Zo’n 17% van de Belgische bedrijven was vorig jaar het slachtoffer van een succesvolle cyberaanval, zo blijkt uit onderzoek van Microsoft. Bedrijven maken zich dan ook terecht zorgen over de risico’s die cyberincidenten met zich mee kunnen brengen. Toch heeft 8 op de 10 paradoxaal genoeg geen plan om met een aanval om te gaan.

Tijdens deze opleiding,die we samen met Voka Oost-Vlaanderen organiseren, bekijken we de verschillende dreigingen, welke risico’s eraan verbonden zijn en hoe u uw bedrijf voldoende kan beschermen.

Op het programma staan:
• Het cybersecuritylandschap: dreigingen en risico’s.
• Beveiligingsmaatregelen a.d.h.v. praktische voorbeelden.
• Hoe sensibiliseer ik mijn medewerkers over de gevaren?
• Compliancy benadering: een wettelijk kader.
• Een vooruitblik: de toekomst van digitale veiligheid en privacy.

Wanneer?
Maandag 23 september 2019 van 13u30 tot 17u00 bij Voka Box in Gent

Inschrijven kan via Voka
Dit seminarie wordt georganiseerd in samenwerking met Voka. Inschrijven kan heel eenvoudig via hun website via deze link.
Indien je er niet bij kan zijn maar wel interesse hebt in deze topic dan kan je uiteraard altijd rechtstreeks contact opnemen met ons voor een vrijblijvend kennismakingsgesprek.
Tot gauw!

Eerder besliste het Hof van Justitie van de Europese Unie in zijn Wirtschaftsakademie Schleswig-Holstein arrest al dat de beheerder van een facebookpagina een joint-controller (gezamenlijke verwerkingsverantwoordelijke) van persoonsgegevens is samen met Facebook. Nu werd de vraag opgeworpen of een beheerder van een website waarop een facebook like-knop plug-in staat, ook een joint controller is.

Like-knop plug-in

De zaak betrof de website Fashion ID. Op deze website stond een externe like-knop plug-in van facebook. De bodemrechter had vastgesteld dat deze plug-in informatie verzamelde van alle bezoekers van de Fashion ID website, ongeacht of zij een account hadden bij facebook of niet.

Joint-controller

Om een joint-controller te zijn moet Fashion ID samen met facebook het doel en de middelen van de gegevensverwerking vaststellen. Hiermee bedoelen we: samen bepalen waarom en hoe de persoonsgegevens worden verwerkt. Het Hof besliste dat dit voor zowel de verzameling van de gegevens als het doorzenden ervan naar facebook het geval is. Op de verdere verwerking heeft Fashion ID geen invloed, noch is zij op de hoogte zelfs van doel en middelen van de verwerking en is zij aldus geen joint controller.

Rechtsgeldige verwerking

Een rechtmatige verwerking van persoonsgegevens vereist aanwezigheid van een rechtsgrond voor de verwerking, in casu zijn volgende gronden relevant: gerechtvaardigd belang in hoofde van de verwerkingsverantwoordelijke of toestemming van de betrokkene.
Indien men zich beroept op gerechtvaardigd belang verduidelijkte het Hof dat het belang moet bestaan in hoofde van elke joint-controller. Zo moet Fashion ID een gerechtvaardigd belang hebben om de gegevens te verzamelen en te verzenden en Facebook een gerechtvaardigd belang voor alle verwerkingshandelingen die het stelt.
Alternatief kan je ook de toestemming van de betrokken persoon voor de gegevensverwerking vragen. Ook hier moet Fashion ID afzonderlijk van Facebook de toestemming van de betrokken persoon vragen voor het verzamelen en verzenden van de gegevens en moet Facebook toestemming vragen voor alle verwerkingshandelingen die het verricht.
Hetzelfde geldt overigens ook voor de transparantieplicht die zowel op Fashion ID als op Facebook rust.

Gevolgen

Facebook zal waarschijnlijk dezelfde lijn als voorheen doortrekken en voor het gebruik van plug-ins een joint-controller overeenkomst invoegen in overeenkomsten (zie ook het joint controller addendum voor Facebook paginabeheerders) Het afsluiten van zo’n overeenkomst tussen de joint-controllers is immers vereist onder artikel 26 AVG.
Websites die plug-ins van facebook gebruiken moeten er dan ook rekening mee houden dat zij voor bepaalde verwerkingen van persoonsgegevens joint-controllers zijn.
Wij raden dan ook aan om in ieder geval de nodige informatie te verschaffen aan je websitebezoekers en te zorgen dat je over een nodige rechtsgrond beschikt voor die verwerking. Je kan hiervoor toestemming voor gegevensverwerking vragen aan jouw website-bezoekers of afwegen of je over een gerechtvaardigd belang beschikt om die gegevens te verwerken.

