Welke privacyrisico’s zijn verbonden aan het gebruik van TikTok?

Een aantal landen heeft de populaire video-sharing app TikTok geblokkeerd voor ambtenaren. Dit om hen te beschermen tegen risico’s op het gebied van data, privacy en cybersecurity die verbonden zijn aan het gebruik van de app. In deze blog worden de recente gebeurtenissen omtrent het verbod van TikTok weergegeven, in het bijzonder Nederland en de Verenigde Staten. In deze blog zoomen we in op het onrechtmatig verzamelen en verhandelen van persoonsgegevens door TikTok binnen de Verenigde Staten en de Europese Unie. Het beleid in de Verenigde Staten geeft een “kijkje” in de toekomst voor de Europese Unie, die hoogstwaarschijnlijk dezelfde acties zal ondernemen als de Verenigde Staten.

De toenemende roep om een verbod op TikTok?

TikTok probeert zijn problemen met privacy en mogelijke spionage voor de Chinese Communistische Partij op te lossen.

In de Europese Unie werd het verbod van TikTok aangekondigd op 23 februari 2023 voor werknemers van onder meer de Europese Commissie, de Raad van de Europese Unie, het Europees Parlement en de Europese Rekenkamer.

In het Nederlands kabinet is op 21 maart 2023 besloten dat ambtenaren TikTok niet langer op hun werktelefoon mogen hebben, schrijft staatssecretaris Van Huffelen in een brief aan de Tweede Kamer. Het gebruik van de app wordt onmiddellijk afgeraden en aan medewerkers wordt gevraagd de app te verwijderen.

Op 23 maart 2023 verscheen TikTok topman Shou Zi Chew voor het Amerikaanse Congres vanwege een onderzoek naar de app. Aanleiding voor het onderzoek zijn de toenemende zorgen over de stelselmatige verzameling van informatie door TikTok over de app-gebruikers en de doorgifte van deze informatie aan de Chinese overheid. Het wantrouwen tegenover TikTok is overgewaaid van de Verenigde Staten naar onder meer de Europese Unie en Nederland.

Onderzoek naar risico op spionage en risico’s voor minderjarige gebruikers

Het onderzoek van het Amerikaanse Congres heeft onder meer betrekking op het risico dat TikTok gevoelige persoonsgegevens over de app-gebruikers deelt met de Chinese overheid. Hoewel TikTok aangeeft dat verzamelde informatie over app-gebruikers niet met de Chinese overheid wordt gedeeld. Geldt onder Chinese regelgeving een verplichting voor Chinese technologiebedrijven om de Chinese overheid toegang te verlenen tot de persoonsgegevens van hun klanten. De doorgifte van informatie over app-gebruikers kan ertoe leiden dat de Chinese overheid informatie verkrijgt over het bedrijfsleven of overheidsinstanties binnen andere landen.

Zo zijn FBI en de Amerikaanse Justitie een onderzoek gestart naar het moederbedrijf van TikTok vanwege gelekte data van TikTok app-gebruikers over Amerikaanse journalisten. In de Verenigde Staten mogen ambtenaren uit veiligheidsoverwegingen geen TikTok op hun werktelefoons gebruiken en is er een wetsvoorstel uitgebracht op grond waarvan het mogelijk kan worden om technologiebedrijven uit het buitenland zoals TikTok geheel te verbieden.

Verder onderzoekt het Amerikaanse Congres in hoeverre de veiligheid van minderjarige app-gebruikers door TikTok gewaarborgd is. In 2019 is door de Amerikaanse consumentenwaakhond (FTC) een boete aan TikTok opgelegd van $ 5,7 miljoen omdat TikTok informatie over minderjarige gebruikers verzamelde zonder toestemming van de ouders.

De discussie binnen Nederland

Daarnaast is de Autoriteit Persoonsgegevens in 2020 een onderzoek gestart naar de bescherming van minderjarige app-gebruikers omdat kinderen als een extra kwetsbare groep worden gezien. In verband hiermee heeft de Autoriteit Persoonsgegevens een boete van € 750.000 aan TikTok opgelegd, omdat de privacyverklaring alleen in het Engels werd getoond. Volgens de Autoriteit Persoonsgegevens kan er niet vanuit worden gegaan dat kinderen altijd Engels begrijpen. De Consumentenbond en Stichting Take Back Your Privacy zijn in 2021 begonnen met een collectieve actie tegen TikTok. Zoals beschreven in onze vorige blog eisten zij een schadevergoeding van minimaal € 2 miljard voor het onrechtmatig verzamelen en verhandelen van gegevens van minderjarige TikTok-gebruikers in Nederland.

Kan TikTok een verbod binnen de Verenigde Staten en Europese Unie voor komen?

Mocht in de Verenigde Staten een algeheel verbod gaan gelden op het gebruik van TikTok, dan is het mogelijk dat binnen de Europese Unie eenzelfde verbod ter sprake zal komen. Om dergelijke verboden te voorkomen heeft TikTok aan het Amerikaanse Congres een oplossing aangedragen genaamd ‘Project Texas’. De kern van Project Texas is dat Amerikaanse persoonsgegevens worden opgeslagen bij softwarebedrijf Oracle (in Austin, Texas) in wezen zal functioneren als een ‘firewall’. Dit zou volgens Chew voorkomen dat de Chinese overheid toegang heeft tot de persoonsgegevens van Amerikaanse gebruikers.

