Selecteer een pagina

Hongaarse overheid gebruikt Corona crisis als excuus om Europese privacywet op te schorten

De Hongaarse regering schort delen van de Algemene Verordening Gegevensbescherming (AVG) op als onderdeel van haar COVID-19-beleid.

Hongarije heeft op 11 maart de noodtoestand uitgeroepen als reactie op de COVID-19-pandemie. Traditioneel moet de noodtoestand na vijftien dagen worden verlengd door het Hongaarse parlement; de regerende Fidesz-partij, die een supermeerderheid in het Hongaarse parlement heeft, heeft echter een “coronaviruswet” voorgesteld die de premier, Viktor Orbán, in staat stelt om bij decreet te regeren.

Door nieuwe aanvullende maatregelen hoeven de Hongaarse autoriteiten zich niet langer te houden aan de belangrijkste bepalingen van de Europese privacywet.

De Hongaarse overheid hoeft niet langer te melden dat persoonlijke informatie wordt overgeheveld en opgeslagen zolang zij handelt onder het mom van “herkenning, verkenning en preventie van verdere verspreiding van het coronavirus”.

Hongaren hebben niet langer het recht om te verzoeken om toegang tot of verwijdering van hun persoonlijke informatie en de overheid heeft zichzelf langer de tijd gegeven om te reageren op verzoeken om informatie.

Whatsapp voldoet volgens toezichthouders nog altijd niet aan de AVG. Mag niet gebruikt worden

Voldoet Whatsapp aan de eisen van de AVG? De artikelen over Whatsapp op PrivacyZone worden sinds de Europese privacywet in 2018 van kracht werd dagelijks het meest gelezen. Het antwoord is nog altijd: nee!

Barbara Thiel, toezichthouder van de Duitse deelstaat Nedersaksen, heeft onderwijsinstellingen deze week opdracht gegeven te stoppen met Whatsapp. Zij reageerde op een richtlijn van het Nedersaksische ministerie van Onderwijs en Culturele Zaken voor scholen in de Corona-tijd. Volgens deze richtlijn zouden docenten en leerlingen tijdelijk gebruik mogen maken van WhatsApp voor onderlinge communicatie.

Thiel benadrukt dat zij als toezichthouder het gebruik van WhatsApp op scholen niet heeft aanbevolen of goedgekeurd. Hetzelfde geldt voor haar collega toezichthouders in 15 andere Duitse deelstaten. Duitsland telt in totaal 17 toezichthouders.

Omdat de Algemene Verordening Gegevensbescherming een Europese wet is gelden de standpunten van de Duitse toezichthouders ook in de rest van Europa. De Nederlandse Autoriteit Persoonsgegevens (AP) heeft ook regelmatig op Europees niveau overleg met andere toezichthouders.

Veel ondernemers worstelen met het AVG-dilemma Whatsapp op zakelijke telefoons. Wat privé wel mag is zakelijk een overtreding van de privacywet.

De scholen moeten met spoed goedgekeurde alternatieve messengers gaan gebruiken. Die zijn er volgens de toezichthouder voldoende.

“In het verleden ben ik altijd heel duidelijk tegen het gebruik van WhatsApp op scholen geweest,” zegt Thiel. “Dit standpunt is nog steeds geldig en is ook in overeenstemming met het standpunt van andere functionarissen voor gegevensbescherming.”

Whatsapp voldoet dus niet aan de Europese privacywet. Nog steeds niet, zou je kunnen zeggen. Want sinds de invoering van de Algemene Verordening Gegevensbescherming (AVG) op 25 juni 2018 heeft moederbedrijf Facebook toch meer dan voldoende tijd gehad om Whatsapp aan te passen.

Een ex-KNO-arts van ziekenhuis Amstelland veroorzaakt een groot datalek door een Whatsappgroep met honderden patiënten aan te maken. Hij overtreedt daarmee de AVG, schendt zijn medisch beroepsgeheim en een concurrentiebeding.

Tijdens de Corona crisis maken veel organisaties gebruik van Messenger applicaties als Whatsapp om te communiceren met medewerkers en klanten. Voor hen geldt hetzelfde als voor de onderwijsinstellingen in Nedersaksen. Zij zijn in overtreding.

Whatsapp voldoet zeker niet aan de AVG”

“Een van deze eisen van de AVG is dat de communicatie zo efficiënt mogelijk moet zijn”, zegt Thiel. “WhatsApp voldoet zeker niet aan deze eis. Al tijdens de registratie worden alle contactgegevens die in de telefoon van de gebruiker zijn opgeslagen, doorgegeven aan de provider.”

Volgens Thiel bestaat hiervoor geen wettelijke basis en kunnen de personen die in de telefoon van de gebruiker zijn opgeslagen niet instemmen met of bezwaar maken tegen de overdracht van gegevens.

“Er zijn aanzienlijk meer databesparende messengers op de markt die dezelfde communicatiemogelijkheden bieden. Ik roep het Ministerie van Onderwijs dan ook op om serieus na te denken over alternatieven voor WhatsApp en om scholen te informeren over de resultaten van dit onderzoek, zodat zij gebruik kunnen maken van privacy-vriendelijke diensten.”

Volgens Thiel had dit al enige tijd geleden moeten gebeuren, want zij heeft in het verleden herhaaldelijk haar bezorgdheid geuit over WhatsApp. “Ik zal het ministerie ook direct informeren over mijn standpunten”, kondigt Thiel aan en voegt eraan toe: “Het is zeer betreurenswaardig dat docenten en studenten nu in eerste instantie geen gebruik kunnen maken van gegevensbeschermingsvriendelijke messengers in tijden van crisis.”