Heb je nog vragen over plug-ins of de GDPR in het algemeen, aarzel dan niet om ons te contacteren!

Gegevensbescherming in het licht van een no-deal Brexit

Op 23 juni 2016 stemde de bevolking van het Verenigd Koninkrijk over de gezamenlijke toekomst van het Verenigd Koninkrijk en de Europese Unie. Het referendum werd beslecht in het voordeel van diegenen die opteerden voor een zogenaamde Brexit, het uittreden van het Verenigd Koninkrijk uit de Europese Unie. Het uittreden zou op 29 maart 2019 om 23u lokale tijd moeten gebeuren, en vanaf 30 maart 2019 zou het Verenigd Koninkrijk geen deel meer uitmaken van de Europese Unie.

Er is evenwel nog steeds geen duidelijkheid op welke wijze deze uittreding zal gebeuren. Het Britse Lagerhuis raakt het maar niet eens over een Brexit-deal, waardoor de kans dat het Verenigd Koninkrijk de Europese Unie verlaat zonder deal niet onbestaande is. Wat betekent dit scenario eigenlijk voor gegevensbescherming en de transfer van persoonsgegevens van en naar het VK?

Verenigd Koninkrijk als derde-land

Het Verenigd Koninkrijk heeft in zijn European Union (Withdrawal) Act 2018 vastgesteld dat de Algemene Verordening Gegevensbescherming opgenomen zal worden in het nationale recht, in het geval van een no-deal. Dit betekent dat wat betreft de bescherming van persoonsgegevens voor inwoners van het VK dezelfde beschermingsstandaarden gehanteerd zullen worden. Op dit vlak wijzigt er vooralsnog niets.

De transfer van persoonsgegevens naar het Verenigd Koninkrijk wordt evenwel aan andere regels onderworpen, aangezien het VK geen lid meer zal zijn van de Europese Unie en gezien moet worden als een derde-land. De Algemene Verordening Gegevensbescherming wijdt een heel hoofdstuk aan de regelgeving omtrent de doorgiften van persoonsgegevens aan derde landen of internationale organisaties (Hoofdstuk V).

Transfers van persoonsgegevens naar derde landen zijn niet per definitie verboden, maar zijn slechts toegestaan indien de Europese Unie over genoeg garanties beschikt dat een zekere mate van gegevensbescherming voorzien kan worden. Dit is het geval indien er adequaatheidsbesluiten zijn uitgevaardigd door de Europese Commissie (art. 45), er passende waarborgen voorzien zijn (art. 46), er sprake is van bindende bedrijfsvoorschriften (art. 47) of er sprake is van specifieke situaties die afwijkingen toelaten (art. 49).

Adequaatheidsbesluit

Een adequaatheidsbesluit houdt in dat de Europese Commissie het derde land aanmerkt als een land met een passend beschermingsniveau. Er hoeven door een exporteur van gegevens geen extra waarborgen voorzien te worden. Een doorgifte van gegevens naar een land waarvoor een adequaatheidsbesluit geldt, wordt op deze wijze vergelijkbaar met de overdracht van gegevens binnen de Europese Unie. Dergelijk adequaatheidsbesluit bestaat (nog) niet voor het Verenigd Koninkrijk, aangezien dit niet nodig was.

Het is mogelijk dat de EU een adequaatheidsbesluit goedkeurt in de toekomst, al is het wat dat betreft nog koffiedik kijken. Het goedkeuren van een adequaatheidsbesluit zou hoe dan ook nog even op zich laten wachten, aangezien een procedure gevolgd moet worden waarbij verschillende instellingen betrokken zijn. Het moet voorgesteld worden door de Europese Commissie, vervolgens dient de EDPB hierover een opinie te formuleren, daarna dient goedkeuring  verleend te worden door afgevaardigden van de EU-landen en tenslotte moet het besluit aangenomen worden door de Europese Commissie. Zolang zo’n besluit niet bestaat voor het Verenigd Koninkrijk zal de overdracht van gegevens op een andere rechtsgrond moeten berusten.

