6 banken en 9 verzekeraars voldoen nog niet aan Algemene Verordening Gegevensbescherming (AVG)

6 Nederlandse banken en 9 verzekeraars voldoen volgens de Autoriteit Persoonsgegevens (AP) nog niet aan de Algemene Verordening Gegevensbescherming (AVG). Dat blijkt uit een controle bij 45 banken en 93 verzekeraars.

Sinds de invoering van de nieuwe Europese privacywetgeving op 25 mei 2018 controleert de Autoriteit Persoonsgegevens bij diverse branches of alle regels wel worden nageleefd. Zo controleerde de toezichthouder eerder overheidsorganisaties, ziekenhuizen en zorgverzekeraars. Ook vond er een steekproef plaats bij grote private organisaties.

Volgens de AP hebben 6 Nederlandse banken en 9 verzekeraars nog geen Functionaris Gegevensbescherming (FG) aangesteld. Daartoe zijn zij volgens de AVG evenwel verplicht. Deze FG moet ook officieel aangemeld worden bij de AP.

Ook heeft de toezichthouder uitgezocht of financiële instellingen de directe contactgegevens van die functionarissen wel op hun website hebben gepubliceerd, zoals is vereist. Dit liet bij zeven banken en veertien verzekeraars nog te wensen over.

Banken en verzekeraars verwerken veel persoonsgegevens van hun klanten, zoals identificatiegegevens, financiële data en transactie- en medische gegevens. De functionaris in kwestie is daarom erg belangrijk.

 

Meer actueel awareness nieuws

PSD2 en AVG: De bank moet jouw betaalrekeningen openstellen voor andere bedrijven. AP geeft uitleg

Als het goed is ontvang je een dezer dagen post van je bank met uitleg over de impact van de nieuwe Europese betaalwet PSD2.

Alle banken in de Europese Unie moeten het mogelijk maken dat andere bedrijven met jouw toestemming toegang kunnen krijgen tot jouw betaalrekening. Wat betekent dat voor jouw privacy?

En waarom zouden andere bedrijven toegang moeten hebben tot jouw betaalrekening?

Jij bepaalt wie toegang krijgen tot jouw betaalgegevens

Allereerst… Er moet niets. Jij blijft eigenaar van jouw betaalgegevens. Jij bepaalt zelf of jij gebruik maakt van de mogelijkheid om je gegevens te delen met andere partijen. Bijvoorbeeld met je administratiepakket zodat dat voortaan vrijwel automatisch je bankgegevens kan verwerken.

Ook kun je voortaan zonder creditcard iets online kopen bij een buitenlandse webshop. Je kunt deze webwinkel dan toestaan om eenmalig een bedrag van je bankrekening af te schrijven. Net zoals je nu kunt doen via bijvoorbeeld Ideal.

Eisen PSD2

Een vereiste onder PSD2 is dat betaaldienstverleners alleen toegang mogen krijgen tot persoonsgegevens van consumenten als zij hiervoor uitdrukkelijke toestemming hebben gekregen van die consumenten.

De Autoriteit Persoonsgegevens heeft nu met Q&A’s voor betaaldienstverleners verduidelijkt waar de ‘uitdrukkelijke toestemming’ van gebruikers aan moet voldoen.

Payment Services Directive

PSD2 staat voor de tweede Payment Services Directive. Het is een Europese richtlijn over betaaldiensten.

De richtlijn regelt onder meer dat niet alleen banken maar ook andere partijen nieuwe betaal- en rekeningdiensten mogen aanbieden.

De bescherming van de privacy van consumenten is een belangrijk onderdeel van PSD2, omdat betaalgegevens gevoelige financiële persoonsgegevens zijn. De wetgeving over de richtlijn ligt nu ter behandeling bij de Eerste Kamer.

Eisen aan uitdrukkelijke toestemming

Een van de belangrijkste privacyregels uit de PSD2-richtlijn is dat betaaldienstverleners zonder uitdrukkelijke toestemming geen toegang mogen hebben tot persoonsgegevens. Dit geldt bijvoorbeeld voor rekeninghoudende betaaldienstverleners (zoals banken) en betaalinitiatiedienstverleners.

