Hackers kunnen dankzij privacywet heel eenvoudig jouw gegevens opvragen bij bedrijven

Hoe snel voldoet de organisatie waar jij voor werkt aan een verzoek van een klant om een overzicht van alle persoonsgegevens die van hem of haar zijn opgeslagen? Wordt ook gecontroleerd of degene die de gegevens opvraagt ook echt degene is waarvan de gegevens zijn?

Hackers kunnen volgens veiligheidsonderzoeker James Pavur van de Oxford University dankzij de Europese privacywet heel eenvoudig aan persoonsgegevens komen. Pavur ontdekte tijdens een test dat hij zonder problemen de gegevens van iemand anders kon opvragen.

Bedrijven zijn op basis van de AVG verplicht om op verzoek in detail aan te geven welke gegevens zij van een gebruiker hebben opgeslagen.

Er wordt echter niet precies aangegeven hoe de bedrijven moeten controleren of de gebruiker de gegevens zelf of iemand anders met kwade bedoelingen opvraagt. Pavur probeerde uit of hij de gegevens van zijn vriendin – met haar toestemming – van de bedrijven kon krijgen zonder dat hij een identiteitskaart hoefde te tonen.

Het resultaat is schrikbarend: Pavur stuurde 150 onderzoeken om informatie op basis van de AVG.

In 72 procent van alle gevallen kreeg hij het antwoord dat de bedrijven daadwerkelijk gegevens opslaan.

In 24 procent van de gevallen sturen de bedrijven eenvoudigweg alle opgeslagen bestanden met gegevens zoals geboortedata, adressen of betalingsgegevens.

Nog eens 16 procent vroeg alleen om gemakkelijk te onderzoeken informatie, zoals de geboortedatum of creditcardnummers, die Pavur al van de eerste 24 procent van de verstrekkers had gekregen.

De conclusie van Pavur: “Bedrijven staan vaak onder druk om de Algemene Verordening Gegevensbescherming na te leven en snel te reageren op vragen. De aanvragen om inzage in persoonsgegevens worden vaak afgehandeld door bedrijfsjuristen of hun helpers en niet door veiligheidsdeskundigen, die misschien meer achterdochtig zijn.”

Voldoet de Payroll organisatie waarmee jij samenwerkt wel aan de AVG? 30 procent houdt geen verwerkingsregister bij

Ruim dertig procent van de salarismedewerkers en -adviseurs zegt onvoldoende geïnformeerd te zijn over de Algemene Verordening Gegevensbescherming (AVG) en de gevolgen voor de salarisadministratie.

Dat blijkt uit het Trendonderzoek Salarisprofessionals 2018 van Nederlands Instituut Register Payroll Accounting (NIRPA).

Het onderzoek werd in opdracht van het NIRPA uitgevoerd door Performa en Berenschot.

Het onderzoek is ook van belang voor alle organisaties die gebruik maken van de diensten van Payrolling organisaties. Zij zijn op basis van de AVG verplicht om te controleren of organisaties waar zij mee samen werken zich aan de wet houden.

Nog geen verplicht verwerkingsregister

 

30% van de salarisadministrateurs geeft in de enquete aan dat er nog geen register van verwerkingsactiviteiten wordt bijgehouden. Zo’n verwerkingsregister is in veel gevallen verplicht.

Het NIRPA is een onafhankelijke stichting zonder winstoogmerk. Om een zo volledig mogelijk beeld te krijgen van de functie van salaris professionals in Nederland werden alle salarismedewerkers en -adviseurs uitgenodigd om deel te nemen aan het onderzoek. Het onderzoek is niet alleen gericht op NIRPA geregistreerde Payroll Professionals.

 

De invoering van de AVG is volgens 89% van de salarisadministrateurs dit jaar veruit het belangrijkste onderwerp op hun vakgebied.

Uit het onderzoek blijkt dat de positie van de salarisadministrateur bij de invoering van wetten zoals de Algemene verordening gegevensbescherming (AVG) steeds belangrijker wordt.

De salarisadministratie werkt met veel privacygevoelige informatie, waar efficiënt en zorgvuldig mee moet worden om gegaan.

Onvoldoende geïnformeerd over AVG

Ondanks het duidelijke belang van de AVG is de informatievoorziening over de wet volgens het onderzoek bij veel organisaties nog niet onder controle.