Een kernpunt dat Chew aanduidde tijdens de hoorzitting is dat in Beijing gevestigde werknemers van TikTok nog steeds Amerikaanse gebruikersgegevens kunnen inzien. Maar dat de herstructurering die als firewall functioneert, zou voorkomen dat werknemers toegang hebben tot persoonlijke informatie van Amerikanen. Of dit nu echt als een oplossing beschouwd kan zijn, moet in de toekomst gezien worden en of de Amerikaanse overheid daarmee instemt.

Project Texas is de redding voor TikTok, maar de Amerikaanse overheid vindt het niet genoeg. Als het bedrijf niet vrijwillig verkoopt, zou een verbod het bedrijf daartoe dwingen, het is de vraag of dat lukt. TikTok’s CEO heeft aangegeven dat het geen oplossing is. Chinese autoriteiten zullen bovendien de verkoop moeten toestaan. Het is de verwachting dat het land daar niet toe bereid is. Als TikTok niet aan Europese eisen voldoet volgens de Digital Services Act en de Digital Markets Act kan het verboden worden voor privaatrechtelijke burgers volgens de Europese Unie. Mochten er ontwikkelingen zijn, dan zullen wij de updates in deze blog weergeven.

Vragen?

Heb je nog vragen naar aanleiding van deze blog? Neem dan vrijblijvend contact met ons op om over dit onderwerp te sparren. Wij zijn een innovator in privacy, data en informatiebeveiliging. Verder beschikken wij over vakinhoudelijke kennis met betrekking tot dit onderwerp. Wat het zou kunnen betekenen voor consumenten, organisaties en bedrijven. Wij zijn bereikbaar per e-mail op info@lumengroup.nl of via telefoonnummer 030 – 889 65 75.

 

Even voorstellen: Pieter

Even voorstellen: Pieter van den Houten

Lumen Group groeit en daarom stellen we je hierbij graag voor aan Pieter van den Houten. Wij stelden hem wat vragen, zodat je hem meteen een beetje leert kennen.

Wat is jouw rol bij Lumen Group?

De dag begint om half 9 met een heerlijke espresso. Het eerste uur van de dag werk ik mijn mail bij en probeer ik mijn netwerk binnen het privacy domein verder uit te breiden. Einde ochtend en begin van de middag heb ik vaak afspraken staan met (potentiële) klanten of met onze opdrachtgevers. Tussendoor maak ik tijd vrij om de sales campagnes verder uit te werken en uit te rollen, zodat we niet achterlopen op onze accountplanning.

Waarom heb jij ervoor gekozen om bij Lumen Group te gaan werken?

In mijn vorige rol bij SoftwareOne was ik als solution advisor verantwoordelijk voor alle back-up & recovery vraagstukken vanuit de klanten. Hier merkte ik dat de enorme berg aan data kansen creëerde maar ook risico’s met zich mee bracht. Ik wilde graag een verdiepingsslag maken en meer vanuit de inhoud sales doen. Bij de gesprekken met Lumen Group merkte ik dat ik te maken had met een echte kennis-club. Lumen Group staat op het punt om een volgende stap te zetten, daar hoort ook bij dat de commerciële processen moeten worden geoptimaliseerd en dat er een sales team gebouwd moet worden. Die uitdaging heeft mij uiteindelijk doen besluiten om een maand geleden de overstap te wagen.

Wat zijn jouw 3 opvallendste eigenschappen?

Sociaal, ondernemend en sportief.

Heb je onlangs een goede film gezien die je kan aanraden?

Nee, maar wel de miniserie Onorthodox op Netflix!

Staat er iets op de planning voor komend jaar dat je nog nooit hebt gedaan?

We gaan dit jaar de grote stad (Amsterdam) verlaten. We hebben namelijk een nieuwbouw huis in Muiden gekocht.

En tot slot: heb jij misschien nog een leuke boodschap voor de lezers van deze blog?

Boodschap!!

Mogelijkheid tot collectieve schadevergoeding op basis van de AVG?

Sinds 2020 is het voor collectieve belangenbehartigers mogelijk om collectief schade te verhalen op basis van de Wet Afwikkeling Massaschade in Collectieve Actie (hierna: WAMCA). De vraag of het mogelijk is om collectief schadevergoeding te eisen op basis van schendingen van de Algemene Verordening Gegevensbescherming (hierna: AVG) ligt nu voor bij de rechter. In deze blog zullen de huidige ontwikkelingen tussen de verhouding van de WAMCA en de AVG verder uiteengezet worden. Op het moment van schrijven is het namelijk nog onduidelijk of een mogelijkheid bestaat om tegen privacyschendingen op te treden op basis van de WAMCA.

Een nieuw middel om privacyschendingen te voorkomen?

Een mogelijk gevolg van de intreding van de WAMCA is dat naast individuele schadevergoedingsclaims en optreden door de Autoriteit Persoonsgegevens, een extra middel beschikbaar is om privacyschendingen te voorkomen en aan te pakken. Nederland staat momenteel op de voorgrond met betrekking tot collectieve acties tegen het schenden van privacywetgeving. In andere Europese landen zijn er nog geen mogelijkheden gevonden om massaclaims tegen schendingen van privacywetgeving in te stellen.

