Privacy Nieuws
De Autoriteit Persoonsgegevens (AP) van de Duitse deelstaat Hessen heeft onderwijsinstellingen geadviseerd om snel een alternatief voor Microsoft Office 365 en Windows 10 te vinden. Het software pakket voldoet volgens de toezichthouder niet meer aan de Europese privacywet.
Volgens de Algemene Verordening Gegevensbescherming (AVG) mogen persoonsgegevens alleen verwerkt worden in Europa. Microsoft voldeed tot voor kort aan deze eis omdat gegevens van klanten die via de cloud werken werden opgeslagen op servers in Duitsland. Maar onlangs heeft Microsoft zijn cloudservers weer naar de Verenigde Staten verplaatst.
De toezichthouder van de deelstaat Hessen heeft Microsoft meermalen om opheldering gevraagd. Microsoft heeft echter geen antwoord gegeven. Wat betreft de Duitse AP is de maat nu vol. Hij heeft scholen geadviseerd het gebruik van Office 365 en Windows 10 (die een gestage stroom van gebruiksgegevens naar Microsoft stuurt) te staken.
Volgens de website Office-Watch, hebben alle Amerikaanse Big Tech bedrijven een vergelijkbaar probleem in Europa. Zelfs als ze servers in Europa blijven gebruiken. Ze kunnen niet garanderen dat de gegevens van Europese klanten niet toch via hun Amerikaanse backup-servers toch ingezien kunnen worden door Amerikaanse inlichtingendiensten.
AVG Jurisprudentie, Privacy Nieuws
Mag de eigenaar van bedrijfspanden zijn eigendommen met camera’s beveiligen als daarbij ook omwonenden in beeld kunnen worden gebracht? De buren vinden op basis van de Algemene Verordening Gegevensbescherming (AVG) van niet. De Autoriteit Persoonsgegevens (AP) heeft de klacht echter afgewezen.
De ondernemer heeft twee camera’s aan zijn bedrijfspand bevestigd. Volgens de buren zijn die camera’s op de openbare weg gericht. Buurtbewoners die meerdere malen per dag gebruik maken van dat gedeelte van de openbare weg worden dus iedere keer gefilmd.
De advocaat van de buren heeft de AP verzocht om de ondernemer te verplichten de positie van de camera’s te wijzigen, zodat niet langer opnames van de openbare weg worden gemaakt. De buren zijn van mening dat de positie van de camera’s niet noodzakelijk is voor de beveiliging van het bedrijf.
De ondernemer is enigszins aan het verzoek van de buren tegemoetgekomen, maar zij vinden dat onvoldoende. De buren hebben daarom in augustus 2017 een handhavingsverzoek ingediend bij de Autoriteit Persoonsgegevens.
De AP heeft in juni 2018, bijna een jaar later, uitspraak gedaan. Deze uitspraak is op 1 november 2018 pas op de site van de AP gepubliceerd. De bijgevoegde brief geeft inzicht in de tijdrovende zorgvuldige procedure die volgt op een klacht die bij de AP wordt ingediend.
De eigenaar voldoet volgens de Autoriteit Persoonsgegevens aan de AVG grondslag gerechtvaardigd belang. De ondernemer heeft het recht om zijn eigendommen te beschermen.
Iedere organisatie die persoonsgegevens verwerkt moet daarvoor volgens de AVG een wettelijke grondslag hebben. Er staan in de AVG 6 grondslagen waarop een beroep kan worden gedaan. De grondslag van het gerechtvaardigd belang is één van deze zes grondslagen.
Een organisatie kan zich alleen beroepen op de grondslag gerechtvaardigd belang als voldaan wordt aan drie voorwaarden:
- er is sprake van een gerechtvaardigd belang
- de verwerking is noodzakelijk om dit gerechtvaardigde belang te behartigen
- de belangen van de partijen zijn goed afgewogen ten opzichte van de belangen van de personen van wie de persoonsgegevens worden verwerkt
De AP heeft de belangen van de omwonenden afgewogen tegen de belangen van de eigenaar van de bedrijfspanden en vindt op basis daarvan het beroep op de grondslag gerechtvaardigd belang terecht.
