Europa

Datum laatste wijziging: 23 januari 2021  |  Trefwoorden: ,

Inhoud

  1. Privacy medewerker straks verplichting?
  2. Mag de baas met je meegluren?
  3. General Data Protection Regulation (GDPR)
  4. Privacywetgeving bepaalt toekomst financiële sector
  5. Op naar nieuwe Europese privacywetgeving
  6. Kunnen Europese Privacywaakhonden blaffen?
  7. Acht EU-landen missen deadline privacywet
  8. Dag van de privacy
  9. Guidelines van European Data Protection Board (EDPB)
  10. Grenzen EU weer open tijdens corona? Let op privacy!
  11. Opslag persoonsgegevens in VS door uitspraak Hof verboden
  12. Nieuwe Europese guidelines over datalekmeldingen
NB: Meer informatie over Europa treft u aan in 'Veranderingen / Europa'

Privacy medewerker straks verplichting?

De Europese Unie (EU) wil de privacy van personen beter beschermen en heeft daarom het plan om voor de verwerking van persoonsgegevens extra regels in te voeren. Hierdoor moet u mogelijk per 2016 een werknemer in dienst hebben die erop toeziet dat uw organisatie op de juiste manier met persoonsgegevens omgaat.

Veel organisaties verwerken persoonsgegevens. Om de privacy te kunnen waarborgen, regelt de Wet bescherming persoonsgegevens (Wbp) hoe organisaties moeten omgaan met persoonlijke informatie van werknemers, klanten, patiënten en relaties. De Europese Algemene verordening gegevensbescherming is een aanvulling hierop. Dit besluit treedt op 27 mei 2016 in werking, organisaties hebben tot 27 mei 2918 de tijd zich hieraan aan te passen. Een van de gevolgen hiervan is dat u mogelijk een functionaris voor de gegevensbescherming moet aanstellen.

Het plan is om organisaties hiertoe te verplichten als zij:
  • een overheidsinstelling zijn, of;
  • minimaal 250 werknemers in dienst hebben, of;
  • gegevens verwerken van meer dan 5.000 personen, of;
  • bijzondere persoonsgegevens verwerken. Dit zijn persoonsgegevens over iemands godsdienst/levensovertuiging, ras, politieke voorkeur, seksuele leven, gezondheid, lidmaatschap van een vakbond en strafrechtelijk verleden.

Mag de baas met je meegluren?

Mag een werknemer een privébericht onder werktijd en mag je baas dan meekijken en erger, hem ontslaan? Ja, in sommige gevallen wel, aldus een oordeel van het Europees Hof voor de Rechten van de Mens (EHRM). Het ging om een zaak van een Roemeense werknemer die in 2007 werd ontslagen, omdat hij met zijn zakelijke privéberichten verstuurde. Volgens het Hof is het niet onredelijk dat een werkgever wil nagaan of werknemers hun taken uitvoeren onder werktijd en op werkcomputers.

Heeft deze uitspraakgevolgen voor Nederland? Waarschijnlijk niet want Nederland kent voor dit soort zaken al de nodige regels.

General Data Protection Regulation (GDPR)

Het Europese parlement, de EU-raad en de EU-commissie hebben op 15 december 2015 ingestemd met Europa's nieuwe General Data Protection Regulation (GDPR). Dit betekent de grootste verandering in de regelgeving voor de gegevensbescherming sinds de opkomst van het internet. De GDPR is van belangrijke invloed op iedere organisatie die omgaat met gegevens van Europese oorsprong van welke grootte of waar ter wereld dan ook.

Naast de GDPR is/wordt 'Persoonlijk Herleidbare Informatie (PHI)' van kracht'. Met PHI wordt makkelijk inbreuk gemaakt op 'het recht om vergeten te worden',' in andere woorden: als een werknemer niet meer in het bedrijf werkt, moeten na x periode zijn personele gegevens zijn vernietigd.

NB: Nederland bijt het spits af wat betreft de EU Network and Information Security Directive door de Wet Bescherming Persoonsgegevens (Wbp) uit te breiden met de Meldplicht Datalekken. De nieuwe Meldplicht Datalekken is per 1 januari 2016 van toepassing op bedrijven, instellingen en overheden die persoonsgegevens verwerken. De meldplicht verplicht datalekken te melden bij de Autoriteit Persoonsgegevens

Meer informatie kan de 'Autoriteit Persoonsgegevens' u leveren.

