Berichten

De Nederlandse overheid liet een DPIA (Data Protection Impact Assessment) uitvoeren op Microsoft Office ProPlus. Uit deze DPIA bleek dat Microsoft op grote schaal persoonsgegevens verwerkt over het gedrag van gebruikers. De verzameling van die persoonsgegevens gebeurt zonder dat de gebruiker hierover geïnformeerd wordt, zonder toestemming van de gebruiker, zelfs zonder dat de gebruiker dit kan uitschakelen of zelfs nog maar kan zien over welke gegevens het gaat.

Gegevens over gebruik Office

Microsoft slaat gegevens op van het gebruik van Word, Excel, Powerpoint en Outlook (zowel de online versies als de lokaal geïnstalleerde versies). Microsoft heeft een pilot lopende om de gegevens van die programma’s op te slaan in de Microsoft Cloud (via Sharepoint en OneDrive).

Microsoft verzamelt diagnostische gegevens over de handelingen van de gebruiker via ingebouwde telemetriesoftware. De verzamelde gegevens worden periodiek in een batch naar de servers van Microsoft in de US gestuurd. Bij online gebruik van diensten (bijvoorbeeld de online versie van Office 365) wordt het gebruik ook vastgelegd in de logbestanden van Microsoft zelf.

Het is echter niet duidelijk welke inhoud van bestanden met deze diagnostische gegevens worden opgeslagen. Zo blijkt dat deze diagnostische gegevens onder andere bevatten welke woorden voor en na een woord dat u wil vertalen komen. Microsoft heeft bijvoorbeeld ook aangegeven dat ze niet de inhoud van e-mails opslaat, maar de logbestanden van Microsoft geven wel de onderwerp-titels van e-mail weer. Voorlopig is het onmogelijk om als gebruiker te zien welke gegevens precies worden verzameld en doorgestuurd.

Onderhandelingen met de Nederlandse overheid

Gezien potentieel heel wat gegevens met een hoog risico op die manier door Microsoft worden verwerkt zonder toestemming of passende garanties is duidelijk dat er actie ondernomen moet worden. De Nederlandse overheid, die gebruik maakt van Microsoft en 300.000 gebruikers uitmaakt, is daarom in onderhandeling getreden met Microsoft om deze problemen te verhelpen.

Microsoft heeft naar aanleiding van de DPIA zero exhaust settings ontwikkeld, waardoor er zo geen telemetriegegevens meer zouden verzameld worden (als de zero exhaust settings aangezet worden). Deze initiatieven zijn wel een begin, maar er blijven nog een aantal problemen over, niet in het minst de reeds gedane verwerkingen van persoonsgegevens.

Wat te doen?

Theoretische technische maatregelen

Ervan uit gaand dat de optie ooit toegankelijk wordt, kan de office beheerder de zero exhaust settings toepassen voor alle gebruikers. Daarnaast kan hij de vrijwillige connected services uitschakelen (zoals de online spellingschecker en vertaalservice). Microsoft vraagt ook om gegevens te delen om Office te verbeteren, maar de beheerder kan uitschakelen dat gebruikers deze melding krijgen (en zo hun gegevens delen).

Het gebruik van de Microsoft Cloud, zoals Sharepoint en OneDrive is op zich problematisch. Het kan aangewezen zijn enkel lokaal geïnstalleerde versies van Office te gebruiken en niet de online versie van Office 365.

Tot slot kan men ook opteren voor alternatieve software. Hierbij moet men natuurlijk wel uitkijken dat deze software niet aan dezelfde gegevensrisico’s is blootgesteld als Office.

Haalbare organisatorische maatregelen

Bovenstaande technische maatregelen laten echter niet toe om het risico bij het gebruik van Office volledig uit te sluiten, noch zijn ze voor iedereen haalbaar. En zoals de Nederlandse overheid zelf in onderhandeling treden met Microsoft lijkt weinig realistisch.

Het is echter geen optie om geheel niks te ondernemen, gezien je dan in de problemen komt met je eigen GDPR-verplichtingen. Deze realiteit moet worden meegenomen in uw risicoanalyse en veiligheidsplan/beleid. Bij stilzitten van Microsoft kan bijvoorbeeld beleidsmatig worden uitgemaakt om op termijn te kijken naar alternatieven. Daarnaast kan men de Gegevensbeschermingsautoriteit raadplegen in het kader van de residuele risico’s die blijken uit de DPIA van de Nederlandse overheid.

