Ot van Daalen: Privacyregels in de cloud

Als je als organisatie gegevens wilt opslaan in de cloud waarop moet je dan letten en wat als je je gegevens weer uit de cloud wilt halen. Wat kun je doen als voorbereiding voor het geval er op termijn een datalek binnen je organisatie ontdekt wordt. Ot van Daalen geeft hierover een aantal tips aan Jan Renshof van het CIP.

 

De privacy op orde krijgen is best lastig. Eerder vertelde Angelique Oortmarssen over het omzetten van wetgeving in concrete daden.

Ot van Daalen vertelde eerder waar je op moet letten als je persoonsgegevens gaat verwerken.

Ot van Daalen: De belangrijkste voorwaarden om persoonsgegevens te verwerken

Een organisatie die persoonsgegevens wil verwerken moet zich aan een aantal regels houden. We horen vaak dat we vooraf over zaken moeten nadenken. Maar dat is zo algemeen en niet helder als vanaf 1 januari 2016 er boetes kunnen worden uitgedeeld. Wat zijn de belangrijkste dingen waar je nu op letten en wat betekent dat voor organisaties? Waarom zou ik mij daarover druk maken? Advocaat Ot van Daalen legt dat kernachtig uit aan Brenno de Winter. Deze aflevering is mogelijk gemaakt door Surfnet.

Organisaties die hun privacy en beveiliging beter willen regelen kunnen terecht bij Surfnet voor concrete tips om beveiliging en privacy beter te regelen. Natuurlijk is het beschermen van privacy niet alleen iets voor organisatie. Op de website van het Centrum voor Informatiebeveiliging en Privacybescherming staat een nuttig document ‘Grip op Privacy’ om de ingewikkelde Wet bescherming persoonsgegevens te ontrafelen en om te zetten in handelingen om beter aan de wet te voldoen.

Iedereen is ook persoon en burger die zelf het nodige kan doen om voorzichtiger om te gaan met persoonsgegevens. Op de website Veilig Internetten staan nuttige tips om uw privacy beter te beschermen. Wie een stap verder wil gaan en meer goed wil regelen om de privacy online beter te beschermen kan ook kijken op de Privacy Toolbox van Bits of Freedom.

We stonden al eerder stil bij de verandering in de wetgeving rond het omgaan met persoonsgegevens. Toen vertelde Sergej Katus wat de aankomende meldplicht datalekken betekent voor organisaties en wat de belangrijkste wetswijzigingen zijn:

Spreekt de minister de waarheid over waarborgen medisch geheim?

Waar minister Edith Schippers in 2014 nog beloofde dat gegevens over declaraties niet tot patiënten te herleiden zijn, blijkt dat nu wel het geval te zijn. De stelt de NZa tijdens een zitting bij de bestuursrechter in Amsterdam.

De zaak draait om de vraag of we mogen weten wat zorgaanbieders declareren. Mijn klant, de Open State Foundation, wil deze gegevens in de openbaarheid krijgen. Die informatie wordt namelijk aan de Nederlandse Zorgautoriteit(NZa) gestuurd. Omdat de belofte is dat deze declaraties niet tot de persoon te herleiden zijn, zou de privacy – dus het medisch geheim – niet in het geding zijn.

Maar tijdens de zitting stelde de NZa dat de anonimiteit niet altijd kan worden gegarandeerd en ging zelfs een stap verder door te stellen dat de anonimiteit in sommige gevallen zonder noemenswaardige inspanning op te heffen is in zeer specifieke gevallen. Ofwel: ons medisch geheim is niet altijd gegarandeerd, omdat deze gegevens soms tot de persoon te herleiden zijn en ook niet-artsen van de NZa erbij kunnen.

Dit staat haaks op het beeld in dat minister Edith Schippers in antwoord op kamervragen schetste:

“Het is een feit dat het DIS een zeer omvangrijke database is die gegevens bevat die – indien deze tot identificeerbare individuen herleidbaar zouden zijn, wat niet zo is – privacybelastend zouden zijn.”

en

“Bij pseudonimisering van persoonsgegevens worden de identificerende kenmerken van personen op een zodanige manier (vooraf) versleuteld en omgezet in een pseudo-identiteit, dat de werkelijke identiteit van de betreffende personen niet meer te achterhalen is. Direct identificerende gegevens worden dubbel versleuteld (oftewel dubbel gepseudonimiseerd) voordat ze worden opgeslagen in het DIS: de eerste versleuteling wordt uitgevoerd door de zorgaanbieder die de gegevens aanlevert en de tweede versleuteling door een externe, onafhankelijke organisatie, ZorgTTP (Zorg Trusted Third Party) genaamd. De pseudonimisering is zo ingericht dat deze onomkeerbaar is en daarmee dus niet meer herleidbaar tot individueel identificeerbare personen.”

