Sommige bedrijven willen het heus goed doen. Om zich te kunnen houden aan complexe privacywetgeving vragen zij aan het daarvoor bestemde loket, de Autoriteit Persoonsgegevens (AP), wat daar precies voor nodig is. Maar volgens privacyexperts blijft een duidelijk antwoord van de toezichthouder vaak uit. De AP neemt over het algemeen een gesloten houding aan, zo bleek ook maandag uit een evaluatie van de toezichthouder.
Als bedrijven niet weten wat er van hen wordt verwacht, kan een plotselinge miljoenenboete hard aankomen. Een onvoorspelbare toezichthouder zit het uiteindelijke doel, betere bescherming van de privacy van Nederlandse burgers, dan in de weg.
En de AP is niet alleen lastig te bereiken bij vragen, de toezichthouder laat het volgens de evaluatie ook vaak na om zogeheten ‘handhavingsbeleid’ te publiceren. In dergelijke publicaties verduidelijken toezichthouders de wet voor bedrijven en organisaties, zodat zij beter begrijpen wat er van hen wordt verwacht.
Een niet-communicatieve toezichthouder, die soms hard toeslaat, creëert angst en onzekerheid. Dat is niet goed voor de privacy in Nederland, en ook niet voor het ondernemingsklimaat. De privacy is gediend met een Autoriteit Persoonsgegevens die hard is voor de bedrijven die een loopje nemen met de privacy
Naar aanleiding van de evaluatie belooft de nog jonge toezichthouder beterschap. De privacy is gediend met een Autoriteit Persoonsgegevens die hard is voor de bedrijven die een loopje nemen met de privacy. Maar wie het juiste pad wil bewandelen, moet eerst weten waar het loopt. Bedrijven zullen de toezichthouder ook hard nodig hebben om dat te ontdekken.
Alles bij de bron; FD
De Nederlandse Belastingdienst maakte gedurende twintig jaar gebruik van een risicoanalysesysteem dat niet in overeenstemming was met de privacywetgeving.
Het Risico Analyse Model (RAM) stamt uit 1998 en is een database die de Belastingdienst gebruikt voor het opsporen van fraude. Het werd kort voor de invoering van de AVG buiten gebruik gesteld, maar bleek al in strijd met de eerdere privacywet. Bovendien werd gegevens langer bewaard dan toegestaan.
"Op basis van het onderzoek van KPMG concludeer ik dat het gebruik van RAM niet voldeed aan de destijds geldende (wettelijke) eisen op het gebied van privacywetgeving, beveiligingsvoorschriften en de Archiefwet. Ik stel vast dat de Belastingdienst RAM niet had moeten en mogen gebruiken en ik betreur dat. De Autoriteit Persoonsgegevens (AP) heeft aangegeven verder onderzoek te verrichten naar RAM.
Vanaf 2018 zijn verbeteringen doorgevoerd die leiden tot een betere balans tussen toezicht en gegevensbescherming. Desondanks is er nog het nodige werk te verzetten, getuige ook het recente advies van de AP." De volledige brief is hier te vinden.
Alles bij de bron; Dutch-IT-Channel [Thnx -2- Niek]
Als er één symbool is voor het gapende gat tussen de werkelijkheid en het verhaal van Pieter Omtzigts NSC, werkelijk een pronkstuk van verkeerde prioriteiten, dan zijn dat wel de plannen voor een constitutioneel hof.
En dat zeg ik als voorstander van constitutionele toetsing. Ook mij is het een doorn in het oog dat je in Nederland, anders dan elders in Europa, niet gewapend met de grondwet onder je arm naar de rechter kunt, wanneer je in je grondrechten wordt aangetast of wanneer de politiek een wet heeft aangenomen die hiertegen ingaat. Onze grondwet verbiedt het rechters nota bene om aan deze grondwet te toetsen.
Wij Nederlanders leggen ons lot dus in handen van politici en moeten maar hopen dat ze ons behoorlijk behandelen. Dat valt weleens tegen. In het toeslagenschandaal werden het recht op behoorlijk bestuur, het recht op privacy en het recht op gelijke behandeling geschonden. En dat is slechts het beruchtste voorbeeld. Duo, het UWV, de politie, talloze handhavers en andere overheidsinstanties hebben grondrechten geschonden.
Doordat er geen rechtszaken kunnen worden gevoerd op basis van de grondwet is er ook geen jurisprudentie, geen berichtgeving, geen bruisend maatschappelijk debat. We missen een grondwettelijke cultuur.
