Privacywet heeft geen effect. ‘123456’ nog steeds populairste wachtwoord

Wachtwoorden verzinnen en herinneren is voor veel mensen een drama. Zodra je denkt dat je het veiligste wachtwoord aller tijden hebt gevonden, verschijnt de waarschuwing: Het is te kort, bevat geen speciaal teken, er ontbreekt een nummer.

Veel mensen worden gek van die meldingen. Ze ergeren zich er mateloos aan. Negeren vervolgens 1, 2, 3 alle waarschuwingen voor cybercrime en gebruiken gewoon een standaard gemakkelijk te onthouden – en te kraken – wachtwoord. Onder het mom van: ‘dat zien we dan wel weer’ of – tegen beter weten in – ‘ik heb niets te verbergen’.

Een jaar na de invoering van de privacywet lijken alle awareness campagnes vrijwel geen impact te hebben gehad. Het British National Cybersecurity Center (NCSC) heeft een lijst met de 100.000 populairste wachtwoorden gepubliceerd, gebruikmakend van gegevens van wereldwijde gegevenshacks.

Hoor jij bij de risicogroep?

Het wachtwoord “123456” leidt de lijst. De combinatie van cijfers kwam 23 miljoen keer voor in de verzamelde gegevens.

De tweede plaats gaat naar de creatieve uitbreiding: “123456789”.

Ook populair, en bijzonder gemakkelijk te onthouden, is het wachtwoord van 3,6 miljoen mensen: “wachtwoord”.

Opvallend waren ook de namen van verschillende muziekgroepen zoals “Blink 182”, “50cent” en “Eminem”.

Superman en Batman zijn populairder onder superhelden dan Spiderman.

Romantiek wordt van plaats 14 met “iloveyou” – even later volgen “prinses”, “kusme”, “onelove” en “titanic”.

De onderzoekers ontdekten ook dat namen allesbehalve geschikt zijn. “Ashley’ is de meest voorkomende vrouwelijke voornaam, terwijl ‘Michael’ triomfeert in de mannelijke wachtwoord variant. Ik ben benieuwd naar de Nederlandse voornamen die populair zijn als wachtwoord.

Voor het onderzoek werkte de Britse organisatie samen met de Australische cyberbeveiligingsexpert Troy Hunt, bekend van de website “Have I Been Pwned? Zo kunnen gebruikers testen of hun e-mailadres in verband met datalekken wordt weergegeven.

Awareness waarschuwing

Staat jouw wachtwoord in de hitlijst van cybercriminelen? Wordt dan eindelijk wakker. Houd je zelf niet langer voor de gek. Je laat de sleutel van je huis, fiets of auto toch ook niet gewoon in het slot zitten? Zorg eindelijk eens voor dat je onveilige wachtwoorden vervangen worden door veilige inloggegevens. Liefst ook double optin. Moeilijk? Welnee. Gebruik goede wachtwoord management software als ‘Last Pass’ of ‘Bitwarden’. Dan wordt het verzinnen en onthouden van moeilijke wachtwoorden een fluitje van een cent.

Facebook CEO Marc Zuckerberg zou in Amerika 20 jaar celstraf moeten krijgen vanwege datalekken

Facebook-CEO Marc Zuckerberg draait als het aan de Amerikaanse Democratische senator Ron Wyden ligt 20 jaar de gevangenis in wegens de vele datalekken waarvoor zijn bedrijf verantwoordelijk is.

Wyden komt met een voorstel om hoge gevangenisstraffen voor het management vast te leggen in de Consumer Data Protection Act.

Wyden komt met zijn wetsvoorstel in reactie op vragen uit de Amerikaanse samenleving. In het hele land worden groepsacties georganiseerd door mensen die vinden dat het onbegrijpelijk is dat bedrijven als Über, Google en Facebook op boetes na nauwelijks aangepakt worden.

Wyden loopt al jarenlang voorop bij de aanpak van cybersecurity en privacykwesties in de Verenigde Staten. Hij presenteerde zijn wetsvoorstel donderdag 8 november 2018. Er moeten volgens hem veel zwaardere sancties komen.

Consumer Data Protection Act alleen van toepassing voor grote bedrijven

De Consumer Data Protection Actzou alleen van toepassing zijn voor bedrijven die meer dan $50 miljoen omzet maken en persoonlijke informatie over meer dan 1 miljoen mensen hebben.

In het wetsontwerp wordt aanbevolen om de mogelijkheden van de Federal Trade Commission om schendingen van de privacy af te dwingen, te versterken.

Jaarlijks rapport over gegevensbescherming

De Consumer Data Protection Act eist ookdat bedrijven een jaarlijks rapport over gegevensbescherming moeten indienen. Vergelijkbaar met hoe bedrijven zoals Google en Apple vrijwillig transparantieverslagen over overheidseisen vrijgeven.