Waarom beboeten Europese toezichthouders wel ziekenhuizen en geen multinationals als Facebook, Google en Amazon?

Om te voorkomen dat de Algemene Verordening Gegevensbescherming (AVG) een tandeloze tijger is, zijn gretige toezichthouders nodig die niet terugdeinzen voor handhaving van de Europese privacywetgeving. Maar helaas laten vrijwel alle Europese toezichthouders het afweten, concludeert Brave Software Inc.

Brave Software Inc. is het bedrijf dat verantwoordelijk is voor de privacyvriendelijke browser Brave. Deze browser helpt gebruikers pro actief te voorkomen dat internetbedrijven als Google, Facebook, Amazon en Microsoft, en internetcriminelen, ongewenst privacygevoelige informatie kunnen verzamelen.

Brave doet wat sinds de invoering van de Algemene Verordening Gegevensbescherming (AVG) eigenlijk iedere browser standaard zou moeten doen. Gebruikers beschermen. Maar de meest gebruikte browser – Google Chrome – heeft bijvoorbeeld andere commerciële belangen. En Google komt daarmee vooralsnog weg.

Eigenlijk zou nu iedere organisatie die de AVG overtreedt door de Autoriteit Persoonsgegevens (AP) moeten worden bestraft. Zoals horecabedrijven en jongeren die zich niet houden aan de Corona voorschriften. Zoals automobilisten die te hard rijden of fout parkeren ook genadeloos worden gestraft. Genadeloos lik op stuk. Maar dat gebeurt niet.

Volgens Brave Software Inc. doen de Europese toezichthouders zelfs nauwelijks iets. Ze zijn tandeloze tijgers. Fout parkeren en te hard rijden loont bij grote Internationals.

Waarom moeten ziekenhuizen wel torenhoge boetes betalen?

De toezichthouders hebben ondertussen wel snel en genadeloos gereageerd op overtredingen in de zorg. Ziekenhuizen in Duitsland, Portugal en Nederland moesten honderdduizenden Euro boete betalen omdat ziekenhuispersoneel zich niet aan de privacyregels had gehouden.

Waarom zijn kwetsbare zorginstellingen meteen keihard aangepakt, terwijl steenrijke multinationals die doelbewust de privacywet overtreden nog steeds vrijuit gaan?

Bijna alle toezichthouders in de EU beschikken volgens Brave Software Inc. niet over de dringend noodzakelijke middelen – zowel financieel, als personeel – om goed te kunnen functioneren. Waarom? Staatsfalen.

Om de Europese Commissie tot actie aan te zetten, heeft Brave Software Inc. onlangs een klacht ingediend en een helder onderzoek vol onderbouwde aantijgingen gepubliceerd.

Het rapport is een grote aanval op de lidstaten die het toezicht op de gegevensbescherming verwaarlozen.

Dr. Johnny Ryan, Chief Policy & Industry Relations Officer van Brave, gebruikt in zijn onderzoek veel grafieken om te illustreren dat de EU-lidstaten hun regelgevende instanties niet voorzien van voldoende financiële en personele middelen. De enige uitzondering: Duitsland.

Op 27 april 2020 diende Ryan een klacht in bij de Europese Commissie, waarin hij eiste dat zij een inbreukprocedure zou inleiden tegen 26 lidstaten die zich niet houden aan de afspraken die zijn vastgelegd in de Europese privacywetgeving.

Waarom pakken toezichthouders van Ierland en Luxemburgs Facebook en Amazon niet aan?

Terwijl kleine bedrijven in de hele EU nauwgezet worden gecontroleerd op de naleving van de wetgeving inzake gegevensbescherming, sluiten de Ierse en Luxemburgse toezichthouders volgens Brave Software Inc. de ogen voor de gegevenshooligans Facebook, Google en Amazon die op grote schaal de AVG overtreden en daar twee jaar na invoering van de wet nog altijd niet voor zijn aangepakt.

Brave heeft inmiddels een klacht tegen concurrent Google ingediend. Dat is opmerkelijk en logisch tegelijk, want Brave maakt gebruik van de techniek van de browser Google Chrome. Als Brave daarmee een goede en veilige browser kan bouwen, waarom doet Google dat dan niet ook?

Ierse Autoriteit Persoonsgegevens

De Ierse commissaris voor gegevensbescherming Helen Dixon ziet de zaken heel anders. Ze zegt in de Iris Times dat er nog een beslissing moet worden genomen over Twitter, Facebook, en Co. Raar dat haar Italiaanse collega wel al een boete van 10 miljoen euro heeft opgelegd aan Facebook.

Het kantoor van de Ierse toezichthouder zou sinds 2018 overbelast zijn door meer dan 12.000 klachten over gegevensbescherming, die allemaal moeten worden behandeld. Er zou geen twijfel over bestaan dat er boetes zouden worden opgelegd. Maar de vraag is: Wanneer?

Vrijwel alle Europese toezichthouders moeten bezuinigen

Volgens Brave Software Inc. zou het wel eens tot Sint Juttemis kunnen duren voor de internet multinationals worden aangepakt. De nu al overbelaste toezichthouders moeten namelijk in vrijwel heel Europa bezuinigen op het budget en het personeel!

De Ierse toezichthouder Helen Dixon wijst op de succesvolle interventie ten opzichte van Facebook toen deze zijn eigen dating-app wilde introduceren. Ze benadrukt:

“Er zijn veel verschillende manieren om een positief effect te creëren… Niet iedereen heeft het over boetes en het oppervlakkig commentaar dat we soms zien.”