Passende waarborgen

De overdracht van gegevens naar derde landen mag plaatsvinden indien er passende waarborgen worden geboden met betrekking tot gegevensbescherming en op voorwaarde dat de personen wiens gegevens verwerkt worden over afdwingbare rechten en rechtsmiddelen kunnen beschikken. Er bestaan verschillende instrumenten die garanderen dat er passende waarborgen voor handen zijn.

Bindende bedrijfsvoorschriften

Een eerste instrument is het gebruik van bindende bedrijfsvoorschriften (ofwel Binding Corporate rules). Ondernemingen die zich binnen eenzelfde ondernemingsgroep bevinden mogen hierbinnen gegevens uitwisselen, ook al bevinden niet alle ondernemingen zich op het grondgebied van de Europese Unie. Dit is evenwel enkel toegestaan indien er bindende bedrijfsvoorschriften voorhanden zijn en slechts indien ze in overeenstemming zijn met de Algemene Verordening Gegevensbescherming.

De bedrijfsvoorschriften moeten worden goedgekeurd via een omslachtige procedure door zowel de nationale bevoegde autoriteit als het European Data Protection Board (EDPB). Europese ondernemingen die samen in een ondernemingsgroep zitten met ondernemingen uit het Verenigd Koninkrijk kunnen dus op basis van deze bindende bedrijfsvoorschriften toch gegevens overmaken. Het is mogelijk dat voor een ondernemingsgroep reeds bindende bedrijfsvoorschriften golden en er dus geen nieuwe procedure tot goedkeuring moet worden ingesteld.

Standaard contractuele bepalingen

De overdracht van gegevens is ook toegestaan indien er gebruik wordt gemaakt van modelcontractbepalingen die zijn goedgekeurd door de Europese Commissie. De Europese Commissie heeft op dit moment drie categorieën van standaardbepalingen of modelcontracten goedgekeurd. Hier mogen door de partijen geen wijzigingen in aangebracht worden, al mogen ze wel worden opgenomen in een bredere overeenkomst.

Het gebruik van specifieke ad hoc contractuele bepalingen, als aanvullende wijzigingen van de standaardbepalingen, is ook toegestaan. Deze moeten echter wel goedgekeurd worden door de nationale gegevensbeschermingsautoriteit, nadat het EDPB hierover advies heeft gegeven.

Dit betekent dat Europese ondernemingen, willen ze gegevens overdragen naar het Verenigd Koninkrijk en in het geval er geen bindende bedrijfsvoorschriften voor handen zijn, hun bestaande contracten zullen moeten herzien en de standaardbepalingen in hun overeenkomst zullen moeten opnemen. Indien er geopteerd wordt om ad hoc contractuele bepalingen te voorzien dan zullen de gegevens pas overgedragen mogen worden nadat de ad hoc contractuele bepalingen zijn goedgekeurd.

Gedragscode of certificeringsmechanismen

Federaties of sectororganisaties kunnen ook gedragscodes of certificeringsmechanismen voorzien waarin naleving van de Algemene Verordening Gegevensbescherming voorzien wordt. Er zullen wel bindende en afdwingbare toezeggingen opgenomen moeten worden zodat de naleving ook effectief wordt verzekerd. Een grensoverschrijdende gedragscode zal goedgekeurd moeten worden door de Europese Gegevensbeschermingsautoriteit (EDPB).

Het uitwerken van gedragscodes, en de goedkeuring ervan is opnieuw gebonden aan een omslachtige procedure, waardoor dit nog niet meteen het meest flexibele instrument is om te voldoen aan de Algemene Verordening Gegevensbescherming.

Afwijkingen voor specifieke situaties

Tot slot zijn er nog verschillende afwijkingen die het mogelijk maken dat gegevens toch zullen worden overgedragen aan een derde-land zonder dat één van de hierboven beschreven instrumenten gebruikt moet worden.

  • Doorgifte is toegestaan wanneer een betrokken persoon expliciet instemt met de overdracht van persoonsgegevens nadat deze werd ingelicht over de risico’s van de overdracht;
  • Doorgifte is toegestaan indien ze noodzakelijk is voor de uitvoering (of het sluiten) van een overeenkomst tussen de betrokkene en de verwerkingsverantwoordelijke of voor de uitvoer van precontractuele maatregelen op verzoek van de betrokkene;
  • Doorgifte is noodzakelijk wegens zwaarwichtige redenen van algemeen belang;
  • Doorgifte is noodzakelijk voor het instellen of uitoefenen van een rechtsvordering;
  • Doorgifte is noodzakelijk in verband met dwingende en gerechtvaardigde belangen van de organisatie.