Juridisch worden we gered door het Europees Verdrag voor de Rechten van de Mens, waar rechters wél aan toetsen. Maar dat stelt slechts minimumeisen. En vergeet niet: verdragen kun je opzeggen.
Dit wordt acuut wanneer een uitgesproken antirechtsstatelijke partij aan de macht komt, of partijen die gemakkelijk tot aantasting van de rechtsstaat overgaan wanneer dat ze uitkomt.
Een rechtsstaat is niet van papier, hij bestaat uit menselijk gedrag. Natuurlijk zijn wetten en regels belangrijk. Maar meer dan een afspraak is het niet. Wanneer genoeg mensen, of genoeg machtige mensen, simpelweg besluiten om die te breken, is van de rechtsstaat niets over. We zien het in de VS, we zien het in Hongarije, we zien het deels hier.
De vorm van constitutionele toetsing waar uitgerekend dit kabinet aan werkt, met een constitutioneel hof, kan juist een gevaar worden voor onze grondrechten. Toetsing hoeft namelijk niet met een speciaal hof. Het vorige kabinet was bezig met plannen om de rechters die we al hebben aan de grondwet te laten toetsen. Verstandiger, omdat je niet alles overhoop trekt. En vooral omdat je geen nieuwe en kwetsbare benoemingsprocedure hoeft op te tuigen, die in de verkeerde politieke constellatie ertoe kan leiden dat een constitutioneel hof een werktuig van onderdrukkers wordt.
Zo ging het in Polen, waar de PiS-partij de benoemingsprocedure in zijn greep kreeg en de ernstigste schendingen van grondrechten door het constitutioneel hof werden gesanctioneerd. Inmiddels zijn in Polen weer grotendeels rechtsstatelijke politici aan de macht, maar het Grondwettelijk Hof is nog altijd gevuld met PiS-loyalisten. De regering negeert het hof daarom maar.
Als je zo’n hof per se wilt, is de vraag hoe de leden worden benoemd de allerbelangrijkste. In de brief van 25 kantjes die de NSC-bewindslieden Uitermark en Struycken fabriceerden, staat hier één alinea over. ‘Er zal een balans moeten zijn tussen waarborgen voor het voorkomen van politieke druk én betrokkenheid van de andere staatsmachten.’ Dit ‘vergt nadere uitwerking’, staat er droogjes.
Alles bij de bron; Volkskrant
Privacy First stuurde in september vorig jaar een uitvoerige brief aan de Tweede Kamer waarin werd verzocht niet akkoord te gaan met de openbaarheid van het Nederlandse ‘register van uiteindelijk belanghebbenden’ (UBO-register). De brief werd verstuurd in verband met de behandeling van het wetsvoorstel dat de toegang tot het register regelt.
Op 18 februari jl. is het wetsvoorstel inzake toegang tot het UBO-register aangenomen door de Tweede Kamer met enkele amendementen. Er is een amendement aangenomen inhoudend dat het ontwerp voor de AMvB of de wijziging daarvan voorafgaand aan vaststelling aan het parlement wordt overgelegd. In een tweede amendement is opgenomen dat als een private partij op grond van legitiem belang toegang krijgt, de UBO door de Kamer van Koophandel wordt geïnformeerd over de inzage en over het doel van die inzage. In een derde aangenomen amendement is geregeld dat de minister van Financiën binnen twee jaar na inwerkingtreding van de nieuwe regels het parlement informeert over ‘de doeltreffendheid en de effecten van deze wet in de praktijk’.
Het is positief dat de Tweede Kamer aandacht heeft gehad voor voorkoming van misbruik van de persoonsgegeven van UBO’s en dat het onderwerp terug zal komen op de agenda. Dat neemt echter niet weg dat Privacy First van mening is dat buitengewoon kritisch naar de Europese toegangsregels moet worden gekeken.
Privacy First zal dit onderwerp daarom kritisch blijven volgen, in lijn met onze vroegere rechtszaak over het UBO-register.
Alles bij de bron; PrivacyFirst
De gemeente Amsterdam stopt vanwege privacyrisico's een pilot met Microsofts chatbot Copilot, zo laat de Vereniging van Nederlandse Gemeenten (VNG) weten.