Het rapport zou moeten worden ondertekend door CEO’s, die tot 20 jaar gevangenisstraf zouden kunnen krijgen als ze tegen de FTC liegen.

Nationale Do-Not-Track site

Het wetsontwerp van Wyden introduceert ook een nationale “Do No Track” website, die een centrale pagina zou creëren voor Amerikanen om zich uit te schrijven voor het delen van gegevens via het internet.

Op dit moment, als u zich wilt afmelden voor het bijhouden van gegevens, moet iedereen dit zelf doen op elke individuele website waarvoor je je hebt aangemeld.

Apple voorstander van de nieuwe wet

Tim Cook, CEO van Apple, is voorstander van strenge privacywetgeving. Hij pleit voor een federale wet op de privacy van gegevens, met als argument dat privacy een “fundamenteel mensenrecht” is.

Google, Facebook en Amazon hebben andere ideeen over privacybescherming

Google, Facebook en Amazon hebben ook gezegd dat ze een federale wet op de privacy van gegevens ondersteunen, hoewel er een groot verschil is in wat technologiebedrijven willen en wat voorstanders van privacy willen.

Amerikaanse handelsorganisaties, zoals de Internet Association, hebben de technologiebedrijven gevraagd om vooruit te lopen op federale wetten van de Amerikaanse staat.

Verdeeldheid onder twee Autoriteiten Persoonsgegevens over uitleg AVG bij schoolfoto’s.

Schoolfoto’s en de AVG. Dat is een repeterende frustratie voor scholen, ouders en leerlingen.

Hele klassen staan sinds 25 mei 2018 net als criminelen vanwege de nieuwe Algemene Verordening Gegevensbescherming (AVG) met een zwarte balk voor hun gezicht op een klassenfoto.

Hoe pakken ze dat in de rest van Europa aan?

De Algemene Verordening Gegevensbescherming (AVG) is een Europese privacywet. De privacyregels worden geacht in de hele EU vrijwel gelijk te zijn.

De nationale Autoriteiten Persoonsgegevens werken nauw samen. Dan zou je toch ook eenduidige uitleg van de regels mogen verwachten.

Helemaal als er in één land meerdere toezichthouders zijn, zoals in Duitsland.

De Duitsers hebben een nationale Autoriteit Persoonsgegevens en daarnaast ook nog een toezichthouder per bondstaat. In totaal telt Duitsland zo 18 toezichthouders.

De schoolfotokwestie leeft ook in Duitsland.

Bij veel Duitse scholen wordt net als in Nederland een keer per jaar een externe professionele schoolfotograaf gevraagd om klassenfoto’s en leerlingenfoto’s te maken.

Waarmee moeten scholen sinds de invoering van de AVG rekening houden bij het inhuren van een externe fotograaf?

In het kader van de AVG is het van belang om te weten of de school opdrachtgever is of alleen toestemming geeft voor het maken van schoolfoto’s.

In de meeste gevallen geeft de school alleen toestemming. En dat maakt een wezenlijk verschil voor de AVG.

Als de school alleen toestemming geeft, is er geen contractuele relatie tussen de school en de fotograaf.

In dat geval betreft het alleen een overeenkomst van de fotograaf met leerlingen en ouders en staat de school er qua AVG volkomen buiten.

Maar als de school wel zelf rechtstreeks aan de fotograaf opdracht geeft voor het maken van de klassenfoto’s ligt de zaak anders. In dat geval moet er volgens de AVG door de school een verwerkingsovereenkomst afgesloten worden met de fotograaf.

Het Unabhängige Landeszentrum für Datenschutz, ULD (de toezichthoudende autoriteit voor gegevensbescherming in de Duitse deelstaat Sleeswijk-Holstein) gaat bij schoolfoto’s van het eerste scenario uit. Het is een zaak tussen de ouders en /of leerlingen en de fotograaf. Een verwerkingsovereenkomst is volgens de ULD niet nodig.

Zelfs als de school de fotografielijsten, adressen enz. van tevoren opstuurt, is er volgens de ULD nog geen verwerkingsovereenkomst nodig.

Deze visie lijkt logisch, want de focus van de gegevensverwerking van de fotograaf ligt niet op de verwerking van de gegevens, maar op de onafhankelijke creatie en verwerking van de foto’s, die hij onder zijn eigen verantwoordelijkheid maakt.

De onafhankelijke selectie van beelden en de artistieke vrijheid van de fotograaf duiden er ook op dat er geen sprake is van de verwerking van een opdracht van de school, meent de ULD van Sleeswijk-Holstein.

