Op 17 september 2019 legde de Gegevensbeschermingsautoriteit (hierna GBA) een boete van €10 000 op aan een drankenhandel die de eID van diens klanten inlas om een klantenkaart aan te maken. De boete werd opgelegd nadat een klant een klacht had ingediend omdat de drankenhandelaar tweemaal, in verschillende vestigingen, weigerde een klantenkaart aan te maken zonder het inlezen van de eID. Het Marktenhof heeft echter op 19 februari 2020 de drankenhandel in het gelijk gesteld en de beslissing van de GBA vernietigd. In wat volgt, schetsen we kort de klacht, de bestreden beslissing en het beroep bij het Marktenhof. We eindigen met een toelichting over het gebruik van de eID.

De oorspronkelijke klacht en de beslissing van de GBA

Enkele maanden voor het opleggen van de boete schakelde de drankenhandel in kwestie over op een nieuw kassasysteem, wat toeliet om over te stappen van een papieren klantenkaart naar een elektronische klantenkaart. Dit nieuwe kassasysteem liet eveneens toe om de barcode van de eID in te scannen en op die manier de aankopen van de klant te registreren. De drankenhandel kon op die manier een overzicht bijhouden van de aankopen van de klant en kon desgewenst een klantenvoordelen toekennen vanaf een bepaald aankoopbedrag.

De klant die de klacht indiende (hierna de betrokkene) wenste echter haar eID niet laten inlezen en verkoos om de nodige gegevens op papier neer te schrijven om zo de klantenkaart alsnog te kunnen aanmaken. De drankenhandel was hier echter niet mee akkoord en deelde aan de betrokkene mee dat hun werkwijze voor de aanmaak van een klantenkaart het inlezen van de eID is. Dit voorval herhaalde zich tweemaal, in een verschillend filiaal.

De betrokkene was niet akkoord met het tweemaal afwijzen van haar verzoek om de klantenkaart aan te maken, louter omdat ze haar eID niet wenste te laten inlezen. Ze diende op 28 augustus 2018 dan ook klacht in bij de GBA.

De Inspectiedienst van de GBA maakte een inspectieverslag op en maakte dit over aan de Geschillenkamer, die bij beslissing van 17 september 2019 een administratieve geldboete van €10 000 oplegde aan de drankenhandel.

Het inspectieverslag noteerde volgende inbreuken:

  • Inbreuk op het beginsel van de minimale gegevensverwerking (art. 5.1.c) AVG): volgens de GBA was het rijksregisternummer een persoonsgegeven dat niet ter zake diende, alsook de gegevens ‘geslacht’ en ‘geboortedatum’. Daarnaast is het gebruik van de eID onderworpen aan de eID-wetgeving;
  • inbreuk op het beginsel van de rechtmatigheid van de verwerking (art. 6.1 AVG): er was geen rechtsgrond voorhanden voor de desbetreffende verwerking, aangezien men zich volgens de GBA niet op de toestemming kon beroepen aangezien er geen alternatief beschikbaar was;
  • inbreuk op de informatieverplichting (art. 13.1.c), 13.1.e) en art. 13.2.a) AVG): er werd aan de betrokkene onvoldoende informatie verstrekt en deze was ook niet steeds helder.

Drankenhandel stelt beroep in bij Marktenhof

De drankenhandel was het niet eens met de beslissing van de GBA en stelde beroep in bij het Marktenhof, dat exclusief bevoegd is voor het beroep tegen beslissingen van de geschillenkamer van de GBA (zie hiervoor art. 108, §2 van de GBA-wet) en dat steeds in eerste en laatste aanleg oordeelt.

De drankenhandel werd door het Marktenhof in het gelijk gesteld en dit om de volgende redenen:

