebruikers eenvoudig kunnen navigeren;
  • Geef duidelijk aan op welke locatie of in welk bestand persoonsgegevens bewaard worden en neem deze locaties of bestanden op in het register. Deze informatie is relevant als mensen een verzoek om inzage of verwijdering indienen;
  • Maak duidelijk welk doel bij welke verwerking hoort. Alleen een opsomming van de verwerkingen per afdeling in combinatie met een opsomming van de diverse doeleinden van de verwerkingen is niet voldoende.
De AP heeft veel informatie over het registeren van verwerkingen op de website staan. Zie hiervoor de website van de Autoriteit Persoonsgegevens. [post_title] => De Autoriteit Persoonsgegevens geeft 5 aanbevelingen voor uw verwerkingsregister [post_excerpt] => [post_status] => publish [comment_status] => closed [ping_status] => closed [post_password] => [post_name] => ap-geeft-5-aanbevelingen-verwerkingsregister [to_ping] => [pinged] => [post_modified] => 2018-11-29 11:27:12 [post_modified_gmt] => 2018-11-29 10:27:12 [post_content_filtered] => [post_parent] => 0 [guid] => https://www.boelszanders.nl/?post_type=publication&p=21715 [menu_order] => 0 [post_type] => publication [post_mime_type] => [comment_count] => 0 [filter] => raw ) [7] => WP_Post Object ( [ID] => 21692 [post_author] => 17 [post_date] => 2018-11-28 13:19:32 [post_date_gmt] => 2018-11-28 12:19:32 [post_content] => Op 27 november 2018 heeft de Autoriteit Persoonsgegevens (AP) het boetebesluit tegen Uber gepubliceerd. De AP heeft een boete opgelegd van EUR 600.000,-. Boete Uber heeft de meldplicht datalekken overtreden door een jaar na dato het datalek te melden bij de AP. Ook zijn de betrokkenen niet in kennis gesteld. Dit deed zich voor eind 2016, dus voor inwerkingtreding van de AVG. Onder de AVG zou een boete kunnen worden opgelegd van EUR 20 miljoen of 4% van de wereldwijde jaaromzet indien de beveiliging niet voldoet volgens de eisen die de AVG stelt. Zo ver komt het echter niet omdat in 2016 de boete maximaal EUR 820.000,- kon bedragen. Daarmee vergeleken heeft Uber dus een forse boete gekregen. Feiten Het datalek betrof een kwetsbaarheid in de beveiliging bij Uber Technologies Inc. in de Verenigde Staten. Hierdoor was het mogelijk om alle persoonsgegevens in de database van Uber te bekijken. Er hebben ook daadwerkelijk downloads plaatsgevonden van de data. Dit bleek mogelijk te zijn in de maanden oktober en november 2016. Uber Technologies Inc. was op de hoogte gesteld van de kwetsbaarheid op 14 november 2016, maar het heeft dus meer dan een jaar geduurd voordat het datalek is gemeld. Uber Technologies heeft Uber BV ook pas in oktober 2017 op de hoogte gebracht. Uber BV heeft op 21 november 2017 melding gemaakt van het datalek. Op die dag heeft Uber BV ook een verklaring gepubliceerd waarin uitleg is gegeven over het datalek. Bij het datalek waren verschillende persoonsgegevens inzichtelijk van ongeveer 174.000 Nederlanders. In totaal ging het om 57 miljoen betrokkenen wereldwijd. Daarbij gaat het zowel om chauffeurs als om passagiers. Naast contactgegevens waren ook ratings, fraudemeldingen en betaalbewijzen zichtbaar. Gezamenlijke verwerkingsverantwoordelijkheid Naar de mening van de AP moet in ieder geval Uber BV worden aangemerkt als verwerkingsverantwoordelijke. Onder haar verantwoordelijkheid werden de persoonsgegevens verwerkt. Uber Technologies Inc. is in deze gezamenlijk verantwoordelijk omdat zij samen de omvang van de verwerking bepalen. Uber Technologies Inc. ziet zichzelf echter 'slechts' als verwerker. De AP vindt daarin doorslaggevend dat Uber Technologies Inc. het beveiligingsbeleid heeft vastgesteld zoals dat geldt voor alle Uber-ondernemingen waaronder Uber BV. Uber Technologies Inc. op haar beurt is van mening dat het beveiligingsbeleid moet worden gezien als een detail van de verwerking en niet als het bepalen van de doeleinden van de verwerking. Voor die uitleg valt wel wat te zeggen. Maar doordat Uber Technolgies Inc. niet alleen het beveiligingsbeleid heeft vastgesteld maar ook het geldende privacybeleid, verantwoordelijk is voor updates van de app en dat zij namens Uber BV heeft gehandeld in de afhandeling van het datalek zonder zelfs Uber BV op de hoogte te stellen, heeft zij ten minste de schijn tegen gekregen. De AP is dan ook van oordeel dat Uber Technologies Inc. ten minste gezamenlijk verantwoordelijk is en dus wordt de boete aan beide partijen samen opgelegd. Overtreding verplichtingen De AP concludeert dat zowel Uber BV als Uber Technologies Inc. een jaar te laat melding hebben gemaakt van het datalek. Daarnaast hadden zij onverwijld de betrokkenen wiens persoonsgegevens het betrof, op de hoogte moeten brengen. Volgens de AP moeten de betrokkenen op de hoogte worden gesteld omdat er sprake is van een onrechtmatige verwerking (toegang voor onbevoegden) en het nadelige risico ook is voorgevallen (er zijn bestanden gedownload). Enkel dat is voor de AP voldoende om te spreken van ernstige nadelige gevolgen. Deze opvatting onderbouwt de AP door te stellen dat zo'n grote database, afkomstig van één speler in de markt, ook aantrekkelijk is om te worden doorverkocht. Hiermee lijkt de AP wel heel snel aan te nemen dat er sprake is van ernstige nadelige gevolgen, terwijl er geen gevoelige persoonsgegevens zijn gelekt. Lessen voor de praktijk Uit de in 2015 door de AP gepubliceerde beleidsregels maakten wij al op dat de meldplicht datalekken streng wordt geïnterpreteerd. Wellicht wel strikter dan dat de letter van de wet toelaat. De beleidsregels zien op toepassing van de meldplicht datalekken uit de Wbp, maar er is geen aanleiding om te oordelen dat zij niet zouden gelden onder de AVG. Ook dit boetebesluit geeft hetzelfde beeld. In dit geval is de AP van mening dat betrokkenen op de hoogte moeten worden gebracht, terwijl de redenering uit het boetebesluit toch niet direct overtuigend is (zie hierboven). Met min of meer dezelfde redenering zou je tot de conclusie kunnen komen dat mededeling aan de betrokkenen niet noodzakelijk is. De AP denkt daar echter anders over, terwijl er in ieder geval wel een mededeling op de website van Uber was geplaatst om betrokkenen te informeren. Wie weet tekent Uber bezwaar en beroep aan en wordt het besluit nog aan de rechter voorgelegd zodat we meer duidelijkheid krijgen over de vraag of de AP deze eisen zo strikt mag toepassen.   [post_title] => Autoriteit Persoonsgegevens legt boete op aan Uber van EUR 600.000,- [post_excerpt] => [post_status] => publish [comment_status] => closed [ping_status] => closed [post_password] => [post_name] => autoriteit-persoonsgegevens-legt-boete-op-aan-uber-eur-600-000 [to_ping] => [pinged] => [post_modified] => 2019-02-05 10:01:26 [post_modified_gmt] => 2019-02-05 09:01:26 [post_content_filtered] => [post_parent] => 0 [guid] => https://www.boelszanders.nl/?post_type=publication&p=21692 [menu_order] => 0 [post_type] => publication [post_mime_type] => [comment_count] => 0 [filter] => raw ) [8] => WP_Post Object ( [ID] => 21355 [post_author] => 28 [post_date] => 2018-11-01 08:43:48 [post_date_gmt] => 2018-11-01 07:43:48 [post_content] => In de media werd vorige week aandacht besteed aan de werkwijze van uitvaartorganisatie DELA met betrekking tot het afnemen van vingerafdrukken bij overleden personen. Is de AVG in dit geval van toepassing? En welke regels gelden er voor het verwerken van biometrische gegevens, zoals vingerafdrukken? In deze bijdrage ga ik hier nader op in. De AVG is niet van toepassing op overleden personen  De AVG is van toepassing op de verwerking van persoonsgegevens. Een persoonsgegeven is alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Voorbeelden hiervan zijn namen, adressen, telefoonnummers en gezondheidsgegevens. Aan de hand van deze gegevens kan een persoon namelijk worden geïdentificeerd. In de AVG staat expliciet vermeld dat deze wetgeving niet van toepassing is op de persoonsgegevens van overleden personen. De AVG laat het aan de afzonderlijke lidstaten over om regels op te stellen over de wijze waarop met deze gegevens moet worden omgegaan. Dit is echter niet verplicht. De Autoriteit Persoonsgegevens adviseerde in dat kader om bepaalde rechten van personen van overeenkomstige toepassing te verklaren op overledenen of te bepalen dat deze gedurende een bepaalde periode na overlijden door de nabestaanden kunnen worden ingeroepen. Dit in verband met onder andere het gebruik van deze gegevens op social media. De wetgever heeft dit uiteindelijk echter niet gedaan. Dit betekent dat in Nederland persoonsgegevens van overledenen niet worden beschermd. Biometrische persoonsgegevens  De AVG maakt onderscheid tussen gewone en bijzondere persoonsgegevens. Voorbeelden van bijzondere persoonsgegevens zijn gegevens over ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen en gezondheidsgegevens. Ook biometrische gegevens met het oog op de unieke identificatie van een persoon zijn bijzondere persoonsgegevens, zoals gezichtsafbeeldingen, irisscans en vingerafdrukken. Deze worden in de praktijk bijvoorbeeld gebruikt om de toegang tot plaatsen te reguleren of de werktijden van werknemers te registreren. Voor bijzondere persoonsgegevens gelden strenge regels. De verwerking hiervan is in beginsel verboden. De nationale wetgever heeft in de Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG) nadere regels vastgesteld over de verwerking van biometrische gegevens. De UAVG bepaalt dat het verbod om deze gegevens te verwerken niet van toepassing is wanneer de verwerking noodzakelijk is voor authenticatie of beveiligingsdoeleinden. Er dient een afweging te worden gemaakt of identificatie met biometrische gegevens noodzakelijk is voor de authenticatie of beveiligingsdoeleinden. Moeten de gebouwen of informatiesystemen zodanig worden beveiligd dat dit met behulp van biometrische gegevens gebeurd of kan dit ook op een andere wijze gebeuren? Deze afweging dient per situatie te worden gemaakt. De betekenis hiervan voor het gebruik van een vingerafdrukscan heeft Monica Leenders in een eerdere bijdrage[1] toegelicht. Voor meer informatie over dit onderwerp kunt u contact opnemen met Janne Verheijden. U kunt uiteraard ook contact opnemen met één van de andere advocaten van ons team Privacy. November 2018 [1] https://www.boelszanders.nl/publicatie/vingerafdrukscan-en-avg-mag/ [post_title] => Biometrische gegevens van overleden personen [post_excerpt] => [post_status] => publish [comment_status] => closed [ping_status] => closed [post_password] => [post_name] => biometrische-gegevens-overleden-personen [to_ping] => [pinged] => [post_modified] => 2018-11-01 08:49:54 [post_modified_gmt] => 2018-11-01 07:49:54 [post_content_filtered] => [post_parent] => 0 [guid] => https://www.boelszanders.nl/?post_type=publication&p=21355 [menu_order] => 0 [post_type] => publication [post_mime_type] => [comment_count] => 0 [filter] => raw ) [9] => WP_Post Object ( [ID] => 20865 [post_author] => 2 [post_date] => 2018-10-03 09:15:17 [post_date_gmt] => 2018-10-03 07:15:17 [post_content] => De AVG is in mei 2018 in werking getreden voor alle Europese lidstaten. Als alles volgens plan verloopt, treedt Groot-Brittannië in het voorjaar van 2019 uit de Europese Unie. Dit heeft gevolgen voor de positie van Groot-Brittannië in het kader van de privacywetgeving, tenzij er heel snel oplossingen worden gevonden. In maart 2019 treedt Groot-Brittannië uit de EU. Op dat moment wordt Groot-Brittannië een “derde land”. Ieder land buiten het grondgebied van de EU, wordt aangeduid als een derde land. In beginsel is het verboden om persoonsgegevens op te slaan in of uit te wisselen met een partij in Groot-Brittannië. Dit is slechts anders indien aanvullende maatregelen worden getroffen of indien het land volgens de EU een passend beschermingsniveau heeft. In dat geval wordt een adequaatheidsbesluit toegekend. We hebben de laatste tijd echter gezien dat het ongeveer 1 ½ jaar duurt voordat een adequaatheidsbesluit daadwerkelijk wordt genomen, omdat voorafgaand daaraan vaak nog nationale wetgeving moet worden aangepast. De kans is dus groot dat er in maart 2019 geen adequaatheidsbesluit ligt. In dat geval is het verwerken van persoonsgegevens in de UK niet toegestaan voor zover het gaan om verwerking van persoonsgegevens van EU burgers. Maakt u of uw verwerker gebruik van servers in Groot-Brittannië? Dan moet u op zoek naar een locatie in een ander land. Een andere mogelijkheid is dat u een EU modelcontract sluit met de partij in Groot-Brittannië. Deze ‘standard contractual clauses’ verplichten de partij in Groot-Brittannië ertoe om hetzelfde beschermingsniveau als dat van de AVG toe te passen. Maar u dient er dan wel op toe te zien dat dat ook daadwerkelijk in praktijk wordt gebracht. Indien de partij in Groot-Brittannië niet wil meewerken aan het sluiten van een modelcontract, heeft u geen andere keus dan op zoek te gaan naar een andere partner. In concernverband biedt de AVG u nog een extra mogelijkheid: het overeenkomen van Binding Corporate Rules. Deze BCR’s gelden voor het hele concern en schrijven voor hoe wordt omgegaan met persoonsgegevens. Deze BCR’s dienen dan wel te worden goedgekeurd door de toezichthouder in het land van de hoofdvestiging van het concern. Ook dit duurt vaak 1 tot 2 jaar, afhankelijk van de toezichthouder, en biedt dus waarschijnlijk ook geen directe oplossing op het moment van de Brexit. Heeft u vragen over het effect van de Brexit op de AVG? Wilt u meer weten over standard contractual clauses, doorgifte van persoonsgegevens naar derde landen of binding corporate rules? Neem dan contact op Team Privacy. [post_title] => AVG en Brexit [post_excerpt] => [post_status] => publish [comment_status] => closed [ping_status] => closed [post_password] => [post_name] => avg-en-brexit [to_ping] => [pinged] => [post_modified] => 2019-02-05 10:05:54 [post_modified_gmt] => 2019-02-05 09:05:54 [post_content_filtered] => [post_parent] => 0 [guid] => https://www.boelszanders.nl/?post_type=publication&p=20865 [menu_order] => 0 [post_type] => publication [post_mime_type] => [comment_count] => 0 [filter] => raw ) [10] => WP_Post Object ( [ID] => 20739 [post_author] => 2 [post_date] => 2018-09-25 09:00:18 [post_date_gmt] => 2018-09-25 07:00:18 [post_content] => Op 5 september 2018, 4 maanden na inwerkingtreding van de AVG, is ook in België de uitvoeringswet AVG in werking getreden. Dit betekent dat de Belgische Gegevensbeschermingsautoriteit inmiddels een wettelijke basis heeft gekregen om de boetebevoegdheden die zij kreeg bij inwerkingtreding van de AVG, ook daadwerkelijk te kunnen toepassen. De Belgische uitvoeringswet kent een aantal afwijkingen op de AVG. De belangrijkste is wel dat de keuze is gemaakt om de leeftijd voor het verlenen van toestemming, vast te stellen op 13 jaar. Iedere betrokkene vanaf 13 jaar kan dus zelfstandig – zonder aanvullende toestemming van zijn ouders – toestemming geven. Ter vergelijking: in Nederland hanteren we de leeftijdsgrens van 16 jaar. De Europese lidstaten hebben zelf mogen vaststellen welke leeftijdsgrens zij hanteren, mits deze ligt tussen de 13 en 16 jaar. Door deze mogelijkheid is er een ware lappendeken van leeftijdsgrenzen ontstaan in Europa. Dit komt de eenheid van wetgeving en het doel van gelijke wetgeving niet bepaald ten goede. Heeft u vragen over de toepassing van de AVG over de grens? Samen met onze Advoc-partner in het betreffende land brengen wij de gevolgen natuurlijk voor uw organisatie in kaart! [post_title] => AVG: Belgische uitvoeringswet in werking getreden [post_excerpt] => [post_status] => publish [comment_status] => closed [ping_status] => closed [post_password] => [post_name] => avg-belgische-uitvoeringswet-werking-getreden [to_ping] => [pinged] => [post_modified] => 2019-02-05 10:16:22 [post_modified_gmt] => 2019-02-05 09:16:22 [post_content_filtered] => [post_parent] => 0 [guid] => https://www.boelszanders.nl/?post_type=publication&p=20739 [menu_order] => 0 [post_type] => publication [post_mime_type] => [comment_count] => 0 [filter] => raw ) [11] => WP_Post Object ( [ID] => 20084 [post_author] => 2 [post_date] => 2018-08-28 09:15:40 [post_date_gmt] => 2018-08-28 07:15:40 [post_content] => De Europese Unie (EU) en de Verenigde Staten (VS) zijn al een aantal jaren in onderhandeling met elkaar over een akkoord met betrekking tot de bescherming van persoonsgegevens van Europese burgers in de VS. Sinds 2016 is het zogenaamde "Privacy Shield-akkoord" van kracht. Het akkoord is de opvolger van het "Safe Harbor-agreement" dat door Europese rechters voor burgers van de EU als onvoldoende veilig werd geacht. Het 'nieuwe' akkoord moet ervoor zorgen dat persoonsgegevens van EU-burgers voldoende worden beschermd indien zij in de VS worden opgeslagen. In het akkoord staat beschreven hoe bedrijven in de VS met de persoonsgegevens van EU-burgers moeten omgaan. Zo is het bijvoorbeeld niet zomaar toegestaan om EU data aan Amerikaanse opsporingsdiensten te overhandigen. Europese burgers krijgen daarnaast het recht om een klacht in te dienen als zij van mening zijn dat hun persoonsgegevens niet voldoende worden beschermd. Er zijn signalen dat de VS het akkoord niet (geheel) naleeft. Zo had het Amerikaanse ministerie van Economische Zaken onder andere een ombudsman moeten aanstellen om klachten van EU-burgers in behandeling te kunnen nemen, maar dat is twee jaar na de inwerkingtreding van het akkoord nog steeds niet gebeurd. Daarom heeft de EU onlangs besloten om het Privacy Shield-akkoord met de VS op te schorten indien de VS niet vóór 1 oktober 2018 aan de door haar gestelde voorwaarden voor databescherming voldoen. In het ergste geval wordt het akkoord met de VS stopgezet. De EU is van mening dat de jongste datamisbruikschandalen laten zien dat er in de VS een gebrek is aan bescherming van persoonsgegevens. Denk in dit kader maar aan het Facebook-Cambridge Analytics schandaal, waarbij de gegevens van bijna 87 miljoen Facebook-gebruikers werden misbruikt, waaronder ca. 2,7 miljoen gegevens van EU-burgers. Amerikaanse bedrijven moeten strenger en sneller ingrijpen als gegevens niet correct worden verwerkt, aldus het Europese Parlement. Binnenkort vindt evaluatie van het Privacy Shield plaats. Het blijft dus afwachten of de VS aan de door de EU gestelde voorwaarden zal voldoen. Zo niet en voor het geval het akkoord wordt stopgezet, zal dit ongetwijfeld tot een chaotische situatie leiden, waarvoor nu nog geen kant-en-klaar oplossing beschikbaar is. Mocht u naar aanleiding van dit artikel vragen hebben of behoefte hebben aan algemeen advies over hoe met persoonsgegevens om te gaan en/of advies over de AVG, neemt u dan vooral contact op met Kim Deckers of Monica Leenders. Zij denken graag met u mee. Augustus 2018 [post_title] => VS nog steeds geen "safe harbor" voor data Europese burgers [post_excerpt] => [post_status] => publish [comment_status] => closed [ping_status] => closed [post_password] => [post_name] => vs-nog-steeds-geen-safe-harbor-data-europese-burgers [to_ping] => [pinged] => [post_modified] => 2018-11-02 10:00:47 [post_modified_gmt] => 2018-11-02 09:00:47 [post_content_filtered] => [post_parent] => 0 [guid] => https://www.boelszanders.nl/?post_type=publication&p=20084 [menu_order] => 0 [post_type] => publication [post_mime_type] => [comment_count] => 0 [filter] => raw ) [12] => WP_Post Object ( [ID] => 19148 [post_author] => 17 [post_date] => 2018-07-31 16:07:54 [post_date_gmt] => 2018-07-31 14:07:54 [post_content] => Vandaag ontvingen wij één van de eerste uitspraken waarin de Algemene Verordening Gegevensbescherming (AVG) wordt toegepast. Verzoek De voorzieningenrechter van de rechtbank Oost-Brabant heeft vandaag een verzoek op basis van het recht op vergetelheid afgewezen. De verzoeker had de rechtbank verzocht om de gemeente waar hij woonachtig is, te veroordelen tot het verwijderen van bepaalde gegevens. Het betroffen persoonsgegevens in een lijst die mogelijk in een andere procedure als bewijsstuk kan dienen. Door het recht op vergetelheid uit te oefenen, probeerde de verzoeker te bewerkstelligen dat dit bewijs in de andere procedure tussen verzoeker en gemeente niet meer kon worden ingebracht. Het verzoek zelf was gebaseerd op de Wet bescherming persoonsgegevens. Echter omdat het verzoek na inwerkingtreding van de AVG is beoordeeld door de voorzieningenrechter én omdat er geen overgangsrecht is voor een situatie als deze, vat de rechter het verzoek op als een verzoek in de zin van de AVG. Recht op gegevenswissing
  • Het recht op gegevenswissing van artikel 17 AVG is niet onbeperkt. Er worden in het artikel een aantal beperkingen opgelegd. Een beroep op vergetelheid wordt enkel toegewezen indien:
  • De gegevensverwerking niet langer nodig is voor het doel waarvoor de persoonsgegevens zijn verzameld;
  • De toestemming is ingetrokken, voor zover de verwerking is gebaseerd op toestemming;
  • Er geen dwingende reden voor de verwerking prevaleert;
  • De persoonsgegevens onrechtmatig zijn verwerkt;
  • De wet de gegevenswissing voorschrijft; of
  • De persoonsgegevens zijn verwerkt in het kader van een dienst van de informatiemaatschappij, indien het gaat om persoonsgegevens van minderjarigen.
Op grond van artikel 17 lid 3 AVG hoeft een verwerkingsverantwoordelijke in een aantal gevallen niet mee te werken aan een verzoek om gegevenswissing. Dit is bijvoorbeeld het geval indien verwerking noodzakelijk is voor uitoefening of onderbouwing van een rechtsvordering. Dat is hier het geval; de lijst dient als bewijsstuk in een andere procedure. Conclusie De rechtbank concludeert terecht dat het recht op vergetelheid dus niet oneigenlijk kan worden ingezet om bewijsmateriaal te wissen. Het recht op gegevenswissing is er voor bedoeld om de verwerking van persoonsgegevens te begrenzen. Het doel dat hier aan het verzoek ten grondslag lag, namelijk het laten verdwijnen van bewijsmateriaal, is geen doel dat met de AVG kan worden bereikt. Heeft u vragen naar aanleiding van dit artikel neemt u dan contact op met een van onze advocaten van Team Privacy. Wij helpen u graag.   Juli 2018 [post_title] => Rechter wijst strategisch beroep op vergetelheid af [post_excerpt] => [post_status] => publish [comment_status] => closed [ping_status] => closed [post_password] => [post_name] => rechter-wijst-strategisch-beroep-op-vergetelheid-af [to_ping] => [pinged] => [post_modified] => 2019-02-05 10:17:51 [post_modified_gmt] => 2019-02-05 09:17:51 [post_content_filtered] => [post_parent] => 0 [guid] => https://www.boelszanders.nl/?post_type=publication&p=19148 [menu_order] => 0 [post_type] => publication [post_mime_type] => [comment_count] => 0 [filter] => raw ) [13] => WP_Post Object ( [ID] => 18953 [post_author] => 17 [post_date] => 2018-07-30 11:04:06 [post_date_gmt] => 2018-07-30 09:04:06 [post_content] => De Europese Unie (EU) en Japan hebben hun gesprekken over de doorgifte van persoonsgegevens afgerond. Dit kondigde de Europese Commissie vorige week aan. Naar verwachting zal dit resulteren in een officieel adequaatheidsbesluit, waardoor persoonsgegevens zonder aanvullende waarborgen naar Japan mogen worden doorgegeven. Doorgifte persoonsgegevens Persoonsgegevens van EU-burgers mogen niet zomaar naar derde landen (landen buiten de Europese Economische Ruimte) worden doorgegeven. Organisaties die persoonsgegevens doorgeven naar derde landen moeten zorgen voor een passend beschermingsniveau. Een passend beschermingsniveau kan op verschillende manieren worden gewaarborgd, bijvoorbeeld door de zogenoemde adequaatheidsbesluiten van de Europese Commissie. Adequaatheidsbesluiten Als een derde land passende gegevensbescherming biedt, kan de Europese Commissie een adequaatheidsbeslissing nemen. Dit betekent dat de Europese Commissie bepaalt dat de gegevensbescherming van het derde land gelijkwaardig is aan de bescherming die de Algemene Verordening Gegevensbescherming (AVG) biedt. Heeft de Europese Commissie ten aanzien van een derde land een adequaatheidsbesluit genomen? Dan hoeft de organisatie die persoonsgegevens wil doorgeven naar dit derde land géén aanvullende waarborgen te treffen. Het "EU-VS privacyshield" is een voorbeeld van een adequaatheidsbeslissing voor de doorgifte van persoonsgegevens naar bepaalde commerciële organisaties in Amerika. Japan De EU en Japan overleggen sinds januari 2018 over de bescherming van persoonsgegevens. Om te voldoen aan de Europese normen heeft Japan zich ertoe verbonden de volgende aanvullende waarborgen in haar huidige stelsel te implementeren, ter bescherming van de persoonsgegevens van EU-burgers:
  • Regels waarmee EU-burgers extra garanties krijgen. Hierdoor worden de verschillen tussen de privacy-systemen overbrugd. In Japan zal bijvoorbeeld de definitie van bijzondere persoonsgegevens worden uitgebreid. Ook worden de voorwaarden op grond waarvan Japan persoonsgegevens van EU-burgers naar andere derde landen mag doorgeven verscherpt. Daarnaast komen er meer mogelijkheden voor het uitoefenen van individuele rechten, zoals het recht van inzage en rectificatie. Het gaat hierbij om bindende regels die ook bij de Japanse rechter en toezichthoudende autoriteit kan worden afgedwongen.
  • Een klachtenstelsel voor het behandelen van klachten van EU-burgers over de doorgifte van persoonsgegevens en de toegang van de Japanse overheid tot deze gegevens.
Na implementatie van bovengenoemde punten zal de Europese Commissie het proces starten dat leidt tot de goedkeuring van het concept-adequaatheidsbesluit. Het ziet ernaar uit dat op korte termijn ook persoonsgegevens naar Japan mogen worden doorgegeven, zonder dat aanvullende maatregelen dienen te worden genomen. De Europese Commissie heeft aangekondigd dat komende herfst een adequaatheidsbesluit voor de doorgifte naar Japan zal worden genomen. Impact van het adequaatheidsbesluit De regeling die de EU en Japan hebben gesloten is een aanvulling op de "Economic Partnership Agreement EU-Japan". Zo zullen Europese bedrijven niet alleen kunnen profiteren van onbelemmerd gegevensverkeer met Japan als handelspartner, maar krijgen zij ook toegang tot persoonsgegevens van Japanse consumenten. Bovendien is er op deze manier sprake van een veilig en stabiel gegevensverkeer. Heeft u vragen over het doorgeven van persoonsgegevens naar derden landen of binnen de EU? Neem dan contact op met het Team Privacy. Wij helpen u graag verder op weg. Juli 2018 [post_title] => Doorgifte persoonsgegevens naar Japan: het nieuwe adequaatheidsbesluit [post_excerpt] => [post_status] => publish [comment_status] => closed [ping_status] => closed [post_password] => [post_name] => doorgifte-persoonsgegevens-naar-japan-nieuwe-adequaatheidsbesluit [to_ping] => [pinged] => [post_modified] => 2019-02-05 10:19:11 [post_modified_gmt] => 2019-02-05 09:19:11 [post_content_filtered] => [post_parent] => 0 [guid] => https://www.boelszanders.nl/?post_type=publication&p=18953 [menu_order] => 0 [post_type] => publication [post_mime_type] => [comment_count] => 0 [filter] => raw ) [14] => WP_Post Object ( [ID] => 18828 [post_author] => 17 [post_date] => 2018-07-27 10:19:49 [post_date_gmt] => 2018-07-27 08:19:49 [post_content] => Het Europese Hof van Justitie (Hof) heeft op 10 juli een arrest gewezen dat nader ingaat op de begrippen "bestand" en "verwerkingsverantwoordelijke". Casus De Finse toezichthouder had de geloofsgemeenschap van Jehova's getuigen verboden om in het kader van haar van-huis-tot-huisverkondiging persoonsgegevens te verzamelen en te verwerken voor zover de betreffende Finse privacy wetten niet in acht werden genomen. Naar de mening van de Finse toezichthouder kwalificeert de gezamenlijke geloofsgemeenschap als verantwoordelijke en geldt het verzamelen van persoonsgegevens door haar leden als een verwerking. De Finse rechter heeft dat besluit vernietigd. Hiertegen is de Finse toezichthouder voor gegevensbescherming in beroep gegaan en zijn er vragen gesteld aan het Hof. De rechter wilde namelijk weten of de wetgeving van toepassing is op het verzamelen en verwerken van persoonsgegevens door individuele leden van de geloofsgemeenschap. Ook vroeg de rechter zich af of er sprake is van een 'bestand' en de wetgeving dus van toepassing is, en wie als verwerkingsverantwoordelijke moet worden aangemerkt. Het antwoord van het Hof luidt op al deze drie vragen bevestigend met als gevolg dat de geloofsgemeenschap onderworpen is aan privacywetgeving bij het uitoefenen van haar activiteiten. Dit geldt dus ook voor het doen van van-huis-tot-huisverkondigingen ter verbreiding van haar geloof en het verzamelen van persoonsgegevens daarbij. Gestructureerd bestand De tweede vraag zag op de uitleg van de term 'bestand'. De privacywetgeving ziet zowel op geautomatiseerde als op net-geautomatiseerde gegevensverwerking, mits in dat laatste geval de verwerkte gegevens worden opgenomen in een 'bestand'. Het begrip 'bestand' ziet op elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit geheel gecentraliseerd dan wel gedecentraliseerd is of verspreid op een functioneel of geografisch bepaalde wijze. Het begrip dient ruim te worden opgevat, zodat elk gestructureerd geheel van persoonsgegevens eronder valt. Daarvan is hier sprake. De geloofsgemeenschap heeft in het kader van haar activiteiten persoonsgegevens verzameld, waaronder naam en adres van de bezochte alsmede informatie over diens geloofsovertuiging of gezinssituatie. De gemeenschap heeft deze gegevens gestructureerd aan de hand van specifieke criteria die zij gekozen heeft naargelang het met de verzameling nagestreefde doel, namelijk als geheugensteun voor volgende bezoeken of voor het opstellen van een verbodslijst. Dit maakt een makkelijk gebruik mogelijk. Een dergelijk geheel aan verzamelde persoonsgegevens valt volgens het Hof onder het begrip 'bestand'. Ook als de wijze van vastleggen niet centraal is geregeld. Het geheel aan verzamelde persoonsgegevens dat aan de hand van specifieke criteria door de geloofsgemeenschap is gestructureerd om het gebruik daarvan op een later tijdstip te vergemakkelijken valt dus als 'bestand' te kwalificeren. Conclusie Ondanks het feit dat de uitspraak ziet op de uitleg van definities uit de Richtlijn 95/46/EG, doet dit geen afbreuk aan de waarde van de uitspraak voor de uitleg van dezelfde definities onder de AVG. Deze uitspraak maakt duidelijk dat de begrippen 'bestand' en 'verwerkingsverantwoordelijke' ruim dienen te worden opgevat. Ook dient men zich ervan bewust te zijn dat activiteiten waarbij persoonsgegevens worden verzameld al snel onder de werking van de AVG zullen vallen. Dit heeft alles te maken met het doel van de Verordening, namelijk dat natuurlijke personen bij de verwerking van hun persoonsgegevens een brede bescherming dienen te genieten. Mocht u naar aanleiding van deze uitspraak vragen hebben over de toepassing van de AVG of meer in het algemeen advies nodig hebben op het gebied van privacy, neemt u dan contact op met een van onze advocaten uit het team Privacy. Zij helpen u graag verder. [post_title] => Jehova's getuigen en van-huis-tot-huisverkondiging: hoe zit het met de privacy van de bezochte? [post_excerpt] => [post_status] => publish [comment_status] => closed [ping_status] => closed [post_password] => [post_name] => jehovas-getuigen-en-huis-tot-huisverkondiging-hoe-zit-privacy-bezochte [to_ping] => [pinged] => [post_modified] => 2018-07-27 10:19:49 [post_modified_gmt] => 2018-07-27 08:19:49 [post_content_filtered] => [post_parent] => 0 [guid] => https://www.boelszanders.nl/?post_type=publication&p=18828 [menu_order] => 0 [post_type] => publication [post_mime_type] => [comment_count] => 0 [filter] => raw ) [15] => WP_Post Object ( [ID] => 18379 [post_author] => 17 [post_date] => 2018-07-19 09:25:12 [post_date_gmt] => 2018-07-19 07:25:12 [post_content] => De Algemene Verordening voor Gegevensbescherming ("AVG") is op 25 mei 2018 in werking getreden en één ding is duidelijk: zij brengt heel wat wijzigingen in diverse rechtsgebieden met zich mee. De transactiepraktijk vormt hier dan ook geen uitzondering. Waar moet u in het kader van een overname op letten? Wij leggen het hierna uit. De AVG in het kort Het doel van de AVG is het bieden van een krachtiger kader voor gegevensbescherming van natuurlijke personen, gesteund door strenge handhaving. Indien u persoonsgegevens verwerkt is het regime van de AVG rechtstreeks op u van toepassing. En hiervan is al snel sprake. Immers, bijna alles wat een natuurlijke persoon identificeert of identificeerbaar maakt wordt als "persoonsgegeven" aangemerkt. De in de AVG gehanteerde definitie van het begrip "verwerking" is dermate ruim gehouden dat hieronder iedere handeling met persoonsgegevens dient te worden verstaan. Hierbij geldt overigens dat gegevens van rechtspersonen geen persoonsgegevens zijn. Gegevens over zelfstandig ondernemers, zoals eenmanszaken of personenvennootschappen (denk hierbij aan een VOF, maatschappen, etc.) kwalificeren in een aantal gevallen echter wél als persoonsgegevens. Degene die persoonsgegevens verwerkt en doel en middelen hiervoor bepaalt is de verwerkingsverantwoordelijke. Voor de rechtmatige verwerking van persoonsgegevens heeft de verwerkingsverantwoordelijke een wettelijke grondslag nodig. De AVG noemt zes limitatieve grondslagen voor de gegevensverwerking, waaronder de toestemming van degene wiens gegevens worden verwerkt ("betrokkene") of het gerechtvaardigde bedrijfsbelang van een onderneming bij de verwerking van genoemde gegevens. Het is verder belangrijk om aan de beginselen van verwerking te voldoen, Ingevolge de AVG dient de verwerking van persoonsgegevens rechtmatig, behoorlijk en transparant te zijn. Het moet voor de betrokkene duidelijk zijn voor welke doelen zijn gegevens worden verwerkt. Deze verwerking dient vervolgens behoorlijk en verantwoord te geschieden. De verwerkingsdoelen moeten duidelijk en welbepaald omschreven zijn. Bovendien moet ervoor worden gezorgd dat niet méér gegevens worden verwerkt dan noodzakelijk om het betreffende doel te bereiken en mogen deze gegevens niet langer worden bewaard dan noodzakelijk. Deze beginselen dient iedere verwerkingsverantwoordelijke in acht te nemen en na te leven. Op niet-naleving hiervan staan hoge boetes, die door de Autoriteit Persoonsgegevens kunnen worden opgelegd. Een dergelijke boete kan zomaar oplopen tot EUR 20 mio of 4% van de wereldwijde jaaromzet. Kortom: om hoge boetes te voorkomen dient een verwerkingsverantwoordelijke bij het verwerken van persoonsgegevens de verplichtingen die uit de AVG voortvloeien nauwkeurig na te leven. Zoals hierna zal blijken, geldt dit ook in het kader van een fusie of overname. Non Disclosure Agreement ("NDA") Voorafgaande aan een overname is het verstandig om in een geheimhoudingsverklaring (oftewel NDA), naast afspraken over geheimhouding, ook afspraken te maken over het naleven van privacy wetgeving zowel tijdens de onderhandeling als na de overname. Denk hierbij bijvoorbeeld aan afspraken over de opslag, teruggave en vernietiging van persoonsgegevens voor het geval de deal niet doorgaat of aan een verbod tot verstrekking van persoonsgegevens aan derde partijen alsmede dat de verzamelde persoonsgegevens uitsluitend ter evaluatie en beoordeling van de target worden gebruikt. Maar ook indien deze afspraken niet worden vastgelegd, moeten partijen voldoen aan de AVG. Zowel koper als verkoper zijn te kwalificeren als verwerkingsverantwoordelijke en hebben ook zelfstandig de verplichting om de AVG na te leven. Due Diligence Onderzoek ("DDO") Om te kunnen evalueren of de overname van een bepaald bedrijf een goede aanvulling voor het overnemende bedrijf vormt, dient een DDO te worden uitgevoerd. Tijdens zo'n onderzoek deelt de verkopende partij een grote hoeveelheid informatie met de kopende partij om deze in staat te stellen een geïnformeerde keuze te kunnen maken met betrekking tot de koop. Hiervoor wordt regelmatig gebruik gemaakt van een digitale data room, waar alle informatie wordt geüpload. Partijen zullen in het kader van de mededelingsplicht snel geneigd zijn een grote hoeveelheid informatie via deze digitale data room uit te wisselen, zoals o.a. arbeidsovereenkomsten, klantenbestanden etc. Het uitwisselen van deze informatie kan echter al gauw tot een inbreuk op de AVG leiden en de kans op een boete aldus verhogen. Het is namelijk maar de vraag of dat de verkoper wel een grondslag heeft voor het beschikbaar stellen van de persoonsgegevens in het kader van een DDO. In het licht van de AVG is het daarom cruciaal om de hoeveelheid gegevens tot het strikt noodzakelijke te beperken. Partijen moeten beseffen dat niet zomaar alles gedeeld mag worden. Het is essentieel om zo weinig mogelijk – het liefst geen – persoonsgegevens via de data room beschikbaar te stellen. Namen, geboortedata, adressen en andere persoonsgegevens van werknemers dient men uit arbeidsovereenkomsten te verwijderen. Waar mogelijk zou men in plaats van de échte arbeidsovereenkomst gewoon een model arbeidsovereenkomst kunnen uploaden. Een andere optie is het verstrekken van louter abstracte informatie over het personeel. Denk bijvoorbeeld aan het opstellen van overzichten waaruit het aantal werknemers blijkt, de gemiddelde salarissen per functie, wat het ziekteverzuim in percentages is etc. Op deze manier verkrijgt de kopende partij immers de benodigde inzichten in de structuur van de target, zonder dat hiervoor onnodig persoonsgegevens worden gedeeld. Er bestaat natuurlijk wel een spanningsveld tussen de verplichting om zo transparant mogelijk te zijn en de AVG. Tijdens een DDO dient tegenwoordig als gevolg van de AVG ook aandacht te worden besteed aan de vraag in hoeverre de target privacy-compliant is. Om latere (financiële) tegenvallers te voorkomen kan het verstandig zijn om een "privacy" due diligence uit te voeren. Hierbij wordt gekeken of de target aan alle relevante privacy wetgeving voldoet, waaronder natuurlijk de AVG. Daarbij zijn vragen relevant zoals: hoe verzamelt, gebruikt, vernietigt, wist of slaat de target persoonsgegevens op? Hoe gaat de target om met datalekken? Is er een verwerkings- en datalekkenregister bijgehouden? Zijn er datalekken geweest in het verleden? Heeft de target een functionaris voor gegevensbescherming aangesteld indien dit noodzakelijk is? Voor deze compliance-check kan het verwerkingsregister van de target een goed uitgangspunt bieden. Hierin wordt immers bijgehouden wat voor soort persoonsgegevens de target verwerkt, voor welke doelen, op welke manier, wat de bewaartermijnen zijn, hoe de gegevens worden beveiligd, etc. De beveiliging van de persoonsgegevens is overigens ook een belangrijk aspect dat tijdens een DDO bijzondere aandacht verdient. Het kan namelijk heel kostbaar zijn om een fatsoenlijke IT-omgeving in te richten en om daarmee voor een goed functionerende digitale beveiliging van de verwerkte persoonsgegevens te zorgen. Mocht tijdens een DDO blijken dat de target hieraan nog niet voldoet, dan kan hier bij de berekening van de koopprijs rekening mee worden gehouden. Bezien vanuit de positie van de verkoper kan het verstandig zijn om al voorafgaande aan het verkoopproces AVG compliant te zijn door het laten uitvoeren van een dergelijke compliance-check. Hiermee kan de verkoper aan de koper laten zien dat zijn bedrijf privacy compliant is, wat weer een positief effect op de koopprijs zal hebben. Laat u echter niet verleiden door allerlei AVG-keurmerken die worden aangeboden. Hier waarschuwt de Autoriteit Persoonsgegevens ook voor, want er is op dit moment nog geen norm op basis waarvan keurmerken kunnen worden verstrekt. Share Purchase Agreement ("SPA") Afhankelijk van wat uit het DDO blijkt met betrekking tot de mate waarin de target aan alle verplichtingen voortvloeiende uit de AVG voldoet, kan het verstandig zijn om hieromtrent het een en ander in de koopovereenkomst te regelen. Mocht blijken dat de target nog niet helemaal "AVG-proof" is, kan het financiële risico van de koper door het opnemen van specifieke garanties of vrijwaringen worden beperkt. Wilt u meer informatie? Mocht u vragen hebben naar aanleiding van dit artikel of heeft u behoefte aan een AVG-compliance check. Neemt u dan contact op met onze teams Fusies & overnames of Privacy. Zij denken graag met u mee.   [post_title] => Welke invloed heeft de AVG op de transactiepraktijk? [post_excerpt] => [post_status] => publish [comment_status] => closed [ping_status] => closed [post_password] => [post_name] => welke-invloed-avg-op-transactiepraktijk [to_ping] => [pinged] => [post_modified] => 2018-07-19 10:47:37 [post_modified_gmt] => 2018-07-19 08:47:37 [post_content_filtered] => [post_parent] => 0 [guid] => https://www.boelszanders.nl/?post_type=publication&p=18379 [menu_order] => 0 [post_type] => publication [post_mime_type] => [comment_count] => 0 [filter] => raw ) [16] => WP_Post Object ( [ID] => 18381 [post_author] => 17 [post_date] => 2018-07-18 13:13:22 [post_date_gmt] => 2018-07-18 11:13:22 [post_content] => De Autoriteit Persoonsgegevens (AP) heeft gisteren bekend gemaakt dat gestart wordt met een onderzoek in de private sector. In tien verschillende branches wordt van dertig verschillende organisaties gevraagd om het verwerkingsregister te tonen. Het aanhouden van een verwerkingsregister ziet de AP als een belangrijke stap richting naleving van de AVG. In het verwerkingsregister dient onder andere te worden beschreven welke persoonsgegevens worden verwerkt, op welke wijze, wie daartoe toegang hebben en hoe de persoonsgegevens zijn beveiligd. In veel gevallen is het voor organisaties overigens verplicht om een verwerkingsregister bij te houden. De tekst van de AVG is wat misleidend op dit punt. Het lijkt namelijk alsof deze verplichting enkel geldt voor organisaties met meer dan 250 medewerkers. Veel organisaties met minder dan 250 werknemers moeten echter ook voldoen aan de registerplicht, aangezien het verwerkingsregister ook verplicht is in de volgende gevallen:
