Op donderdag 14 november organiseert V-ICT-OR de 4e editie van de Cyber & Information Security Day.

Dit congres is een ‘must-attend’ voor iedereen die te maken heeft met IT-beveiliging (cybersecurity & cybercrime/ Information security); zowel management als technisch betrokkenen, want door aanwezig te zijn, vergroot je meteen jouw praktische kennis en inzicht.

Justine Simal van IFORI spreekt er tussen 11u00 – 11u30 over “Gegevens delen … Wat zijn de spelregels?

Tijdens deze presentatie zet IFORI, een juridisch kantoor gespecialiseerd in intellectuele eigendomsrechten en ICT-recht, uiteen hoe je op een praktische manier gegevensuitwisseling in een samenwerkingsovereenkomst tussen de verschillende stakeholders op lokaal niveau moet aanpakken. Er zijn op lokaal niveau steeds meer vragen en verplichtingen tot samenwerking, denk bijvoorbeeld aan het Geïntegreerd Breed Onthaal (GBO). Deze brengen in vele gevallen uitdagingen met zich mee op vlak van privacy, gegevensbescherming en data security. Deze sessie wil praktische handvaten aanreiken voor het opstellen van een samenwerkingsovereenkomst, met focus op het aspect van de gegevensuitwisseling.

Inschrijven kan via: https://www.v-ict-or.be/events/cyber-information-security-day-2019

Begin deze maand werd duidelijk dat de regelgeving rond cookies strenger zal worden toegepast. Het Europese Hof van Justitie besliste in het arrest van 1 oktober 2019 (C-673/17, Planet49 GmbH v. Bundesverband der Verbraucherzentralen und Verbraucherverbände — Verbraucherzentrale Bundesverband e. V.) dat toestemming niet rechtsgeldig is verleend wanneer het plaatsen van cookies wordt toegestaan door middel van een standaard aangevinkt selectievakje dat deze gebruiker moet uitvinken ingeval hij weigert zijn toestemming te geven

Duidelijke actieve handeling

Dit betekent dat een gebruiker een actieve handeling moet stellen om zijn instemming met het plaatsen van de cookies aan te duiden. Dit betekent ook dat consent by further browsing, namelijk het impliciet toestemmen met het gebruik van cookies door verder te surfen op de website, niet meer volstaat.

Toestemming zoals gedefinieerd in de GDPR moet ook steeds vrij en geïnformeerd zijn. Dit laatste betekent dat u de betrokkenen helder dient te informeren omtrent welke cookies worden gebruikt en waarom. Een link op een cookiebanner die je laat doorklikken naar een cookiepolicy, is op vandaag niet meer voldoende. Je moet aangeven hoelang de cookies actief blijven en of derden al dan niet toegang tot de cookies kunnen hebben.‘Vrije toestemming’ houdt in dat een bezoeker ook moet kunnen weigeren. Het is meteen duidelijk dat vele websites op vandaan niet mee in de regel zijn.

Cookies

Altijd toestemming?

Wel belangrijk om te weten dat er nog steeds uitzondering bestaan op de verplichting om toestemming te vereisen voor het plaatsen van cookies.

Met name voor het plaatsen van cookies:

  • met uitsluitend doel de verzending van een communicatie via een elektronische-communicatienetwerk uit te voeren, of
  • een uitdrukkelijk door de gebruiker gevraagde dienst te leveren wanneer dit hiervoor strikt noodzakelijk is.

Helaas valt o.m. het gebruik van cookies voor website analytics algemeen niet onder een van deze uitzonderingen.

Cookies en GDPR?

Het gebruik van cookies wordt in wezen niet geregeld door de GDPR, maar door de e-Privacy richtlijn, in België omgezet in de Telecomwet (zie artikel 129). Deze telecomwet vereist in bepaalde gevallen voorafgaande toestemming van de gebruiker voor het plaatsen van cookies. Het begrip toestemming moet evenwel worden uitgelegd zoals bepaald in de GDPR.

