De Autoriteit Persoonsgegevens geeft jaarlijks een totaaloverzicht van alle gemelde datalekken. De ‘Datalekkenrapportage 2021’ is net gepubliceerd en toont een exponentiële stijging van het aantal cyberaanvallen.
Bij de inkoop van een (zorg)informatiesysteem, zoals een HIS, KIS of HAPIS, komt een hoop kijken. De meeste huisartsenpraktijken en regio-organisaties hebben nog weinig ervaring met dergelijke inkooptrajecten. Ter ondersteuning van dat proces publiceren de Landelijke Huisartsenvereniging (LHV) en InEen het ‘Handboek inkoop zorginformatiesystemen voor de huisartsenzorg’.
In een recentie kwestie bij de rechtbank Midden-Nederland wordt geoordeeld dat er sprake is van een schending van de AVG omdat persoonsgegevens ten onrechte aan de Belastingdienst zijn verstrekt. De gevorderde immateriële schadevergoeding wordt echter afgewezen, omdat de gestelde immateriële schade niet met concrete gegevens is onderbouwd. De rechtbank past daarmee (in mijn optiek) het EBI-arrest van de Hoge Raad op juiste wijze toe.
In een procedure tussen een ICT-leverancier en zijn klant, wordt de ICT-leverancier veroordeeld tot het vergoeden van de schade die zijn klant geleden heeft door een ransomware-aanval. Deze aanval vond plaats enige tijd nadat de tussen partijen geldende onderhoudsovereenkomst (SLA) was geëindigd. Desalniettemin is de ICT-leverancier aansprakelijk, omdat hij gedurende de looptijd van de SLA heeft nagelaten adequate back-ups te maken. Dit terwijl dat wel tot zijn verplichtingen behoorde. Hierdoor kon de getroffen klant niet anders dan losgeld betalen om de ransomware-aanval te (doen) eindigen, in plaats van het terugzetten van de back-ups. Tegelijkertijd is er wel sprake van eigen schuld van de klant bij het kunnen ontstaan van de ransomware-aanval. Zodoende wordt de schadevergoeding gematigd.
In een procedure tussen Uber en een aantal ontslagen chauffeurs, stellen de chauffeurs zich op het standpunt dat daarbij op onrechtmatige wijze gebruik is gemaakt van geautomatiseerde besluitvorming. Zij vorderen (kort samengevat) inzage in het bestaan van geautomatiseerde besluitvorming alsmede in de onderliggende logica, het belang en de verwachte gevolgen daarvan. Daarnaast vorderen zij een schadevergoeding wegens schending van de AVG. De vorderingen worden in een interessant vonnis gemotiveerd afgewezen.
Deze week verschenen aanbevelingen van de EDPB voor doorgifte na Schrems II en (in concept) nieuwe modelcontractbepalingen van de Europese Commissie. Een korte beschouwing.
In de journalistiek wordt de verborgen camera veel gebruikt, met alle controverse van dien. Televisieprogramma’s en YouTube-series die verborgen camera’s gebruiken zijn erg populair, maar in hoeverre is het rechtmatig om opnames te publiceren die zijn gemaakt met een verborgen camera? Een recent arrest van het Hof Amsterdam over een uitzending van Undercover in Nederland geeft aanleiding tot een beschouwing van dit fenomeen.
Een ontvangen, ongepaste foto in een WhatsApp groepschat kan (voorlopig) leiden tot een ban van Microsoft-diensten, blijkens een recent kortgedingvonnis bij de rechtbank Midden-Nederland tussen een gebruiker van opslagdienst Microsoft OneDrive en Microsoft.
Rick van de Westelaken vordert dat nepadvertenties met zijn naam en portret worden geweerd van Facebook. Facebook voert aan dat zij al voldoende maatregelen neemt om nep-bitcoin advertenties met bekende Nederlanders te weren. De Rechtbank volgt het betoog van Facebook, maar oordeelt wel dat Facebook identificerende gegevens van de adverteerder(s) moet afgeven.
In de AVG is vastgelegd dat je niet meer gegevens mag verwerken dan noodzakelijk is. Dit wordt ook wel dataminimalisatie genoemd. Dataminimalisatie klinkt misschien als een vaag begrip, maar is in de praktijk een harde eis voor het verwerken van persoonsgegevens. Onlangs oordeelde de rechtbank Rotterdam dat de Raad voor Rechtsbijstand onrechtmatig persoonsgegevens had verwerkt omdat niet werd voldaan aan het beginsel van dataminimalisatie. Lees hier wat dataminimalisatie inhoudt en waar je rekening mee moet houden bij de verwerking van persoonsgegevens.
Op 1 juli 2020 treedt een aantal bepalingen van de Wet aanvullende bepalingen gegevensverwerking in de zorg ('Wabvpz') in werking. Een daarvan is artikel 15d op grond waarvan de zorgaanbieder moet voorzien in kosteloze elektronische inzage in zijn dossier als de patiënt daarom verzoekt. Tevens moet de zorgaanbieder bijhouden wie in het elektronisch dossier kijkt en werkt, omdat de patiënt recht heeft op een loggingsoverzicht (art. 15e Wabvpz). In dit blog bespreken wij deze twee bepalingen en de implicaties daarvan voor zorgaanbieders.