  • Structurele verwerking van persoonsgegevens. Daarvan is al sprake indien personeelsdossiers worden bijgehouden, er sprake is van een klantendatabase of er bijvoorbeeld cameratoezicht wordt toegepast.
  • De verwerking van persoonsgegevens houdt een hoog privacyrisico in. Denk bijvoorbeeld aan de verwerking van financiële gegevens op grote schaal.
  • Er worden bijzondere persoonsgegevens verwerkt, zoals gezondheidsgegevens, biometrische gegevens of gegevens over afkomst of godsdienst.
Kortom, het verwerkingsregister geldt voor verreweg de meeste organisaties, zowel in de publieke sector als voor commerciële ondernemingen. Heeft u vragen over het bijhouden van een verwerkingsregister? De gespecialiseerde advocaten van team Privacy helpen u graag verder! [post_title] => Autoriteit Persoonsgegevens start onderzoek naar verwerkingsregisters [post_excerpt] => [post_status] => publish [comment_status] => closed [ping_status] => closed [post_password] => [post_name] => autoriteit-persoonsgegevens-start-onderzoek-naar-verwerkingsregisters [to_ping] => [pinged] => [post_modified] => 2019-02-05 10:14:56 [post_modified_gmt] => 2019-02-05 09:14:56 [post_content_filtered] => [post_parent] => 0 [guid] => https://www.boelszanders.nl/?post_type=publication&p=18381 [menu_order] => 0 [post_type] => publication [post_mime_type] => [comment_count] => 0 [filter] => raw ) [17] => WP_Post Object ( [ID] => 18335 [post_author] => 2 [post_date] => 2018-07-10 10:28:33 [post_date_gmt] => 2018-07-10 08:28:33 [post_content] => De Autoriteit Persoonsgegevens (AP) heeft de afgelopen maanden onderzoek gedaan naar het gebruik van BTW-nummers van zelfstandigen (eenmanszaken). Het BTW-nummer dat wordt verstrekt door de Belastingdienst aan de zelfstandigen bevat namelijk het (privé) BSN van die zelfstandige. De AP heeft geoordeeld dat dit in strijd is met de AVG. Het onderzoeksrapport is afgelopen vrijdag gepubliceerd. Het BSN mag op grond van de Wet algemene bepalingen burgerservicenummer (Wabb) enkel worden gebruikt indien een wet dit voorschrijft. Zonder wettelijke grondslag met het BSN niet worden toegepast. De Wabb biedt echter geen wettelijke grondslag voor gebruik in het BTW-nummer. De AP is dan ook van oordeel dat dit gebruik in strijd is met artikel 46 Uitvoeringswet AVG en artikelen 5 en 6 AVG. Zienswijze Belastingdienst De Belastingdienst heeft gedurende het onderzoek haar zienswijze afgegeven over het voorlopig oordeel van de AP. De Belastingdienst is van mening dat 1) het gebruik van het BSN wel past binnen de Wabb, 2) het gebruik al bestaat sinds de invoering van het BSN en daarom door de wetgever van een wettelijke grondslag moet worden voorzien en 3) omschakeling naar een ander systeem tijd kost. De AP is het deels eens met de Belastingdienst, maar dit wijzigt het standpunt niet. De Wabb biedt namelijk wel een wettelijke grondslag voor gebruik van het BSN voor communicatie tussen Belastingdienst en de zelfstandige. Het wringt echter daar waar de zelfstandige verplicht is om zijn BTW-nummer (en dus BSN) bekend te maken. Het BTW-nummer staat immers verplicht op alle facturen en op de website. Er is bij de invoering van het BSN 10 jaar geleden onvoldoende oog geweest voor de privacy van de ondernemer. Met de AVG en de Uitvoeringswet AVG is het nu echter wel zaak om zo snel mogelijk een eind te maken aan deze praktijk. Sancties? De Belastingdienst heeft in oktober 2017 al richting de AP aangekondigd met een plan van aanpak te komen om gebruik van het BSN in BTW-nummers te wijzigen. Inmiddels ligt er nog steeds geen inhoudelijke reactie. De Staatssecretaris heeft wel aangekondigd voor de zomer met een inhoudelijke reactie te komen, maar ook deze is nog niet beschikbaar. Indien de overtreding niet op korte tijd wordt gestaakt, zal het dossier worden overgedragen aan de handhavingsdivisie van de AP. Zij zullen zich dan buigen over de vraag of er een sanctie zal worden opgelegd. Het zou in beginsel niet moeten uitmaken dat het hier gaat om een overheidsdienst. Ook zij kunnen worden beboet. Voor de onafhankelijke status van de AP zou het niet eens zo gek zijn als zij een sanctie opleggen aan een mede overheidsinstantie. Zeker omdat de Belastingdienst claimt tot 2020 nodig te hebben voordat zij de AVG kunnen naleven, terwijl voor iedere organisatie de wetgeving toch echt op 25 mei 2018 in werking is getreden. Wordt ongetwijfeld vervolgd. Lees het hele onderzoek hier: https://www.autoriteitpersoonsgegevens.nl/nl/nieuws/belastingdienst-verwerkt-burgerservicenummers-strijd-met-de-wet Juli 2018 [post_title] => Breaking: gebruik BTW-nummers zelfstandigen in strijd met AVG [post_excerpt] => [post_status] => publish [comment_status] => closed [ping_status] => closed [post_password] => [post_name] => breaking-gebruik-btw-nummers-zelfstandigen-strijd-avg [to_ping] => [pinged] => [post_modified] => 2019-02-05 09:50:27 [post_modified_gmt] => 2019-02-05 08:50:27 [post_content_filtered] => [post_parent] => 0 [guid] => https://www.boelszanders.nl/?post_type=publication&p=18335 [menu_order] => 0 [post_type] => publication [post_mime_type] => [comment_count] => 0 [filter] => raw ) [18] => WP_Post Object ( [ID] => 18328 [post_author] => 2 [post_date] => 2018-07-10 09:00:30 [post_date_gmt] => 2018-07-10 07:00:30 [post_content] => Verschillende organisaties worstelen met de vraag of zij al dan niet een FG (Functionaris voor de Gegevensbescherming) moeten aanstellen. Dit kan zich toespitsen op de vraag of een organisatie de stap wilt nemen om vrijwillig een FG aan te stellen, of op de vraag hoe het takenpakket van de FG zich intern verhoudt. Aanstelling FG indien niet verplicht Iedere organisatie kan de stap nemen om een FG aan te stellen, ook wanneer de AVG dat niet verplicht stelt. Een eenmaal aangestelde en bij de Autoriteit Persoonsgegevens aangemelde FG heeft dezelfde rechten en plichten als de verplichte FG. Hij of zij dient dus ook toegang te hebben tot directie, tijdig te worden meegenomen in besluitvorming. De FG heeft ook ontslagbescherming. Er kunnen een aantal redenen zijn om een FG aan te stellen, ook als je het als organisatie niet verplicht bent. De belangrijkste is om naar buiten toe uit te stralen dat privacy wordt gewaarborgd en dat de organisatie zich bewust is van de verplichtingen die de AVG met zich meebrengt. Marketingtechnisch kan dit interessant zijn. Een andere reden kan zijn omdat de informele privacy officer intern, toch al alle taken uitvoert die een FG heeft. Indien dat het geval is, is het een kleine stap van informele privacy officer naar officiële FG. Deze ‘promotie’ geeft de privacy officer intern mogelijk ook meer slagkracht vanwege de officiële status. Verhouding takenpakket en ontslagbescherming Een FG heeft op grond van de AVG ontslagbescherming voor de taken die hij of zij als FG uitvoert. Dit is vergelijkbaar met de ontslagbescherming van een OR-lid. Ontslagbescherming toekennen aan een werknemer is echter een hele stap. U dient als werkgever wel het vertrouwen te hebben dat de beoogde FG deze taak kan waarmaken. Tevens wordt van een FG verwacht dat hij of zij onafhankelijk kan adviseren over voorgenomen verwerkingen. Niet alle functies zijn daarmee verenigbaar. Bijvoorbeeld iemand van de directie, IT of een OR-lid zijn niet geschikt als FG. Directie en IT zouden namelijk als FG de door zichzelf genomen beslissingen moeten bekritiseren. Een OR-lid moet als FG adviseren zonder daarbij de arbeidsrechtelijke implicaties van de OR te betrekken. Dat is immers een andere toets. Bij eventuele invoering van cameratoezicht of monitoring van werknemers zijn deze functies niet verenigbaar. Wij adviseren organisaties indien mogelijk de functie van FG te combineren met compliance of met control. Veel organisaties beschikken echter niet over dergelijke controlerende afdelingen. In zo’n geval kan ook gedacht worden aan het aanstellen van een externe FG. Dit heeft veel voordelen. De belangrijkste zijn wel dat de externe FG geen ontslagbescherming geniet en altijd onafhankelijk kan adviseren. Bovendien heeft de externe FG vaak een andere status binnen de organisatie die er voor kan zorgen dat de input van de FG eerder wordt meegenomen. Met inschakeling van een externe FG haalt u ook kennis in huis die u niet intern hoeft te gaan opbouwen. Ook leden van team Privacy van Boels Zanders Advocaten treden op als externe FG. Tevens zijn wij lid van de Vereniging Privacy recht en het Nederlands Genootschap van FG’s, zodat ook de continue ontwikkeling van kennis is gewaarborgd. Heeft u vragen over de aanstelling van een FG of wilt u meer weten over de externe FG van Boels Zanders? Neem dat contact op met team Privacy.  Juli 2018 [post_title] => Twijfelt u over aanstelling van een FG? [post_excerpt] => [post_status] => publish [comment_status] => closed [ping_status] => closed [post_password] => [post_name] => twijfelt-aanstelling-fg [to_ping] => [pinged] => [post_modified] => 2019-02-05 09:47:10 [post_modified_gmt] => 2019-02-05 08:47:10 [post_content_filtered] => [post_parent] => 0 [guid] => https://www.boelszanders.nl/?post_type=publication&p=18328 [menu_order] => 0 [post_type] => publication [post_mime_type] => [comment_count] => 0 [filter] => raw ) [19] => WP_Post Object ( [ID] => 17010 [post_author] => 2 [post_date] => 2018-02-20 16:06:08 [post_date_gmt] => 2018-02-20 15:06:08 [post_content] => Iedere organisatie beschikt over privacygevoelige informatie. Hoe moet worden omgegaan met deze informatie verschilt echter per branche. Ook de spelers in de bouw krijgen in de praktijk te maken met privacy. Zowel op het gebied van HR (personeelsdossiers), marketing (contactpersonen) als bij eventuele natuurlijke personen als klant is sprake van verwerking van persoonsgegevens. In dit artikel worden de belangrijkste privacy verplichtingen van de spelers in de bouw toegelicht. Op 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming in werking. De AVG brengt een aantal aanvullende verplichtingen met zich mee, bovenop de huidige privacywetgeving. Aantoonbaar privacy-compliant De AVG legt de nadruk op de verantwoordelijkheid van organisaties bij de verwerking van persoonsgegevens. De spelers in de bouw dienen aantoonbaar privacy-compliant te zijn. Dit betekent dat de spelers in de bouw om te voldoen aan hun verantwoordingsplicht beleid moeten implementeren ten aanzien van privacy. Een van de documenten die (in veel gevallen) moet worden bijgehouden is het register van verwerkingsactiviteiten. Hierin moet informatie worden opgenomen over de persoonsgegevens die de organisatie verwerkt. Organisaties met meer dan 250 werknemers zijn verplicht om een register bij te houden. De verplichting kan echter ook bestaan voor organisaties met minder dan 250 werknemers, bijvoorbeeld als zij op grote schaal bijzondere persoonsgegevens verwerken. Noodzakelijkheidseis De AVG bepaalt dat alleen persoonsgegevens die noodzakelijk zijn, mogen worden verwerkt, conform een vooraf bepaald doel. Daarnaast dient de gegevensverwerking te worden gebaseerd op een in de AVG genoemde grondslag. Dit houdt in dat de spelers in de bouw zich af moeten vragen:
  1. welke persoonsgegevens zij verwerken;
  2. op grond waarvan zij dit doen;
  3. voor welk doel; en
  4. of de verwerking van die specifieke gegevens daadwerkelijk noodzakelijk is.
Voor de spelers in de bouw geldt bijvoorbeeld dat zij moeten afwegen hoe lang zij klant- en personeelsgegevens (mogen) bewaren. Functionaris voor de gegevensbescherming De spelers in de bouw kunnen verplicht zijn een functionaris voor de gegevensbescherming aan te stellen (FG). Dit is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de AVG. Dit is met name verplicht (dan wel aan te raden) bij grote organisaties. Gegevensbeschermingseffectbeoordeling Ten slotte kunnen de spelers in de bouw verplicht zijn een gegevensbeschermingseffectbeoordeling uit te voeren. Dit is een hele mond vol, maar het komt er in de kern op neer dat de privacy risico's van gegevensverwerkingen in kaart moeten worden gebracht (door middel van een assessment). Dit geldt alleen indien een verwerking waarschijnlijk een hoog privacyrisico oplevert voor de betrokkenen, namelijk de personen van wie de organisatie gegevens verwerkt. De AVG geeft aan dat een beoordeling nodig kan zijn bij het gebruik van nieuwe technologie. Afsluiting De spelers in de bouw dienen er vóór 25 mei 2018 voor te zorgen dat hun beleid privacy-proof is. Door privacybeleid te implementeren voldoet u aan de vereisten van de AVG, en zorgt u ervoor dat uw organisatie zorgvuldig omgaat met persoonsgegevens. Op die manier kunt u problemen, boetes en reputatieschade voorkomen. Heeft u vragen over de vereisten van de AVG of het implementeren van privacybeleid? Neem dan contact op met Monica Leenders of Anique van de Kerkhof. Februari 2018   [post_title] => Privacy in de bouw [post_excerpt] => [post_status] => publish [comment_status] => closed [ping_status] => closed [post_password] => [post_name] => privacy-in-de-bouw [to_ping] => [pinged] => [post_modified] => 2018-02-20 16:06:08 [post_modified_gmt] => 2018-02-20 15:06:08 [post_content_filtered] => [post_parent] => 0 [guid] => https://www.boelszanders.nl/?post_type=publication&p=17010 [menu_order] => 0 [post_type] => publication [post_mime_type] => [comment_count] => 0 [filter] => raw ) [20] => WP_Post Object ( [ID] => 18208 [post_author] => 2 [post_date] => 2018-06-26 09:00:43 [post_date_gmt] => 2018-06-26 07:00:43 [post_content] => Het jaarverslag 2017 van de Autoriteit Persoonsgegevens (AP) is afgelopen maand gepubliceerd. Hierin wordt een overzicht gegeven van wat er in het jaar 2017 binnen de organisatie van de AP is gebeurd. Wat valt er op, en welke organisaties zijn op de vingers getikt? De AP constateert dat er in de maatschappij meer aandacht is voor het onderwerp privacy. Niet alleen is er aandacht voor de Algemene Verordening Gegevensbescherming (AVG), maar ook voor de incidenten rondom Facebook, medische dossiers en cameratoezicht in sauna's. Het jaar 2017 stond voor de AP in het teken van het doen van onderzoek. Er was met name aandacht voor de verwerking van bijzondere persoonsgegevens. Volgens de AP worden bijzondere persoonsgegevens steeds vaker verwerkt, bijvoorbeeld omdat ze steeds vaker onderdeel uitmaken van big data. Bedrijven en overheden verzamelen, analyseren en gebruiken grote hoeveelheden gegevens. Dit was voor de AP reden om te focussen op handhaving van het verbod om bijzondere persoonsgegevens te verwerken. BSN in BTW-nummers De AP deed onderzoek naar de verwerking van het Burgerservicenummer (BSN) in BTW-identificatienummers van zzp'ers. Niet alleen verwerkt de belastingdienst deze gegevens op grote schaal, ook zijn zzp'ers verplicht het identificatienummer aan hun (potentiële) klanten bekend te maken. Dergelijke nummers moeten bijvoorbeeld op websites en facturen worden vermeld. Hierdoor is het BSN van een zzp'er kenbaar voor eenieder, en ligt identiteitsfraude op de loer. De AP voert al sinds vorig jaar juni onderzoek naar het gebruik van het BSN in BTW-identificatienummers. Het is de vraag of de AP zal constateren dat er sprake is van onrechtmatige privacyschending. Airbnb In 2017 werd het populaire Airbnb door de AP op de vingers getikt. Op aandringen van de Nederlandse en de Ierse AP stopte Airbnb met het verwerken van het BSN van haar bezoekers. Inmiddels verwijdert Airbnb automatisch het BSN uit alle digitale kopieën van identiteitsbewijzen, en zijn alle eerder verzamelde BSN's vernietigd. UWV De AP stelde eind 2017 vast dat het UWV de wet overtrad bij de beveiliging van het online werkgeversportaal en bij verzuimbeheer. In het werkgeversportaal kunnen werkgevers en arbodiensten ziekteverzuimgegevens van werknemers invoeren en bekijken. Het portaal bleek echter onvoldoende beveiligd te zijn. Het UWV is verplicht om het portaal te beveiligen met een "meerfactorauthenticicatie". Dit betekent dat de gebruiker zich op minimaal twee manieren moet authentiseren om toegang te krijgen. Wat bleek? UWV-medewerkers die ziekmeldingen behandelden waren daarvoor niet bevoegd. De medewerkers vroegen aan werknemers die zich meldden gegevens over hun gezondheid om de uitkeringsclaim te kunnen beoordelen. Dat mag echter alleen onder de verantwoordelijkheid van een arts. Dat was bij het UWV niet het geval. Capaciteit van de AP schiet tekort Hoe staat de AP er in het jaar 2018 voor? De AP krijgt dit jaar te maken met een aantal ingrijpende veranderingen. Dit komt door de nieuwe taken en bevoegdheden die de AP erbij krijgt, bijvoorbeeld op het gebied van Europese samenwerking en de behandeling van klachten van burgers. Uit onderzoek volgt dat de capaciteit van de AP 2,5 keer groter zou moeten zijn dan momenteel het geval is om effectief toezicht te kunnen (blijven) houden. In lijn met het onderzoek heeft de AP gereorganiseerd, en heeft zij inmiddels een grotere omvang. Of de capaciteit voldoende is toegenomen zal moeten blijken, zeker nu de AVG recent in werking is getreden. Afsluiting Heeft u vragen over de verwerking van persoonsgegevens? Neem dan contact op met een van de advocaten van team Privacy, zij zijn u graag van dienst. Juni 2018 [post_title] => De Autoriteit Persoonsgegevens: hoe staat zij ervoor? [post_excerpt] => [post_status] => publish [comment_status] => closed [ping_status] => closed [post_password] => [post_name] => autoriteit-persoonsgegevens-hoe-staat-ervoor [to_ping] => [pinged] => [post_modified] => 2018-06-20 11:14:10 [post_modified_gmt] => 2018-06-20 09:14:10 [post_content_filtered] => [post_parent] => 0 [guid] => https://www.boelszanders.nl/?post_type=publication&p=18208 [menu_order] => 0 [post_type] => publication [post_mime_type] => [comment_count] => 0 [filter] => raw ) [21] => WP_Post Object ( [ID] => 18196 [post_author] => 2 [post_date] => 2018-06-22 09:00:20 [post_date_gmt] => 2018-06-22 07:00:20 [post_content] => Het gebruik van internet is in de sport niet meer weg te denken. Sportverenigingen doen uitgebreid verslag van een wedstrijd op hun website of op het social media platform waarop zij actief zijn. Meestal gaan deze wedstrijdverslagen gepaard met een aantal actiefoto's van zowel de sporters als van het publiek. De vraag is echter of een sportvereniging deze foto's van haar leden of van het publiek nog wel online mag publiceren met de inwerkingtreding van de Algemene Verordening Gegevensbescherming (AVG)? Toestemming Foto's van sporters of van het publiek, waarop zij herkenbaar in beeld worden gebracht, zijn persoonsgegevens. Indien een sportvereniging foto's publiceert op haar website of op social media dan is dit een vorm van verwerking van persoonsgegevens en is de AVG van toepassing. Voor de verwerking van persoonsgegevens dient er sprake te zijn van een grondslag voor verwerking. De AVG kent een aantal grondslagen voor verwerking, waarvan vooral toestemming gegeven met specifiek bepaalde doeleinden relevant is in de context van internet en social media. De sporters en het publiek die worden afgebeeld op de website van de vereniging of op social media hebben vaakgeen toestemming gegeven voor het plaatsen van deze gegevens. Laat staan dat het publiceren van deze gegevens noodzakelijk is. De noodzakelijkheid is echter wel vereist. Journalistiek? Wellicht kan in deze situatie een beroep worden gedaan op de uitzondering die de AVG biedt ten aanzien van informatievoorziening. Gelet op het belang van het recht op vrijheid van meningsuiting, dienen begrippen die betrekking hebben op die vrijheid, zoals journalistiek, ruim te worden geïnterpreteerd. Daarbij komt dat zowel het publiek als de sporters het doorgaans weinig ingrijpend vinden als een foto op de website of op social media geplaatst wordt, terwijl de opsteller van het bericht vaak een te respecteren belang heeft bij het afbeelden van deze personen, namelijk het informeren van het publiek. Uiteraard spelen diverse factoren een rol, zoals de vraag hoe groot het publiek is. Gaat het om de lokale amateursvereniging of om de eredivisie? De tijd zal uitwijzen of deze interpretatie ook volgens de rechter stand houdt. Hoe ver de journalistieke uitzondering gaat, is nog onduidelijk. Er wordt wel voor gepleit om deze uitzondering voor een situatie als deze te hanteren. Conclusie Dit betekent dat een sportvereniging, met de inwerkingtreding van de AVG, mogelijk nog steeds uitgebreid verslag kan doen van een wedstrijd en daar foto's van mag publiceren. Als het doel van de berichtgeving het informeren van het publiek is, dan zal een foto van een sporter wel zijn toegestaan. Bijvoorbeeld van het winnende doelpunt. Echter zal een close-up foto van een toeschouwer de toets van het informeren van het publiek niet doorstaan. De sportvereniging moet zich dus telkens afvragen of de foto relevant is voor het doel van het wedstrijdverslag. Meer informatie Heeft u vragen over dit onderwerp? Wilt u meer informatie? Neem dan contact op met een van de advocaten van team Privacy, zij zijn u graag van dienst. Juni 2018 [post_title] => Mag een sportvereniging foto's van haar leden of van het publiek online publiceren, gelet op de AVG? [post_excerpt] => [post_status] => publish [comment_status] => closed [ping_status] => closed [post_password] => [post_name] => mag-sportvereniging-fotos-leden-publiek-online-publiceren-gelet-op-avg [to_ping] => [pinged] => [post_modified] => 2018-06-22 10:02:36 [post_modified_gmt] => 2018-06-22 08:02:36 [post_content_filtered] => [post_parent] => 0 [guid] => https://www.boelszanders.nl/?post_type=publication&p=18196 [menu_order] => 0 [post_type] => publication [post_mime_type] => [comment_count] => 0 [filter] => raw ) [22] => WP_Post Object ( [ID] => 18194 [post_author] => 2 [post_date] => 2018-06-20 08:55:36 [post_date_gmt] => 2018-06-20 06:55:36 [post_content] => Recentelijk informeerde mijn collega Monica Leenders u over de verplichting een "FG" aan te wijzen in het onderwijs. Sindsdien is er veel verwarring ontstaan over de vraag of ieder schoolbestuur een Functionaris voor de Gegevensbescherming moet aanwijzen, of dat sommige de dans (kunnen) ontspringen. Grondslag(en) Organisaties zijn in drie situaties verplicht om een FG te benoemen, namelijk als de organisatie:
  1. kwalificeert als een overheidsinstelling en/of een publieke organisatie;
  2. zij vanuit hun kernactiviteit op grote schaal individuen volgen; of
  3. zij op grote schaal bijzondere persoonsgegevens verwerken.
De PO-, VO-Raad en Kennisnet concludeerden eerder al dat ieder schoolbestuur hoe dan ook verplicht is een FG aan te stellen. Volgens hen zijn schoolbesturen aan te merken als een overheidsorgaan, dan wel zijn zij gelijk te stellen aan een overheidsorgaan (categorie 1). Bovendien volgen schoolbesturen op grote schaal individuen (categorie 2). Voor besturen in speciaal onderwijs geldt daarnaast dat zij op grote schaal bijzondere persoonsgegevens verwerken (categorie 3). De meningen zijn verdeeld Ondanks dat de belangrijkste adviesraden in het onderwijs concluderen dat alle schoolbesturen een FG moeten benoemen, zijn de meningen verdeeld. Tegenstanders maken de vergelijking met het voorbeeld van de kleine zelfstandige, namelijk de zelfstandig werkende advocaat of de huisarts met een eigen praktijk (circa 1200 patiënten). Beide zijn te vergelijken met kleine schoolbesturen, waar slechts een paar honderd leerlingen zijn ingeschreven. Nu de advocaat en de huisarts geen FG hoeven te benoemen, zouden besturen van één kleine school ook de dans kunnen ontspringen. De gedachte hierbij is tweeledig. Enerzijds wordt beargumenteerd dat besturen van één kleine school niet op "grote schaal" gegevens verwerken. De situatie waarin de schoolbestuurder verkeert kan worden vergeleken met die van de advocaat en de huisarts. Anderzijds brengt het aanwijzen van een FG hoge kosten met zich mee. Het schoolbestuur is daarom al snel aangewezen op het benoemen van een externe FG. Een andere optie is het inzetten van eigen personeel. Het inzetten van eigen personeel heeft echter al snel tot gevolg dat 0.2 FTE moet worden ingeleverd, wat voor een kleine organisatie geen sinecure is. Wat is juist? Alleen openbare scholen kwalificeren als overheidsinstantie in de zin van de AVG. Zij zullen op basis van de eerste grondslag een FG moeten benoemen. Bijzondere scholen niet, zij voeren slechts een publieke taak uit waar het de afgifte van diploma's betreft. Toch komen ook zij niet onder de verplichting tot het aanstellen van een FG uit. Scholen die gebruik maken van een leerlingvolgsysteem vallen namelijk onder categorie twee, het stelselmatig observeren van personen. Aangezien iedere school gebruikmaakt van enig leerlingvolgsysteem, zal ook ieder schoolbestuur een FG moeten aanstellen. Op die manier komen ook eenpitters niet onder de verplichting uit. Bovendien geldt voor het bevoegd gezag van een grote school of van meerdere scholen (en samenwerkingsverbanden!) dat zij al snel op grootschalige wijze bijzondere persoonsgegevens verwerken (categorie 3). Schoolbesturen waarbij veel leerlingen staan ingeschreven, beschikken over een aanzienlijke hoeveelheid gevoelige informatie. Denk hierbij onder andere aan cijfers, begeleidingsplannen, gegevens over de thuissituatie. Op de vraag waar de grens met betrekking tot de grootschaligheid ligt, kan nu nog geen antwoord worden gegeven. De tijd zal dat moeten uitwijzen aan de hand instructies van de Autoriteit Persoonsgegevens en jurisprudentie over de AVG. Conclusie De verplichting tot het benoemen van een FG geldt aldus voor álle schoolbesturen, ongeacht het aantal ingeschreven leerlingen, de hoeveelheid bijzondere persoonsgegevens die worden verwerkt en het feit dat de meeste scholen géen overheidsinstantie zijn. Omdat de AVG inmiddels inwerking is getreden, adviseren wij u zo spoedig mogelijk een FG te benoemen. Indien wij u daarbij van dienst kunnen zijn, bijvoorbeeld door het vervullen van de rol van (externe) FG, vernemen wij dat graag. Neem in dat geval contact op met Anique van de Kerkhof of een van de andere advocaten van team Onderwijs, zij zijn u graag van dienst. Juni 2018 [post_title] => Onduidelijkheid over de FG in het onderwijs. Wel of niet verplicht? [post_excerpt] => [post_status] => publish [comment_status] => closed [ping_status] => closed [post_password] => [post_name] => onduidelijkheid-fg-onderwijs-wel-verplicht [to_ping] => [pinged] => [post_modified] => 2018-06-19 10:55:33 [post_modified_gmt] => 2018-06-19 08:55:33 [post_content_filtered] => [post_parent] => 0 [guid] => https://www.boelszanders.nl/?post_type=publication&p=18194 [menu_order] => 0 [post_type] => publication [post_mime_type] => [comment_count] => 0 [filter] => raw ) [23] => WP_Post Object ( [ID] => 18193 [post_author] => 2 [post_date] => 2018-06-19 12:31:41 [post_date_gmt] => 2018-06-19 10:31:41 [post_content] => De Autoriteit Persoonsgevens (AP) waarschuwt op haar website voor bedrijven die nu al zeggen dat ze een keurmerk kunnen afgeven waarmee organisaties aan kunnen tonen dat ze helemaal voldoen aan de Algemene verordening gegevensbescherming (AVG). Dit soort bedrijven zegt soms nauw samen te werken met de Nederlandse toezichthouder op de privacywetgeving, maar dat klopt niet. De AP heeft geen AVG-keurmerk goedgekeurd. De AP is wel betrokken bij accreditatie van instellingen die een AVG-certificaat kunnen toekennen. Een AVG-certificaat is een schriftelijke verklaring dat een product, proces, of dienst aan alle of bepaalde specifieke eisen uit de AVG voldoet. Organisaties die persoonsgegevens verwerken kunnen met een AVG-certificaat laten zien dat ze de persoonsgegevens zorgvuldig verwerken en beschermen. Organisaties zullen op termijn een AVG-certificaat kunnen aanvragen bij een certificatie-instelling die is goedgekeurd (geaccrediteerd) door de Raad voor accreditatie (RvA). Op dit moment zijn er in Nederland echter nog geen certificatie-instellingen geaccrediteerd voor het afgeven van AVG-certificaten. Heeft u naar aanleiding van dit bericht vragen? Neem dan contact op met de specialisten van team Privacy van Boels Zanders Advocaten. Ook voor alle overige vragen omtrent de privacyverplichtingen binnen uw organisatie ten aanzien van persoonsgegevens, kunt u bij ons terecht. Juni 2018 [post_title] => AP waarschuwt voor misleidend AVG-keurmerk [post_excerpt] => [post_status] => publish [comment_status] => closed [ping_status] => closed [post_password] => [post_name] => ap-waarschuwt-misleidend-avg-keurmerk [to_ping] => [pinged] => [post_modified] => 2018-06-19 10:42:50 [post_modified_gmt] => 2018-06-19 08:42:50 [post_content_filtered] => [post_parent] => 0 [guid] => https://www.boelszanders.nl/?post_type=publication&p=18193 [menu_order] => 0 [post_type] => publication [post_mime_type] => [comment_count] => 0 [filter] => raw ) [24] => WP_Post Object ( [ID] => 18129 [post_author] => 2 [post_date] => 2018-06-04 14:00:54 [post_date_gmt] => 2018-06-04 12:00:54 [post_content] => Wat was.. Onder de Wet Bescherming Persoonsgegevens lagen de verplichtingen met betrekking tot de bescherming van persoonsgegevens in beginsel bij de verwerkingsverantwoordelijke en bleef de verwerker buiten schot. Dit terwijl de verantwoordelijke ook toen al met regelmaat afhankelijk was van de werk- en handelswijze van de verwerker, met name met betrekking tot het belangrijkste punt: de beveiliging van de gegevens. Wat is.. Nu de AVG in werking is getreden, is hier verandering in gekomen. Uitgangspunt is gebleven dat de verwerkingsverantwoordelijke hoofdverantwoordelijke is voor verwerking van persoonsgegevens die hij met een bepaald doel verzamelt en verwerkt. De AVG heeft echter ook een aantal verplichtingen voor de verwerker geïntroduceerd. De verwerker is medeverantwoordelijk geworden voor de verwerking van de persoonsgegevens die hij in opdracht van de verwerkingsverantwoordelijke verwerkt. Samenwerken in gegevensbescherming Meer dan ooit is het dus belangrijk dat verantwoordelijke en verwerker samenwerken in de bescherming van persoonsgegevens. Als basis hiervoor moeten partijen een verwerkersovereenkomst sluiten, een document dat de relatie tussen hen regelt. Hierin komen bepalingen te staan over onder meer het doel van verwerking, de aard van persoonsgegevens, beveiliging, sub-verwerkers, datalekken bij de verwerker en schade en boetes en hoe de vergoeding daarvan tussen partijen wordt verdeeld. Partijen moeten echter verder samenwerken. De verwerker is namelijk verplicht om de verantwoordelijke te ondersteunen bij het uitvoeren van zijn taken en verplichtingen onder de AVG. Dit geldt ten aanzien van beveiliging, maar gaat ook verder. Wanneer een betrokkene bijvoorbeeld wilt weten welke persoonsgegevens van hem worden verwerkt, dan moet de verwerker de verantwoordelijke helpen bij het beantwoorden van deze vraag. Stapsgewijs Stap 1: Breng in kaart welke persoonsgegevens door verwerkers worden verwerkt / van welke verantwoordelijke(n) persoonsgegevens worden verwerkt; Stap 2: Sluit een verwerkersovereenkomst die alle noodzakelijke bepalingen bevat; Stap 3: Houd met regelmaat contact met de Functionaris Gegevensbescherming / Privacy Officer van de verwerker en/of verantwoordelijke. Ons team Privacy adviseert u graag over de AVG en de gevolgen hiervan voor uw organisatie. Denk daarbij ook aan het opstellen van of onderhandelen over de verwerkersovereenkomsten. Voor meer informatie over de mogelijkheden kunt u vrijblijvend contact opnemen met een medewerker van team Privacy. Juni 2018 [post_title] => Verantwoordelijke en verwerker onder de AVG; you're in it together! [post_excerpt] => [post_status] => publish [comment_status] => closed [ping_status] => closed [post_password] => [post_name] => verantwoordelijke-en-verwerker-avg-youre-it-together [to_ping] => [pinged] => [post_modified] => 2018-06-04 14:16:07 [post_modified_gmt] => 2018-06-04 12:16:07 [post_content_filtered] => [post_parent] => 0 [guid] => https://www.boelszanders.nl/?post_type=publication&p=18129 [menu_order] => 0 [post_type] => publication [post_mime_type] => [comment_count] => 0 [filter] => raw ) [25] => WP_Post Object ( [ID] => 18039 [post_author] => 2 [post_date] => 2018-05-24 09:00:37 [post_date_gmt] => 2018-05-24 07:00:37 [post_content] => Op 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming (AVG) in werking. Ook hotels dienen hun organisatie zodanig in te richten dat zij voldoen aan de AVG om te voorkomen dat zij worden geconfronteerd met boetes of andere sancties van de Autoriteit Persoonsgegevens (AP). In hotels worden veel persoonsgegevens van hotel- en restaurantgasten verwerkt. In het kader van de AVG is onder andere van belang wélke gegevens van hotelgasten worden verzameld. Op grond van de wet is een hotel verplicht een nachtverblijfregister bij te houden, waarin de volgende gegevens staan vermeld: de soort van een geldig identiteitsbewijs, voor- en achternaam, woonplaats, de dag van aankomst en de dag van vertrek. Hotels zijn echter niet gerechtigd om een kopie of scan van het identiteitsbewijs te maken of om andere gegevens (zoals het BSN-nummer) over te nemen. Voor hotels gelden echter nog meer aandachtspunten in het kader van de AVG, waaronder:
