Blog-overzicht

Bij Privacy Company merken we duidelijk een overgang in het soort werk dat we doen voor klanten sinds de Algemene Verordening Gegevensbescherming (AVG) van toepassing is. Organisaties hebben veelal de verplichtingen geïmplementeerd binnen de organisatie en steken nu meer moeite in het vasthouden van het behaalde niveau. Denk hierbij aan het instellen van een Plan Do Check Act cyclus voor privacy en gegevensbescherming, of het uitvoeren van een Data Protection Impact Assessment (DPIA) op een nieuw systeem of dienst (artikel 35 AVG). Over deze laatste verplichting gaat deze blog, en wel in het bijzonder over het openbaar maken van een uitgevoerde DPIA. Ik vertel je over de redenen om een DPIA openbaar te maken met wat tips hoe je dit het beste kunt doen!

Privacy Company bestaat vijf jaar. Privacy doe je niet alleen. Dat doe je met mensen. Zij zijn het die het verschil maken binnen organisaties. We hebben de afgelopen vijf jaar met veel plezier samengewerkt en kijken uit naar nog veel meer samenwerking.

In de afgelopen weken vertelden we over een aantal misverstanden die wij bij organisaties wel eens tegenkomen. Maar nou doen wij meer dan alleen dit soort misverstanden aan de orde stellen; wij helpen organisaties ook graag om deze misverstanden te voorkomen.…

Hoewel iedereen hoopt dat er op het laatste moment nog een deal komt tussen het Verenigd Koninkrijk en de Europese Unie, wordt die kans met de dag kleiner. Zelfs als de EU nog een keer uitstel verleent, is het nu de hoogste tijd om maatregelen te nemen om ervoor te zorgen dat je gegevens beschermd blijven als ze in het Verenigd Koninkrijk worden verwerkt of opgeslagen. Deze blog beschrijft vijf manieren om aan de AVG te blijven voldoen.

'Door de AVG mag ik helemaal niets meer,' horen wij soms. Nou, dat is niet helemaal het geval hoor. Sinds de Algemene verordening gegevensbescherming (AVG) van toepassing is, zijn er een aantal dingen veranderd. Zo heb je als organisatie meer verantwoordelijkheden bij het verwerken van persoonsgegevens en zijn er een aantal rechten van betrokkenen bijgekomen. Maar de meeste regels uit deze verordening zijn echter niet nieuw.

‘Ik meldde mijn datalek niet, omdat ik bang was om te worden ontslagen,’ horen wij wel eens. Nou, dat is natuurlijk niet de bedoeling. Vervolgens luidt dan vaak de vraag; maar waar ben je precies bang voor? En dan blijkt dat het vaak gaat om een schuldgevoel of angst voor repercussies. Maar hoe voorkom je dit?

“Ik moet overal toestemming voor vragen,” horen wij wel eens. Nou, dat klinkt heel vervelend. Helemaal omdat dit niet altijd hoeft.

Hoe vertel ik het mijn medewerkers? Dat was de meest gestelde vraag tijdens de bijeenkomst op 15 augustus 2019 over de uitkomsten van de privacyonderhandelingen van de overheid met Microsoft. Hoe vertel ik mijn medewerkers dat ze de mobiele Office apps, zoals Outlook inclusief de agenda, niet mogen gebruiken op hun smartphone?

Frank vertelt over de uitspraak dat de Data Protection Officer/ Functionaris voor de Gegevensbescherming een schaap met vijf poten zou zijn. Los van de weinig flatterende vergelijking, wil hij hier een kanttekening bij maken.

‍Tijd voor een tussenstand over ons Big Privacy project, waarin we een raamwerk ontwikkelen voor het in de praktijk brengen van Privacy by Design (PbD). Dit project, gesteund door het SIDN Fonds, is bedoeld om bedrijven en andere organisaties te helpen bij het vormgeven van PbD. Het raamwerk moet tevens toepasbaar zijn voor big data toepassingen.