Voor de overdracht van de klassenlijsten en andere gegevens aan de fotograaf is bovendien altijd de voorafgaande toestemming van de ouder of voogd vereist.

Toezichthouder in Beieren vindt dat de school wel opdrachtgever is

De Beierse staatscommissaris voor gegevensbescherming, de autoriteit die verantwoordelijk is voor de publieke sector in de Duitse deelstaat Beieren, is een heel andere mening toegedaan. Er moet volgens de Beierse toezichthouder wel van worden uitgegaan dat de foto‘s in opdracht van de school worden gemaakt.

De school is volgens de Beierse Autoriteit Persoonsgegevens de verantwoordelijke persoon in de bovenstaande constellatie en moet een schriftelijk contract afsluiten met de fotograaf dat voldoet aan de eisen van Art. 28 (3) AVG.

Bovendien moet de school zich ervan vergewissen dat de gekozen fotograaf ervoor kan zorgen dat de verwerking van de persoonsgegevens van de leerlingen alleen in overeenstemming met de AGV wordt uitgevoerd.

Juridisch betekent dit dat de voor de verwerking verantwoordelijke alleen mag werken met verwerkers die voldoende garanties bieden dat passende technische en organisatorische maatregelen worden genomen om ervoor te zorgen dat de verwerking wordt uitgevoerd in overeenstemming met de eisen van deze verordening en dat de rechten van de betrokkene worden beschermd.

Twee toezichthouders, twee verschillende meningen

De toezichthouders in Sleeswijk-Holstein in Noord-Duitsland en Beieren in Zuid-Duitsland geven kortom ieder een andere uitleg aan de AVG. En dat is verwarrend voor buitenstaanders als scholen, ouders, leerlingen en fotografen. Die willen eenduidige uitleg van regels.

Voor beide intrepretaties valt iets te zeggen. Die van Sleeswijk-Holstein zal bij de meeste mensen de voorkeur hebben. Maar als de Beierse uitleg de definitieve uitleg is valt daar ook mee te leven. Dan is er tenminste duidelijkheid.

Wat vindt de Nederlandse Autoriteit Persoonsgegevens?

De Nederlandse Autoriteit Persoonsgegevens lijkt op de lijn van de Beierse toezichthouder te zitten. De Nederlandse AP raadt scholen aan om aan het begin van het schooljaar bij alle ouders en leerlingen vanaf 16 jaar te vragen waarvoor zij toestemming geven: wel of niet op klassenfoto’s, wel of niet op beelden op de website, wel of niet met naam in de krant als je geslaagd bent, etc.

Kortom: er is verdeeldheid in Europa tussen de verschillende toezichthouders. Het is zaak dat de Europese toezichthouders de rijen sluiten.

Welke leerlingen mogen gefotografeerd worden?

Terug naar de foto’s en de leerlingen. Welke leerlingen mogen überhaupt gefotografeerd worden?

Hier is het heel eenvoudig en iedereen is het daarmee eens: alleen leerlingen die (of hun wettelijke voogd) toestemming hebben gegeven aan de school om de foto’s te maken, mogen gefotografeerd worden.

Art. 7 AVG regelt de voorwaarden voor toestemming. De belangrijkste kenmerken zijn dat de toestemming moet worden gevraagd en dat die vrijwillig moet zijn gegeven. Met andere woorden, het moet duidelijk zijn voor welk specifiek doel de foto’s worden genomen, in welke vorm en hoe lang ze worden opgeslagen, wie er toegang toe heeft en aan wie ze mogen worden doorgegeven.

Ook mag een verwijzing naar de regel dat de toestemming te allen tijde kan worden ingetrokken, niet ontbreken.

Onherkenbaar maken niet nodig als één leerling toestemming intrekt

Maar wat gebeurt er dan als achteraf één van de leerlingen op de klassenfoto zijn toestemming intrekt? Moeten alle foto’s dan worden vernietigd? Moeten er gezichten worden zwart gemaakt?

Nee! Dat is niet nodig.

De herroeping heeft geen invloed op de foto’s die vóór de herroeping zijn gemaakt, maar is alleen van kracht voor de toekomst.

De meerderheid van de gefotografeerde leerlingen is waarschijnlijk minderjarig, dus hun ouders of voogden moeten hun toestemming geven.

Voor jongeren ouder dan 14 jaar moeten ook de jongeren zelf toestemming geven.

15 onafhankelijke Europese privacydeskundigen onderzoeken handelspraktijken van Amazon, Ebay, Google en Facebook

Grote internetbedrijven als Amazon, Facebook, Ebay, Google en Microsoft worden volgens de Europese Commissie sinds donderdag nauwlettend gevolgd door onafhankelijke Europese privacydeskundigen.

