Het KIFID heeft in een recente beslissing geoordeeld dat het in strijd met de AVG is wanneer een verzekeraar vereist dat een nieuwe klant een telefoonnummer opgeeft bij het afsluiten van een verzekering.
Sinds de introductie van de boetebevoegdheden voor de Autoriteit Persoonsgegevens in 2016 en met de algemene verordening gegevensbescherming (AVG) in aantocht, zijn steeds meer bedrijven en instellingen bezig met privacy-compliance programma's. Bij veel bedrijven/instellingen leeft de indruk dat het verstandig is iedere betrokkene altijd om toestemming te vragen voor de verwerking van persoonsgegevens. Hoe men daar bij komt is mij niet duidelijk. Voor zover dat door derden geadviseerd is, betreft dat een fout advies. In deze blog zet ik uiteen waarom.
Ruim 3 jaar geleden wees het Hof van Justitie het bekende Costeja-arrest. Sindsdien is duidelijk dat ook zoekmachines gebonden zijn aan het privacyrecht en (dus) te maken kunnen krijgen met correctie- en verwijderverzoeken. Het privacyrecht stelt echter ook extra strenge regels aan de verwerking van zogenaamde "bijzondere persoonsgegevens" (zoals medische gegevens). Naar de letter van de wet zou Google dergelijke gegevens (dus) niet mogen verwerken. De Franse Raad van State vraagt zich af hoe...
De Wet bescherming persoonsgegevens is sinds 1 september 2001 van kracht. Op die wet wordt toegezien door wat nu de Autoriteit Persoonsgegevens heet (voorheen: College Bescherming Persoonsgegevens, CBP). Een klein onderzoek op rechtspraak.nl laat zien dat de AP daarbij niet zo vaak door de rechter wordt getoetst. Hoe is dat te verklaren?Eenvoudig onderzoek rechtspraak.nlOp rechtspraak.nl heb ik gezocht naar alle uitspraken waarbij het CBP of de AP de wederpartij is.Dit heb ik simpelweg gedaan...
De rechtbank Den Haag heeft op 8 mei geoordeeld dat het reisgedrag van een student niet mag worden gebruikt om te controleren of de juiste studiefinanciering is verstrekt. De reisgegevens die met de OV-chipkaart worden vastgelegd geven een erg indringend beeld van iemands leven, terwijl voor het opvragen geen precieze wettelijke grondslag aanwezig is. De zaak laat (opnieuw) zien dat het risicovol is om zomaar gegevens aan derden (waaronder overheden) te verstrekken. Student met (onterecht?) u...
De meldplicht datalekken is ondertussen ruim 500 dagen van kracht. Het aantal meldingen valt tot op heden erg mee. Het aantal is zelfs zo laag, dat de Autoriteit Persoonsgegevens daar mogelijk aanleiding in ziet om organisaties te onderzoeken die niet of nauwelijks melden. Meld- en administratieplicht beveiligingsinbreukenDe naam "meldplicht datalekken" is een wat misleidende naam voor de wet die sinds 2016 van kracht is. De term "datalek" suggereert immers dat de vraag is of gegevens gelekt...
Vanaf 25 mei 2018 is de algemene verordening gegevensbescherming (AVG) van kracht. De AVG geeft specifieke regels voor de verwerking van 'biometrische gegevens'. Dit maakt dat het gebruik van biometrie in de beveiliging straks alleen is toegestaan als de Nederlandse wetgever daar een regeling voor treft. Er is een regeling aangekondigd, maar de vraag is of die voldoet. Ondernemers die nu willen investeren in biometrie zien zich dus met onzekerheid geconfronteerd.Verwerken bijzondere persoonsg...
De rechtbank Noord-Nederland heeft op 3 mei 2017 geoordeeld dat een advocatenkantoor geen personen mag benaderen op basis van de WSNP-publicatie in de Staatscourant. Het kantoor moet 100 euro schadevergoeding betalen, evenals de proceskosten.
Na een (ernstig) datalek bij uw IT-leverancier gaat u de kwestie evalueren. Daarbij komt de vraag op in hoeverre uw gegevens bij die leverancier nog wel in veilige handen zijn. U vraagt zich af of u van de overeenkomst met de leverancier af kunt. Of wellicht zelfs af moet. In dit artikel sta ik kort stil bij die vragen.U blijft verantwoordelijk, ook na uitbestedingHet privacyrecht kent een overzichtelijk uitgangspunt: als er iets mis gaat bij de verwerking van persoonsgegevens kunnen de Autor...
Over ruim een jaar wordt de Algemene Verordening Gegevensbescherming van kracht. In de aanloop daar naar toe is voorzitter Aleid Wolfsen bezig met een publiekscampagne waarin gewezen wordt op de hoge boetebevoegdheden. Tijd voor nuchtere blik terug in de tijd.Gegevens uit jaarverslagenOp de website van de Autoriteit Persoonsgegevens staan alle jaarverslagen gepubliceerd. Uit die jaarverslagen is af te leiden hoe vaak de AP een onderzoek heeft ingesteld, een last onder dwangsom heeft opgelegd...
De Hoge Raad heeft vrijdag 24 februari 2017 geoordeeld dat een zoekmachine een verwijderverzoek in principe altijd moet honoreren, behoudens bijzondere omstandigheden. Het betoog dat het bij ieder verzoek op een belangenafweging aankomt is daarmee verworpen.De kwestieDe zaak gaat over een man die verdacht wordt van poging tot uitlokking van huurmoord. In eerste aanleg is hij daartoe veroordeeld. Hij heeft hoger beroep ingesteld. De man ontdekt dat wie bij Google zijn volledige naam invult, in...
De Autoriteit Persoonsgegevens heeft op 22 februari 2017 een persbericht uitgebracht naar aanleiding van een onderzoek bij een bedrijf dat alcohol- en drugscontroles wilde invoeren. Wat met name opvalt aan het persbericht en het onderzoek is de ruime bevoegdheden die de AP zichzelf toekent, alsmede (wederwom) de wel hele strikte (en onpraktische) uitleg van de wet.Voorgenomen beleidHet bedrijf Uniper (=energieleverancier) had het voornemen om at random (in het rapport beschreven als "ad rando...