Maar, via cookies kan je wel persoonsgegevens verwerken (bv. door persoonsgegevens op te slaan in de cookie). In dat geval is de GDPR uiteraard wel weer van toepassing.

Op 14 september 2019 eindigde de overgangstermijn voor de nieuwe Europese betaalrichtlijn PSD2, de opvolger van PSD1. Voluit staat PSD voor ‘Payment Services Directive’. Het doel van deze richtlijn is het betaalverkeer vlotter laten verlopen. Los van de evidente toepassing van deze regelgeving in de financiële wereld en de bankensector, heeft PSD2 ook voor vele andere ondernemingen een impact.

De richtlijn werd in Belgisch recht omgezet door de wet van 11 maart 2018 betreffende het statuut van en het toezicht op de betalingsinstellingen en de instellingen voor elektronisch geld, de toegang tot het bedrijf van betalingsdienstaanbieder en tot de activiteit van uitgifte van elektronisch geld, en de toegang tot betalingssystemen.
Een aantal maanden geleden werd echter duidelijk dat het ecosysteem voor e-commerce nog niet klaar is voor de strikte toepassing van de vereisten rond de verplichte sterke klantenauthenticatie (of in het Engels strong customer authentication of SCA) vanaf 14 september 2019. Om die reden heeft de Nationale bank op 27 augustus een transitieperiode aangekondigd. Deze tendens is zichtbaar in heel Europa. Er zal een migratieplan worden uitgewerkt samen met de industrie om het volledige ecosysteem te migreren naar een strike toepassing van deze sterke klantenauthenticatie en dit binnen een meer realistische termijn.
PSD2 wil zorgen voor meer concurrentie en innovatie en wil drempels voor nieuwe toetreders tot de financiële markt wegnemen. Dit eengemaakte juridisch kader moet daarnaast leiden tot een eenvoudiger, efficiënter en veiliger betalingsverkeer binnen de Europese Unie.
Toegang tot betaalrekeningen door derden
Eén van de meest ingrijpende gevolgen van PSD2 is dat een consument aan derde partijen de toestemming kan geven om diens betaalrekeningen in te kijken. Wanneer er sprake is van uitdrukkelijke toestemming, mag de betalingsdienstaanbieder (of in het Engels een payment service provider of PSP) dit niet weigeren en is deze verplicht om de rekeninggegevens en dus zijn data-infrastructuur open te stellen voor derde partijen, mits deze derde partij erkend is door de Nationale Bank. Let wel, het gaat enkel om betaalrekeningen, wat betekent dat bijvoorbeeld spaarrekeningen of beleggingsrekeningen uitgesloten zijn.
Bovenstaande betekent dat het bijvoorbeeld mogelijk is om een overzicht te krijgen van alle rekeningen bij verschillende banken in één app. Dit kan een app van een betalingsdienstaanbieder zijn, maar ook een app van een onderneming die een eigen betaalapp aanbiedt. Dergelijke onderneming noemt men een rekeninginformatiedienstaanbieder (of in het Engels een account information service provider of AISP). Dit maakt de ontwikkeling van nieuwe businessmodellen mogelijk die gebruik van maken van financiële data, iets wat tot nu toe enkel mogelijk was voor banken aangezien deze data exclusief aan hen toebehoorde.
Naast het feit dat betaalrekeningen kunnen worden ingekeken door derde partijen, is het ook mogelijk om als onderneming een licentie te verkrijgen om zelf betaalverkeer rechtstreeks te initiëren. Een onderneming die zelf betalingen van consumenten rechtstreeks initieert noemt men een betalingsinitatiedienstaanbieder (of in het Engels payment initiation service provider of PISP). Denk bijvoorbeeld aan Amazon die dan rechtstreeks de betaling zal kunnen afhandelen via de zichtrekening van de consument. Er wordt verwacht dat vele e-commercespelers deze licentie zullen aanvragen en op die manier betalingen rechtstreeks zullen verwerken. Het verkrijgen van deze licentie is echter niet evident en er zijn hoge beveiligingseisen waaraan moet worden voldaan.