  • De GBA verwijst naar de nieuwe eID wetgeving die vereist dat het inlezen van de eID de toestemming van de houder vereist en dat wanneer aan de burger een voordeel of dienst wordt aangeboden via zijn eID, er een alternatief ter beschikking moet worden gesteld. Deze nieuwe eID wetgeving trad echter pas in werking op 23 december 2018, enkele maanden na het indienen van de klacht, en mocht niet retroactief worden toegepast door de GBA. Daarnaast verwijst de GBA ook naar de Aanbeveling nr. 03/2011 over de eID, maar aangezien deze geen wettelijke kracht heeft, aanvaardde het Marktenhof niet dat de GBA zich hierop beriep.
  • De GBA stelt dat er een inbreuk werd gepleegd op het beginsel van de minimale gegevensverwerking omdat het geslacht en de geboortedatum worden gevraagd door de drankenhandel. De betrokkene had echter geweigerd om haar eID te laten inlezen, wat betekent dat deze persoonsgegevens niet werden verwerkt en er dus ook geen inbreuk plaatsvond en kan worden aangetoond.
  • De GBA stelt dat de klantenkaart niet wordt gebruikt ter controle van het verbod van verkoop van alcohol aan minderjarigen en dat de betrokkene nadeel lijdt door het feit dat ze kortingen kan mislopen zonder klantenkaart. Dit zijn volgens het Marktenhof onbewezen assumpties. Dat de betrokkene geen klantenkaart heeft en dus mogelijks kortingen misloopt, is volgens het Hof geen nadeel maar louter het verloren gaan van een mogelijk extra voordeel.
  • De GBA had enkele inbreuken vastgesteld met betrekking tot de informatieverstrekking, waarop de drankenhandel deze toegaf en aangaf bijkomende maatregelen te zullen treffen.

Het Marktenhof was van mening dat de opgelegde boete van €10 000 niet voldoende was gemotiveerd en dat de GBA zich had moeten laten leiden door de criteria van de ernst van de inbreuk, de duur van de inbreuk en de nodige afschrikwekkende werking om nieuwe inbreuken te voorkomen, maar “de GBA bepaalt evidenter wijze zelf welke sanctie volgens haar passend is”, zo stelt het Marktenhof. De GBA had op z’n minst moeten motiveren waarom het opleggen van een minder vergaande sanctie niet mogelijk was.

Het Marktenhof stelt ook nog dat een inbreukpleger voordat hij gesanctioneerd wordt kennis moet krijgen van de aard van de sanctie die de toezichthouder overweegt en van de omvang ervan (in het geval een geldboete wordt overwogen). Een inbreukpleger moet met andere woorden worden gewaarschuwd en moet de mogelijkheid krijgen zich te verdedigen vooraleer een sanctie wordt opgelegd en uitgevoerd.

De opgelegde geldboete is dan ook onwettig, zo besliste het Marktenhof.

Hoe zit het op vandaag met het inlezen van de eID?

Zoals hierboven al staat geschreven, is de wetgeving rond het gebruik van de eID recentelijk gewijzigd (de Wet van 19 juli 1991, zoals gewijzigd door artikel 27 van de Wet van 25 november 2018). Het valt dus te betwisten of het Marktenhof op dezelfde wijze zou oordelen vandaag.

De eID-wetgeving bepaalt dat er een onderscheid moet worden gemaakt tussen gevoeligere en minder gevoelige persoonsgegevens. Zo is het rijksregisternummer en de foto een persoonsgegeven dat als gevoeliger wordt beschouwd en deze mogen dan ook niet zomaar worden verwerkt: de verwerking moet expliciet bij wet, decreet of ordonnantie worden toegelaten. Andere minder gevoelige persoonsgegevens mogen worden verwerkt op voorwaarde dat dit in overeenstemming met de AVG gebeurt.

Daarnaast bepaalt de eID-wetgeving dat voor het gebruik van de eID de toestemming van de betrokkene vereist is. Deze toestemming moet voldoen aan de voorwaarden die de AVG bepaalt en moet dus vrij, specifiek en geïnformeerd zijn. Vrij betekent dat een betrokkene moet kunnen weigeren zonder hiervan een nadeel te ondervinden, wat impliceert dat een alternatief moet worden geboden.

Indien u gebruik wenst te maken van de eID van een betrokkene voor de aanmaak van een klantenkaart of voor het verlenen van een andere dienst, is het van belang om bovenstaande regelgeving op te volgen. Naast het vragen van de toestemming en het bieden van een alternatief is het ook van belang om het beginsel van de minimale gegevensverwerking steeds in het achterhoofd te houden.

Heeft u nog vragen met betrekking tot gegevensverwerking of het gebruik van de eID voor het aanbieden van bepaalde diensten? Contacteer ons.

Over de verwerking van persoonsgegevens voor marketingdoeleinden werd al veel gezegd en geschreven. Toch bleek nog niet alles voldoende duidelijk en om die reden wijdde de Gegevensbeschermingsautoriteit (GBA) op 17 januari van dit jaar haar eerste aanbeveling van het jaar aan dit onderwerp. Het volledige document kan je hier terugvinden. In deze blog behandelen we de kernpunten en geven we een antwoord op de meest gestelde vragen.