Privacywetgeving bepaalt toekomst financiële sector

De mate waarin financiële instellingen in de toekomst gegevens over klanten met elkaar mogen combineren, bepaalt de toekomst van de financiële sector. De vraag is in welke mate dit vanuit privacy-oogpunt toegestaan zal worden. Ook de mate van coördinatie binnen Europa zal zijn stempel drukken op hoe de financiële sector eruit gaat zien. Op basis van deze twee factoren onderscheidt het Centraal Planbureau (CPB) vier mogelijke toekomstscenario's. Zo is het in de toekomst mogelijk dat het financiële systeem wordt gedomineerd door nationale banken; door grote Europese banken; door (eenvormige) grote internationale technologiebedrijven of door een diversiteit aan technologiebedrijven.

Op naar nieuwe Europese privacywetgeving

De Algemene Verordening Gegevensbescherming (AVG) oftewel de implementatie van de General Data Protection Regulation (GDPR) treedt op 25 mei 2018 in werking. De AVG gaat de huidige wetgeving omtrent persoonsgegevens, de Wet bescherming persoonsgegevens (Wbp), vervangen.

De AP (Autoriteit Persoonsgegevens) heeft de 10 meest belangrijke stappen in kaart gebracht:
  1. Bewustwording in de organisatie. De relevante mensen in de organisatie (zoals beleidsmakers) moeten op de hoogte zijn van de nieuwe privacyregels.
  2. Rechten van betrokkenen. Organisaties moeten zorgen dat mensen hun rechten kunnen uitoefenen. Dat zijn de al bestaande rechten, zoals het recht op inzage en verwijdering van hun gegevens. Er zijn ook nieuwe rechten zoals het recht op dataportabiliteit, of wel het recht in om persoonsgegevens te ontvangen die een organisatie van hen heeft, deze zelf op te slaan of door te geven aan een andere organisatie. Ook kunnen werknemers bij de AP klachten indienen over de manier waarop de werkgever met hun gegevens omgaat.
  3. Overzicht verwerkingen. Organisaties moeten documenteren welke maatregelen getroffen zijn op het gebied van gegevensbescherming. Per categorie van gegevens moet duidelijk zijn welke wettelijke grondslag hieraan ten gronde liggen.
  4. Privacy impact assessment (PIA). Werkgevers kunnen verplicht worden een PIA uit te voeren. Het gaat hier om het in kaart brengen van de privacy risico’s van een gegevensverwerking. Tevens wordt verlangd maatregelen te nemen om de risico’s te verkleinen.
  5. Privacy by design & privacy by default. Privacy by design houdt in dat bij het ontwerpen van producten en diensten ervoor gezorgd wordt dat persoonsgegevens goed worden beschermd. Privacy by default houdt in de werkgever organisatorische maatregelen moet nemen om ervoor te zorgen dat alleen persoonsgegevens verwerkt worden die noodzakelijk zijn voor het specifieke doel dat men wil bereiken.
  6. Functionaris voor de gegevensbescherming. Er moet een functionaris gegevensbescherming (privacy officer) worden aangesteld. Deze functionaris ziet toe op de naleving van de privacy-wetgeving, informeert en adviseert, is de aanspreekpersoon voor de toezichthouder en voert risicoanalyses uit.
  7. Meldplicht datalekken. De AVG stelt strengere eisen aan de eigen registratie van de datalekken die zich in uw organisatie hebben voorgedaan. U moet alle datalekken documenteren. Met deze documentatie moet de AP kunnen controleren of aan de meldplicht wordt voldaan.
  8. Bewerkersovereenkomst vanaf 25 mei 2018 Verwerkersovereenkomst. Als de gegevensverwerking zijn uitbesteed aan een bewerker (ook wel verwerker genoemd) moet worden beoordeeld of de overeengekomen maatregelen in bestaande contracten met de bewerkers nog steeds toereikend zijn en voldoen aan de vereisten in de AVG. Zo niet, dan moeten tijdige noodzakelijke wijzigingen worden aangebracht.
  9. Leidende toezichthouder. Als de organisatie vestigingen in meerdere EU-lidstaten heeft, of hebben de gegevensverwerkingen in meerdere lidstaten impact, dan hoeft de werkgever met slechts één privacytoezichthouder zaken te doen. Dit wordt de leidende toezichthouder genoemd. Geldt dit voor uw organisatie, bepaal dan onder welke privacytoezichthouder u valt.
  10. Toestemming. De werkgever moet van alle betrokkenen toestemming krijgen om hun persoonsgegevens te verwerken. Ook moeten betrokkenen deze toestemming weer kunnen intrekken.
Tenslotte kan de AP “phishing”-aanvallen uitvoeren. Dat betekent dat aantallen medewerkers een nepmail ontvangen, waarin geprobeerd wordt hen te verleiden om een online vragenlijst in te vullen waarin ze gevoelige informatie moeten prijsgeven, e.d.