De vraag of een nieuw handhavingsmiddel daadwerkelijk beschikbaar komt om privacyschendingen aan te pakken hangt af van het vonnis op onderstaande zaken en eventuele toekomstige rechtszaken die zich op dit onderwerp toespitsen. De rechter heeft in beide onderstaande zaken zich nog niet uitgelaten over de toepasbaarheid van de WAMCA op privacyschendingen. Een belangrijke vraag die daarbij gesteld moet worden is of de wetgever wel beoogd heeft om de WAMCA als grond voor privacyschendingen aan te wenden en of daar binnen het schadevergoedingsregime van de AVG wel ruimte voor is. In onderstaande zaken is het nu dus nog afwachten.

The Privacy Collective tegenover Oracle en Salesforce

In Nederland liggen momenteel Oracle, Salesforce en TikTok onder vuur door ingestelde vorderingen op basis van de WAMCA. De stichting The Privacy Collective (hierna: TPC) heeft een rechtszaak aangespannen ten behoeve van de Nederlandse internetgebruiker tegen Oracle en Salesforce. Zij vorderen 11 miljard euro voor de privacyschendingen van 10 miljoen Nederlandse internetgebruikers. TPC is van mening dat Oracle en Salesforce op grote schaal de gegevens van miljoenen Nederlanders binnenslepen en verkopen, zonder geldige toestemming. TPC meende een mandaat te hebben om op te treden ten behoeve van de Nederlandse internetgebruiker door gebruik te maken van een ‘steun met 1 klik-knop’ op hun website. De teller van de ‘steun met 1 klik-knop’ staat op het moment van schrijven op 113.000. Echter de rechtbank oordeelde dat niet kon worden vastgesteld dat TPC opkomt voor een voldoende groot deel van de groep getroffen benadeelden en verklaart TPC wegens gebrek aan representativiteit niet-ontvankelijk. TPC heeft hoger beroep ingesteld tegen het vonnis.

Take Back Your Privacy tegenover TikTok

Een andere zaak die momenteel voor ligt bij de rechter is de zaak tussen TikTok en de stichting Take Back Your Privacy (hierna: TBYP). TBYP startte vorig jaar een collectieve actie tegen TikTok namens alle minderjarige TikTok-gebruikers in Nederland. Zij eisen dat TikTok aan de Nederlandse minderjarige TikTok-gebruikers een schadevergoeding van minimaal 2 miljard betaalt voor het onrechtmatig verzamelen en verhandelen van hun gegevens. TikTok gaf aan dat zij van mening zijn dat de Nederlandse rechter niet bevoegd is om van deze zaak kennis te nemen omdat TikTok niet in Nederland gevestigd is. De rechtbank Amsterdam gaf op 9 november 2022 aan dat zij zich wel bevoegd achtte om de zaak te behandelen. Op het verdere verloop van deze zaak moeten wij nog wachten.

Mochten er ontwikkelingen zijn, dan zullen wij de updates in deze blog weergeven.

Vragen?

Heb je nog vragen naar aanleiding van deze blog? Neem dan vrijblijvend contact met ons op om over dit onderwerp te sparren. Wij zijn bereikbaar per e-mail op info@lumengroup.nl of via telefoonnummer 030 – 889 65 75.

Wetsvoorstel wijziging UAVG: Een eerste analyse

Komende donderdag 9 februari wordt het wetsvoorstel voor de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG) besproken in de Tweede Kamer. Minister Weerwind heeft namens het kabinet heeft een update voorgesteld. De UAVG mist op dit moment op bepaalde punten verduidelijking, sommige verwijzingen zijn verouderd en de rechter heeft zich uitgesproken tegen de strekking van een enkele bepaling. Kortom, er zijn updates verzameld in de bijna 5 jaar dat de wet nu van kracht is. Er is onder andere advies ingewonnen bij de Autoriteit Persoonsgegevens, werkgeversorganisaties en de Vereniging van Nederlandse Gemeenten. In deze blog zet ik de meest in het oog springende wijzigingen uiteen.

Wat is de UAVG?

Op 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) in werking getreden binnen de Europese Economische Ruimte (EER). Op sommige punten biedt deze wet ruimte om nadere invulling te geven aan sommige open normen. In Nederland is dit gedaan door middel van de UAVG. De UAVG wet regelt onder andere het bestaan en de positie van de Autoriteit Persoonsgegevens en geeft nadere invulling aan normen ten aanzien van gebruik van bijzondere persoonsgegevens.

Welke wijzigingen vinden plaats in het wetsvoorstel?

  1. Jongeren tussen 12 en 16 krijgen meer rechten

Nu is het in Nederland mogen jongeren vanaf 16 jaar zelf toestemming geven voor de verwerking van hun gegevens. Daaronder moet de ouder toestemming geven, als het bijvoorbeeld gaat online diensten als websites en apps. Enkel de ouders die toestemming voor bijvoorbeeld onlinediensten weer kunnen intrekken. In het wetsvoorstel mogen jongeren deze rechten nu ook gaan uitoefenen vanaf 12 jaar. Bijzonder in het wetsvoorstel is dat de jongere de gegeven toestemming kan intrekken en dat de ouders deze toestemming weer kunnen geven. Vervolgens is het dan aan de verwerkingsverantwoordelijke om te bepalen wat daarmee gebeurt. Zij moet hierbij de wens van de minderjarige zwaar meewegen.

