NIEUWSBERICHTEN COLLEGE BESCHERMING PERSOONSGEGEVENS

Bron: www.cbpweb.nl

Jacob Kohnstamm: ‘Kleine, maar essentiële stappen naar een hoger niveau van privacybescherming’

Nieuwsbericht/29 oktober 2015

Deelnemers aan de Internationale Privacyconferentie hebben de praktische voorstellen om het transatlantische niveau van gegevensbescherming te verhogen, positief ontvangen. 700 Privacyprofessionals van over de hele wereld kwamen deze week samen in Amsterdam en discussieerden over de voorstellen die een groep van gerenommeerde privacyexperts vanuit de VS en de EU hebben ontwikkeld. Verschillende stakeholders gaven tijdens de conferentie aan dat zij meer en intenser willen samenwerken en kondigden aan om privacybruggen in de praktijk te gaan brengen.

“Het Privacy Bridges project heeft realistische eerste stappen gepresenteerd om praktische bruggen te bouwen die het leven van mensen, bedrijven, overheden en toezichthouders, die over de wereld te maken hebben met verschillende wet- en regelgeving, een beetje makkelijker te maken”, zegt Jacob Kohnstamm, voorzitter van het College bescherming persoonsgegevens (CBP) dat de conferentie organiseert. “Het gaat om kleine, maar essentiële eerste stappen naar een hoger niveau van bescherming persoonsgegevens.”

Stakeholders
Vertegenwoordigers vanuit het bedrijfsleven, overheidsorganisaties, NGO’s, wetenschap en toezichthouders hebben de privacybruggen uitvoerig besproken. Zij hebben de bruggen verrijkt met hun stevige en goed onderbouwde ideeën. Enkele vertegenwoordigers vanuit het maatschappelijk middenveld hebben ook hun zorgen geuit over de privacybruggen, omdat deze niet gaan over substantiële veranderingen in wetgeving. Kohnstamm reageert: “Natuurlijk is en blijft er een hoger niveau nodig van wetgeving op het gebied van dataprotectie. We blijven daarvoor vechten. De zorgen zijn legitiem, maar ik ben ervan overtuigd dat het gevecht voor betere wetgeving en het bouwen van pragmatische bruggen tegelijk kan plaatsvinden.”

Follow-up
Verschillende stakeholders hebben tijdens de conferentie aangekondigd een van de door de experts voorgestelde bruggen op te gaan pakken en uit te bouwen. Een van hen is het Future of Privacy Forum dat zal beginnen om best practices te ontwikkelen voor het de-identificeren van persoonsgegevens. De Nederlandse minister van Veiligheid en Justitie Ard van der Steur kondigde tijdens zijn speech aan dat hij ernaar uitkijkt om te starten met het standaardiseren van de verschillende procedures voor het melden van datalekken. Ook kondigde hij aan een dialoog over drones op de agenda van het Nederlandse EU-voorzitterschap in het eerste half jaar van 2016 te zetten. Dit agendapunt borduurt voort op een van de voorgestelde bruggen over intensievere samenwerking tussen overheden.

 

CBP publiceert conceptboetebeleidsregels

Nieuwsbericht/22 oktober 2015

Het College bescherming persoonsgegevens (CBP) heeft vandaag de conceptbeleidsregels voor het opleggen van een bestuurlijke boete door de Autoriteit Persoonsgegevens gepubliceerd. Belanghebbenden kunnen gedurende 4 weken reageren op deze conceptversie van de boetebeleidsregels. Per 1 januari 2016 krijgt het CBP (op dat moment: Autoriteit Persoonsgegevens) de bevoegdheid om boetes op te leggen als organisaties de Wet bescherming persoonsgegevens overtreden. Met de boetebeleidsregels beoogt het CBP inzicht te geven in hoe de hoogte van een bestuurlijke boete zal worden bepaald. De maximale boete is 810.000 euro.

Boetebevoegdheid
De wetgever heeft besloten de sanctiemogelijkheden van het CBP te versterken om zo de naleving van de Wbp te bevorderen. Het CBP vindt hierbij vooral de preventieve werking van de boetebevoegdheid van belang. De verwachting is namelijk dat de boetebevoegdheid bedrijven en overheden zal stimuleren om in een eerder stadium aandacht te besteden aan de bescherming van persoonsgegevens. Hierdoor kunnen privacyovertredingen worden voorkomen. Als sprake is van een overtreding van de Wbp die opzettelijk is gepleegd of het gevolg is van ernstig verwijtbare nalatigheid, kan de toezichthouder direct een boete opleggen. In andere gevallen gaat hier een bindende aanwijzing aan vooraf.