“AVG is een fantasie“

Dat kan zo zijn. Maar een flinke boete voor de multinationals die al jarenlang parasiteren op de samenleving door illegaal privacy data te verwerken en belasting ontduiken toch ook een goed signaal afgeven.

“Als je geen sterke, robuuste handhaving en investering hebt, is deze wet een fantasie”, zegt Ryan. “Tot nu toe hebben we het potentieel van de AVG niet gerealiseerd.”

Ryan legt de verantwoordelijkheid niet neer bij de regelgevende instanties.

“Als de AVG dreigt te mislukken, ligt de schuld bij de nationale regeringen, niet bij de gegevensbeschermingsautoriteiten.”

Duidelijke woorden

Ryan heeft gelijk, want de AVG definieert duidelijk en ondubbelzinnig wat er aan de hand is. Artikel 52, lid 4, van de AVG luidt als volgt:

“Elke lidstaat zorgt ervoor dat elke toezichthoudende autoriteit beschikt over de personele, technische en financiële middelen, en de bedrijfsruimten en infrastructuur die nodig zijn voor het effectief uitvoeren van haar taken en uitoefenen van haar bevoegdheden, waaronder die in het kader van wederzijdse bijstand, samenwerking en deelname aan het Comité.”

Het is slechts één kant van de medaille om een toezichthoudende autoriteit op te richten – zonder voldoende middelen kan er geen controle plaatsvinden. Reden genoeg om de tekortkomingen waar Brave voor waarschuwde nader te bekijken.

Geen geld, geen actie

Volgens Ryan is het een schending van artikel 52, lid 4, van de AVG dat de toezichthoudende autoriteiten in 26 EU-lidstaten ondergefinancierd zijn.

Dit kan het best worden geïllustreerd aan de hand van het voorbeeld van Luxemburg. Het is de verantwoordelijkheid van de Luxemburgse toezichthoudende autoriteit om toe te zien op de tenuitvoerlegging van de wetgeving inzake gegevensbescherming bij Amazon EU S.à.r.l.

Amazon verdient iedere 10 minuten evenveel als begroting Luxemburgse toezichthouder

De begroting van de Luxemburgse gegevensbeschermingsautoriteit bedroeg in 2019 ongeveer 5,7 miljoen euro. Voor Amazon moet dit bedrag ronduit belachelijk lijken – dit is immers ongeveer het bedrag dat Amazon elke tien minuten aan de verkoop verdient!

De gegevensbeschermingsautoriteiten van de helft van alle lidstaten moeten het redden met minder dan vijf miljoen euro per jaar. Slechts drie staten (Duitsland, Italië, Verenigd Koninkrijk) hebben meer dan 25 miljoen euro budget per jaar. Ter vergelijking: volgens het Brave-rapport ontvangen de Duitse toezichthouders tussen 80 en 90 miljoen euro per jaar!

Besparing op personeel

Volgens Ryan is er ook een tekort aan personeel, vooral aan personeel met de nodige IT-expertise.

Om gecompliceerde IT-vragen op het gebied van gegevensbescherming te kunnen beantwoorden en om grote technische bedrijven te kunnen auditeren, zijn gespecialiseerde medewerkers nodig.

Gegevensbescherming en IT gaan hand in hand. Het is niet voldoende om de gegevensbescherming alleen van de juridische kant te bekijken!

Tekort aan IT-specialisten bij toezichthouders

Er is een tekort aan IT-specialisten bij de toezichthoudende autoriteiten van de EU-lidstaten. In slechts vijf lidstaten (zes als je het Verenigd Koninkrijk meetelt) zijn meer dan tien IT-specialisten in dienst van de gegevensbeschermingsautoriteiten.

Meer dan de helft van alle lidstaten heeft slechts maximaal vijf daarvan in hun toezichthoudende autoriteiten. Zeven landen hebben slechts één of twee IT-specialisten in dienst.

De cijfers voor Oostenrijk (0) en België (5), alsook voor Cyprus (2) en Letland (1) zijn zo laag omdat deze landen gebruik maken van externe IT-consultants.

De cijfers uit Duitsland zijn verbazingwekkend: op federaal en deelstaatniveau is in totaal 29 procent van het in de hele EU beschikbare personeel van de IT-toezichthouder in dienst (meer dan 100). Geen wonder dat Ryan Duitsland heeft uitgesloten van zijn klacht.

De nationale gegevensbeschermingsautoriteiten binnen de EU hebben 3520 mensen in dienst. Slechts 8,6 procent daarvan zijn IT-specialisten. Volgens Dr. Ryan vertraagt dit het onderzoek, waardoor het soms wordt verhinderd.

Als het gaat om digitalisering lijkt de EU niet alleen achter te lopen op de particuliere sector, maar is ze momenteel realistisch beschouwd ook kansloos.

Multinationals hebben alle troeven in handen

Uiteindelijk hebben de gecontroleerde, vaak multinationale ondernemingen gewoon de betere kaarten – de strijd tegen de grote dataslurpers is als de David tegen Goliath met een omgekeerde uitkomst.

Facebook, Google en Co. hebben legioenen advocaten in dienst. Het is begrijpelijk dat de eenzame strijder bij de autoriteiten nauwelijks succes heeft. Hoe dan, financieel ongewapend?