Zo’n 17% van de Belgische bedrijven was vorig jaar het slachtoffer van een succesvolle cyberaanval, zo blijkt uit onderzoek van Microsoft. Bedrijven maken zich dan ook terecht zorgen over de risico’s die cyberincidenten met zich mee kunnen brengen. Toch heeft 8 op de 10 paradoxaal genoeg geen plan om met een aanval om te gaan.

Tijdens deze opleiding,die we samen met Voka Oost-Vlaanderen organiseren, bekijken we de verschillende dreigingen, welke risico’s eraan verbonden zijn en hoe u uw bedrijf voldoende kan beschermen.

Op het programma staan:
• Het cybersecuritylandschap: dreigingen en risico’s.
• Beveiligingsmaatregelen a.d.h.v. praktische voorbeelden.
• Hoe sensibiliseer ik mijn medewerkers over de gevaren?
• Compliancy benadering: een wettelijk kader.
• Een vooruitblik: de toekomst van digitale veiligheid en privacy.

Wanneer?
Maandag 23 september 2019 van 13u30 tot 17u00 bij Voka Box in Gent

Inschrijven kan via Voka
Dit seminarie wordt georganiseerd in samenwerking met Voka. Inschrijven kan heel eenvoudig via hun website via deze link.
Indien je er niet bij kan zijn maar wel interesse hebt in deze topic dan kan je uiteraard altijd rechtstreeks contact opnemen met ons voor een vrijblijvend kennismakingsgesprek.
Tot gauw!

Eerder besliste het Hof van Justitie van de Europese Unie in zijn Wirtschaftsakademie Schleswig-Holstein arrest al dat de beheerder van een facebookpagina een joint-controller (gezamenlijke verwerkingsverantwoordelijke) van persoonsgegevens is samen met Facebook. Nu werd de vraag opgeworpen of een beheerder van een website waarop een facebook like-knop plug-in staat, ook een joint controller is.

Like-knop plug-in

De zaak betrof de website Fashion ID. Op deze website stond een externe like-knop plug-in van facebook. De bodemrechter had vastgesteld dat deze plug-in informatie verzamelde van alle bezoekers van de Fashion ID website, ongeacht of zij een account hadden bij facebook of niet.

Joint-controller

Om een joint-controller te zijn moet Fashion ID samen met facebook het doel en de middelen van de gegevensverwerking vaststellen. Hiermee bedoelen we: samen bepalen waarom en hoe de persoonsgegevens worden verwerkt. Het Hof besliste dat dit voor zowel de verzameling van de gegevens als het doorzenden ervan naar facebook het geval is. Op de verdere verwerking heeft Fashion ID geen invloed, noch is zij op de hoogte zelfs van doel en middelen van de verwerking en is zij aldus geen joint controller.

Rechtsgeldige verwerking

Een rechtmatige verwerking van persoonsgegevens vereist aanwezigheid van een rechtsgrond voor de verwerking, in casu zijn volgende gronden relevant: gerechtvaardigd belang in hoofde van de verwerkingsverantwoordelijke of toestemming van de betrokkene.
Indien men zich beroept op gerechtvaardigd belang verduidelijkte het Hof dat het belang moet bestaan in hoofde van elke joint-controller. Zo moet Fashion ID een gerechtvaardigd belang hebben om de gegevens te verzamelen en te verzenden en Facebook een gerechtvaardigd belang voor alle verwerkingshandelingen die het stelt.
Alternatief kan je ook de toestemming van de betrokken persoon voor de gegevensverwerking vragen. Ook hier moet Fashion ID afzonderlijk van Facebook de toestemming van de betrokken persoon vragen voor het verzamelen en verzenden van de gegevens en moet Facebook toestemming vragen voor alle verwerkingshandelingen die het verricht.
Hetzelfde geldt overigens ook voor de transparantieplicht die zowel op Fashion ID als op Facebook rust.