  • De bewaartermijnen van de gasten- en personeelsadministratie;
  • Het opstellen en bijhouden van een verwerkingsregister;
  • Het gebruik van cameratoezicht in en rondom het hotel;
  • De inrichting van het gastenadministratieprogramma;
  • Het inschakelen van (externe) nachtportiers;
  • Het sluiten van verwerkersovereenkomsten met andere partijen;
  • Het gebruik van (ontbijt)lijsten;
  • Het benaderen van (voormalige) gasten voor marketingdoeleinden;
  • Het gebruik van social media;
  • Het hanteren van een zwarte lijst, dat slechts beperkt is toegestaan;
  • Het verstrekken van camerabeelden en/of het nachtverblijfregister aan de politie.
Ons team Privacy adviseert uw hotel graag over de AVG en de gevolgen hiervan voor uw hotel. Aan de hand van een privacyscan waarbij wij de processen binnen uw hotel doornemen, kunnen wij u tevens adviseren over de concrete maatregelen die uw hotel dient te nemen om uw hotel AVG-proof te maken. Voor meer informatie over de mogelijkheden kunt u vrijblijvend contact opnemen met Monica Leenders en Janne Verheijden. Mei 2018 [post_title] => Is uw hotel klaar voor de AVG? [post_excerpt] => [post_status] => publish [comment_status] => closed [ping_status] => closed [post_password] => [post_name] => is-hotel-klaar-avg [to_ping] => [pinged] => [post_modified] => 2018-05-23 13:28:28 [post_modified_gmt] => 2018-05-23 11:28:28 [post_content_filtered] => [post_parent] => 0 [guid] => https://www.boelszanders.nl/?post_type=publication&p=18039 [menu_order] => 0 [post_type] => publication [post_mime_type] => [comment_count] => 0 [filter] => raw ) [26] => WP_Post Object ( [ID] => 17944 [post_author] => 2 [post_date] => 2018-05-18 09:00:55 [post_date_gmt] => 2018-05-18 07:00:55 [post_content] => Bij de Autoriteit Persoonsgegevens zijn vorig jaar 10.000 meldingen van datalekken binnengekomen. Ten opzichte van 2016 is het aantal meldingen met ruim 70% toegenomen, zo meldt de Autoriteit, van 5.849 naar 10.009. Dit is enerzijds goed, omdat de bekendheid van de meldplicht en het bewustzijn over de noodzakelijkheid van het melden van datalekken is toegenomen. Anderzijds betekent dit dat diverse organisaties het qua beveiliging vaak (nog) niet op orde hebben. De Autoriteit constateert dat het bij bijna de helft (47%) van de datalekken die in 2017 zijn gemeld, gaat om persoonsgegevens die aan een verkeerde ontvanger zijn gestuurd of afgegeven. Van het totale aantal gemelde datalekken vormen 15% meldingen van kwijtgeraakte persoonsgegevens als gevolg van bijvoorbeeld een verloren of gestolen laptop, usb-stick of tas met dossiers. Bij het soort persoonsgegevens moet men denken aan gegevens zoals bijvoorbeeld NAW-gegevens, geslacht, geboortedatum en BSN-nummers. De meeste meldingen van datalekken kwamen, net zoals in 2016, van organisaties uit de sectoren gezondheid & welzijn, het openbaar bestuur en de financiële dienstverlening. Het gaat dan met name om (zorg-)verzekeraars, ziekenhuizen, banken en gemeenten. De Autoriteit heeft niet alleen meldingen geregistreerd, maar gaat zelf ook actief op zoek naar datalekken. In 2017 is de Autoriteit 635 onderzoeken naar beveiliging en mogelijke datalekken gestart. De Autoriteit onderzoekt ook organisaties die geen meldingen van mogelijke datalekken hebben gedaan. Het komende jaar gaat de Autoriteit hier nog meer aandacht aan besteden. De onderzoeken hebben over het algemeen geleid tot een waarschuwing van de overtredende organisaties en tot beëindiging van de overtreding. Een aantal van de onderzoeken loopt nog. Ons team Privacy heeft hier al regelmatig over bericht: vanaf 25 mei geldt in Nederland de AVG (Algemene Verordening Gegevensbescherming). De meldplicht datalekken blijft onder de AVG bestaan. De inhoudelijke toets wijzigt echter. Daarnaast stelt de AVG strengere eisen aan de registratie van datalekken. Niet alleen de gemelde datalekken dienen door de organisatie te worden gedocumenteerd. Onder de AVG dienen voortaan alle datalekken gedocumenteerd te worden. Vanaf 25 mei zullen de boetes overigens hoger zijn. Het is daarom van belang om uw privacybeleid op orde te hebben. Hiermee worden risico's verkleind en kunnen datalekken tijdig worden gemeld bij de Autoriteit. En ook bij eventuele onderzoeken van de Autoriteit Persoonsgegevens, moet u kunnen aantonen dat uw beleid en administratie op orde zijn. Mocht u vragen hebben over het melden van datalekken of algemene vragen rondom de AVG, neem dan gerust contact op met ons team Privacy. Wij denken graag met u mee. Mei 2018 [post_title] => Aantal meldingen datalekken bijna verdubbeld [post_excerpt] => [post_status] => publish [comment_status] => closed [ping_status] => closed [post_password] => [post_name] => aantal-meldingen-datalekken-bijna-verdubbeld [to_ping] => [pinged] => [post_modified] => 2018-05-14 10:51:37 [post_modified_gmt] => 2018-05-14 08:51:37 [post_content_filtered] => [post_parent] => 0 [guid] => https://www.boelszanders.nl/?post_type=publication&p=17944 [menu_order] => 0 [post_type] => publication [post_mime_type] => [comment_count] => 0 [filter] => raw ) [27] => WP_Post Object ( [ID] => 17512 [post_author] => 2 [post_date] => 2018-04-09 10:01:28 [post_date_gmt] => 2018-04-09 08:01:28 [post_content] => Technologische ontwikkelingen in de bouw volgen elkaar in rap tempo op. Zo hebben wij eerder aandacht besteed aan de mogelijkheden van BIM. Cameratoezicht op de bouwplaats, al dan niet met een drone, is ook nieuw. Hiermee wordt de voortgang van een project gemonitord en wordt gekeken of het project qua tijd en kwaliteit nog op schema ligt. De visuele data die uit deze monitoring volgt, kan vervolgens in de toekomst worden gebruikt om projecten beter te begeleiden. Maar hoe verhoudt deze vorm van cameratoezicht zich tot de privacy-rechten van werknemers, ingeleend personeel en anderen die aanwezig zijn op de bouwplaats? Dronetoezicht is een moderne vorm van cameratoezicht. Door het inzetten van drones kunnen weliswaar bouwprojecten worden gemonitord maar tegelijkertijd kunnen werknemers hiermee ook in de gaten worden gehouden. Mag dat eigenlijk wel? Arbeidsrecht: monitoring werknemer Het monitoren van werknemers middels cameratoezicht is in beginsel niet toegestaan, tenzij voldaan wordt aan strenge voorwaarden. Het Europees Hof voor de Rechten van de Mens heeft recent nogmaals bevestigd aan welke voorwaarden moet worden voldaan. Deze voorwaarden zijn:
  • Allereerst dient het voor de werknemer kenbaar te zijn dat hij door middel van cameratoezicht in de gaten wordt gehouden. De kenbaarheid zou kunnen blijken uit een in het bedrijf geldende regeling. Verder dient de mate waarin toezicht wordt gehouden voor de werknemer kenbaar te zijn. Ook de wijze waarop het toezicht plaatsvindt moet duidelijk zijn. In dit voorbeeld: het overvliegen van een drone.
  • Met het cameratoezicht moet een gerechtvaardigd doel worden nagestreefd. Niet ieder doel is tevens een gerechtvaardigd doel. Deze voorwaarde geldt om uiteindelijk een belangenafweging te kunnen maken tussen het belang van de werkgever dat met het toezicht is gediend en het belang van de werknemer op het recht op privacy. Daarbij speelt ook een rol of de werknemers wel in de gaten kunnen worden gehouden. Bijvoorbeeld door op verschillende tijdstippen te monitoren en doordat van de personen in beeld mogelijk alleen de helm in beeld is, kan het zijn dat de schending van de rechten van de werknemer gering zijn en daarmee geoorloofd. Echter dient altijd te worden afgewogen (én onderbouwd) welk doel wordt gediend met het cameratoezicht.
  • Verder geldt de proportionaliteitseis. De proportionaliteit wordt getoetst door de noodzaak en evenredigheid van de maatregel (het cameratoezicht) in het licht van het beoogde (gerechtvaardigde) doel te plaatsen. Simpelweg kan de vraag worden gesteld of dat het doel ook met een minder ingrijpend middel kan worden bereikt?
Indien aan deze voorwaarden wordt voldaan, is cameratoezicht toegestaan. De vraag is echter of dat de privacy van werknemers überhaupt wel in het geding is, indien middels een drone toezicht op een bouwproject wordt gehouden. Immers, de drone vliegt op een bepaalde hoogte en werknemers dragen beschermende kleding. Waaronder een helm waardoor zij niet of nauwelijks herkenbaar of identificeerbaar zijn. Het EHRM heeft in 2002 in een zaak over cameratoezicht op publieke plaatsen, opgemerkt dat het relevant kan zijn of dat degene die een beroep op schending van de privacy doet ook het doelwit van de monitoring is en of er derhalve wel sprake is van een inbreuk op het privéleven. Tot slot is van belang dat wanneer de onderneming die cameratoezicht op werknemers inzet een ondernemingsraad (OR) heeft, de OR instemming moet verlenen voor het monitoren van de werknemers. Verleent de OR geen instemming dan kan de ondernemer de kantonrechter om vervangende toestemming vragen. Een besluit zonder de instemming van de OR of de toestemming van de kantonrechter is nietig, indien de OR binnen één maand nadat het besluit aan de OR bekend is geworden schriftelijk een beroep op de nietigheid doet. Privacyrecht: privacybelang betrokkenen Op 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming (AVG) in werking. Met cameratoezicht worden ook persoonsgegevens verwerkt. Het opslaan en bewaren van camerabeelden waarop personen (betrokkenen) zichtbaar zijn, is namelijk een vorm van verwerking van persoonsgegevens. Derhalve moet worden beoordeeld of het cameratoezicht is toegestaan op grond van de AVG. Anders dan het wettelijk kader van het arbeidsrecht, wordt via het privacyrecht ook rekening gehouden met de belangen van andere betrokkenen dan enkel werknemers. Denk ook aan ingeleend personeel, ZZP-ers maar ook derden die op de bouwplaats aanwezig zijn zoals leveranciers. Verwerking van persoonsgegevens moet aan een aantal vereisten voldoen. Onder andere dient te worden beoordeeld of:
  • Er sprake is van een gerechtvaardigd belang. Hierbij dient, net als binnen het arbeidsrecht, het belang van degene die toezicht houdt (de aannemer), te worden afgewogen tegen het privacybelang van de betrokkene. Indien het doel is om bouwtoezicht te houden, is het de vraag of dit belang voorgaat op het privacybelang. Daarbij speelt ook een rol of het toezicht ook op een andere wijze kan worden uitgeoefend waarbij geen of minder persoonsgegevens worden verwerkt. Dat kan, namelijk via fysieke inspecties. Aan de andere kant is het van belang in hoeverre betrokkenen daadwerkelijk in beeld worden gebracht. Indien zij nauwelijks herkenbaar in beeld worden gebracht, is de inbreuk op de privacy weer kleiner. Het is dus afhankelijk van het geval of cameratoezicht is toegestaan.
  • Het cameratoezicht dient kenbaar te zijn.
  • De verwerking van persoonsgegevens moet noodzakelijk zijn: kan het toezicht niet plaatsvinden zonder verwerking van persoonsgegevens?
  • De verwerking van persoonsgegevens moet proportioneel zijn: kan het toezicht niet op een andere wijze plaatsvinden zodat minder persoonsgegevens worden verwerkt?
Verder wijzen wij erop dat de camerabeelden maar beperkt mogen worden bewaard, indien daarop personen te zien zijn. De Autoriteit Persoonsgegevens gaat uit van een bewaartermijn van maximaal vier weken. Daarnaast is van belang dat met degene die de beelden maakt, indien dit een externe partij betreft, een verwerkersovereenkomst wordt gesloten. Indien een bepaling uit de AVG wordt overtreden gelden er sancties. Boetes kunnen oplopen tot 20 miljoen of 4% van de wereldwijde jaaromzet. Wij wijzen er verder op dat er ook aanvullende regelgeving voor het gebruik van drones kan gelden. Zo kan het onder omstandigheden vereist zijn dat een vergunning voor het vliegen met een drone wordt aangevraagd of dat de vlieger over een vliegbrevet beschikt. In dit artikel hebben wij enkel de arbeidsrechtelijke en privacy rechtelijke implicaties belicht. Heeft u vragen over cameratoezicht in het algemeen of dronetoezicht in het bijzonder? Neem dan contact op met onze teams Arbeidsrecht en/of Privacy. April 2018 [post_title] => Cameratoezicht op de bouwplaats [post_excerpt] => [post_status] => publish [comment_status] => closed [ping_status] => closed [post_password] => [post_name] => cameratoezicht-op-bouwplaats [to_ping] => [pinged] => [post_modified] => 2018-10-17 11:29:25 [post_modified_gmt] => 2018-10-17 09:29:25 [post_content_filtered] => [post_parent] => 0 [guid] => https://www.boelszanders.nl/?post_type=publication&p=17512 [menu_order] => 0 [post_type] => publication [post_mime_type] => [comment_count] => 0 [filter] => raw ) [28] => WP_Post Object ( [ID] => 17098 [post_author] => 2 [post_date] => 2018-03-05 09:50:05 [post_date_gmt] => 2018-03-05 08:50:05 [post_content] => Op 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming in werking. Deze verordening brengt een aantal wijzigingen met zich onder andere ten aanzien van de verwerking van persoonsgegevens en het monitoren van werknemers. De AVG geeft open normen die voor een deel nader worden uitgelegd door de zogenaamde artikel 29 werkgroep (een onafhankelijk advies- en overlegorgaan van Europese Privacy toezichthouders). De werkgroep heeft hierover in haar opinie – vrij vertaald – de volgende uitleg opgenomen: "Er moet aan werknemers effectieve communicatie worden verstrekt over eventuele monitoring die plaatsvindt, de doelen voor deze monitoring en de omstandigheden waaronder monitoring plaatsvindt, evenals de mogelijkheden voor werknemers om te voorkomen dat hun gegevens worden vastgelegd door monitoringtechnologieën. Beleid en regels met betrekking tot legitiem toezicht moeten duidelijk zijn en gemakkelijk toegankelijk." Deze monitoring ziet ook op het controleren van e-mails. Maar wat houdt de open norm en de uitleg in? Wat mag een werkgever wel of niet? Aangezien er geen concrete regels zijn geformuleerd dient teruggevallen te worden op uitspraken van rechters. In 1992 is al bepaald dat het recht op privacy zich ook over de werkplek van de werknemer uitstrekt. Dit recht mag onder omstandigheden wel worden ingeperkt. De werkgever heeft namelijk het recht om zijn werknemers te controleren. Het Europees Hof voor de Rechten van de Mens (EHRM) heeft recent bepaald dat een werkgever e-mailberichten van zijn werknemer slechts kan controleren indien voor de werknemer kenbaar is of kan zijn dat zijn e-mailberichten worden gecontroleerd. De werkgever moet de werknemer vooraf informeren over de aard, reikwijdte, omvang en wijze van controle van berichten. Indien niet op voorhand duidelijk kenbaar is gemaakt dat monitoring plaatsvindt, mag de werknemer ervan uit gaan dat de communicatie privé is. De werkgever dient bovendien een gerechtvaardigd doel te hebben voor de controle, bijvoorbeeld als de werkgever van mening is dat sprake is van misbruik. Controle van de werknemer mag ook enkel voor dat doel worden ingezet. Verder moet worden voldaan aan de subsidiariteits- en proportionaliteitseis. Dat wil zeggen dat nagegaan dient te worden of de e-mailcontrole wel noodzakelijk is. Indien er minder ingrijpende middelen dan e-mailcontrole voorhanden zijn dan moet de werkgever daartoe overgaan. Indien deze middelen er niet zijn, moet controle op een zo min mogelijk ingrijpende wijze plaatsvinden. Verder dient de vraag te worden gesteld of het belang van controle door de werkgever groter is dan het recht op privacy van de werknemer. Of controle proportioneel is, kan onder andere aan de hand van de volgende afwegingen worden beoordeeld: Wordt de inhoud van de berichten of alleen de hoeveelheid berichten gecontroleerd en hoelang wordt een werknemer gecontroleerd? Kortom, onder omstandigheden is het gerechtvaardigd indien een werkgever de e-mails van een werknemer controleert. Het recht op privacy van de werknemer moet dan wijken voor het belang dat de werkgever bij controle heeft. Een werkgever doet er goed aan om de voorschriften vast te leggen in een protocol. Verder geldt dat de ondernemingsraad een instemmingsrecht heeft bij het vaststellen of wijzigen van een regeling waarin voorzieningen zijn opgenomen die gericht zijn op of geschikt zijn voor controle van werknemers. Onze specialisten van arbeidsrecht en privacy kunnen u hierbij ondersteunen. Maart 2018 [post_title] => Mag de werkgever e-mailberichten van de werknemer controleren? [post_excerpt] => [post_status] => publish [comment_status] => closed [ping_status] => closed [post_password] => [post_name] => mag-werkgever-e-mailberichten-werknemer-controleren [to_ping] => [pinged] => [post_modified] => 2018-03-05 09:51:24 [post_modified_gmt] => 2018-03-05 08:51:24 [post_content_filtered] => [post_parent] => 0 [guid] => https://www.boelszanders.nl/?post_type=publication&p=17098 [menu_order] => 0 [post_type] => publication [post_mime_type] => [comment_count] => 0 [filter] => raw ) [29] => WP_Post Object ( [ID] => 16890 [post_author] => 17 [post_date] => 2018-02-15 13:38:29 [post_date_gmt] => 2018-02-15 12:38:29 [post_content] => In de laatste week van januari is de Autoriteit Persoonsgegevens een landelijke campagne gestart in het kader van de inwerkingtreding van de Algemene Verordening Gegevensbescherming (hierna: de AVG). De campagne ‘Privacy gaat iedereen wat aan’ maakt mensen bewuster van hun privacyrechten en biedt organisaties praktische hulp bij de naleving van de AVG. De AVG zal op 25 mei 2018 in werking treden en zal van toepassing zijn voor eenieder die persoonsgegevens verwerkt en voor eenieder waarvan persoonsgegevens worden verwerkt. Onder persoonsgegevens verstaat de AVG: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Dit maakt dat de AVG een zeer breed toepassingsbereik heeft. Bovendien krijgen mensen met de AVG meer zeggenschap over hun persoonsgegevens. Zij mogen bijvoorbeeld hun gegevens inzien en laten wijzigen of in veel gevallen zelfs volledig laten wissen. Ook krijgen zij het recht bij een organisatie hun persoonsgegevens op te vragen en mee te nemen naar een andere ‘aanbieder’: het recht op dataportabiliteit. En komen ze er met de organisatie niet uit, dan kan iedereen vanaf 25 mei een klacht indienen bij de Autoriteit Persoonsgegevens. Bedrijven, overheden, onderwijsinstellingen, zorgaanbieders en non-profit instellingen zijn verplicht om zorgvuldig om te gaan met persoonsgegevens. Zij hebben vanaf 25 mei een verantwoordingsplicht. Dat betekent dat zij een privacy-administratie moeten bijhouden. Welke persoonsgegevens verwerken zij? Met welk doel? En hoe zijn die gegevens beveiligd? Onder de AVG moeten bepaalde organisaties een functionaris voor de gegevensbescherming (FG) aanstellen die binnen de organisatie toeziet op de naleving van de privacyregels. De praktijk leert dat veel organisaties nog niet voldoen aan de nieuwe verplichtingen die gaan gelden vanaf 25 mei 2018 en daar nog onvoldoende mee bezig zijn. Team Privacy van Boels Zanders Advocaten begeleidt op dit moment volop bedrijven, overheden en non-profit instellingen om te zorgen dat zij vanaf 25 mei 2018 klaar zijn voor de inwerkingtreding van de AVG en de verplichtingen die dit meebrengt. Indien u vragen heeft over de AVG en de implementatie daarvan binnen uw organisatie, dan neem contact op met ons team Privacy. [post_title] => Autoriteit Persoonsgegevens start landelijke campagne op weg naar de AVG [post_excerpt] => [post_status] => publish [comment_status] => closed [ping_status] => closed [post_password] => [post_name] => autoriteit-persoonsgegevens-start-landelijke-campagne-op-weg-naar-avg [to_ping] => [pinged] => [post_modified] => 2018-02-15 15:10:20 [post_modified_gmt] => 2018-02-15 14:10:20 [post_content_filtered] => [post_parent] => 0 [guid] => https://www.boelszanders.nl/?post_type=publication&p=16890 [menu_order] => 0 [post_type] => publication [post_mime_type] => [comment_count] => 0 [filter] => raw ) [30] => WP_Post Object ( [ID] => 16659 [post_author] => 2 [post_date] => 2018-02-15 09:00:09 [post_date_gmt] => 2018-02-15 08:00:09 [post_content] => Op 25 mei 2018 treedt de Europese Algemene Verordening Gegevensbescherming (AVG) in werking. Vanaf dat moment zijn organisaties in een aantal gevallen verplicht om een functionaris voor gegevensbescherming (FG) aan te wijzen. Ook schoolbesturen zijn verplicht een FG aan te wijzen, zo concluderen de PO-Raad, VO-Raad en Kennisnet. Wat doet een FG? Een FG houdt intern toezicht op de verwerking van persoonsgegevens binnen een organisatie. Ook adviseert hij het schoolbestuur over privacy, technologie en beveiliging, handelt vragen en klachten over privacy af en ontwikkelt interne regelingen rondom privacy. Ieder schoolbestuur (dus niet school/vestiging) én ieder samenwerkingsverband als zelfstandig verwerkingsverantwoordelijke, dient een FG aan te wijzen en aan te melden bij de Autoriteit Persoonsgegevens (AP). Waarom een FG in het onderwijs? Op grond van artikel 37 AVG dient een schoolbestuur een FG aan te wijzen, omdat zij is aan te merken of gelijk te stellen met een overheidsorganisatie of -orgaan. Ook is het schoolbestuur hoofdzakelijk belast met het verwerken van persoonsgegevens die vanwege hun aard, omvang en/of doeleinden regelmatige en stelselmatige observatie op grote schaal vereisen. Goed onderwijs zonder het monitoren en observeren van leerlingen is immers niet mogelijk. Gedurende de gehele schoolloopbaan worden dan ook persoonsgegevens van leerlingen verzameld, geregistreerd en uitgewisseld. Scholen beschikken over grote bestanden van gevoelige en bijzondere persoonsgegevens (zoals een leerlingadministratie of leerlingvolgsysteem). Om die reden worden zwaardere eisen gesteld aan de beveiliging en het gebruik van deze gegevens. In- of externe FG? Het is mogelijk om intern een medewerker als FG aan te wijzen. Daarbij is van belang dat de FG als adviseur en (interne) controleur onafhankelijk is. Dit is gewaarborgd in de AVG door de wettelijke ontslagbescherming. Deze onafhankelijke positie maakt dat de functie als FG lastig te verenigingen is met de functie van bestuurder, directeur, IBP-beheerder, of hoofd administratie. Meer geschikt voor deze functie is bijvoorbeeld een instellingsjurist, manager interne controle, compliance of security officer, vertrouwenspersoon of controller. Indien intern een FG wordt aangewezen is het raadzaam om interne regels op te stellen om belangenconflicten te vermijden, of te bepalen welke taken de FG niet mag uitvoeren. Ondersteuning van de FG, door bijvoorbeeld een privacy officer, mag natuurlijk wel. Ook is het mogelijk om een externe FG aan te wijzen. Het is niet noodzakelijk dat een FG in loondienst is bij het schoolbestuur. In dat geval geldt de voorwaarde dat de FG vanuit elke vestiging makkelijk en tijdig te contacteren is. De FG dient betrokken te zijn bij hetgeen er wordt geregeld rondom de privacy van leerlingen, hun ouders en medewerkers binnen het schoolbestuur. Daarnaast regelt de AVG dat schoolbesturen kunnen besluiten om gezamenlijk (intern of extern) een FG aan te wijzen. Aansprakelijkheid Bij niet-naleving van de AVG valt de FG geen persoonlijk verwijt te maken. Het schoolbestuur blijft als werkgever verantwoordelijk en aansprakelijk. Uit artikel 24 AVG volgt dat de verantwoordelijke verplicht is om passende technische en organisatorische maatregelen te treffen om te waarborgen en te kunnen aantonen dat de verwerking van persoonsgegevens in overeenstemming met de AVG wordt uitgevoerd. Indien gebruik wordt gemaakt van een externe FG is het verstandig om aanvullende afspraken te maken over aansprakelijkheid, waaronder het (eventueel) afsluiten van een verzekering. Vragen? Heeft u vragen over privacy in het onderwijs? Neem dan contact op met de advocaten onze teams Privacy en Onderwijs. Februari 2018 [post_title] => De verplichting een "FG" aan te wijzen in het onderwijs [post_excerpt] => [post_status] => publish [comment_status] => closed [ping_status] => closed [post_password] => [post_name] => verplichting-om-fg-aan-wijzen-onderwijs [to_ping] => [pinged] => [post_modified] => 2018-06-04 13:37:59 [post_modified_gmt] => 2018-06-04 11:37:59 [post_content_filtered] => [post_parent] => 0 [guid] => https://www.boelszanders.nl/?post_type=publication&p=16659 [menu_order] => 0 [post_type] => publication [post_mime_type] => [comment_count] => 0 [filter] => raw ) [31] => WP_Post Object ( [ID] => 16658 [post_author] => 2 [post_date] => 2018-02-12 10:04:44 [post_date_gmt] => 2018-02-12 09:04:44 [post_content] => Vanaf 25 mei 2018 zal de Algemene Verordening Gegevensbescherming (AVG) gaan gelden in de EU en dus ook in Nederland. Onder de AVG zijn bepaalde (verwerkings)verantwoordelijken en verwerkers verplicht een functionaris voor de gegevensbescherming aan te wijzen.  Functionaris voor de gegevensbescherming Een functionaris voor de gegevensbescherming (FG) houdt binnen een organisatie toezicht op de toepassing en naleving van de privacy wetgeving. Het aanwijzen van een functionaris voor de gegevensbescherming is vanaf 25 mei 2018 verplicht voor overheidsinstanties en –organen (ongeacht de door hen verwerkte gegevens) en voor andere organisaties die (als kerntaak) stelselmatig en op grote schaal personen observeren of op grote schaal bepaalde categorieën persoonsgegevens verwerken. Meer specifiek is het aanwijzen van een functionaris voor gegevensbescherming verplicht in de volgende gevallen:
  1. in het geval dat de verwerking wordt verricht door een overheidsinstantie of overheidsorgaan;
  2. in het geval dat de verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met verwerkingen die regelmatige en stelselmatige observatie van betrokkenen op grote schaal vergen; of
  3. in het geval dat de verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met grootschalige verwerking van bijzondere categorieën van persoonsgegevens of gegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 10 AVG.
Een concern of samenwerkingsverband mag ook een gezamenlijke functionaris voor de gegevensbescherming aanwijzen. Voorwaarde is wel dat deze FG vanuit elke vestiging makkelijk te contacteren is. Vrijwillige aanstelling Ook indien de AVG het aanstellen van een functionaris voor de gegevensbescherming niet verplicht stelt, kan het volgens de Autoriteit Persoonsgegevens voor sommige organisaties toch zinvol zijn om vrijwillig een FG aan te wijzen. Op het moment dat uw organisatie vrijwillig een functionaris gegevensbescherming aanwijst, gelden voor zijn aanwijzing, positie en taken dezelfde voorwaarden van artikel 37 tot en met 39 AVG, die zouden gelden indien de organisatie verplicht zou zijn een FG aan te wijzen. Het is – indien er voor uw organisatie geen wettelijke verplichting bestaat tot het aanstellen van een functionaris gegevensbescherming - ook mogelijk om aan een werknemer of extern adviseur werkzaamheden op het gebied van bescherming persoonsgegevens op te dragen. Deze werknemer of externe adviseur treedt dan niet op als FG. Let erop dat het in dit geval van belang is dat binnen de organisatie duidelijk wordt gemaakt dat de betreffende persoon niet als zodanig optreedt. Kerntaken In artikel 37 onder b en c AVG wordt verwezen naar de 'kerntaken van de verantwoordelijke of de verwerker'. Volgens de Autoriteit Persoonsgegevens zijn kerntaken de belangrijkste handelingen die nodig zijn om het doel van de verantwoordelijke of de verwerker te bereiken. De Autoriteit Persoonsgegevens benadrukt dat dit niet betekent dat activiteiten waarbij de verwerking van persoonsgegevens een onlosmakelijk onderdeel van de werkzaamheden van een verantwoordelijke of verwerker zijn, geen kerntaken zijn. Zo dient bijvoorbeeld het verwerken van medische gegevens als een kerntaak van een ziekenhuis te worden gezien. Ziekenhuizen dienen derhalve steeds een functionaris voor de gegevensbescherming aan te wijzen. Op grote schaal Het aanwijzen van een FG is – zoals reeds omschreven – verplicht indien een organisatie op grote schaal persoonsgegevens verwerkt. De Artikel 29-werkgroep van de Europese privacytoezichthouders (WP29) raadt aan om bij beantwoording van de vraag of sprake is van grootschalige verwerking van persoonsgegevens de volgende factoren mee te nemen:
  • het aantal betrokkenen – in specifieke cijfers of als percentage van de betreffende bevolking;
  • de hoeveelheid gegevens en/of de hoeveelheid verschillende gegevens die wordt verwerkt;
  • de duur of permanentie van de gegevensverwerking;
  • de geografische reikwijdte van de verwerking.
De Autoriteit Persoonsgegevens geeft als voorbeelden van verwerking op grote schaal:
  • verwerking van patiëntgegevens als onderdeel van de gebruikelijke werkzaamheden van een ziekenhuis;
  • verwerking van reisinformatie van mensen die met het openbaar vervoer in een bepaalde stad reizen;
  • het voor statistische doeleinden verwerken van actuele locatiegegevens van klanten van een internationale fastfoodketen, door een verwerking die in deze diensten gespecialiseerd is;
  • verwerking van klantgegevens als onderdeel van de gebruikelijke werkzaamheden van een verzekeringsmaatschappij of bank;
  • verwerking van persoonsgegevens door een zoekmachine voor het tonen van advertenties op basis van internetgedrag;
  • verwerking van gegevens (inhoud, verkeer, locatie) door telefoon- of internetproviders.
Ruime interpretatie De WP29 interpreteert het begrip 'op grote schaal' ruim. Volgens de WP29 is van grootschaligheid sprake indien persoonsgegevens op regionaal, nationaal en supranationaal niveau worden verwerkt. Door de ruime interpretatie die de WP29 geeft aan de AVG bestaat het risico dat meer ondernemingen dan aanvankelijk bedoeld, een functionaris voor de gegevensbescherming moeten aanstellen. Indien u vragen heeft over de AVG en de gewijzigde verplichtingen waaraan u vanaf 25 mei 2018 aan moet voldoen, neem dan contact op met ons team Privacy. Februari 2018 [post_title] => Verplichte functionaris voor gegevensbescherming vanaf mei 2018 [post_excerpt] => [post_status] => publish [comment_status] => closed [ping_status] => closed [post_password] => [post_name] => verplichte-functionaris-gegevensbescherming-vanaf-mei-2018 [to_ping] => [pinged] => [post_modified] => 2018-02-12 10:06:01 [post_modified_gmt] => 2018-02-12 09:06:01 [post_content_filtered] => [post_parent] => 0 [guid] => https://www.boelszanders.nl/?post_type=publication&p=16658 [menu_order] => 0 [post_type] => publication [post_mime_type] => [comment_count] => 0 [filter] => raw ) [32] => WP_Post Object ( [ID] => 16291 [post_author] => 2 [post_date] => 2018-01-19 10:29:43 [post_date_gmt] => 2018-01-19 09:29:43 [post_content] => Uit onderzoek van de Open State Foundation blijkt dat een groot aantal scholen en instellingen in het primair en voortgezet onderwijs, middelbaar beroepsonderwijs en hoger onderwijs geen gebruik maakt van een HTTPS-verbinding. Bezoekers van de websites lopen zo onnodig risico's. Wat is HTTPS? Een HTTPS-verbinding zorgt voor de beveiliging van de website. Hierdoor worden gegevens versleuteld uitgewisseld, zodat deze niet worden onderschept door buitenstaanders. Ook controleert HTTPS op de integriteit van de informatie, zodat aanpassing van uitgewisselde gegevens niet mogelijk is. U herkent een HTTPS-verbinding eenvoudig, er staat dan https:// voor de ingevoerde URL en in de balk naast de URL wordt getoond dat sprake is van een beveiligde website. Risico datalek Met het zicht op de inwerkingtreding van de Algemene Verordening Gegevensbescherming (AVG) vanaf 25 mei 2018, is het van belang om te zorgen voor een goede beveiliging van persoonsgegevens. Wij adviseren daarom uw schoolwebsite (minimaal) te beveiligen met een HTTPS-verbinding, dus door middel van een SSL-certificaat. Heeft uw website geen HTTPS-verbinding en maakt u gebruik van een inlog- en/of aanmeldscherm? Dan is de kans groter dat persoonsgegevens onderschept kunnen worden. Er zijn aldus aanzienlijke risico's op een datalek. Adequaat beveiligen Gebruikmaking van een HTTPS-verbinding is niet de enige mogelijkheid om websites van een goede beveiliging te voorzien. Met de komst van de AVG moeten organisaties tevens een privacyverklaring publiceren en moeten zij het cookiebeleid wijzigen. Daarnaast zijn afspraken met leveranciers en een privacyreglement onontbeerlijk voor de verwerking van persoonsgegevens overeenkomstig de privacywet- en regelgeving. Vragen? Heeft u vragen over privacy in het onderwijs? Neem dan contact op met de advocaten onze teams Privacy en Onderwijs. [post_title] => Heeft uw school een goed beveiligde website? [post_excerpt] => [post_status] => publish [comment_status] => closed [ping_status] => closed [post_password] => [post_name] => school-beveiligde-website [to_ping] => [pinged] => [post_modified] => 2018-02-20 09:30:53 [post_modified_gmt] => 2018-02-20 08:30:53 [post_content_filtered] => [post_parent] => 0 [guid] => https://www.boelszanders.nl/?post_type=publication&p=16291/ [menu_order] => 0 [post_type] => publication [post_mime_type] => [comment_count] => 0 [filter] => raw ) [33] => WP_Post Object ( [ID] => 15945 [post_author] => 2 [post_date] => 2017-12-18 13:10:17 [post_date_gmt] => 2017-12-18 12:10:17 [post_content] => Het zal u niet zijn ontgaan dat op 25 mei 2018 de Algemene Verordening Gegevensbescherming (AVG) in werking treedt. Op 13 december 2017 heeft de regering de nieuwe versie van het wetsvoorstel voor de uitvoering van de AVG gepubliceerd. De Uitvoeringswet zal op hetzelfde tijdstip als de AVG in werking treden. Hiermee wordt invulling gegeven aan de ruimte die de AVG voor Nederlandse wetgeving laat. De Wbp uit beeld? De Wet bescherming persoonsgegevens (Wbp) wordt weliswaar vervangen door de AVG, maar de bepalingen uit het wetsvoorstel lijken veel op de huidige regels uit de Wbp. Bijvoorbeeld de rechtsgrondslagen voor de verwerking van persoonsgegevens komen materieel gezien vrijwel geheel overeen met artikel 8 van de Wbp. Ook is in de Uitvoeringswet geen gebruik gemaakt van de mogelijkheid om een (extra) uitzondering op te nemen op het verbod van verwerking van bijzondere persoonsgegevens. De bestaande mogelijkheden in de Wbp voor verwerking daarvan zijn zoveel mogelijk behouden. Aanvulling AVG Artikel 23 AVG laat een belangrijke ruimte over voor lidstaten om de rechten van betrokkenen te beperken. In de Uitvoeringswet is hier gebruik van gemaakt, door in artikel 41 te bepalen dat de verwerkingsverantwoordelijke zélf een belangenafweging kan maken over het afwijken van bepaalde rechten van betrokkenen, indien dit noodzakelijk is met de opgesomde algemene belangen. In de praktijk wordt dit toegepast door bijvoorbeeld geen gehoor te geven aan het verzoek van betrokkene om zijn gegevens te wissen, teneinde te voorkomen dat betrokkene hiermee sporen van crimineel gedrag wist. Ook kunnen in sectorspecifieke regelingen voorschriften worden opgenomen waarin de rechten van betrokkenen worden beperkt. Een belangrijke aanvulling op de AVG is ten tweede dat de Uitvoeringswet afwijkt van de meldplicht datalekken. Artikel 42 van de Uitvoeringswet bepaalt dat de plicht tot het melden van een datalek aan de betrokkene niet van toepassing is op financiële ondernemingen zoals bedoeld in de Wet op het financieel toezicht. BSN-nummer De AVG geeft lidstaten de mogelijkheid om voorwaarden te stellen aan de verwerking van het BSN-nummer. Artikel 46 van de Uitvoeringswet regelt dat een BSN-nummer slechts mag worden gebruikt voor de toepassing van een wettelijke bepaling, overeenkomstig de doeleinden van die wet. Zo kunnen overheden naar Nederlands recht gebruik blijven maken van het BSN-nummer in het kader van de uitvoering van hun publieke taak. Geautomatiseerde besluitvorming Uitgangspunt in de AVG is dat er geen uitsluitend automatiseerde besluitvorming mag plaatsvinden, dus geen besluitvorming zonder menselijke tussenkomst. Dit is bijvoorbeeld het geval bij profiling. De Uitvoeringswet maakt een uitzondering op de hoofdregel en bepaalt dat geautomatiseerde individuele besluitvorming (niet zijnde profiling) mogelijk is. Het toekennen van kinderbijslag is bijvoorbeeld mogelijk zonder menselijke tussenkomst. Voorwaarde hierbij is dat de besluitvorming noodzakelijk is om te voldoen aan een wettelijke verplichting van de verwerkingsverantwoordelijke óf voor de vervulling van een taak van algemeen belang. Toezicht De Autoriteit Persoonsgegevens is bevoegd tot handhaving van de Uitvoeringswet en de AVG. De Autoriteit Persoonsgegevens kan onder andere een boete opleggen. De Uitvoeringswet biedt hierbij een opschortingsmogelijkheid, namelijk dat de werking van een besluit tot het opleggen van de bestuurlijke boete wordt opgeschort totdat op het (eventueel ingestelde) bezwaar of het beroep is beslist. Dit brengt met zich mee dat zolang er over een bestuurlijke boete wordt geprocedeerd deze niet kan worden geïnd. Naast deze manier van handhaving bepaalt artikel 16 van de Uitvoeringswet tevens dat de Autoriteit Persoonsgegevens bevoegd is een last onder bestuursdwang op te leggen. Naar Nederlands recht brengt deze bevoegdheid met zich mee dat de Autoriteit Persoonsgegevens ook bevoegd blijft tot het opleggen van een dwangsom. De praktijk zal uitwijzen of de Autoriteit Persoonsgegevens voornamelijk dwangsommen zal opleggen, of boetes. Vervolg Dit wetsvoorstel moet nog door zowel de Tweede als de Eerste Kamer worden goedgekeurd. Het zal afhangen van de snelheid van de besluitvorming of de Uitvoeringswet wel op 25 mei 2018 in werking kan treden, tegelijk met de AVG. Dat zou de rechtszekerheid wel ten goede komen. Meer informatie Indien u vragen heeft over de gevolgen van de Uitvoeringswet voor uw organisatie, kunt u contact opnemen met het team Privacy. Zij zijn u graag van dienst. December 2017 [post_title] => Wetsvoorstel uitvoering AVG gepubliceerd [post_excerpt] => [post_status] => publish [comment_status] => closed [ping_status] => closed [post_password] => [post_name] => wetsvoorstel-uitvoering-avg-gepubliceerd [to_ping] => [pinged] => [post_modified] => 2017-12-18 13:37:01 [post_modified_gmt] => 2017-12-18 12:37:01 [post_content_filtered] => [post_parent] => 0 [guid] => https://www.boelszanders.nl/?post_type=publication&p=15945/ [menu_order] => 0 [post_type] => publication [post_mime_type] => [comment_count] => 0 [filter] => raw ) [34] => WP_Post Object ( [ID] => 15809 [post_author] => 21 [post_date] => 2017-11-30 10:02:32 [post_date_gmt] => 2017-11-30 09:02:32 [post_content] => De nieuwe e-Privacy verordening is een aanvulling op de Algemene Verordening Gegevensbescherming (AVG) die op 25 mei 2018 in werking treedt. Vernieuwing van de e-Privacy wetgeving De e-Privacy verordening zal na inwerkingtreding de huidige e-Privacy richtlijn uit 2002 vervangen. Met de snelheid van opvolgende communicatietoepassingen was deze richtlijn inmiddels behoorlijk verouderd. Het Europese Parlement (EP) heeft al ingestemd met de tekst van de verordening. Enkel de Raad van Ministers moet nog goedkeuring verlenen. De huidige versie is dus nog niet de definitieve versie. De belangrijkste punten van de Verordening zijn: Bescherming inhoud en metadata De e-Privacy Verordening beschermt niet alleen de inhoud van berichten en communicatie maar ook de metadata. Dit zijn de verkeersgegevens die betrekking hebben op de identiteit van de gebruiker zoals het tijdstip van de communicatie en de locatie van verzenden en/of ontvangen. Voor de verwerking van deze persoonsgegevens moet onder de Verordening toestemming worden gevraagd aan de betrokkene. Cookies De toestemming voor het plaatsen of uitlezen van cookies kan worden geregeld via browserinstellingen. Deze keuze is bindend voor derde partijen. De bestaande cookiemuren die op veel websites worden gebruikt, worden verboden. Dit dwingt organisaties om altijd twee versies van de website aan te bieden, waarvan er één ook goed functioneert zonder gebruik van cookies. Aanbieders moeten de gebruiker wel blijven informeren over de verschillende opties in privacy-instellingen. Voor tracking cookies (adverteerders die de bezoeker volgen) is geïnformeerde toestemming vereist. Toestemming is niet langer vereist in gevallen waarbij de cookies louter bedoeld zijn om de internet-ervaring van consumenten te verbeteren, zoals analytische en technische cookies. Spam De e-Privacy Verordening bevat een verbod op alle elektronische communicatie waarvoor de gebruiker geen toestemming geeft. Voorafgaande toestemming (opt-in) van de gebruiker is vereist en te allen tijde zal de mogelijkheid tot een opt-out (het intrekken van toestemming) geboden moeten worden. Tevens moet de gebruiker goed worden geïnformeerd hoe hij zijn toestemming tussentijds kan intrekken. Toezicht In Nederland wordt de e-Privacywetgeving gehandhaafd door de Autoriteit Persoonsgegevens. De boete op het overtreden van de cookiebepaling en het inzetten van andere marketingkanalen is maximaal EUR 20 miljoen of vier procent van de totale jaarlijkse wereldwijde omzet. Deze bevoegdheid is gelijk aan de boetes die kunnen worden uitgedeeld bij overtreding van de AVG. Commentaar De e-Privacy Verordening boekt vooruitgang en biedt de gebruiker meer bescherming op het gebied van elektronische communicatiediensten. Desondanks is er commentaar op de Verordening, onder andere van de Artikel 29-werkgroep, een onafhankelijk advies- en overlegorgaan van Europese privacy toezichthouders. Het voorstel is om de standaard privacy instellingen met betrekking tot Wi-Fi-tracking naar een hoger niveau van privacybescherming te tillen. 