Bij de inkoop van een (zorg)informatiesysteem, zoals een HIS, KIS of HAPIS, komt een hoop kijken. De meeste huisartsenpraktijken en regio-organisaties hebben nog weinig ervaring met dergelijke inkooptrajecten. Ter ondersteuning van dat proces publiceren de Landelijke Huisartsenvereniging (LHV) en InEen het ‘Handboek inkoop zorginformatiesystemen voor de huisartsenzorg’.
De AVG is bijna vier jaar van kracht. Rond de inwerkingtreding op 25 mei 2018 was er sprake van een hausse aan berichtgeving over de wetgeving. Je zou haast van ‘privacypaniek’ kunnen spreken. Veel van het stof is ondertussen wel neergedwarreld. Tijd voor een korte reflectie. In deze blog staan we daarom stil bij aandachtspunten inzake de wet, zowel voor organisaties die nog niet zo veel (of zelfs niets) hebben gedaan als voor organisaties die juist vergevorderd zijn. Waar staat uw organisatie?
Organisaties zijn verplicht om de uitoefening van de rechten van betrokkenen onder de Algemene verordening gegevensbescherming (AVG), zoals het recht op inzage of gegevenswissing, te faciliteren. Bij dergelijke verzoeken geldt een identificatieplicht: verwerkingsverantwoordelijken moeten op grond van de AVG de identiteit van de verzoekende betrokkenen vaststellen. Maar de AVG geeft niet aan hoe een organisatie dat moet doen. Dat deze verplichting niet in alle gevallen ingevuld mag worden met het opvragen van een kopie identiteitsbewijs (paspoort, rijbewijs of ID-kaart) blijkt uit het recente boetebesluit van de Autoriteit Persoonsgegevens aan DPG Media. In dit blog nemen we het besluit onder de loep en beantwoorden wij de vraag hoe aan de identificatieplicht uit de AVG kan worden voldaan.
De laatste jaren zijn er op het gebied van internationale gegevensuitwisseling vele ontwikkelingen. Een van de laatste ontwikkelingen is dat de VS een Executive Order heeft ondertekend op basis waarvan een nieuw regeling voor de doorgifte van persoonsgegevens van de EU naar de VS kan plaatsvinden. De regeling wordt (vooralsnog) aangeduid als het Data Privacy Framework. Het optuigen van het Data Privacy Framework is de derde poging die wordt gedaan om een grondslag te bieden voor de gegevensuitwisseling tussen de EU en VS. De Safe Harbor en het Privacy Shield gingen al voor. In deze blog geef ik een overzicht van de ontwikkelingen met als (tijdelijk) eindstation de Executive Order voor het het Data Privacy Framework.
Een OneDrive-account kan geblokkeerd worden vanwege ongepaste afbeeldingen, maar Microsoft moet deze keuze wel voldoende overtuigend onderbouwen. Zo oordeelde de rechtbank Rotterdam in een zaak van maart 2022. Deze uitspraak vormt een nieuwe bouwsteen in de leer omtrent het blokkeren van accounts bij clouddiensten.
Inmiddels twee jaar geleden schreven we in eerder blogartikel op onze website al over de uitspraak van de rechtbank Den Haag waarin geoordeeld werd dat de pakjes met voetballers (zgn. packs) in de populaire voetbalgame FIFA kwalificeerden als verboden kansspel. In hoger beroep bij de Afdeling bestuursrechtspraak van de Raad van State (‘de Afdeling’) is die uitspraak vernietigd.
In een recente uitspraak ging de rechtbank Amsterdam in op de verdeling van verantwoordelijkheden bij een IT-project. Eiseres meende dat een IT-ondernemer onrechtmatig handelde door geen goede afspraken te maken over een IT-project. Waar we regelmatig zien dat de zorgplicht met succes wordt tegengeworpen aan de opdrachtnemer, oordeelde de rechtbank hier in het voordeel van de IT-specialist. Beide partijen zijn volgens de rechtbank verantwoordelijk voor het maken van afspraken.
Het Hof van Justitie van de EU heeft op 24 februari 2022 geoordeeld dat de belastingdienst 'gewoon' onder de regels van de AVG valt. Dat betekent ook dat de Belastingdienst alle beginselen uit de privacywet moet volgen. Beperkingen daarop mogen alleen bij wet zijn gesteld en een dergelijke wet moet voldoen aan strenge criteria uit de AVG. De belastingdienst mag best in bulk gegevens opvragen in het kader van de opsporingstaak, maar dat moet dan wel op proportionele wijze en binnen de kaders van de wet gebeuren. De kwestie ging hier over de Letse belastingautoriteit, maar de overwegingen en strenge regels zijn in feite voor zeer veel Nederlandse overheidsinstanties / bestuursorganen relevant.
In het privacyrecht steekt om de zoveel tijd de vraag op waarop het inzagerecht nu precies recht geeft: een overzicht van de verwerkte persoonsgegevens, of een kopie van de documenten waarin die gegevens staan? De Afdeling Bestuursrechtspraak van de Raad van State gaat uit van het eerste. De eerdere ruimere interpretatie door het Gerechtshof Den Haag maakt dit niet naders. Het inzagerecht is bovendien niet bedoeld om te controleren of het bestuursorgaan de juiste procedure heeft bewandeld. Dit alles volgt uit een kwestie over fraudeonderzoek van 2 maart 2022. De vraag is wel of het HvJEU net zo zou oordelen.
De Hoge Raad heeft op 25 februari 2022 in een AVG-kwestie geoordeeld dat bij een botsing tussen privacy en informatievrijheid een belangenafweging moet plaatsvinden, ook als de gegevens in kwestie bijzondere of strafrechtelijke gegevens betreffen. Dat de verzoeker wordt veroordeeld in de proceskosten is, nu dit in het algemeen slechts een relatief beperkt forfaitair bedrag betreft, ook niet in strijd met het recht op een doeltreffende voorziening in rechte uit de AVG.
Jouw baas besluit om 'trackers' onder je auto en die van je vriendin te plaatsen, omdat hij niet gelooft dat je écht ziek bent. Wat doe je? En misschien een nog betere vraag, wat doet de rechter met deze informatie? Het plaatsen van de trackers moet haast wel leiden tot een fikse vergoeding voor jou als werknemer, toch? Beluister de podcast waarin het bovenstaande wordt besproken.
De bekendheid van een merk weegt mee in de beoordeling van de vraag of sprake is van verwarringsgevaar, zo volgt uit onderstaande uitspraak van het Gerecht van de Europese Unie van 2 februari 2022.