De Autoriteit Persoonsgegevens schrijft op zijn eigen website dat deze uitspraak meer inzicht geeft in de normen voor cameratoezicht en in de beoordeling van de grondslag van het gerechtvaardigd belang bij het toepassen van cameratoezicht.
Het is volgens de buren echter de vraag of dat echt zo is. Zij gaan in beroep bij de rechtbank.
unnen alle ondernemers nu in alle gevallen bij camerabewaking een beroep doen op het gerechtvaardigde belang? Iedere bewakingscamera is immers bedoeld om bedrijfseigendommen te beschermen.
Buren gaan tegen besluit AP in beroep bij de rechter
Het is daarom interessant af te wachten wat de rechter van het besluit van de Autoriteit Persoonsgegevens vindt. De jurisprudentie die de uitspraak van de rechter oplevert is interessant voor belanghebbenden in soortgelijke zaken.
Privacy Nieuws
Het VieCuri Medisch Centrum in Venlo is in opspraak vanwege een datalek waarbij de gegevens van 22 kinderen, inclusief medische gegevens, op straat zijn beland, meldt de regionale omroep 1Limburg.
Het betreft slechts vier vellen papier, maar de impact daarvan is qua negatieve publiciteit nu al groot. En die kan nog groter worden.
Datalekprocedure
Grote vraag is namelijk of het Limburgse ziekenhuis wel volgens de regels een datalekprocedure in gang heeft gezet.
Vinder Jeroen Dekkers van de papieren zegt bij L1 de indruk te hebben dat het ziekenhuis de zaak in de doofpot wilde stoppen. Hij zocht zondag meteen na zijn vondst al contact met het ziekenhuis.
Datalek uit de media houden
Dekkers zegt dat hij zich geïntimideerd voelt en dat hem meerdere malen is gevraagd om de zaak uit de media te houden.
Een woordvoerder van het ziekenhuis ontkent bij L1 dat zij dit gevraagd heeft.
Functionaris Gegevensbescherming (FG)
Opvallend is echter dat de Functionaris Gegevensbescherming (FG) van VieCuri volgens Dekkers pas woensdag persoonlijk contact opnam met Dekkers. Terwijl volgens de Algemene Verordening Gegevensbescherming (AVG) een organisatie binnen 72 uur na het ontdekken van een lek meteen passende maatregelen moet treffen en een datalekprocedure bij de Autoriteit Persoonsgegevens (AP) in gang moet zetten.
De FG is voor die datalekprocedure verantwoordelijk. Het is dan ook uitermate vreemd dat de FG niet eerder contact heeft opgenomen met de vinder.
Volgens de Autoriteit Persoonsgegevens is er inmiddels wel een datalekmelding door het ziekenhuis gedaan.
Ziekenhuis onderzoekt lek en afhandeling melding
Het ziekenhuis zegt te onderzoeken hoe het lek is ontstaan en hoe er is omgegaan met de melding.
De papieren werden zondag toevallig door Dekkers gevonden op de dijk langs de Maas, pal naast VieCuri.
Medische gegevens pasgeboren kinderen
In de documenten kon hij de voor- en achternaam, geboortedatum van de in sommige gevallen pasgeboren kinderen en gegevens van ouders en verzorgers lezen. Ook was er informatie over de medische situatie van de kinderen te vinden.
Uit de datum bovenaan de documenten blijkt dat ze dezelfde dag nog zijn gebruikt. Het betteft dienstlijsten van vermoedelijk de kinderafdeling.
Privacy Nieuws
De Belastingdienst kan niet garanderen dat gevoelige persoonsgegevens niet zomaar buiten de systemen belanden, schrijft directeur-generaal Jaap Uijlenbroek van de Belastingdienst in een brief aan de Autoriteit Persoonsgegevens (AP).
De toezichthouder heeft de Belastingdienst gevraagd waarom zij zich niet aan de wet houdt als het gaat om databeveiliging.