Copilot kan bij het doorzoeken of samenvatten van documenten en e-mails allerlei gegevens verwerken. Deze gegevensverwerking moet aan wet- en regelgeving voldoen, bijvoorbeeld op het gebied van privacy, aldus de VNG. SLM Rijk (Strategisch Leveranciersmanagement Microsoft) voerde onlangs een Data Protection Impact Assessment (DPIA) naar Microsoft Copilot uit. Bij een DPIA worden de privacyrisico's van bepaalde projecten of toepassingen in kaart gebracht en oplossingen aangedragen om die te verhelpen.
De privacytoets van SLM Rijk toonde een aantal risico's aan die vooral te maken hebben met een gebrek aan transparantie. "De geïdentificeerde risico’s maken dat deze technologie op dit moment niet veilig en juridisch verantwoord binnen onze organisatie kan worden toegepast. Daarom hebben we besloten onze pilot met Microsoft Copilot stop te zetten en de technologie voorlopig niet te implementeren."
Alles bij de bron; Security
Het kabinet wil dat OV-boa's sneller toegang krijgen tot het rijbewijzenregister voor het uitvoeren van identiteitscontroles. Oorspronkelijk was het de verwachting dat het proces om dit te regelen, vanwege 'privacy- en uitvoeringsvraagstukken', tot begin 2027 zou duren. Het kabinet heeft echter twee besluiten genomen om toegang tot het rijbewijzenregister sneller te realiseren, zo liet minister Madlener van Infrastructuur en Waterstaat eind november weten.
"OV-boa’s hebben momenteel toegang tot identiteitsgegevens uit de Basisregistratie Personen en kunnen zo de identiteit van reizigers vaststellen. Omdat de registratie geen pasfoto’s bevat, moet de boa bij twijfel de politie oproepen. Dit kost tijd en capaciteit. Door OV-boa's toegang tot het rijbewijzenregister te geven kunnen die, wanneer een reiziger een rijbewijs bezit, ook met pasfoto’s zelf de identiteitscontrole uitvoeren, zonder de politie erbij te hoeven oproepen, merkte de bewindsman op.
Het vorige kabinet had besloten om de toegang tot het rijbewijzenregister voor private boa’s later in de tijd te regelen. Madlener maakte in november bekend dat hij het traject voor toegang voor OV-boa’s parallel zal laten lopen aan het traject voor boa’s die voor publieke werkgevers werkzaam zijn.
Ook wordt er gelijk gestart met het beleidsmatige en juridische traject om tot een concept Algemene Maatregel van Bestuur (AMvB) te komen om OV-boa’s zo snel mogelijk toegang te kunnen geven tot het rijbewijzenregister. "De haalbaarheid blijft wel afhankelijk van de voortvarende behandeling en toetsing door onder andere de Autoriteit Persoonsgegevens en de Raad van State op het gebied van uitvoerbaarheid en privacy." aldus Madlener.
Staatssecretaris Jansen van Infrastructuur en Waterstaat kwam gisteren met een brief aan de Tweede Kamer waarin hij kort ingaat op de voorgenomen verstelling om OV-boa's toegang tot het rijbewijzenregister te geven en dat dit de nodige voeten in de aarde heeft. "Toegang verlenen tot bijzondere persoonsgegevens vergt tijdrovende processen omdat wetgeving op het gebied van privacy hoge eisen stelt." Er is dan ook nog geen datum genoemd wanneer de toegang geregeld zou moeten zijn.
Alles bij de bron; Security
Logius heeft 800.000 gebruikers van MijnOverheid een brief gestuurd waarin het vraagt om een e-mailadres op te geven. Via MijnOverheid kunnen burgers op hun eigen account overheidscommunicatie ontvangen, persoonlijke gegevens inzien en lopende zaken bij de overheid bekijken. Daarnaast wordt ook getoond met welke organisaties informatie uit de Basis Registratie Personen (BRP) wordt gedeeld.
Elke Nederlander van 14 jaar of ouder heeft een account op MijnOverheid. De Berichtenbox op MijnOverheid fungeert als 'digitale brievenbus' en maakt het mogelijk om berichten van overheidsinstanties te ontvangen en versturen.
Het is mogelijk om bij het activeren van het MijnOverheid-account een e-mailadres op te geven. "Heeft u nieuwe post in uw Berichtenbox? Als u e-mailmeldingen aanzet, ontvangt u een e-mail als u een nieuw bericht ontvangt. Ook krijgt u een herinnering als er ongelezen post in uw Berichtenbox zit", aldus de uitleg van Logius. Zo'n 800.000 MijnOverheid-gebruikers hebben geen e-mailadres opgegeven.