Wat betreft verwerkingen van medische gegevens staat hier nog wel een strengere toets tegenover. Tenzij de Wet op de geneeskundige behandelingsovereenkomst zich hiertegen verzet, kunnen jongeren van 12 tot 16 jaar deze rechten van betrokkenen ook gaan uitoefenen.

  1. Strafrechtelijke verwerking

Op dit moment worden persoonsgegevens die nu als strafrechtelijke gegevens worden benoemd binnen de UAVG te ruim uitgelegd volgens een uitspraak van het Gerechtshof Den Haag. Een door een rechter opgelegd verbod naar aanleiding van onrechtmatig of hinderlijk gedrag, zoals een contactverbod, zijn namelijk geen strafrechtelijke persoonsgegevens. De opstellers van het wetsvoorstel kunnen zich vinden in deze opvatting. Deze definitie wordt dus smaller uitgelegd in het nieuwe wetsvoostel.

  1. Gebruik bijzondere persoonsgegevens wordt ruimer toegestaan

Volgens de AVG mogen bijzondere persoonsgegevens niet worden verwerkt, tenzij een uitzonderingsgrond van toepassing is. Tot nu toe was zo’n uitzonderingsgrond er niet voor accountants, bij de uitvoering van wettelijke taken. Het wetsvoorstel brengt daar verandering in: als het noodzakelijk is voor de uitvoering van een wettelijk verplichte controle, mag een accountant bijzondere persoonsgegevens verwerken.

Naast accountants wordt ook het werk van curatoren eenvoudiger gemaakt, doordat expliciet wordt toegevoegd aan de Faillissementswet dat zij bijzondere persoonsgegevens, strafrechtelijke persoonsgegevens en het BSN mogen verwerken als dat noodzakelijk is.

  1. Gebruik biometrische gegevens

De UAVG wordt in het wetsvoorstel aangepast met betrekking tot de uitzondering op het verbod om biometrische gegevens te verwerken met het oog op de unieke identificatie van een persoon indien de verwerking noodzakelijk is voor authenticatie of beveiligingsdoeleinden. Deze doelbeperking is in het wetsvoorstel expliciet gemaakt. Zo wordt het gebruik van biometrische gegevens toegestaan om de rechtmatige toegang tot bepaalde plaatsen, gebouwen, diensten, producten, informatiesystemen of werkprocessystemen te verkrijgen.

Verdere stroomlijning met andere wetgeving

In het wetsvoorstel worden verder bepalingen aangepast in bijvoorbeeld de Faillissementswet, Wegenverkeerswet 1994, de Wet administratiefrechtelijke verkeershandhaving, de Wet op de rechtsbijstand (Wrb) en de Wet op het financieel toezicht (Wft). Deze zullen echter inhoudelijk minimaal wijzigen.

Verder proces voor totstandkoming wetgeving UAVG

Zoals eerder genoemd, vindt de bespreking van deze wetswijziging in de Tweede Kamer plaats op 9 februari. Mochten zij na bespreking akkoord gaan dan zal dit voorstel naar de Eerste Kamer gestuurd worden. Wij blijven deze voorgestelde wetswijziging met aandacht volgen.

Vragen?

Heb je nog vragen naar aanleiding van deze blog? Neem dan vrijblijvend contact met ons op om over dit onderwerp te sparren. Wij zijn bereikbaar per e-mail op info@lumengroup.nl of via telefoonnummer 030 – 889 65 75.

De Amerikaanse CLOUD-Act: wat betekent dat voor Privacy in de Europese Unie?

Op 23 maart 2018 ondertekende President Trump de ’Clarifying Overseas Use of Data act’ (CLOUD-Act). Het gevolg van de CLOUD-Act is dat een Europese (cloud service)provider of communicatiedienstverlener (hierna: Europese provider) moet voldoen aan een verzoek van de Amerikaanse overheid om gegevens over te dragen, zelfs als deze gegevens zich buiten de VS bevinden. In dit blog behandelen we kort de inhoud en de gevolgen van de CLOUD-Act.

Wat is de CLOUD-Act?
De CLOUD-Act is een federale wet van de Verenigde Staten die in feite neerkomt op een uitbreiding van de huidige Amerikaanse dataretentiewet, de zogenoemde ‘Stored Communications Act’ uit 1986. De CLOUD-Act geeft de Amerikaanse overheid de bevoegdheid om via een bevelschrift of dagvaarding providers te dwingen persoonsgegevens over te dragen, ongeacht waar deze persoonsgegevens zich bevinden. Daarnaast maakt de CLOUD-act het ook mogelijk om bilaterale afspraken te maken tussen de VS en andere landen om persoonsgegevens uit te wisselen in het kader van opsporing.

De CLOUD-Act is geïntroduceerd nadat de FBI problemen ondervond bij het verkrijgen van persoonsgegevens vanuit Ierland. In deze zaak weigerde Microsoft persoonsgegevens over te dragen in een strafzaak. Destijds maakte de dataretentiewet het niet mogelijk om persoonsgegevens die zich buiten de VS  bevinden op te vragen. Door de inwerkingtreding van de CLOUD-Act is dat onder bepaalde omstandigheden nu wel mogelijk.

