25 mrt 2016 Beveiliging contactformulier op websites fysiotherapeuten

Beveiliging contactformulier op websites fysiotherapeuten

Van verschillende fysiotherapeuten heeft de Autoriteit Persoonsgegevens de vraag gekregen hoe zij het contactformulier op hun website moeten beveiligen. Zij vragen zich vooral af wanneer zij een beveiligde verbinding (https) moeten gebruiken. De Autoriteit Persoonsgegevens heeft daarom een brief met uitleg geschreven aan de KNGF, de overkoepelende vereniging van fysiotherapeuten. In deze brief licht de Autoriteit Persoonsgegevens toe hoe fysiotherapeuten de  beveiligingsnormen uit de Wet bescherming persoonsgegevens (Wbp) kunnen toepassen om het contactformulier op hun website goed te beveiligen.

Verwerking bijzondere persoonsgegevens

De belangrijkste vraag hierbij is of  de fysiotherapeut via het contactformulier bijzondere persoonsgegevens verwerkt, waaronder gezondheidsgegevens en het burgerservicenummer (BSN) van patiënten. Zo ja, dan moet de fysiotherapeut de gehele webapplicatie via https aanbieden.  Zo nee, dan moet de fysiotherapeut zelf op basis van een risicoanalyse en classificatieschema  vaststellen of het nodig is om de webapplicatie via https aan te bieden. Lees verder “Beveiliging contactformulier op websites fysiotherapeuten” »

9 mrt 2016 Verwerking van gegevens van Fitness trackers door werkgever mag niet!

Verwerking van gegevens van Fitness trackers door werkgever mag niet!

Twee bedrijven zijn na onderzoek van de Autoriteit Persoonsgegevens (AP) gestopt met het verwerken van gezondheidsgegevens van hun werknemers via wearables. Beide bedrijven hadden hun werknemers een armband gegeven waarmee de werkgever inzicht kreeg in de hoeveelheid beweging van de werknemers. Een van de werkgevers had ook inzicht in het slaappatroon. Dit is in strijd met de Wet bescherming persoonsgegevens (Wbp). “Een werkgever mag zo’n armband natuurlijk wel cadeau geven, maar het is niet de bedoeling om vervolgens gegevens over de gezondheid van werknemers in te zien. Ook niet als een medewerker hier toestemming voor geeft”, aldus Wilbert Tomesen, vicevoorzitter van de Autoriteit Persoonsgegevens. Lees verder “Verwerking van gegevens van Fitness trackers door werkgever mag niet!” »

15 feb 2016 AP vraagt extra aandacht voor privacy van patiënten

AP vraagt extra aandacht voor privacy van patiënten

Privacy blijft belangrijk! De Autoriteit Persoonsgegevens heeft in een open brief aan Raden van Bestuur van zorginstellingen in Nederland aandacht gevraagd voor de bescherming van patiëntgegevens. De toezichthouder benadrukt in haar brief dat het zorgvuldig omgaan met patiëntgegevens integraal deel uitmaakt van goede patiëntenzorg. “Een leidende rol van de Raad van Bestuur is hierbij onmisbaar”, zegt Wilbert Tomesen, vicevoorzitter van de Autoriteit Persoonsgegevens. “Vertrouwelijke omgang met patiëntgegevens is in de gezondheidszorg essentieel. Mensen hebben recht op bescherming van hun persoonsgegevens. Onzorgvuldigheid hierbij zou mensen bovendien kunnen afschrikken om tijdig hulp te vragen”. Lees verder “AP vraagt extra aandacht voor privacy van patiënten” »