1.  Wat is direct marketing?

Laat ons beginnen bij het begin: wat is direct marketing precies? In haar aanbeveling definieert de GBA direct marketing als volgt:

“Elke communicatie, in welke vorm dan ook, gevraagd of ongevraagd, afkomstig van een organisatie of persoon en gericht op de promotie of verkoop van diensten, producten (al dan niet tegen betaling), alsmede merken of ideeën, geadresseerd door een organisatie of persoon die handelt in een commerciële of niet-commerciële context, die rechtstreeks gericht is aan een of meer natuurlijke personen in een privé- of professionele context en die de verwerking van persoonsgegevens met zich meebrengt.”

Het begrip ‘marketing’ moet dus niet noodzakelijk worden opgevat als boodschap met commercieel oogpunt of lucratieve doeleinden. Een e-mail uitgestuurd door een NGO die strijdt tegen vervuiling naar al diens leden om hen te informeren over alle wereldwijde acties de momenteel gevoerd worden, zonder hierbij om financiële ondersteuning te vragen of zonder goederen en diensten te promoten, is een direct marketing e-mail.

Ook belangrijk om in gedachten te houden is dat, wanneer geen persoonsgegevens worden verwerkt, men niet spreekt of ‘direct marketing’ en de GDPR dus geen toepassing zal vinden. Een reclamefolder die in ieders bus wordt gestopt of een banner op een website die aan iedere bezoeker wordt getoond, is geen vorm van direct marketing aangezien er hiervoor geen persoonsgegevens worden verzameld om bepaalde personen te benaderen. Ook mededelingen door overheden voor bepaalde campagnes die ze voeren (bv. vaccinatiecampagnes) of het promoten van diensten waarvoor ze wettelijk verantwoordelijk zijn, is geen direct marketing. Ook marktonderzoek, peilingen en enquêtes zijn geen vorm van direct marketing indien ze geen promotie bevatten en er via deze weg geen gegevens worden ingezameld voor direct marketing doeleinden.

2. Wat met verkoop, verhuur en verrijking van persoonsgegevens?

Bedrijven die persoonsgegevens doorgeven, verkopen of verhuren, zogenaamde data brokers, aan andere bedrijven voor direct marketing doeleinden, zijn verplicht de betrokkenen hierover uitdrukkelijk te informeren én hun voorafgaande toestemming te vragen.

Deze verplichting geldt ook wanneer zij persoonsgegevens verrijken met gegevens afkomstig uit andere databanken. Transparantie is cruciaal om gegevens eerlijk en rechtmatig te kunnen verwerken.

Indien u persoonsgegevens doorgeeft, dient u de ondernemingen aan wie u deze verkoopt of verhuurt, op te nemen in uw privacyverklaring. Indien dit niet mogelijk is, dient u minstens de sector en de verrichte activiteiten te vermelden, alsook concreet de activiteiten die ze van plan zijn om uit te voeren te omschrijven.

Wanneer uw onderneming samenwerkt met data brokers om marketingcampagnes te verbeteren en bij hen persoonsgegevens op te vragen waarover u niet beschikt, bent u verplicht om de betrokkene te informeren (o.a. over de verwerkingsdoeleinden, de identiteit van de verwerkingsverantwoordelijke, …) uiterlijk op het moment van contactname.

Bovendien is het uw verantwoordelijkheid om de kwaliteit van de gegevens na te gaan en met zorg de partners waarmee u samenwerkt te selecteren. Zij dienen u te kunnen garanderen dat de persoonsgegevens eerlijk en rechtmatig werden verzameld. Het is uw taak om de herkomst van de gegevens na te gaan, hoe ze werden verzameld, op welke rechtsgrond, door wie, voor welke doeleinden, gedurende welke termijn en voor welke verwerkingen.

3. Rechtsgrond: toestemming of gerechtvaardigde belangen?

3.1 Rechtsgronden: meerdere opties

Indien u persoonsgegevens verwerkt, dient u te beschikken over een rechtsgrond. De GDPR geeft zes opties: 1) toestemming, 2) uitvoering van een overeenkomst, 3) voldoen aan een wettelijke verplichting, 4) bescherming van vitale belangen, 5) vervulling van een taak van algemeen belang of in het kader van de uitoefening van het openbaar gezag, of 6) gerechtvaardigd belang.

3.2 Toestemming

Voor direct marketing zijn alvast slechts twee gronden mogelijk: de toestemming of het gerechtvaardigd belang. Toestemming is de meest gebruikte optie en is in sommige gevallen ook verplicht en dus de enige optie.