De eis van uitdrukkelijke toestemming houdt onder meer in dat een betaaldienstverlener afzonderlijk van de andere onderdelen van een overeenkomst om toestemming vraagt aan iemand om toegang te krijgen tot zijn of haar persoonsgegevens.

De manier waarop uitdrukkelijke toestemming wordt gevraagd moet vrij zijn, ondubbelzinnig, geïnformeerd en specifiek. Consumenten moeten hun toestemming ook gemakkelijk weer kunnen intrekken.

Iemand mag bijvoorbeeld niet onder druk worden gezet om toestemming te geven. En toestemming moet een actieve handeling zijn; stilzwijgende toestemming of voor-aangevinkte vakjes zijn niet toegestaan.

Een betaaldienstverlener moet een consument ook goed informeren over welke gegevens worden verzameld en waarvoor ze worden gebruikt.

Voor welke betaaldienstverleners geldt de eis?

Het vereiste van uitdrukkelijke toestemming voor de toegang tot persoonsgegevens geldt voor alle soorten betaaldiensten.

Behalve als de dienstverlening alleen bestaat uit het aanbieden van een rekeninginformatiedienst.

Zodra de rekeninginformatiedienst wordt gecombineerd met een andere betaaldienst geldt het vereiste van uitdrukkelijke toestemming wél.

Betaaldienstverleners moeten zich net als alle andere organisaties ook houden aan de privacywet, de Algemene verordening gegevensbescherming (AVG).

Belangrijke AVG-regels zijn bijvoorbeeld dat een betaaldienstverlener altijd een grondslag moet hebben om persoonsgegevens te mogen verwerken en maatregelen moet treffen om persoonsgegevens goed te beveiligen.

Meer informatie? Lees ook de Q&A’s over betaaldiensten

Meer actueel awareness nieuws

‘Slechts’ 16,5 miljoen Euro boete voor Britse Tesco bank wegens ontbreken cyberbeveiliging in 2016. Had met nieuwe AVG nu ruim 2,2 miljard Euro kunnen zijn

Wie dacht dat het allemaal wel mee zou vallen met de dreiging van megaboetes bij overtredingen van de AVG heeft het bij het verkeerde eind. In Groot-Brittannie wordt momenteel de toon gezet bij handhaving van de Europese privacyregels.

De Britse bank Tesco heeft een boete van 16,5 miljoen Euro gekregen van de Financial Conduct Authority (FCA) voor het ontbreken van beveiligingsmaatregelen tegen een cyberaanval die in november 2016 plaatsvond.

De fraude heeft de cyberaanvallers in dit geval 2,4 miljoen Euro opgeleverd.

Tesco had geluk bij een ongeluk omdat de nieuwe AVG destijds nog niet van kracht was.

Als de cybercriminelen na 25 mei 2018 hadden goegeslagen, toen AVG in werking trad, had Tesco boetes tot 4% van zijn jaarlijkse omzet moeten betalen. Dat ongeveer 2,2 miljard Euro zou zijn geweest.

De Britse toezichthouder FCA zegt dat organisaties ervoor moeten zorgen dat hun systemen zo inrichten dat het risico van cyberaanvallen bij voorbaat vermindert. Privacy by design en privacy by default, eist de AVG.

Te weinig, te laat

“Dit was te weinig, te laat. Klanten hadden helemaal niet aan het risico mogen worden blootgesteld”, erkent chief executive Gerry Mallon van Tesco achteraf ruiterlijk. Dat is een bijzonder dure les voor de bank.

Tesco Bank kreeg overigens onder de oude regels ook nog 50 procent strafvermindering omdat er op hoog niveau werd meegewerkt tijdens het onderzoek door de toezichthouder. Die had op basis van de oude privacyregels uit 2016 een boete van meer dan 30 miljoen Euro kunnen opleggen.

De boetes kunnen in de toekomst volgens de Britse toezichthouder juist fors hoger uitpakken.

