Privacy en haar weg naar volwassenheid

/in /door

Voor de start van Lex Digitalis beschreven we in ons businessplan het werkgebied van privacy, data en cybersecurity . Sinds onze start twee maanden geleden hebben we veel professionals binnen het werkgebied gesproken. Veel onderwerpen uit het businessplan komen daardoor nu écht tot leven. We spraken met mensen in de zorg, in het onderwijs, binnen de overheid, bij uitvoeringsorganisaties, in de financiële sector, bij adviesbureaus, vanuit de advocatuur…. In verschillende branches hoorden we soortgelijke geluiden.

Awareness ingrediënt voor volwassenheid
Zo valt ons op dat awareness en het belang van privacy bij veel organisaties meer aandacht verdient. De ontwikkeling naar volwassenheid van het werkgebied is ingezet, maar organisatiebreed is er vaak nog te weinig kennis. Er wordt onvoldoende gezamenlijk belang toegekend aan privacy. Awareness, onderkennen van het belang en kennis zijn van groot belang voor groei in volwassenheid van het werkgebied binnen organisaties. Vrijwel iedere medewerker komt met persoonsgegevens in aanraking!

Die beperkte awareness maakt het werk van een privacy-professional niet altijd makkelijk. Vaak hebben ze het imago van “nee-zegger”, doordat men pas aan het einde van een proces wordt betrokken. Er wordt hard gelobbyd om, ook in het kader van efficiency, eerder in een traject betrokken te worden, zodat een negatief advies achteraf voorkomen wordt. Ook is er sprake van veel ad hoc vragen over privacy-gerelateerde onderwerpen, bijvoorbeeld of gegevens wel of niet mogen worden verstrekt. Hierdoor ontstaat voor de privacy-professional een dilemma qua prioritering: beleidsmatige/strategische vraagstukken die bijdragen aan bijvoorbeeld awareness en kennis binnen de organisatie eerst oppakken of “blijven hangen in” de ad-hoc vragen?

Opvallend (en logisch) is ook dat privacy-functies op verschillende plekken worden belegd binnen organisaties. Mooi voorbeeld hiervan: bij sommige organisaties is gekozen voor een externe FG vanwege de onafhankelijkheid en afstand. Bij andere organisaties is er juist gekozen voor een interne FG, vanwege het van belang dat de FG over voldoende kennis moet beschikken van de organisatie en haar werkveld.

Iedereen heeft een mening over de AP
Als relatief nieuwkomer in het privacy-werkveld hebben de geluiden over de AP ons verbaasd. Met een open blik zijn we de gesprekken aangegaan, waarbij de AP voor ons wel bekend stond als waakhond en toezichthouder van onze rechten. We hoorden echter dat het imago van de AP onder privacy-professionals niet heel positief is. Kort samengevat wat we horen:

– Het kennisniveau van professionals binnen de AP is beperkt. De uitspraak in de zaak VoetbalTV wordt hierbij vaak aangehaald, waarbij de AP bakzeil haalt op hun normuitleg van ‘het gerechtvaardigd belang’. Een uitleg die naar wij begrepen al zeer omstreden was in relatie tot het standpunt van de andere Europese toezichthouders, die al stelden dat ‘gerechtvaardigd belang’ een breed scala aan belangen kan omvatten, commerciële belangen niet uitgesloten. Overigens had de AP mogelijk ook een andere intentie bij deze zaak, namelijk toetsen of hun strengere (tov andere Europese toezichthouders) uitleg van ‘het gerechtvaardigd belang’ zou stand houden voor de rechter.

– Er is te weinig capaciteit binnen de AP, er zijn grote achterstanden, slagkracht ontbreekt. Ook de AP zelf onderkent dat. KPMG heeft recent onderzoek gedaan naar de benodigde capaciteit van de AP in opdracht van het Ministerie van Justitie en Veiligheid en de AP. De AP zelf stelt naar aanleiding van de bevindingen uit dat onderzoek dat om haar wettelijke taken goed uit te kunnen voeren, er van 184 fte nu een groei moet komen naar 470 fte in 2025. KPMG en Minister Dekker verbinden overigens andere conclusies aan dat onderzoek. Voor de minister is er voorlopig geen aanleiding om budgetten op te schroeven, zoals hij aangaf in zijn kamerbrief van 19 november 2020.