Logius heeft deze gebruikers nu een brief gestuurd waarin ze worden gevraagd alsnog een e-mailadres op te geven. "Het kan natuurlijk een bewuste keuze zijn om geen e-mailnotificaties te willen ontvangen, maar van zo’n 800.000 mensen is het niet zeker of het om een bewuste keuze gaat. Deze mensen hebben geen e-mailadres ingevuld of hebben hun e-mailadres nooit bevestigd", zo laat de instantie verder weten.
Alles bij de bron; Security
Hierbij bied ik u mijn reactie aan op de vragen die zijn gesteld in het Verslag vanhet Schriftelijk Overleg (SO) over het besluit gegevensverwerking doorsamenwerkingsverbanden (Kamerstuk 35447, nr. 28) en de nahangprocedurevoor drie artikelen van het Besluit gegevensverwerking doorsamenwerkingsverbanden (Kamerstuk 35447, nr. 30).
De Minister van Justitie en Veiligheid,
Bron; RijksOverheid
Staatssecretaris Struycken (Rechtsbescherming) reageert op de motie van het Tweede Kamerlid Ceder.
De motie verzoekt om onderzoek naar een manier om het recht op gegevensverwijdering zo toegankelijk mogelijk te maken. Bijvoorbeeld door standaard elke 18-jarige het aanbod te geven om alle gegevens te verwijderen zodat ze met een schone lei kunnen beginnen....
....De AP geeft op haar website duidelijke informatie en handvatten ten aanzien van verzoeken om gegevensverwijdering. Zo wordt onder meer beschreven wanneer het verwijderen van gegevens wel en niet mogelijk is en hoe organisaties moeten omgaan met een verzoek om verwijdering.
Daarnaast is op de website van de AP een voorbeeldbrief voor het doen van een verzoek tot het verwijderen persoonsgegevens te vinden.
De AVG biedt dan ook een evenwichtig juridisch kader met betrekking tot het verwijderen van persoonsgegevens, waaronder een specifieke regeling ten aanzien van minderjarigen en hun positie binnen de informatiemaatschappij.
De AP maakt met de voorlichting op haar website bovendien een laagdrempelige en toegankelijke uitoefening van het desbetreffende recht mogelijk. Ik meen dat hiermee voldoende tegemoet wordt gekomen aan de gedachte die aan de motie ten grondslag ligt.
Alles bij de bron; RijksOverheid
Persoonlijke gegevens kunnen vandaag de dag eenvoudig misbruikt worden. Met slechts een profielfoto van social media kan iemand al een vals paspoort aanmaken of toegang krijgen tot gevoelige informatie.
Mostapha is zich als geen ander bewust van deze risico’s. Hij werkt als senior privacy jurist bij de IND en adviseert over het veilig houden van de persoonsgegevens van aanvragers en medewerkers. ‘Het beschermen van privacy is een kwestie van respect en vertrouwen. Iedereen moet erop kunnen rekenen dat hun gegevens in goede handen zijn, zeker als je al in een kwetsbare positie zit.’
‘Misschien herinner je je nog dat het ministerie van Buitenlandse Zaken een boete van kreeg van de Autoriteit Persoonsgegevens?’ vraagt Mostapha. ‘Ze informeerden hun klanten onvoldoende over wat er met hun persoonsgegevens gebeurde. Dat was voor mij een wake-up call. Ik realiseerde me dat we bij de IND ook beter moesten kijken naar hoe we onze aanvragers informeerden, als we zo’n boete wilden voorkomen.’
‘Ik ontdekte dat asielaanvragers tijdens het aanmeldgehoor vaak niet wisten wat er met hun gegevens gebeurde. Daarom stelde ik voor standaardinformatie toe te voegen aan het proces, waarin wordt uitgelegd welke gegevens we verzamelen, waarom dat gebeurt en wat de rechten van de aanvrager zijn. Daar was aanvankelijk weerstand tegen en uiteindelijk vonden we de oplossing door te verwijzen naar een online privacyverklaring en in het format van het aanmeldgehoor een korte tekst toe te voegen.’
‘Door die aanpak is de IND nu volledig transparant over de verwerking van persoonsgegevens tijdens een aanmeldgehoor’, gaat Mostapha verder. ‘Ik ben er trots op dat ik niet alleen fundamentele rechten van de aanvrager bescherm, maar ook bijdraag aan het vertrouwen in de overheid. Ik geloof dat iedereen recht heeft op transparantie en veiligheid als het gaat om hun gegevens. Privacy is een recht, geen gunst. Daar zou niemand voor moeten vechten.’
Alles bij de bron; RijksOverheid