 

Audit Vlaanderen kwam tot de conclusie dat heel wat lokale besturen ondermaats scoren bij informatiebeveiliging.

Informatiebeveiliging: “De beveiliging van informatie tegen vernietiging, verlies, wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden of opgeslagen informatie

Het gaat om de beveiliging van alle informatie, waaronder ook persoonsgegevens. De GDPR zelf voorziet principieel dat organisaties de integriteit en vertrouwelijkheid van persoonsgegevens moeten waarborgen!

Persoonsgegevens moeten door het nemen van passende technische of organisatorische maatregelen op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging.

Probleempunten

Uit het rapport blijken voornamelijk volgende punten problematisch:

  • Leveranciersrelaties;
  • Bewustzijn van medewerkers;
  • Technisch beheer (cryptografie, onderhoud systemen, …);
  • Incidentenbeheer;

Positieve noot

Er is dus nog heel wat ruimte voor verbetering. Anderzijds merkt het verslag wel op dat er hier en daar wel goed wordt gewerkt: zo is er speciale vermelding voor besturen die medewerkers sensibiliseren en trainen op vlak van privacy & informatieveiligheid.

Naast eigen incidenten en persaandacht voor incidenten elders blijkt ook het einde van de inwerkingtredingsperiode van de AVG een goede aanleiding om ad-hoc-infosessies te organiseren.

Sensibilisering

IFORI kan uw gemeente of OCMW bijstaan door te voorzien in sensibiliseringssessies omtrent informatieveiligheid en/of privacy. Dit deden we reeds voor lokale besturen, met een positieve vermelding tot gevolg.

Oplossing

Tot slot geeft het rapport enkele aanbevelingen mee waarmee elk lokaal bestuur aan de slag kan om haar informatieveiligheid te verbeteren.

Neem uiteraard gerust contact met ons op indien u zich hierover extern wil laten adviseren door experten op vlak van informatieveiligheid & privacy bij lokale besturen.

Apple heeft onlangs bekend gemaakt dat vanaf 3 oktober 2018 iedereen die een nieuwe App wil lanceren of een bestaande App wil updaten, verplicht een privacy policy moet opnemen in zijn App, alsook in de metadata van de App Store. Apps die niet voldoen aan deze vereiste zullen vanaf dan geweerd worden uit de App Store.

Nieuwe App Store Review Guidelines

Wie dus een App wil lanceren of updaten zal vanaf 3 oktober een privacy policy moeten opstellen. Deze privacy policy zal moeten voldoen aan de nieuwe App store review guidelines. Deze guidelines lijken heel wat van hun mosterd gehaald te hebben bij de GDPR. Apple heeft echter de bepalingen geconcretiseerd voor mobiele applicaties en is soms strenger dan de GDPR.

Zo heeft Apple bijvoorbeeld concrete regels opgesteld voor gezondheidsapps. Ook heeft ze een aantal toepassingen waarvoor locatiegegevens gebruikt kunnen worden uitgesloten. In haar best practices geeft Apple mee hoe purpose strings gebruikt kunnen worden om gebruikers toestemming te laten geven voor het gebruiken van systeemtoepassingen zoals de camera of microfoon.

Google Play

Niet enkel Apple is bezig geweest met haar guidelines te updaten. Google verplicht het opnemen van een privacy policy al langer voor Apps die persoonsgegevens verzamelen. Is uw privacy policy niet in orde, dan zal Google uw App weren uit de Play store. Google vereist ook de naleving van de GDPR door ontwikkelaars die via hun Apps gegevens van personen in de EU verwerken.

GDPR Conform

Ontwikkelaars van Apps moeten naast het naleven van Googles en Apples guidelines vooral ook de GDPR naleven. Wie denkt dat het ergste dat kan gebeuren een exclusie van de Apple App store of Google Play store is, zal mogelijks voor een onaangename verrassing komen te staan.

In Frankrijk heeft de gegevensbeschermingsautoriteit (CNIL) recent nog maar bekend gemaakt dat ze twee ontwikkelaars van marketing-software development kits voor Apps in gebreke heeft gesteld voor het niet-naleven van de verplichtingen die voortvloeien uit de GDPR. Volgens de CNIL waren de gebruikers van de Apps noch op de hoogte dat in de gedownloade App een software development kit geïntegreerd was die hun gegevens verzamelde, noch waarvoor de gegevens zouden gebruikt worden. Er kon dan ook geen rechtmatige toestemming gegeven zijn voor het verwerken van de gegevens. De gebruikers waren daarnaast ook niet op de hoogte van de identiteit van de verwerkingsverantwoordelijke voor hun gegevens.