In veel gevallen durven de regelgevende instanties niet eens de grote technische bedrijven te benaderen uit angst dat hun maatregelen worden aangevochten. Eeuwige correspondentie, lange juridische procedures. De multinationale dataslurpers lachen er om. Ze hebben geld zat. Miljarden euro’s. Bij hen gaat het om ingecalculeerd risico. Ook als ze verliezen en een torenhoge boete zouden moeten betalen maken ze nog steeds winst. En ze weten ook nog eens dat de toezichthouders amper geld hebben om tegen hen te kunnen procederen.

Bovendien behoren de administratieve juristen die voor de toezichthoudende instanties voor gegevensbescherming werken niet bepaald tot de topverdieners in de juridische wereld – de wereldwijde spelers kunnen alleen maar lachen om hun salaris. Goed personeel is niet goedkoop.

Waar leidt het allemaal naartoe?

Als de meerderheid van de toezichthoudende autoriteiten in de EU-lidstaten door een gebrek aan financiële en personele middelen wegzakken in het moeras van duizenden en duizenden klachten, is de AVG gedoemd te mislukken. Als de autoriteiten inactief blijven, hebben dataslurpers als Amazon, Facebook en Google de vrije hand. De Algemene Verordening Gegevensbescherming is dan niet meer waard dan het papier waarop ze is geschreven.

Italiaanse regering geeft toestemming voor Corona surveillance app

De Italiaanse regering heeft donderdag groen licht gegeven voor het gebruik van een app om het coronavirus in te dammen.

Het gebruik van de corona-app door Italiaanse burgers is vrijwillig. Dit betekent dat iedereen zelf beslist of hij de app naar zijn smartphone downloadt. De gegevens worden anoniem verwerkt. Er zal geen geo-lokalisatie zijn, zegt de Italiaanse regering.

De regering van premier Giuseppe Conte heeft meermaals benadrukt dat Rome met de Corona-app aan hoge eisen op het gebied van gegevensbescherming wil voldoen.

Critici vrezen dat de verzamelde gegevens ook misbruikt kunnen worden.

De app moet helpen om snel te weten te komen of mensen in de buurt van een coronageïnfecteerde persoon zijn geweest.

Voor een goede werking van dergelijke systemen is het meestal belangrijk dat zoveel mogelijk mensen deelnemen. Als iemand met het virus is geïnfecteerd, kan het systeem gegevens verstrekken over de nauwere contacten in het recente verleden. De infectieketens moeten dus sneller worden doorbroken.

De regering in Rome had van tevoren aangekondigd dat Italië de “Immuni”-app van het Milanese bedrijf Bending Spoons wil gebruiken.

Volgens informatie van dit bedrijf werkt de app met Bluetooth-technologie. De opslag van de gegevens zal nauwlettend in de gaten worden gehouden, zegt de regering.

Italië wordt bijzonder hard getroffen door de longziekte, met bijna 27 700 coronadoden.

Vanaf 4 mei worden de coronabeperkingen in Italië geleidelijk aan versoepeld en wordt de app in deze nieuwe fase gebruikt.

Harde Brexit kan bedrijven die persoonsgegevens in Groot Brittannië laten verwerken in problemen brengen

Organisaties die gebruik maken van een helpdesk in het Verenigd Koninkrijk, of daar persoonsgegevens laten verwerken, doen er verstandig aan om naar een alternatieve oplossing binnen de EU te zoeken.

In geval van een harde Brexit wordt Groot Brittannie door de Autoriteit Persoonsgegevens beschouwd als een niet-EU-land waar zonder verdrag geen gegevens mogen worden verwerkt. De AP zou boetes uit kunnen delen als dat na de Brexit nog wel gebeurt, waarschuwt Branchevereniging Nederland ICT.

Als er een harde Brexit komt, vervallen alle huidige afspraken over de opslag van persoonsgegevens in Groot-Brittannië. Het land heeft dan dezelfde status als een niet-EU land waar geen bijzondere afspraken mee zijn gemaakt.

Opslag mag dan alleen nog als zo’n land een vergelijkbaar beschermingsniveau voor de opslag van persoonsgegevens biedt als een EU-land én als er ook aparte afspraken mee zijn gemaakt.

Die situatie verandert pas als er aparte afspraken gemaakt zijn met Groot-Brittannië, zoals nu bijvoorbeeld ook het geval is met de Verenigde Staten en Canada. Daar gaat echter de tijd overheen.

Branchevereniging Nederland ICT pleit voor een overgangsperiode van 15 maanden. Organisaties hebben dan de tijd om te kijken welke maatregelen het beste zijn als ze persoonsgegevens laten verwerken in het Verenigd Koninkrijk.

Facebook moet in Italië 10 miljoen Euro boete betalen wegens overtreding van Europese privacywet

Facebook is in Italië veroordeeld tot een boete van tien miljoen euro wegens het overtreden van de Algemene Verordening Gegevensbescherming (AVG). De boete is opgelegd door de Italiaanse mededingingsautoriteit AGCM.

AGCM beschuldigt Facebook van een agressieve handelspraktijk omdat de mogelijkheid om op andere sites en applicaties in te loggen met Facebook-accountgegevens vooraf is ingesteld zonder de uitdrukkelijke toestemming van de gebruiker.

De door Facebook geplande opties voor het deselecteren van de functie voldoen niet aan de eisen van de ACG.

Britse Autoriteit Persoonsgegevens pakt telemarketingbranche hard aan. Twee forse AVG boetes

De Britse Autoriteit Persoonsgegevens (Information Commissioner’s Office – ICO) pakt de telemarketingbranche aan. ICO heeft een AVG boete van bijna 250.000 Euro opgelegd aan twee telemarketingbedrijven die regels voor elektronische marketing, privacy en elektronische communicatie hebben overtreden.

