AVG weer op orde via je AVG-verklaring

AVG-verklaring in je mailbox

Vorige week hebben alle gebruikers van het AVG-stappenplan weer de nieuwe AVG-verklaring ontvangen. Wij adviseren je om regelmatig alle punten nog eens goed door te nemen. .

Let bijvoorbeeld op zaken als: 
•    Heb je met je nieuwe softwareleverancier een verwerkersovereenkomst afgesloten?
•    Zijn je back-ups in orde
•    Klopt je privacyverklaring nog? 
•    Ben je extra gegevens van klanten of leden gaan opslaan?
•    Heb je nieuwe medewerkers en weten die hoe ze AVG-proof werken?
De wet verplicht bedrijven en organisaties om aan te tonen dat ze up-to-date zijn met hun AVG-verplichtingen. De AVG-verklaring is daarvoor het makkelijkste instrument.

Boete vanwege wifitracking

De eerste boete vanwege wifitracking is opgelegd. Gemeente Enschede heeft op samen met een leverancier gegevens van telefoons en dus mensen vastgelegd. Mensen konden gevolgd worden. Dat mag niet. Hiervoor heeft de gemeente een boete van 600.000 euro van de Autoriteit Persoonsgegevens (AP) gekregen.

Met zogeheten wifitracking wilde de gemeente Enschede in 2018 de drukte meten in de binnenstad. Hiervoor werd een bedrijf ingehuurd die in de hele binnenstad meetkastjes hadden geplaatst. Deze kastjes konden de wifisignalen van passerende mensen opvangen. Iedere telefoon werd apart geregistreerd en kreeg een unieke code. Door vervolgens alle telefoons te tellen kon men zien hoe druk het op een bepaald meetpunt was. Op zich lijkt dat niet heel ernstig, maar doordat de gemeente deze tracking over een langere periode heeft laten uitvoeren was er sprake van het volgen van mensen. En omdat de passerende mensen voor een langere tijd en zonder noodzaak werden gevolgd kon de privacy van de burgers niet meer worden gewaarborgd. 

AP heeft geconcludeerd dat er van de data is geen misbruik gemaakt, maar AP heeft deze werkwijze wel als zeer kwalijk bestempeld. 

Europese E-privacy wetgeving laat niet meer lang op zich wachten

De Europese e-Privacy verordening is een aanvulling op de Algemene verordening gegevensbescherming (AVG). 

Bij de e-Privacy verordening gaat het echter over elektronische communicatie zoals telefoon en internet maar cookies en de vertrouwelijkheid van e-mails, sms’jes en het gebruik van metadata. De regels van de verordening gelden onder andere bij het gebruik van social media, online marketing en het ophalen van gegevens door middel van het plaatsen van cookies.

De e-privacyregels zijn rechtstreeks toepasselijk omdat het om een verordening gaat. Dat houdt in dat alle consumenten en bedrijven op dezelfde manier worden beschermd. En ook zullen de regels in de hele Europese Unie uniform worden, net zoals bij de AVG. 

De regels zullen onder andere op de volgende punten gewijzigd worden: 
•    De cookieregels moeten door de nieuwe regels makkelijker worden. De mogelijkheid om cookies die een beperkte inbreuk op de privacy van betrokkenen maken zonder vereiste toestemming te plaatsen, blijft bestaan. Voor het plaatsen van tracking-cookies en marketing-cookies is nog wel toestemming vereist.
•    De regels gelden straks ook voor bedrijven zoals Facebook, Gmail of Whatsapp 
•    De verordening gaat op de regels van de AVG afgestemd worden. De bepalingen over het vragen van toestemming, het melden van datalekken en het opleggen van administratieve boetes door de toezichthoudende autoriteiten worden gelijkgetrokken.
Omdat een aantal lidstaten nog wil onderhandelen over enkele artikelen is het nog niet helemaal duidelijk wanneer de Europese Commissie de verordening kan aannemen. Op een datum van invoering is het dus nog wel even wachten maar de verwachting is dat het niet lang meer zal duren. Wellicht dat in Slovenië in het najaar de knoop al wordt doorgehakt. 

Het regent weer datalekken

De volgende datalekken zijn de afgelopen tijd gemeld: 
•    Bij Cloudinfrastructuur provider Digital Ocean heeft tussen 9 en 12 april een hacker toegang gehad tot klantgegevens en betaalinformatie
•    De CoronaMelder-app gaf gebruikers twee dagen lang geen meldingen meer als ze in de buurt zijn geweest van een met Corona besmet persoon. Hiertoe werd besloten vanwege het opgedoken privacy probleem op Android
•    Apple negeert datalek. Met AirDrop kunnen gebruikers makkelijk bestanden kunnen delen, maar heeft een beveiligingsfout. Daardoor zijn 1,5 miljard Apple-apparaten kwetsbaar en daarmee ook de gegevens van hun gebruikers
•    Beveiligingsincident bij gemeente Utrecht; namen van degenen die een WOB-verzoek hebben ingediend zijn gepubliceerd
Zorg er dus voor dat het je bedrijf of organisatie niet overkomt. De kosten en reputatieschade zijn vaak enorm. Je moet je klanten namelijk melden dat er een lek is. Dat kost in vrijwel alle gevallen klanten. 

AP publiceert privacyregels voor ondernemingsraden

Door thuiswerken zijn sommige werkgevers geïnteresseerd in manieren om hun personeel te monitoren. 

De ondernemingsraad (OR) kan daarbij een spelen. AP een handreiking gemaakt: het OR-privacy boekje.
Daarin staan: 
•    Regelingen verwerken personeelsgegevens over verzuim, salaris en personeelsdossiers
•    Personeelsvolgsysteem – cameratoezicht, GPS-systemen in (vracht)auto’s, wearables (zoals een smartwatch) en software die bijvoorbeeld toetsaanslagen, e-mailverkeer en/of internetgebruik van werknemers registreert.
•    Goed werkgeverschap - werkgevers moeten open en duidelijk zijn tegen hun werknemers. 
•    De OR heeft instemmingsrecht bij regelingen waarvoor persoonsgegevens van werknemers worden verwerkt.

AP meldformulier datalekken offline tussen 7 en 10 mei 

De Autoriteit Persoonsgegevens (AP) neemt vanaf a.s. maandag 10 mei een nieuw meldformulier voor datalekken in gebruik. 

Om de vernieuwing door te voeren is het vanaf aanstaande vrijdag 7 mei 9:00 uur tot en met maandag 10 mei 10:00 uur níet mogelijk om een datalek te melden.

AP houdt rekening met mogelijke vertraging.

De meldplicht datalekken houdt in dat zowel bedrijven als overheden direct - en uiterlijk binnen 72 uur - een melding moeten doen bij de AP wanneer zij een (ernstig) datalek hebben. 

Doordat het huidige formulier tijdelijk offline gaat, kan het zijn dat organisaties een datalek niet op tijd kunnen melden. De AP houdt daar rekening mee. Organisaties die een datalek tussen 7 en 10 mei 2021 hadden moeten melden bij de AP, moeten dit nu uiterlijk vrijdag 14 mei 2021 doen. 

Het nieuwe meldformulier bevat een aantal verbeteringen voor de gebruiker. Zo wordt het aanvullen van een eerdere melding eenvoudiger en kan de gebruiker tussentijds de voortgang opslaan om er op een later moment verder aan te werken. 

Bron: AVG voor verenigingen (https://avgverenigingen.nl/)