CONCLUSIE

Zorg voor een geüpdatet privacy policy die in overeenstemming is met de vereisten van de platform-providers en de GDPR. Maar zorg er ook voor dat de inhoud van deze policy is aangepast aan jouw realiteit. Geef informatie over de verwerking die jouw organisatie doet, al dan niet via haar website, bijvoorbeeld: direct marketing, klantenadministratie, leveranciersbeheer, …

Denk ten slotte ook aan de verdere compliance met GDPR waaronder:

  • Heb ik een verwerkingsgrond en pas ik die correct toe? (bv. toestemming, uitvoering overeenkomst, …);
  • Heb ik specifiek overeenkomsten met mijn onderaannemers die ten behoeve van mijn organisatie persoonsgegevens verwerken?
  • Beveilig ik de persoonsgegevens wel voldoende?

Op 5 september 2018 is door de wetgever de “wet betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens” gepubliceerd. Zo goed als de gehele de wet is onmiddellijk van kracht gegaan. De wet in kwestie geeft uitvoering aan de GDPR, daarnaast wordt ook de richtlijn over het gebruik van persoonsgegevens door politie en strafrechtelijke autoriteiten erin omgezet.

Uitvoering van de verordening

Minderjarigen

GDPR gaf de lidstaten vrijheid in het vaststellen van de leeftijd waarop minderjarigen geacht worden rechtmatig hun toestemming te kunnen. De wetgever heeft besloten die leeftijd op 13 jaar te leggen. Als de minderjarige jonger is dan 13, zal de wettelijke vertegenwoordiger toestemming moeten geven.

Kinderen vanaf 13 jaar oud kunnen in België gebruik  maken van Facebook of Whatsapp zonder toestemming van hun ouders. (Minstens indien de voorwaarden van de service dit toelaten).

Specifieke verwerkingen

De wetgever heeft ook een lijst opgesteld met verwerkingen die zij als van zwaarwegend algemeen belang ziet. Bijvoorbeeld de verwerking beheerd door de stichting van openbaar nut “Stichting voor Vermiste en Seksueel Uitgebuite Kinderen”. Daarnaast zijn er ook heel wat beperkingen van de rechten van betrokkenen wanneer de verwerking gebeurt door de overheid, politiediensten, veiligheidsdiensten, etc. Ook de maatregelen die moeten genomen worden bij het verwerken van genetische, biometrische of gezondheidsgegevens worden gespecificeerd.

Uitzonderingen voor journalistieke doeleinden

Daarnaast moest het recht op privacy en het recht op informatie en vrijheid van meningsuiting worden afgewogen. De wetgever heeft dan ook specifieke uitzonderingen voorzien voor verwerkingen voor journalistiek en ten behoeve van academische, artistieke of literaire uitdrukkingsvormen.

Zo moet een journalist geen privacyverklaring bezorgen aan zijn geïnterviewde.

Definitie verwerking voor journalistieke doeleinden: “de voorbereiding, het verzamelen, opstellen, voortbrengen, verspreiden of archiveren ten behoeve van het informeren van het publiek, met behulp van elke media en waarbij de verwerkingsverantwoordelijke zich de naleving van journalistieke deontologische regels tot taak stelt”.

Vraag is in welke mate een (professionele) blogger, de naleving van die deontologie nastreeft en dus kan genieten van deze uitzonderingen?

Afdwingen in rechte

De voorzitter van de rechtbank van eerste aanleg is bevoegd om kennis te nemen van (stakings)vorderingen. De rechter waarborgt de afdwingen van deze wet en GDPR. Bijvoorbeeld een vordering tot verwijdering van persoonsgegevens. De procedure verloopt zoals in kortgeding en wordt ingesteld via verzoekschrift op tegenspraak.

We vertelden u all over de mogelijkheid tot een ‘class action‘ door een orgaan, organisatie of VZW . De wet bepaalt dat die actief moet zijn op het gebied van gegevensbescherming sedert ten minste drie jaar.