Gevolgen

Facebook zal waarschijnlijk dezelfde lijn als voorheen doortrekken en voor het gebruik van plug-ins een joint-controller overeenkomst invoegen in overeenkomsten (zie ook het joint controller addendum voor Facebook paginabeheerders) Het afsluiten van zo’n overeenkomst tussen de joint-controllers is immers vereist onder artikel 26 AVG.
Websites die plug-ins van facebook gebruiken moeten er dan ook rekening mee houden dat zij voor bepaalde verwerkingen van persoonsgegevens joint-controllers zijn.
Wij raden dan ook aan om in ieder geval de nodige informatie te verschaffen aan je websitebezoekers en te zorgen dat je over een nodige rechtsgrond beschikt voor die verwerking. Je kan hiervoor toestemming voor gegevensverwerking vragen aan jouw website-bezoekers of afwegen of je over een gerechtvaardigd belang beschikt om die gegevens te verwerken.

Heb je nog vragen over plug-ins of de GDPR in het algemeen, aarzel dan niet om ons te contacteren!

Gegevensbescherming in het licht van een no-deal Brexit

Op 23 juni 2016 stemde de bevolking van het Verenigd Koninkrijk over de gezamenlijke toekomst van het Verenigd Koninkrijk en de Europese Unie. Het referendum werd beslecht in het voordeel van diegenen die opteerden voor een zogenaamde Brexit, het uittreden van het Verenigd Koninkrijk uit de Europese Unie. Het uittreden zou op 29 maart 2019 om 23u lokale tijd moeten gebeuren, en vanaf 30 maart 2019 zou het Verenigd Koninkrijk geen deel meer uitmaken van de Europese Unie.

Er is evenwel nog steeds geen duidelijkheid op welke wijze deze uittreding zal gebeuren. Het Britse Lagerhuis raakt het maar niet eens over een Brexit-deal, waardoor de kans dat het Verenigd Koninkrijk de Europese Unie verlaat zonder deal niet onbestaande is. Wat betekent dit scenario eigenlijk voor gegevensbescherming en de transfer van persoonsgegevens van en naar het VK?

Verenigd Koninkrijk als derde-land

Het Verenigd Koninkrijk heeft in zijn European Union (Withdrawal) Act 2018 vastgesteld dat de Algemene Verordening Gegevensbescherming opgenomen zal worden in het nationale recht, in het geval van een no-deal. Dit betekent dat wat betreft de bescherming van persoonsgegevens voor inwoners van het VK dezelfde beschermingsstandaarden gehanteerd zullen worden. Op dit vlak wijzigt er vooralsnog niets.

De transfer van persoonsgegevens naar het Verenigd Koninkrijk wordt evenwel aan andere regels onderworpen, aangezien het VK geen lid meer zal zijn van de Europese Unie en gezien moet worden als een derde-land. De Algemene Verordening Gegevensbescherming wijdt een heel hoofdstuk aan de regelgeving omtrent de doorgiften van persoonsgegevens aan derde landen of internationale organisaties (Hoofdstuk V).

Transfers van persoonsgegevens naar derde landen zijn niet per definitie verboden, maar zijn slechts toegestaan indien de Europese Unie over genoeg garanties beschikt dat een zekere mate van gegevensbescherming voorzien kan worden. Dit is het geval indien er adequaatheidsbesluiten zijn uitgevaardigd door de Europese Commissie (art. 45), er passende waarborgen voorzien zijn (art. 46), er sprake is van bindende bedrijfsvoorschriften (art. 47) of er sprake is van specifieke situaties die afwijkingen toelaten (art. 49).

Adequaatheidsbesluit

Een adequaatheidsbesluit houdt in dat de Europese Commissie het derde land aanmerkt als een land met een passend beschermingsniveau. Er hoeven door een exporteur van gegevens geen extra waarborgen voorzien te worden. Een doorgifte van gegevens naar een land waarvoor een adequaatheidsbesluit geldt, wordt op deze wijze vergelijkbaar met de overdracht van gegevens binnen de Europese Unie. Dergelijk adequaatheidsbesluit bestaat (nog) niet voor het Verenigd Koninkrijk, aangezien dit niet nodig was.

