Nog niet gepubliceerd

1.1 Conclusie

In 2021 lag de focus van het interne toezicht op de naleving van de wet in de operationele processen en het verder inrichten van het toezicht. De wettelijke waarborgen voor het beschermen van persoonsgegevens die zijn gecontroleerd zijn aanwezig en functioneren voldoende in het primaire proces. Er zijn aanbevelingen voor verbetering van de (secundaire) processen gedaan.

Aandachtspunten om risico’s bij het verwerken van de passagiersgegevens te reduceren blijven, net als in 2020, het inrichten van de autorisaties, logging en opname van alle verwerkingsprocessen in TRIP. Het vastleggen van gegevensbescherming in en het in de lijn monitoren van organisatorische en technische maatregelen waaronder het uitvoeren van DPIA’s verdient de aandacht van de verwerkingsverantwoordelijke en de Passagiersinformatie-eenheid Nederland (hierna: Pi-NL) alsmede het tijdig betrekken van de FG bij zaken die de gegevensbescherming van passagiersgegevens kunnen raken.

Natuurlijk gaat er weleens iets anders dan gepland. Belangrijk is welke actie en reactie daaruit voortkomen. De acties en compliancebereidheid om passagiersgegevens te beschermen zijn in ruime mate aanwezig. Zoals in 2021 aangetoond is.

Het verwerken van bijzondere persoonsgegevens die direct of indirect leiden naar bijvoorbeeld gezondheid of etniciteit is verboden. In 2021 zijn gezondsheidsgegevens van sommige luchtvaartmaatschappijen wel ontvangen en door het filter gekomen. Het aanscherpen van het filter, door Justid, om te voorkomen dat zowel zij als Pi-NL bijzondere gegevens ontvangen en verwerken was noodzakelijk evenals het achteraf verwijderen van alle (bijzondere) gegevens die het filter niet tegenhield. API-gegevens mogen verwerkt worden. Deze ontbreken regelmatig in de push. De API-gegevens kunnen positief bijdragen aan het onnodig verstrekken van passagiersgegevens en daarmee aan het beschermen van passagiers en hun gegevens.

Alles bij de bron; RijksOverheid


 

Nog niet gepubliceerd

Justis, de overheidsorganisatie die de betrouwbaarheid van personen en organisaties beoordeelt gaat vanaf morgen bij VOG-aanvragen voor bepaalde beroepen ook standaard politiegegevens raadplegen. 

Een VOG is een verklaring waaruit blijkt dat iemands verleden geen bezwaar vormt voor het vervullen van een specifieke taak of functie. Justis behandelt jaarlijks rond de 1,4 miljoen VOG-aanvragen. Voor beroepen waarbij een hoge mate van integriteit is vereist wordt vanaf morgen de zogenoemde VOG politiegegevens ingezet. Het gaat bijvoorbeeld om bepaalde medewerkers bij de douane, een gevangenisbewaarder of een parketsecretaris bij het OM die strafzaken voorbereid.

Een VOG politiegegevens is een VOG, waarbij naast het strafblad ook altijd politiegegevens worden geraadpleegd en waarbij deze politiegegevens op zichzelf doorslaggevend kunnen zijn voor de weigering van de VOG. Ook als de persoon in kwestie verder geen strafblad heeft. Met de informatie uit de politiegegevens moet Justis beter kunnen beoordelen of er redenen zijn om een VOG politiegegevens niet af te geven.

Informatie van mensen die in de systemen staan als slachtoffer, aangever of getuige wordt niet meegewogen. Een enkele, eenvoudige staande houding of melding zullen de afgifte van een VOG politiegegevens niet in de weg staan. Naar verwachting zullen dit jaar ongeveer drieduizend VOG politiegegevens worden aangevraagd.