‘’A provider of electronic communication service or remote computing service shall comply with the obligations of this chapter to preserve, backup, or disclose the contents of a wire or electronic communication and any record or other information pertaining to a customer or subscriber within such providers possession, custody, or control, regardless of whether such communication, record or other information is located within or outside of the United States’’

Voor wie is de CLOUD-Act van belang?
De CLOUD-Act heeft extraterritoriale werking. Dit houdt in dat de Amerikaanse overheid zich de bevoegdheid toeschrijft om gegevens op te vragen buiten haar eigen territoriale grondgebied. Dit geldt onder bepaalde omstandigheden dus ook voor Europese providers. Uit een onderzoek van GreenbergTraurig dat zij voor het Nationaal Cyber Security Centrum (NCSC) uitvoerde blijkt dat een Europese provider in twee gevallen niet aan een verzoek van de Amerikaanse overheid hoeft te voldoen. Allereerst hoeven Europese providers niet te voldoen aan verzoek op grond van de CLOUD-Act als deze geen enkele zakelijke relatie of contacten heeft met een bedrijf die actief is in de VS. Ten tweede zijn providers uitgesloten waarbij geen enkel Amerikaans bedrijf toegang, bezit of controle heeft over de opgeslagen persoonsgegevens in Europa. Europese providers waarvan het moederbedrijf Amerikaans is, vallen echter altijd onder de CLOUD-Act. Dit komt omdat niet kan worden uitgesloten dat dit moederbedrijf toegang tot de gegevens heeft.

Wat zijn de vereisten van een informatieverzoek op grond van de CLOUD-Act?
Een informatieverzoek op grond van de CLOUD-Act hangt af van verschillende factoren. Ten eerste moet er sprake zijn ‘probable cause’. Dit houdt in dat er een verwachting is dat de opgevraagde persoonsgegevens bewijs opleveren in een onderliggende strafzaak. Ten tweede moet de Amerikaanse overheid aantonen dat de Europese provider continue en systematische aanwezigheid in de VS had of dat de Europese provider ‘minimum contacts’ had met bedrijven uit de VS. Tot slot moeten de persoonsgegevens wel in bezit of controle van de Europese provider zijn.

De vraag of een Europese provider ‘minimum contacts’ of banden met de VS heeft kan worden ontleed in drie onderdelen. Allereerst moet onderzocht worden of het verzoek direct verband houdt met activiteiten in de VS. Daarnaast moet worden nagegaan of de Europese provider redelijkerwijs mocht verwachten dat haar Amerikaanse contacten voor een Amerikaanse rechter kon worden opgeroepen voor de activiteiten die zij uitvoeren in de VS. Tot slot moet de Amerikaanse overheid nagaan of de uitoefening van haar jurisdictie redelijk is.

Kan een Europese provider een verzoek van de Amerikaanse overheid aanvechten? 
Voor de ontvanger van een informatieverzoek is het moeilijk om een verzoek op grond van de CLOUD-Act aan te vechten, ondanks dat de CLOUD-Act wel deze mogelijkheid biedt. Uit de CLOUD-Act volgt dat een bezwaar van een provider aan twee cumulatieve vereisten moet voldoen. Allereerst moeten zij aantonen dat de gegevens niet van een Amerikaanse staatsburger zijn. Vervolgens moet de Europese provider aantonen dat toezegging aan het verzoek materiële schade oplevert en er een wet wordt overtreden van een ‘Qualifying Foreign Government’. Ten slotte is alleen de Amerikaanse rechter bevoegd om de rechtmatigheid van een verzoek op grond van de CLOUD-Act te beoordelen.

De eis dat er een wet van een ‘Qualifying Foreign Government’ moet worden overtreden maakt het voor Europese providers momenteel onmogelijk om een informatieverzoek van de Amerikaanse overheid aan te vechten. Dit komt omdat de Amerikaanse overheid momenteel nog geen enkel land als ‘Qualifying Foreign Government’ bestempeld.

Heb je nog vragen naar aanleiding van dit blog? Neem dan vrijblijvend contact met ons op om over dit onderwerp te sparren. Wij zijn bereikbaar per e-mail op info@lumengroup.nl of via telefoonnummer 030 – 889 65 75. Wil je meer lezen over dit onderwerp, lees dan het artikel van het NCSC.

Data Privacy en Data Protection: integraal onderdeel van het ESG framework

De Algemene Verordening Gegevensbescherming (AVG) is voor veel ondernemingen een thema geworden in de ESG-duurzaamheidsrapportages. Het wordt steeds vaker een integraal onderdeel van de bedrijfsvoering waaraan werknemers, sollicitanten en aandeelhouders steeds meer waarde hechten. Wat gebeurt er met de persoonsgebonden data en hoe verhoudt zich dat tot de transparantie waar bedrijven op worden getoetst?