Deze afwijkingen zullen altijd geval per geval bekeken moeten worden. Het inwinnen van juridisch advies is aangeraden wegens de complexiteit van de materie.

Import van gegevens in de Europese Unie

De Europese Gegevensbeschermingsautoriteit heeft al laten weten dat er geen wijzigingen zullen optreden wat betreft de gegevensoverdracht van het VK naar de Europese Economische Ruimte, ook niet in het geval van een no-deal. Gegevens uit het VK zullen dus nog steeds mogen worden overgedragen zonder belemmeringen.

Wat kan u doen?

Het scenario van een no-deal Brexit is zeker niet uitgesloten. Het is dan ook ten zeerste aan te raden uw onderneming hierop voor te bereiden. Om blijvende naleving met de Algemene Verordening Gegevensbescherming te garanderen zijn er al verschillende stappen die u kan ondernemen.

Eerst en vooral: creëer een duidelijk overzicht wat betreft uw gegevensflow. Indien u gegevens deelt met het Verenigd Koninkrijk, ga dan na welk instrument het meest geschikt is om in overeenstemming te blijven met de Algemene Verordening Gegevensbescherming. Interne documenten, alsook de privacyverklaring zullen aangepast moeten worden om aan te duiden dat gegevens worden verzonden naar een derde land.

Om onzekerheden omtrent de correcte naleving van de Algemene Verordening Gegevensbescherming te verhelpen, kunt u ons kantoor steeds contacteren voor juridisch advies.

Wout Hendrick

 

Vorige maandag kon je op halfjaarlijkse Big Refresh van Voka van onze experte Justine Simal alles te weten komen over wat nu echt belangrijk is wanneer je als onderneming de GDPR wil implementeren. Het was een geslaagde infosessie met interessante vragen en gesprekken achteraf. Deelnemers deelden hun eigen GDPR ervaringen en vraagstukken met elkaar onder de moderatie van onze GDPR experte.

De GDPR blijft brandend actueel: de hype lijkt voorbij te zijn, maar vele praktische vraagstukken duiken nu pas op. Ondernemingen zien in dat de implementatie van de GDPR het ideale moment is om ook op andere punten orde op zaken te stellen en structuur te integreren en willen graag weten hoe ze dit moeten aanpakken.

De presentatie die Justine gaf kan je hier terugvinden. Deze biedt je informatie en inzichten en reikt je de handvaten aan om zelf aan de slag te gaan.

Wanneer je denkt dat een duwtje in de rug toch nuttig kan zijn en je bent geïnteresseerd in een persoonlijk gesprek om te kijken hoe iFORi jouw onderneming kan ondersteunen in het GDPR traject, neem dan gerust rechtstreeks contact op met Justine Simal via justine.simal@ifori.be.

De volgende editie van de Voka Big Refresh vindt plaats op maandag 16 oktober.

 

Nog niet helemaal mee met de GPDR? Op zoek naar praktische informatie? Kritisch en op zoek naar objectieve cijfers… wordt de GDPR soep wel zo heet gedronken als ze geserveerd wordt? Of wilt u uw eigen GDPR ervaringen en vraagstukken delen met andere ondernemers onder de moderatie van een GDPR experte? Dat kan op amper 2 uur tijd tijdens de ‘The Big Refresh’ van VOKA Oost-Vlaanderen

Tweemaal per jaar organiseert VOKA Oost-Vlaanderen ‘The Big Refresh’, een dag vol actua shots en sessies. Hun voorjaarseditie van 2019 gaat door op 4 februari en focust zich ook op de GDPR die nog steeds actueel blijft. VOKA wil naast informeren ook inspireren en daarom koppelt het ook een rondetafelgesprek aan deze sessie. De bedoeling is dat de deelnemers tijdens deze sessies hun eigen ervaringen delen met andere collega ondernemers.

IFORI verzorgt net zoals in 2017 de infosessie en GDPR experte Justine Simal zal ook het rondetafelgesprek modereren.

Interesse? Meer info kan je vinden op www.voka.be/bigrefresh en schrijf je gratis in!