Kunnen Europese Privacywaakhonden blaffen?

Europese privacywaakhonden gaan samen een strategie ontwikkelen voor het omgaan met sociale media die persoonlijke gegevens verzamelen en gebruiken. Aanleiding is het datalek bij Facebook waardoor gebruikersgegevens in handen kwamen van data-analysebedrijf Cambridge Analytici.

De werkgroep van Europese databeschermingsautoriteiten (WP29) heeft dat besloten, Nederland wordt daarin vertegenwoordigd door de Autoriteit Persoonsgegevens. De WP29 liet weten de onderzoeken van nationale waakhonden, onder leiding van het Britse Information Commissioner's Office, voluit te steunen.

Op 25 mei treedt de Algemene Verordening Gegevensbescherming (GDPR) in werking. De WP29 wordt dan omgedoopt tot Europees Toezichthouder voor Gegevensbescherming en belooft de toepassing van de wet scherp in de gaten te houden. Facebookbaas Mark Zuckerberg sprak zich dinsdag positief uit over de nieuwe wetgeving. Verantwoordelijk EU -commissaris Vera Jourova zei woensdag blij verrast te zijn door de steun van Zuckerberg. (Bron: Europa Nu, 12 apr. 2018)

Red.: Dat de waakhonden het kunnen is zeker, maar gaan ze ook werkelijk blaffen? Daar is een spreekwoord voor 'Tussen doen en zeggen lange mijlen leggen''.

Acht EU-landen missen deadline privacywet

Acht van de 28 EU -landen zijn niet op tijd met het omzetten van de nieuwe Europese wetgeving rond privacy- en gegevensbescherming in nationale wetten. De in 2016 aangenomen Algemene Verordening Gegevensbescherming (GDPR) wordt op 25 mei van kracht.

België, Bulgarije, Cyprus, Griekenland, Hongarije, Litouwen, Tsjechië en Slovenië missen de deadline zeker, zei EU-commissaris Vera Jourova (zelf Tsjechise) tegen journalisten. Zes andere landen hebben hun zaakjes eind mei of begin juni op orde.

De wetgeving geldt ook voor bedrijven van buiten de EU met Europese gebruikers, zoals Facebook. Op overtreding staan boetes tot 4 procent van de wereldwijde omzet, met een minimum van 20 miljoen euro. Jourova denkt dat de GDPR de kans op misbruik minimaliseert. ,,De sancties zijn afschrikwekkend.’’ Zij hoopt dat de wetgeving een wereldwijde standaard zet. (Bron: Europa Nu, 22 mei 2018),

Dag van de privacy

Op 28 januari 2020 is het weer 'Dag van de privacy', voor de 14e keer om precies te zijn. Deze dag is in 2007 door de Raad van Europa in het leven geroepen om burgers te informeren over hun rechten bij het gebruik van persoonsgegevens door bedrijven en overheden. Maar de dag is ook bedoeld om organisaties aan te sporen dataprivacy serieus te nemen en persoonsgegevens beter te beschermen.

Guidelines van European Data Protection Board (EDPB)

De European Data Protection Board (EDPB)* heeft guidelines (Ned.: richtsnoeren) opgesteld over de manier waarop overheden binnen de Europese Economische Ruimte (EER) persoonsgegevens kunnen delen met overheden buiten de EER. De openbare consultatie loopt tot en met 6 april 2020 en heeft als doel om de guidelines waar nodig aan te vullen en te verrijken om deze zo praktisch mogelijk te laten zijn.