5 feb 2016 Verklaring privacytoezichthouders Schrems-uitspraak Europees Hof

Verklaring privacytoezichthouders Schrems-uitspraak Europees Hof

De Europese privacytoezichthouders, verzameld in de Artikel 29-werkgroep, hebben tijdens een bijeenkomst op 2 en 3 februari de gevolgen besproken van de Schrems uitspraak van het Europees Hof van Justitie voor doorgiftes van persoonsgegevens naar andere landen. Zij verwelkomen het feit dat de onderhandelingen tussen de EU en de VS hebben geleid tot overeenstemming over de introductie van een ‘EU-VS privacyschild’ voor de deadline die de toezichthouders in oktober hebben gesteld. Eurocommissaris Jourová (Justitie) heeft toegezegd binnen drie weken het conceptbesluit met alle onderliggende documenten aan de Europese toezichthouders te sturen met het verzoek de Europese Commissie daarover te adviseren. De toezichthouders zullen op basis van die documenten inhoudelijk beoordelen of het nieuwe akkoord voldoet aan de eisen van het Europees Hof van Justitie en op een extra bijeenkomst bij elkaar komen. Lees verder “Verklaring privacytoezichthouders Schrems-uitspraak Europees Hof” »

3 feb 2016 EU-VS Privacy Shield de Nieuwe Safe Harbor?

EU-VS Privacy Shield de Nieuwe Safe Harbor?

Op 2 februari zijn de Europese Commissie en de VS akkoord gegaan met een ‘nieuwe Safe Harbor’ om zodoende een nieuwe privacy standaard neer te zetten voor het uitwisselen van data tussen de EU en de VS. De nieuwe regeling is nog niet van kracht maar het huidige akkoord maakt de route vrij voor verdere implementatie van de geaccordeerde afspraken, deze implementatie zal de komende maanden uitgevoerd gaan worden.

The EU-VS Privacy Shield

Hoewel de exacte inhoud van het Privacy Shield nog niet bekend is (gemaakt) onderstaand enkele belangrijke nieuwe regelingen: Lees verder “EU-VS Privacy Shield de Nieuwe Safe Harbor?” »

16 dec 2015 Historisch moment voor de Europese privacy: Akkoord over Algemene Verordening Gegevensbescherming

Historisch moment voor de Europese privacy: Akkoord over Algemene Verordening Gegevensbescherming

19 jaar na het akkoord van de huidige Europese privacyrichtlijn Directive 95/46/EC is akkoord bereikt over de opvolger: De Algemene Verordening Gegevensbescherming (AVG) of General Data Protection Regulation (GDPR).

De AVG, het resultaat van intensieve onderhandelingen sinds januari 2012, brengt een aantal veranderingen met zich mee waaronder:

  • Geldt voor de Verantwoordelijke als voor de Bewerker van persoonsgegevens van EU burgers, ongeacht de locatie van hun hoofdkantoor.
  • Meldplicht voor datalekken
  • Opleggen van boetes tot 4 procent van de jaaromzet
  • Aanstellen van een Data Protection Officer wordt voor bepaalde bedrijven verplicht
  • Er is sprake van ‘accountability’ waarmee bedoeld wordt dat de Verantwoordelijke verantwoordelijk is en hij moet aantoonbaar complaint zijn.
  • De verkregen toestemming van de Betrokkene moet indien naar gevraagd, aangetoond kunnen worden
  • Recht om vergeten te worden

Lees verder “Historisch moment voor de Europese privacy: Akkoord over Algemene Verordening Gegevensbescherming” »

9 dec 2015 CBP publiceert Beleidsregels meldplicht datalekken

CBP publiceert Beleidsregels meldplicht datalekken

Persbericht/9 december 2015

Alle bedrijven en overheden die persoonsgegevens verwerken op grond van de Wet bescherming persoonsgegevens (Wbp) zijn vanaf 1 januari 2016 verplicht om een ernstig datalek direct te melden aan de Autoriteit Persoonsgegevens, tot die tijd College bescherming persoonsgegevens (CBP) genaamd. Het CBP heeft vandaag de definitieve beleidsregels over deze nieuwe meldplicht datalekken gepubliceerd. De beleidsregels helpen organisaties bij het bepalen of er sprake is van een datalek dat zij moeten melden bij de Autoriteit Persoonsgegevens en eventueel aan de betrokkenen. Of een datalek gemeld moet worden is afhankelijk van de (potentiële) impact van het datalek op de bescherming van de persoonsgegevens en de persoonlijke levenssfeer van betrokkenen. “De verwachting is dat beveiliging van persoonsgegevens een veel hogere prioriteit krijgt bij de ontwikkeling van producten en diensten. De meldplicht datalekken is geen doel op zich, maar een middel om te zorgen dat datalekken worden voorkomen”, dat zegt CBP-voorzitter Jacob Kohnstamm tijdens zijn speech op het congres van de Dag van de Privacy Officer.  Lees verder “CBP publiceert Beleidsregels meldplicht datalekken” »