Het is mogelijk dat de EU een adequaatheidsbesluit goedkeurt in de toekomst, al is het wat dat betreft nog koffiedik kijken. Het goedkeuren van een adequaatheidsbesluit zou hoe dan ook nog even op zich laten wachten, aangezien een procedure gevolgd moet worden waarbij verschillende instellingen betrokken zijn. Het moet voorgesteld worden door de Europese Commissie, vervolgens dient de EDPB hierover een opinie te formuleren, daarna dient goedkeuring  verleend te worden door afgevaardigden van de EU-landen en tenslotte moet het besluit aangenomen worden door de Europese Commissie. Zolang zo’n besluit niet bestaat voor het Verenigd Koninkrijk zal de overdracht van gegevens op een andere rechtsgrond moeten berusten.

Passende waarborgen

De overdracht van gegevens naar derde landen mag plaatsvinden indien er passende waarborgen worden geboden met betrekking tot gegevensbescherming en op voorwaarde dat de personen wiens gegevens verwerkt worden over afdwingbare rechten en rechtsmiddelen kunnen beschikken. Er bestaan verschillende instrumenten die garanderen dat er passende waarborgen voor handen zijn.

Bindende bedrijfsvoorschriften

Een eerste instrument is het gebruik van bindende bedrijfsvoorschriften (ofwel Binding Corporate rules). Ondernemingen die zich binnen eenzelfde ondernemingsgroep bevinden mogen hierbinnen gegevens uitwisselen, ook al bevinden niet alle ondernemingen zich op het grondgebied van de Europese Unie. Dit is evenwel enkel toegestaan indien er bindende bedrijfsvoorschriften voorhanden zijn en slechts indien ze in overeenstemming zijn met de Algemene Verordening Gegevensbescherming.

De bedrijfsvoorschriften moeten worden goedgekeurd via een omslachtige procedure door zowel de nationale bevoegde autoriteit als het European Data Protection Board (EDPB). Europese ondernemingen die samen in een ondernemingsgroep zitten met ondernemingen uit het Verenigd Koninkrijk kunnen dus op basis van deze bindende bedrijfsvoorschriften toch gegevens overmaken. Het is mogelijk dat voor een ondernemingsgroep reeds bindende bedrijfsvoorschriften golden en er dus geen nieuwe procedure tot goedkeuring moet worden ingesteld.

Standaard contractuele bepalingen

De overdracht van gegevens is ook toegestaan indien er gebruik wordt gemaakt van modelcontractbepalingen die zijn goedgekeurd door de Europese Commissie. De Europese Commissie heeft op dit moment drie categorieën van standaardbepalingen of modelcontracten goedgekeurd. Hier mogen door de partijen geen wijzigingen in aangebracht worden, al mogen ze wel worden opgenomen in een bredere overeenkomst.

Het gebruik van specifieke ad hoc contractuele bepalingen, als aanvullende wijzigingen van de standaardbepalingen, is ook toegestaan. Deze moeten echter wel goedgekeurd worden door de nationale gegevensbeschermingsautoriteit, nadat het EDPB hierover advies heeft gegeven.

Dit betekent dat Europese ondernemingen, willen ze gegevens overdragen naar het Verenigd Koninkrijk en in het geval er geen bindende bedrijfsvoorschriften voor handen zijn, hun bestaande contracten zullen moeten herzien en de standaardbepalingen in hun overeenkomst zullen moeten opnemen. Indien er geopteerd wordt om ad hoc contractuele bepalingen te voorzien dan zullen de gegevens pas overgedragen mogen worden nadat de ad hoc contractuele bepalingen zijn goedgekeurd.

Gedragscode of certificeringsmechanismen

Federaties of sectororganisaties kunnen ook gedragscodes of certificeringsmechanismen voorzien waarin naleving van de Algemene Verordening Gegevensbescherming voorzien wordt. Er zullen wel bindende en afdwingbare toezeggingen opgenomen moeten worden zodat de naleving ook effectief wordt verzekerd. Een grensoverschrijdende gedragscode zal goedgekeurd moeten worden door de Europese Gegevensbeschermingsautoriteit (EDPB).