Alles bij de bron; Security


Nog niet gepubliceerd

Nota naar aanleiding van het verslag bij de wijziging van de Wet op de internationale bijstandsverlening bij de heffing van belastingen in verband met de implementatie van Richtlijn (EU) 2021/514 van de Raad van 22 maart 2021 tot wijziging van Richtlijn 2011/16/EU betreffende de administratieve samenwerking op het gebied van belastingen (PbEU 2021, L 104) (Wet implementatie EU-richtlijn gegevensuitwisseling digitale platformeconomie)....

...3.5 Bevoegdheden van belastingautoriteiten en gegevensbescherming

De leden van de fractie van de PVV vragen in hoeverre andere belastingautoriteiten, anders dan de Nederlandse Belastingdienst, bevoegdheden krijgen om op eigen initiatief in te grijpen bij Nederlandse burgers. Hierbij willen de leden van de fractie van de PVV tevens weten hoe wordt gewaarborgd dat er geen sprake zal zijn van machtsmisbruik door andere landen. Tevens vragen de leden van de fractie van de PVV hoe er wordt gewaarborgd dat de gegevens niet met derden, anders dan belastingautoriteiten, gedeeld worden. 

Wanneer Nederlandse burgers in het buitenland relevante activiteiten verrichten, zouden zij naar de belastingwetten van deze staten belastingplichtig kunnen zijn in die desbetreffende staat. Belastingautoriteiten in andere EU-lidstaten kunnen de gegevens die worden verzameld en uitgewisseld gebruiken om te bepalen of natuurlijke personen of entiteiten met relevante activiteiten in hun land belastingplichtig zijn, en zo ja voor welk bedrag. Verder regelt Richtlijn (EU) 2021/514 alleen de uitwisseling van informatie...

...Voor EU-lidstaten geldt dat de gegevens en inlichtingen onder de geheimhoudingsplicht vallen en de bescherming genieten waarin het nationale recht van de ontvangende EU-lidstaat met betrekking tot soortgelijke inlichtingen voorziet. Hierdoor is gewaarborgd dat de belastingautoriteiten van EU-lidstaten op een juiste manier omgaan met de gegevens van Nederlandse belastingplichtigen. In de Algemene wet inzake rijksbelastingen (AWR) is de geheimhoudingsplicht van de inspecteur geregeld. In de WIB is de geheimhoudingsplicht uit de AWR van overeenkomstige toepassing verklaard op inlichtingen die in het kader van wederzijdse bijstand van een andere bevoegde autoriteit zijn verkregen of verstrekt worden aan een bevoegde autoriteit. Voor de rapportages die zien op binnenlandse situaties geldt ook de geheimhoudingsplicht van artikel 67 AWR. In het geval van een gegevensinbreuk bij een EU-lidstaat kan Nederland onmiddellijk de uitwisseling van informatie schorsen...

...Verstrekken van gegevens aan derden is niet toegestaan onder de WIB en onder Richtlijn 2011/16/EU, met uitzondering van doorlevering aan een bevoegde autoriteit van een andere staat, maar alleen na toestemming van de verzendende staat...

...Doorlevering van gegevens aan derden is beperkt mogelijk, maar alleen voor zover de door te leveren gegevens niet herleidbaar zijn naar individuele
belastingplichtigen en voor zover de bevoegde autoriteiten van het verzendende en ontvangende land samen geconcludeerd hebben dat het delen van de gegevens geen impact heeft op de werkzaamheden van beide belastingdiensten.

Alles bij de bron; RijksOverheid


 

Nog niet gepubliceerd

Het is niet vanzelfsprekend dat het gebruik van Amerikaanse clouddiensten een privacyschending oplevert, zo stelt minister Yesilgöz van Justitie en Veiligheid. De bewindsvrouw reageerde op vragen over het onderzoek van de Haagse Privacy Company dat het gebruik van Microsoft Teams, OneDrive en SharePoint door de Rijksoverheid en universiteiten verschillende privacyrisico's met zich meebrengt en dat organisaties geen gevoelige of bijzondere persoonsgegevens via Teams mogen uitwisselen.