9 nov 2015 Privacy van Niet-gebruikers WhatsApp beter beschermd

Privacy van Niet-gebruikers WhatsApp beter beschermd

WhatsApp biedt aanvullende bescherming aan niet-WhatsApp-gebruikers na onderzoek door het College bescherming persoonsgegevens (CBP). WhatsApp verwerkt de telefoonnummers van niet-gebruikers nu op een andere manier en heeft ook de bewaarmethode veranderd. Naar het oordeel van het CBP heeft het bedrijf hierdoor nu een wettelijke basis om deze gegevens te verwerken.

In januari 2013 heeft het CBP een rapport uitgebracht over een onderzoek dat in samenwerking met de Canadese privacytoezichthouder OPC is gedaan naar de verwerking van persoonsgegevens door WhatsApp. Het CBP concludeerde toen dat WhatsApp voor zijn dienstverlening van de gebruiker ook toegang kreeg tot de mobiele telefoonnummers van niet-gebruikers in zijn elektronisch adresboek. Lees verder “Privacy van Niet-gebruikers WhatsApp beter beschermd” »

2 nov 2015 Kabinet scherpt toegang en gebruik van bewaarde telefoon- en internetgegevens aan omwille van bewaarplicht

Kabinet scherpt toegang en gebruik van bewaarde telefoon- en internetgegevens aan omwille van bewaarplicht

Een officier van justitie die gebruik wil maken van telefoon- en internetgegevens, die door telecomaanbieders worden bewaard met het oog op de opsporing en vervolging van ernstige strafbare feiten, heeft voortaan toestemming nodig van de rechter-commissaris. De ministerraad heeft met dit wetsvoorstel ingestemd op voorstel van minister Van der Steur van Veiligheid en Justitie. Van der Steur: ‘Het gebruik van deze gegevens is voor de opsporing van criminelen van groot belang.’

Bewaarplicht telecommunicatiegegevens

De rechterlijke toets dient voor de burgers als extra waarborg. Ze komt bovenop andere, al langer bestaande vormen van toezicht of controle op de bewaarplicht en de toegang tot telecommunicatiegegevens. Daarbij gaat het onder meer om de bevoegdheden van het Agentschap Telecom en het College bescherming persoonsgegevens. Lees verder “Kabinet scherpt toegang en gebruik van bewaarde telefoon- en internetgegevens aan omwille van bewaarplicht” »

2 nov 2015 Organisaties verspillen jaarlijks 6 ton aan opslag nutteloze data

Organisaties verspillen jaarlijks 6 ton aan opslag nutteloze data

“Organisaties verspillen jaarlijks 6 ton aan opslag nutteloze data” zo schrijft de automatiseringsgids. Los van dat het zonde is van het geld kan het in het kader van Wet beschermings persoonsgegevens ook nog eens strafbaar zijn om bepaalde data te lang te bewaren.

Wbp Artikel 10 (Bewaren)
 1. Persoonsgegevens worden niet langer bewaard in een vorm die het mogelijk maakt de betrokkene te identificeren, dan noodzakelijk is voor de verwerkelijking van de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt.
 2. Persoonsgegevens mogen langer worden bewaard dan bepaald in het eerste lid voor zover ze voor historische, statistische of wetenschappelijke doeleinden worden bewaard, en de verantwoordelijke de nodige voorzieningen heeft getroffen ten einde te verzekeren dat de desbetreffende gegevens uitsluitend voor deze specifieke doeleinden worden gebruikt.

Zorg dus als organisatie dat tijdig oude data opgeschoond wordt dat bespaard niet alleen geldt maar voorkomt ook nog eens een mogelijke boete.