Hiermee geconfronteerd in de rechtbank stelt de NZa nog steeds dat er ‘randen in de database zitten’ waar medische informatie toch naar personen te herleiden zijn. In hoeveel gevallen dit zo is, vindt de NZa niet haar taak te onderzoeken. Na de zitting is de vraag nu of minister Schippers de Tweede Kamer bewust een beeld heeft voorgespiegeld dat niet strookt met de realiteit, bewust de waarheid verdraaide of de NZa de minister niet juist informeerde. Wie het weet mag het zeggen…

Beveiligingsupdate: Sergej Katus over de aankomende meldplicht datalekken

Wie persoonsgegevens verwerkt moet dat zorgvuldig doen en voor de beveiliging zorg dragen. Gaat het mis dan moeten incidenten vanaf 1 januari 2016 gemeld worden. Wordt de wet overtreden dan riskeren organisaties forse boetes. Niet alleen voor het niet melden zijn boetes mogelijk, maar ook voor het niet op orde hebben van de beveiliging. Wat dit allemaal betekent legt Sergej Katus van Privacy Management Partners uit aan Elleke Oosterwijk van het CIP.

Wie meer wil weten over de meldplicht datalekken:

  • Bij het College Bescherming Persoonsgegevens is een informatiepagina over de meldplicht datalekken;
  • Alle documenten rond de behandeling in de Eerste Kamer;
  • Het goed op orde krijgen van beveiliging is een hele toer. Iedere medewerker kan helpen door zelf scherp te zijn op informatiebeveiliging en bewust te opereren. Een paar nuttige tips om zelf veiliger te zijn treft u aan op veiliginternetten.nl

Hallo? Vind jij het goed als ik Spotify gebruik?

Om gebruik te kunnen (blijven) maken van Spotify moet u toestemming aan al uw contacten in uw smartphone vragen. Eén weigering en u bent klant af. Dat is het gevolg van de nieuwe privacyvoorwaarden van het bedrijf. Mocht ik in uw contactenlijst staan dan zeg ik ‘nee’.

Dat is het gevolg van de nieuwe privacyvoorwaarden, die het bedrijf heeft uitgedokterd en gelden voor zowel betalende als gratis gebruikers. In de kern mogen contactgegevens, locatie, snelheid, afbeeldingen en meer zaken van uw mobiele telefoon door het bedrijf in de gaten worden gehouden. En niet alles is te verklaren vanuit het aanbieden van een muziekluisterdienst.

Onduidelijk

Er is veel wrevel ontstaan over de verandering in de voorwaarden. Die reactie is niet zo vreemd, omdat de verandering duidelijk maakt dat Spotify veel informatie verzamelt die weinig meer te maken hebben met het laten horen van muziek. Zo worden contacten verzameld, locaties, zaken rond sensoren in de telefoon bijgehouden en kunnen gegevens worden doorgegeven aan derde partijen.

Het probleem zit er vooral in dat niet duidelijk is wat er met de informatie gebeurt. Onze wetgeving gaat er vanuit dat wij van dit soort zaken wel op de hoogte zijn, weten waarom gegevens worden verwerkt en dat niet meer persoonlijke data wordt verzameld dan noodzakelijk is voor het leveren van de dienst. Zonder dit soort helderheid is het lastig toestemming geven of je dit wel wilt en Spotify schakelt die bescherming uit.

Sterker nog Spotify maakt heel duidelijk dat de wettelijke bescherming misschien helemaal niet geldt (in artikel 3.4):

“Your personal information may therefore be subject to privacy laws that are different from those in your country of residence.”

Ofwel: zou het instemmen met deze voorwaarden betekenen dat de Europese regelgeving aan de kant wordt gezet. Natuurlijk is het maar helemaal de vraag of Spotify dat wel kan vragen.

