EU Privacy Protectors

27/04/2018

Deze week heeft de Autoriteit Persoonsgegevens haar jaarrapport 2017 uitgebracht. Hierin is een uitgebreid overzicht opgenomen van de beknopte activiteiten die de AP afgelopen jaar heeft uitgevoerd.

De Engelse Privacy waakhond ICO (440 FTE) publiceerde in juli 2017 haar jaarverslag over gebroken boekjaar 2016/2017. Een paar cijfers uit het jaarverslag ter illustratie: Wat handhaving voortdurende overtreding betreft: 23 boetes voor een totaalbedrag aan £1,923,000 voor marketing overtredingen, £1,624,500 euro in totaal aan boetes v.w.b. data breaches, 6 strafrecht veroordelingen voor het niet informeren van data subjects over een breach, 4 veroordelingen voor het niet reageren op informatie/inzage verzoeken, 11 veroordelingen voor onrechtmatig verkrijgen van privacy data en 5 waarschuwingen onder sectie 55 van de GDPR. 18.354 vragen en tips over mogelijke overtredingen waarbij 90% binnen 3 maanden verwerkt en gesloten kon worden.

De Franse Privacy waakhond CNIL (195 FTE) publiceerde recentelijk 2017 in a nutshell op haar website. Een paar cijfers ter illustratie: Wat handhaving voortdurende overtreding betreft: 83 vorderingen, 13 sancties uitgevaardigd, 9 waarschuwingen, 4 financiele sancties. 7703 vragen en tips over mogelijke overtredingen, 410 klachten over het uitgeschreven worden bij zoekmachines en 7909 onderzoeken verricht.

En dan nu de Nederlandse Privacy waakhond (117 FTE). Een paar cijfers uit het jaarverslag ter illustratie: Wat Handhaving voortdurende overtreding betreft; 20 procedures last onder dwangsom met bij 1 partij een invordering van €48.000.-, €0.- boetes (u leest het goed), 34 bezwaren tegen besluiten van de AP verwerkt, 18 beroepen tegen de besluiten op bezwaar, 9501 vragen en tips over mogelijke overtredingen en 658 mediacontacten.

Een duidelijk verschil in middelen is evident, de ICO is bijna 4 keer zo groot qua staffing maar dat is het VK ook qua inwoners. De Franse waakhond is bijna dubbel zo groot maar heeft wel 4 keer zoveel inwoners. De Nederlandse waakhond liet sporadisch haar tanden zien en heeft in 2017 in ieder geval niet gebeten ofwel boetes opgelegd.

Vanaf 25 Mei aanstaande echter, zullen de landelijke autoriteiten persoonsgegevens in Europa hun handhavingstanden moeten gaan laten zien. Dat zal beginnen met een dwangsom maar vervolgstappen zoals boetes zullen zeker volgen. Op geen enkele wijze zijn bovenstaande cijfers dan ook een garantie voor de toekomst of zullen slapende waakhonden niet alsnog wakker gemaakt worden.

Better safe than sorry is ook hier het credo. Zorg dat uw privacy zaakjes op orde zijn, voorkom een winkelhaak in uw broek en blijf uit de buurt van het hondenhok.



https://ico.org.uk/media/about-the-ico/documents/2014449/ico053-annual-report-201617-s12-aw-web-version.pdf

https://www.cnil.fr/en/cnils-facts-and-numbers

https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/ap_samenvatting_jaarverslag_2017.pdf

17/11/2017

10 STAPPEN OM ALS SCHOOL AAN DE AVG TE GAAN VOLDOEN.

Met de komst van de Algemene Verordening Gegevensbescherming (AVG) dragen schoolbestuurders meer verantwoordelijkheden om de persoonsgegevens van hun leerlingen goed te beschermen. De wet is al in werking getreden en zal per 25 mei 2018 ook echt gehandhaafd gaan worden door de Autoriteit Persoonsgegevens.

1, Zorg dat de medewerkers op de hoogte zijn van de AVG.
De directie, het management maar ook de docenten en ondersteunend personeel kunnen allemaal aan de basis liggen van een privacy lek. Het is daarom belangrijk de gevolgen van de wet en de mogelijke consequenties voor de school duidelijk te maken. Het voldoen aan de AVG zal behoorlijk wat tijd vergen van de school en haar medewerkers en dient derhalve tijdig gebudgetteerd en ingepland te worden. Ook de ouders dienen geïnformeerd te worden over de mogelijke consequenties. Dit dient tijdig te gebeuren en zeker niet NA 25 mei 2018.