Kan je niet aanwezig zijn op de infosessie maar heb je wel interesse om de presentatie te ontvangen of wens je een persoonlijk gesprek, neem gerust rechtstreeks contact op Justine Simal: justine.simal@ifori.be

De presentatie kan je ook hier vinden.

De Nederlandse overheid liet een DPIA (Data Protection Impact Assessment) uitvoeren op Microsoft Office ProPlus. Uit deze DPIA bleek dat Microsoft op grote schaal persoonsgegevens verwerkt over het gedrag van gebruikers. De verzameling van die persoonsgegevens gebeurt zonder dat de gebruiker hierover geïnformeerd wordt, zonder toestemming van de gebruiker, zelfs zonder dat de gebruiker dit kan uitschakelen of zelfs nog maar kan zien over welke gegevens het gaat.

Gegevens over gebruik Office

Microsoft slaat gegevens op van het gebruik van Word, Excel, Powerpoint en Outlook (zowel de online versies als de lokaal geïnstalleerde versies). Microsoft heeft een pilot lopende om de gegevens van die programma’s op te slaan in de Microsoft Cloud (via Sharepoint en OneDrive).

Microsoft verzamelt diagnostische gegevens over de handelingen van de gebruiker via ingebouwde telemetriesoftware. De verzamelde gegevens worden periodiek in een batch naar de servers van Microsoft in de US gestuurd. Bij online gebruik van diensten (bijvoorbeeld de online versie van Office 365) wordt het gebruik ook vastgelegd in de logbestanden van Microsoft zelf.

Het is echter niet duidelijk welke inhoud van bestanden met deze diagnostische gegevens worden opgeslagen. Zo blijkt dat deze diagnostische gegevens onder andere bevatten welke woorden voor en na een woord dat u wil vertalen komen. Microsoft heeft bijvoorbeeld ook aangegeven dat ze niet de inhoud van e-mails opslaat, maar de logbestanden van Microsoft geven wel de onderwerp-titels van e-mail weer. Voorlopig is het onmogelijk om als gebruiker te zien welke gegevens precies worden verzameld en doorgestuurd.

Onderhandelingen met de Nederlandse overheid

Gezien potentieel heel wat gegevens met een hoog risico op die manier door Microsoft worden verwerkt zonder toestemming of passende garanties is duidelijk dat er actie ondernomen moet worden. De Nederlandse overheid, die gebruik maakt van Microsoft en 300.000 gebruikers uitmaakt, is daarom in onderhandeling getreden met Microsoft om deze problemen te verhelpen.

Microsoft heeft naar aanleiding van de DPIA zero exhaust settings ontwikkeld, waardoor er zo geen telemetriegegevens meer zouden verzameld worden (als de zero exhaust settings aangezet worden). Deze initiatieven zijn wel een begin, maar er blijven nog een aantal problemen over, niet in het minst de reeds gedane verwerkingen van persoonsgegevens.

Wat te doen?

Theoretische technische maatregelen

Ervan uit gaand dat de optie ooit toegankelijk wordt, kan de office beheerder de zero exhaust settings toepassen voor alle gebruikers. Daarnaast kan hij de vrijwillige connected services uitschakelen (zoals de online spellingschecker en vertaalservice). Microsoft vraagt ook om gegevens te delen om Office te verbeteren, maar de beheerder kan uitschakelen dat gebruikers deze melding krijgen (en zo hun gegevens delen).

Het gebruik van de Microsoft Cloud, zoals Sharepoint en OneDrive is op zich problematisch. Het kan aangewezen zijn enkel lokaal geïnstalleerde versies van Office te gebruiken en niet de online versie van Office 365.

Tot slot kan men ook opteren voor alternatieve software. Hierbij moet men natuurlijk wel uitkijken dat deze software niet aan dezelfde gegevensrisico’s is blootgesteld als Office.

Haalbare organisatorische maatregelen

Bovenstaande technische maatregelen laten echter niet toe om het risico bij het gebruik van Office volledig uit te sluiten, noch zijn ze voor iedereen haalbaar. En zoals de Nederlandse overheid zelf in onderhandeling treden met Microsoft lijkt weinig realistisch.

Het is echter geen optie om geheel niks te ondernemen, gezien je dan in de problemen komt met je eigen GDPR-verplichtingen. Deze realiteit moet worden meegenomen in uw risicoanalyse en veiligheidsplan/beleid. Bij stilzitten van Microsoft kan bijvoorbeeld beleidsmatig worden uitgemaakt om op termijn te kijken naar alternatieven. Daarnaast kan men de Gegevensbeschermingsautoriteit raadplegen in het kader van de residuele risico’s die blijken uit de DPIA van de Nederlandse overheid.