 

Deze sanctie herinnert eraan hoe belangrijk het is dat organisaties rekening houden met hun kwetsbaarheid en investeren in beveiligingsmaatregelen“, aldus de FTA. Financiële verliezen als gevolg van niet-naleving van Europese privacyregels kunnen in potentie hoger uitvallen dan de kosten om een inbreuk tegen te gaan.“

Er zullen in de toekomst zwaardere straffen worden opgelegd. Bedrijven moeten hun IT-infrastructuur opnieuw beoordelen en hun software, webapplicaties en netwerken beveiligen om gevoelige gegevens te helpen beschermen en de naleving ervan te waarborgen.

Indien een dochteronderneming de verordening niet naleeft, worden de boetes ook berekend op basis van de omzet van de moedermaatschappij.

Meer actueel awareness nieuws

Rabobank en ABN AMRO opnieuw getroffen door DDoS aanval. Internetbankieren onmogelijk

De websites van Rabobank en ABN Amro bank zijn donderdag opnieuw enigetijd lam gelegd door een DDoS-aanval.

Klanten van de Rabobank konden vanaf 18.00 uur ruim vier uur niet telebankieren.

Klanten zeiden dat zij niet konden inloggen via de app van de bank en in sommige gevallen niet met iDeal konden betalen.

Op de website allestoringen.nl kwamen meer dan 2000 meldingen binnen. 

Er was lichte paniek bij sommige klanten, omdat bij veel mensen het salaris zou worden overgemaakt.

Eerder op de dag bleek dat ABN Amro het slachtoffer was geworden van een nieuwe DDoS-aanval. Ook hier deden iDeal en de mobiele app het niet. Dat was al de derde keer in een week tijd dat de bank hiermee kampte.

Eind januari werden ABN Amro, ING, Rabobank en de Belastingdienst ook al het slachtoffer van grootschalige DDoS-aanvallen. Toen werd een 18-jarige verdachte uit Oosterhout aangehouden. 

Meer actueel awareness nieuws

“De deadline van 25 mei is onherroepelijk. Maar niet voor de bakker en de slager.”

Hoe kan het dat veel kleine ondernemers nog niet klaar zijn voor de privacywet die op 25 mei 2018 van start gaat? En is dat erg? Voorzitter Aleid Wolfsen van de Autoriteit Persoonsgegevens reageerde dinsdagochtend luchtig in de ontbijtshow Goedemorgen Nederland van omroep WNL.

“Ach een bakker is er om brood te bakken en een onderwijzer is er om les te geven”, aldus Wolfsen. “Die zijn niet iedere dag met privacy bezig. Aan de andere kant weten zij wel veel van hun klanten. Onderdeel van een goede dienstverlening is dat je daar zorgvuldig mee omgaat.”

Hebben kleine bedrijven zich niet goed voorbereid?

“Brancheverenigingen doen er veel aan. Grote bedrijven zijn vaak wel op tijd begonnen. Maar de kleine bedrijven hebben er wat later van gehoord. Die zijn nu wel druk bezig. Ik verwacht dat veel kleine bedrijven wel redelijk op tijd klaar zijn voor 25 mei. Want die deadline is onherroepelijk.”

Moeten kleine bedrijven bang zijn dat u meteen na 25 mei op de stoep staat?

“Nou nee, niet bij de slager en de bakker, kan ik u wel verklappen. Die moeten natuurlijk wel aan de wet voldoen. De wet is natuurlijk als eerste bedoeld voor grote bedrijven die niets anders doen dan handelen in data. Banken, zorginstellingen. Die verzamelen voornamelijk gevoelige gegevens. Gezondheidsgegevens. Dat is natuurlijk belangrijker dan gewone klantgegevens. Maar iedereen moet wel voldoen aan die wet. Neem nu bijvoorbeeld een kinderopvang. Dan denk je ‘wat weet de kinderopvang nou eigenlijk van mij?’ Maar die weet vaak iets over de financiele positie van de ouders. Over de gezondheid. Is er sprake van een echtscheiding. Zulke gegevens zul je toch goed moeten beveiligen.”

 

Meer actueel awareness nieuws