Wij schrokken in eerste instantie van deze geluiden over de AP. Zeker omdat je juist van de AP verwacht dat hij een gewaardeerd toezichthouder is. Een instantie die als waakhond over de regels die we met z`n allen bedacht hebben, waakt. Hoe mooi zou het zijn als de AP fungeert, zoals wij in eerste instantie dachten: als een stevige informatiebron, een autoriteit waar je kan aankloppen voor een juiste uitleg of interpretatie? En daarmee ook een instantie die bijdraagt aan het vergroten van de professionaliteit van het vakgebied? Deze wens hoorden we regelmatig vanuit de markt. En hoewel eraan gewerkt wordt, moet ook de AP naar ons idee nog groeien in volwassenheid, net als dat het geval is voor het privacy-domein binnen vele andere organisaties.

Wat verder voorbij kwam
Onderwerpen die verder veel voorbij kwamen in de gesprekken waren onder andere: de uitspraak Schrems II, cameratoezicht en gezichtsherkenning, Brexit, inzet van Boa’s en de Wet politiegegevens, de invloed en ethiek van het gebruik van algoritmes en de versnelde digitale innovaties in het onderwijs in het corona-tijdperk. Daarnaast is het duidelijk dat er een grote behoefte in het veld is aan denken vanuit mogelijkheden in plaats van onmogelijkheden, geen juridisch geneuzel, maar praktische en heldere adviezen.

Overall is het fantastisch om te merken met hoeveel passie en bevlogenheid privacy-professionals hun werk doen. Fijn ook dat er zoveel interesse is in onze start-up en dat er tijd wordt vrijgemaakt om kennis en ervaringen met ons te delen. Vanaf hier nogmaals dank aan iedereen die we gesproken hebben! Feit is dat we naar mate we meer privacy-professionals spreken en meer informatie “sponsen”, we het privacy-domein steeds interessanter vinden en steeds nieuwsgieriger worden!

Blog: Waarom privacy, data en cybersecurity?

/in /door
Lees meer

Privacy basics: inzageverzoeken.

/in /door
Lees meer

Column: Algoritmes…alleen maar negatief?

/in /door

Deze week heeft iedereen het over de ontslagen bij Uber. Een aantal chauffeurs is door Uber ontslagen vanwege vermeende fraude. De chauffeurs geven aan dat zij op basis van een algoritme binnen Uber onterecht beschuldigd worden van fraude. Vervolgens zou die enkele constatering op basis van dat algoritme de reden voor hun ontslag zijn.
Dit levert natuurlijk een interessante discussie op. Volgens de Europese privacywet GDPR mag de grond voor een ontslag niet alleen gebaseerd zijn op een algoritme. Het uiteindelijke besluit tot een ontslag moet altijd door een mens genomen worden.

Wat mij interesseert is dat in deze tijd waar data meer geld waard zijn dan goud, die algoritmes een terugkerend negatief nieuwsitem lijken. Een bekend voorbeeld is de Amerikaanse verkiezing in 2016. En ook op Nederlandse bodem liet Arjen Lubach laatst zien, dat je binnen een paar klikken op YouTube in een trechter aan complottheorieën terecht kunt komen.
Netflix zorgt met docu’s als “The Social Dilemma” en “The Great Hack” ook voor een negatieve kijk op algoritmes en organisaties die jouw data verzamelen. Nu is de kanttekening hierbij dat Netflix met haar eigen algoritme ook tips naar voren weet te schuiven, afgestemd op jouw kijkgedrag.

De vraag is: hoe kwalijk zijn deze algoritmes nu eigenlijk? Dat wiskundige en natuurkundige formules losgelaten worden op bepaalde patronen is namelijk iets van alle tijden. Dat bewijst ook de Wet van Benford bijvoorbeeld. Deze formule werd in 1881 al ontdekt en is in 1938 opnieuw ontdekt en verder uitgewerkt. Grote (overheid)instellingen over de gehele wereld passen deze formule toe om fraude en criminaliteit op te sporen en vaak ook met succes.
De analyse van big data zorgt bij medische onderzoeken sneller tot een doorbraak en oplossing. Binnen de recherche kan door het analyseren van alle gegevens uit het verleden, beter ingesprongen worden op huidige situaties. En zo zijn er uiteraard nog meer positieve voorbeelden te benoemen.

