Met de komst van de AVG zijn opeens veel meer organisaties bezig met privacyrecht. En daarbij doen veel misverstanden de ronde. Zo hoor ik regelmatig dat gedacht wordt dat onder de huidige wet een privacystatement voldoende is, terwijl de AVG allemaal "strenge" eisen stelt. Dat is niet juist.
Gisteren stond het advies over de uitvoeringswet bij de AVG (AUVG) nog op de pagina van de aanhangige adviezen. Sinds vandaag staat het op de pagina van vastgestelde adviezen.Vooralsnog is het advies noch in de eigen adviezendatabank van de Raad van State, noch op de website van de officiele bekendmakingen te vinden.We blijven het volgen en houden u op de hoogte.
De Hoge Raad heeft, middels een 81 RO beslissing, op 27 juni 2017 (impliciet) geoordeeld dat de verwerking van camerabeelden geen verwerking van "rasgegevens" impliceert.
Sinds de introductie van de boetebevoegdheden voor de Autoriteit Persoonsgegevens in 2016 en met de algemene verordening gegevensbescherming (AVG) in aantocht, zijn steeds meer bedrijven en instellingen bezig met privacy-compliance programma's. Bij veel bedrijven/instellingen leeft de indruk dat het verstandig is iedere betrokkene altijd om toestemming te vragen voor de verwerking van persoonsgegevens. Hoe men daar bij komt is mij niet duidelijk. Voor zover dat door derden geadviseerd is, betreft dat een fout advies. In deze blog zet ik uiteen waarom.
Het Hof van Justitie heeft op 27 september 2017 een arrest gewezen over het procesrecht en het bewijsrecht. Er volgen enkele interessante regels uit het arrest: (1) ons systeem van bestuursrechtelijk bezwaar en beroep houdt vermoedelijk stand, (2) onrechtmatig verkregen bewijs van een privacyschending moet niet worden uitgesloten maar juist onderzocht en (3) zwarte lijsten door de overheid zijn toegestaan mits proportioneel.
De Rechtbank Rotterdam heeft op 23 augustus 2017 geoordeeld dat wanneer bij een inzageverzoek een verwijzing naar de Wet bescherming persoonsgegevens (Wbp) ontbreekt, dat het verzoek dan kwalificeert als een verzoek tot het verrichten van een feitelijke handeling en niet als een verzoek tot het nemen van een besluit. Dit betekent dat het verzoek niet ter toetsing aan de rechter kan worden voorgelegd. De vraag is of dat in lijn is met de privacyrichtlijn. Verzoek om inzage camerabeeldenDe kwes...
Bij sommige overheden leeft nog wel eens de indruk dat de Archiefwet een rechtvaardiging vormt om, ongeacht de omstandigheden, persoonsgegevens voor archiefdoeleinden te mogen verwerken. Een uitspraak van de Raad van State van 23 augustus 2017 laat zien dat dit niet zo is.
Steeds meer organisaties vereisen dat leveranciers en partners waarmee persoonsgegevens worden uitgewisseld een bewerkersovereenkomst sluiten. Regelmatig wordt het ondertekenen van de bewerkersovereenkomst zelfs (min of meer) afgedwongen. Er wordt vaak onvoldoende kritisch gekeken of het wel terecht is dat überhaupt een bewerkersovereenkomst wordt voorgelegd. Dat kan vervelend uitpakken. In deze blog zet ik uiteen waarom. De bewerkersovereenkomstWanneer het verwerken van persoonsgegevens word...
Ruim 3 jaar geleden wees het Hof van Justitie het bekende Costeja-arrest. Sindsdien is duidelijk dat ook zoekmachines gebonden zijn aan het privacyrecht en (dus) te maken kunnen krijgen met correctie- en verwijderverzoeken. Het privacyrecht stelt echter ook extra strenge regels aan de verwerking van zogenaamde "bijzondere persoonsgegevens" (zoals medische gegevens). Naar de letter van de wet zou Google dergelijke gegevens (dus) niet mogen verwerken. De Franse Raad van State vraagt zich af hoe...
De Wet bescherming persoonsgegevens is sinds 1 september 2001 van kracht. Op die wet wordt toegezien door wat nu de Autoriteit Persoonsgegevens heet (voorheen: College Bescherming Persoonsgegevens, CBP). Een klein onderzoek op rechtspraak.nl laat zien dat de AP daarbij niet zo vaak door de rechter wordt getoetst. Hoe is dat te verklaren?Eenvoudig onderzoek rechtspraak.nlOp rechtspraak.nl heb ik gezocht naar alle uitspraken waarbij het CBP of de AP de wederpartij is.Dit heb ik simpelweg gedaan...
De rechtbank Den Haag heeft op 8 mei geoordeeld dat het reisgedrag van een student niet mag worden gebruikt om te controleren of de juiste studiefinanciering is verstrekt. De reisgegevens die met de OV-chipkaart worden vastgelegd geven een erg indringend beeld van iemands leven, terwijl voor het opvragen geen precieze wettelijke grondslag aanwezig is. De zaak laat (opnieuw) zien dat het risicovol is om zomaar gegevens aan derden (waaronder overheden) te verstrekken. Student met (onterecht?) u...
De meldplicht datalekken is ondertussen ruim 500 dagen van kracht. Het aantal meldingen valt tot op heden erg mee. Het aantal is zelfs zo laag, dat de Autoriteit Persoonsgegevens daar mogelijk aanleiding in ziet om organisaties te onderzoeken die niet of nauwelijks melden. Meld- en administratieplicht beveiligingsinbreukenDe naam "meldplicht datalekken" is een wat misleidende naam voor de wet die sinds 2016 van kracht is. De term "datalek" suggereert immers dat de vraag is of gegevens gelekt...
