Blog-overzicht

Uit een nieuw DPIA-rapport van Privacy Company blijkt dat Zoom alle bekende privacyrisico’s heeft opgelost voor klanten in het Nederlandse onderwijs

Moet jouw organisatie een Functionaris voor Gegevensbescherming (FG) aanstellen?

Wanneer moet je een Functionaris Gegevensbescherming aanstellen? - Flowchart

Om te beginnen met een open deur: informatiebeveiliging op orde hebben is belangrijk. Je privacybeleid kan nog zo sterk zijn, maar als de informatiebeveiliging niet op orde is heeft het weinig zin.

De AP krijgt er structureel een half miljoen euro per jaar bij voor cookie-toezicht. Dat is goed nieuws voor iedereen die zich ergert aan oneerlijke cookiebanners met een hele grote Ja-knop, terwijl je honderd keer moet klikken als je Nee wilt zeggen tegen alle cookies.Als de AP haar nieuwe budget efficiënt wil inzetten, kan ze gratis gebruik maken van de uitstekende open source inspectie software van collega-toezichthouder EDPS.

Hoe motiveer en stimuleer je medewerkers om privacybewust te werken?‍ Maak het ‘persoonlijk’ door in bewustwordingscampagnes medewerkers aan te spreken door gebruik te maken van voorbeelden uit de privésfeer.

Leren van datalekken is belangrijk. Om te voorkomen dat dezelfde fouten steeds opnieuw gemaakt worden is het noodzakelijk dat organisaties ook van elkaars fouten leren. Betrokkenen kunnen ook lessen leren uit datalekken, bijvoorbeeld over het hergebruiken van wachtwoorden. En voor een toezichthouder is het belangrijk om in de gaten te houden welke organisaties misschien niet voldoende lessen trekken uit eerdere incidenten en extra druk te zetten op die plaatsen waar men misschien te weinig gemotiveerd is om zelf stappen te ondernemen.

In opdracht van de Rijksoverheid heeft Privacy Company onderzoek gedaan naar de privacyrisico's van het gebruik van drie belangrijke clouddiensten van Amazon Web Services Inc.

In onze vorige blogpost zijn we dieper ingegaan op het waarom van privacy certificering. Maar is elk privacy certificaat nu een AVG certificaat?

Een belangrijk beginsel van de Algemene Verordening Gegevensbescherming is verantwoording afleggen (‘accountability”). Het kunnen laten zien dat je aan de regels voldoet. In de markt zijn er de afgelopen jaren initiatieven geweest om dit door certificering (een privacycertificaat) te laten zien. Geen van deze certificaten voldeed aan de eisen uit artikel 42 en 43 AVG. Deze hadden dus geen officiële goedkeuring van de Autoriteit Persoonsgegevens of een andere Europese privacy autoriteit. Dit gaat veranderen. Maar waarom zou een organisatie een officieel privacy certificaat willen?

Het afgelopen jaar was er weer genoeg nieuws voor de privacy professional: van het Pegasus schandaal in de Israëlische surveillance industrie, via de uitspraken van toezichthouders over Google Analytics, naar de commotie rondom de datahongerige verplichte apps voor bezoekers van het WK voetbal in Qatar – 2022 was een bewogen jaar in de wereld van privacy. Maar er was gelukkig ook voldoende positief nieuws het afgelopen jaar en dat mag ook wel eens benoemd worden. Denk aan ontwikkelingen met betrekking tot nieuwe Europese wetgeving zoals de DSA en DMA waardoor het online weer een stukje veiliger zou moeten worden. Maar ook de door Microsoft aangekondigde EU Data Boundary waardoor persoonsgegevens van Europese cloud klanten binnen de EU zou moeten blijven. In het kader van de dag van de privacy, blikken we in deze blog terug op het afgelopen jaar en kijken we alvast vooruit naar wat dit jaar ons mogelijk gaat brengen.

In opdracht van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties heeft Privacy Company onderzoek gedaan naar de privacyrisico’s van het gebruik van Facebook pagina’s door de overheid. Facebook is sinds januari 2022 omgedoopt in Meta Platform Inc. Meta heeft ook andere applicaties, zoals WhatsApp en Instagram, maar deze blog gaat alleen over Facebook pagina’s.

Als je wilt weten wat de invloed is van een dienst op mensenrechten, dan schrijf je een ‘HRIA’, een Human Rights Impact Assessment. De rijksoverheid heeft al een eigen model ontwikkeld voor het analyseren van de mensenrechten impact van een algoritme, het IAMA-model. Aan de hand van dit model heeft Privacy Company voor het ministerie van Binnenlandse Zaken een analyse gedaan op de mensenrechtenimpact van het gebruik van Facebook Pages door de rijksoverheid. Privacy Company heeft ook een ‘DPIA’ uitgevoerd, een Data Protection Impact Assessment.