Doel van het onderzoek is bijvoorbeeld om de criteria te bepalen op basis waarvan aanbiedingen op de eerste plaatsen in een online zoekopdracht verschijnen.

Daarnaast moet worden nagegaan of bedrijven als Google en Amazon hun eigen producten bevoordelen, hoe zij omgaan met persoonsgegevens en of de reclame op transparante wijze wordt geëtiketteerd.

Europese Commissie

De Europese Commissie kondigde in april aan dat zij bedrijven zou dwingen om te voldoen aan de nieuwe Europese privacyregelgeving en zou toezien op eerlijker voorwaarden voor Europese leveranciers.

“Platforms en zoekmachines zijn belangrijke kanalen voor Europese bedrijven om consumenten te bereiken”, aldus Mariya Gabriel, commissaris voor digitale zaken, destijds. “Maar we moeten ervoor zorgen dat ze geen misbruik maken van hun macht om hun professionele gebruikers te schaden.”

Op basis van het advies van de deskundige zal binnen drie jaar worden onderzocht of verdere maatregelen nodig zijn.

De hele wereld kopieert de strenge Europese privacywetgeving. Diverse internationale voorbeelden op een rij

Nederlanders hebben bij onpopulaire Europese maatregelen al snel het idee dat Nederland het braafste jongetje van de klas wil zijn. Typisch Nederland, wordt er dan meteen geroepen. Maar is dat terecht?

Er wordt in heel Europa geklaagd over de nieuwe Europese privacyregels. Niet alleen in Nederland. Europese ondernemers en deskundigen vrezen dat Europa zichzelf met deze wet buitenspel zet in de concurrentie met de rest van de wereld.

Europese bedrijven zouden het nu moeilijk hebben om op te schalen. De GDPR zou de meest domme en bureaucratische regelgeving zijn die ooit is ontwikkeld.

De GDPR zou een van de redenen zijn waarom Europa zijn voorsprong op de Amerikaanse en Aziatische bedrijven verliest. Proliferatie van persoonlijke gegevens in de cloud is onvermijdelijk, zeggen Europese tegenstanders. Het zou niet goed zijn voor Europa om dit te belemmeren.

Is alle Europese kritiek terecht? Hoe staat Nederland er voor in vergelijking met de rest van Europa? Hoe staat de EU er voor in vergelijking met de rest van de wereld?

 

De meest recente cijfers over klachten die worden ingediend bij de diverse toezichthouders die in Europa de naleving van de Europese privacywet GDPR controleren wijzen uit dat er in heel Europa een forse groei is. In de meeste landen is sprake van minimaal een verdubbeling van het aantal klachten.

Helaas heeft de Nederlandse Autoriteit Persoonsgegevens nog geen actuele cijfers gepresenteerd.

Wel is duidelijk dat met name in Duitsland, Ierland, Groot-Brittannie en Frankrijk veel kordater wordt opgetreden door de toezichthouders. Wie het internationale nieuws volgt merkt al snel dat er in die landen veel opener over diverse acties en onderzoeken wordt gecommuniceerd dan in Nederland.

Europese privacyregels worden wereldwijd gekopieerd

Ondertussen wordt wel steeds meer duidelijk dat Europa een trend heeft gezet in de hele wereld. Wereldwijd zijn landen bezig om de Europese regels te kopieren. Het onderzoeksbureau Gartner concludeert dat de impact nu al globaal zichtbaar is.

GDPR VS: Consumer Privacy Act

De Verenigde Staten creëren momenteel geïnspireerd door de GDPR nieuwe privacywetten.

De California Consumer Privacy Act van 2018 geeft Californiërs dezelfde rechten als EU-burgers – in het bijzonder het Data Subject Access Request (DSAR).

In 2020 zijn organisaties die persoonsgegevens van Amerikaanse burgers beheren of verwerken, verplicht om op verzoek informatie over een klant of werknemer te verstrekken.

Net als de GDPR, vereist de aanstaande wetgeving van Californië niet dat de betrokkenen fysiek aanwezig moeten zijn in de staat.

De Amerikaanse staat Colorado overweegt ook een eigen privacywet. Het wetsvoorstel beoogt de definitie van “persoonlijke informatie” uit te breiden en stelt wijzigingen voor met betrekking tot de timing van de melding van inbreuken.

De US Consumer Privacy Act geeft bedrijven 30 dagen de tijd om een overtreding te melden nadat deze zich heeft voorgedaan. De Europese wet geeft echter slechts een tijdspanne van 72 uur.

GDPR Verenigd Koninkrijk: Data Protection Bill

Groot Brittannie valt tot de Brexit definitief is nog onder de Europese privacywet. Maar na de afsplitsing van de EU willen de Britten de Europese privacyregels wel graag houden. Er wordt gewerkt aan een eigen wet die op sommige punten nog wel eens strenger zou kunnen zijn dan de GDPR.