3.3 Gerechtvaardigd belang

In bepaalde gevallen zal u gebruik kunnen maken van de rechtsgrond ‘gerechtvaardigd belang’. Dit betekent dat uw organisatie een gerechtvaardigd belang heeft om bepaalde persoonsgegevens te verwerken voor een bepaalde verwerkingsactiviteit. Dit betekent dat u geen toestemming nodig heeft van de betrokkene. Het gebruik van de rechtsgrond van het gerechtvaardigd belang brengt wel enkele verplichtingen met zich mee: u dient een belangenafweging te maken en deze te documenteren.

Een aanvaard gebruik van het gerechtvaardigd belang als rechtsgrond, is voor het verzenden van marketingcommunicatie aan huidige klanten van wie u de toestemming had verkregen voorafgaand aan de inwerkingtreding van de GDPR. De klanten van wie u toen een geldige toestemming had verkregen, onder de Privacyrichtlijn (in België omgezet in privacywet van 8 december 1992) die aan de GDPR voorafging, mag u op grond van het gerechtvaardigd belang marketingcommunicatie blijven toezenden, op voorwaarde dat 1) de betrokkenen hierover transparant werden ingelicht en 2) zij zich ten allen tijde hiertegen kunnen verzetten. Zoals reeds gezegd, dient u deze belangenafweging te documenteren.

3.4 Redelijke verwachtingen

Bij het gebruik van het gerechtvaardigd belang is het belangrijk dat er sprake is van een relatie met de betrokkene: indien deze louter een prospect was of er is al in heel lange tijd geen contact meer, dan kunt u geen beroep doen op het gerechtvaardigd belang. De reden hiervoor is dat dé graadmeter om de mogelijke toepassing van het gerechtvaardigd belang na te gaan, de redelijke verwachtingen van de ontvanger zijn. Verwacht de ontvanger van deze marketingcommunicatie om deze te ontvangen? Indien het antwoord hier ‘nee’ is, kan het gerechtvaardigd belang niet worden ingeroepen.

De e-Privacyrichtlijn bepaalt dat het elektronisch versturen van ongevraagde direct marketing berichten voor commerciële doeleinden sowieso is onderworpen aan de voorafgaande toestemming. Het gerechtvaardigd belang zal hier in geen geval kunnen worden ingeroepen. De e-Privacyrichtlijn voorziet één uitzondering, deze wordt in de volgende alinea besproken.

4. Ter herinnering: de soft-opt in

Voor e-mails gericht aan klanten die reeds een aankoop deden en die soortgelijke producten of diensten aanprijzen, is in de wet een toepassing van het gerechtvaardigd belang voorzien.

De e-Privacyrichtlijn zoals in België omgezet in de Telecomwet voorziet in een zogenaamde “soft opt-in”-uitzondering voor elektronische post met het oog op direct marketing, gericht aan bestaande klanten van wie een organisatie de elektronische contactgegevens heeft verkregen in het kader van de verkoop van een product of dienst.

Deze soft-opt in uitzondering laat dus toe dat direct marketing e-mails zonder toestemming worden verstuurd op voorwaarde dat:

  • de contactgegevens werden verkregen in het kader van de verkoop van een product of dienst;
  • de e-mail gaat over producten of diensten die soortgelijk zijn aan diegenen die je al hebt verkocht aan die klant;
  • de klant duidelijk en uitdrukkelijk de mogelijkheid wordt geboden om bezwaar te maken;
    • die mogelijkheid wordt geboden op het moment dat de contactgegevens worden verzameld;
    • én op het moment van elk bericht.

In wezen komen deze vereisten overeen met een afweging van het gerechtvaardigd belang, met name dat er bij de betrokkene een redelijke verwachting is voor het ontvangen van die direct marketing.

5. Transparantie

Tot slot: wees transparant. Om in lijn te zijn met de GDPR is het van uiterst belang om transparant te zijn ten opzichte van de betrokkenen. Communiceer steeds in heldere en eenvoudige taal. Een privacyverklaring moet vlot leesbaar én vlot vindbaar zijn. Ze moet daarnaast ook alle informatie bevatten die art. 13-14 GDPR bepaalt.