Specifiek gaan de guidelines over de volgende 2 internationale ‘doorgifte- instrumenten’:
  1. Een juridisch bindend en afdwingbaar instrument tussen overheidsinstanties of –organen (Art. 46 lid 2 sub d AVG).
  2. Bepalingen die moeten worden opgenomen in administratieve regelingen tussen overheidsinstanties of –organen, waaronder afdwingbare en effectieve rechten van betrokkenen (Art. 46 lid 3 sub b AVG).
(Bron: Autoriteit Persoonsgegevens, 9 maart 2020)

Grenzen EU weer open tijdens corona? Let op privacy!


* Het EDPB zal het centrum vormen van het nieuwe landschap van gegevensbescherming in de EU. Het zal ervoor zorgen dat de wetgeving inzake gegevensbescherming in de hele EU consequent wordt toegepast en werkt aan een doeltreffende samenwerking tussen de DPA's. De raad zal niet alleen richtsnoeren geven over de interpretatie van kernbegrippen van de AVG, maar ook worden opgeroepen om te beslissen door bindende beslissingen over geschillen over grensoverschrijdende verwerking, waardoor een uniforme toepassing van de EU-regels wordt gewaarborgd om te voorkomen dat dezelfde zaak mogelijk anders wordt behandeld in verschillende rechtsgebieden.

Grenzen EU weer open tijdens corona? Let op privacy!

Steeds meer grenzen tussen EU-lidstaten gaan weer open, nu de coronamaatregelen versoepeld zijn. De lidstaten kunnen hierbij extra maatregelen willen nemen. Bijvoorbeeld coronatests aan de grens, een verplichte medische verklaring of verplicht gebruik van een corona-app. De Europese privacytoezichthouders waarschuwen dat de EU-lidstaten hierbij het recht op privacy moeten blijven beschermen. En dat samenwerking tussen corona-apps in verschillende landen niet mag leiden tot schending van de privacywetgeving.

Dat stellen de EU-privacytoezichthouders in 2 verklaringen die ze aannamen tijdens een vergadering van de European Data Protection Board (EDPB) op 16 juni 2020.

Opslag persoonsgegevens in VS door uitspraak Hof ongeldig

Het Europees Hof van Justitie heeft het privacyschild-verdrag tussen de EU en de Verenigde Staten ongeldig verklaard. Privacyschild regelt het uitwisselen van persoonsgegevens tussen bedrijven in de Europese Unie en de VS. Volgens het Hof zijn persoonsgegevens van EU-burgers die in de Verenigde Staten zijn opgeslagen niet voldoende beschermd.

Het Hof constateert dat "de eisen inzake nationale veiligheid, het algemeen belang en de naleving van de Amerikaanse wetgeving voorrang hebben, waardoor inmenging mogelijk wordt in de grondrechten van de personen van wie persoonsgegevens naar de Verenigde Staten worden doorgegeven." Maatregelen om dergelijke inmenging tegen te gaan, zoals een ombudsman die de klachten van EU-burgers over de verwerking van persoonsgegevens door de Amerikaanse inlichtingen- en veiligheidsdiensten verwerkt, voldoen niet aan de vereiste juridische standaarden van de EU.

Naar aanleiding van het vonnis is ook Microsoft met een reactie ekomen. Het techbedrijf stelt dat de uitspraak geen gevolgen voor commerciële klanten heeft. Klanten kunnen nog steeds via de Microsoft-cloud data tussen de EU en VS uitwisselen. De modelcontractbepalingen blijven namelijk geldig, aldus het techbedrijf. Ook zegt Microsoft dat de uitspraak niets verandert aan de datastromen van de consumentendiensten. (Bron: Security.nl, 16 jul. 2020)

NB: Reactie Facebook 'Misschien dan maar weg uit Europa’.

Nieuwe Europese guidelines over datalekmeldingen

De European Data Protection Board (EDPB) heeft nieuwe guidelines over datalekmeldingen vastgesteld. De guidelines helpen organisaties bij de maatregelen die ze moeten nemen bij een datalek.

In de guidelines staat een lijst met veel voorkomende soorten datalekken. Zoals ransomware-aanvallen en zoekgeraakte of gestolen apparatuur. Per categorie staat aangegeven welke maatregelen een organisatie van tevoren had moeten nemen. En welke maatregelen de organisatie na het incident moet nemen. (Bron: Autoriteit Persoonsgegevens, 22 jan. 2021)