De Britse Information Commissioner’s Office (ICO) heeft opgemerkt dat gegevensbescherming en privacy in het Verenigd Koninkrijk nu tot de top van het publieke bewustzijn behoren.

GDPR Argentinië: toezichthouder Dirección Nacional de Protección de Datos Personales komt met nieuwe wet

Argentinië heeft sinds 2000 de wet nr. 25.326 inzake de bescherming van persoonsgegevens. Het geboorteland van koningin Máximà wordt sinds 2003 in overeenstemming met EU-richtlijn 95/46/EG door de Europese Unie beschouwd als een veilige haven voor de uitwisseling van persoonsgegevens.

Argentinië is van plan om deze wet op de bescherming van persoonsgegevens in de loop van 2018 te vervangen door een nieuwe wet die veel overeenkomsten heeft met de GDPR.
De Argentijnse toezichthouder Dirección Nacional de Protección de Datos Personales heeft een wetsontwerp opgesteld en deze in 2017 bij het Nationaal Congres ingediend.
Argentinië wil zo zijn status als veilige haven voor Europese ondernemers en consumenten behouden.

GDPR Brazilië: net als in Europa hoge boetes

Brazilië heeft privacywetgeving die lijkt op de Europese GDPR. Buitenlandse bedrijven die data verwerken van Brazilianen moeten zich houden zijn aan de Braziliaanse wet. Bovendien bevat de wet een aantal specifieke verplichtingen of beperkingen voor buitenlandse bedrijven.

Personen behouden het eigendom en de controle over hun persoonsgegevens en zij moeten, net als in de EU, in principe voorafgaand toestemming geven voordat hun gegevens kunnen worden verwerkt of gedeeld.

Ook de “doelgebondenheid” uit de GDPR heeft zijn weg gevonden in de Braziliaanse wet: elke verwerking van gegevens moet beperkt zijn tot het specifieke doel dat aan de gebruiker wordt medegedeeld op het ogenblik dat hij of zij toestemming geeft.

De wet geeft, net als de GDPR, bijzondere bescherming aan bepaalde gegevens die als “gevoelig” zijn gedefinieerd en ook hier is de opsomming dezelfde als onder GDPR: raciale en etnische achtergrond, religie, politieke meningen en voorkeuren, gegevens over gezondheid en seksuele geaardheid en genetische of biometrische gegevens.

Aangezien de Braziliaanse wet, net als de GDPR, in bijzonder hoge boetes voorziet (in het geval van Brazilië tot 2% van de groepsomzet in het afgelopen fiscale jaar met een maximum van omgerekend 10 miljoen euro) doen buitenlandse bedrijven die in Brazilië actief (willen) zijn er verstandig aan zich tijdig te informeren en waar nodig, net als onder GDPR in Europa, de nodige voorbereidende maatregelen te nemen.

GDPR Australië: Privacy Act

De Australische Privacy Act is, net als de GDPR, gericht op consistente privacyregelgeving in het hele land en dwingt een robuust nalevingsmechanisme af. Het heeft tot doel het vrije verkeer van informatie buiten de Australische grenzen te vergemakkelijken en de eerbiediging van de persoonlijke levenssfeer te waarborgen.

De doelstellingen vloeien voort uit de Australische privacybeginselen die verwerkingsverantwoordelijken verplicht om persoonlijke informatie op een “open en transparante manier” te beheren en om aan te tonen dat alle beginselen van de wet worden nageleefd.

Ondanks belangrijke verschillen in aspecten als meldingen van inbreuken, rapportageverplichtingen of de definitie van “ernstige schade” zijn de GDPR en de Australische regelgeving inzake gegevensbescherming een stap in dezelfde richting.

GDPR Japan: oprichting Personal Information Protection Commission

Japan ken sins 30 mei 2017 een hervormde privacywet die overeenkomsten heeft met de GDPR.

Met name de oprichting van de Personal Information Protection Commission in Japan, die zich bezighoudt met de vaststelling en handhaving van privacyregelgeving, is een aanzienlijke verbetering van het Japanse systeem van privacywetgeving.

GDPR Mexico: Federal Data Protection Law

Mexico’s “federale wet op de bescherming van persoonsgegevens die door particuliere partijen wordt toegepast” is bijna niet te onderscheiden van zijn Europese tegenhanger.

Mexico eist nu van de verwerkingsverantwoordelijken dat zij proactief aantonen dat zij de wetgeving inzake gegevensbescherming naleven. Mexico beschikt over procedures voor het meten van en reageren op nieuwe technologieën die de gebruikers aan risico’s blootstellen. Net als de EU eist Mexico ook dat de voor de verwerking verantwoordelijken technische en organisatorische maatregelen nemen en implementeren om persoonsgegevens te beschermen.

