De Nederlandse Autoriteit Persoonsgegevens, afgekort AP, start een onderzoek naar Nederlandse bedrijven met een PSD2-vergunning die betaalrekeninginformatie verwerken. De AP wil te weten komen of die bedrijven zich bewust zijn van de privacyrisico’s die de verwerking van rekeninggegevens met zich meebrengt en of ze voldoen aan de privacyregelgeving. Zoals bekend staat PSD2  voor de tweede Payment Services Directive, een Europese richtlijn voor betaaldienstverleners. Deze richtlijn regelt onder meer dat niet alleen banken maar ook andere partijen toegang tot een betaalrekening mogen krijgen, mits een klant daar uitdrukkelijk mee heeft ingestemd. Nederlandse bedrijven die dit willen, moeten daarvoor een vergunning hebben van De Nederlandsche Bank. Het is heel simpel, met een PSD2-vergunning én uitdrukkelijke instemming van de rekeninghouder, kunnen bedrijven toegang krijgen tot de betaalgegevens van bankklanten.  Continue reading…

Het Information Commissioner’s Office (ICO) heeft Facebook £ 500.000 beboet wegens ernstige inbreuken op de wetgeving inzake gegevensbescherming. In juli heeft het ICO een Notice of Intent uitgegeven om Facebook te boeten als onderdeel van een breed onderzoek naar het gebruik van data-analyse voor politieke doeleinden. Na beraadslagingen van het bedrijf te hebben overwogen, heeft de ICO de boete aan Facebook uitgevaardigd en bevestigd dat het bedrag – het maximum dat is toegestaan ​​volgens de wetten die golden op het moment dat de incidenten plaatsvonden – ongewijzigd blijft. De volledige boeteregeling is hier te lezen.
Continue reading…

Bakir Lashkari
De implementatie van de Algemene verordening gegevensbescherming (AVG) heeft het thema databescherming bij veel organisaties hoog op de bedrijfsagenda gezet. Maar compliance is daarmee nog niet zover:  “it is a long way to go”.  Er is nog veel onduidelijkheid over de Algemene verordening gegevensbescherming (AVG). Nu, medio september 2018 maken we even een tussenbalans op. Voor de hoofdonderwerpen uit de AVG zijn inmiddels op Europees niveau richtlijnen / guidelines samengesteld. Deze  geven adviezen over de uitleg van belangrijke onderdelen van de wet, maar ze zijn niet in alle situaties doelmatig hanteerbaar. Daarnaast zijn nog niet alle guidelines in het Nederlands voorhanden.
Continue reading…

De Algemene Verordening Gegevensbescherming (AVG), de nieuwe Europese privacywet, staat volop in de belangstelling. Over de AVG wordt veel zinnigs gezegd, maar de claims van adviseurs en privacyconsultants moeten genuanceerd worden bekeken. De AVG is een complexe wet, die op basis van algemene uitgangspunten en principes is geformuleerd. Bovendien is specifieke deskundigheid op automatiseringsgebied geboden om de noodzakelijke informatiebeveiliging te kunnen beoordelen, aldus Jan de Heer van NOREA, de Nederlandse beroepsorganisatie van IT-auditors. NOREA heeft een Privacy Control Framework (PCF) ontwikkeld dat kan worden gebruikt voor een objectieve beoordeling van de manier waarop in een organisatie met persoonsgegevens wordt omgegaan.  Continue reading…

Yves Van Couter, Stephanie De Smet & Garance Dekeyser
In haar arrest van 5 juni 2018 had het Europese Hof van Justitie een duidelijke boodschap voor de eigenaars van Facebook Fan Pagina’s: door uw keuze om het sociale netwerk van Facebook te gebruiken voor marketingactiviteiten, bent u samen met Facebook mede verantwoordelijk voor het verwerken van persoonsgegevens van de bezoekers van uw Fan Pagina. Dit arrest heeft er voor gezorgd dat een aantal bedrijven de drastische beslissing genomen hebben om hun Facebook Fan pagina’s af te sluiten. Anderen worstelen ermee om een pragmatische oplossing te vinden voor deze nieuwe (gezamenlijke) verantwoordelijkheid.
Continue reading…

Onlangs is een wetsvoorstel door het ministerie van Financiën bekendgemaakt dat grote impact zou kunnen hebben op de privacy van burgers. Het gaat om de wijziging van de Wet op het financieel toezicht in verband met het via een centraal elektronisch systeem geautomatiseerd verstrekken en ontsluiten van identificerende gegevens door banken en betaaldienstverleners (Wet verwijzingsportaal bankgegevens).
Continue reading…

Michel Klompmaker
Afgelopen donderdag vond in het fraaie Louwman Museum in Den Haag de vierde editie plaats van het Nationaal Privacy Event met meer dan 300 bezoekers.  Daar sprak de directeur van de AP, de heer Aleid Wolfsen de bezoekers toe via een op 23 mei opgenomen videoboodschap. De AP mag vanaf 25 mei 2018  in principe als toezichthouder gaan  handhaven. We zijn benieuwd wat de eerste concrete stappen van de AP zullen zijn. Daarnaast staat het burgers vrij om in contact te treden met de AP en meldingen te doen op basis van de Europese wetgeving rond GDPR. Het is nog niet zeker waar de focus van de AP naar toe gaat, naar de overheidsinstanties of naar enkele grotere bedrijven, die nog op geen enkele manier stappen gezet hebben… Zo heeft, en dit is slechts een voorbeeld, volgens insiders een grote gemeente als Amsterdam, haar zaakjes nog lang niet op orde. Daarnaast kijken we met spanning uit naar wat de AP gaat doen met de serieuze meldingen van individuele burgers. Die moeten natuurlijk eerst aldaar gefilterd gaan worden, want er zullen ongetwijfeld ook veel meldingen tussen zitten van allerlei querulanten, die via deze indirecte manier hun recht willen gaan halen. Maar er is meer te doen over de AP…
Continue reading…

Eward Driehuis
Europa wil de data en de privacy van de burger beter beschermen. Niemand kan daar iets op tegen hebben. Pas als twee Europese regelgevingen elkaar lijken tegen te spreken, zoals bij GDPR en PSD2, wordt het een heikele zaak. Dan is het goed om terug naar de essentie te gaan: wie zijn data goed kan beveiligen en toch transparant kan maken voor de betrokken partijen, is niet alleen compliant maar ook en vooral gewoon goed bezig.
Continue reading…

Thomas Kramps is werkzaam voor de Amerikaanse onderneming Netskope en verzorgde onlangs samen met DataExpert een lunchworkshop tijdens het Risk & Compliance Jaarcongres met als titel «Data Compliancy in de cloud, hoe gaat u om met GDPR?» Hij sprak daar onder andere over de rol van Netskope als CASB , hetgeen staat voor Cloud Access Security Broker. In het interessante interview laat Thomas zich ook uit over de risico’s en spreekt over de problematiek van de eigendom van data in de cloud in relatie tot de Europese privacy wetgeving, in het Engels beter bekend als GDPR.

Enkele dagen geleden heeft de kortgedingrechter van de Nederlandstalige rechtbank van eerste aanleg Brussel de sociale netwerksite Facebook bevolen om, binnen de 48 uur na de betekening van het bevel, te stoppen met het volgen en registreren van het internetgebruik van personen die surfen vanuit België en zich niet registreerden als lid van Facebook. Als Facebook dit bevel zou negeren, moet het per begonnen 24 uur van niet-naleving een dwangsom van 250.000 € betalen aan de Belgische Privacycommissie.
Continue reading…