Hoogte boete
Uitgangspunt bij het bepalen van de hoogte van een boete is dat deze in verhouding moet staan tot de begane overtreding. In de conceptboetebeleidsregels is gekozen voor een categorie-indeling en bandbreedte-systematiek. Dit betekent dat de beboetbare wettelijke bepalingen per wettelijk boetemaximum van 810.000 euro, 450.000 euro of 20.250 euro ingedeeld zijn in een aantal boetecategorieën met daaraan verbonden in zwaarte oplopende boetes. Daarnaast geeft het CBP in de beleidsregels inzicht in de relevante factoren die bepalend zijn voor de hoogte van een boete in een concreet geval.

Consultatie boetebeleidsregels
Het CBP nodigt belanghebbenden uit om in de komende 4 weken op de nu gepubliceerde conceptversie te reageren. Het CBP zal rekening houden met deze reacties in de definitieve versie van de boetebeleidsregels. Reacties op de boetebeleidsregels kunnen worden ingezonden via consultatieboetebeleid@cbpweb.nl.

Autoriteit Persoonsgegevens
De definitieve versie van de boetebeleidsregels treedt op 1 januari 2016 in werking. Vanaf die datum heeft het CBP ook een nieuwe naam: Autoriteit Persoonsgegevens.

 

Tien simpele manieren om wereldwijd privacybescherming te verbeteren

Persbericht/21 oktober 2015

Negentien toonaangevende privacyexperts uit de VS en Europa hebben tien praktische voorstellen ontwikkeld om trans-Atlantisch het niveau van bescherming persoonsgegevens te verhogen. De meeste voorstellen kunnen binnen de bestaande wetgeving ter hand genomen worden en wereldwijd worden geïmplementeerd. Het gaat om pragmatische bruggen waar mensen, bedrijven, overheden en toezichthouders voordeel van gaan hebben.

De experts werkten samen in het Privacy Bridges project en presenteren de bruggen tijdens de Internationale Privacy Conferentie eind oktober in Amsterdam. “Ik heb met enthousiasme kennisgenomen van het eindresultaat van het Privacy Bridges project. Ik kijk uit naar de discussie over de voorgestelde bruggen met de 700 conferentiedeelnemers volgende week”, zegt Jacob Kohnstamm voorzitter van het College bescherming persoonsgegevens (CBP) en initiatiefnemer van het Privacy Bridges project. De 700 conferentiedeelnemers van over de hele wereld bespreken de voorgestelde bruggen.

VS en EU
Het internet kent geen grenzen. Via het internet gaan enorme hoeveelheden persoonsgegevens de wereld over. Wet- en regelgeving kennen daarentegen wél grenzen. In de VS gelden bijvoorbeeld ingrijpend andere regels voor het verzamelen en gebruik van persoonsgegevens dan in de EU. Voor burgers is het daardoor lastig om hun rechten te doorgronden en daarvoor op te komen, voor bedrijven is het complex om met de verschillende en soms tegenstrijdige regelgeving om te gaan en voor toezichthouders is de noodzakelijke samenwerking op grensoverschrijdende zaken ingewikkeld.

“Al vele jaren worden er pogingen gedaan om de andere kant van de oceaan van het eigen gelijk te overtuigen en wordt op verschillende continenten apart het wiel uitgevonden. Door deze houding zijn voor de hand liggende oplossingen om persoonsgegevens wereldwijd beter te beschermen niet eerder bedacht of van de grond gekomen”, aldus Jacob Kohnstamm. “De leden van het project hebben de verschillen in wetgeving even aan de kant gezet. Zij zijn daardoor gekomen tot een realistische aanzet om praktische bruggen te bouwen die het leven van mensen, bedrijven, overheden en toezichthouders net wat makkelijker kunnen maken en het niveau van bescherming persoonsgegevens zullen verhogen.”