Indien u persoonsgegevens inzamelt bij de betrokkene zelf, dient u deze te informeren op het moment van de inzameling. Indien u persoonsgegevens niet rechtstreeks van de betrokkene verkrijgt, dient u de info te verstrekken binnen een redelijke termijn, uiterlijk binnen één maand na de verkrijging van de persoonsgegevens en op het moment van het eerste contact met de betrokkene, indien de persoonsgegevens zullen worden gebruikt voor communicatie met de betrokkene.

De e-Gov Awards, georganiseerd door Agoria in samenwerking met TMAB, worden jaarlijks uitgereikt aan overheidsdiensten uit alle beleidsdomeinen en beleidsniveaus (Europese instellingen, federale overheid, gewesten en gemeenschappen, provincies, steden en gemeenten) die unieke e-gov-projecten hebben uitgewerkt (en gerealiseerd).

Op dit event kon IFORI niet ontbreken. De laatste jaren bouwde ons kantoor immers een ijzersterke reputatie op binnen de overheid op het vlak van IP, ICT & privacy recht. We werken ondermeer rond
– de implementatie van nieuwe regelgeving binnen overheidsorganen (GDPR, PNR, AML, etc.), alsook het uitvoeren van compliance audits en studies, ondermeer bij gegevensuitwisseling;
– het vervullen van de rol van Data Protection Officer (DPO) met een unieke multidisciplinaire aanpak (zowel juridisch als IT technisch)
– het adviseren rond AI (privacy, ethics, freedom to operate, etc.), ook samen met onze partner Reimagine
– het adviseren rond blockchain
– het adviseren rond de digitale ontsluiting van museumcollecties,
– het adviseren rond openbaarheid van bestuur;
– het adviseren rond co-development met privé-partners
– het geven van opleidingen en organiseren van awareness campagnes rond ondermeer privacy, data & cyber security
– etc.

Op onze referentielijst staan ondermeer: het Vlaams Agentschap Overheidspersoneel, de Kansspelcommissie, FOD Economie, Kalmthout, FOD Binnenlandse Zaken, de Nationale Bank, Koninklijk Museum voor Midden-Afrika, POM West-Vlaanderen, etc.

Met dit partnership willen we onze ambitie kenbaar maken om ook in de toekomst die vertrouwenspartner te zijn voor overheidsdiensten op het vlak van IP, ICT & privacy recht.

 

Op donderdag 14 november organiseert V-ICT-OR de 4e editie van de Cyber & Information Security Day.

Dit congres is een ‘must-attend’ voor iedereen die te maken heeft met IT-beveiliging (cybersecurity & cybercrime/ Information security); zowel management als technisch betrokkenen, want door aanwezig te zijn, vergroot je meteen jouw praktische kennis en inzicht.

Justine Simal van IFORI spreekt er tussen 11u00 – 11u30 over “Gegevens delen … Wat zijn de spelregels?

Tijdens deze presentatie zet IFORI, een juridisch kantoor gespecialiseerd in intellectuele eigendomsrechten en ICT-recht, uiteen hoe je op een praktische manier gegevensuitwisseling in een samenwerkingsovereenkomst tussen de verschillende stakeholders op lokaal niveau moet aanpakken. Er zijn op lokaal niveau steeds meer vragen en verplichtingen tot samenwerking, denk bijvoorbeeld aan het Geïntegreerd Breed Onthaal (GBO). Deze brengen in vele gevallen uitdagingen met zich mee op vlak van privacy, gegevensbescherming en data security. Deze sessie wil praktische handvaten aanreiken voor het opstellen van een samenwerkingsovereenkomst, met focus op het aspect van de gegevensuitwisseling.

Inschrijven kan via: https://www.v-ict-or.be/events/cyber-information-security-day-2019

Op 14 september 2019 eindigde de overgangstermijn voor de nieuwe Europese betaalrichtlijn PSD2, de opvolger van PSD1. Voluit staat PSD voor ‘Payment Services Directive’. Het doel van deze richtlijn is het betaalverkeer vlotter laten verlopen. Los van de evidente toepassing van deze regelgeving in de financiële wereld en de bankensector, heeft PSD2 ook voor vele andere ondernemingen een impact.