Zolang organisaties op een verantwoorde en ethische manier omgaan met gegevens, is het loslaten van algoritmes of formules op gegevens uiteraard geen probleem. Nogmaals het leidt ook tot mooie en positieve uitkomsten. Misschien dat ook juist daarom de excessen in het nieuws komen, zoals bij Uber. De regie en tussenkomst van de mens is en blijft een essentiële factor.

Schrems II streng toegepast in Frankrijk. Urgentie Covid-19 geeft tijdelijk wat ruimte.

/in /door

Dit artikel is relevant voor: alle organisaties die gebruikmaken van een verwerker die gevestigd is in de VS (Microsoft, Google, AWS, etc.), zelfs als de hosting door die verwerker in Europa plaatsvindt. 

 

De Franse privacytoezichthouder CNIL heeft zich van zijn strenge kant laten zien. De CNIL vindt hosting van gezondheidsgegevens in de Health Data Hub door Microsoft (op hostingservers in Nederland) ontoelaatbaar. De Health Data Hub is een centraal platform van de Franse overheid voor medische onderzoeksdoeleinden. In de Health Data Hub zijn diagnoses en andere gegevens opgeslagen, afkomstig van ziekenhuizen, de nationale ziektekostenverzekering en apotheken. Naar aanleiding van de Schrems II-uitspraak hebben belangengroeperingen een verzoekschrift ingediend bij de Conseil d’Etat, de hoogste administratieve rechtbank in Frankrijk, om de verwerking van gezondheidsgegevens in de Health Data Hub te stoppen. De CNIL ondersteunt dat standpunt, maar de Conseil d’Etat zet dat standpunt in zijn uitspraak van 13 oktober 2020 opzij, althans tijdelijk, onder andere vanwege de huidige urgentie rond Covid-19.

Schrems II – in het kort 

De Conseil d’Etat past in deze zaak de overwegingen toe van het Hof van Justitie van de Europese Unie in de Schrems II-uitspraak. De gevallen zijn niet helemaal vergelijkbaar. In het geval van de Health Data Hub gaat het om verwerking van persoonsgegevens binnen Europa. In de Schrems II-uitspraak gaat het om doorgifte van persoonsgegevens door Facebook naar de Verenigde Staten. In de Schrems II-uitspraak is het EU-VS Privacy Shield ongeldig verklaard. Doorgifte van persoonsgegevens naar de Verenigde Staten kan daardoor niet meer op basis van het Privacy Shield en zal voortaan op een andere basis moeten plaatsvinden, bijvoorbeeld op basis van Standard Contractual Clauses.

Bij de doorgifte van persoonsgegevens naar landen buiten de Europese Economische Ruimte op basis van Standard Contractual Clauses moeten de passende waarborgen die vereist zijn (in artikel 46, lid 1, en artikel 46, lid 2, onder c, AVG), ervoor zorgen dat een bescherming wordt geboden die gelijkwaardig is aan het niveau dat door de AVG in de EU wordt gegarandeerd. Daarbij gaat het niet alleen om de contractuele bepalingen (de Standard Contractual Clauses), maar ook om de relevante elementen van het rechtsstelsel van dat derde land (als bedoeld in artikel 45, lid 2, AVG). Het Privacy Shield is juist hierom ongeldig verklaard. De Amerikaanse inlichtingen- en veiligheidsdiensten hebben een ruime (meer dan noodzakelijke) toegang tot persoonsgegevens en betrokkenen kunnen hun rechten niet via de rechter afdwingen in de VS. Naast het ongeldig verklaarde Privacy Shield, vormen ook de Standard Contractual Clauses naar mijn verwachting geen goede basis meer voor doorgifte naar de VS. Doorgifte van persoonsgegevens naar de Verenigde Staten is dan nog slechts mogelijk bij wijze van uitzondering (in de gevallen genoemd in artikel 49 AVG; daarover hieronder meer).