Het uitwerken van gedragscodes, en de goedkeuring ervan is opnieuw gebonden aan een omslachtige procedure, waardoor dit nog niet meteen het meest flexibele instrument is om te voldoen aan de Algemene Verordening Gegevensbescherming.

Afwijkingen voor specifieke situaties

Tot slot zijn er nog verschillende afwijkingen die het mogelijk maken dat gegevens toch zullen worden overgedragen aan een derde-land zonder dat één van de hierboven beschreven instrumenten gebruikt moet worden.

  • Doorgifte is toegestaan wanneer een betrokken persoon expliciet instemt met de overdracht van persoonsgegevens nadat deze werd ingelicht over de risico’s van de overdracht;
  • Doorgifte is toegestaan indien ze noodzakelijk is voor de uitvoering (of het sluiten) van een overeenkomst tussen de betrokkene en de verwerkingsverantwoordelijke of voor de uitvoer van precontractuele maatregelen op verzoek van de betrokkene;
  • Doorgifte is noodzakelijk wegens zwaarwichtige redenen van algemeen belang;
  • Doorgifte is noodzakelijk voor het instellen of uitoefenen van een rechtsvordering;
  • Doorgifte is noodzakelijk in verband met dwingende en gerechtvaardigde belangen van de organisatie.

Deze afwijkingen zullen altijd geval per geval bekeken moeten worden. Het inwinnen van juridisch advies is aangeraden wegens de complexiteit van de materie.

Import van gegevens in de Europese Unie

De Europese Gegevensbeschermingsautoriteit heeft al laten weten dat er geen wijzigingen zullen optreden wat betreft de gegevensoverdracht van het VK naar de Europese Economische Ruimte, ook niet in het geval van een no-deal. Gegevens uit het VK zullen dus nog steeds mogen worden overgedragen zonder belemmeringen.

Wat kan u doen?

Het scenario van een no-deal Brexit is zeker niet uitgesloten. Het is dan ook ten zeerste aan te raden uw onderneming hierop voor te bereiden. Om blijvende naleving met de Algemene Verordening Gegevensbescherming te garanderen zijn er al verschillende stappen die u kan ondernemen.

Eerst en vooral: creëer een duidelijk overzicht wat betreft uw gegevensflow. Indien u gegevens deelt met het Verenigd Koninkrijk, ga dan na welk instrument het meest geschikt is om in overeenstemming te blijven met de Algemene Verordening Gegevensbescherming. Interne documenten, alsook de privacyverklaring zullen aangepast moeten worden om aan te duiden dat gegevens worden verzonden naar een derde land.

Om onzekerheden omtrent de correcte naleving van de Algemene Verordening Gegevensbescherming te verhelpen, kunt u ons kantoor steeds contacteren voor juridisch advies.

Wout Hendrick

 

Vorige maandag kon je op halfjaarlijkse Big Refresh van Voka van onze experte Justine Simal alles te weten komen over wat nu echt belangrijk is wanneer je als onderneming de GDPR wil implementeren. Het was een geslaagde infosessie met interessante vragen en gesprekken achteraf. Deelnemers deelden hun eigen GDPR ervaringen en vraagstukken met elkaar onder de moderatie van onze GDPR experte.

De GDPR blijft brandend actueel: de hype lijkt voorbij te zijn, maar vele praktische vraagstukken duiken nu pas op. Ondernemingen zien in dat de implementatie van de GDPR het ideale moment is om ook op andere punten orde op zaken te stellen en structuur te integreren en willen graag weten hoe ze dit moeten aanpakken.

De presentatie die Justine gaf kan je hier terugvinden. Deze biedt je informatie en inzichten en reikt je de handvaten aan om zelf aan de slag te gaan.

Wanneer je denkt dat een duwtje in de rug toch nuttig kan zijn en je bent geïnteresseerd in een persoonlijk gesprek om te kijken hoe iFORi jouw onderneming kan ondersteunen in het GDPR traject, neem dan gerust rechtstreeks contact op met Justine Simal via justine.simal@ifori.be.