De richtlijn werd in Belgisch recht omgezet door de wet van 11 maart 2018 betreffende het statuut van en het toezicht op de betalingsinstellingen en de instellingen voor elektronisch geld, de toegang tot het bedrijf van betalingsdienstaanbieder en tot de activiteit van uitgifte van elektronisch geld, en de toegang tot betalingssystemen.
Een aantal maanden geleden werd echter duidelijk dat het ecosysteem voor e-commerce nog niet klaar is voor de strikte toepassing van de vereisten rond de verplichte sterke klantenauthenticatie (of in het Engels strong customer authentication of SCA) vanaf 14 september 2019. Om die reden heeft de Nationale bank op 27 augustus een transitieperiode aangekondigd. Deze tendens is zichtbaar in heel Europa. Er zal een migratieplan worden uitgewerkt samen met de industrie om het volledige ecosysteem te migreren naar een strike toepassing van deze sterke klantenauthenticatie en dit binnen een meer realistische termijn.
PSD2 wil zorgen voor meer concurrentie en innovatie en wil drempels voor nieuwe toetreders tot de financiële markt wegnemen. Dit eengemaakte juridisch kader moet daarnaast leiden tot een eenvoudiger, efficiënter en veiliger betalingsverkeer binnen de Europese Unie.
Toegang tot betaalrekeningen door derden
Eén van de meest ingrijpende gevolgen van PSD2 is dat een consument aan derde partijen de toestemming kan geven om diens betaalrekeningen in te kijken. Wanneer er sprake is van uitdrukkelijke toestemming, mag de betalingsdienstaanbieder (of in het Engels een payment service provider of PSP) dit niet weigeren en is deze verplicht om de rekeninggegevens en dus zijn data-infrastructuur open te stellen voor derde partijen, mits deze derde partij erkend is door de Nationale Bank. Let wel, het gaat enkel om betaalrekeningen, wat betekent dat bijvoorbeeld spaarrekeningen of beleggingsrekeningen uitgesloten zijn.
Bovenstaande betekent dat het bijvoorbeeld mogelijk is om een overzicht te krijgen van alle rekeningen bij verschillende banken in één app. Dit kan een app van een betalingsdienstaanbieder zijn, maar ook een app van een onderneming die een eigen betaalapp aanbiedt. Dergelijke onderneming noemt men een rekeninginformatiedienstaanbieder (of in het Engels een account information service provider of AISP). Dit maakt de ontwikkeling van nieuwe businessmodellen mogelijk die gebruik van maken van financiële data, iets wat tot nu toe enkel mogelijk was voor banken aangezien deze data exclusief aan hen toebehoorde.
Naast het feit dat betaalrekeningen kunnen worden ingekeken door derde partijen, is het ook mogelijk om als onderneming een licentie te verkrijgen om zelf betaalverkeer rechtstreeks te initiëren. Een onderneming die zelf betalingen van consumenten rechtstreeks initieert noemt men een betalingsinitatiedienstaanbieder (of in het Engels payment initiation service provider of PISP). Denk bijvoorbeeld aan Amazon die dan rechtstreeks de betaling zal kunnen afhandelen via de zichtrekening van de consument. Er wordt verwacht dat vele e-commercespelers deze licentie zullen aanvragen en op die manier betalingen rechtstreeks zullen verwerken. Het verkrijgen van deze licentie is echter niet evident en er zijn hoge beveiligingseisen waaraan moet worden voldaan.

De Gentse school Sint-Bavo wil vanaf dit schooljaar een nieuw betaalsysteem invoeren dat gebruik maakt van de handpalm van leerlingen in plaats van het gebruik van cash geld, kaartjes of bonnetjes. Een drankje kopen of een kopie betalen kunnen leerlingen vanaf oktober doen door middel van het scannen van hun handpalm. Het gebruik van een app of badge werd overwogen maar uiteindelijk niet weerhouden als betaalmogelijkheid. De school stelt dat deze gegevens veilig en conform de GDPR zullen worden opgeslagen in een database van PALMKI, de achterliggende software. De onderhandelingen omtrent het contract met PALMKI bevinden zich in de laatste fase. De school, die het belang van innovatie benadrukt, stelt dat de keuze voor dit systeem weloverwogen is en breed wordt gedragen zowel bij het onderwijzend personeel, de ouders en de ouderraad. In deze blog onze mening waarom het geen goed idee is om leerlingen te laten betalen met handpalm.

 

Hoe zit het met je privacy?