2, Stel z.s.m. een Functionaris Gegevensbescherming (FG) aan.
Soms is een organisatie verplicht een FG aan te stellen. Het voldoen aan een van de drie genoemde vereisten is hiervoor al voldoende. Scholen zijn vrijwel allemaal wettelijk verplicht een FG aan te stellen. Een overkoepelende stichting kan een centrale FG aan stellen die voor alle scholen de werkzaamheden coördineert. Een FG kan in loondienst worden aangesteld of extern worden ingehuurd. De school dient aan de Autoriteit Persoonsgegevens te melden wie de FG voor de school is. Een FG is een gekwalificeerde functie met voldoende juridische, privacy en databescherming kennis en kunde.

3, Start met de privacy governance
Voldoen aan de AVG is niet voldoende, de Autoriteit Persoonsgegevens wil bewijs zien dat er pro-actief omgegaan wordt met de databescherming. Dit omvat onder andere het uitvoeren van een Privacy Impact Assessment, gegevensbescherming audits, privacy policy reviews en het opzetten en bijhouden van een verwerkingsregister.

4, Communiceer en informeer
Scholen zijn verplicht te melden aan personen van wie de gegevens bijgehouden wordt, welke informatie wordt verwerkt, waarom die data wordt verwerkt, waar die data wordt bewaard, hoe lang die data wordt bewaard met wie deze data gedeeld wordt. Tevens moeten die personen geïnformeerd worden over hun rechten omtrent deze gegevensverwerking. Als er in het proces iets wijzigt, de school besteed bijvoorbeeld een deel van de verwerking uit, dan dient het informeren opnieuw te geschieden en dienen deze personen hiertegen in bezwaar te kunnen gaan.

5, Vraag toestemming, wie zwijgt stemt toe gaat niet meer op
Dit onderdeel binnen de AVG is sterk aangezet. Bij geldige toestemming moet elke twijfel zijn uitgesloten. Foto’s en video’s waarbij personen herkenbaar in beeld zijn, zijn persoonsgegevens. Wil de school beeldmateriaal publiceren van een leerling van 16 jaar of ouder? Dan moet de leerling daarvoor zelf toestemming geven. Is de leerling jonger dan 16 jaar? Dan heeft de school toestemming nodig van zijn of haar ouder/voogd. Onder de AVG moet de school straks aan kunnen tonen dat ze een geldige toestemming van leerlingen en/of hun ouders heeft voor de publicatie van het beeldmateriaal. En het moet voor leerlingen en ouders net zo makkelijk zijn om de toestemming weer in te trekken als om de toestemming te geven.

6, Erken de rechten van de persoon en richt hiervoor de juiste processen in
De rechten van de datasubjects zijn onder de AVG sterk toegenomen. Zo kunnen personen wiens gegevens worden verwerkt gratis hun gegevens mogen inzien, laten corrigeren bij fouten, vergeten mogen worden uit de administratie, hun gegevens mee willen nemen naar een andere school. Zorg ervoor dat de digitale middelen die u als school gebruikt ook de mogelijkheden bieden om bovenstaande rechten uit te kunnen voeren.

7, Werk aan Privacy by Design en Default
Privacy by design houdt in dat u er al bij het ontwerpen van onderwijs producten en diensten voor zorgt dat persoonsgegevens goed worden beschermd. Maar bijvoorbeeld ook dat u niet meer gegevens verzameld dan noodzakelijk voor het doel van de verwerking. En dat u de gegevens niet langer bewaart dan nodig.
Privacy by default houdt in dat u technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat u, als standaard, alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat u wilt bereiken. Dit kunnen vinkjes op de website zijn die standaard aan staan en gegevens die u vraagt voor de nieuwsbrief.