De CNIL is streng: verwerking is onrechtmatig, want niet iedere mogelijkheid van doorgifte naar de VS is uitgesloten

Microsoft kan niet volledig uitsluiten dat zij een verzoek van de Amerikaanse veiligheids- en inlichtingenautoriteiten zal moeten inwilligen. Zelfs als de hosting door Microsoft in Europa plaatsvindt – zoals in dit geval in Nederland zal Microsoft vanwege de CLOUD Act aan een dergelijk verzoek moeten voldoen. Ook is niet uitgesloten dat Microsoft onderhoud en beheer pleegt – en daarvoor bijvoorbeeld logging ontvangt van de Health Data Hub – in de Verenigde Staten. De doorgifte die in deze twee scenario’s het gevolg is, zal dan niet voldoen aan de uitleg van de AVG in de Schrems II-uitspraak en dus zou de hosting door Microsoft onrechtmatig zijn en herzien moeten worden.

Covid-19 weegt mee in het eindoordeel van de Conseil d’Etat 

De Conseil d’Etat is genuanceerder dan de CNIL en merkt op dat er geen directe schending van de AVG is, maar slechts een risico van schending van de AVG. De Conseil d’Etat verwacht niet dat de veiligheids- en inlichtingendiensten van de Verenigde Staten veel belangstelling zullen hebben voor de gezondheidsgegevens. En bovendien zijn de gegevens gepseudonimiseerd.

Vervolgens is doorslaggevend dat een zwaarwegend algemeen belang wordt gediend. De verwerking van de gezondheidsgegevens is noodzakelijk om de noodsituatie op gezondheidsgebied te beheersen en onderzoek te doen naar SARS-CoV-2 (het Coronavirus). De opslag van de gezondheidsgegevens bij Microsoft is in de huidige omstandigheden een evenredige maatregel, mede doordat een passende alternatieve technische oplossing op korte termijn ontbreekt. Bij de lancering van de Health Data Hub was immers Microsoft de enige partij die voldeed aan het programma van eisen. Wel heeft de Franse overheid toegezegd verdere maatregelen te zullen nemen om elk risico uit te sluiten. Alsnog gaat de Franse overheid bekijken of een Franse of Europese partij de dienst kan leveren.

Wat betekent deze uitspraak voor mij? 

De uitspraak toont aan dat de hoogste Franse bestuursrechter de Schrems II-uitspraak heel precies toepast. Dat is ook het advies van de Franse privacytoezichthouder CNIL. Slechts vanwege de uitzonderlijke situatie door Covid-19 staat de rechter tijdelijk toe dat enig risico wordt gelopen. De verwerking dient een zwaarwegend algemeen belang dat in de huidige urgente gezondheidssituatie een uitzondering rechtvaardigt. De rechter sorteert daarmee voor op de uitzondering als bedoeld in artikel 49, lid 1, onder d, AVG.

Eigenlijk wisten we het al. De Schrems II-uitspraak van 16 juli 2020 is verstrekkend. Het maakt doorgifte van persoonsgegevens naar de VS in essentie onmogelijk, tenzij sprake is van een uitzondering als bedoeld in artikel 49 AVG. Ook Standard Contractual Clauses bieden in het geval van doorgifte naar de VS nauwelijks een oplossing, tenzij er aanvullende maatregelen worden genomen (maar pseudonimisering bleek voor de Franse rechter niet afdoende). Wilt u niet wachten op een Privacy Shield 3.0 (voor zover dat te zijner tijd wel stand houdt), dan blijft voor u doorgifte naar de VS op basis van artikel 49 AVG over, kort gezegd:

  • uitdrukkelijke toestemming van de betrokkene voor de doorgifte, of

de doorgifte naar de VS is noodzakelijk voor:

  • uitvoering van een overeenkomst met de betrokkene,
  • uitvoering of sluiting van een overeenkomst in het belang van de betrokkene, 
  • een zwaarwegend algemeen belang,
  • een rechtsvordering,
  • bescherming van vitale belangen van de betrokkene of een andere persoon, of 
  • raadpleging van publieke registers.

De lat ligt daarmee zeer hoog, want wanneer is een doorgifte naar de VS noodzakelijk? Dan zal op z’n minst aangetoond moeten worden dat het doeleinde van de verwerking niet op een andere wijze (zonder doorgifte naar de VS) is te realiseren, bijvoorbeeld door gebruikmaking van een vergelijkbare hostingdienst van een Europese partij.

 

brown track and field

Lef en gewoon doen: kiezen voor ondernemen!