25 mei 2018 Het streven is om voor 25 mei 2018 Europese burgers en bedrijven een volwaardig en compleet wettelijk kader voor gegevensbescherming in Europa te bieden. In de huidige tijd hoort daar natuurlijk ook de e-Privacy verordening bij. Het is maar de vraag of het gaat lukken om de Verordening op de genoemde datum in werking te laten treden. Indien u vragen heeft of meer wilt weten over de gevolgen van de nieuwe e-Privacy verordening, neem dan contact op met ons team privacy.   [post_title] => E-Privacy Verordening [post_excerpt] => [post_status] => publish [comment_status] => closed [ping_status] => closed [post_password] => [post_name] => e-privacy-verordening [to_ping] => [pinged] => [post_modified] => 2017-11-30 10:17:10 [post_modified_gmt] => 2017-11-30 09:17:10 [post_content_filtered] => [post_parent] => 0 [guid] => https://www.boelszanders.nl/?post_type=publication&p=15809/ [menu_order] => 0 [post_type] => publication [post_mime_type] => [comment_count] => 0 [filter] => raw ) [35] => WP_Post Object ( [ID] => 15715 [post_author] => 2 [post_date] => 2017-11-23 13:52:40 [post_date_gmt] => 2017-11-23 12:52:40 [post_content] => Zoals voor velen reeds bekend treedt op 25 mei 2018 de Algemene verordening gegevensbescherming (AVG) in werking. De AVG brengt een aantal aanvullende verplichtingen met zich mee op het gebied van verwerking van persoonsgegevens ten opzichte van de huidige wet- en regelgeving. Een van de veranderingen die de AVG met zich meebrengt is een wijziging van het toestemmingsvereiste voor de gegevensverwerking van personen. Wet bescherming persoonsgegevens Er zijn een aantal grondslagen waarop persoonsgegevens mogen worden verwerkt, zoals een wettelijke verplichting of uitvoering van de overeenkomst. Een andere veelgebruikte categorie is verwerking van persoonsgegevens op basis van toestemming van de betrokkene. Daarnaast kan ook sprake zijn van bijzondere persoonsgegevens. Bijzondere persoonsgegevens zijn bijvoorbeeld gegevens die betrekking hebben op godsdienst of op de gezondheid van een persoon. Voor het verwerken van deze gegevens is het van belang dat er uitdrukkelijke toestemming wordt gegeven. Voor het verwerken van deze gegevens is het op grond van de AVG van belang dat er uitdrukkelijke toestemming wordt gegeven. Dit is een zwaardere vorm dan de ondubbelzinnige toestemming uit de Wbp. Aan uitdrukkelijke toestemming wordt voldaan indien men in woord, schrift of gedrag uitdrukking heeft gegeven aan zijn of haar wil om toestemming te verlenen voor het verwerken van zijn of haar bijzondere persoonsgegevens conform een bepaald doel. De AVG Op basis van de AVG worden er strengere eisen gesteld aan het verkrijgen van toestemming op basis waarvan persoonsgegevens mogen worden verwerkt. De definitie van toestemming is in de AVG bijgeschaafd tot: “elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een duidelijke actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt" – artikel 4 lid 11 AVG. Actieve handeling De verordening vereist dat er bij toestemming sprake dient te zijn van een verklaring of een duidelijke, actieve handeling. Een stilzwijgend akkoord was voorheen al uitgesloten, maar de AVG benadrukt deze uitsluiting nogmaals. Het is met name gebruikelijk dat men in algemene voorwaarden wordt geïnformeerd over de gegevensverwerking en dat door de uitvoering van de hoofdovereenkomst wordt geacht dat er toestemming is verleend. Deze werkwijze is niet meer toegestaan op grond van de AVG. Specificiteit Het begrip 'specifiek' in de toestemmingsbepaling uit de AVG houdt in dat de toestemming moet gaan over een bepaalde gegevensverwerking of een beperkte categorie van gegevensverwerkingen. De informatie over het doel van de verwerking kunt u overigens niet opnemen in de algemene voorwaarden, maar dient te worden verstrekt via een aparte toestemmingsclausule, waarin de betrokkene expliciet bevestigt dat hij of zij hiermee akkoord gaat. De toestemmingsvraag dient in een begrijpelijke en gemakkelijke vorm te zijn opgesteld, met eenvoudig taalgebruik. Ook dient de mogelijkheid om de toestemming alsnog in te trekken even eenvoudig te zijn als het geven van de toestemming. Vrije wilsuiting Naast de vorenstaande vereisten dient verder sprake te zijn van een vrije wilsuiting. Dit betekent dat de betrokkene een echte keuze heeft en geen nadelige gevolgen mag ondervinden indien hij de toestemming weigert of intrekt. Een voorbeeld van het niet vrij geven van toestemming is in het geval dat toestemming is vereist om een overeenkomst aan te gaan, terwijl het verstrekken van de gegevens niet noodzakelijk kunnen worden geacht voor het uitvoeren van de overeenkomst. Daarnaast is van belang dat de betrokkene bewust de keuze maakt om toestemming te geven. Bijvoorbeeld wanneer op een website wordt gevraagd bij online verkoop of u ook de nieuwsbrief wilt ontvangen, mag deze checkbox niet standaard zijn aangevinkt. Daarmee verschuift de methode om toestemming te vragen van opt-out naar opt-in. Het is dus van belang dat u de manier waarop u toestemming vraagt, krijgt en registreert evalueert binnen uw organisatie en indien nodig deze wijze aanpast. Indien u vragen heeft over de verplichtingen die de AVG u oplegt, zoals het binnen uw organisatie aanscherpen van het toestemmingsvereiste, neem dan contact op met ons team Privacy. November 2017 [post_title] => Toestemming voor gegevensverwerking [post_excerpt] => [post_status] => publish [comment_status] => closed [ping_status] => closed [post_password] => [post_name] => toestemming-voor-gegevensverwerking [to_ping] => [pinged] => [post_modified] => 2017-12-11 10:07:05 [post_modified_gmt] => 2017-12-11 09:07:05 [post_content_filtered] => [post_parent] => 0 [guid] => https://www.boelszanders.nl/?post_type=publication&p=15715/ [menu_order] => 0 [post_type] => publication [post_mime_type] => [comment_count] => 0 [filter] => raw ) [36] => WP_Post Object ( [ID] => 15504 [post_author] => 21 [post_date] => 2017-11-10 09:56:27 [post_date_gmt] => 2017-11-10 08:56:27 [post_content] => Op 25 mei 2018 zal de Europese Algemene Verordening Gegevensbescherming (AVG) van kracht gaan. Deze verordening vervangt de huidige Wet bescherming persoonsgegevens (Wbp). Deze verandering zal grote impact hebben op de verwerking van persoonsgegevens binnen organisaties. Een van de veranderingen die de AVG met zich meebrengt, heeft betrekking op de bewerkersovereenkomst, die onder de AVG verwerkersovereenkomst wordt genoemd. Een verwerkersovereenkomst wordt nodig geacht indien men gegevensverwerking uitbesteedt aan een derde partij ('de verwerker'). De AVG heeft hierbij als uitgangspunt dat partijen zelf moeten aantonen dat de gegevensbescherming veilig, transparant en conform wet- en regelgeving is geregeld. Waar de Wbp vrijwel geen eisen stelt aan de bewerkersovereenkomst, ziet de AVG strenger toe op de inhoud van de overeenkomst en wordt hieromtrent strikte vereisten gesteld. Aangepaste terminologie Let er op wanneer u aan de slag gaat met het opstellen of het aanpassen van uw huidige bewerkersovereenkomst dat de terminologie in de AVG is gewijzigd. De belangrijkste wijzigingen zijn dat de 'verantwoordelijke' in de AVG de 'verwerkingsverantwoordelijke' wordt genoemd en de 'bewerker' de 'verwerker'. De verwerker is degene die binnen het door de verwerkingsverantwoordelijke gestelde doel en middelen de verwerking van persoonsgegevens uitvoert. Minimumvereisten overeenkomst In de AVG worden een aantal minimumvereisten omtrent de invulling van de verwerkersovereenkomst opgelegd. In de overeenkomst moeten onder andere afspraken worden gemaakt over:
  • Afspraken omtrent de duur van de verwerking;
  • Waarborgen met betrekking tot vertrouwelijkheid;
  • Afspraken over datalekken;
  • Het doel en de aard van de verwerking;
  • Afspraken over de vernietiging en de beveiliging van de gegevens;
  • Afspraken over het ter beschikking stellen van persoonsgegevens in het kader van de audits;
  • Specifieke taken en verantwoordelijkheden;
  • Het soort persoonsgegevens en de categorieën van betrokkenen.
  Gevolgen niet-nakoming van de vereisten Wanneer de vereisten voortvloeiend uit de AVG niet worden nageleefd kunnen hier fikse boetes tegenover staan. Door de boetemogelijkheid op grond van de AVG kan de druk behoorlijk worden opgevoerd, aangezien de boetes kunnen oplopen tot 20 miljoen euro of tot 4% van de totale wereldwijde jaaromzet in het voorgaande boekjaar, mits dit cijfer hoger is dan de maximale boete. Indien u vragen heeft over de verplichtingen die de AVG u oplegt, zoals het opstellen van een verwerkersovereenkomst of het aanpassen van uw huidige documenten, neem dan contact op met ons team privacy.     [post_title] => Striktere vereisten voor de bewerkersovereenkomst [post_excerpt] => [post_status] => publish [comment_status] => closed [ping_status] => closed [post_password] => [post_name] => striktere-vereisten-bewerkersovereenkomst [to_ping] => [pinged] => [post_modified] => 2017-11-10 09:56:27 [post_modified_gmt] => 2017-11-10 08:56:27 [post_content_filtered] => [post_parent] => 0 [guid] => https://www.boelszanders.nl/?post_type=publication&p=15504/ [menu_order] => 0 [post_type] => publication [post_mime_type] => [comment_count] => 0 [filter] => raw ) [37] => WP_Post Object ( [ID] => 15309 [post_author] => 21 [post_date] => 2017-11-02 11:15:08 [post_date_gmt] => 2017-11-02 10:15:08 [post_content] => Onlangs is Microsoft op de vingers getikt door de Autoriteit Persoonsgegevens ("AP")  wegens het in strijd is met de wet verwerken van gegevens via Windows 10. Maar welke gegevens verzamelt Microsoft precies via Windows 10? Waarom worden deze gegevens verzameld? En waarom wordt een dergelijke gegevensverwerking als onrechtmatig beschouwd? De gegevensverwerking betreft zogenaamde telemetriegegevens: gegevens over prestatie en gebruik van verschillende functies van Microsoft. Hierbij kan gedacht worden aan gegevens over software (zoals Windows 10) en het gebruik daarvan, of gegevens over apps. Volgens de AP maakt Microsoft als het ware non-stop foto's van het computergedrag van Windowsgebruikers en stuurt dit naar zichzelf. Microsoft verzamelt de gegevens voor verschillende doelen. Allereerst kunnen ze op die manier fouten in hun systemen en apps oplossen en hun producten en diensten verbeteren. Daarnaast worden de gegevens gebruikt om apparaten up-to-date en veilig te houden. Doelen die in beginsel zijn toegestaan. Het doel waar de AP echter moeite mee heeft, is het gebruiken van gegevens voor het personaliseren van advertenties voor Microsoftproducten. Om de gegevens te mogen verwerken heeft Microsoft een grondslag nodig. Microsoft verwerkt gegevens op dit moment op grond van toestemming van de gebruikers. Voorwaarde voor een rechtsgeldige toestemming is dat gebruikers goed zijn geïnformeerd en dat ze weten waar ze toestemming voor geven. Hier zit de kern van het probleem, want de informatie die Microsoft geeft over de keuzemogelijkheden die gebruikers hebben, schiet volgens de AP tekort, waardoor transparantie ontbreekt. Op het moment dat een gebruiker niets aan de standaardprivacyinstellingen verandert, staat nu automatisch aangevinkt dat Microsoft gegevens 'volledig' mag verzamelen en deze mag gebruiken voor het tonen van gepersonaliseerde advertenties en aanbevelingen. Hiermee is de verkregen toestemming van Microsoft niet ondubbelzinnig en kan deze niet als rechtsgeldige grondslag gelden. Microsoft heeft aangegeven de overtreding te willen beëindigen, waartoe zij van de AP ook de kans krijgt. Indien de AP de maatregelen van Microsoft uiteindelijk niet afdoende vindt, dan kan de AP een dwangsom instellen. Voor het volledig nieuwsbericht van de AP met bijbehorend onderzoek, klik hier. Heeft u nog vragen over dit onderwerp? Wilt u meer informatie omtrent privacy? Neem dan contact op met Sharinne Ibrahim of met een van onze andere privacy-specialisten. Zij zijn u graag van dienst.   [post_title] => Ook aan de macht van Microsoft zitten grenzen: Autoriteit Persoonsgegevens roept Microsoft tot de orde [post_excerpt] => [post_status] => publish [comment_status] => closed [ping_status] => closed [post_password] => [post_name] => ook-aan-macht-microsoft-zitten-grenzen-autoriteit-persoonsgegevens-roept-microsoft-tot-orde [to_ping] => [pinged] => [post_modified] => 2017-11-02 11:15:08 [post_modified_gmt] => 2017-11-02 10:15:08 [post_content_filtered] => [post_parent] => 0 [guid] => https://www.boelszanders.nl/?post_type=publication&p=15309/ [menu_order] => 0 [post_type] => publication [post_mime_type] => [comment_count] => 0 [filter] => raw ) [38] => WP_Post Object ( [ID] => 15300 [post_author] => 21 [post_date] => 2017-10-31 15:15:29 [post_date_gmt] => 2017-10-31 14:15:29 [post_content] => In het onderwijs wordt steeds meer gewerkt met digitale leermiddelen en het digitaal afnemen van toetsen. Het heeft tal van voordelen, maar het brengt ook risico's voor de privacy van onderwijsdeelnemers met zich mee. Om die reden is het Wetsvoorstel pseudonimisering leerlinggegevens geschreven. De Tweede Kamer ging hiermee op 10 oktober 2017 akkoord. Het is de bedoeling dat het wetsvoorstel in werking treedt op 1 augustus 2018 voor alle onderwijssectoren, dus van primair tot hoger onderwijs. Het gebruik van een pseudoniem voor het onderwijs heeft als voornaamste doel te voorkomen dat de privacy van onderwijsdeelnemers via digitale leermiddelen en toetsen onder druk komt te staan. Zo is bijvoorbeeld geconstateerd dat bij het gebruik van digitale leermiddelen onderwijsinstellingen en leveranciers meer persoonsgegevens uitwisselden dan nodig was. Hoewel het ministerie van OCW erkent dat het moeilijk is om het tempo van technologische ontwikkelingen voor te blijven, is het nu zaak niet te ver achter te gaan lopen. Het is belangrijk te weten dat bij gepseudonimiseerde persoonsgegevens het nog steeds gaat om persoonsgegevens. Er heeft immers geen anonimisering plaatsgevonden. De Wet bescherming persoonsgegevens en binnenkort (vanaf 25 mei 2018) de Algemene Verordening Gegevensbescherming blijven dan ook van toepassing op pseudoniemen. Het pseudoniem voor het onderwijs, ook wel het ketenID genoemd, wijzigt niet als van school wordt gewisseld. Het is een unieke identiteit die door elke leverancier kan worden gebruikt, zonder dat deze kan herleiden om welke specifieke onderwijsdeelnemer het gaat. Hoewel de Tweede Kamer heeft ingestemd met het wetsvoorstel, is er nog een aantal punten waarover zij haar zorgen uit. Zo wordt gebruik van het ketenID na invoering van het voorstel zoals het er nu ligt, niet wettelijk verplicht gesteld. Hierdoor bestaat de kans dat het ketenID in de toekomst onvoldoende zal worden toegepast. Heeft u vragen over privacy in het onderwijs, neem dan contact op met Monica Leenders of Nicole Niessen van onze teams Privacy en Onderwijs. oktober 2017   [post_title] => Waarborg privacy in het onderwijs door pseudonimisering [post_excerpt] => [post_status] => publish [comment_status] => closed [ping_status] => closed [post_password] => [post_name] => waarborg-privacy-onderwijs-pseudonimisering [to_ping] => [pinged] => [post_modified] => 2017-10-31 15:15:29 [post_modified_gmt] => 2017-10-31 14:15:29 [post_content_filtered] => [post_parent] => 0 [guid] => https://www.boelszanders.nl/?post_type=publication&p=15300/ [menu_order] => 0 [post_type] => publication [post_mime_type] => [comment_count] => 0 [filter] => raw ) [39] => WP_Post Object ( [ID] => 15170 [post_author] => 21 [post_date] => 2017-10-13 09:51:11 [post_date_gmt] => 2017-10-13 07:51:11 [post_content] => De vraag is echter niet of het gebeurt, maar of het ook zomaar mag. Voor de verwerking van persoonsgegevens – en dus ook een check op social media – is namelijk een grondslag nodig. Toestemming Normaal gesproken is de meest voor de hand liggende grondslag de verkregen toestemming. Omdat toestemming vrij moet zijn gegeven, levert dit in een arbeidsverhouding nogal eens problemen op. De gezagsverhouding die tussen een werkgever en een werknemer bestaat, maakt dat toestemming vaak niet geacht wordt vrij te zijn gegeven. Gerechtvaardigd belang Een andere mogelijke grondslag voor een check op social media is het gerechtvaardigd belang. Ook deze grondslag is echter niet zomaar aanwezig. Informatie over of een sollicitant geschikt is voor de functie mag dus ook niet zonder meer van social media worden gehaald. Openbare informatie En hoe zit dat dan met betrekking tot openbare social media profielen? Als het beleid van de Autoriteit Persoonsgegevens wordt gevolgd, is het gebruik van deze openbare informatie ook niet zomaar toegestaan. Ook in dit geval moet er een grondslag voor de verwerking zijn. Verschil zakelijke en privé accounts Er lijkt wel een verschil gemaakt te moeten worden tussen zakelijke en privé accounts. Informatie van zakelijke accounts (denk aan LinkedIn) mag sneller door een werkgever gebruikt worden dan informatie van privé accounts (denk aan Facebook, Instagram). Sanctie Het lijkt een theoretisch probleem. Informatie is namelijk zo ongemerkt opgezocht en gebruikt. De aandacht die privacy krijgt, groeit echter nog met de dag. De Autoriteit Persoonsgegevens krijgt met de Algemene Verordening Gegevensbescherming daarnaast meer sanctiemogelijkheden. Bij overtreding kunnen hoge boetes worden opgelegd. Heeft u vragen over het onderwerp privacy, neem dan contact op met een van de specialisten van ons Team Privacy of Team Arbeidsrecht. [post_title] => Een (toekomstig) werknemer checken op social media; welke werkgever doet het niet? [post_excerpt] => [post_status] => publish [comment_status] => closed [ping_status] => closed [post_password] => [post_name] => toekomstig-werknemer-checken-op-social-media-welke-werkgever-doet [to_ping] => [pinged] => [post_modified] => 2017-10-13 12:57:31 [post_modified_gmt] => 2017-10-13 10:57:31 [post_content_filtered] => [post_parent] => 0 [guid] => https://www.boelszanders.nl/?post_type=publication&p=15170/ [menu_order] => 0 [post_type] => publication [post_mime_type] => [comment_count] => 0 [filter] => raw ) [40] => WP_Post Object ( [ID] => 15029 [post_author] => 21 [post_date] => 2017-10-05 11:01:44 [post_date_gmt] => 2017-10-05 09:01:44 [post_content] => Vanaf 25 mei 2018 wordt de  Algemene Verordening Gegevensbescherming (AVG) van kracht en moeten alle organisaties voldoen aan de daarin opgenomen administratieplicht. Bovendien moeten organisaties waar 250 of meer personen werkzaam zijn een verwerkingsregister gaan bijhouden. De AVG kent een grotere administratieplicht dan nu onder de Wet bescherming persoonsgegevens (Wpb) het geval is. Deze plicht brengt mee dat organisaties, voor zover zij daar niet al over beschikken, systemen moeten implementeren waarmee verwerkingen van gegevens kunnen worden gedocumenteerd. Datalekken Op dit moment geldt er op grond van de Wbp al een administratieplicht waardoor organisaties een overzicht moeten bijhouden van alle datalekken die bij de Autoriteit Persoonsgegevens zijn gemeld. In dit overzicht moeten organisaties in ieder geval feiten en gegevens over de aard van de inbreuk en de tekst van de kennisgeving aan de betrokkene opnemen. Dit overzicht moet minimaal een jaar bewaard worden. De AVG kent een bredere administratieplicht. Op grond van de AVG dienen ‘alle inbreuken’ in verband met persoonsgegevens (datalekken) te worden gedocumenteerd. Bijvoorbeeld bij elk incident waarbij iemand per ongeluk toegang krijgt tot gegevens geldt naar de letter van de AVG de administratieplicht. Verwerkingsregister Ondernemingen waar meer dan 250 personen werkzaam zijn, moeten naast de administratie rondom datalekken ook een verwerkingsregister aanleggen. In dit register moet nauwkeurig worden opgenomen welke verwerkingen plaatsvinden, door wie, op welke grondslag en voor welk doel, waar en hoe lang de gegevens worden bewaard. De Autoriteit Persoonsgegevens kan dit register ook opvragen. Het is verstandig tijdig een verwerkingsregister aan te leggen; dat helpt u ook bij het in kaart brengen van datastromen binnen uw organisatie. Indien de organisatie haar persoonsgegevens door een derde (verwerker) laat beheren, is ze strikt genomen onder de Wbp en de AVG niet verplicht om afspraken te maken met de verwerker over de verdergaande administratieplicht onder de AVG. Dit is echter wel verstandig om te doen, omdat de toezichthouder kan vragen om inzage in de wettelijk verplichte administratie. Als die administratie er niet is, dan kan de Autoriteit Persoonsgegevens, handhavend optreden en zelfs boetes opleggen. Indien u vragen heeft over de verplichtingen die de AVG u oplegt, zoals de administratieplicht, neem dan contact op met ons team privacy. oktober 2017   [post_title] => Administratieplicht: documenteer alle gegevensverwerkingen [post_excerpt] => [post_status] => publish [comment_status] => closed [ping_status] => closed [post_password] => [post_name] => administratieplicht-documenteer-gegevensverwerkingen [to_ping] => [pinged] => [post_modified] => 2017-10-05 11:03:03 [post_modified_gmt] => 2017-10-05 09:03:03 [post_content_filtered] => [post_parent] => 0 [guid] => https://www.boelszanders.nl/?post_type=publication&p=15029/ [menu_order] => 0 [post_type] => publication [post_mime_type] => [comment_count] => 0 [filter] => raw ) [41] => WP_Post Object ( [ID] => 15254 [post_author] => 21 [post_date] => 2017-10-20 13:51:00 [post_date_gmt] => 2017-10-20 11:51:00 [post_content] => Tot 25 mei 2018 hebben alle organisaties in zowel de publieke als de private sector de tijd om hun bedrijfsvoering in overeenstemming te brengen met de Algemene Verordening Gegevensbescherming (AVG). De AVG verplicht organisaties die persoonsgegevens verwerken onder bepaalde omstandigheden een Data Protection Impact Assessment (DPIA) uit te voeren (in het Nederlands ook wel gegevensbeschermingseffectbeoordeling genoemd). Een DPIA is een (verplicht) hulpinstrument dat ertoe verplicht om voorafgaand aan een bepaalde gegevensverwerking na te denken over privacyrisico's van die gegevensverwerking en de wijze waarop deze privacyrisico's kunnen worden verkleind. Een Data Protection Impact Assessment is niet geheel nieuw. Zo is momenteel een DPIA bijvoorbeeld al verplicht voor de Rijksoverheid en wordt het door sommige bedrijven al vrijwillig ingezet. Toch is de brede verplichtstelling nieuw en zal het voor de meeste organisaties een onbekend instrument zijn. Het uitvoeren van een DPIA kan voor organisaties kostenvoordelen met zich meebrengen. Doordat organisaties door het verplicht uitvoeren van een DPIA in een vroegtijdig stadium inzicht krijgen in de belangrijkste privacyrisico's, kan dit kostbare aanpassingen in processen, herontwerp van systemen of stopzetten van een project voorkomen. In welke gevallen moet een DPIA worden uitgevoerd? Volgens de AVG dient de verwerkingsverantwoordelijke (degene die bepaalt dat er gegevens verwerkt worden, met welk doel en met welke middelen) vóór de gegevensverwerking een DPIA uit te voeren wanneer de verwerkingen gezien hun aard, reikwijdte of doeleinden bijzondere risico's inhouden voor de rechten en vrijheden van de betrokkenen (natuurlijke personen). In de AVG worden verschillende situaties genoemd waarin de verwerkingsverantwoordelijke vanaf 25 mei 2018 in ieder geval verplicht wordt een DPIA uit te voeren:
  • wanneer sprake is van een systematische en uitvoerige beoordeling van persoonlijke aspecten van personen (bijvoorbeeld economische situatie, verblijfplaats en gezondheid) en daaraan rechtsgevolgen worden verbonden;
  • wanneer op grote schaal bijzondere persoonsgegevens worden verwerkt, zoals gegevens over de gezondheid, het ras of de etnische afkomst, voor het bieden van bijvoorbeeld gezondheidszorg;
  • wanneer op grote schaal en systematisch mensen worden gemonitord in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht);
  • wanneer er sprake is van verwerking van grote bestanden van persoonsgegevens inzake kinderen en van genetische of biometrische gegevens.
Hoe moet een DPIA worden uitgevoerd? Wanneer op grond van het voorgaande blijkt dat men verplicht is een DPIA uit te voeren dan moet dit gedaan worden vóórafgaand aan de verwerking van de persoonsgegevens. De DPIA dient op grond van de AVG ten minste het volgende te bevatten:
  • een algemene beschrijving van de beoogde verwerkingen;
  • een beoordeling van de risico's voor de rechten en vrijheden van betrokkenen;
  • de maatregelen die worden beoogd om de risico's te beperken;
  • de waarborgen, beveiligingsmaatregelen en mechanismen die de bescherming van persoonsgegevens verzekeren en aantonen dat aan de AVG is voldaan, met inachtneming van de rechten en gerechtvaardigde belangen van betrokkenen en andere betrokken personen.
Raadpleging Autoriteit Persoonsgegevens Wanneer uit de DPIA blijkt dat een bepaalde verwerking van persoonsgegevens vanwege hun aard, omvang of doel waarschijnlijk grote specifieke risico's met zich meebrengt dan moet de verwerkingsverantwoordelijke, voordat wordt overgegaan tot de gegevensverwerking, de Autoriteit Persoonsgegevens (AP) raadplegen. De AP beoordeelt dan of de voorgenomen verwerking in strijd is met de AVG. Als dat zo is, dan ontvangt men een schriftelijk voorstel van de AP om alsnog aan de AVG te voldoen. Indien u vragen heeft over de verplichtingen die de AVG u oplegt, zoals de het uitvoeren van een Data Protection Impact Assessment, neem dan contact op met ons team privacy. [post_title] => Het verplichte Data Protection Impact Assessment [post_excerpt] => [post_status] => publish [comment_status] => closed [ping_status] => closed [post_password] => [post_name] => verplichte-data-protection-impact-assessment [to_ping] => [pinged] => [post_modified] => 2017-10-26 12:11:00 [post_modified_gmt] => 2017-10-26 10:11:00 [post_content_filtered] => [post_parent] => 0 [guid] => https://www.boelszanders.nl/?post_type=publication&p=15254/ [menu_order] => 0 [post_type] => publication [post_mime_type] => [comment_count] => 0 [filter] => raw ) [42] => WP_Post Object ( [ID] => 14722 [post_author] => 21 [post_date] => 2017-09-21 10:38:46 [post_date_gmt] => 2017-09-21 08:38:46 [post_content] => Sinds 25 mei 2016 worden alle organisaties in Europa geacht om hun bedrijfsvoering met de Algemene Verordening Gegevensbescherming (AVG) in overeenstemming te brengen. Zij krijgen daarvoor tot 25 mei 2018 de tijd. De AVG zal de huidige Wet bescherming persoonsgegevens (Wbp) vervangen en zorgt ervoor dat overal in Europa dezelfde regels gelden op het gebied van databescherming. Onduidelijkheid bestaat soms of bepaalde business-to-businessactiviteiten ook onder de AVG vallen. Strikt genomen is dit niet zo, maar men moet er op bedacht zijn dat het verwerken van persoonsgegevens door rechtspersonen wel onder de reikwijdte van de AVG valt. Daar zal vrij snel sprake van zijn. De Algemene Verordening Gegevensbescherming De AVG bevat uitgebreide nieuwe verplichtingen voor organisaties. Als organisaties hun bedrijfsvoering niet op tijd aanpassen aan deze nieuwe Europese wetgeving, dreigen er boetes die hoog kunnen oplopen. Uit verschillende onderzoeken blijkt dat een groot aantal bedrijven echter nog geen maatregelen hebben genomen. Toch moet elke organisatie die persoonsgegevens verwerkt op 25 mei 2018 voldoen aan de nieuwe wet- en regelgeving. Toepasselijkheid AVG De AVG is van toepassing op iedere verwerking van persoonsgegevens. Daaronder valt alle informatie over een geïdentificeerde of identificeerbare natuurlijk persoon. Anonieme gegevens (die niet tot een identificeerbaar persoon kunnen worden herleid) vallen buiten de werkingssfeer van de AVG. Er bestaat onduidelijkheid over of business-to-businessactiviteiten ook onder de AVG vallen. De Europese Commissie heeft aangegeven dat de opslag van B2B-activiteiten (van rechtspersonen) buiten het bereik van de AVG vallen. Als gegevens van een rechtspersoon echter iets zeggen over een identificeerbaar individu, dan vallen deze wel onder het bereik van 'persoonsgegevens' zoals bedoeld in de AVG. Hier kan al snel sprake van zijn als het bijvoorbeeld gaat om personeelsadministratie of zakelijke telefoonnummers die aan personen zijn gekoppeld. Hetzelfde geldt wanneer bijvoorbeeld gegevens worden opgeslagen van contactpersonen bij bedrijven voor marketingdoeleinden. De AVG is dan van toepassing en daarmee alle verplichtingen die de AVG organisaties oplegt. Indien u vragen heeft over de AVG en de gewijzigde verplichtingen waaraan u vanaf 25 mei 2018 moet voldoen, neemt dan contact op met ons team privacy.   [post_title] => Privacy in B2B-relaties [post_excerpt] => [post_status] => publish [comment_status] => closed [ping_status] => closed [post_password] => [post_name] => privacy-b2b-relaties [to_ping] => [pinged] => [post_modified] => 2017-09-21 10:38:46 [post_modified_gmt] => 2017-09-21 08:38:46 [post_content_filtered] => [post_parent] => 0 [guid] => https://www.boelszanders.nl/?post_type=publication&p=14722/ [menu_order] => 0 [post_type] => publication [post_mime_type] => [comment_count] => 0 [filter] => raw ) [43] => WP_Post Object ( [ID] => 13866 [post_author] => 17 [post_date] => 2017-08-15 09:57:30 [post_date_gmt] => 2017-08-15 07:57:30 [post_content] => Ter beveiliging van onder andere luchthavens wordt steeds vaker gebruik gemaakt van de zogenaamde "slimme" camera's. Deze camera's kunnen geseinde personen en voertuigen detecteren, zodat deze niet onopgemerkt voorbij kunnen rijden. Dat werpt de vraag op of luchthavens zonder meer gebruik mogen maken van "slimme" camera's. Wet bescherming persoonsgegevens Slimme camera's kunnen met behulp van verschillende technieken onder andere gezichten en kentekenplaten herkennen. Deze techniek kan bijvoorbeeld criminelen herkennen op het moment dat deze in de database zijn opgenomen. Door de inzet van slimme camera's worden persoonsgegevens verwerkt; zo worden gegevens verzameld, vastgelegd en hoogstwaarschijnlijk ook bewaard. De Wet bescherming persoonsgegevens kent hiervoor verschillende regels. Het verwerken van persoonsgegevens mag slechts als hierbij voldaan is aan diverse uitgangspunten. Zo moet er een grondslag te vinden zijn in de Wet bescherming persoonsgegevens die het gebruik van dergelijke camera's rechtvaardigt en moet de inzet van camera's noodzakelijk zijn, mede gelet op de belangen van betrokkenen. Bovendien moet men rekening houden met bepalingen omtrent opslag en bewaring van de gegevens, de beveiliging van de gegevens en het eventueel informeren van betrokkenen over het gebruik van camera's. Luchthavens Voor luchthavens geldt dus dat zij rekening moeten houden met de belangen van betrokkenen/reizigers. Een luchthaven zou het gebruik van camera's kunnen stoelen op de grondslag "gerechtvaardigd belang", zoals genoemd in de Wet bescherming persoonsgegevens. Het gerechtvaardigd belang van de luchthaven zal hoogstwaarschijnlijk zijn om de luchthaven te beveiligen, zodat reizigers zonder problemen op weg kunnen naar hun bestemming. De belangen van reizigers (privacy) verzetten zich niet tegen het gebruik van slimme camera's, zolang deze alleen gebruikt worden voor het seinen van bepaalde personen en/of voertuigen. Wel zal de luchthaven acht moeten slaan op de bewaartermijn. Gegevens mogen slechts bewaard worden voor zolang dit noodzakelijk is gelet op de beoogde doeleinden. Meer informatie? Heeft u vragen over toepassing van cameratoezicht en in welke gevallen dit geoorloofd is? Neem dan contact op met onze collega's van het team privacy. [post_title] => Cameratoezicht met slimme camera's [post_excerpt] => [post_status] => publish [comment_status] => closed [ping_status] => closed [post_password] => [post_name] => cameratoezicht-slimme-cameras [to_ping] => [pinged] => [post_modified] => 2017-08-15 09:57:30 [post_modified_gmt] => 2017-08-15 07:57:30 [post_content_filtered] => [post_parent] => 0 [guid] => https://www.boelszanders.nl/?post_type=publication&p=13866/ [menu_order] => 0 [post_type] => publication [post_mime_type] => [comment_count] => 0 [filter] => raw ) [44] => WP_Post Object ( [ID] => 13627 [post_author] => 21 [post_date] => 2017-08-02 13:02:44 [post_date_gmt] => 2017-08-02 11:02:44 [post_content] => Onbedoeld verwerken organisaties een grote hoeveelheid persoonsgegevens. Vaak zonder dat men stilstaat bij de vraag of verwerking mag plaatsvinden, gelet op het doel en op basis van welke grondslag. De rechtspraak biedt legio voorbeelden, bijvoorbeeld de situatie waarin klanten van een webshop gegevens invullen om hun bestelling goed te ontvangen en vervolgens ook nieuwsbrieven ontvangen van andere webshops van dezelfde eigenaar. De persoonsgegevens mogen slechts voor dat doel worden gebruikt indien de betrokkene daarvoor ook toestemming heeft gegeven. Kopie van identiteitsbewijzen Ook komen regelmatig situaties voor waarbij routinematig een kopie wordt gemaakt van identiteitsbewijzen. Het maken van een dergelijke kopie is echter maar in een heel beperkt aantal gevallen toegestaan. Buiten de bij wet geregelde uitzonderingssituaties om handelt men in strijd met de Wet bescherming persoonsgegevens wanneer een kopie van een paspoort wordt gemaakt. Het is dan ook van groot belang om goed in kaart te brengen voor welk doel een kopie van een identiteitsbewijs wordt gemaakt en op basis van welke (wettelijke) grondslag. Autoriteit Persoonsgegevens Bij onrechtmatige verwerkingen kan de Autoriteit Persoonsgegevens handhavend optreden. De Autoriteit Persoonsgegevens verricht regelmatig onderzoeken wanneer er meldingen hebben plaatsgevonden dat verwerking mogelijkerwijs niet voldoet aan de vereisten uit de Wet bescherming persoonsgegevens. De Autoriteit Persoonsgegevens kan hierbij een boete opleggen die maximaal EUR 820.000,- dan wel 10% van de jaaromzet van de onderneming bedraagt. Naast de gevolgen die een mogelijk beveiligingslek kan hebben wanneer het gaat om identiteitsbewijzen, zoals identiteitsfraude, vormen deze boetes een stimulans om te controleren of de verwerking van persoonsgegevens binnen de onderneming wel op de juiste wijze geschiedt. Meer informatie? Indien u vragen heeft over de verwerking van persoonsgegevens en/of het maken van 'kopietjes paspoort' neemt u dan contact op met ons team privacy. Wij kunnen u hierover adviseren en in overleg met u inventariseren in hoeverre de handelswijze binnen uw organisatie voldoet aan de Wet bescherming persoonsgegevens en vanaf 25 mei 2018 de Algemene Verordening Gegevensbescherming. [post_title] => 'Kopietje paspoort' [post_excerpt] => [post_status] => publish [comment_status] => closed [ping_status] => closed [post_password] => [post_name] => kopietje-paspoort [to_ping] => [pinged] => [post_modified] => 2018-11-02 09:53:15 [post_modified_gmt] => 2018-11-02 08:53:15 [post_content_filtered] => [post_parent] => 0 [guid] => https://www.boelszanders.nl/?post_type=publication&p=13627/ [menu_order] => 0 [post_type] => publication [post_mime_type] => [comment_count] => 0 [filter] => raw ) [45] => WP_Post Object ( [ID] => 13579 [post_author] => 2 [post_date] => 2017-07-26 11:24:08 [post_date_gmt] => 2017-07-26 09:24:08 [post_content] => Deze week werd bekend dat het Spinoza Lyceum in Amsterdam te maken heeft gehad met een datalek. Door een fout met het verzenden van documenten via Google Documents, zijn gevoelige persoonsgegevens gelekt van zo'n 100 leerlingen. Het betrof informatie over de persoonlijke omstandigheden en over de privésituatie van deze leerlingen. Deze informatie is terecht gekomen bij de leerlingen zelf, de ouders en uiteindelijk ook bij de Telegraaf. Het Spinoza Lyceum was genoodzaakt hiervan melding te maken bij de Autoriteit Persoonsgegevens. Tevens zijn de ouders op de hoogte gebracht. De Wet bescherming persoonsgegevens hanteert strikte regels rondom het melden van een (vermoeden van een) datalek. Binnen 72 uur moet melding worden gemaakt bij de Autoriteit Persoonsgegevens en in bepaalde gevallen moeten ook de betrokkenen op de hoogte worden gesteld. Aangezien de Autoriteit boetes kan uitdelen tot een bedrag van EUR 820.000,- wanneer niet (tijdig) wordt gemeld, is het van belang alert te zijn op vermoedens van datalekken. Daarnaast kan een datalek gevolgen hebben voor de betrokkenen, alsmede voor de reputatie van de instantie. Heeft u vragen over het melden van een datalek, neemt u dan contact met op met ons team Privacy. Zij zijn u graag van dienst. Door preventief op te treden, bijvoorbeeld door het vergroten van het bewustzijn op dit gebied, kan een organisatie of instelling problemen voor zijn. En voor het geval er toch sprake is van een datalek, is het van belang een up-to-date datalekkenprotocol voorhanden te hebben zodat tijdig melding kan worden gedaan op de juiste manier. Ook hiermee heeft het team een ruime ervaring en zijn ze u graag van dienst. Juli 2017 [post_title] => Datalek leerlinggegevens [post_excerpt] => [post_status] => publish [comment_status] => closed [ping_status] => closed [post_password] => [post_name] => datalek-leerlinggegevens [to_ping] => [pinged] => [post_modified] => 2017-07-26 11:24:08 [post_modified_gmt] => 2017-07-26 09:24:08 [post_content_filtered] => [post_parent] => 0 [guid] => https://www.boelszanders.nl/?post_type=publication&p=13579/ [menu_order] => 0 [post_type] => publication [post_mime_type] => [comment_count] => 0 [filter] => raw ) [46] => WP_Post Object ( [ID] => 12057 [post_author] => 21 [post_date] => 2017-06-08 10:50:56 [post_date_gmt] => 2017-06-08 08:50:56 [post_content] => Vanaf 25 mei 2018 zal de Algemene Verordening Gegevensverwerking (AVG) van toepassing zijn en zullen organisaties die persoonsgegevens verwerken vanaf die datum meer verplichtingen krijgen. De nadruk zal – meer dan nu – komen te liggen op de verantwoordelijkheid van organisaties om te kunnen aantonen dat zij zich aan de wet houden. Daarnaast versterkt de AVG de positie van de mensen van wie gegevens worden verwerkt. Zij krijgen nieuwe privacyrechten en hun bestaande rechten worden sterker. Als organisatie kunt u nu alvast stappen ondernemen om straks klaar te zijn voor de AVG. Om u hierbij een handje te helpen, wijzen wij u erop dat organisaties die vragen hebben over de AVG deze vragen de hele maand juni per mail aan de Autoriteit Persoonsgegevens (AP) kunnen stellen via [email protected]. Elke week zal de AP de 3 meest gestelde vragen beantwoorden. Zo heeft de AP afgelopen week op haar website de onderstaande vragen beantwoord: Moet ik me tijdens de voorbereiding op de AVG nog aan de Wbp houden? Wat houdt het recht op vergetelheid uit de AVG in? Waar moet de verwerkersovereenkomst onder de AVG aan voldoen? Heeft u vragen over bovenstaand onderwerp? Neem dan contact op met Sharinne Ibrahim of een van onze andere advocaten van het team Privacy. Zij zijn u graag van dienst. [post_title] => Hoe ver bent u met uw voorbereiding op de nieuwe Europese privacywetgeving? [post_excerpt] => [post_status] => publish [comment_status] => closed [ping_status] => closed [post_password] => [post_name] => hoe-ver-bent-voorbereiding-op-nieuwe-europese-privacywetgeving [to_ping] => [pinged] => [post_modified] => 2017-06-08 10:50:56 [post_modified_gmt] => 2017-06-08 08:50:56 [post_content_filtered] => [post_parent] => 0 [guid] => https://www.boelszanders.nl/?post_type=publication&p=12057/ [menu_order] => 0 [post_type] => publication [post_mime_type] => [comment_count] => 0 [filter] => raw ) [47] => WP_Post Object ( [ID] => 11952 [post_author] => 21 [post_date] => 2017-05-30 09:10:08 [post_date_gmt] => 2017-05-30 07:10:08 [post_content] => In 2012 presenteerde de Europese Commissie plannen voor de herziening van de bestaande privacyregelgeving. De Privacyrichtlijn uit 1995 zou gezien het digitale tijdperk verouderd zijn. De keuze is gevallen op een EU-verordening waarop burgers ten overstaan van de nationale rechter een rechtstreeks beroep kunnen doen. De Europese privacy verordening (hierna: "de Verordening") zal per 25 mei 2018 van toepassing zijn. Hoewel veel uitgangspunten overeenkomen met de Wet bescherming persoonsgegevens (hierna: "Wbp"), bevat de Verordening aanzienlijke wijzigingen, ook voor werkgevers. Het niet naleven van de regels kan een werkgever veel geld kosten. Hierna volgt een korte samenvatting van de verplichtingen voor werkgevers. Werknemer De Verordening kent de werknemer meer rechten toe ten opzichte van de (oude) Privacyrichtlijn en de Wbp. Het recht op inzage en het recht op kopie zijn daar goede voorbeelden van. Onder de Wbp heeft de werknemer reeds een inzagerecht. Per 25 mei 2018 zal dit recht van de werknemer versterkt worden. De werknemer heeft dan bijvoorbeeld ook recht op informatie over hoe lang de werkgever de gegevens zal gaan bewaren en de vraag of de werkgever het voornemen heeft om de gegevens door te geven naar partijen in het buitenland en zo ja, welke passende waarborgen daarvoor worden getroffen. Ook het recht op een kopie van het personeelsdossier is onder de Verordening uitgebreid. De werknemer mag vragen om een kopie van het volledige personeelsdossier. De Verordening bepaalt dat het recht op kopie geen afbreuk mag doen aan de rechten en vrijheden van derden. Ook de Wbp kent een uitzonderingsgrond voor de privacy rechten van derden. Het voorschrift uit de Wbp dat een derde die naar verwachting tegen het recht van kopie bedenkingen zal hebben om een zienswijze moet worden gevraagd, komt niet voor in de Verordening. De werkgever zal bij een verzoek om een kopie van het personeelsdossier zelfstandig moeten nagaan of de privacy rechten van een ander op het spel staan. Werkgever Voor de werkgever betekent de Verordening meer verplichtingen. De eerste verplichting van de werkgever is om de werknemer tijdig informatie te verschaffen over alles wat met de verwerking van persoonsgegevens te maken heeft. Dit houdt kortweg in dat de werknemer vóór zijn indiensttreding gewezen moet worden op al zijn privacyrechten. Ofschoon de Wbp al een informatieplicht kent, is het in de toekomst raadzaam om als werkgever (nog meer) te gaan werken met algemene informatiebrieven om aan de informatieplicht te voldoen. Verder brengt de Verordening een zogenaamde documentatieplicht met zich mee. De documentatieplicht houdt in dat werkgevers een register moeten bijhouden van alle verwerkingsactiviteiten. Deze plicht geldt voor grote werkgevers (vanaf 250 werknemers) en werkgevers die op grote schaal gegevens verwerken. De documentatieplicht geldt ook bij het verwerken van bijzondere gegevens, zoals medische gegevens. Een andere wijziging betreft de verplichting die de Verordening aan sommige bedrijven toekent om een functionaris voor de gegevensverwerking aan te stellen. Onder de Wbp is het aanstellen van een functionaris nog een keuze. De verplichting op grond van de Verordening geldt voor bedrijven die zich in de kern bezig houden met de verwerking van bijzondere persoonsgegevens. Ook bedrijven die regelmatig en stelselmatig op grote schaal individuen observeren (o.a. profiling) zijn verplicht een functionaris aan te wijzen. Welke bedrijven exact onder de verplichtstelling vallen is vooralsnog onduidelijk. Voor meer informatie (bijvoorbeeld over de begrippen grootschalig, regelmatig en stelselmatig) wordt verwezen naar de Richtlijnen voor functionarissen voor de gegevensbescherming (FG's) van de Autoriteit Persoonsgegevens. Overige wijzigingen Belangrijk is daarnaast dat de Verordening strengere regels kent voor verwerkers (lees: bewerkers) die ten behoeve van de werkgever persoonsgegevens verwerken, zoals arbodiensten (zie in dit kader ook ons artikel over de wijzigingen van de Arbeidsomstandighedenwet per 1 juli 2017). Dat betekent dat bestaande bewerkersovereenkomsten getoetst moeten worden aan deze nieuwe regels. De Verordening kent bovendien een hoger sanctierisico en substantiële boetes als prikkel om privacybescherming binnen ondernemingen hoog te houden. Tot slot Tot slot merken wij nog op dat de Verordening ook een meldplicht bij datalekken bevat. De huidige verplichting op grond van de Wbp om datalekken te melden bij de toezichthouder (en in sommige gevallen ook bij de betrokken personen) blijft dus bestaan. Met de komst van de Verordening zal de Wbp en het daarbij behorende Vrijstellingsbesluit komen te vervallen. Het Vrijstellingsbesluit bevat bewaartermijnen voor onder meer personeelsgegevens. De vraag is of deze bewaartermijnen anno 2018 nog aangehouden kunnen worden. Naar verwachting is dat wel het geval. Wilt u meer weten over de aankomende privacy verordening of de verwerking van persoonsgegevens of over hoe te voldoen aan de informatieverplichtingen? Neem dan contact op met onze advocaten privacy of arbeidsrecht. U kunt zich nu ook aanmelden voor de bijeenkomsten arbeidsrechtelijke aspecten van Privacy die ons team arbeidsrecht in juni organiseert. [post_title] => Privacy op de werkvloer: de Europese privacy verordening komt eraan [post_excerpt] => [post_status] => publish [comment_status] => closed [ping_status] => closed [post_password] => [post_name] => privacy-op-werkvloer-europese-privacy-verordening-komt-eraan [to_ping] => [pinged] => [post_modified] => 2018-05-16 11:53:47 [post_modified_gmt] => 2018-05-16 09:53:47 [post_content_filtered] => [post_parent] => 0 [guid] => https://www.boelszanders.nl/?post_type=publication&p=11952/ [menu_order] => 0 [post_type] => publication [post_mime_type] => [comment_count] => 0 [filter] => raw ) [48] => WP_Post Object ( [ID] => 11165 [post_author] => 21 [post_date] => 2017-04-25 10:08:55 [post_date_gmt] => 2017-04-25 08:08:55 [post_content] => Vanaf 25 mei 2018 zal de Algemene Verordening Gegevensverwerking (AVG) van toepassing zijn en zullen organisaties die persoonsgegevens verwerken vanaf die datum meer verplichtingen krijgen. De nadruk zal – meer dan nu – komen te liggen op de verantwoordelijkheid van organisaties om te kunnen aantonen dat zij zich aan de wet houden. Daarnaast versterkt de AVG de positie van de mensen van wie gegevens worden verwerkt. Zij krijgen nieuwe privacyrechten en hun bestaande rechten worden sterker. Als organisatie kunt u nu alvast stappen ondernemen om straks klaar te zijn voor de AVG. Om u hierbij te helpen, wijzen wij u erop dat de Autoriteit Persoonsgegevens (AP) 10 belangrijke stappen op een rijtje heeft gezet. Deze 10 stappen kunnen uw organisatie helpen in de voorbereiding op de nieuwe Europese Privacy wetgeving. Zie voor meer informatie ook het door de AP  opgestelde document "in 10 stappen voorbereid op de AVG". Heeft u vragen over bovenstaand onderwerp? Neem dan contact op met Sharinne Ibrahim of een van onze andere advocaten van het team Privacy. Zij zijn u graag van dienst.   [post_title] => Wat betekent de invoering van de nieuwe Europese privacywetgeving voor u? [post_excerpt] => [post_status] => publish [comment_status] => closed [ping_status] => closed [post_password] => [post_name] => betekent-invoering-nieuwe-europese-privacywetgeving [to_ping] => [pinged] => [post_modified] => 2017-04-25 10:08:55 [post_modified_gmt] => 2017-04-25 08:08:55 [post_content_filtered] => [post_parent] => 0 [guid] => https://www.boelszanders.nl/?post_type=publication&p=11165/ [menu_order] => 0 [post_type] => publication [post_mime_type] => [comment_count] => 0 [filter] => raw ) [49] => WP_Post Object ( [ID] => 6976 [post_author] => 21 [post_date] => 2017-02-23 10:28:36 [post_date_gmt] => 2017-02-23 09:28:36 [post_content] => Iedere werknemer heeft recht op een behoorlijke en zorgvuldige verwerking van zijn of haar persoonsgegevens door de werkgever. Indien de werkgever een handeling verricht met betrekking tot persoonsgegevens is de Wet bescherming persoonsgegevens (hierna: "Wbp") van toepassing. Mag de werkgever persoonsgegevens van de werknemer ook aan derden verstrekken? Een recente uitspraak van de Raad van State geeft hierover meer duidelijkheid. Casus In deze zaak vordert een inmiddels voormalig ambtenaar van het ministerie van Infrastructuur en Milieu schadevergoeding van EUR 30.000,-, wegens handelen van de Staat der Nederlanden (of de minister van Infrastructuur en Milieu) in strijd met de Wbp. De ambtenaar is tot 1998 in dienst geweest bij het ministerie. Ten behoeve van een hypothecaire lening heeft de ambtenaar in 2000 een salarisstrook en werkgeversverklaring van dit dienstverband aangeleverd bij Stichting pensioenfonds ABP (hierna: "ABP"), de hypotheekhouder. Eind 2002 kon de ambtenaar zijn betalingsverplichtingen uit de hypothecaire lening niet meer voldoen en werd er overgegaan tot executoriale verkoop van zijn woning. Obvion N.V. heeft de executoriale verkoop, als rechtsgeldige vertegenwoordiger van ABP, uitgevoerd. De veilingopbrengst is vervolgens in mindering gebracht op de hypothecaire schuld van de ambtenaarr. In het kader van terugbetaling van de resterende hypothecaire schuld van de ambtenaar richt Obvion zich in 2010 tot het ministerie. Obvion verzoekt de minister van Infrastructuur en Milieu na te gaan of de salarisstrook en werkgeversverklaring overeenstemmen met hetgeen bij de minister bekend is. Dit bleek niet het geval te zijn. Dit had tot gevolg dat Obvion de inmiddels voormalig ambtenaar heeft gemeld bij de Stichting Fraudebestrijding Hypotheken. Door deze melding van Obvion kan de ambtenaar niet meer in aanmerking komen voor een hypotheek. Ten aanzien van de verstrekte informatie door de minister van Infrastructuur en Milieu stelt de ambtenaarr schade te hebben geleden. Deze schade bedraagt volgens de ambtenaar EUR 30.000,- en bestaat uit meerkosten huisvesting, proceskosten, kosten van juridische bijstand en immateriële schade. Toetsingskader Ingevolge artikel 8 sub f Wbp is een verwerking van persoonsgegevens geoorloofd indien deze noodzakelijk is voor de behartiging van een gerechtvaardigd belang van de verantwoordelijke of van een derde aan wie de gegevens worden verstrekt. De verwerking is niet geoorloofd indien het belang of de fundamentele rechten en vrijheden van een werknemer/ambtenaar, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, zwaarder wegen. De Raad van State moet hier dus een belangenafweging maken om te bepalen of de persoonsgegevens van de voormalig ambtenaar door het ministerie verstrekt mochten worden aan Obvion. De Raad van State oordeelt dat verificatie van de salarisstrook en de werkgeversverklaring moet worden aangemerkt als verwerking van persoonsgegevens in de zin van artikel 1 van de Wbp. Ten aanzien van het verwerken had Obvion, als derde partij, een gerechtvaardigd belang in de zin van artikel 8 sub f Wbp. Obvion heeft immers een verificatierecht om bij (voormalige) werkgevers van de hypotheekaanvragers (in dit geval de ambtenaar) na te gaan of salarisstroken en werkgeversverklaringen overeenkomen met de gegevens die bij hen bekend zijn. Na een belangenafweging stelt de Raad van State dat het belang van Obvion prevaleert boven het belang van de ambtenaar. Hierbij is tevens van belang dat het verstrekken van de persoonsgegevens niet heeft geleid tot schade en derhalve geen sprake is van schadeveroorzakend handelen. Daarnaast overweegt de Raad van State dat Obvion als rechtsgeldige vertegenwoordiger is opgetreden namens ABP en derhalve een gerechtvaardigd belang had bij het verkrijgen van de persoonsgegevens. Ook het feit dat de hypothecaire inschrijving in 2003 was doorgehaald, heeft niet tot gevolg dat de financiële verplichtingen van de ambtenaar jegens ABP als hypotheekhouder zijn vervallen. Conclusie In deze zaak heeft de Raad van State geoordeeld dat het verstrekken van de persoonsgegevens van de ambtenaar aan een derde (in dit geval Obvion) niet in strijd is met de Wbp. Obvion had een gerechtvaardigd belang op grond van artikel 8 sub f Wbp, waardoor het ministerie deze persoonsgegevens aan Obvion mocht verstrekken. Hebt u vragen over het verstrekken van persoonsgegevens of de Wet bescherming persoonsgegevens? Neem voor meer informatie contact op met onze privacy- en arbeidsrechtadvocaten. Zij zijn u graag van dienst. Februari 2017 [post_title] => Gegevensverwerking en de Wet bescherming persoonsgegevens [post_excerpt] => [post_status] => publish [comment_status] => closed [ping_status] => closed [post_password] => [post_name] => gegevensverwerking-en-de-wet-bescherming-persoonsgegevens [to_ping] => [pinged] => [post_modified] => 2017-04-24 10:12:25 [post_modified_gmt] => 2017-04-24 08:12:25 [post_content_filtered] => [post_parent] => 0 [guid] => https://www.boelszanders.nl/?post_type=publication&p=6976 [menu_order] => 0 [post_type] => publication [post_mime_type] => [comment_count] => 0 [filter] => raw ) [50] => WP_Post Object ( [ID] => 6590 [post_author] => 21 [post_date] => 2017-02-08 09:05:41 [post_date_gmt] => 2017-02-08 08:05:41 [post_content] => Bedrijven investeren in het verkrijgen, ontwikkelen en toepassen van knowhow en informatie, de twee kernelementen van de kenniseconomie die concurrentievoordeel opleveren. Bedrijven nemen hun toevlucht tot verschillende middelen om zich de resultaten van hun met innovatie verbonden activiteiten toe te eigenen. Voorbeelden van dergelijke middelen zijn intellectuele eigendomsrechten zoals octrooien, rechten op tekeningen of modellen of het auteursrecht. Een ander middel is het afschermen van de toegang en het benutten van de kennis die waardevol is voor de organisatie en niet algemeen bekend is. Dergelijke waardevolle knowhow en bedrijfsinformatie, die niet openbaar zijn gemaakt en bedoeld zijn om vertrouwelijk te blijven, worden ook wel "bedrijfsgeheimen" genoemd. In 2016 heeft de Raad van Europese Unie de Richtlijn betreffende de bescherming van niet-openbaar gemaakte knowhow en bedrijfsinformatie (bedrijfsgeheimen) tegen het onrechtmatig verkrijgen, gebruiken en openbaar maken daarvan (hierna: "de richtlijn") aangenomen ter bescherming van bedrijfsgeheimen. De richtlijn dient uiterlijk op 9 juni 2018 door de lidstaten van de Europese Unie te zijn omgezet in nationale regelgeving. Wat is ingevolge de richtlijn een bedrijfsgeheim? Een bedrijfsgeheim is informatie die niet algemeen bekend is en informatie die niet gemakkelijk toegankelijk is voor personen die zich gewoonlijk binnen de organisatie bezighouden met de desbetreffende soort informatie. De informatie dient handelswaarde te bezitten omdat zij geheim is en de informatie is door de persoon die daarover beschikt onderworpen aan redelijke maatregelen om deze informatie geheim te houden. De verkrijging van een bedrijfsgeheim zonder toestemming wordt als onrechtmatig beschouwd wanneer de verkrijging plaatsvindt door onbevoegde toegang of het zich onbevoegd toe-eigenen of kopiëren van het bedrijfsgeheim. Het gebruiken of openbaar maken van een bedrijfsgeheim wordt als onrechtmatig beschouwd wanneer een persoon het bedrijfsgeheim op onrechtmatige wijze heeft verkregen, het inbreuk maakt op een geheimhoudingsovereenkomst of inbreuk maakt op een contractuele of andere verplichting welke strekt tot beperking van het gebruik van het bedrijfsgeheim. De richtlijn verplicht Europese lidstaten maatregelen, procedures en rechtsmiddelen vast te stellen ter voorkoming en of schadeloosstelling van het onrechtmatig verkrijgen, gebruiken of openbaar maken van bedrijfsgeheimen. Ingevolge de richtlijn kunnen lidstaten de aansprakelijkheid voor schade van werknemers tegenover hun werkgever voor het onrechtmatig verkrijgen, gebruiken of openbaar maken van een bedrijfsgeheim van de werkgever beperken indien zij zonder opzet handelen. Gezien de opzet van het huidige arbeidsrecht valt te verwachten dat Nederland een dergelijke bepaling op zal nemen. Het past in het stelsel van het Nederlandse arbeidsrecht en het sluit aan bij de achterliggende gedachte van het arbeidsrecht, namelijk dat de werknemer hoge bescherming geniet. Het is voor werkgevers van belang duidelijke afspraken met werknemers te maken omtrent welke informatie als bedrijfsgeheim wordt beschouwd en maatregelen ter beschikking te stellen om deze bedrijfsgeheimen af te schermen. Daarnaast is het van belang dat het duidelijk is welke werknemers toegang krijgen tot bedrijfsgeheimen. Indien een werkgever hieromtrent een geheimhoudingsovereenkomst sluit met de werknemer en de werknemer hier inbreuk op maakt, wordt deze inbreuk ingevolge de richtlijn als onrechtmatig beschouwd. Een minder vergaand middel dan een geheimhoudingsovereenkomst voor bescherming van het openbaar maken van bedrijfsgeheimen is het opnemen van een geheimhoudingsbeding in de arbeidsovereenkomst met een sanctie in de vorm van een boetebeding bij overtreding hiervan. Het geheimhoudingsbeding geeft aan de werknemer een duidelijk signaal dat niet zonder meer iedere informatie waarvan de werknemer kennis neemt binnen de organisatie openbaar mag worden gemaakt. Kortom, u doet er als werkgever goed aan om een geheimhoudingsbeding met boetebeding in de arbeidsovereenkomsten met uw werknemers op te nemen. Indien u vragen heeft over het bovenstaande onderwerp kunt u contact opnemen met onze specialisten arbeidsrecht en intellectuele eigendomsrecht. Februari 2017   [post_title] => Bescherming bedrijfsgeheimen [post_excerpt] => [post_status] => publish [comment_status] => closed [ping_status] => closed [post_password] => [post_name] => bescherming-bedrijfsgeheimen [to_ping] => [pinged] => [post_modified] => 2017-04-24 10:11:45 [post_modified_gmt] => 2017-04-24 08:11:45 [post_content_filtered] => [post_parent] => 0 [guid] => https://www.boelszanders.nl/?post_type=publication&p=6590 [menu_order] => 0 [post_type] => publication [post_mime_type] => [comment_count] => 0 [filter] => raw ) [51] => WP_Post Object ( [ID] => 5175 [post_author] => 2 [post_date] => 2016-10-27 14:48:35 [post_date_gmt] => 2016-10-27 12:48:35 [post_content] => Bluetrace BV is leverancier van wifi tracking-technologie waarmee in en rondom winkels de wifi-signalen van (mobiele) apparaten worden opgevangen. Het MAC adres en datum, tijdstip en plaats waar het MAC-adres is waargenomen, worden verwerkt. Met deze gegevens wordt bedrijfseconomische informatie over drukte en (winkel)gedrag gegenereerd voor de bedrijven en organisaties die klant zijn van Bluetrace. De Autoriteit Persoonsgegevens (AP) heeft ambtshalve onderzoek gedaan naar de wijze waarop Bluetrace persoonsgegevens verwerkt bij de wifi-tracking. Haar conclusie is dat Bluetrace handelt in strijd met de Wet bescherming persoonsgegevens (Wpb). Volgens de AP verwerkt Bluetrace persoonsgegevens terwijl een grondslag daarvoor ontbreekt, omdat de gegevensverwerking niet noodzakelijk is voor een bedrijfsbelang dat opweegt tegen de privacy van passanten en omwonenden. Bovendien worden ten onrechte gegevens van passanten bewaard. Deze gegevens moet Bluetrace volgens de AP direct na het verzamelen anonimiseren of verwijderen. Van omwonenden mag Bluetrace überhaupt geen persoonsgegevens verzamelen en bewaren. Voor persoonsgegevens van winkelbezoekers acht de AP een bewaartermijn van 24 uur passend. De AP is ook van oordeel dat de betrokkenen niet tijdig, voldoende en juist worden geïnformeerd over de verwerking van hun persoonsgegevens voor wifi tracking-metingen. Naar aanleiding van het uitgevoerde onderzoek heeft de AP aan Bluetrace een last onder dwangsom opgelegd. Op grond daarvan moet Bluetrace de gegevensverwerking staken of maatregelen treffen die het onrechtmatige karakter van de verwerking wegnemen. Die maatregelen houden in dat Bluetrace:
  • moet voorkomen dat persoonsgegevens van omwonenden worden verzameld en verwerkt;
  • de persoonsgegevens van passanten na het verzamelen zo snel mogelijk moet verwijderen of anonimiseren; en
  • de betrokkenen op het moment van vastlegging van hun persoonsgegevens moet informeren over, onder meer, haar identiteit, het doel van de gegevensverwerking, de persoonsgegevens die worden verwerkt en de bewaartermijn.
De AP besluit dat indien Bluetrace niet binnen zes maanden aan deze last voldoet, zij een dwangsom verschuldigd is van EUR 5.000,- per week dat de last niet is uitgevoerd, met een maximum van EUR 100.000,-. Heeft u vragen over wifi tracking of op het gebied van verwerking van persoonsgegevens , dan kunt u contact opnemen met ons team privacy. Dit artikel verschijnt eveneens in Het Bossche Balie Bulletin, het advocatenmagazine van het arrondissement Oost-Brabant.  27 oktober 2016 [post_title] => AP legt last onder dwangsom op aan wifi tracker [post_excerpt] => [post_status] => publish [comment_status] => closed [ping_status] => closed [post_password] => [post_name] => ap-legt-last-onder-dwangsom-op-aan-wifi-tracker [to_ping] => [pinged] => [post_modified] => 2017-08-08 14:25:30 [post_modified_gmt] => 2017-08-08 12:25:30 [post_content_filtered] => [post_parent] => 0 [guid] => https://www.boelszanders.nl/?post_type=publication&p=5175 [menu_order] => 0 [post_type] => publication [post_mime_type] => [comment_count] => 0 [filter] => raw ) [52] => WP_Post Object ( [ID] => 3985 [post_author] => 21 [post_date] => 2016-07-18 13:37:08 [post_date_gmt] => 2016-07-18 13:37:08 [post_content] => Nadat het Europese Hof van Justitie vorig jaar een streep heeft gezet door de Safe Harbor overeenkomst tussen de Europese Unie en de Verenigde Staten heeft de Europese Commissie 12 juli jl. ingestemd met het EU-US Privacy Shield, een geheel van afspraken over doorgifte van persoonsgegevens vanuit de Europese Unie naar de Verenigde Staten, gegevensbescherming en privacy van Europese burgers. Het verdrag is door de Europese Commissie met de Amerikaanse regering uit onderhandeld en als opvolger van Safe Harbor geïntroduceerd. Deze nieuwe overeenkomst moet de bezwaren van de Europese rechters wegnemen. Heeft u vragen over het Privacy Shield of andere privacyregels? Neem dan contact op met ons team privacy. 18 juli 2016 [post_title] => EU landen stemmen in met het EU-US Privacy Shield [post_excerpt] => [post_status] => publish [comment_status] => closed [ping_status] => closed [post_password] => [post_name] => eu-landen-stemmen-in-met-het-eu-us-privacy-shield [to_ping] => [pinged] => [post_modified] => 2016-12-22 12:02:35 [post_modified_gmt] => 2016-12-22 11:02:35 [post_content_filtered] => [post_parent] => 0 [guid] => https://www.boelszanders.nl/?post_type=publication&p=3985 [menu_order] => 0 [post_type] => publication [post_mime_type] => [comment_count] => 0 [filter] => raw ) [53] => WP_Post Object ( [ID] => 4482 [post_author] => 2 [post_date] => 2016-09-14 10:01:04 [post_date_gmt] => 2016-09-14 10:01:04 [post_content] => De persoonsgegevens van een werknemer worden (bewust of onbewust) veelvuldig verwerkt door een werkgever. Op grond van de Wet bescherming persoonsgegevens (hierna: "Wbp") is een persoonsgegeven 'elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon'. Een goed voorbeeld van een persoonsgegeven is een BSN-nummer. Onder het verwerken van persoonsgegevens wordt verstaan 'elke handeling met betrekking tot persoonsgegevens'. Denk hierbij onder meer aan het verzamelen, vastleggen of verspreiden van persoonsgegevens. De persoonsgegevens van werknemers worden onder meer vastgelegd in een zogenaamd personeelsdossier. Personeelsdossiers In de Wbp zijn de voorwaarden neergelegd voor het aanleggen van personeelsdossiers. Zo mag de werkgever niet meer gegevens in het personeelsdossier bewaren dan nodig is. Denk hierbij onder meer aan gegevens die nodig zijn om de arbeidsovereenkomst uit te kunnen voeren, zoals een bankrekeningnummer. Medische gegevens mogen in beginsel niet opgeslagen worden in het personeelsdossier. Dit kan in uitzonderlijke situaties anders zijn, bijvoorbeeld wanneer collega's op de hoogte moeten zijn van de ziekte van een werknemer om in noodgevallen goed te kunnen handelen. De persoonsgegevens mogen voorts niet langer bewaard worden dan noodzakelijk is. De algemene richtlijn is een bewaartermijn van twee jaar na datum einde arbeidsovereenkomst. Voor sommige gegevens geldt echter een langere bewaarplicht van bijvoorbeeld vijf jaar na datum einde arbeidsovereenkomst. Een goed voorbeeld hiervan is de loonbelastingverklaring. Digitaal personeelsdossier In het kader van de digitalisering krijgen wij steeds vaker vragen van cliënten over de mogelijkheid om over te gaan tot het digitaliseren van personeelsdossiers. Het digitaliseren van personeelsdossiers is als zodanig toegestaan. Wel moeten de persoonsgegevens in een personeelsdossier goed beveiligd worden. Ingevolge artikel 13 van de Wbp dient de werkgever passende technische en organisatorische maatregelen ten uitvoer te leggen om persoonsgegevens te beveiligen. Hoewel dit natuurlijk ook geldt voor het papieren personeelsdossier vereist een digitaal personeelsdossier andere beveiligingseisen. De Autoriteit Persoonsgegevens merkt op dat de werkgever het papieren personeelsdossier pas mag vernietigen zodra voor een goede beveiliging van het digitale dossier is gezorgd. De technische maatregelen hebben betrekking op de beveiliging van onder meer de apparatuur en de opslag. Denk hierbij bijvoorbeeld aan firewalls als beveiligingsmaatregel. In bijzondere gevallen, zoals bij het beveiligen van gegevens over de gezondheid van werknemers, moeten strengere maatregelen genomen worden. Een zogenaamde tweefactor-authenticatie is hier een goed voorbeeld van. De organisatorische maatregelen zien op het gebruik van de persoonsgegevens binnen de organisatie van de werkgever, zoals door welke personen de gegevens kunnen worden ingezien. Tot slot Ofschoon het digitaliseren van personeelsdossiers is toegestaan dient u naast bovengenoemde beveiligingseisen nog rekening te houden met enkele andere aandachtspunten, zoals bijvoorbeeld de (vrije) bewijskracht van een scan van een originele akte. Hierdoor kan het nog steeds aan te bevelen zijn bepaalde essentiële originele documenten (zoals (arbeids-)overeenkomsten) fysiek te bewaren. Bent u voornemens de personeelsdossiers te gaan digitaliseren of hebt u vragen over de hierbij in acht te nemen aandachtspunten? Neem voor meer informatie contact op met onze arbeidsrechtadvocaten. Zij zijn u graag van dienst. 14 september 2016 [post_title] => Digitaal personeelsdossier [post_excerpt] => [post_status] => publish [comment_status] => closed [ping_status] => closed [post_password] => [post_name] => digitaal-personeelsdossier [to_ping] => [pinged] => [post_modified] => 2016-12-22 12:01:15 [post_modified_gmt] => 2016-12-22 11:01:15 [post_content_filtered] => [post_parent] => 0 [guid] => https://www.boelszanders.nl/?post_type=publication&p=4482 [menu_order] => 0 [post_type] => publication [post_mime_type] => [comment_count] => 0 [filter] => raw ) [54] => WP_Post Object ( [ID] => 3994 [post_author] => 21 [post_date] => 2016-07-19 10:33:38 [post_date_gmt] => 2016-07-19 10:33:38 [post_content] => Eerder heeft de Autoriteit Persoonsgegevens al benadrukt dat het volgen van mensen in en rond winkels via de Wifi-signalen van mobiele apparaten zonder hen hierover te informeren in strijd is met de wet. Veel winkels verzamelen via Wifi-tracking locatiegegevens van winkelbezoekers en voorbijgangers zonder hen hierover te informeren. Dit is in strijd met de Wet bescherming persoonsgegevens (Wbp). Bovendien verzamelen en bewaren veel bedrijven meer gegevens dan noodzakelijk is voor het in kaart brengen van bezoekersaantallen. Het is dan ook zaak dat winkeliers maatregelen nemen om privacyinbreuk tegen te gaan. De Autoriteit Persoonsgegevens (AP) heeft de detailhandel onlangs in een brief gewezen op de wettelijke eisen die gelden wanneer winkels gebruik maken van Wifi-tracking. De voorwaarden voor Wifi-tracking Wifi-tracking kan bijvoorbeeld zijn toegestaan als mensen er zelf toestemming voor hebben gegeven. Ook mag een organisatie Wifi-tracking inzetten als dit noodzakelijk is om haar diensten te kunnen verlenen. Er mag dan wel alleen in die periodes en die gebieden waarin het echt nodig is, worden gemeten. Op andere momenten en plaatsen zou de meetapparatuur uit moeten staan. Behalve dat er een wettelijke grondslag moet zijn om persoonsgegevens te mogen verwerken, stelt de Wbp eisen aan de manier waarop gegevens mogen worden verwerkt. Winkels die Wifi-tracking inzetten, moeten klanten helder informeren over welke gegevens worden verzameld en waarvoor dat gebeurt. Dit moeten zij doen voordat de gegevens worden verzameld en vastgelegd. Daarnaast mogen de persoonsgegevens maar voor een beperkte periode worden bewaard, namelijk slechts zolang het noodzakelijk is voor het doel van de metingen. Voor meetgegevens binnen de winkels is dit maximaal 24 uur. Na die periode moeten gegevens direct worden vernietigd of onomkeerbaar worden geanonimiseerd. Voor Wifi-tracking op de openbare weg zijn meer waarborgen nodig dan wanneer dit bijvoorbeeld in een winkel gebeurt. In de openbare ruimte moeten mensen zich onbespied kunnen bewegen. De gegevens moeten dan bijvoorbeeld onmiddellijk en onomkeerbaar worden geanonimiseerd zodra ze worden vastgelegd. Heeft u vragen over deze privacyregels rondom Wifi-tracking of een andere vraag op het gebied van de verwerking van persoonsgegevens, dan kunt u contact opnemen met ons team privacy. 19 juli 2016 [post_title] => De AP wijst de detailhandel Nederland op voorwaarden Wifi-tracking [post_excerpt] => [post_status] => publish [comment_status] => closed [ping_status] => closed [post_password] => [post_name] => de-ap-wijst-de-detailhandel-nederland-op-voorwaarden-wifi-tracking [to_ping] => [pinged] => [post_modified] => 2016-12-22 12:01:55 [post_modified_gmt] => 2016-12-22 11:01:55 [post_content_filtered] => [post_parent] => 0 [guid] => https://www.boelszanders.nl/?post_type=publication&p=3994 [menu_order] => 0 [post_type] => publication [post_mime_type] => [comment_count] => 0 [filter] => raw ) [55] => WP_Post Object ( [ID] => 3264 [post_author] => 21 [post_date] => 2016-07-08 08:06:04 [post_date_gmt] => 2016-07-08 08:06:04 [post_content] =>