Het is meteen duidelijk dat hier vanuit privacy-oogpunt veel vragen bij te stellen zijn. Net zoals vingerafdrukken zijn handpalmafdrukken biometrische en dus gevoelige gegevens. Voor het gebruik hiervan is toestemming van de betrokkene vereist. Aangezien het merendeel van de leerlingen minderjarig is, zullen de ouders moeten toestemmen in hun plaats. Een belangrijke eigenschap van de toestemming is dat deze ‘vrij’ moet zijn. Wanneer er geen alternatief beschikbaar is en je als het ware wordt gedwongen, kun je niet van vrije toestemming spreken. De school zal dus een alternatief moeten voorzien voor het betalingssysteem met de handpalm, anders kan er geen sprake zijn van een vrije toestemming en worden de persoonsgegevens niet conform de GDPR verwerkt, wat aanleiding kan geven tot sancties.
Een belangrijke wettelijke verplichting bij het verwerken van persoonsgegevens is de beveiliging ervan. De school moet als verwerkingsverantwoordelijke de nodige technische en organisatorische maatregelen nemen om deze gegevens afdoende te beveiligen. Of zoals David Stevens, de voorzitter van de Gegevensbeschermingsautoriteit (GBA) het zegt: “Als uw wachtwoord wordt gestolen, kunt u het altijd wijzigen, maar uw vinger kan u niet vervangen. Daarom is het noodzakelijk om het hoogste veiligheidsniveau voor dit soort gegevens te garanderen en deze nooit lichtzinnig te behandelen.” Of de school hiertoe in staat is, is nog maar de vraag. We denken liever niet aan de -opzettelijk of onopzettelijke- openbaarmaking van honderden handpalmafdrukken van minderjarigen. Eerder deze maand nog werd bekend dat er een datalek had plaatsgevonden bij Suprema: onderzoekers verkregen toegang tot miljoenen biometrische gegevens zoals vingerafdrukken en afbeeldingen die gezichtsherkenning toelaten, waaronder 2000 vingerafdrukken van de werknemers van Adecco in België. Datalekken zijn schering en inslag en dit voorbeeld maakt pijnlijk duidelijk dat ook biometrische gegevens de dans niet ontsnappen. Dit zet de deur open naar identiteitsdiefstal en ondermijnt alle veiligheidssystemen die gebaseerd zijn op biometrische gegevens.

Is dit echt nodig?
De vraag is ook of het verzamelen van deze biometrische persoonsgegevens proportioneel is t.a.v. het nagestreefde doel, met name het uitvoeren van een betaling. Er zijn tientallen andere manieren te bedenken om op een veilige en minder indringende manier hieraan uitvoering te geven en die ook allen innovatiever zijn dan gebruik maken van kaartjes of bonnetjes, zoals bijvoorbeeld een app.
Eind vorig jaar formuleerde de GBA uit eigen beweging een negatief advies omtrent de registratie van vingerafdrukken op de elektronische identiteitskaart. Een parallel kan worden getrokken tussen de registratie van vingerafdrukken en de registratie van een handpalmafdruk. In haar advies wijst de GBA op het principiële verbod op de verwerking van biometrische gegevens. Dit verbod kan slechts worden opgeheven indien de evenredigheid met het nagestreefde doel wordt gewaarborgd en passende en specifieke beschermingsmaatregelen worden getroffen. Deze zijn momenteel nog niet gekend, maar het is reëel dat de risico’s op hacking en misbruik onvoldoende afgeschermd zijn. Daarnaast wijst de GBA er in haar advies op dat er voor dergelijke verwerkingen voorafgaand een gegevensbeschermingseffectbeoordeling (GEB of DPIA) moet worden uitgevoerd. Het is niet duidelijk of dit gebeurde, maar het is evident dat voor een verwerking van dergelijke gevoelige persoonsgegevens op zo’n grote schaal zeker een DPIA dient plaats te vinden.
De directie van Sint-Bavo gaf al aan dat ze zouden bekijken welke alternatieven mogelijk zijn wanneer er bezwaren zouden rijzen. Ons lijkt het, gezien bovenstaande bekommernissen, raadzaam om meteen over te schakelen op deze -hopelijk niet biometrische- alternatieven en het gebruik van de handpalmafdruk te laten voor wat het is.

Zo’n 17% van de Belgische bedrijven was vorig jaar het slachtoffer van een succesvolle cyberaanval, zo blijkt uit onderzoek van Microsoft. Bedrijven maken zich dan ook terecht zorgen over de risico’s die cyberincidenten met zich mee kunnen brengen. Toch heeft 8 op de 10 paradoxaal genoeg geen plan om met een aanval om te gaan.

Tijdens deze opleiding,die we samen met Voka Oost-Vlaanderen organiseren, bekijken we de verschillende dreigingen, welke risico’s eraan verbonden zijn en hoe u uw bedrijf voldoende kan beschermen.