Een plan, een collega, een klant, Den Haag WTC, meer collega’s, AVG in werking, meer klanten, kerstviering thuis in de woonkamer, privacy management software, privacy by design framework, boekje, picknick in het park, privacy implementaties, e-learning, templates voor branchevereniging, ziekte, narigheid en veel support.

Op 13 juli 2022 heeft de Raad van State (RvS) uitspraak (https://www.raadvanstate.nl/uitspraken/@131990/202006125-1-a3/ ) gedaan in een zaak over het inzagerecht van betrokkenen op grond van de Algemene verordening gegevensbescherming (AVG). De zaak kwam bij de RvS omdat het inzageverzoek was gedaan bij een gemeente (Den Haag) en de reactie daarop van de gemeente dus geldt als een Awb-besluit en daarmee dus onder de bestuursrechtspraak valt. Bijzonder in deze zaak was de discussie over herleidbaarheid van pseudonieme gegevens en welke gegevens de gemeente wel of niet moet verstrekken bij een inzageverzoek. In de uitspraak van de RvS lijkt een tegenstrijdigheid te zitten. Daarom dus een blog met duiding.

Maximilian Schrems heeft in de afgelopen jaren flink wat stof doen opwaaien met zijn rechtszaken bij het Europese Hof van Justitie (Schrems-I en Schrems-II). Dit heeft onder andere tot gevolg gehad dat de International Safe Harbor Privacy Principles en het Privacy Shield ongeldig werden verklaard[EB1] . In deze blog wordt echter ingegaan op een ander gevolg van de Schrems-arresten, om precies te zijn het Schrems-II arrest: de geboorte van de DTIA, de Data Transfer Impact Assessment.

25 mei 2022, vier jaar Algemene verordening gegevensbescherming, dé privacywetgeving. 4 jaar later en waar staan we nu? Ik weet het nog heel goed, vrijdag 25 mei 2018, het voelde alsof de wereld die dag zou veranderen, maar wat is er nu écht veranderd?

Eind maart kwamen de Europese Commissie en de regering-Biden met een verrassend bericht: Zij hadden een principeakkoord (link: https://ec.europa.eu/commission/presscorner/detail/en/IP_22_2087) bereikt over het reanimeren van Privacy Shield. Het oude Privacy Shield, dat doorgifte van persoonsgegevens aan bedrijven in de VS mogelijk maakte, was in 2020 vernietigd door het Europese Hof van Justitie, dat vond dat de bescherming van gegevens in de VS onvoldoende was. Het Europese Hof vernietigde ook al de voorganger van Privacy Shield: Safe Harbour. Hoe groot is de kans dat deze derde poging wel gaat slagen?

Nieuwe DPIA voor SURF en Rijk op Zoom: alle hoge risico’s opgelost

Eerste hulp bij mogelijk verbod op Google Analytics

Nieuwe DPIA voor de Rijksoverheid en universiteiten op Microsoft Teams, OneDrive en SharePoint Online

Het is vandaag de Dag van de Privacy! Een dag die in het teken staat van bewustzijn rondom privacy en gegevensbescherming.

Privacy Company behaalt ISO 27001 certificering

Een DPIA-proces en het vastleggen wie waar van is tijdens het DPIA-proces is immers een onderdeel van je privacymanagement en kan een duidelijk herkenbare stap zijn bij nieuwe initiatieven in je organisatie.

Privacy Company bestaat zeven jaar. Zeven jaar geleden begonnen we aan de uitvoering van een ambitieus plan. Het is ongelooflijk hoeveel er in de tussentijd is gebeurd.

Het verbeteren van privacybescherming binnen een organisatie vergt teamwork. Organisatorische inbedding van een privacybeleid betekent het toewijzen van taken, verantwoordelijkheden en bevoegdheden. Daarnaast dient het duidelijk te zijn bij wie de medewerkers terecht kunnen wanneer zij vragen hebben over gegevensbescherming of de uitvoering en interpretatie van de wet- en regelgeving. ‍

Organisaties hebben sinds de komst van de Algemene verordening gegevensbescherming (AVG) het verwerkingsregister op orde gemaakt, procedures en checklists geschreven, gezorgd voor transparante informatie naar betrokkenen en een poging gedaan tot bewustwording van het grote vraagstuk ‘privacy’ bij medewerkers. En nu? Misschien komt dit als een schok: maar de AVG is geen checklist die een organisatie kan afvinken. Privacy, en daarmee de AVG, is een onderwerp dat continu leeft en moet leven in een organisatie.