GDPR Canada: Personal Information Protection and Electronic Documents Act

Niet iedereen haast zich om een GDPR-lookalike te creëren. Canada houdt zich aan de normen van de Canadese Personal Information Protection and Electronic Documents Act.

Toch moeten Canadese bedrijven die gegevens van EU-burgers verwerken, zich aan de GDPR houden. De reden hiervoor is dat de Europese wetgeving, in tegenstelling tot de Canadese lokale wetgeving, de persoonsgegevens van EU-burgers zowel binnen als buiten de grenzen van de Unie beschermt.

Verantwoordingsplicht, toestemming, rapportage

De GDPR verandert de manier waarop wereldwijd zaken worden gedaan.

In landen die nog geen GDPR replica’s hebben ontwikkeld hebben bedrijven die gegevens van EU-burgers verwerken geen andere keuze dan toch te voldoen aan de EU-normen voor toestemming, gegevensportabiliteit, recht op uitwissing van gegevens en datalekprocedures.

Google overweegt Amerikaanse sites die Europese bezoekers vanwege GDPR weren te blokkeren. In Europa…

Sinds de invoering van de Europese privacywet GDPR kunnen Europeanen de Los Angeles Times niet meer lezen. De LA Times is een van de vele honderden Amerikaanse sites die voor Europeanen niet meer toegankelijk is.

 

Google wil de rollen nu omdraaien. Amerikaanse sites die niet voldoen aan de Europese privacyregels worden mogelijk binnenkort zelf geblokkeerd in Google.

John Mueller van Google liet op Twitter weten dat Google onderzoekt hoe met content die vanwege de GDPR geblokkeerd wordt voor Europeanen moet worden omgegaan.

 

Google vindt dat ze gebruikers nu een slechte gebruikerservaring biedt als ze na een zoekopdracht op een pagina terechtkomen die voor hen geblokkeerd is. “Daar moeten we een oplossing voor vinden.”

Voor veel Amerikaanse websites is het commercieel niet de moeite waard om te investeren in Europees privacybeleid. Daar zijn ze echter volgens de Europese privacywet wel toe verplicht als ze hun content ook in Europa aanbieden.

Als Google deze sites daadwerkelijk gaat blokkeren dan zal dat waarschijnlijk alleen in de Europese pagina’s van Google zijn.

Californië akkoord met nieuwe privacywet met grote impact voor de VS

De Amerikaanse staat California krijgt een eigen privacywet. Deze Consumer Privacy Act is unaniem aangenomen.

De wet is in een recordtijd opgesteld. De Californische overheid wil zo voorkomen dat er in november bij verkiezingen in de staat een initiatief kan komen waarin nog strengere regels kunnen worden geeist.

De Consumer Privacy Act is een afspiegeling van de onlangs goedgekeurde GDPR van de EU.

Californiërs kunnen straks net als Europeanen zien over welke personsgegevens bedrijven beschikken, ze kunnen eisen dat hun informatie wordt gewist, kunnen eisen dat deze niet wordt doorgegeven aan derden, en onder bepaalde omstandigheden zelfs kunnen vervolgen als deze niet op de juiste manier wordt behandeld.

De verordeningen beperken ook het weigeren van betekening of kennisgeving op grond van de onwil om persoonsgegevens te laten traceren.

De wet gaat volgens de de Democratische staatssenator Bob Hertzberg impact hebben op de hele VS. Hij verwacht dat andere staten de wet zullen overnemen.

De Consumer Privacy Act wordt pas in 2020 van kracht. Dat geeft technologiebedrijven een nog even tijd om tegen de regels in te lobbyen en mogelijk de zwaarste maatregelen uit te bannen.

Tegenstrijdig Europees beleid. Nu subsidie voor volgens GDPR ‘onveilige’ openbare WiFi hotspots

Bij Privacy Awareness trainingen, die in het kader van de Europese privacywet GDPR momenteel bij tal van organisaties gegeven worden, wordt voortdurend op de gevaren van datalekken door surfen via openbare WiFi hotspots gewezen.

Ondertussen heeft de EU nu subsidie beschikbaar voor de aanleg van nieuwe openbare WiFi hotspots. Gemeenten kunnen 15.000 Euro subsidie per WiFi hotspot krijgen.

Dat lijkt op tegenstrijdig verwarrend Europees beleid. Waarom subsidieert de EU openbare hotspots die ondernemers in verband met veiligheidrisico’s van de GDPR niet zouden moeten gebruiken?

En dan is er nog een pijnlijk betrouwbaarheidsdingetje voor de EU. De link in de officiële tweet van de Europese commissie voert naar de website WiFi4EU.eu. Er worden technische problemen gemeld.