De volgende editie van de Voka Big Refresh vindt plaats op maandag 16 oktober.

 

Nog niet helemaal mee met de GPDR? Op zoek naar praktische informatie? Kritisch en op zoek naar objectieve cijfers… wordt de GDPR soep wel zo heet gedronken als ze geserveerd wordt? Of wilt u uw eigen GDPR ervaringen en vraagstukken delen met andere ondernemers onder de moderatie van een GDPR experte? Dat kan op amper 2 uur tijd tijdens de ‘The Big Refresh’ van VOKA Oost-Vlaanderen

Tweemaal per jaar organiseert VOKA Oost-Vlaanderen ‘The Big Refresh’, een dag vol actua shots en sessies. Hun voorjaarseditie van 2019 gaat door op 4 februari en focust zich ook op de GDPR die nog steeds actueel blijft. VOKA wil naast informeren ook inspireren en daarom koppelt het ook een rondetafelgesprek aan deze sessie. De bedoeling is dat de deelnemers tijdens deze sessies hun eigen ervaringen delen met andere collega ondernemers.

IFORI verzorgt net zoals in 2017 de infosessie en GDPR experte Justine Simal zal ook het rondetafelgesprek modereren.

Interesse? Meer info kan je vinden op www.voka.be/bigrefresh en schrijf je gratis in!

Kan je niet aanwezig zijn op de infosessie maar heb je wel interesse om de presentatie te ontvangen of wens je een persoonlijk gesprek, neem gerust rechtstreeks contact op Justine Simal: justine.simal@ifori.be

De presentatie kan je ook hier vinden.

De Nederlandse overheid liet een DPIA (Data Protection Impact Assessment) uitvoeren op Microsoft Office ProPlus. Uit deze DPIA bleek dat Microsoft op grote schaal persoonsgegevens verwerkt over het gedrag van gebruikers. De verzameling van die persoonsgegevens gebeurt zonder dat de gebruiker hierover geïnformeerd wordt, zonder toestemming van de gebruiker, zelfs zonder dat de gebruiker dit kan uitschakelen of zelfs nog maar kan zien over welke gegevens het gaat.

Gegevens over gebruik Office

Microsoft slaat gegevens op van het gebruik van Word, Excel, Powerpoint en Outlook (zowel de online versies als de lokaal geïnstalleerde versies). Microsoft heeft een pilot lopende om de gegevens van die programma’s op te slaan in de Microsoft Cloud (via Sharepoint en OneDrive).

Microsoft verzamelt diagnostische gegevens over de handelingen van de gebruiker via ingebouwde telemetriesoftware. De verzamelde gegevens worden periodiek in een batch naar de servers van Microsoft in de US gestuurd. Bij online gebruik van diensten (bijvoorbeeld de online versie van Office 365) wordt het gebruik ook vastgelegd in de logbestanden van Microsoft zelf.

Het is echter niet duidelijk welke inhoud van bestanden met deze diagnostische gegevens worden opgeslagen. Zo blijkt dat deze diagnostische gegevens onder andere bevatten welke woorden voor en na een woord dat u wil vertalen komen. Microsoft heeft bijvoorbeeld ook aangegeven dat ze niet de inhoud van e-mails opslaat, maar de logbestanden van Microsoft geven wel de onderwerp-titels van e-mail weer. Voorlopig is het onmogelijk om als gebruiker te zien welke gegevens precies worden verzameld en doorgestuurd.

Onderhandelingen met de Nederlandse overheid

Gezien potentieel heel wat gegevens met een hoog risico op die manier door Microsoft worden verwerkt zonder toestemming of passende garanties is duidelijk dat er actie ondernomen moet worden. De Nederlandse overheid, die gebruik maakt van Microsoft en 300.000 gebruikers uitmaakt, is daarom in onderhandeling getreden met Microsoft om deze problemen te verhelpen.