De Britse toezichthouder zegt al geruime tijd te worden overstroomd met klachten over irritante telefoontjes en spam van telemarketingbedrijven. ICO is daarom in augustus begonnen met gericht onderzoek naar overtredingen in de telemarketingbranche.

Ruim honderd Britse telemarketingbedrijven hebben naar aanleiding van deze onderzoeken waarschuwingen ontvangen. En twee bedrijven hebben nu forse boetes opgelegd gekregen.

ACT Response Ltd uit Middlesborough en Secure Home Systems in de West Midlands waren samen verantwoordelijk voor 580.802 onrechtmatige telefoongesprekken. De bedrijven moeten van de ICO nu voor de Kerstdagen 220.000 Britse pond (bijna 250.000 Euro) boete betalen.

De boetes zijn volgens de ICO een duidelijke waarschuwing voor de hele directmarketingbranche. “Deze boetes moeten alarmbellen laten rinkelen en marketingbedrijven in alle sectoren afschrikken die contact opnemen met mensen zonder hun toestemming”, zegt manager Andy Curry die verantwoordelijk is voor handhavingsbeleid van de ICO.

“De wet is er niet voor niets. Die is er om de privacy van mensen te beschermen en ervoor te zorgen dat marketingbedrijven zich aan de wet houden. Marketingbedrijven die zich niet aan de regels houden, kunnen een robuuste handhaving verwachten.”
Beide bedrijven kunnen een korting van 20 procent krijgen als ze voor 28 november betalen.

Toezichthouders in Duitsland geven eveneens aan veel klachten over telemarketingbureaus te krijgen.

Mogelijk groot datalek door hackpoging op website Eurostar. Miljoenen treinreizigers moeten wachtwoord wijzigen

Hackers hebben tussen 15 en 19 oktober geprobeerd in te breken op de website van de Eurostar sneltrein. Miljoenen reizigers die regelmatig van deze snelle spoorverbinding door de Kanaaltunnel gebruik maken moeten daarom nu hun wachtwoord voor de Eurostar.com website wijzigen.

Eurostar heeft dat in een e-mail aan de getroffen klanten bekend gemaakt. Daarnaast is er een datalekmelding gedaan bij de Autoriteit Persoonsgegevens (AP) van Groot Brittannie, de Information Commissioner’s Office (ICO).

 

De Eurostar is een hogesnelheidstreindienst die sinds 1994 Londen met Parijs en Brussel verbindt. De trein maakt gebruik van de Kanaaltunnel die onder het Kanaal door loopt. De treindienst maakt grotendeels gebruik van de mede hiervoor aangelegde hogesnelheidslijnen.

 

Volgens Eurostar kunnen klanten er zeker van zijn dat er geen creditcard of betalingsgegevens zijn buitgemaakt.

“We raden u aan om uw Eurostar-wachtwoord opnieuw in te stellen en te controleren of er iets ongewoons op uw account staat. We raden u ook aan om uw inloggegevens bij te werken op andere websites waar u hetzelfde wachtwoord gebruikt”, meldt Eurostar in het e-mailbericht aan de klanten.

 

Het is nog niet duidelijk hoe de cybercriminelen zich toegang hebben verschaft tot de wachtwoorden van de gebruikers.

Eurostar maakt geen melding van een klantendatabase die in verkeerde handen is gevallen. Deskundigen sluiten niet uit dat de inloggegevens afkomstig zijn van een hack bij een andere online dienst.

Als dat het geval is, dan heeft degene die achter de hack op de Eurostar-rekeningen zit, er van geprofiteerd dat veel mensen dezelfde wachtwoorden op meerdere websites gebruiken.

Een van de belangrijkste lessen bij Privacy Awareness Trainingen is om voor ieder account een ander wachtwoord te gebruiken. Als je dat nog niet gedaan hebt is het ongeacht de hackpoging bij Eurostar zaak om nu meteen alle wachtwoorden voor sites, apps en andere online diensten te wijzigen.

 

Zorg ervoor dat je nooit hetzelfde wachtwoord op verschillende websites gebruikt. Gebruik een wachtwoordmanager om sterke, moeilijk te kraken, unieke wachtwoorden te genereren en laat dit systeem deze moeilijke wachtwoorden vervolgens voor je onthouden.

 

Inwoners Emmen worden dankzij AVG sneller geholpen. Gemeente investeert in snellere communicatie

Inwoners van de gemeente Emen profiteren dankzij de Algemene Verordening Gegevensbescherming (AVG) van effectievere mobiele diensten zoals onderhoud, toezicht en inspecties.

De gemeente Emmen investeerde in technische maatregelen om mobiele apparaten op afstand te kunnen lokaliseren, te blokkeren en te wissen.

Dienstverlening externe partijen ook beter dankzij AVG

Bijkomend voordeel van de investering in oplossingen van de Amerikaanse Mobile Device Management (MDM)-leverancier MobileIron is dat daardoor niet alleen de veiligheid en efficiëntie van de gemeentelijke in- en externe communicatiekanalen geoptimaliseerd is, maar ook de dienstverlening en de samenwerking met externe partijen.

Gemeenteambtenaren kunnen nu onderweg informatie of nieuwe verzoeken ontvangen, waar zij voorheen pas terug op kantoor hun e-mail konden lezen en nieuwe bezoeken inplannen.

Verder werkt gemeente Emmen nu ook efficiënter en veiliger samen met regionale overheidsinstellingen.

AVG en Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

MobileIron heeft gemeente Emmen geholpen te voldoen aan de eisen van de AVG en de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG).