Volgens Yesilgöz is het van belang om te benadrukken dat het onderzoek (DPIA) niet aangeeft dat er geen gebruik meer gemaakt kan worden van Microsofts-clouddiensten.

Eén van de kritiekpunten van de Privacy Company was dat Microsoft moet bekendmaken wanneer end-to-end encryptie voor alle uitwisselingen binnen Teams beschikbaar is. Daarover laat de minister weten dat de Rijksoverheid bij Microsoft erop zal aandringen dat end to end encryptie voor groepsgesprekken in Teams wordt gerealiseerd, zodat het programma ook geschikt kan worden gemaakt voor het verwerken van bijzondere persoonsgegevens in het geval daarvoor een juridische grondslag aanwezig is bij de organisatie die Microsoft Teams inzet.

Alles bij de bron; Security


 

Nog niet gepubliceerd

Nft-marktplaats OpenSea heeft gebruikers gewaarschuwd dat van alle gebruikers de e-mailadressen zijn uitgelekt. OpenSea zegt te vrezen voor gerichte phishingaanvallen en roept gebruikers op om goed op mailings te letten die afkomstig lijken van OpenSea.

Het datalek kwam via de maildienst die OpenSea gebruikt. Een medewerker daarvan kon bij alle e-mailadressen van OpenSea-gebruikers en heeft die gedownload. Vervolgens heeft die medewerker de mailadressen verder gedeeld. Het is onbekend met wie. OpenSea heeft het incident bij opsporingsinstanties gemeld en doet onderzoek, onder meer samen met de maildienst. Er zijn verder geen details bekend over het datalek bij het bedrijf.

Alles bij de bron; Tweakers


 

Nog niet gepubliceerd

Menstruatieapps laten heel wat digitale kruimels achter en Surveillance capitalism teert op dat soort data, en dus moeten we voorzichtig met gegevens omgaan. Of ze vergiftigen. ‘Klein protest kan nuttig zijn, maar vooral collectieve en structurele acties zijn nodig.’...

...Wat valt er te doen, als je lijkt vast te zitten in een allesomvattend systeem dat niet enkel al je digitale acties en transacties bijhoudt? En wat als dat systeem ook bereid is om die gegevens door te verkopen aan de hoogste bieder, ongeacht hun intentie?

Door apps vol te spammen met onjuiste data zou ze de algoritmen, die rekenen op data om door te verkopen aan adverteerders, schaak zetten. Het is een methode die ook wel ‘datavergifting’ wordt genoemd. Onderzoekers van Northwestern University en de University of Minnesota beschreven de tactiek recentelijk in een paper over de methodes die mensen kunnen gebruiken om de machtsongelijkheid tussen techgiganten te herstellen....

....Of de tactiek van datavergiftiging gepast is in de context van inperkende reproductieve rechten, durf ik niet zeggen. Het is een kleine vorm van protest die, afhankelijk van de situatie en het risicoprofiel van eenieder, nuttig kan zijn. Kleine vormen van protest zijn belangrijk, maar collectieve en structurele acties zullen nodig zijn om ervoor te zorgen dat onze data niet langer zomaar in de handen van de hoogste bieder belanden.

Wel is de tactiek van datavergiftiging een welkome reminder dat de data-economie zonder ons allemaal niets waard is. Een beetje zoals een bos zonder bladeren.

Alles bij de bron; MO*
 

 

De Nederlandse Spoorwegen gaan live meekijken in treinen waar de hoeveelheid overlastmeldingen plotseling toeneemt. De directe aanleiding voor deze maatregel is een reeks incidenten in de trein rond Hoorn waarbij sprake was van seksueel grensoverschrijdend gedrag.