 

Audit Vlaanderen kwam tot de conclusie dat heel wat lokale besturen ondermaats scoren bij informatiebeveiliging.

Informatiebeveiliging: “De beveiliging van informatie tegen vernietiging, verlies, wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden of opgeslagen informatie

Het gaat om de beveiliging van alle informatie, waaronder ook persoonsgegevens. De GDPR zelf voorziet principieel dat organisaties de integriteit en vertrouwelijkheid van persoonsgegevens moeten waarborgen!

Persoonsgegevens moeten door het nemen van passende technische of organisatorische maatregelen op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging.

Probleempunten

Uit het rapport blijken voornamelijk volgende punten problematisch:

  • Leveranciersrelaties;
  • Bewustzijn van medewerkers;
  • Technisch beheer (cryptografie, onderhoud systemen, …);
  • Incidentenbeheer;

Positieve noot

Er is dus nog heel wat ruimte voor verbetering. Anderzijds merkt het verslag wel op dat er hier en daar wel goed wordt gewerkt: zo is er speciale vermelding voor besturen die medewerkers sensibiliseren en trainen op vlak van privacy & informatieveiligheid.

Naast eigen incidenten en persaandacht voor incidenten elders blijkt ook het einde van de inwerkingtredingsperiode van de AVG een goede aanleiding om ad-hoc-infosessies te organiseren.

Sensibilisering

IFORI kan uw gemeente of OCMW bijstaan door te voorzien in sensibiliseringssessies omtrent informatieveiligheid en/of privacy. Dit deden we reeds voor lokale besturen, met een positieve vermelding tot gevolg.

Oplossing

Tot slot geeft het rapport enkele aanbevelingen mee waarmee elk lokaal bestuur aan de slag kan om haar informatieveiligheid te verbeteren.

Neem uiteraard gerust contact met ons op indien u zich hierover extern wil laten adviseren door experten op vlak van informatieveiligheid & privacy bij lokale besturen.

Apple heeft onlangs bekend gemaakt dat vanaf 3 oktober 2018 iedereen die een nieuwe App wil lanceren of een bestaande App wil updaten, verplicht een privacy policy moet opnemen in zijn App, alsook in de metadata van de App Store. Apps die niet voldoen aan deze vereiste zullen vanaf dan geweerd worden uit de App Store.

Nieuwe App Store Review Guidelines

Wie dus een App wil lanceren of updaten zal vanaf 3 oktober een privacy policy moeten opstellen. Deze privacy policy zal moeten voldoen aan de nieuwe App store review guidelines. Deze guidelines lijken heel wat van hun mosterd gehaald te hebben bij de GDPR. Apple heeft echter de bepalingen geconcretiseerd voor mobiele applicaties en is soms strenger dan de GDPR.

Zo heeft Apple bijvoorbeeld concrete regels opgesteld voor gezondheidsapps. Ook heeft ze een aantal toepassingen waarvoor locatiegegevens gebruikt kunnen worden uitgesloten. In haar best practices geeft Apple mee hoe purpose strings gebruikt kunnen worden om gebruikers toestemming te laten geven voor het gebruiken van systeemtoepassingen zoals de camera of microfoon.

Google Play

Niet enkel Apple is bezig geweest met haar guidelines te updaten. Google verplicht het opnemen van een privacy policy al langer voor Apps die persoonsgegevens verzamelen. Is uw privacy policy niet in orde, dan zal Google uw App weren uit de Play store. Google vereist ook de naleving van de GDPR door ontwikkelaars die via hun Apps gegevens van personen in de EU verwerken.

GDPR Conform

Ontwikkelaars van Apps moeten naast het naleven van Googles en Apples guidelines vooral ook de GDPR naleven. Wie denkt dat het ergste dat kan gebeuren een exclusie van de Apple App store of Google Play store is, zal mogelijks voor een onaangename verrassing komen te staan.