/in /door

Al zo’n 15 jaar geleden gaven mensen om me heen mij de tip om voor mezelf te starten. Dat vonden ze echt iets voor mij! Toen wimpelde ik dat af met “nee joh, dat is niks voor mij, dat kan ik helemaal niet en is bovendien veel te spannend”. De keuze om niet te gaan ondernemen had toen vooral te maken met het ontbreken van lef en de onzekerheid over vaste inkomsten. Maar het bleef wel echoën in mijn hoofd…

Je hoeft niet geweldig te zijn om te starten, je hoeft alleen maar te starten om geweldig te zijn!

Lees meer

Thuis werken in privacy?

/in /door

Thuis werken is nu eerder normaal en noodzakelijk geworden, dan dat het nog een uitzondering of privilege is. Ook tijdens de laatste persconferentie zijn we nogmaals opgeroepen om zoveel mogelijk vanuit huis te werken in plaats van op kantoor.

Waar dit voor de meesten in het begin nog wat onwennig was, heeft bijna iedereen nu een goede thuiswerkplek en routine voor zichzelf gecreëerd.

Waar we niet altijd bij stil staan, is dat thuis werken de nodige digitale risico’s met zich meebrengt. Wat als jouw buren via het open raam alles meekrijgen van jouw vertrouwelijke gesprek? Hoe ga je om met dossiers vol persoonsgegevens richting jouw familie of huisgenoten? Normaliter heeft een kantoor al een uitdaging om persoonsgegevens om een juiste manier te beschermen en bewaren en zijn daar de nodige richtlijnen voor.

Bedenk voor jezelf maar eens hoe dit geregeld is. Wellicht kom je tot de conclusie dat het goed geregeld is: top! Maar anderen zullen zich realiseren dat we thuis digitaal onveilig werken, zonder dat we het soms door hebben. Zaken die normaal goed beschermd worden vanuit kantoor, bijvoorbeeld het werken in een gesloten netwerk of het hebben van fysieke dossiers, zijn thuis nu veel toegankelijker voor derden en dus ook voor de verkeerde mensen.

Online uitgever Vakwereld heeft onderzoek gedaan naar onze digitale werkgewoontes. En wat bleek:
Uit de onderzoeksgroep van duizend mensen, is de helft werkzaam in de zakelijke dienstverlening. Daarnaast werkt men voornamelijk in het informatiebeheer, de evenementenorganisatie, zakelijke mobiliteit en beveiliging en werkt 18 procent bij de overheid. 84,9 procent van de ondervraagden gaf aan met vertrouwelijke informatie te werken, variërend van offertes tot persoonsgegevens. Meer dan 80 procent van de thuiswerkers vulde in dat die informatie beveiligd is, terwijl tegelijkertijd 62,3 procent op eigen apparaten werkt en 62,9 procent met deelapplicaties.

Ook ander recent onderzoek concludeert dat de cybersecurity thuis te wensen over laat en op de lange termijn voldoen sommige processen niet. Digitale veiligheid en privacy worden nog vaak over het hoofd gezien. Daarom hier wat tips om dit op de korte termijn zo goed mogelijk met elkaar op te vangen.
– Pas op met gratis apps: deze apps zijn vaak niet voor niks gratis. De eigenaar van de app kan jouw gegevens ook voor andere doeleinden gebruiken.
– Werk in een beschermde omgeving: als het goed is, wordt deze door jouw werkgever geboden. Sla gegevens niet op een lokale computer op, maar enkel in een beveiligde cloud of server.
– Behandel jouw huisgenoten niet anders: zorg dat je partner, familie of kinderen niet mee kunnen kijken of luisteren bij vertrouwelijke informatie.
– Wat te doen met fysieke dossiers en/of persoonsgegevens op papier? Bewaar papieren zoveel mogelijk op een plek die afgesloten kan worden. Scan papieren zoveel mogelijk in, als het niet perse noodzakelijk is om deze alleen maar op papier te hebben. Wees extra alert dat je nergens papieren laat slingeren!
– Een apparaat of dossier kwijt? Meld het meteen bij de werkgever om eventueel een apparaat op afstand te vergrendelen of de juiste maatregelen te nemen bij het verlies van gegevens.

Laten we thuis werken zo weer een stukje veiliger maken met elkaar!