Op 18 mei 2016 is het concept wetsvoorstel pseudonimiseren van leerlinggegevens ten behoeve van de toegang tot en het gebruik van digitale leermiddelen gepubliceerd voor internetconsultatie.

Achtergrond De achtergrond hiervan is dat wanneer leerlingen digitale leermiddelen gebruiken, wat steeds meer voorkomt in het onderwijs, er persoonsgegevens worden  uitgewisseld tussen de onderwijsinstelling en de leverancier van leermiddelen. De regering stelt voor om bij deze uitwisseling voortaan gebruik te maken van een pseudoniem voor leerlingen. Het gebruik van een pseudoniem zou de privacy van leerlingen beschermen alsmede de toegang tot en het gebruik van digitale leermiddelen versimpelen.

Doel Het doel van het wetsvoorstel is het creëren van een pseudoniem voor leerlingen, gebaseerd op het persoonsgebonden nummer (PGN), dat gebruikt wordt in de uitwisseling tussen de onderwijsinstelling en de leveranciers, zodat de leerlingen toegang hebben tot de juiste digitale leermiddelen en deze ook kunnen gebruiken. Om het pseudoniem te kunnen baseren op het PGN, is het noodzakelijk deze doelbepaling voor het gebruik van het PGN wettelijk te verankeren. Er is sprake van één pseudoniem per leerling voor verschillende toepassingen van de onderwijsinstelling en haar leveranciers.