Emmen koos in 2012, toen het management met iPads wilde werken, voor de oplossingen van Mobile Device Management (MDM)-leverancier MobileIron.

In 2016 breidde de gemeente de samenwerking met het Amerikaanse bedrijf uit toen zij met alle apparaten overstapte van Blackberry naar iOS.

Recent werd de inzet van MobileIron uitgebreid om te voldoen aan de vereisten van de BIG en GDPR ten aanzien van (mobiele) beveiliging en toegangsbeheer.

Vereenvoudiging interne communicatie bij gemeente

In de beveiligingsstrategie zijn ook interne apps opgenomen, zoals iBabs voor papierloze vergaderingen, PowerMobiel voor case-management, MyLex Overheid voor het doorzoeken van interne databases en ISEC7 om verschillende mailboxen op Apple-apparatuur te installeren.

Alle apps worden centraal beheerd en aangeboden via een veilige appstore. Voor het toegangsbeheer wordt gebruikgemaakt van op rollen gebaseerde authenticatie.

De gemeente biedt haar medewerkers daarnaast toegang tot een intern telefoonboek met ‘click to dial’-functionaliteit ter vereenvoudiging van de interne communicatie.

1200 iPhones en 600 iPads

Emmen beheert met MobileIron momenteel meer dan zeshonderd iPads en zo’n twaalfhonderd iPhones. Ze is daarnaast bezig met een migratie naar Microsoft Office 365 en een project om veilig Windows 10-apparaten te registeren en beheren met MobileIron Bridge.

15 onafhankelijke Europese privacydeskundigen onderzoeken handelspraktijken van Amazon, Ebay, Google en Facebook

Grote internetbedrijven als Amazon, Facebook, Ebay, Google en Microsoft worden volgens de Europese Commissie sinds donderdag nauwlettend gevolgd door onafhankelijke Europese privacydeskundigen.

Doel van het onderzoek is bijvoorbeeld om de criteria te bepalen op basis waarvan aanbiedingen op de eerste plaatsen in een online zoekopdracht verschijnen.

Daarnaast moet worden nagegaan of bedrijven als Google en Amazon hun eigen producten bevoordelen, hoe zij omgaan met persoonsgegevens en of de reclame op transparante wijze wordt geëtiketteerd.

Europese Commissie

De Europese Commissie kondigde in april aan dat zij bedrijven zou dwingen om te voldoen aan de nieuwe Europese privacyregelgeving en zou toezien op eerlijker voorwaarden voor Europese leveranciers.

“Platforms en zoekmachines zijn belangrijke kanalen voor Europese bedrijven om consumenten te bereiken”, aldus Mariya Gabriel, commissaris voor digitale zaken, destijds. “Maar we moeten ervoor zorgen dat ze geen misbruik maken van hun macht om hun professionele gebruikers te schaden.”

Op basis van het advies van de deskundige zal binnen drie jaar worden onderzocht of verdere maatregelen nodig zijn.

ePrivacywet vs AVG: Wat is het verschil? De enorme impact op de media en reclamebranche

De Algemene Verordening Gegevensbescherming (AVG) moet er voor zorgen dat onze privacy gewaarborgd wordt. In deze Europese wet is tot op de komma vastgelegd hoe organisaties met persoonsgegevens van klanten en personeel moeten omgaan. Toch?

Klopt. Maar de AVG dekt nog niet alles, zeggen Europese politici. En dus wordt er gewerkt aan een aanvullende wet. De ePrivacywet. Nog meer regels, nog meer kosten, nog meer druk. Is dat nu echt nodig?

Diverse ondernemersorganisaties in Nederland vinden dat de politici vergeten rekening te houden met de gevolgen van de privacyregels voor ondernemers.

Waarom moet er nu vlak na de invoering van de AVG nog een privacywet bijkomen? Wat is het verschil tussen de AVG en de ePrivacywet?

 

Hoewel er enige overlapping is, is het belangrijkste verschil tussen ePrivacy en de AVG dat de AVG betrekking heeft op de verwerking van persoonsgegevens in alle vormen, terwijl de e-Privacy-verordening meer specifiek betrekking heeft op online communicatie.

De AVG geeft individuen meer controle over hun persoonlijke gegevens. Zowel online als offline. Organisaties moeten nu toestemming vragen voor het gebruik, het delen en opslaan van persoonsgegevens.

Het recht op vertrouwelijkheid

De ePrivacywet is onder meer gericht op het recht op vertrouwelijkheid en privacy van gegevens bij alle elektronische communicatie. Dit omvat e-mail, teksten, het internet, WhatsApp, Skype, online messaging, VoIP, het internet van dingen (IOT), apps, online reclamenetwerken en telecommunicatie.

De ePrivacywet staat ook wel bekend als de cookiewet, omdat het de wet is die het gebruik van cookies op websites regelt. De ePrivacywet gaat echter verder dan cookies. Er komen nieuwe regels voor communicatie-inhoud en communicatiemetadata die inhouden dat organisaties de vertrouwelijkheid van alle elektronische communicatie moeten waarborgen en toezicht door derden moeten voorkomen.

Het belang van de ePrivacywet blijkt volgens politici uit het recente Cambridge Analytica-schandaal waarbij vertrouwelijke gegevens van Facebookgebruikers oneigenlijk misbruikt werden om de verkiezingen in de Verenigde Staten en de Brexit-enquete in Groot Brittannie te manipuleren. De ePrivacywet bevat strenge regels die misbruik en manipulatie moeten voorkomen.

Wanneer wordt de ePrivacy-verordening van kracht?