Toenemende digitalisering biedt kansen en risico’s
De verwerking van onze persoonsgegevens door bedrijven neemt in rap tempo toe door de toenemende digitalisering en de mogelijkheden van data-analyse. Deze verwerkingen bieden veel bedrijven (commerciële) kansen en inzichten. Dit gebeurt vaak door gebruik te maken van data-analyses, profilering en algoritmes waarbij verschillende persoonskenmerken gecombineerd en verrijkt worden. Daarnaast kunnen bedrijven bijvoorbeeld ook fraudeurs of witwassers opsporen, risico’s inschatten of gerichte commerciële aanbiedingen doen aan de hand van de verzamelde en verrijkte persoonsgegevens en data.

Bedrijven zitten vaak op een schat aan (gevoelige) persoonsgegevens en hebben een plicht hier zorgvuldig mee om te gaan en deze te beschermen. Zij moeten hierover transparant zijn en er verantwoording over kunnen afleggen. Risico’s van een onzorgvuldige – of niet veilige bescherming van de persoonsgegevens – zijn voorkomende datalekken, phishing en ransomware, dat steeds vaker in het nieuws komt. Dit kan een onmiddellijke weerslag hebben op de reputatie van een bedrijf en zelfs het voortbestaan hiervan bedreigen. Ook individuele privacy inbreuken en boetes van de externe toezichthouders liggen op de loer.

De AVG reguleert een zorgvuldige verwerking en bescherming van onze persoonsgegevens
Vanuit Europa is er wetgeving van kracht die dit alles reguleert en invulling aan de zorgplicht geeft. De bekendste wet is de AVG, die diep ingrijpt bij bedrijven waar persoonsgegevens van klanten, medewerkers of andere betrokkenen worden verwerkt. Naar mate het bedrijf meer bijzondere of gevoelige persoonsgegevens verwerkt, zullen er meer maatregelen moeten worden getroffen om aan de verwachte zorgvuldigheid invulling te kunnen geven.

Privacy en data protection passen in het ESG framework
Bovenstaande is een reden om dit onderwerp serieus te nemen en toe te voegen aan het ESG framework van het bedrijf. De AVG als stuk wetgeving is hier op zichzelf al een goede reden voor. Maar de maatschappij verwacht ook dat bedrijven vanuit hun integriteit hun sociale voelsprieten uit hebben staan over wat voor soort verwerkingen acceptabel worden geacht en welke niet. Dit betekent dus niet dat als iets van de wet wel mag, dit ook automatisch door klanten of de maatschappij zal worden geaccepteerd. Bovendien is privacy één van de grondrechten uit de Grondwet en moet daarom worden nageleefd.

Een bedrijf dient vanuit haar governance structuur ook een goede Privacy & Data Protection policy te formuleren, waarin duidelijk is gemaakt hoe met persoonsgegevens wordt omgegaan en hoe persoonsgegevens worden verwerkt. De meeste bedrijven zullen privacy- en informatiebeveiliging als een compliance riskmanagementonderwerp benaderen. Binnen het bestaande riskmanagementprogramma worden de privacy – en data protection risico’s inzichtelijk, vindt monitoring plaats en worden beheersmaatregelen genomen. Tegelijkertijd is bijvangst van privacy en data protection wetgeving, dat gegevens niet langer bewaard mogen worden bewaard dan strikt noodzakelijk en daarna vernietigd moeten worden. Hierdoor draagt dit ook bij aan doelstelling van een bedrijf om ‘electronic waste’ te beperken.

De Functionaris Gegevensbescherming is onderdeel van de governance
Een belangrijke rol binnen de governance is weggelegd voor de binnen veel bedrijven wettelijk verplichte Functionaris Gegevensbescherming (FG), in het Engels de Data Protection Officer (DPO). Dit is een soort Compliance Officer die advies geeft en toezicht houdt op de verwerkingen van persoonsgegevens binnen het bedrijf. Dit kan zowel een interne als een externe FG zijn.

Heeft u vragen over de AVG, Privacy of Data Protection of de Functionaris Gegevensbescherming? Lumen Group kan u daarbij helpen. Neem contact op via info@lumengroup.nl of 030- 88965 75.

2FA, de veiligheidsgordel voor persoonsgegevens

Inloggen met tweefactorauthenticatie (2FA) verkleint de kans dat hackers toegang krijgen tot je accounts of persoonsgegevens en voorkomt datalekken. In 2021 is het aantal meldingen van cyberaanvallen met 88% gestegen volgens het Rapportage Datalekken 2021 van de Autoriteit Persoonsgegevens (AP). Dit aantal lijkt ieder jaar opnieuw exponentieel verder te stijgen. De AP heeft in 2021 een boete opgelegd van 400.000 euro aan de luchtvaartmaatschappij Transavia, onder andere omdat 2FA ontbrak. 2FA is mede door deze ontwikkelingen een basisvereiste voor de beveiliging van je persoonsgegevens: Géén 2FA is als autorijden zonder het dragen van een veiligheidsgordel.

Uit onze praktijk blijkt al te vaak bezwaar te zijn op het installeren of het gebruik van 2FA. Lumen Group heeft daarom voor jou de meest voorkomende bezwaren in deze blog weerlegd. Lees ze in deze blog en gebruik het in de eigen praktijk.

 

  1. Ik heb niet meer beveiliging nodig, ik heb niets te verbergen.

Iedereen kan een doelwit zijn, omdat persoonlijke informatie waardevol is voor hackers die zij gebruiken voor fraudeleuze activiteiten. Alle accounts met persoonlijke informatie, slimme huishoudelijke apparaten en zelfs particuliere bankrekeningen zijn niet veilig. Je wilt toch ook niet jouw bankrekeningnummer en pincode afstaan?