Leerresultaten zijn gevoelige persoonsgegevens De Autoriteit Persoonsgegevens ("AP") beschouwt leerresultaten van kinderen als gevoelige gegevens waaraan bovendien conclusies worden verbonden voor het latere maatschappelijke leven. Deze gegevens mogen niet zomaar met derden worden gedeeld. Het is bovendien belangrijk dat scholen zeggenschap houden over de gegevens van hun leerlingen en weten wat daarmee gebeurt. Scholen moeten weloverwogen keuzes maken voor specifieke gegevensverwerkingen, zodat zij ouders daarover kunnen informeren. Voor sommige verwerkingen is zelfs de toestemming van ouders vereist.

Pseunoniem is persoonsgegeven Volgens het conceptwetsvoorstel is een pseudoniem een unieke identiteit voor leerlingen die door elke leverancier kan worden gebruikt, zonder dat deze direct herleidbaar is tot specifieke leerlingen.

Alleen de onderwijsinstelling weet om welke leerling het gaat en niet de leverancier. Het risico van een koppeling tussen het pseudoniem en de betreffende leerling wordt daarmee geminimaliseerd, maar niet volledig weggenomen. Bij anonimisering van leerlinggegevens is die koppeling uitgesloten, maar het nadeel hiervan is dat leervorderingen niet kunnen worden bijgehouden. Het volgen van de leerling heeft voor zowel de leerling, de onderwijsinstelling als de leverancier belangrijke voordelen. Denk aan gerichte interventies om de leerling te ondersteunen en/of de verbetering van digitale leermaterialen.

Met de keuze voor een pseudoniem blijft er dus sprake van een persoonsgegeven en is de Wet bescherming persoonsgegevens van toepassing. De onderwijsinstelling zal daarom aan alle verplichtingen van de Wet bescherming persoonsgegevens moeten voldoen en de gegevens in ieder geval zorgvuldig moeten verwerken. Het betekent ook dat de meldplicht datalekken van toepassing is.

Meer weten? In de praktijk is er veel verwarring over het onderscheid tussen anonimiseren en pseudonimiseren. Dit geeft makkelijk vergissingen waardoor geheel onbedoeld een datalek kan ontstaan. Wij adviseren u daarom tijdig na te gaan of de keuze voor een bepaalde versleuteling van leerlinggegevens valt onder pseudonimiseren of anonimiseren, en hoe daarmee om te gaan in de verhouding onderwijsinstelling, leverancier en leerling/ouder. Voor vragen kunt u contact opnemen met Nicole Niessen.

8 juli 2016

[post_title] => Pseudonimiseren van leerlinggegevens [post_excerpt] => [post_status] => publish [comment_status] => closed [ping_status] => closed [post_password] => [post_name] => pseudonimiseren-van-leerlinggegevens [to_ping] => [pinged] => [post_modified] => 2017-08-08 14:19:31 [post_modified_gmt] => 2017-08-08 12:19:31 [post_content_filtered] => [post_parent] => 0 [guid] => http://31.3.97.74/~boelzander/?post_type=publicatie&p=3264 [menu_order] => 0 [post_type] => publication [post_mime_type] => [comment_count] => 0 [filter] => raw ) [56] => WP_Post Object ( [ID] => 3677 [post_author] => 21 [post_date] => 2016-07-15 08:28:13 [post_date_gmt] => 2016-07-15 08:28:13 [post_content] => Zodra werknemers ziek worden, wisselen diverse partijen gegevens over hen uit. Als deze gegevens niet goed worden beschermd, kan dit verregaande gevolgen hebben voor de privacy van werknemers. Met de nieuwe beleidsregels van 21 april 2016 ('de zieke werknemer') heeft de Autoriteit Persoonsgegevens (AP) getracht weer te geven welke gegevens van de zieke werknemer wel en niet mogen worden verwerkt. De AP heeft beoogd de eerdere beleidsregels duidelijker te beschrijven, dit met het oog op in de praktijk geconstateerde onduidelijkheden. De onduidelijkheden lijken echter niet te zijn verdwenen. Dit blijkt onder meer uit een brief van Minister Asscher van 6 juni 2016 aan de Tweede Kamer. De nieuwe beleidsregels van de AP onderscheiden drie fases. Onderstaand worden deze drie fases kort toegelicht. De sollicitatieprocedure Een toekomstige werkgever mag geen vragen stellen over de gezondheid van een sollicitant of diens ziekteverzuim in het verleden. Alleen onder strikte voorwaarden mag een werkgever een aanstellingskeuring laten uitvoeren. Een van de voorwaarden is dat de functie bijzondere eisen stelt aan de medische geschiktheid van de sollicitant. De ziekmelding Een werkgever mag als een werknemer zich ziek meldt de volgende gegevens over zijn gezondheid vragen en registreren:
  • het telefoonnummer en (verpleeg)adres;
  • de vermoedelijke duur van het verzuim;
  • de lopende afspraken en werkzaamheden;
  • of de werknemer onder een van de vangnetbepalingen van de Ziektewet valt;
  • of de ziekte verband houdt met een arbeidsongeval;
  • of er sprake is van een verkeersongeval waarbij een eventueel aansprakelijke derde betrokken is (regresmogelijkheid).
De werkgever mag in principe geen andere gegevens over de gezondheid verwerken dan de hierboven genoemde gegevens. Ook niet met toestemming van de werknemer. Alleen wanneer een werknemer een ziekte heeft waarbij het noodzakelijk kan zijn dat directe collega's in geval van nood weten hoe te handelen, mag de werkgever de vrijwillig door de werknemer verstrekte gegevens over zijn ziekte registreren. Ziekteverzuimbegeleiding en re-integratie De bedrijfsarts/arbodienst mag de volgende gegevens over de gezondheid van een zieke werknemer aan de werkgever verstrekken:
  • de werkzaamheden waartoe de werknemer niet meer of nog wel in staat is;
  • de verwachte duur van het verzuim;
  • de mate waarin de werknemer arbeidsongeschikt is;
  • eventuele adviezen over aanpassingen, werkvoorzieningen of interventies die de werkgever voor re-integratie moet treffen.
Gerezen vragen n.a.v. nieuwe beleidsregels In de praktijk zijn diverse vragen gerezen naar aanleiding van de nieuwe beleidsregels van de AP. Op de website van de AP wordt met betrekking tot een aantal gevallen aandacht besteed aan vragen uit de praktijk. Minister Asscher heeft eveneens op 6 juni 2016 over (onder meer) de uitvoeringsproblemen een brief geschreven aan de Voorzitter van de Tweede Kamer. In deze brief geeft de Minister antwoord op een aantal vragen die zijn gerezen in de praktijk:
  • het is werkgevers toegestaan om aan zieke werknemers gegevens te vragen die noodzakelijk zijn om te kunnen beoordelen hoe het verder moet met de werkzaamheden;
  • de bedrijfsarts/arbodienst mag de gegevens die de werkgever nodig heeft om te beoordelen of hij loon moet doorbetalen of welke aanpassingen nodig zijn voor de re-integratie van de werknemer doorgeven aan de werkgever. De bedrijfsarts mag daartoe de beperkingen van de werknemer wel aan de werkgever doorgeven, maar de werkgever mag daar niet zelf direct bij de werknemer naar vragen en deze gegevens niet verwerken;
  • de werkgever, UWV en arbodienst, kunnen voor zover het de begeleiding bij verzuim en re-integratie betreft, in hun onderlinge communicatie en dossiervorming gebruik maken van het Burgerservicenummer;
  • werkgevers mogen niet aan hun werknemers vragen onder welke vangnetbepaling ze – op grond van de Ziektewet – vallen. Ze mogen dit gegeven ook niet registreren. Wel mag de werkgever vragen of de werknemer onder een vangnetbepaling valt. De Minister heeft aangegeven in samenwerking met het UWV te bezien wat dit betekent.
De nieuwe beleidsregels vormen een belangrijke leidraad voor werkgevers, bedrijfsartsen en reïntegratiebedrijven over de verwerking van persoonsgegevens van zieke werknemers. Uit de brief van Minister Asscher blijkt dat er echter in de praktijk nog steeds onduidelijkheden zijn. Heeft u vragen over deze uitvoeringsproblemen of over de privacy van (zieke) werknemers? Neem dan vrijblijvend contact op met ons team arbeidsrecht en/of team privacy. 15 juli 2016 [post_title] => Nieuwe beleidsregels 'zieke werknemer' en uitvoeringsproblemen [post_excerpt] => [post_status] => publish [comment_status] => closed [ping_status] => closed [post_password] => [post_name] => nieuwe-beleidsregels-zieke-werknemer-en-uitvoeringsproblemen [to_ping] => [pinged] => [post_modified] => 2016-12-22 12:07:21 [post_modified_gmt] => 2016-12-22 11:07:21 [post_content_filtered] => [post_parent] => 0 [guid] => http://31.3.97.74/~boelzander/?post_type=publicatie&p=3677 [menu_order] => 0 [post_type] => publication [post_mime_type] => [comment_count] => 0 [filter] => raw ) [57] => WP_Post Object ( [ID] => 3708 [post_author] => 21 [post_date] => 2016-07-15 08:34:00 [post_date_gmt] => 2016-07-15 08:34:00 [post_content] =>

Op 14 april jl. heeft het Europees Parlement een Europese Privacyverordening, de Algemene Verordening Gegevensbescherming, aangenomen. Deze verordening zal de huidige nationale privacywetten van de Europese landen (en dus ook de Nederlandse Wet bescherming persoonsgegevens) gaan vervangen.

De Europese Privacyverordening treedt op 25 mei 2016 in werking en is van toepassing met ingang van 25 mei 2018. Organisaties hebben dus twee jaar de tijd om aan de nieuwe regels te voldoen.

