Begin juni heeft de Nederlandse privacytoezichthouder aangekondigd dat ze nieuw beleid gaat hanteren voor het berekenen van boetes. Onder deze nieuwe regels kan een boete fors hoger uitvallen dan vroeger. Wat kunnen organisaties nu verwachten bij een schending van de AVG?
De afgelopen maanden lijkt het privacyrechtelijke net te sluiten rond Google Analytics. Toezichthouders in Denemarken, Frankrijk, Italië, Noorwegen en Oostenrijk hebben aangegeven dat de veelgebruikte applicatie in strijd is met privacywetgeving zoals de AVG. Is dit ook een risico in Nederland?
De Autoriteit Persoonsgegevens geeft jaarlijks een totaaloverzicht van alle gemelde datalekken. De ‘Datalekkenrapportage 2021’ is net gepubliceerd en toont een exponentiële stijging van het aantal cyberaanvallen.
Organisaties zijn verplicht om de uitoefening van de rechten van betrokkenen onder de Algemene verordening gegevensbescherming (AVG), zoals het recht op inzage of gegevenswissing, te faciliteren. Bij dergelijke verzoeken geldt een identificatieplicht: verwerkingsverantwoordelijken moeten op grond van de AVG de identiteit van de verzoekende betrokkenen vaststellen. Maar de AVG geeft niet aan hoe een organisatie dat moet doen. Dat deze verplichting niet in alle gevallen ingevuld mag worden met het opvragen van een kopie identiteitsbewijs (paspoort, rijbewijs of ID-kaart) blijkt uit het recente boetebesluit van de Autoriteit Persoonsgegevens aan DPG Media. In dit blog nemen we het besluit onder de loep en beantwoorden wij de vraag hoe aan de identificatieplicht uit de AVG kan worden voldaan.
De Autoriteit Persoonsgegevens (AP) heeft het meldformulier voor datalekken vernieuwd. Het nieuwe meldformulier maakt het eenvoudiger om een datalek bij de AP te melden.
In een recentie kwestie bij de rechtbank Midden-Nederland wordt geoordeeld dat er sprake is van een schending van de AVG omdat persoonsgegevens ten onrechte aan de Belastingdienst zijn verstrekt. De gevorderde immateriële schadevergoeding wordt echter afgewezen, omdat de gestelde immateriële schade niet met concrete gegevens is onderbouwd. De rechtbank past daarmee (in mijn optiek) het EBI-arrest van de Hoge Raad op juiste wijze toe.
In een procedure tussen een ICT-leverancier en zijn klant, wordt de ICT-leverancier veroordeeld tot het vergoeden van de schade die zijn klant geleden heeft door een ransomware-aanval. Deze aanval vond plaats enige tijd nadat de tussen partijen geldende onderhoudsovereenkomst (SLA) was geëindigd. Desalniettemin is de ICT-leverancier aansprakelijk, omdat hij gedurende de looptijd van de SLA heeft nagelaten adequate back-ups te maken. Dit terwijl dat wel tot zijn verplichtingen behoorde. Hierdoor kon de getroffen klant niet anders dan losgeld betalen om de ransomware-aanval te (doen) eindigen, in plaats van het terugzetten van de back-ups. Tegelijkertijd is er wel sprake van eigen schuld van de klant bij het kunnen ontstaan van de ransomware-aanval. Zodoende wordt de schadevergoeding gematigd.
In een procedure tussen Uber en een aantal ontslagen chauffeurs, stellen de chauffeurs zich op het standpunt dat daarbij op onrechtmatige wijze gebruik is gemaakt van geautomatiseerde besluitvorming. Zij vorderen (kort samengevat) inzage in het bestaan van geautomatiseerde besluitvorming alsmede in de onderliggende logica, het belang en de verwachte gevolgen daarvan. Daarnaast vorderen zij een schadevergoeding wegens schending van de AVG. De vorderingen worden in een interessant vonnis gemotiveerd afgewezen.
In de journalistiek wordt de verborgen camera veel gebruikt, met alle controverse van dien. Televisieprogramma’s en YouTube-series die verborgen camera’s gebruiken zijn erg populair, maar in hoeverre is het rechtmatig om opnames te publiceren die zijn gemaakt met een verborgen camera? Een recent arrest van het Hof Amsterdam over een uitzending van Undercover in Nederland geeft aanleiding tot een beschouwing van dit fenomeen.
Een ontvangen, ongepaste foto in een WhatsApp groepschat kan (voorlopig) leiden tot een ban van Microsoft-diensten, blijkens een recent kortgedingvonnis bij de rechtbank Midden-Nederland tussen een gebruiker van opslagdienst Microsoft OneDrive en Microsoft.
Om niet te kwalificeren als kansspel moet een loot box aan twee voorwaarden voldoen: de buit mag niet verhandelbaar zijn en de speler moet zijn winstkans met behendigheid kunnen vergroten. Hoe dat in een individuele game te realiseren is altijd maatwerk.
Een datalek zit in een klein hoekje en overkomt de beste. Iedere organisatie kan er vroeg of laat mee te maken krijgen. Jaarlijks ontvangt de Autoriteit Persoonsgegevens (tien)duizenden meldingen van een datalek. Bij een datalek komt er in korte tijd veel op een organisatie af. Snel en adequaat handelen is bij dergelijke incidenten cruciaal. In dit blogartikel geven wij een praktisch stappenplan wat te doen bij een (potentieel) datalek, met name in het licht van de verplichtingen uit de Algemene verordening gegevensbescherming.