Op het programma staan:
• Het cybersecuritylandschap: dreigingen en risico’s.
• Beveiligingsmaatregelen a.d.h.v. praktische voorbeelden.
• Hoe sensibiliseer ik mijn medewerkers over de gevaren?
• Compliancy benadering: een wettelijk kader.
• Een vooruitblik: de toekomst van digitale veiligheid en privacy.

Wanneer?
Maandag 23 september 2019 van 13u30 tot 17u00 bij Voka Box in Gent

Inschrijven kan via Voka
Dit seminarie wordt georganiseerd in samenwerking met Voka. Inschrijven kan heel eenvoudig via hun website via deze link.
Indien je er niet bij kan zijn maar wel interesse hebt in deze topic dan kan je uiteraard altijd rechtstreeks contact opnemen met ons voor een vrijblijvend kennismakingsgesprek.
Tot gauw!

Audit Vlaanderen kwam tot de conclusie dat heel wat lokale besturen ondermaats scoren bij informatiebeveiliging.

Informatiebeveiliging: “De beveiliging van informatie tegen vernietiging, verlies, wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden of opgeslagen informatie

Het gaat om de beveiliging van alle informatie, waaronder ook persoonsgegevens. De GDPR zelf voorziet principieel dat organisaties de integriteit en vertrouwelijkheid van persoonsgegevens moeten waarborgen!

Persoonsgegevens moeten door het nemen van passende technische of organisatorische maatregelen op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging.

Probleempunten

Uit het rapport blijken voornamelijk volgende punten problematisch:

  • Leveranciersrelaties;
  • Bewustzijn van medewerkers;
  • Technisch beheer (cryptografie, onderhoud systemen, …);
  • Incidentenbeheer;

Positieve noot

Er is dus nog heel wat ruimte voor verbetering. Anderzijds merkt het verslag wel op dat er hier en daar wel goed wordt gewerkt: zo is er speciale vermelding voor besturen die medewerkers sensibiliseren en trainen op vlak van privacy & informatieveiligheid.

Naast eigen incidenten en persaandacht voor incidenten elders blijkt ook het einde van de inwerkingtredingsperiode van de AVG een goede aanleiding om ad-hoc-infosessies te organiseren.

Sensibilisering

IFORI kan uw gemeente of OCMW bijstaan door te voorzien in sensibiliseringssessies omtrent informatieveiligheid en/of privacy. Dit deden we reeds voor lokale besturen, met een positieve vermelding tot gevolg.

Oplossing

Tot slot geeft het rapport enkele aanbevelingen mee waarmee elk lokaal bestuur aan de slag kan om haar informatieveiligheid te verbeteren.

Neem uiteraard gerust contact met ons op indien u zich hierover extern wil laten adviseren door experten op vlak van informatieveiligheid & privacy bij lokale besturen.

GDPR, DPO… U mag CWC aan het (to do) lijstje toevoegen.

Het idee van een cyberweerbaarheidscertificaat (FR: certificat de cyberrésilience) voor bedrijven werd deze week gelanceerd door het Strategisch Comité. Het is duidelijk dat, na de GDPR, niemand van de partners rond de tafel nog nieuwe verplichtingen wil/durft opleggen aan de bedrijven rond cyber security. Enkel een sterke aanmoediging… Daarom wil de Belgische regering werken aan een certificaat dat bedrijven kunnen behalen en aantoont dat niet alleen het betrokken bedrijf maar ook haar volledige distributieketen ‘weerbaar is’ tegen cybercriminaliteit. Dit staat los van de certificaten die de Gegevensbeschermingsautoriteit (de vroegere Privacycommissie) nog in het leven kan roepen.

Wat de criteria zullen zijn, wie zal instaan voor de controle en de toekenning en wat de impact ervan zal zijn bij het brede publiek van het nieuwe label, valt af te wachten. Wij volgen het evident verder voor u op.

Alles is te lezen in het Nationaal Pact voor Strategische Investeringen dat het Strategisch Comité op 11 september 2018 voorgesteld heeft: https://www.premier.be/sites/default/files/articles/Report_FULL-NL_WEB_FINAL.pdf

 

Heeft u vragen hoe u nu al uw cyberweerbaarheid kan verbeteren, zoekt u een doorlichting van uw weerbaarheid op vandaag of zoekt u een opleiding van uw mensen rond cyber security, laat het ons weten, we helpen u graag verder. Op vandaag heeft IFORI als expert reeds duizenden personeelsleden binnen bedrijven en organisaties opgeleid en gesensibiliseerd rond cyberveiligheid.