De Gegevensbeschermingsautoriteit (GBA) kan voortaan ook voor meer GDPR-verplichtingen corrigerende maatregelen nemen.

Strafrecht

Daarnaast bepaalt de wet ook de hoogte van de strafrechtelijke geldboetes die opgelegd kunnen worden voor overtredingen van de regelgeving. De GBA en het College van procureurs-generaal dienen een protocol af te sluiten met werkafspraken voor het geval zowel een administratieve als strafrechtelijke sanctie mogelijk is. Dit om het non bis in idem principe na te leven.

Tot het protocol er is, moet de procureur des Konings binnen de twee maanden na de ontvangst van het proces-verbaal melden aan de GBA of er strafrechtelijk zal vervolgd worden. Gebeurt dit niet, dan is enkel nog een administratieve sanctie mogelijk.

Tot slot verklaart de wet dat alle bepalingen van boek I van het Strafwetboek kunnen worden toegepast op de misdrijven omschreven bij deze wet of bij uitvoeringsbesluiten ervan, inclusief straffen voor deelneming aan een misdrijf en verzachtende omstandigheden.

Vaak vragen organisaties om een kopie van uw elektronische identiteitskaart (eID) om uw identiteit te verifiëren. Maar door gegevensbeschermingswetgeving, waaronder de GDPR, is dit in het merendeel van de gevallen niet zonder meer toegestaan. Organisaties staan voor een praktisch vraagstuk: hoe de identiteit van iemand controleren zonder de regelgeving te overtreden?

Rechten van betrokkenen onder GDPR

De GDPR geeft de burger een hele resem rechten waaronder het recht om aan een organisatie inzage te vragen in de persoonsgegevens die de organisatie van de betrokkene verwerkt en heeft men in bepaalde gevallen een recht op gegevenswissing.

Verificatie identiteit?

Om als organisatie in te gaan op de uitoefening van deze rechten door betrokkenen is het noodzakelijk dat u hun identiteit controleert. M.a.w. hoe weet u of de persoon die zijn rechten inroept weldegelijk is wie hij beweert te zijn? De gangbare praktijk is hier om een kopie van de identiteitskaart van de persoon in kwestie te vragen.

Maar de verwerking van kopieën van identiteitskaarten is verboden, behoudens uitzonderingen. De Gegevensbeschermingsautoriteit (GBA) stelt duidelijk enkel de noodzakelijke persoonsgegevens mogen worden verwerkt. Gelet op het risico van identiteitsdiefstal zijn dit soort kopieën van een eID niet proportioneel.

Ironisch genoeg stelt de GBA een modelbrief ter beschikking voor de uitoefening van de rechten van een betrokkene die om een kopie van de identiteitskaart vraagt.

In een andere aanbeveling raadt de GBA wel aan om de niet-relevante gegevens op de kopie te doorstrepen. Hiermee legt ze eigenlijk de verantwoordelijkheid bij de burger. Als organisatie was het ook aangewezen in uw privacyverklaring eveneens deze verplichting op te nemen, om zelf geen onrechtmatige verwerking te doen.

Gierig met persoonsgegevens

Dat er nood is aan een handige tool om deze rompslomp te vermijden besefte ook de Nederlandse overheid en zij ging dan ook over tot het ontwikkelen van de KopieID app. Deze app maakt het mogelijk een foto te nemen van uw identiteitskaart met uw smartphone en onmiddellijk de persoonsgegevens te doorstrepen die niet relevant zijn. De app voorziet de kopie ook van een watermerk om fraude tegen te gaan. Ze vormt een eenvoudig te gebruiken tool die de toepassing van de GDPR in de praktijk heel gemakkelijk maakt (ook wel een Privacy-enhancing Technology of kortweg ‘PET’ genaamd).

Deze app is gratis te downloaden in de Apple App Store, de Google Play Store en voor Windows Phone.

Als verwerkingsverantwoordelijke kan je een verwijzing naar deze tool dan ook gebruiken om de personen van wie u persoonsgegevens verwerkt het makkelijk te maken hun identiteit te bewijzen op een correcte manier.

Neem gerust contact met ons op indien u uw privacyverklaring hierop wil voorzien.

Bron: Ministerie van Binnenlandse Zaken en Koninkrijksrelaties: https://www.rijksoverheid.nl/onderwerpen/identiteitsfraude/vraag-en-antwoord/veilige-kopie-identiteitsbewijs