Tot dusver worden camera's in treinen alleen gebruikt om na een incident de dader te kunnen opsporen, maar de NS gaat nu ook preventief op specifieke trajecten controleren of de situatie in de trein veilig is. Vooralsnog werkt de proef voor het preventief meekijken via camera's alleen in Sprinters van het type SNG. De nieuwe Intercity's die door de NS zijn aangekocht krijgen deze functie ook.

Vanwege privacywetgevingen kan de NS overigens niet zomaar meekijken; er moet een aanleiding zijn, zo verzekert een woordvoerder. Alleen als er bijvoorbeeld meermaals op hetzelfde traject of op een specifiek tijdstip meldingen van seksueel grensoverschrijdend gedrag binnenkomen, kan de maatregel toegepast worden. Het vervoersbedrijf verwijst ook naar het meldnummer 06 13181318, waarmee treinreizigers via WhatsApp een melding van ongewenst gedrag kunnen maken.

Alles bij de bron; Tweakers


 

Amerikaanse staten die abortus verbieden, zouden privégegevens van apps kunnen gebruiken bij het vervolgen van vrouwen die toch een zwangerschap laten afbreken. ‘We verwachten dat techbedrijven dagvaardingen zullen krijgen voor de zoekgeschiedenis van burgers.’...

....De persoonlijke gegevens die allerlei apps verzamelen (zoals de locatiedata in Google Maps, de zoekgeschiedenis in een zoekmachine of zelfs menstruatiedata in een gespecialiseerde app als Flo) kunnen nu een groot risico vormen voor de gebruikers van die apps. Nu het landelijk recht op abortus inderdaad tot een einde komt, zijn die zorgen alleen maar groter geworden. 

Conservatieve staten zouden bij de techbedrijven kunnen aankloppen om de data van gebruikers op te vragen waarmee die staten bewijs tegen inwoners kunnen verzamelen van wie het vermoeden bestaat dat ze een abortus hebben laten uitvoeren.

Een aantal makers van apps die de cyclus bijhouden, wil niet wachten op het moment dat advocaten met een dagvaarding in de hand op de deur bonken en de gevoelige gegevens van klanten opeisen. Flo kondigde vrijdag al aan dat het met een speciale anonieme modus komt en het in Berlijn gevestigde Clue benadrukt  nog maar eens dat het altijd voor zijn gebruikers opkomt en nooit gegevens zal overhandigen, terwijl Natural Cycles net als als Flo een ‘totaal anonieme ervaring’ belooft.

Marijn Sax, onderzoeker aan het Instituut voor Informatierecht (IViR) van de Universiteit van Amsterdam, is niet echt onder de indruk van al deze verse beloften. De beloften die de appmakers doen op het gebied van privacy zijn volgens Sax onduidelijk, en áls ze al duidelijk zijn, worden ze lang niet altijd nagekomen.

‘Apps als Flo zijn helemaal ontworpen om de gebruiker een veilig, prettig en vertrouwd gevoel te geven. Maar dat is de buitenkant: ze zijn gemaakt om valse beloften te doen.’ Sax noemt dit problematisch, omdat veel consumenten de gevaren zullen onderschatten. En die gevaren zijn duidelijk: het verzamelen van gebruikersdata.

De onderzoeker vreest dat dit ook met de laatste beloften gewoon zo blijft. ‘Anonimisering is geen aan-en-uitknop, maar een schaal. We zullen moeten zien hoe anoniem die gezondheidsapps écht zullen worden.’

Alles bij de bron; Volkskrant


 

Subcategorieën

Schrijf je in op onze wekelijkse nieuwsbrief!

 

WeHebbenHetGeweten

SteunVrijbit

PTBanner  

PrivacyGuides

BvV

meldpunt misbruik identificatieplicht

BoF2019

Privacy Barometer

Liga voor mensenrechten

EP GegBesch 150

EP PNR 150

STT Logo

150PF150

 150PB150

150FHD150

150PMIO150

 150 QiY150

logo-IDnext

ikhebniksteverbergen