 

 

Niet alleen de Autoriteit Persoonsgegevens legt hoge boetes op voor onjuiste algemene voorwaarden

Online ondernemers moeten bij het opstellen van de algemene voorwaarden voor hun website niet alleen rekening houden met de nieuwe privacywet AVG / GDPR, maar ook met andere regelgeving. Er zijn meerdere instanties die daar op toezien. Wie niet zorgvuldig aandacht besteedt aan de opzet van de algemene voorwaarden kan hoge boetes opgelegd krijgen.

Veel ondernemers denken dat het voorlopig nog wel mee zal vallen met de boetes die de Autoriteit Persoonsgegevens op zal leggen aan bedrijven die hun website niet op orde hebben. Zij vergeten echter dat er ook andere instanties zijn die momenteel al forse boetes opleggen aan bedrijven die hun zaken niet op orde hebben.

De Autoriteit Consument en Markt (ACM) heeft bijvoorbeeld in oktober 2016 Coolcat en vier andere webwinkels in de modebranche beboet voor in totaal EUR 590.000 omdat zij op hun websites consumenten onvoldoende informeerden over hun rechten wanneer zij binnen de bedenktijd van hun aankoop willen afzien.

De ACM was op de onjuiste informatie gewezen door consumentenorganisaties die op hun beurt weer waren ingeschakeld door consumenten.

De rechtbank in Rotterdam heeft op 19 april 2018 deze boetes bekrachtigd.

De uitspraak van de rechtbank en de hoge boetes leren dat het voor ondernemers raadzaam is om deskundige hulp in te schakelen om hun algemene voorwaarden mee door te nemen.

Het is onverstandig om snel de algemene voorwaarden van een concurrent te kopiëren. Vertrouw ook niet blindelings op degene die uw website heeft gebouwd. Dat kan voor u duur uitpakken. Schakel iemand in die deskundig advies kan geven op het gebied van de privacywetgeving en weet met welke andere wet- en regelgeving in  uw branche ook rekening gehouden moet worden.

Bovendien kunnen er ook copyrights op algemene voorwaarden van concurrenten liggen als die zijn gemaakt door deskundige bureaus of advocaten.

GDPR Twitter: Nieuwe algemene voorwaarden en privacy policy

Twitter heeft zijn algemene voorwaarden en privacy policy in verband met de start van de nieuwe Europese privacywet GDPR / AVG aangepast.

PrivacyZone verzamelt alle teksten van pagina’s met nieuwe algemene voorwaarden, privacy policy en disclaimer van bedrijven. Deze verzameling van pagina’s kan voor organisaties en privacy managers een bron van inspiratie zijn. Daarnaast biedt de verzameling de mogelijkheid om te monitoren hoe vaak bedrijven hun voorwaarden aanpassen en of daaruit conclusies kunnen worden getrokken. We roepen lezers van PrivacyZone.nl op om ons voorbeelden van gewijzigde pagina’s met voorwaarden te sturen. Tip ons!

Nieuwe algemene voorwaarden en privacy policy Twitter

Wij geloven dat je altijd moet weten welke gegevens we over jou verzamelen en hoe we die gebruiken, en dat je hierover op een betekenisvolle wijze controle kan uitoefenen. Omdat we voortdurend streven naar transparantie, en als voorbereiding op de nieuwe wetgeving omtrent gegevensbescherming die volgende maand in werking treedt, werken we ons privacybeleid bij zodat jij de beste beslissingen kunt nemen over de gegevens die je met ons deelt.

Je zou ons nieuwe beleid helemaal moeten lezen, maar de belangrijkste wijzigingen zijn:
• Meer focus op de controlemogelijkheden die we je bieden over je persoonlijke gegevens;
• Meer focus op hoe Twitter jouw openbare gegevens breed en onmiddellijk deelt, onder meer via onze ontwikkelaarstools;
• Meer transparantie en controle over hoe we jouw gegevens delen met zakelijke partners; en
• Meer duidelijkheid over hoe we jouw gegevens delen om schade te voorkomen, aan de wet te voldoen, om het publieke belang te dienen en om Twitter veilig en open voor iedereen te houden.

We hebben ook onze algemene voorwaarden bijgewerkt zodat we gemeenschappelijke voorwaarden hebben voor zowel Twitter als Periscope, en om te verduidelijken dat je rechten moet hebben met betrekking tot de content die je deelt op onze diensten. We moedigen je aan beide documenten volledig te lezen, en met vragen contact met ons op te nemen zoals beschreven in ons privacybeleid. De nieuwe algemene voorwaarden en het nieuwe privacybeleid gaan in op 25 mei 2018. Door op of vanaf die datum gebruik te maken van onze diensten, ga je akkoord met deze wijzigingen.