In opdracht van het Ministerie van Justitie en Veiligheid heeft Privacy Company onderzoek gedaan naar de privacyrisico’s van Microsoft Windows 10 Enterprise, Office 365 ProPlus en Office Online + de mobiele Office apps. Met toestemming van het Ministerie publiceren wij twee blogs over onze bevindingen, deze lange blog en een korte blog. Voor vragen over het onderzoek kunt u zich wenden tot SLM Microsoft Rijk (Strategisch Leveranciersmanagement Microsoft Rijk), bereikbaar via perswoordvoering van het ministerie van Justitie, 070 370 73 45.

Data protection by design is een vereiste uit de Algemene verordening gegevensbescherming (AVG). Dat wil zeggen dat je tijdens de ontwikkeling van een dienst of product rekening dient te houden met de risico’s die betrokkenen lopen als gevolg van jouw dienst of product. En dat je vervolgens maatregelen dient te nemen om die risico’s te beperken. Maar hoe laat je ontwikkelaars van diensten en producten inzien wat de risico’s zijn die betrokkenen lopen? En hoe creëer je kennis die blijft hangen en inzichten die impact hebben op het ontwerp? Met ‘Privacy Designer: the game’, bijvoorbeeld.

Heel verstandig. Jij bent goed bezig! Echter zijn veilige wachtwoorden en een clean desk beleid voorbeelden van informatiebeveiliging; niet direct van gegevensbescherming. Er is dus een verschil tussen gegevensbescherming en informatiebeveiliging.

We zullen 25 mei 2018 niet snel vergeten. Na een periode van keihard werken om onze klanten te helpen en om zelf AVG-compliant te zijn op die datum, werd er hier op kantoor een memorabel feestje gevierd. Nu, een jaar nadat de AVG van toepassing is, ziet de dagelijkse privacy praktijk er weer heel anders uit. Dit komt met name omdat privacy en gegevensbescherming steeds meer structureel onderdeel wordt van de dagelijkse bedrijfsvoering. In deze blog bespreek ik de tussenstand.

‘Wij zijn 100% compliant’ horen wij soms. Hoewel het zelfs een hele klus is om in theorie te omschrijven wat dit inhoudt, is het praktisch al helemaal lastig om dit te behalen. Denken dat je 100% compliant bent, kan een valkuil zijn, want handelen in overeenstemming met de geldende privacywet- en regelgeving is een continu proces en geen eenmalige meting. Maar, waarom eigenlijk?

Als je kijkt naar de 10 stappen die de Autoriteit Persoonsgegevens heeft opgesteld om organisaties te helpen om zich voor te bereiden op de AVG, dan is het creëren van bewustwording de eerste stap. Dat is te begrijpen, want het is van cruciaal belang om bewustwording onder de werknemers te creëren als je als organisatie grip wilt houden op het onderwerp. Niet alleen van wat het onderwerp precies omvat, maar ook wat het voor de organisatie betekent. Hoe je zo’n interne ‘awareness campagne’ kan aanpakken, is te lezen is deze blog!

Wij zijn op zoek naar adviseurs en vonden dat een mooie aanleiding om kort aan te geven waarom het voor jou leuk is om bij Privacy Company te werken. Hieronder een paar van de redenen waarom jij bij ons zou moeten komen werken!

De uitspraak dat de Data Protection Officer (DPO) verantwoordelijk is voor privacy, is een misverstand. De DPO is namelijk niet persoonlijk verantwoordelijk voor de niet-naleving van de AVG.

De Algemene verordening gegevensbescherming (AVG) stelt in artikel 25 de toepassing van data protection by design (of Privacy by Design, PbD) verplicht. In het ontwerp van een systeem of dienst moeten aspecten uit de AVG worden meegenomen, zodat de privacybelangen van betrokkenen over wie gegevens worden verwerkt goed gewaarborgd zijn. Dat kan kort gezegd op twee manieren: door technische maatregelen en door organisatorische maatregelen. Vaak wordt vooral de technische kant uitgelicht en gaat het bijvoorbeeld over versleuteling van gegevens, pseudonimiseren, beveiligde verbindingen en manieren om te anonimiseren. Over de organisatorische kant wordt minder gesproken. Wellicht omdat de technische insteek makkelijk aansluit bij ICT beheerders en informatiebeveiligingsfunctionarissen die PbD als taak meekrijgen, terwijl de organisatorische kant meer als een juridisch feestje (contracten) wordt bestempeld. In deze blog wordt er daarom eens aandacht besteed aan de organisatorische kant van PbD.