 

De ePrivacywet komt in de plaats van de richtlijn betreffende de bescherming van de persoonlijke levenssfeer en de elektronische-communicatierichtlijn van 2002 en zal naar verwachting eind 2018 in werking treden, waarbij organisaties waarschijnlijk net als bij de AVG een overgangsperiode van één jaar krijgen om aan de richtlijn te voldoen.

ePrivacy zal waarschijnlijk extra naleving vereisen en net als bij GDPR zal de ePrivacy-regelgeving zware boetes voor niet-naleving met zich meebrengen.

Gevolgen voor het bedrijfsleven: ePrivacy kan “turbulenter” zijn dan AVG

De meest recent bekend geworden regels die in de ePrivacywet zouden worden opgenomen lijken er op te duiden dat sommige bedrijfstakken – met name reclame, marketing en media – er door getroffen worden. In deze branches wordt daarom momenteel stevig gelobbied om de voorstellen in Brussel af te zwakken.

De gevolgen voor media, marketing en reclame kunnen ingrijpend zijn omdat het verboden wordt om bijvoorbeeld aan directmarketing of telemarketing te doen zonder voorafgaande toestemming, wat betekent dat sommige organisaties hun reclamecampagnes en marketing zullen moeten heroverwegen.

De ePrivacy-verordening zal waarschijnlijk van invloed zijn op de online reclamecampagnes en analytische oplossingen van bedrijven. Hoe ver de verordening gaat, valt nog te bezien, maar er bestaat weinig twijfel over dat veel bedrijven hun praktijken zullen moeten aanpassen.

Net als bij de AVG zullen de impact van ePrivacy en zware boetes niet beperkt blijven tot bedrijven die in de EU gevestigd zijn.

De hele wereld kopieert de strenge Europese privacywetgeving. Diverse internationale voorbeelden op een rij

Nederlanders hebben bij onpopulaire Europese maatregelen al snel het idee dat Nederland het braafste jongetje van de klas wil zijn. Typisch Nederland, wordt er dan meteen geroepen. Maar is dat terecht?

Er wordt in heel Europa geklaagd over de nieuwe Europese privacyregels. Niet alleen in Nederland. Europese ondernemers en deskundigen vrezen dat Europa zichzelf met deze wet buitenspel zet in de concurrentie met de rest van de wereld.

Europese bedrijven zouden het nu moeilijk hebben om op te schalen. De GDPR zou de meest domme en bureaucratische regelgeving zijn die ooit is ontwikkeld.

De GDPR zou een van de redenen zijn waarom Europa zijn voorsprong op de Amerikaanse en Aziatische bedrijven verliest. Proliferatie van persoonlijke gegevens in de cloud is onvermijdelijk, zeggen Europese tegenstanders. Het zou niet goed zijn voor Europa om dit te belemmeren.

Is alle Europese kritiek terecht? Hoe staat Nederland er voor in vergelijking met de rest van Europa? Hoe staat de EU er voor in vergelijking met de rest van de wereld?

 

De meest recente cijfers over klachten die worden ingediend bij de diverse toezichthouders die in Europa de naleving van de Europese privacywet GDPR controleren wijzen uit dat er in heel Europa een forse groei is. In de meeste landen is sprake van minimaal een verdubbeling van het aantal klachten.

Helaas heeft de Nederlandse Autoriteit Persoonsgegevens nog geen actuele cijfers gepresenteerd.

Wel is duidelijk dat met name in Duitsland, Ierland, Groot-Brittannie en Frankrijk veel kordater wordt opgetreden door de toezichthouders. Wie het internationale nieuws volgt merkt al snel dat er in die landen veel opener over diverse acties en onderzoeken wordt gecommuniceerd dan in Nederland.

Europese privacyregels worden wereldwijd gekopieerd

Ondertussen wordt wel steeds meer duidelijk dat Europa een trend heeft gezet in de hele wereld. Wereldwijd zijn landen bezig om de Europese regels te kopieren. Het onderzoeksbureau Gartner concludeert dat de impact nu al globaal zichtbaar is.

GDPR VS: Consumer Privacy Act

De Verenigde Staten creëren momenteel geïnspireerd door de GDPR nieuwe privacywetten.

De California Consumer Privacy Act van 2018 geeft Californiërs dezelfde rechten als EU-burgers – in het bijzonder het Data Subject Access Request (DSAR).

In 2020 zijn organisaties die persoonsgegevens van Amerikaanse burgers beheren of verwerken, verplicht om op verzoek informatie over een klant of werknemer te verstrekken.

Net als de GDPR, vereist de aanstaande wetgeving van Californië niet dat de betrokkenen fysiek aanwezig moeten zijn in de staat.

De Amerikaanse staat Colorado overweegt ook een eigen privacywet. Het wetsvoorstel beoogt de definitie van “persoonlijke informatie” uit te breiden en stelt wijzigingen voor met betrekking tot de timing van de melding van inbreuken.

De US Consumer Privacy Act geeft bedrijven 30 dagen de tijd om een overtreding te melden nadat deze zich heeft voorgedaan. De Europese wet geeft echter slechts een tijdspanne van 72 uur.

GDPR Verenigd Koninkrijk: Data Protection Bill

Groot Brittannie valt tot de Brexit definitief is nog onder de Europese privacywet. Maar na de afsplitsing van de EU willen de Britten de Europese privacyregels wel graag houden. Er wordt gewerkt aan een eigen wet die op sommige punten nog wel eens strenger zou kunnen zijn dan de GDPR.

De Britse Information Commissioner’s Office (ICO) heeft opgemerkt dat gegevensbescherming en privacy in het Verenigd Koninkrijk nu tot de top van het publieke bewustzijn behoren.