Autoriteit Persoonsgegevens vroeg in juli fiscus om opheldering
De Autoriteit Persoonsgegevens concludeerde in juli dat de Belastingdienst onder andere moet bijhouden wie bepaalde gegevens uit de systemen ophaalt voor verdere analyse.
Uijlenbroek schrijft in de brief aan de Autoriteit Persoonsgegevens dat dat ‘technisch niet mogelijk is’.
Ook zou het niet mogelijk zijn om via autorisatie de toegang tot de data te beperken.
Staatssecretaris zegt dat Belastingdienst pas volgend jaar aan AVG kan voldoen
Staatssecretaris Menno Snel van Financiën liet eerder weten dat de fiscus pas volgend jaar aan de Algemene Verordening Gegevensbescherming (AVG) kan voldoen. Daardoor is de fiscus fors in overtreding.
Grote vraag is wat de AP nu gaat doen. De Autoriteit Persoonsgegevens zegt ‘niet te schromen om handhavingsmiddelen in te zetten als de overtredingen niet beëindigd zijn’. Dat varieert van een waarschuwing tot boetes of een last onder dwangsom.
Wat gaat de Autoriteit Persoonsgegevens nu doen?
Aangezien de Belastingdienst al jarenlang op de hoogte is van de problemen – en de overheid net als andere organisaties aan de Europese privacyregels moet voldoen – lijkt het onoverkoombaar dat de Autoriteit Persoonsgegevens gaat optreden.
Onthulling tv-programma Zembla
Begin 2017 onthulde het tv-programma ‘Zembla’ dat bij een speciale afdeling van de Belastingdienst de beveiliging volstrekt onvoldoende was.
Hoogleraar computerbeveiliging Bart Jacobs verbaasd over verklaring Belastingdienst
Hoogleraar computerbeveiliging Bart Jacobs van de Radboud Universiteit zegt in Trouw verbaast te zijn over de verklaring van Uilenbroek.
“Dit gaat om systemen waarin alle data van de Belastingdienst zijn opgeslagen. Als ergens goede beveiliging aanwezig moet zijn, is het hier. Ik kan me niet indenken dat dat technisch onmogelijk zou zijn.”
Of er sprake is van voldoende beveiliging hangt af van de manier waarop medewerkers daar persoonlijk invulling aan geven, zegt Jacobs.
“Ik mag hopen dat er geen enorme databestanden via de e-mail worden verstuurd. En dat gegevens die wel worden verstuurd binnen de systemen van de Belastingdienst blijven.”
Tweede Kamerlid Pieter Omtzigt gaat debat aanvragen
Tweede Kamerlid Pieter Omtzigt (CDA) noemt het gebrek aan beveiliging ‘heel ernstig’. Hij zegt een debat aan te gaan vragen.
“Een jaar geleden werden al verbeteringen beloofd die nog steeds niet plaatsvinden. De Belastingdienst heeft een van de meest privacygevoelige datasets van Nederland. In de omgang daarmee lijken ze privacy totaal niet serieus te nemen.”
Privacy Nieuws
De Ierse privacytoezichthouder DPC stelt een onderzoek in naar Twitter. Dit in verband met de weigering van het bedrijf om de Britse onderzoeker Michael Veal informatie te verstrekken over hoe het hem volgt wanneer hij op verkorte links in tweets klikt.
Twitter is op basis van de Algemene Verordening Gegevensbescherming (AVG / GDPR) verplicht om die gegevens binnen een maand te verstrekken.
Als Twitter gebruikers links in tweets plaatsen, past de dienst zijn eigen link-shortening service, t.co, op hen toe.
Twitter zegt dat dit het platform in staat stelt om te meten hoe vaak er op een link is geklikt, en helpt het om de verspreiding van malware tegen te gaan door middel van dodgy links.
Welke informatie verzamelt Twitter via de verkorte links?