Vergeet niet dat je de controlemogelijkheden die we bespreken in ons bijgewerkte beleid kan gebruiken om de gegevens die we over jou verzamelen, of de manier waarop we die gebruiken, te beperken. Je kan er ook voor kiezen om je Twitter-account te deactiveren. Jij hebt het laatste woord over of en hoe we jouw persoonlijke gegevens verwerken.

Bedankt voor je vertrouwen en voor het feit dat je Twitter gebruikt!

Twitter

Amazon Web Services klaar voor GDPR. Amazon lanceert diverse nieuwe beveiligingstools

Amazon Web Services (AWS)  zegt dat al zijn producten en diensten volledig voorbereid zijn op de General Data Protection Regulation (GDPR).

Amazon zegt dat persoonlijke data versleuteld wordt. Het bedrijf garandeert bij verwerkte data voortdurende integriteit, vertrouwelijkheid, beschikbaarheid en veerkracht. Ook kunnen gegevens in het geval van een technische fout snel hersteld worden, terwijl activiteiten regelmatig getest en geëvalueerd worden om de veiligheid te garanderen.

Amazon AWS biedt gebruikers de mogelijkheid om personeel te trainen op weg naar GDPR-compliance met diensten van het bedrijf.

Het Professional Services-team biedt een GDPR-workshop aan, een tweedaags programma dat gepersonaliseerd wordt op de specifieke behoeftes van de gebruikers. Het bedrijf houdt tijdens zijn AWS Summits in Europese landen, San Francisco en Tokio presentaties over GDPR.

Een aanvulling hierop zijn de teams voor compliance, databescherming en security die Europese klanten helpen bij het draaien van gereguleerde workloads in de cloud. Bedrijven kunnen via hun AWS Account Manager de opties hiervoor bespreken.

De aankondigingen bestaan naast een reeks AWS-diensten die geschikt zijn voor klanten die op GDPR-compliance hameren.

Amazon GuardDuty biedt intelligente bedreigingsdetectie en voortdurende monitoring.

Amazon Macie is een machine learning tool die ondersteuning biedt bij het bekijken en beveiligen van persoonlijke data in Amazon S3.

Met de Amazon Inspector krijgen bedrijven een geautomatiseerde security-beoordelingsdienst erbij die applicaties overeenstemt met de geschikte beveiligingsrichtlijnen.

Tot slot is er nog AWS Config Rules, een monitoringsdienst die cloud-resources beoordeelt op compliance met security-regels.

Duitsland en Oostenrijk lopen voorop bij invoering Europese privacywet

Duitsland en Oostenrijk lopen in Europa voorop bij de implementatie van de nieuwe strenge Europese wetgeving rond privacy- en gegevensbescherming. De Europese Commissie maant de overige lidstaten haast te maken.

Nederland ligt volgens het ministerie van Justitie en Veiligheid  ‘op schema’.

De Algemene Verordening Gegevensbescherming (AVR) treedt werd in mei 2016 aangenomen door de EU. De nieuwe privacywet treedt op 25 mei 2018 officieel in werking.

Overheden, bedrijven en andere organisaties worden verplicht aan te tonen welke persoonsgegevens ze verzamelen en hoe die worden gebruikt en beveiligd.

De EU-landen moeten ervoor zorgen dat hun toezichthouders – in Nederland de Autoriteit Persoonsgegevens – voldoende zijn toegerust. Daarvoor, en voor training van databeschermingsspecialisten, stelt Brussel in totaal 3,7 miljoen euro beschikbaar. Dergelijke functionarissen worden verplicht voor grote bedrijven.

Regels datalekken aangescherpt

Gebruikers moeten inzicht kunnen krijgen in wat voor informatie over hen is opgeslagen en daar controle op kunnen uitoefenen. Wie wil dat een bedrijf geen informatie meer over hem of haar verwerkt, krijgt het recht die data te laten schrappen. De regels rond datalekken worden ook aangescherpt.

Privacywet geldt ook voor Facebook

De wetgeving geldt ook voor bedrijven van buiten de EU met Europese gebruikers, zoals Facebook. Op overtreding staan boetes tot 4 procent van de wereldwijde omzet, met een minimum van 20 miljoen euro, op te leggen door de nationale toezichthouders. De vervanging van de lappendeken van nationale wetten door één Europese wet zou jaarlijks naar schatting 2,3 miljard euro besparen.

‘We hebben moderne regels nodig om te reageren op nieuwe risico’s, dus roepen we alle EU-overheden, toezichthouders en bedrijven op de resterende tijd efficiënt te gebruiken en voorbereid te zijn voor de grote dag’, aldus EU-commissaris Vera Jourova (Justitie).