In Frankrijk heeft de gegevensbeschermingsautoriteit (CNIL) recent nog maar bekend gemaakt dat ze twee ontwikkelaars van marketing-software development kits voor Apps in gebreke heeft gesteld voor het niet-naleven van de verplichtingen die voortvloeien uit de GDPR. Volgens de CNIL waren de gebruikers van de Apps noch op de hoogte dat in de gedownloade App een software development kit geïntegreerd was die hun gegevens verzamelde, noch waarvoor de gegevens zouden gebruikt worden. Er kon dan ook geen rechtmatige toestemming gegeven zijn voor het verwerken van de gegevens. De gebruikers waren daarnaast ook niet op de hoogte van de identiteit van de verwerkingsverantwoordelijke voor hun gegevens.

CONCLUSIE

Zorg voor een geüpdatet privacy policy die in overeenstemming is met de vereisten van de platform-providers en de GDPR. Maar zorg er ook voor dat de inhoud van deze policy is aangepast aan jouw realiteit. Geef informatie over de verwerking die jouw organisatie doet, al dan niet via haar website, bijvoorbeeld: direct marketing, klantenadministratie, leveranciersbeheer, …

Denk ten slotte ook aan de verdere compliance met GDPR waaronder:

  • Heb ik een verwerkingsgrond en pas ik die correct toe? (bv. toestemming, uitvoering overeenkomst, …);
  • Heb ik specifiek overeenkomsten met mijn onderaannemers die ten behoeve van mijn organisatie persoonsgegevens verwerken?
  • Beveilig ik de persoonsgegevens wel voldoende?

Op 5 september 2018 is door de wetgever de “wet betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens” gepubliceerd. Zo goed als de gehele de wet is onmiddellijk van kracht gegaan. De wet in kwestie geeft uitvoering aan de GDPR, daarnaast wordt ook de richtlijn over het gebruik van persoonsgegevens door politie en strafrechtelijke autoriteiten erin omgezet.

Uitvoering van de verordening

Minderjarigen

GDPR gaf de lidstaten vrijheid in het vaststellen van de leeftijd waarop minderjarigen geacht worden rechtmatig hun toestemming te kunnen. De wetgever heeft besloten die leeftijd op 13 jaar te leggen. Als de minderjarige jonger is dan 13, zal de wettelijke vertegenwoordiger toestemming moeten geven.

Kinderen vanaf 13 jaar oud kunnen in België gebruik  maken van Facebook of Whatsapp zonder toestemming van hun ouders. (Minstens indien de voorwaarden van de service dit toelaten).

Specifieke verwerkingen

De wetgever heeft ook een lijst opgesteld met verwerkingen die zij als van zwaarwegend algemeen belang ziet. Bijvoorbeeld de verwerking beheerd door de stichting van openbaar nut “Stichting voor Vermiste en Seksueel Uitgebuite Kinderen”. Daarnaast zijn er ook heel wat beperkingen van de rechten van betrokkenen wanneer de verwerking gebeurt door de overheid, politiediensten, veiligheidsdiensten, etc. Ook de maatregelen die moeten genomen worden bij het verwerken van genetische, biometrische of gezondheidsgegevens worden gespecificeerd.

Uitzonderingen voor journalistieke doeleinden

Daarnaast moest het recht op privacy en het recht op informatie en vrijheid van meningsuiting worden afgewogen. De wetgever heeft dan ook specifieke uitzonderingen voorzien voor verwerkingen voor journalistiek en ten behoeve van academische, artistieke of literaire uitdrukkingsvormen.

Zo moet een journalist geen privacyverklaring bezorgen aan zijn geïnterviewde.

Definitie verwerking voor journalistieke doeleinden: “de voorbereiding, het verzamelen, opstellen, voortbrengen, verspreiden of archiveren ten behoeve van het informeren van het publiek, met behulp van elke media en waarbij de verwerkingsverantwoordelijke zich de naleving van journalistieke deontologische regels tot taak stelt”.

Vraag is in welke mate een (professionele) blogger, de naleving van die deontologie nastreeft en dus kan genieten van deze uitzonderingen?

Afdwingen in rechte

De voorzitter van de rechtbank van eerste aanleg is bevoegd om kennis te nemen van (stakings)vorderingen. De rechter waarborgt de afdwingen van deze wet en GDPR. Bijvoorbeeld een vordering tot verwijdering van persoonsgegevens. De procedure verloopt zoals in kortgeding en wordt ingesteld via verzoekschrift op tegenspraak.

We vertelden u all over de mogelijkheid tot een ‘class action‘ door een orgaan, organisatie of VZW . De wet bepaalt dat die actief moet zijn op het gebied van gegevensbescherming sedert ten minste drie jaar.