 

  1. Mijn wachtwoord is sterk genoeg.

Sterke wachtwoorden kunnen ook gestolen worden. Alleen een sterk wachtwoord is onvoldoende om datalekken te voorkomen en je account te beschermen van hackers. Het Nationaal Cyber Security Centrum (NCSC) heeft dit in haar factsheet benadrukt. Met 2FA zal je account niet zo snel worden overgenomen mocht je wachtwoord gestolen worden.

 

  1. Ik wil mijn privé telefoon(nummer) niet gebruiken voor het 2FA inloggen.

Het aanleveren van je telefoonnummer of emailadres is niet nodig voor 2FA. Gebruik hiervoor eenvoudig een authenticatie app. Deze app kun je zelf downloaden en daarna log je super snel in met de ontvangen code via de authenticatie app. Lees meer hierover in het artikel “Mag ik van mijn werknemers verwachten dat zij een app installeren op hun eigen mobiel om 2FA mogelijk te maken?

Ook bestaat er als alternatief voor de applicatie een hardware token. Dit is een apparaatje die een unieke code genereert zodat je daarmee kan inloggen. Veel voorkomende tokens zijn smartcards, een USB-stick, of een nummergenerator. Dit zou een perfecte oplossing zijn voor de mensen die geen applicatie op hun telefoon willen installeren.

 

  1. Het risico is niet hoog genoeg om te investeren in 2FA.

Door onder meer het werken vanuit de Cloud en het thuiswerken zijn de tijden veranderd. Tegelijkertijd blijft het aantal cyberaanvallen exponentieel toenemen volgens het Rapportage Datalekken 2021 van de AP. Als 2FA niet wordt opgenomen in de beveiligingsstrategie, blijft jouw organisatie blootgesteld aan interne bedreigingen of externe inbreuken. Hiermee voorkom je onnodige schade. Het NCSC adviseert werkgevers daarom om 2FA te implementeren. Lees hierover meer in haar factsheet ‘Gebruik tweefactorauthenticatie’.

 

  1. Mijn privé telefoonnummer wordt gebruikt voor marketing of verkocht aan derden.

De AVG schrijft voor dat jouw persoonsgegevens alleen mogen worden verzameld en verwerkt voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. Wanneer de gegevens later voor een ander doel worden gebruikt, dan moet dat nieuwe doel verenigbaar zijn met het oorspronkelijke verzameldoel.

Jouw organisatie heeft beleid om te voorkomen dat jouw persoonsgegevens voor andere doeleinden worden gebruikt. Dit kun je terugvinden in het privacybeleid van jouw organisatie. Kijk hiervoor bijvoorbeeld in jullie privacyreglement of privacy statement.

 

  1. 2FA is te nieuw en onbewezen.

Het is zeker niet nieuw, ook niet voor jou. Betalingen gebeuren bijvoorbeeld met 2FA door middel van je bankpas met een pincode. Ook jij hebt dit via jouw bank en gebruik je bijna dagelijks.

 

  1. Het IT-team is al overladen met het oplossen van problemen met een hogere prioriteit.

Het IT-team zal veel meer overbelast raken als een ransomware-aanval iedereen uit het systeem blokkeert. Hackers worden steeds beter in het ontfutselen van wachtwoorden, door bijvoorbeeld social engineering technieken. Door hier niet in mee te gaan, wordt de veiligheid van de gehele organisatie op het spel gezet. Dit is het laatste wat het IT-team zou willen.

 

  1. 2FA instellen is teveel gedoe.

Tegenwoordig is het een belangrijk onderdeel in de aanmeldingsprocedure en met één klik geregeld. De meeste applicaties en websites maken nu gebruik van API’s  (Application Programming Interfaces), die eenvoudig kunnen schakelen met een ja of nee-vraag: ‘Wilt u push-authenticatie inschakelen, een op tijd gebaseerde, eenmalig tijdelijk wachtwoord, e-mailverificatie, sms-verificatie?”, enzovoorts.

 

  1. 2FA ondersteunt niet de oude applicaties en systemen.

Oude applicaties en systemen hoeven hier niet voor worden aangepast. De technische ontwikkelingen hebben ervoor gezorgd dat er op verschillende manieren 2FA kan worden ingesteld. 2FA werkt als twee van de drie factoren correct zijn gebruikt:

  • Iets wat weet – Dit is je wachtwoord, pincode, toegangszin of een vergelijkbare code.
  • Iets wat je hebt – Hierbij kun je denken aan een smartcard, een pas of andere hardware.
  • Iets wat je “bent” – Dit is bijvoorbeeld je vingerafdruk, patroon van je iris, stemherkenning of je hartslag.

 

  1. Ik weet onvoldoende over 2FA om er comfortabel mee te zijn.

Voorlichting over het belang van nieuwe, effectieve beveiligingsmethoden is van groot belang voor jouw organisatie. Lumen Group helpt je graag verder hierbij.

Tip: Lees bijvoorbeeld meer over 2FA in het artikel 2FA, hoe werkt het? en in de factsheet ‘Gebruik tweefactorauthenticatie’ van het NCSC.

Vragen?