Microsoft heeft naar aanleiding van de DPIA zero exhaust settings ontwikkeld, waardoor er zo geen telemetriegegevens meer zouden verzameld worden (als de zero exhaust settings aangezet worden). Deze initiatieven zijn wel een begin, maar er blijven nog een aantal problemen over, niet in het minst de reeds gedane verwerkingen van persoonsgegevens.

Wat te doen?

Theoretische technische maatregelen

Ervan uit gaand dat de optie ooit toegankelijk wordt, kan de office beheerder de zero exhaust settings toepassen voor alle gebruikers. Daarnaast kan hij de vrijwillige connected services uitschakelen (zoals de online spellingschecker en vertaalservice). Microsoft vraagt ook om gegevens te delen om Office te verbeteren, maar de beheerder kan uitschakelen dat gebruikers deze melding krijgen (en zo hun gegevens delen).

Het gebruik van de Microsoft Cloud, zoals Sharepoint en OneDrive is op zich problematisch. Het kan aangewezen zijn enkel lokaal geïnstalleerde versies van Office te gebruiken en niet de online versie van Office 365.

Tot slot kan men ook opteren voor alternatieve software. Hierbij moet men natuurlijk wel uitkijken dat deze software niet aan dezelfde gegevensrisico’s is blootgesteld als Office.

Haalbare organisatorische maatregelen

Bovenstaande technische maatregelen laten echter niet toe om het risico bij het gebruik van Office volledig uit te sluiten, noch zijn ze voor iedereen haalbaar. En zoals de Nederlandse overheid zelf in onderhandeling treden met Microsoft lijkt weinig realistisch.

Het is echter geen optie om geheel niks te ondernemen, gezien je dan in de problemen komt met je eigen GDPR-verplichtingen. Deze realiteit moet worden meegenomen in uw risicoanalyse en veiligheidsplan/beleid. Bij stilzitten van Microsoft kan bijvoorbeeld beleidsmatig worden uitgemaakt om op termijn te kijken naar alternatieven. Daarnaast kan men de Gegevensbeschermingsautoriteit raadplegen in het kader van de residuele risico’s die blijken uit de DPIA van de Nederlandse overheid.

 

Audit Vlaanderen kwam tot de conclusie dat heel wat lokale besturen ondermaats scoren bij informatiebeveiliging.

Informatiebeveiliging: “De beveiliging van informatie tegen vernietiging, verlies, wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden of opgeslagen informatie

Het gaat om de beveiliging van alle informatie, waaronder ook persoonsgegevens. De GDPR zelf voorziet principieel dat organisaties de integriteit en vertrouwelijkheid van persoonsgegevens moeten waarborgen!

Persoonsgegevens moeten door het nemen van passende technische of organisatorische maatregelen op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging.

Probleempunten

Uit het rapport blijken voornamelijk volgende punten problematisch:

  • Leveranciersrelaties;
  • Bewustzijn van medewerkers;
  • Technisch beheer (cryptografie, onderhoud systemen, …);
  • Incidentenbeheer;

Positieve noot

Er is dus nog heel wat ruimte voor verbetering. Anderzijds merkt het verslag wel op dat er hier en daar wel goed wordt gewerkt: zo is er speciale vermelding voor besturen die medewerkers sensibiliseren en trainen op vlak van privacy & informatieveiligheid.

Naast eigen incidenten en persaandacht voor incidenten elders blijkt ook het einde van de inwerkingtredingsperiode van de AVG een goede aanleiding om ad-hoc-infosessies te organiseren.

Sensibilisering

IFORI kan uw gemeente of OCMW bijstaan door te voorzien in sensibiliseringssessies omtrent informatieveiligheid en/of privacy. Dit deden we reeds voor lokale besturen, met een positieve vermelding tot gevolg.

Oplossing

Tot slot geeft het rapport enkele aanbevelingen mee waarmee elk lokaal bestuur aan de slag kan om haar informatieveiligheid te verbeteren.

Neem uiteraard gerust contact met ons op indien u zich hierover extern wil laten adviseren door experten op vlak van informatieveiligheid & privacy bij lokale besturen.