De Gegevensbeschermingsautoriteit (GBA) kan voortaan ook voor meer GDPR-verplichtingen corrigerende maatregelen nemen.

Strafrecht

Daarnaast bepaalt de wet ook de hoogte van de strafrechtelijke geldboetes die opgelegd kunnen worden voor overtredingen van de regelgeving. De GBA en het College van procureurs-generaal dienen een protocol af te sluiten met werkafspraken voor het geval zowel een administratieve als strafrechtelijke sanctie mogelijk is. Dit om het non bis in idem principe na te leven.

Tot het protocol er is, moet de procureur des Konings binnen de twee maanden na de ontvangst van het proces-verbaal melden aan de GBA of er strafrechtelijk zal vervolgd worden. Gebeurt dit niet, dan is enkel nog een administratieve sanctie mogelijk.

Tot slot verklaart de wet dat alle bepalingen van boek I van het Strafwetboek kunnen worden toegepast op de misdrijven omschreven bij deze wet of bij uitvoeringsbesluiten ervan, inclusief straffen voor deelneming aan een misdrijf en verzachtende omstandigheden.

Vaak vragen organisaties om een kopie van uw elektronische identiteitskaart (eID) om uw identiteit te verifiëren. Maar door gegevensbeschermingswetgeving, waaronder de GDPR, is dit in het merendeel van de gevallen niet zonder meer toegestaan. Organisaties staan voor een praktisch vraagstuk: hoe de identiteit van iemand controleren zonder de regelgeving te overtreden?

Rechten van betrokkenen onder GDPR

De GDPR geeft de burger een hele resem rechten waaronder het recht om aan een organisatie inzage te vragen in de persoonsgegevens die de organisatie van de betrokkene verwerkt en heeft men in bepaalde gevallen een recht op gegevenswissing.

Verificatie identiteit?

Om als organisatie in te gaan op de uitoefening van deze rechten door betrokkenen is het noodzakelijk dat u hun identiteit controleert. M.a.w. hoe weet u of de persoon die zijn rechten inroept weldegelijk is wie hij beweert te zijn? De gangbare praktijk is hier om een kopie van de identiteitskaart van de persoon in kwestie te vragen.

Maar de verwerking van kopieën van identiteitskaarten is verboden, behoudens uitzonderingen. De Gegevensbeschermingsautoriteit (GBA) stelt duidelijk enkel de noodzakelijke persoonsgegevens mogen worden verwerkt. Gelet op het risico van identiteitsdiefstal zijn dit soort kopieën van een eID niet proportioneel.

Ironisch genoeg stelt de GBA een modelbrief ter beschikking voor de uitoefening van de rechten van een betrokkene die om een kopie van de identiteitskaart vraagt.

In een andere aanbeveling raadt de GBA wel aan om de niet-relevante gegevens op de kopie te doorstrepen. Hiermee legt ze eigenlijk de verantwoordelijkheid bij de burger. Als organisatie was het ook aangewezen in uw privacyverklaring eveneens deze verplichting op te nemen, om zelf geen onrechtmatige verwerking te doen.

Gierig met persoonsgegevens

Dat er nood is aan een handige tool om deze rompslomp te vermijden besefte ook de Nederlandse overheid en zij ging dan ook over tot het ontwikkelen van de KopieID app. Deze app maakt het mogelijk een foto te nemen van uw identiteitskaart met uw smartphone en onmiddellijk de persoonsgegevens te doorstrepen die niet relevant zijn. De app voorziet de kopie ook van een watermerk om fraude tegen te gaan. Ze vormt een eenvoudig te gebruiken tool die de toepassing van de GDPR in de praktijk heel gemakkelijk maakt (ook wel een Privacy-enhancing Technology of kortweg ‘PET’ genaamd).

Deze app is gratis te downloaden in de Apple App Store, de Google Play Store en voor Windows Phone.

Als verwerkingsverantwoordelijke kan je een verwijzing naar deze tool dan ook gebruiken om de personen van wie u persoonsgegevens verwerkt het makkelijk te maken hun identiteit te bewijzen op een correcte manier.

Neem gerust contact met ons op indien u uw privacyverklaring hierop wil voorzien.

Bron: Ministerie van Binnenlandse Zaken en Koninkrijksrelaties: https://www.rijksoverheid.nl/onderwerpen/identiteitsfraude/vraag-en-antwoord/veilige-kopie-identiteitsbewijs