GDPR Argentinië: toezichthouder Dirección Nacional de Protección de Datos Personales komt met nieuwe wet

Argentinië heeft sinds 2000 de wet nr. 25.326 inzake de bescherming van persoonsgegevens. Het geboorteland van koningin Máximà wordt sinds 2003 in overeenstemming met EU-richtlijn 95/46/EG door de Europese Unie beschouwd als een veilige haven voor de uitwisseling van persoonsgegevens.

Argentinië is van plan om deze wet op de bescherming van persoonsgegevens in de loop van 2018 te vervangen door een nieuwe wet die veel overeenkomsten heeft met de GDPR.
De Argentijnse toezichthouder Dirección Nacional de Protección de Datos Personales heeft een wetsontwerp opgesteld en deze in 2017 bij het Nationaal Congres ingediend.
Argentinië wil zo zijn status als veilige haven voor Europese ondernemers en consumenten behouden.

GDPR Brazilië: net als in Europa hoge boetes

Brazilië heeft privacywetgeving die lijkt op de Europese GDPR. Buitenlandse bedrijven die data verwerken van Brazilianen moeten zich houden zijn aan de Braziliaanse wet. Bovendien bevat de wet een aantal specifieke verplichtingen of beperkingen voor buitenlandse bedrijven.

Personen behouden het eigendom en de controle over hun persoonsgegevens en zij moeten, net als in de EU, in principe voorafgaand toestemming geven voordat hun gegevens kunnen worden verwerkt of gedeeld.

Ook de “doelgebondenheid” uit de GDPR heeft zijn weg gevonden in de Braziliaanse wet: elke verwerking van gegevens moet beperkt zijn tot het specifieke doel dat aan de gebruiker wordt medegedeeld op het ogenblik dat hij of zij toestemming geeft.

De wet geeft, net als de GDPR, bijzondere bescherming aan bepaalde gegevens die als “gevoelig” zijn gedefinieerd en ook hier is de opsomming dezelfde als onder GDPR: raciale en etnische achtergrond, religie, politieke meningen en voorkeuren, gegevens over gezondheid en seksuele geaardheid en genetische of biometrische gegevens.

Aangezien de Braziliaanse wet, net als de GDPR, in bijzonder hoge boetes voorziet (in het geval van Brazilië tot 2% van de groepsomzet in het afgelopen fiscale jaar met een maximum van omgerekend 10 miljoen euro) doen buitenlandse bedrijven die in Brazilië actief (willen) zijn er verstandig aan zich tijdig te informeren en waar nodig, net als onder GDPR in Europa, de nodige voorbereidende maatregelen te nemen.

GDPR Australië: Privacy Act

De Australische Privacy Act is, net als de GDPR, gericht op consistente privacyregelgeving in het hele land en dwingt een robuust nalevingsmechanisme af. Het heeft tot doel het vrije verkeer van informatie buiten de Australische grenzen te vergemakkelijken en de eerbiediging van de persoonlijke levenssfeer te waarborgen.

De doelstellingen vloeien voort uit de Australische privacybeginselen die verwerkingsverantwoordelijken verplicht om persoonlijke informatie op een “open en transparante manier” te beheren en om aan te tonen dat alle beginselen van de wet worden nageleefd.

Ondanks belangrijke verschillen in aspecten als meldingen van inbreuken, rapportageverplichtingen of de definitie van “ernstige schade” zijn de GDPR en de Australische regelgeving inzake gegevensbescherming een stap in dezelfde richting.

GDPR Japan: oprichting Personal Information Protection Commission

Japan ken sins 30 mei 2017 een hervormde privacywet die overeenkomsten heeft met de GDPR.

Met name de oprichting van de Personal Information Protection Commission in Japan, die zich bezighoudt met de vaststelling en handhaving van privacyregelgeving, is een aanzienlijke verbetering van het Japanse systeem van privacywetgeving.

GDPR Mexico: Federal Data Protection Law

Mexico’s “federale wet op de bescherming van persoonsgegevens die door particuliere partijen wordt toegepast” is bijna niet te onderscheiden van zijn Europese tegenhanger.

Mexico eist nu van de verwerkingsverantwoordelijken dat zij proactief aantonen dat zij de wetgeving inzake gegevensbescherming naleven. Mexico beschikt over procedures voor het meten van en reageren op nieuwe technologieën die de gebruikers aan risico’s blootstellen. Net als de EU eist Mexico ook dat de voor de verwerking verantwoordelijken technische en organisatorische maatregelen nemen en implementeren om persoonsgegevens te beschermen.

GDPR Canada: Personal Information Protection and Electronic Documents Act

Niet iedereen haast zich om een GDPR-lookalike te creëren. Canada houdt zich aan de normen van de Canadese Personal Information Protection and Electronic Documents Act.

Toch moeten Canadese bedrijven die gegevens van EU-burgers verwerken, zich aan de GDPR houden. De reden hiervoor is dat de Europese wetgeving, in tegenstelling tot de Canadese lokale wetgeving, de persoonsgegevens van EU-burgers zowel binnen als buiten de grenzen van de Unie beschermt.

Verantwoordingsplicht, toestemming, rapportage

De GDPR verandert de manier waarop wereldwijd zaken worden gedaan.

In landen die nog geen GDPR replica’s hebben ontwikkeld hebben bedrijven die gegevens van EU-burgers verwerken geen andere keuze dan toch te voldoen aan de EU-normen voor toestemming, gegevensportabiliteit, recht op uitwissing van gegevens en datalekprocedures.