De onderzoeksresultaten worden op 11 september toegelicht en gepubliceerd tijdens het jaarlijkse NIRPA congres.

Moet een organisatie ook inzage in persoonsgegevens verstrekken als het veel tijd, moeite en geld kost? Facebook zoekt grens AVG

De Algemene Verordening Gegevensbescherming (AVG) geeft iedereen het recht om inzage te vragen in de gegevens die organisaties over hen verzameld heeft. Bedrijven zijn verplicht om binnen dertig dagen de informatie te verstrekken.

Maar hoe zit dat als het opmaken van een overzicht met alle informatie nou bijzonder veel moeite kost? Als een organisatie voor een verzoek een of meerdere werknemers diverse systemen moet laten doorspitten? Wie betaalt die kosten eigenlijk?

Kosten inzageverzoek

Slecht nieuws voor bedrijven. De kosten zijn voor hen. Ze moeten aan de AVG voldoen. Tenminste, zo staat het in de wet.

Facebook denkt daar anders over. De social media gigant weigert Michael Veale, een onderzoeker van de Britse University College London, inzage te geven in de over hem verzamelde persoonsgegevens.

Facebook zegt dat het te veel moeite kost deze informatie te verzamelen.

Veale neemt hier geen genoegen mee en heeft een formele klacht ingediend bij de Irish Data Protection Commissioner.

Ierse Autoriteit Persoonsgegegens

Facebook heeft zijn Europese hoofdkantoor in Ierland gevestigd. De Ierse Autoriteit Persoonsgegegens doet nu onderzoek naar de weigering van Facebook,
meldt The Register.

Veale stelt in de klacht te willen achterhalen of Facebook surfgedrag over hem heeft verzameld op het gebied van seksualiteit en medische onderwerpen. Vaele geeft aan de tools die Facebook hiervoor openbaar heeft gemaakt heeft gebruikt, maar dat deze onvoldoende resultaat opleveren.

‘Data buiten Facebook verzameld’

Het bedrijf weigert de opgevraagde informatie echter te verstrekken en meldt dat het te veel moeite kost de data te lokaliseren, aangezien deze buiten het sociale netwerk is verzameld. De klacht is hier ingediend, aangezien het Europese hoofdkantoor van Facebook in Ierland is gevestigd.

European Data Protection Board

De zaak wordt nu onderzocht door de Irish Data Protection Commissioner. Deze verwacht dat de zaak uiteindelijk wordt doorgestuurd naar de European Data Protection Board, aangezien de zaak betrekking heeft op grensoverschrijdende dataverwerking.

De uitkomst van deze zaak is interessant voor iedere organisatie die veel werk moet verzetten om informatie te verzamelen als er een verzoek om inzage wordt gedaan. Wat mag er van hen in het uiterste geval verwacht worden?

Autoriteit Persoonsgegevens heeft eerste 400 AVG-klachten afgehandeld

Ruim 600 mensen hebben sinds de invoering van de Algemene Verordening Gegevensbescherming (AVG) een privacy-gerelateerde klacht ingediend bij de De Autoriteit Persoonsgegevens (AP), waarvan 400 inmiddels zijn geanalyseerd. Mensen blijken vooral problemen te ondervinden met het laten verwijderen van hun persoonsgegevens.

Gebruikers kunnen bij de AP klachten indienen indien zij van mening zijn dat hun privacyrechten worden geschonden.

Gegevens niet kunnen verwijderen of inzien

Bijna een derde van alle binnengekomen klachten heeft betrekking op problemen met het laten verwijderen van persoonsgegevens.

Daarnaast klagen mensen dat zij gegevens niet mogen inzien of hun gegevens ongewenst aan derde partijen zijn verstrekt.

87% van de binnengekomen klachten heeft betrekking op bedrijven.

De overige klachten gaan over overheidsinstanties.

De AP meldt alle klachten te gaan behandelen en twee keer per jaar te zullen rapporteren over de wijze waarop de klachten zijn behandeld.

84 van de binnengekomen klachten zijn grensoverschrijdend. Een deel van deze klachten wordt daarom door de AP doorgestuurd naar een andere Europese privacytoezichthouder.