8, Zorg dat ook leveranciers en verwerkers hun zaken op orde hebben
Ondanks dat de school de data niet altijd zelf verwerkt, ontslaat dat het schoolbestuur niet van hun verantwoordelijkheden. Dankzij het convenant Digitale Onderwijsmiddelen en Privacy 2.0 is het voor scholen eenvoudiger om afspraken te maken met leveranciers. Belangrijkste punt in het convenant is de rolverdeling: scholen hebben de regie op wat er gebeurt met de persoonsgegevens. Dit mag je niet overlaten aan een leverancier (een verwerker). De school beslist wat de leverancier wél en niet met de gegevens mag doen. Check of uw leverancier is aangesloten bij het privacy convenant, zorg dat er een model verwerkersovereenkomst is- of wordt afgesloten, controleer de bijlagen hiervan en onderteken alle benodigde documenten.

9, Internationaal data verkeer
Scholen moeten goed in kaart brengen of hun privacy data binnen de grenzen van de EU blijft. Het gebruik van cloud services, digitale fotoboeken, mobiele apps, nieuwsbrieven of alleen al een email zenden naar ouders of agenten in het buitenland kan mogelijk in strijd zijn met de AVG. Discussies spelen nog steeds over de geldigheid van Safe Harbour en Privacy Shield afspraken met de Verenigde Staten. Het is de verantwoordelijkheid van het schoolbestuur om te controleren of het gebruik van deze diensten is toegestaan.

10, Incidenten en Datalekken
Een beveiligingsincident is een gebeurtenis waarbij de mogelijkheid bestaat dat de beschikbaarheid, integriteit of vertrouwelijkheid van informatie of informatieverwerkende systemen in gevaar is of kan komen. Een datalek is een beveiligingsincident, waarbij gegevens verloren raken of onrechtmatig worden bewerkt (opgeslagen, aangepast, verzonden, enz.). Een school is verplicht binnen 72 uur een datalek te melden bij de Autoriteit Persoonsgegevens. De FG van de school dient tevens een incidentenregister bij te houden.

Tot slot
Bovenstaande stappen zijn een eerste aanzet om te komen tot AVG compliance. Het (bewust) niet voldoen aan de wet zal door de landelijke autoriteiten gegevensbescherming beboet kunnen worden tot een bedrag van 4% van de overkoepelende omzet of €20 miljoen euro. Mocht u in Oktober 2017 nog niet begonnen zijn dan kunt u maar beter snel starten. 25 mei 2018 komt sneller dan u denkt.

Mocht u verdere vragen hebben omtrent de AVG/GDPR of hulp nodig bij de implementatie dan kunt u mailen naar [email protected]

10/11/2017

EU Privacy Protectors welcomes dr. Paul Drake as partner to the company!

A Certified GDPR Practitioner with proven experience in driving Data Protection/Privacy compliance programmes. Particular expertise in synthesising Risk, Information Security and Data Protection requirements into a coherent business change initiative.

Paul has worked at GlaxoSmithKline (GSK) where he held several security roles including at Chief Officer level. Paul previously held principal security officer roles across several different industries and local government. He was one of the authors of the British Standard of Information Security (BS7799).

Paul has a PhD in Information Security and Social Sciences, an MSc in Supervisory Management, and is a Master Black Belt in Lean Six Sigma. He has lectured on Information Security, Strategic Planning and Corporate Competitiveness at MBA level.

19/10/2017

First Annual Review of the EU-U.S. Privacy Shield

The Privacy Shield is an arrangement for protecting the personal data of anyone in the EU when it is transferred to the U.S. for commercial purposes.

Yesterday the EU published its report on the adequacy of the EU-US Privacy Shield. As many Software Services are provided from US based organisations and data is therefore transferred from EU to US this is an important topic.

In general the outcome of the Commissions review is a positive one. It says that the Privacy Shield provides better monitoring and better ways for individuals to obtain redress.

However there is room for improvement, a few topics: US Companies should not be allowed to communicate to be certified unless the Department of Commerce process is finalised. These certified companies should be checked upon more regularly. A US ombudsperson should be appointed as well as an informal panel of DPAs to resolve complaints.

A more comprehensive update is found below:

European Commission - Press Release details page - European Commission - Fact Sheet Brussels, 18 October 2017 Today the European Commission publishes its first annual report on the functioning of the EU- U.S. Privacy Shield, the aim of which is to protect the personal data of anyone in the EU transf...

29/09/2017

Amsterdam, July 13th 2017 Three times is a charm but not when it comes to privacy protection. The Trump hotel chain’s security has been breached several times over the last years. It’s Ironic when you look back at the many times president nr. 45 accused Hillary Clinton of using an unsecured server a...