Heeft u vragen of opmerkingen, of wilt u meer weten? Neem dan contact met ons op. Wij helpen u graag verder. Wij zijn bereikbaar per e-mail op info@lumengroup.nl of via telefoonnummer 030 – 889 65 75.

 

 

Been bijtrekken op AVG door tijdelijke ondersteuning?

Lumen Group biedt een breed netwerk van professionals die interim werk kunnen verrichten vanaf het eerste moment. Onze interim professionals bieden doeltreffende, snelle en krachtige oplossingen en waarborgen de continuïteit van de werkzaamheden. Naast dat we onze klanten een breed netwerk aan interim professionals bieden, proberen wij voor onze professionals ook de juiste plek te vinden, zodat zij kunnen doen waar ze goed in zijn. In deze blog vertelt Anita van Ekris wat zij doet als interim professional bij Lumen Group.

‘Ik ben Anita van Ekris en ik werk als interim Privacy Officer bij een VO-school in het midden van het land. Nadat Lumen Group bij de betreffende school een AVG-steekproef had gedaan, werd duidelijk dat zij wat achterstand hadden in te halen om aan de minimale vereisten van de AVG te voldoen; niveau 3 van de privacy volwassenheidsladder van Lumen Group.

Met de steekproefrapportage ben ik nu samen met de ICT-manager aan de slag om met wat reparatie-acties te kunnen voldoen aan niveau 3. Dit betreft het opstellen, of aanvullen met wettelijke vereisten, van 6 procedures, het aanvullen van de autorisatiematrix en het opstellen van een bewustwordings- en trainingsplan.

Ik heb veel gesprekken gevoerd met verschillende functiegroepen en daar komen ook heel wat adviezen uit. Denk aan een sleutelbeleid of een clean desk policy. Compliant zijn aan de AVG gaat niet alleen over de verplichte procedures of registers hebben. Het is juist belangrijk als een persoon met kennis van de AVG veel gesprekken voert om de bewustwording te vergroten en vraagbaak te zijn. En de school merkt het ook. Zo liet de directeur weten: “We merken dat papieren van bureaus aan het verdwijnen zijn, dus het AVG-spook waart al rond.” Dat maakt mij dan weer trots. Lekker met humor en praktische oplossingen, de werkomgeving AVG-proof maken.’

Als je meer wilt weten over onze interim-diensten, kijk dan op deze pagina of neem eens contact met ons op. Wij zijn bereikbaar per e-mail op info@lumengroup.nl of via telefoonnummer 030 – 889 65 75. 

Even voorstellen: Florence

Lumen Group groeit en daarom stellen we je hierbij graag voor aan Florence Frequin. Wij stelden haar wat vragen, zodat je haar meteen een beetje leert kennen.

Wat is jouw rol bij Lumen Group?

Als Privacy Consultant bij Lumen Group krijg ik veel verantwoordelijkheid en ben ik eigenaar van mijn eigen klantenportefeuille. Zo ondersteun ik klanten op het gebied van privacy- en gegevensbescherming door vragen van onze klanten over de toepassing hiervan te beantwoorden en bied ik ondersteuning bij de afhandeling van datalekken en beveiligingsincidenten. Ook kan ik in de rol van een onafhankelijke FG verrichten voor klanten in meerdere sectoren zoals onderwijs, gemeenten, zorg, financiële instellingen en private bedrijven.  

Daarnaast geef en neem ik deel aan trainingen en seminars voor en bij klanten. Ik begeleid projecten en implementeer privacy wet- en regelgeving bij onze klanten. Ik mede-ontwikkel onze producten en diensten en draag bij aan het behalen van de doelstellingen van Lumen Group.

Hoe zien jouw werkdagen eruit?

Voor mij en mijn collega’s is geen enkele dag hetzelfde! Ik begin de dag met een dagstart waar ik samen met mijn collega’s de doelen voor de dag bespreek. Als aanspreekpunt beantwoord ik gedurende de dag de vragen op het gebied van privacy- en gegevensbescherming van verschillende klanten.

Bij klanten breng ik de bescherming van persoonsgegevens en informatiebeveiliging aan het licht door bijvoorbeeld het uitvoeren van risicoanalyses en mogelijke bevindingen met klanten te bespreken en dit vast te leggen middels rapportages, zodat zij hiermee risico’s beter kunnen beheersen en op de toekomst voorbereid zijn.

Verder ben ik veel in contact met onze klanten, beantwoord ik vragen en adviseer ik op een praktische wijze. Dit doe ik zowel op afstand als op locatie van onze klanten verspreid over heel Nederland.

Waarom heb jij ervoor gekozen om bij Lumen Group te gaan werken?

De huidige ontwikkelingen op het gebied van big data, informatietechnologie, de komst van een nieuwe ePrivacy-verordening en tegelijkertijd een toename van het aantal cyberaanvallen brengen de vraag om adequate zorg hiervoor met zich mee. Net als Lumen Group draag ik graag mijn steentje bij om de digitale samenleving eerlijker en veiliger te maken.

Wat zijn jouw 3 opvallendste eigenschappen?

Teamplayer met doorzettingsvermogen en oog voor detail.

Heb jij misschien nog een leuke boodschap voor de lezers van deze blog?

“Never let a good crisis go to waste.”