Bij sommige overheden leeft nog wel eens de indruk dat de Archiefwet een rechtvaardiging vormt om, ongeacht de omstandigheden, persoonsgegevens voor archiefdoeleinden te mogen verwerken. Een uitspraak van de Raad van State van 23 augustus 2017 laat zien dat dit niet zo is.
Steeds meer organisaties vereisen dat leveranciers en partners waarmee persoonsgegevens worden uitgewisseld een bewerkersovereenkomst sluiten. Regelmatig wordt het ondertekenen van de bewerkersovereenkomst zelfs (min of meer) afgedwongen. Er wordt vaak onvoldoende kritisch gekeken of het wel terecht is dat überhaupt een bewerkersovereenkomst wordt voorgelegd. Dat kan vervelend uitpakken. In deze blog zet ik uiteen waarom. De bewerkersovereenkomstWanneer het verwerken van persoonsgegevens word...
Ruim 3 jaar geleden wees het Hof van Justitie het bekende Costeja-arrest. Sindsdien is duidelijk dat ook zoekmachines gebonden zijn aan het privacyrecht en (dus) te maken kunnen krijgen met correctie- en verwijderverzoeken. Het privacyrecht stelt echter ook extra strenge regels aan de verwerking van zogenaamde "bijzondere persoonsgegevens" (zoals medische gegevens). Naar de letter van de wet zou Google dergelijke gegevens (dus) niet mogen verwerken. De Franse Raad van State vraagt zich af hoe...
De Wet bescherming persoonsgegevens is sinds 1 september 2001 van kracht. Op die wet wordt toegezien door wat nu de Autoriteit Persoonsgegevens heet (voorheen: College Bescherming Persoonsgegevens, CBP). Een klein onderzoek op rechtspraak.nl laat zien dat de AP daarbij niet zo vaak door de rechter wordt getoetst. Hoe is dat te verklaren?Eenvoudig onderzoek rechtspraak.nlOp rechtspraak.nl heb ik gezocht naar alle uitspraken waarbij het CBP of de AP de wederpartij is.Dit heb ik simpelweg gedaan...
De rechtbank Den Haag heeft op 8 mei geoordeeld dat het reisgedrag van een student niet mag worden gebruikt om te controleren of de juiste studiefinanciering is verstrekt. De reisgegevens die met de OV-chipkaart worden vastgelegd geven een erg indringend beeld van iemands leven, terwijl voor het opvragen geen precieze wettelijke grondslag aanwezig is. De zaak laat (opnieuw) zien dat het risicovol is om zomaar gegevens aan derden (waaronder overheden) te verstrekken. Student met (onterecht?) u...
De meldplicht datalekken is ondertussen ruim 500 dagen van kracht. Het aantal meldingen valt tot op heden erg mee. Het aantal is zelfs zo laag, dat de Autoriteit Persoonsgegevens daar mogelijk aanleiding in ziet om organisaties te onderzoeken die niet of nauwelijks melden. Meld- en administratieplicht beveiligingsinbreukenDe naam "meldplicht datalekken" is een wat misleidende naam voor de wet die sinds 2016 van kracht is. De term "datalek" suggereert immers dat de vraag is of gegevens gelekt...
Vanaf 25 mei 2018 is de algemene verordening gegevensbescherming (AVG) van kracht. De AVG geeft specifieke regels voor de verwerking van 'biometrische gegevens'. Dit maakt dat het gebruik van biometrie in de beveiliging straks alleen is toegestaan als de Nederlandse wetgever daar een regeling voor treft. Er is een regeling aangekondigd, maar de vraag is of die voldoet. Ondernemers die nu willen investeren in biometrie zien zich dus met onzekerheid geconfronteerd.Verwerken bijzondere persoonsg...
Het afgelopen weekend stond grotendeels in het tegen van een ongekende, massale cyberaanval met ransomeware ‘WannaCry’. Getroffen worden door malware als ransomeware is uitermate vervelend. In de meeste gevallen zit er niets anders op dan het getroffen opslagmedium formatteren en een backup terugplaatsen. Dataverlies is dus bijna een gegeven bij dit soort infecties. Wat kunt u doen om besmetting te voorkomen? Moet u een besmetting met ransomware melden bij de Autoriteit Persoonsgegevens? En w...
De rechtbank Noord-Nederland heeft op 3 mei 2017 geoordeeld dat een advocatenkantoor geen personen mag benaderen op basis van de WSNP-publicatie in de Staatscourant. Het kantoor moet 100 euro schadevergoeding betalen, evenals de proceskosten.
Na een (ernstig) datalek bij uw IT-leverancier gaat u de kwestie evalueren. Daarbij komt de vraag op in hoeverre uw gegevens bij die leverancier nog wel in veilige handen zijn. U vraagt zich af of u van de overeenkomst met de leverancier af kunt. Of wellicht zelfs af moet. In dit artikel sta ik kort stil bij die vragen.U blijft verantwoordelijk, ook na uitbestedingHet privacyrecht kent een overzichtelijk uitgangspunt: als er iets mis gaat bij de verwerking van persoonsgegevens kunnen de Autor...
Over ruim een jaar wordt de Algemene Verordening Gegevensbescherming van kracht. In de aanloop daar naar toe is voorzitter Aleid Wolfsen bezig met een publiekscampagne waarin gewezen wordt op de hoge boetebevoegdheden. Tijd voor nuchtere blik terug in de tijd.Gegevens uit jaarverslagenOp de website van de Autoriteit Persoonsgegevens staan alle jaarverslagen gepubliceerd. Uit die jaarverslagen is af te leiden hoe vaak de AP een onderzoek heeft ingesteld, een last onder dwangsom heeft opgelegd...
De Hoge Raad heeft vrijdag 24 februari 2017 geoordeeld dat een zoekmachine een verwijderverzoek in principe altijd moet honoreren, behoudens bijzondere omstandigheden. Het betoog dat het bij ieder verzoek op een belangenafweging aankomt is daarmee verworpen.De kwestieDe zaak gaat over een man die verdacht wordt van poging tot uitlokking van huurmoord. In eerste aanleg is hij daartoe veroordeeld. Hij heeft hoger beroep ingesteld. De man ontdekt dat wie bij Google zijn volledige naam invult, in...