Toestemming vragen

Een opmerkelijke verandering is dat de gebruiker toestemming geeft om zijn of haar contacten te gaan gebruiken. Het bedrijf realiseert dat in sommige landen, zoals Nederland, dit niet zomaar mag en daarom wordt dit probleem bij de gebruiker gelegd door hem te verplichten om toestemming te vragen aan die contacten (artikel 3.3):

“With your permission, we may collect information stored on your mobile device, such as contacts, photos, or media files. Local law may require that you seek the consent of your contacts to provide their personal information to Spotify, which may use that information for the purposes specified in this Privacy Policy.”

Dus wie aan de slag wil met Spotify op zijn smartphone zal eerst toestemming moeten vragen aan ieder contact in het telefoonboek voor het accepteren van deze voorwaarden. Een bijna onmogelijke taak en ook weinig realistisch. Want wat moet je als iemand nee zegt?

Weinig gelukkig

De keuze van Spotify is dus weinig gelukkig. Er zijn wel diensten die met de privacyvoorwaarden niet zo extreem zijn en beter in onze wetgeving passen. De komende tijd komen er ook nieuwe initiatieven. Jammer want Spotify was een goed legale oplossing voor het luisteren naar muziek. Hopelijk realiseert de entertainment industrie dit zelf ook, zodat ze niet iedereen opnieuw naar het privacyvriendelijke Pirate Bay sturen. Of lees bij Wired enkele alternatieven.

RET voegt gezichtsherkenning toe aan camerabewaking

ROTTERDAM – Vervoersbedrijf RET zet nieuwe gezichtsherkenningscamera’s in tegen mensen met een OV-verbod. Op die manier moeten overlastplegers sneller te weren zijn uit het openbaar vervoer. Dit laat het vervoersbedrijf maandag weten. De camera’s herkennen mensen die op een zwarte lijst staan, waarna er een signaal bij de bestuurder afgaat. Aan de schending van het reisverbod zitten volgens het vervoersbedrijf geen gevolgen als de overtreder daarna het voertuig verlaat. Lees het verhaal op NU.nl.

D66 wil ingrijpen EC bij mobiele telefoonproviders

BRUSSEL – Met het bekijken van de inhoud van internetverkeer schenden providers tenminste drie Europese verdragen. Dat stelt de D66-fractie in het Europees parlement, die wil dat de Europese Commissie ingrijpt. Volgens Nederlandse Europarlementariër Marietje Schaake staat het gebruik van Deep Packet Inspection (DPI) om het internetverkeer op inhoud te bekijken haaks op diverse Europese regels. Zo wordt de privacy geschonden wat volgens het Europees Verdrag voor de Rechten van de Mens (EVRM) niet mag. Lees het verhaal op NU.nl.

EU-Commissie erkent privacyproblemen bewaarplicht

BRUSSEL – Het bijhouden communicatiegegevens, zoals wie met wie belt of mailt, verloopt verre van soepel. Hoe het criminaliteit helpt bestrijden blijft onduidelijk, terwijl er de nodige beveiligingsproblemen zijn en de toegang tot de informatie beter in de gaten moet worden gehouden.Dat blijkt uit een gelekt rapport van de Europese Commissie. Daarin staat een analyse van effecten van de inmiddels vijf jaar oude Europese richtlijn. Lees het verhaal op NU.nl.

CBP eist verwijdering persoonsgegevens site VNG

AMSTERDAM – Het College Bescherming Persoonsgegevens (CBP) heeft de Vereniging Nederlandse Gemeenten (VNG) op de vingers getikt voor het noemen van namen van burgers op hun website. Juridische adviezen aan gemeenten moeten voortaan geanomiseerd worden. Dat schrijft de toezichthouder, die onderzoek deed nadat een ambtenaar een klacht had ingediend. De man had bij alle gemeenten informatie opgevraagd met een beroep op de Wet openbaarheid van bestuur (Wob). Lees het verhaal op NU.nl.

‘Volgen en afluisteren via internet bemoeilijken’

AMSTERDAM – De continue poging om burgers in de gaten te houden en te controleren, vormt een bedreiging voor de vrijheden. Een rechtenprofessor wil het vrije internet met de kennis van bejaarden redden en een doosje maken dat technische gelijkheid biedt. Voor professor Eben Moglen vormt de constante bewaking in de maatschappij een urgente bedreiging waartegen actie moet komen. De hoogleraar aan Columbia in de Verenigde Staten, die al een advocatenkantoor voor open-sourcesoftware heeft, komt met een stichting. Lees het verhaal op NU.nl.