Beveiligingsupdate: Sergej Katus over de aankomende meldplicht datalekken

Wie persoonsgegevens verwerkt moet dat zorgvuldig doen en voor de beveiliging zorg dragen. Gaat het mis dan moeten incidenten vanaf 1 januari 2016 gemeld worden. Wordt de wet overtreden dan riskeren organisaties forse boetes. Niet alleen voor het niet melden zijn boetes mogelijk, maar ook voor het niet op orde hebben van de beveiliging. Wat dit allemaal betekent legt Sergej Katus van Privacy Management Partners uit aan Elleke Oosterwijk van het CIP.

Wie meer wil weten over de meldplicht datalekken:

  • Bij het College Bescherming Persoonsgegevens is een informatiepagina over de meldplicht datalekken;
  • Alle documenten rond de behandeling in de Eerste Kamer;
  • Het goed op orde krijgen van beveiliging is een hele toer. Iedere medewerker kan helpen door zelf scherp te zijn op informatiebeveiliging en bewust te opereren. Een paar nuttige tips om zelf veiliger te zijn treft u aan op veiliginternetten.nl

Hallo? Vind jij het goed als ik Spotify gebruik?

Om gebruik te kunnen (blijven) maken van Spotify moet u toestemming aan al uw contacten in uw smartphone vragen. Eén weigering en u bent klant af. Dat is het gevolg van de nieuwe privacyvoorwaarden van het bedrijf. Mocht ik in uw contactenlijst staan dan zeg ik ‘nee’.

Dat is het gevolg van de nieuwe privacyvoorwaarden, die het bedrijf heeft uitgedokterd en gelden voor zowel betalende als gratis gebruikers. In de kern mogen contactgegevens, locatie, snelheid, afbeeldingen en meer zaken van uw mobiele telefoon door het bedrijf in de gaten worden gehouden. En niet alles is te verklaren vanuit het aanbieden van een muziekluisterdienst.

Onduidelijk

Er is veel wrevel ontstaan over de verandering in de voorwaarden. Die reactie is niet zo vreemd, omdat de verandering duidelijk maakt dat Spotify veel informatie verzamelt die weinig meer te maken hebben met het laten horen van muziek. Zo worden contacten verzameld, locaties, zaken rond sensoren in de telefoon bijgehouden en kunnen gegevens worden doorgegeven aan derde partijen.

Het probleem zit er vooral in dat niet duidelijk is wat er met de informatie gebeurt. Onze wetgeving gaat er vanuit dat wij van dit soort zaken wel op de hoogte zijn, weten waarom gegevens worden verwerkt en dat niet meer persoonlijke data wordt verzameld dan noodzakelijk is voor het leveren van de dienst. Zonder dit soort helderheid is het lastig toestemming geven of je dit wel wilt en Spotify schakelt die bescherming uit.

Sterker nog Spotify maakt heel duidelijk dat de wettelijke bescherming misschien helemaal niet geldt (in artikel 3.4):

“Your personal information may therefore be subject to privacy laws that are different from those in your country of residence.”

Ofwel: zou het instemmen met deze voorwaarden betekenen dat de Europese regelgeving aan de kant wordt gezet. Natuurlijk is het maar helemaal de vraag of Spotify dat wel kan vragen.

Toestemming vragen

Een opmerkelijke verandering is dat de gebruiker toestemming geeft om zijn of haar contacten te gaan gebruiken. Het bedrijf realiseert dat in sommige landen, zoals Nederland, dit niet zomaar mag en daarom wordt dit probleem bij de gebruiker gelegd door hem te verplichten om toestemming te vragen aan die contacten (artikel 3.3):

“With your permission, we may collect information stored on your mobile device, such as contacts, photos, or media files. Local law may require that you seek the consent of your contacts to provide their personal information to Spotify, which may use that information for the purposes specified in this Privacy Policy.”

Dus wie aan de slag wil met Spotify op zijn smartphone zal eerst toestemming moeten vragen aan ieder contact in het telefoonboek voor het accepteren van deze voorwaarden. Een bijna onmogelijke taak en ook weinig realistisch. Want wat moet je als iemand nee zegt?

Weinig gelukkig

De keuze van Spotify is dus weinig gelukkig. Er zijn wel diensten die met de privacyvoorwaarden niet zo extreem zijn en beter in onze wetgeving passen. De komende tijd komen er ook nieuwe initiatieven. Jammer want Spotify was een goed legale oplossing voor het luisteren naar muziek. Hopelijk realiseert de entertainment industrie dit zelf ook, zodat ze niet iedereen opnieuw naar het privacyvriendelijke Pirate Bay sturen. Of lees bij Wired enkele alternatieven.

Inzage verwerking persoonsgegevens

Vandaag onthulde NRC Handelsblad dat T-Mobile en Vodafone in ieder geval de inhoud van SMS-berichten ongevraagd doorspeelt aan organisaties als politie, de AIVD en mogelijk andere bestuursorganen of bedrijven. Onduidelijk is wat de gevolgen hiervan zijn en welke informatie precies is doorgegeven. Daarom kunt u met een beroep op de Wet Bescherming Persoonsgegevens een brief sturen om die informatie op te eisen. Ik doe dat en ben bereid dat desnoods via de rechter af te dwingen, maar gezamenlijk sta je dan sterker. Het mag duidelijk zijn dat ik voor twee aansluitingen toch eens een andere leverancier moet zoeken.

Hieronder treft u mijn schrijven aan. Ik fax dat naar T-Mobile (070 305 5443) en naar Vodafone (043-3555666) of per snail mail:

Vodafone Klantenservice

Antwoordnummer 5555
6200 VC Maastricht

*****

Betreft: Verwerking persoonsgegevens

Ede, 30 mei 2009

Geachte heer, mevrouw,

Uit berichtgeving in onder andere NRC Handelsblad blijkt dat uw organisatie gegevens verstrekt aan derden over in ieder geval de inhoud van SMS-berichtenverkeer. Ik ben klant bij u en heb telefoonnummer [uw nummer hier] in gebruik.

Voor journalisten een toevoeging:
Aan gezien ik als journalist met enige regelmaat vertrouwelijke communicatie voer, belemmert dit mijn mogelijkheden tot vrije nieuwsgaring.

Hierbij verzoek ik u dan ook met verwijzing naar artikel 35 van de Wet Bescherming Persoonsgegevens een overzicht van de gegevens die u met betrekking tot mijn persoon verwerkt. Tevens verzoek ik om een overzicht van alle informatie die is verstrekt aan derde partijen. Daarbij gaat het om welke informatie is gegeven, wanneer dat is gebeurd, wat de herkomst van de gegevens is geweest, met welk doel en wie de ontvanger is geweest.

[Voor zakelijke abonnementen]
Volledigheidshalve wijs ik u op het feit dat de communicatie van personen bescherming geniet in bijvoorbeeld de Wet Bescherming Persoonsgegevens, de Grondwet en het Europees Verdrag voor de Rechten van de mens. Daarbij speelt het feit dat dit een zakelijke aansluiting betreft geen rol.

Volgens de wet mag u een bedrag van ten hoogste €4,50 rekenen. Gezien de evidente schending van de privacy adviseer ik u die niet te rekenen. Mocht u dat toch willen doen dan verzoek ik u mij hiervan vooraf op de hoogte te brengen. Voor de vaststelling van mijn identiteit verwijs ik naar de kopie legitimatiebewijs welke reeds in uw bezit is.

Hoogachtend,