Op 29 maart 2019 presenteerde de Onderzoeksraad voor Veiligheid het onderzoek naar de forensisch-psychiatrische kliniek in Den Dolder waar Michael P. werd voorbereid op zijn terugkeer in de maatschappij. In deze kliniek had Michael P. enkele vrijheden waardoor het tijdens dit verblijf op 29 september 2017 voor hem mogelijk werd om Anne Faber om het leven te brengen. Voor dit feit is Michael P. inmiddels veroordeeld.

Dat de AVG alleen geldt voor digitale documenten is een misverstand. Sterker nog: een groot gedeelte van de beveiligingsincidenten met persoonsgegevens heeft te maken met geprinte documenten.

Bewustwording is een van de meest belangrijkste onderdelen van AVG compliance. Sinds de AVG van toepassing is, zien we veel organisaties die serieus aan de slag zijn gegaan met voorlichtingscampagnes en training. Maar hebben al die bewustwordingsinitiatieven effect? En hoe kan je dat meten? Vorige maand waren Roseanne, Tessa en Iris bij DNB in Amsterdam voor een seminar georganiseerd door Security Awareness NL. Het grote thema van de avond was “is meten ook weten?”. Spoiler alert: ja, maar dan moet je wel weten wat je moet meten, hoe je moet meten en wat je met deze meetresultaten kan doen. Lees hier meer over in deze blog.

Privacy-schandalen in het nieuws gaan vaak over gigantische datalekken bij bijvoorbeeld Facebook of Uber. Daarom wordt ten onrechte wel eens gedacht dat de AVG er alleen is voor tech giganten en social media bedrijven. Dat klopt natuurlijk niet.

Privacyverklaringen zijn belangrijk. Ze geven inzicht in het verwerken van persoonsgegevens door organisaties. De vraag is echter hoeveel inzicht ze geven aan de meeste lezers. De Algemene Verordening Gegevensbescherming (AVG) vraagt om uitleg over het verwerken van persoonsgegevens in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm (AVG art 12 lid 1). Toch lijken de meeste privacyverklaringen lange teksten met, voor de meeste lezers, ingewikkeld juridisch jargon. In samenwerking met ECP, SURFnet en Pineapple Jazz heeft Privacy Company daarom het Privacy Label ontwikkeld. Het Privacy Label helpt lezers op een makkelijke manier inzicht te geven in wat er met hun persoonsgegevens gebeurt. Het is geen apart product, maar een aanvulling op de al bestaande privacyverklaring die een organisatie heeft.

Organisaties die persoonsgegevens verwerken, hebben de wettelijke (en morele) plicht de privacy van personen te beschermen. Vanuit de privacywet Algemene Verordening Gegevensbescherming (AVG) is een goede beveiliging van persoonsgegevens een absolute ‘must’. De AVG vereist dat organisaties persoonsgegevens passend beveiligen in overeenstemming met de stand van de techniek. De wet beschrijft alleen niet hoe organisaties informatie moeten beveiligen. Daarom hebben veel organisaties de vraag: wat zijn voor mijn organisatie passende informatiebeveiligingsmaatregelen om privacy te waarborgen?

De Europese Commissie heeft op 23 januari het adequaatheidsbesluit met Japan vastgesteld. Dit betekent dat Japan een gelijkwaardig beschermingsniveau hanteert voor persoonsgegevens als onder de Algemene Verordening Gegevensbescherming (AVG). Een gelijkwaardig beschermingsniveau hoeft niet identiek te zijn aan het beschermingsniveau onder de AVG. Uitgangspunt is dat de standaarden die gehanteerd worden door het desbetreffende land zorgen voor een voldoende niveau van bescherming van persoonsgegevens.

Het is niet altijd makkelijk om persoonsgegevens te herkennen. Er wordt vaak gedacht dat onder de noemer “persoonsgegevens” alleen namen vallen. En dat is niet zo gek.