Privacy onderzoeker Michael Veale, die werkt aan het University College London, vermoedt dat Twitter meer informatie krijgt als mensen op t.co links klikken. En dat Twitter dankzij de url-verkorters mensen kan volgen terwijl ze op het web surfen, door cookies in hun browsers achter te laten.
Veale vroeg meteen nadat de Europese privacyverordening op 25 mei 2018 van kracht werd Twitter om hem alle persoonsgegevens te verstrekken die het social media bedrijf over hem in zijn bezit heeft.
Twitter weigerde de gegevens echter te verdtrekken.
In augustus diende Veale een klacht in bij de Ierse Commissie voor gegevensbescherming (DPC), die hem donderdag vertelde dat zij een onderzoek opende.
Zoals gebruikelijk is bij grote technische bedrijven, zijn de Europese activiteiten van Twitter gevestigd in Dublin, vandaar dat Veale klaagde in Ierland.
Ierse toezichthouder DPC bevestigt onderzoek naar Twitter
“DPC heeft een formeel statutair onderzoek met betrekking tot uw klacht in werking gesteld”, schreef de Ierse waakhond in een brief aan Veale. “In het onderzoek zal worden onderzocht of Twitter al dan niet heeft voldaan aan zijn verplichtingen in verband met het onderwerp van uw klacht en zal worden vastgesteld of de bepalingen van de GDPR of de [Ierse Wet Bescherming Persoonsgegevens] in dit opzicht door Twitter zijn overtreden”.
De toezichthouder zei ook dat de klacht waarschijnlijk zal worden behandeld door de nieuwe Europese gegevensbeschermingsraad, een orgaan dat de nationale gegevensbeschermingsautoriteiten helpt bij het coördineren van hun inspanningen op het gebied van de handhaving van het GDPR, aangezien de klacht van Veale “grensoverschrijdende verwerking met zich meebrengt”.
Twitter zegt dat verstrekken informatie onevenredige inspanning vergt
Twitter onderbouwde de weigering om de gegevens die verzameld worden via tracking door t.co door te verwijzen naar “disproportionele inspanning” gronden in de GDPR. Bedrijven hoeven geen buitenproprtionele inspanningen te verrichten om gegevens te verstrekken.
Volgens Veale intrepreteert Twitter de tekst van de privacywet verkeerd. De vrijstelling kan volgens hem niet worden gebruikt om zogenaamde toegangsverzoeken, zoals hij indiende, te beperken.
Dit lijkt het eerste GDPR-onderzoek te zijn dat in verband met Twitter wordt geopend.
Veale heeft onlangs een soortgelijk onderzoek naar Facebook op gang gebracht, opnieuw in verband met een weigering om gegevens over de webbrowseractiviteiten van gebruikers over te dragen, maar Facebook (fb) was al het onderwerp van meerdere GDPR-onderzoeken.
De Britse onderzoeker zei dat Twitter zeker de tijden registreert waarop gebruikers op links klikken en waarschijnlijk ook informatie over de soorten apparaten die ze gebruiken.
Volgens Veale is het technisch mogelijk voor Twitter om de ruwe locatie van de gebruiker te bepalen. In het privacystatement van Twitter staat dat adverteerders IP-adressen kunnen verzamelen wanneer mensen op hun links klikken. Maar het is onduidelijk wat Twitter doet met de informatie die het via zijn t.co service oogst. Gebruikers hebben volgens de AVG het recht om dat te weten.
Als wordt vastgesteld dat bedrijven de voorwaarden van de GDPR overtreden, worden zij geconfronteerd met boetes tot 20 miljoen euro (23,2 miljoen dollar) of tot 4% van de wereldwijde jaarlijkse inkomsten, afhankelijk van wat het hoogste is. De opbrengsten van 2017 van de tjilpen bedroegen $2.4 miljard, zodat kon een boete GDPR in theorie aan $96 miljoen voor het bedrijf lopen-alhoewel dit Ierse DPC zou vereisen om te beslissen de inbreuk bijzonder flagrant was.
Twitter had op het moment van schrijven niet gereageerd op verzoeken om commentaar.