De belangrijkste elementen van de verordening zijn:
  • Versterking van de verantwoordelijkheden van organisaties die persoonsgegevens verwerken, waaronder:
    • verzwaring van de verplichting om persoonsgegevens te verwijderen zodra ze niet meer nodig zijn voor het doel waarvoor ze zijn verzameld of verwerkt ('het recht om vergeten te worden'); en
    • invoering van de verplichting om datalekken binnen 72 uur te melden bij de toezichthoudende autoriteit (hetgeen in Nederland al vanaf 1 januari 2016 geldt).
  • Het recht op dataportabiliteit: hierdoor moet het voor betrokkenen eenvoudiger worden om persoonsgegevens over te dragen van de ene naar de andere partij.
  • Dataminimalisatieplicht: organisaties moeten zodanig worden ingericht dat er zo weinig mogelijk persoonsgegevens worden verzameld.
  • Privacy by Design en Privacy by Default: bij het ontwikkelen van systemen moet privacy en bescherming van persoonsgegevens al van begin af aan in het ontwerpproces worden meegenomen en persoonsgegevens mogen in beginsel niet voor een onbeperkt aantal natuurlijke personen toegankelijk gemaakt worden.
  • Functionaris Gegevensbescherming: voor bepaalde organisaties (zoals overheidsinstanties of organisaties die in grote mate persoonsgegevens verwerken) wordt het verplicht een Functionaris Gegevensbescherming aan te stellen.
  • Privacy Impact Assessment: wanneer een verwerking van persoonsgegevens een hoog privacyrisico inhoudt, moet de verantwoordelijke vooraf een Privacy Impact Assessment uitvoeren.
  • De handhavingsmogelijkheden van de Autoriteit Persoonsgegevens worden verruimd. De Autoriteit Persoonsgegevens kan op basis van de verordening boetes opleggen tot 20 miljoen euro of maximaal 4 procent van de wereldwijde jaaromzet van de verantwoordelijke.
Heeft u vragen over de Europese Privacyverordening of andere privacyregels? Neem dan contact op met ons team privacy. 15 juli 2016 [post_title] => De Europese Privacyverordening [post_excerpt] => [post_status] => publish [comment_status] => closed [ping_status] => closed [post_password] => [post_name] => de-europese-privacyverordening [to_ping] => [pinged] => [post_modified] => 2016-12-22 12:08:05 [post_modified_gmt] => 2016-12-22 11:08:05 [post_content_filtered] => [post_parent] => 0 [guid] => http://31.3.97.74/~boelzander/?post_type=publicatie&p=3708 [menu_order] => 0 [post_type] => publication [post_mime_type] => [comment_count] => 0 [filter] => raw ) [58] => WP_Post Object ( [ID] => 3718 [post_author] => 21 [post_date] => 2016-07-15 08:40:01 [post_date_gmt] => 2016-07-15 08:40:01 [post_content] => De Autoriteit Persoonsgegevens (AP) meldt vandaag op haar website dat uit onderzoek blijkt dat gemeenten onzorgvuldig omgaan met persoonsgegevens en dat bij hen niet of onvoldoende bekend is welke persoonsgegevens zij van hun burgers mogen verwerken en welke regels daarvoor gelden. Dit terwijl het takenpakket van de gemeenten, en daarmee ook hun gegevensverwerking, het afgelopen jaar behoorlijk is toegenomen. Gemeenten hebben er sinds 1 januari 2015 nieuwe taken bijgekregen op het gebied van jeugdzorg, maatschappelijke ondersteuning, arbeidsparticipatie en zorg voor chronisch zieken en gehandicapten (het sociaal domein genoemd). Dit brengt veel extra gegevensverwerking met zich mee. En gemeenten beschikken daardoor meer over gevoelige informatie over hun burgers. Gelet hierop is het zaak dat er bij de gemeenten meer aandacht komt voor de privacyrisico's. Om de privacyrisico's en de kans op onrechtmatige verwerkingen te verkleinen doet de AP op haar website een aantal aanbevelingen. Een van deze aanbevelingen is dat gemeenten een overzicht maken van de doelen, grondslagen en persoonsgegevens in het sociaal domein. Aan de hand van dit overzicht kunnen gemeenten vervolgens vaststellen of de door of namens hen uitgevoerde gegevensverwerking in lijn is met de Wet bescherming Persoonsgegevens. Gemeenten hebben tevens overzicht nodig om de professionals in de praktijk van handreikingen te voorzien zodat zij op een verantwoorde manier omgaan met persoonsgegevens in het sociaal domein. Heeft u vragen over de noodzakelijke verbetertrajecten en het privacyproof maken van uw onderneming, overheidsinstelling of zorginstelling, dan kunt u contact opnemen met ons team privacy of ons team zorg. [post_title] => Gemeenten onzorgvuldig bij uitwerking privacyregels sociaal domein [post_excerpt] => [post_status] => publish [comment_status] => closed [ping_status] => closed [post_password] => [post_name] => gemeenten-onzorgvuldig-bij-uitwerking-privacyregels-sociaal-domein [to_ping] => [pinged] => [post_modified] => 2016-07-15 08:40:01 [post_modified_gmt] => 2016-07-15 08:40:01 [post_content_filtered] => [post_parent] => 0 [guid] => http://31.3.97.74/~boelzander/?post_type=publicatie&p=3718 [menu_order] => 0 [post_type] => publication [post_mime_type] => [comment_count] => 0 [filter] => raw ) [59] => WP_Post Object ( [ID] => 3733 [post_author] => 21 [post_date] => 2016-07-15 08:51:23 [post_date_gmt] => 2016-07-15 08:51:23 [post_content] => Op 15 februari jl. heeft de Autoriteit Persoonsgegevens (AP) in een open brief aan Raden van Bestuur van zorginstellingen in Nederland aandacht gevraagd voor de bescherming van patiëntgegevens. Meer specifiek heeft de AP zorginstellingen gevraagd om kritisch naar hun eigen privacybeleid en de uitwerking daarvan in de praktijk te kijken. Dit om (eventueel) noodzakelijke verbetertrajecten in gang te zetten. De toezichthouder benadrukt in haar brief dat het zorgvuldig omgaan met patiëntgegevens essentieel is voor een goede patiëntenzorg. Heeft u vragen over de noodzakelijke verbetertrajecten en het privacyproof maken van uw zorginstelling, dan kunt u contact opnemen met ons team privacy of ons team zorg. [post_title] => AP vraagt extra aandacht voor bescherming patiëntgegevens [post_excerpt] => [post_status] => publish [comment_status] => closed [ping_status] => closed [post_password] => [post_name] => ap-vraagt-extra-aandacht-voor-bescherming-patientgegevens [to_ping] => [pinged] => [post_modified] => 2016-07-15 08:51:23 [post_modified_gmt] => 2016-07-15 08:51:23 [post_content_filtered] => [post_parent] => 0 [guid] => http://31.3.97.74/~boelzander/?post_type=publicatie&p=3733 [menu_order] => 0 [post_type] => publication [post_mime_type] => [comment_count] => 0 [filter] => raw ) [60] => WP_Post Object ( [ID] => 3736 [post_author] => 21 [post_date] => 2016-07-15 08:54:33 [post_date_gmt] => 2016-07-15 08:54:33 [post_content] => Eerder lieten we u weten dat het Europese Hof van Justitie de Safe Harbor regeling ongeldig heeft verklaard. Inmiddels is het nieuwe verdrag, het EU-US Privacy Shield, aangekondigd. De belangrijkste punten voor u op een rijtje. Safe Harbor Op grond van de Europese privacyrichtlijn uit 1995, die is geïmplementeerd in de Nederlandse Wet bescherming persoonsgevens, is het verboden om persoonsgegevens te exporteren naar een land buiten de Europese Unie als dat land met betrekking tot persoonsgegevens een ontoereikend beschermingsniveau biedt, zoals de Verenigde Staten. Om toch persoonsgegevens naar de VS te kunnen doorgeven, heeft de Europese Commissie in 2000 met de VS het Safe Harbor verdrag gesloten. Op basis van dat verdrag was het mogelijk persoonsgegevens over te brengen naar partijen in de VS die zichzelf hadden gecertificeerd op grond van de Safe Harbor Privacy Principles. Op 6 oktober 2015 heeft het Europese Hof van Justitie de Safe Harbor regeling echter ongeldig verklaard. Volgens het Hof biedt de Safe Harbor regeling onvoldoende bescherming van de privacy van EU-burgers, omdat de regeling er niet voor zorgt dat de Amerikaanse overheid geen toegang kan krijgen tot de persoonsgegevens. Privacy Shield Op 2 februari 2016 heeft de Europese Commissie de opvolger van Safe Harbor gepresenteerd: het EU-US Privacy Shield. Het verdrag is enkel aangekondigd. De tekst van het verdrag is nog niet bekend. Wel is duidelijk dat:
  • het EU-US Privacy Shield strengere verplichtingen zal bevatten voor Amerikaanse bedrijven die Europese persoonsgegevens verwerken;
  • overheidsdiensten van de VS aan strenger toezicht zullen worden onderworpen; en
  • klagen over misbruik van het verdrag makkelijker zal worden, omdat bedrijven binnen een bepaalde termijn op klachten moeten reageren en Europese privacyautoriteiten zich rechtstreeks tot de bevoegde Amerikaanse autoriteiten kunnen wenden.
Hoe een en ander uiteindelijk vertaald gaat worden in het Privacy Shield is nog niet duidelijk. De tekst van het verdrag zal de komende tijd worden opgesteld. Het is evenmin duidelijk of bovenstaande punten wel voldoende waarborgen bieden tegen de bezwaren die het Europese Hof van Justitie had tegen Safe Harbor. Alternatieven en andere grondslagen Nu de Safe Harbor regeling ongeldig is verklaard en het nieuwe verdrag er nog niet is, moeten Europese bedrijven andere grondslagen hebben om persoonsgegevens naar de VS door te geven. Bedrijven kunnen kiezen uit de volgende mogelijkheden:
  • Geen doorgifte aan de VS door de persoonsgegevens enkel in EU-landen te verwerken.
  • Indien de persoonsgegevens kunnen worden geanonimiseerd – zonder hun bruikbaarheid te verliezen – en daarmee niet meer direct of indirect herleidbaar zijn tot een natuurlijk persoon, is de beperking op doorgifte naar de VS niet van toepassing.
  • Verkrijging van voorafgaande ondubbelzinnige toestemming van de betrokkene tot doorgifte van zijn gegevens aan de VS. Let wel: de betrokkene kan te allen tijde de toestemming intrekken.
  • Doorgifte van gegevens naar de VS kan ook plaatsvinden als de doorgifte noodzakelijk is voor de uitvoering van een overeenkomst tussen de en de verantwoordelijke. Deze grondslag zal in veel gevallen niet opgaan omdat deze enkel van toepassing als de betrokkene zelf een overeenkomst met een Amerikaanse partij sluit, maar niet als het bedrijf waarvan de betrokkene een klant is een overeenkomst met een partij in de VS sluit.
  • Doorgifte kan verder plaatsvinden op basis van de modelcontracten van de Europese Commissie. De modelcontracten bieden voor nu nog een grondslag, omdat deze (nog) niet ongeldig zijn verklaard. De kans bestaat echter dat het Europese Hof van Justitie ook deze contracten ook ongeldig verklaart. De modelcontracten zijn te vinden op de website van de Europese Commissie. Een modelcontract moet in ongewijzigde vorm door partijen worden getekend.
  • Doorgifte kan ook plaatsvinden met toepassing van intern bindende bedrijfsvoorschriften (Binding Corporate Rules). Dit is met name geschikt voor concern-relaties.
  • Tot slot kan doorgifte plaatsvinden op basis van een exportvergunning van de Minister. De vraag is echter of een dergelijke vergunning voor export naar de VS voor de Autoriteit Persoonsgegevens geen aanleiding is om handhavend op te treden en een dergelijke doorgifte te beletten.
Conclusie Het sluiten van een door de Europese Commissie goedgekeurd modelcontract is op dit moment in veel gevallen de meest voor de hand liggende en meest praktische optie. Gelet op de ontwikkelingen moet goed in de gaten worden gehouden of de getroffen maatregelen, zoals het sluiten van een modelcontract, ook in de toekomst (blijven) voldoen. Heeft u vragen over doorgifte van persoonsgegevens naar landen buiten Europa en naar de VS in het bijzonder? Neem dan contact op met ons team privacy. [post_title] => Nieuw verdrag EU en VS over doorgifte van persoonsgegevens [post_excerpt] => [post_status] => publish [comment_status] => closed [ping_status] => closed [post_password] => [post_name] => nieuw-verdrag-eu-en-vs-over-doorgifte-van-persoonsgegevens [to_ping] => [pinged] => [post_modified] => 2016-07-15 08:54:33 [post_modified_gmt] => 2016-07-15 08:54:33 [post_content_filtered] => [post_parent] => 0 [guid] => http://31.3.97.74/~boelzander/?post_type=publicatie&p=3736 [menu_order] => 0 [post_type] => publication [post_mime_type] => [comment_count] => 0 [filter] => raw ) [61] => WP_Post Object ( [ID] => 3947 [post_author] => 21 [post_date] => 2016-07-18 08:32:00 [post_date_gmt] => 2016-07-18 08:32:00 [post_content] => Enkele weken geleden heeft het Europese Hof voor de Rechten van de Mens (EHRM) zich uitgesproken over een klacht van een werknemer van Roemeense nationaliteit over schending van zijn recht op privacy (artikel 8 EVRM). De zaak ging om het volgende. Een werknemer (sales engineer) heeft op verzoek van zijn werkgever een Yahoo Messenger-account geopend voor zakelijke doeleinden. Op enig moment laat de werkgever hem weten dat zijn account is gemonitord  en dat daaruit is gebleken dat de werknemer, in strijd met de bedrijfsregelingen, het account voor persoonlijke doeleinden heeft gebruikt. De werknemer stelt het account slechts voor zakelijke doeleinden te hebben gebruikt. Nadat aan werknemer een overzicht van zijn berichten is verstrekt, wordt hij ontslagen vanwege ongeoorloofd gebruik van het internet. De werknemer stelt dat het ontslag nietig is omdat in strijd zou zijn gehandeld met het recht op correspondentie. De Roemeense rechter oordeelt dat de werkgever conform de nationale wetgeving heeft gehandeld en de werknemer bovendien op de hoogte was van het verbod op internetgebruik voor privédoeleinden. De werknemer doet beklag bij het EHRM over schending van zijn recht op privacy (artikel 8 EVRM). Het Hof toetst in de kern of Roemenië voldoende heeft gedaan om het recht op privacy te waarborgen. De vraag is of een redelijke balans is getroffen tussen het recht van de werknemer op bescherming van zijn privéleven en correspondentie en het belang van de werkgever. Dat is volgens het Hof het geval. Het Hof overweegt onder meer dat het niet onredelijk is dat werkgevers nagaan of werknemers hun professionele taken uitvoeren. De werkgever had bovendien de proportionaliteit in acht genomen door uitsluitend naar berichten uit het account te kijken en andere documenten op de computer buiten beschouwing te laten. De identiteit van de personen met wie de werknemer heeft gecommuniceerd is voorts niet openbaar gemaakt. De slotsom is dat het Hof het recht op privacy niet geschonden acht. De vraag is wat de impact is van deze uitspraak. Naast de toets van het EHRM zal de werkgever zich immers ook moeten houden aan (nationaal geïmplementeerd) EU-recht. Naar Nederlands recht wordt controle op privé-e-mails echter niet snel toegestaan. Let wel, dit betekent nog niet dat onrechtmatig verkregen bewijs in een civiele procedure buiten toepassing zal worden gelaten. Meer weten over privacy op de werkvloer? Neem dan contact op met ons team privacy. [post_title] => Controle op e-mailgebruik werknemer in strijd met de privacy? [post_excerpt] => [post_status] => publish [comment_status] => closed [ping_status] => closed [post_password] => [post_name] => controle-op-e-mailgebruik-werknemer-in-strijd-met-de-privacy-3 [to_ping] => [pinged] => [post_modified] => 2016-07-18 08:32:00 [post_modified_gmt] => 2016-07-18 08:32:00 [post_content_filtered] => [post_parent] => 0 [guid] => https://www.boelszanders.nl/?post_type=publication&p=3947 [menu_order] => 0 [post_type] => publication [post_mime_type] => [comment_count] => 0 [filter] => raw ) [62] => WP_Post Object ( [ID] => 4618 [post_author] => 2 [post_date] => 2016-09-23 06:58:57 [post_date_gmt] => 2016-09-23 04:58:57 [post_content] => In dit artikel, gepubliceerd in School en Wet september 2016, gaan onderwijsspecialist Nicole Niessen en privacyspecialist Floor de Roos dieper in op de meldplicht datalekken. Wanneer is er sprake van een datalek? Wat te doen bij een datalek? Wat kunnen de gevolgen zijn bij het niet juist handelen? En dat allemaal naar aanleiding van het bericht dat op vrijdagavond 15 juli op nu.nl verscheen: "Gegevens scholieren mogelijk op straat na datalek". [post_title] => De meldplicht datalekken in het onderwijs [post_excerpt] => [post_status] => publish [comment_status] => closed [ping_status] => closed [post_password] => [post_name] => de-meldplicht-datalekken-in-het-onderwijs [to_ping] => [pinged] => [post_modified] => 2016-09-23 07:01:37 [post_modified_gmt] => 2016-09-23 05:01:37 [post_content_filtered] => [post_parent] => 0 [guid] => https://www.boelszanders.nl/?post_type=publication&p=4618 [menu_order] => 0 [post_type] => publication [post_mime_type] => [comment_count] => 0 [filter] => raw ) [63] => WP_Post Object ( [ID] => 4720 [post_author] => 21 [post_date] => 2016-10-10 13:05:39 [post_date_gmt] => 2016-10-10 11:05:39 [post_content] => De werkgever die cameratoezicht op de werkvloer plaatst maakt een inbreuk op de privacy van werknemers. Wegens deze inbreuk moet de werkgever rekening houden met de Wet bescherming persoonsgegevens (Wbp) indien deze camara's wil plaatsen. Een recente uitspraak van de kantonrechter van de rechtbank Oost-Brabant laat zien waar de werkgever in een dergelijk geval zoal rekening mee moet houden en wat hij kan doen indien de ondernemingsraad (OR) geen instemming verleent. Casus In de casus die zich afspeelde bij de kantonrechter van de rechtbank Oost-Brabant wilde de werkgever camera's ophangen ter voorkoming van diefstal. Op grond van artikel 27 van de Wet op de ondernemingsraden (WOR) verzocht de werkgever de OR om instemming met het voorgenomen besluit tot plaatsing van camerabeveiliging. De door de werkgever verzochte instemming werd niet verleend. Volgens de OR zou er onder meer geen sprake zijn van een gevaar voor diefstal. Daarnaast werd permanent cameratoezicht door de OR beschouwd als een vergaande inbreuk op de privacy van werknemers. Het doel van het cameratoezicht zou overigens ook op een minder nadelige wijze kunnen worden bereikt. De werkgever vroeg vervolgens de kantonrechter om vervangende toestemming . Toetsingskader kantonrechter Het toetsingskader voor het verzoek bij de kantonrechter wordt gevormd door artikel 27 lid 4 WOR en artikel 8 Wbp alsmede de uitwerking daarvan in de Beleidsregels van de Autoriteit Persoonsgegevens. De kantonrechter heeft aan de werkgever vervangende toestemming verleend, met name op basis van de volgende overwegingen: het maken van de cameraopnames en het eventuele gebruik van de camerabeelden is strikt toegesneden op het doel (het beschermen van bedrijfseigendommen en de preventie van diefstal) en de inbreuk op de persoonlijke levenssfeer van werknemers is beperkt. Voorts is voldoende onderbouwd dat de voorgenomen camerabeveiliging noodzakelijk is (alternatieve systemen zijn minder passend). Er wordt geen onevenredige inbreuk gemaakt op belangen van de werknemers (wegens een beperkt aantal camera's op specifieke plaatsen). De camera's zijn daarnaast voor eenieder zichtbaar en de aanwezigheid ervan wordt kenbaar gemaakt (met behulp van borden). Gemaakte beelden worden tenslotte maximaal vier weken bewaard en enkel geraadpleegd in geval van een incident. Conclusie De kantonrechter verleende in dit geval vervangende toestemming omdat het voorgenomen besluit van de ondernemer steunde op zwaarwegende bedrijfsorganisatorische, bedrijfseconomische of bedrijfssociale redenen. Daarbij is in acht genomen dat op de privacy van werknemers geen onevenredige inbreuk zou worden gemaakt in verhouding tot de gestelde doeleinden. Tot slot Tot besluit nog de volgende opmerking. Indien de werkgever camera's ophangt met als doel het voorkomen van diefstal kunnen de beelden vervolgens niet zomaar gebruikt worden om een werknemer op disfunctioneren aan te spreken. Hiermee zou het oorspronkelijke doel van het cameratoezicht worden overschreden, hetgeen niet is toegestaan. Kortom, de werkgever mag de opnames in beginsel alleen gebruiken ten behoeve van het doel waarvoor ze zijn gemaakt. [post_title] => Cameratoezicht op de werkvloer [post_excerpt] => [post_status] => publish [comment_status] => closed [ping_status] => closed [post_password] => [post_name] => cameratoezicht-op-de-werkvloer [to_ping] => [pinged] => [post_modified] => 2016-10-14 15:43:02 [post_modified_gmt] => 2016-10-14 13:43:02 [post_content_filtered] => [post_parent] => 0 [guid] => https://www.boelszanders.nl/?post_type=publication&p=4720 [menu_order] => 0 [post_type] => publication [post_mime_type] => [comment_count] => 0 [filter] => raw ) [64] => WP_Post Object ( [ID] => 21166 [post_author] => 17 [post_date] => 2017-01-01 10:58:14 [post_date_gmt] => 2017-01-01 09:58:14 [post_content] => Sinds 1 januari 2016 zijn organisaties verplicht om ernstige datalekken van persoonsgegevens te melden aan de Autoriteit Persoonsgegevens. In sommige gevallen dient daarnaast melding te worden gedaan aan de mensen van wie de persoonsgegevens zijn gelekt. De wet verstaat onder een datalek niet slechts een aanval van hackers. Elke toegang tot, vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie, wordt beschouwd als een datalek. Daaronder valt ook een kwijtgeraakte USB-stick met persoonsgegevens of een gestolen laptop. Indien geen melding wordt gemaakt van het datalek terwijl daartoe wel de verplichting bestond, riskeert de organisatie een boete van maximaal EUR 820.000,-. De Autoriteit Persoonsgegevens heeft in een persbericht aangegeven dat zij tot 15 december 2016, bijna 5.500 meldingen heeft ontvangen. Het grootste deel is afkomstig uit de sectoren gezondheid & welzijn, financiële dienstverlening en het openbaar bestuur. Hierbij kan worden gedacht aan (zorg-)verzekeraars, ziekenhuizen, banken en gemeenten. De meeste meldingen hebben betrekking op gevallen waarbij gegevens per ongeluk bij iemand anders terecht zijn gekomen, dan de bedoeling was. Ruim 100 organisaties hebben een officiële waarschuwing gekregen. Is binnen uw organisatie (mogelijk) sprake van een datalek en wilt u weten of u het lek moet melden? Neem dan contact op met de specialisten van het Privacy Team van Boels Zanders Advocaten. Ook voor alle overige vragen omtrent de verplichtingen binnen uw organisatie ten aanzien van persoonsgegevens, kunt u bij ons terecht. Dat is de kracht van ambitie. Januari 2017 [post_title] => De balans na één jaar meldplicht datalekken [post_excerpt] => [post_status] => publish [comment_status] => closed [ping_status] => closed [post_password] => [post_name] => balans-jaar-meldplicht-datalekken [to_ping] => [pinged] => [post_modified] => 2018-10-18 11:00:25 [post_modified_gmt] => 2018-10-18 09:00:25 [post_content_filtered] => [post_parent] => 0 [guid] => https://www.boelszanders.nl/?post_type=publication&p=21166 [menu_order] => 0 [post_type] => publication [post_mime_type] => [comment_count] => 0 [filter] => raw ) [65] => WP_Post Object ( [ID] => 21347 [post_author] => 2 [post_date] => 2018-10-30 15:08:22 [post_date_gmt] => 2018-10-30 14:08:22 [post_content] => Vandaag heeft de Autoriteit Persoonsgegevens (AP) bekend gemaakt dat zij een last onder dwangsom heeft opgelegd aan het UWV. Deze last onder dwangsom is opgelegd omdat het werkgeversportaal dat UWV gebruikt, een onvoldoende beveiligingsniveau heeft. Vanwege het feit dat er bijzondere persoonsgegevens worden verwerkt, namelijk gezondheidsgegevens, dient de beveiliging van een hoger niveau te zijn dan nu het geval is. Aan de beveiliging van gezondheidsgegevens die online worden verwerkt worden extra hoge eisen gesteld. De verwerking van gezondheidsgegevens via internet mag volgens de AP alleen met behulp van (minimaal) meerfactorauthenticatie. Daaraan heeft UWV niet voldaan. Het onderzoek naar het werkgeversportaal is door de AP al gestart in maart 2017. In november 2015 heeft de AP het beveiligingsniveau al aan de orde gesteld bij UWV. In de last onder dwangsom is bepaald dat uiterlijk op 31 oktober 2019 het verlenen van toegang tot het werkgeversportaal van een passend beveiligingsniveau moet zijn voorzien. UWV krijgt dus na 3 jaar van meldingen van de AP, nu ook nog een jaar om de inlogprocedure aan te passen. Bij het niet naleven van de last onder dwangsom is UWV vanaf 31 oktober 2019 een dwangsom van EUR 150.000 verschuldigd voor iedere maand dat de last niet (geheel) is uitgevoerd, met een maximum van EUR 900.000. Net als ten aanzien van de Belastingdienst zien we dus dat de AP genoegen neemt met beloftes om aan te passen op de lange termijn. Of de AP ook zo coulant is ten aanzien van commerciële organisaties betwijfelen wij. Oktober 2018 [post_title] => AP legt UWV last onder dwangsom op vanwege onvoldoende beveiliging werkgeversportaal [post_excerpt] => [post_status] => publish [comment_status] => closed [ping_status] => closed [post_password] => [post_name] => ap-legt-uwv-dwangsom-op-vanwege-onvoldoende-beveiliging-werkgeversportaal [to_ping] => [pinged] => [post_modified] => 2019-02-05 09:52:52 [post_modified_gmt] => 2019-02-05 08:52:52 [post_content_filtered] => [post_parent] => 0 [guid] => https://www.boelszanders.nl/?post_type=publication&p=21347 [menu_order] => 0 [post_type] => publication [post_mime_type] => [comment_count] => 0 [filter] => raw ) [66] => WP_Post Object ( [ID] => 20977 [post_author] => 28 [post_date] => 2018-10-18 10:29:08 [post_date_gmt] => 2018-10-18 08:29:08 [post_content] => In de praktijk krijgen wij regelmatig vragen over het toepassen van een vingerafdrukscan voor allerlei doeleinden. Het is namelijk niet zomaar toegestaan om vingerafdrukverificatie toe te passen. Een vingerafdruk wordt gekwalificeerd als een biometrisch gegeven. Daarmee betreft het een bijzonder persoonsgegeven. Een bijzonder persoonsgegeven mag niet worden verwerkt, tenzij de AVG anders bepaalt. De AVG biedt geen mogelijkheden om een vingerafdrukscan toe te passen. Daarentegen biedt de Uitvoeringswet AVG wel enkele mogelijkheden. In bepaalde gevallen mag de vingerafdruk (of andere biometrische persoonsgegevens) wel worden gebruikt voor authenticatie of beveiligingsdoeleinden. De verwerking van biometrische persoonsgegevens moet in alle gevallen noodzakelijk zijn. En daarin schuilt het knelpunt. In welk geval is een vingerafdrukscan noodzakelijk? De toelichting op de Uitvoeringswet noemt als voorbeeld de toegangscontrole bij een kerncentrale. Maar waar de grens ligt en in welke gevallen een vingerafdrukscan noodzakelijk is, wordt bepaald aan de hand van diverse factoren. Van belang is dat vingerafdrukverificatie niet altijd in alle gevallen mag worden toegepast. De gedachte hierachter is dat het risico op misbruik groot is. Op het moment dat vingerafdrukken in handen komen van kwaadwillenden, kan dit worden gebruikt voor identiteitsfraude. Ook indien de vingerafdruk direct wordt omgezet naar een code ('gehasht') en dus niet als vingerafdruk wordt opgeslagen, geldt dit nog als verwerking van biometrische persoonsgegevens en is dat niet toegestaan. Dit voorjaar zijn er Tweede Kamervragen gesteld over vingerafdrukverificatie bij kloksystemen. Uit de beantwoording daarvan blijkt dat de wetgever zich kritisch opstelt over gebruik van vingerafdrukverificatie voor toegangscontrole en urenregistratie. De concrete, uiteindelijke toetsing is echter aan de AP en de rechter. Heeft u vragen over de toepassing van vingerafdrukverificatie en wilt u weten of de toepassing binnen uw organisatie wel is toegestaan? Neem dan contact op met Monica Leenders. [post_title] => Vingerafdrukscan en AVG: mag dat? [post_excerpt] => [post_status] => publish [comment_status] => closed [ping_status] => closed [post_password] => [post_name] => vingerafdrukscan-en-avg-mag [to_ping] => [pinged] => [post_modified] => 2019-02-05 10:04:06 [post_modified_gmt] => 2019-02-05 09:04:06 [post_content_filtered] => [post_parent] => 0 [guid] => https://www.boelszanders.nl/?post_type=publication&p=20977 [menu_order] => 0 [post_type] => publication [post_mime_type] => [comment_count] => 0 [filter] => raw ) [67] => WP_Post Object ( [ID] => 17226 [post_author] => 2 [post_date] => 2018-03-19 10:14:43 [post_date_gmt] => 2018-03-19 09:14:43 [post_content] => De Algemene Verordening Gegevensbescherming (AVG), die op 25 mei 2018 in werking treedt, brengt meer en andere verantwoordelijkheden dan de Wet bescherming persoonsgegevens met zich mee voor organisaties die werken met persoonsgegevensbestanden, waaronder pensioenfondsen, pensioenverzekeraars en pensioenuitvoeringsorganisaties (hierna gezamenlijk: "Pensioenfonds"). De schade bij het niet voldoen aan de dwingendrechtelijke bepalingen kan groot zijn. De maximale boete wordt EUR 20 miljoen of 4% van de jaaromzet, in plaats van maximaal EUR 820.000,00 nu. Hieronder worden twee nieuwe verplichtingen uit de wetgeving uitgelicht die voor een Pensioenfonds van belang zijn. Ten eerste dient het Pensioenfonds aantoonbaar te voldoen aan de AVG. Ten tweede dient het Pensioenfonds te voldoen aan de verplichting om pensioendeelnemers te informeren over de verwerking van hun persoonsgegevens. Aantoonbaarheid De AVG is gebaseerd op het principe dat iedere verwerkingsverantwoordelijke moet kunnen aantonen dat zij voldoet aan de AVG. Deze verantwoordingsplicht houdt in dat het Pensioenfonds moet kunnen aantonen dat bij de verwerking van persoonsgegevens aan de beginselen van de AVG, zoals rechtmatigheid, transparantie, doelbinding en juistheid wordt voldaan. Voor pensioendeelnemers moet helder en inzichtelijk zijn welke persoonsgegevens van hen worden verwerkt en met welk doel. Verwerking van persoonsgegevens is slechts rechtmatig wanneer daarvoor een grondslag is. De grondslagen waar een Pensioenfonds zich op kan baseren zijn bijvoorbeeld:
  • de pensioendeelnemer heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden;
  • de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de pensioendeelnemer partij is (dit geldt ook voor precontractuele verplichtingen);
  • het Pensioenfonds is wettelijk verplicht de verwerking uit te voeren, denk hierbij aan verplichtingen uit de Pensioenwet of de Wet verplichte beroepspensioenregeling.
Het komt er op neer dat een pensioenfonds ook zorg moet dragen voor een (op schrift gesteld) privacybeleid alsmede de naleving daarvan. Daarnaast verplicht de AVG verantwoordelijken in een aantal gevallen om een intern register van verwerkingen bij te houden. De verplichting om een verwerkingsregister bij te houden geldt ook voor Pensioenfondsen. In het privacybeleid moeten een aantal zaken aan de orde komen, zoals:
  • contactgegevens van het pensioenfonds, de uitvoeringsorganisatie en indien van toepassing de functionaris voor de gegevensbescherming;
  • welke taken de functionaris voor de gegevensbescherming verricht;
  • het doel en de rechtsgrond van de verwerking van persoonsgegevens;
  • aan wie de persoonsgegevens worden verstrekt en in welke gevallen;
  • hoe lang het Pensioenfonds de persoonsgegevens zal bewaren;
  • bij de verwerking van persoonsgegevens buiten de EU: de maatregelen die zijn getroffen om de bescherming die de AVG biedt te waarborgen.
Het is van belang om tijdig te starten met het opstellen van beleid, zodat het voor 25 mei 2018 is vastgesteld. Tevens is van belang dat de processen binnen het Pensioenfonds tijdig in kaart worden gebracht, zodat kan worden getoetst of deze processen wel in lijn zijn met het privacybeleid van het Pensioenfonds en met de AVG. Privacyverklaring Onder de AVG is het Pensioenfonds (net zoals onder de huidige Wet bescherming Persoonsgegevens) verplicht de pensioendeelnemers te informeren over het feit dat en hoe hun persoonsgegevens worden verzameld, gebruikt, geraadpleegd of op een andere manier worden verwerkt, waarom en door wie. De pensioendeelnemers moeten dus ook worden geïnformeerd wanneer persoonsgegevens worden verstrekt aan bijvoorbeeld de verzekeraar of door het fonds aan de uitvoeringsorganisatie. Aan deze informatieplicht kan middels de privacyverklaring worden voldaan. Een privacyverklaring is dus de uitwerking van de informatieverplichting richting deelnemers. De AVG stelt strenge eisen aan de privacyverklaring. De privacyverklaring moet in heldere taal worden opgesteld, dus geen juridisch jargon bevatten of de vorm hebben van een complexe disclaimer of algemene voorwaarden. Voorts moet de privacyverklaring beknopt en eenvoudig toegankelijk zijn, zodat de pensioendeelnemer deze te allen tijde kan raadplegen. In een privacyverklaring moet onder andere de volgende informatie zijn opgenomen:
  • waar en hoe de pensioendeelnemer kan vragen om inzage, rectificatie, wissen (recht op vergetelheid) of overdracht van de persoonsgegevens, een klacht kan indienen, bezwaar kan maken of de verwerking kan beperken en;
  • of het pensioenfonds gebruik maakt van cookies, welke persoonsgegevens dan worden verzameld, waarom en op welke wijze.
Een privacyverklaring kan in het algemeen worden opgesteld en hoeft dus niet voor iedere pensioendeelnemer afzonderlijk te worden vervat. Wel dient men rekening te houden met de hiervoor omschreven aandachtspunten, waardoor het opstellen van een privacyverklaring zeer complex kan zijn. Heeft u vragen over het opstellen van privacybeleid en de privacyverklaring of over implementatie van de AVG binnen uw organisatie ? Neem dan contact op met team Pensioen-arbeidsrecht of team Privacy. Maart 2018 [post_title] => Privacy in het pensioenrecht – Klaar voor de AVG? [post_excerpt] => [post_status] => publish [comment_status] => closed [ping_status] => closed [post_password] => [post_name] => privacy-pensioenrecht-klaar-avg [to_ping] => [pinged] => [post_modified] => 2018-03-19 10:18:04 [post_modified_gmt] => 2018-03-19 09:18:04 [post_content_filtered] => [post_parent] => 0 [guid] => https://www.boelszanders.nl/?post_type=publication&p=17226 [menu_order] => 0 [post_type] => publication [post_mime_type] => [comment_count] => 0 [filter] => raw ) [68] => WP_Post Object ( [ID] => 18087 [post_author] => 2 [post_date] => 2018-05-25 14:41:31 [post_date_gmt] => 2018-05-25 12:41:31 [post_content] => De Autoriteit Persoonsgegevens (AP) heeft begin april organisaties opgeroepen om hun Functionaris gegevensbescherming (FG) met een nieuw webformulier online aan te melden bij de AP. Via haar website heeft de AP laten weten dat FG-aanmeldingen die niet via het online aanmeldingsformulier zijn gedaan, na 25 mei 2018 komen te vervallen. Voor organisaties die hun FG reeds eerder hebben aangemeld kan dit betekenen zij hun FG opnieuw moeten aanmelden. De AP geeft als reden voor de verplichte aanmelding via het online webformulier, dat de Algemene verordening gegevensbescherming (AVG) andere eisen stelt aan de aanstellingen en het aanmelden van een FG dan de huidige Wet bescherming persoonsgegevens (Wbp). Gelet hierop heeft de AP van organisaties aanvullende informatie nodig over de FG. Bijvoorbeeld of er sprake is van een verplichte of van een vrijwillige FG. Om de informatie (AVG) compleet te krijgen, moeten alle FG's worden aangemeld met het daarvoor bestemde online aanmeldingsformulier. Maar wie dient nu precies een FG aan te stellen? Onder de AVG kunnen organisaties verplicht zijn een FG aan te stellen. Een FG is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de privacywetgeving. Een organisatie dient onder meer een FG aan te wijzen als zij op grote schaal bijzondere persoonsgegevens (zoals gezondheidsgegevens) verwerkt. Maar hoe bepaalt u of u als zorgaanbieder volgens de wet op grote schaal (bijzondere) persoonsgegevens verwerkt? In de AVG staat niet heel specifiek omschreven wanneer een verwerking grootschalig is. Dat is afhankelijk van de situatie van uw organisatie. Wel hebben de Europese toezichthouders een aantal criteria opgesteld, namelijk:
  • het aantal betrokkenen (de mensen van wie u gegevens verwerkt)
  • de hoeveelheid gegevens die u verwerkt
  • de duur van de gegevensverwerking
  • de geografische reikwijdte van de verwerking.
De Europese privacytoezichthouders noemen onder meer een ziekenhuis als expliciet voorbeeld van een organisatie die op grote schaal bijzondere persoonsgegevens verwerkt. Individuele artsen daarentegen beschouwen de privacytoezichthouders niet als grootschalige verwerkers van bijzondere persoonsgegevens; zij hoeven geen FG aan te stellen. Daarnaast geldt voor een zorgaanbieder op grond van het Besluit elektronische gegevensverwerking door zorgaanbieders reeds de verplichting om een FG aan te stellen wanneer zij verantwoordelijk is voor een "elektronisch uitwisselingssysteem". Hetzelfde geldt voor instellingen als bedoeld in de Wet, kwaliteit, klachten en geschillen zorg (Wkkgz) die op grote schaal gegevens verwerken. Deze uit het besluit voortvloeiende verplichting om een FG in te stellen geldt al per 1 januari 2018 en gaat derhalve niet pas vanaf 25 mei 2018 in. Meer weten over privacy al dan niet in relatie tot de Wmo of de Jeugdwet? Neem dan contact op met Sharinne Ibrahim . Mei 2018 [post_title] => Autoriteit Persoonsgegevens: 'Organisaties moeten hun functionaris voor de gegevensbescherming online aanmelden' [post_excerpt] => [post_status] => publish [comment_status] => closed [ping_status] => closed [post_password] => [post_name] => autoriteit-persoonsgegevens-organisaties-moeten-functionaris-gegevensbescherming-online-aanmelden [to_ping] => [pinged] => [post_modified] => 2018-05-25 14:41:31 [post_modified_gmt] => 2018-05-25 12:41:31 [post_content_filtered] => [post_parent] => 0 [guid] => https://www.boelszanders.nl/?post_type=publication&p=18087 [menu_order] => 0 [post_type] => publication [post_mime_type] => [comment_count] => 0 [filter] => raw ) )
< 12 >

Wij gebruiken cookies om u de beste online ervaring te bieden. Door akkoord te gaan, accepteert u het gebruik van cookies in overeenstemming met ons cookiebeleid.

Privacy Settings saved!
Privacy-instellingen

Wanneer u een website bezoekt, kan het informatie in uw browser opslaan of ophalen, meestal in de vorm van cookies. Beheer hier uw persoonlijke Cookie Services.

Deze cookies zijn nodig om de website te laten functioneren en kunnen niet worden uitgeschakeld in onze systemen.

In order to use this website we use the following technically required cookies
  • wordpress_test_cookie
  • wordpress_logged_in_
  • wordpress_sec

Omwille van de prestaties gebruiken we Cloudflare als een CDN-netwerk. Hiermee wordt een cookie "__cfduid" opgeslagen om beveiligingsinstellingen per client toe te passen. Deze cookie is strikt noodzakelijk voor de beveiligingsfuncties van Cloudflare en kan niet worden uitgeschakeld.
  • __cfduid

Geen toestemming
Wel toestemming