Brug: Regie over eigen persoonsgegevens
Een van de belangrijke bruggen is het verder ontwikkelen van een techniek om internetgebruikers weer ‘in control’ te laten zijn over hun persoonsgegevens. “De internetgebruiker is nu een marionet die niet weet wie er aan de touwtjes, aan zijn persoonsgegevens trekt. Het wordt tijd dat mensen zelf de touwtjes weer in handen krijgen”, aldus Kohnstamm. Bedrijven moeten de techniek kunnen gebruiken om hun internetdienst zo in te richten dat er aan de verschillende regels in de VS en de EU wordt voldaan bij het verzamelen en gebruiken van persoonsgegevens. En internetgebruikers moeten op een simpele manier hun voorkeuren kunnen aangeven. Voor het bouwen van deze brug kan gebruik worden gemaakt van bestaande technische bouwstenen die in het kader van eerdere initiatieven zijn ontwikkeld, onder meer door de W3C Tracking Protection Working Group.

Brug: Standaardisatie meldproces datalekken
Datalekken hebben niet alleen binnen landsgrenzen, maar ook wereldwijd impact. Het antwoord op een datalek zou daar rekening mee moeten houden. Op dit moment gelden er tientallen verschillende wetten voor het melden van datalekken met grote verschillen in de definitie van een datalek en de termijn waarop een lek moet worden gemeld. Het voorstel is te komen tot standaardisatie van het meldproces, zonder nu de wetten te moeten veranderen. Dit kan één formulier zijn waarmee bedrijven het lek kunnen melden aan al hun klanten in de wereld en de betrokken toezichthouders. Kohnstamm: “Dit zou een forse vermindering van de administratieve lasten betekenen.”

Brug: Samenwerking overheden
Beleidsmakers in de VS en de EU werken aan dezelfde privacyvraagstukken. Zij doen dat niet met elkaar, maar naast elkaar. Het zou efficiënt én effectief zijn als er op meer structurele basis informatie-uitwisseling, kennisdeling en samenwerking tussen overheden is bij deze maatschappelijke vraagstukken. Dit begint bij het kennen van rugnummers aan beide zijden van de oceaan en een vorm van overleg. “Het is verbazingwekkend dat dit te weinig en zeker niet structureel gebeurd” zegt Kohnstamm. “Het is tijd dat de regering van de VS en de Europese Commissie gezamenlijk actie ondernemen.”

Privacy Bridges project
Het Privacy Bridges project stond onder leiding van het Instituut voor Informatierecht (IViR) van de Universiteit van Amsterdam en het Massachusetts Institute of Technology (MIT). Het project  werd gecoördineerd door Danny Weitzner, plaatsvervangend hoofd Internetbeleid van het Witte Huis in de eerste periode van Obama en Nico van Eijk, hoogleraar Informatierecht aan het IViR, een van de toonaangevende privacyonderzoeksgroepen in Europa.

Het Privacy Bridges paper is beschikbaar via https://www.privacyconference2015.org/privacy-bridges-paper-available/.

 

Privacytoezichthouders: EC aan zet na uitspraak Safe Harbour
Nieuwsbericht/16 oktober 2015

De Europese privacytoezichthouders, verzameld in de zogeheten Artikel 29-werkgroep, hebben de EU-lidstaten en de Europese instellingen opgeroepen snel te starten met onderhandelingen met de VS over een rechtmatige doorgifte van persoonsgegevens. Aanleiding hiervoor is de recente uitspraak van het Europees Hof van Justitie. Hierin werd de regeling van de Europese Commissie (EC) voor doorgifte van data naar de Verenigde Staten (Safe Harbour-overeenkomst) onrechtmatig verklaard. Bedrijven die nu met een beroep op de Safe Harbour-overeenkomst persoonsgegevens doorgeven aan de VS, werken in strijd met de wet. De privacytoezichthouders benadrukken dat zij zullen optreden als eind januari 2016 hiervoor geen (politieke) oplossing is gevonden.

De privacytoezichthouders zullen de komende periode verder onderzoeken welke gevolgen de uitspraak van het Europees Hof van Justitie heeft voor doorgiftes van persoonsgegevens aan de VS op een andere juridische basis (bijvoorbeeld  binding corporate rules). Tegelijkertijd benadrukken zij het belang dat organisaties hun huidige werkwijze voor doorgifte van persoonsgegevens aan de VS onder de loep nemen en mogelijke privacyrisico’s wegnemen. Organisaties die persoonsgegevens van Europese burgers verwerken, zijn gebonden aan de Europese privacywetgeving.

Europees Hof van Justitie
Het Europees Hof van Justitie heeft de Safe Harbour-overeenkomst tussen Europese landen en de Verenigde Staten op 6 oktober 2015 ongeldig verklaard. De Europese privacytoezichthouders vinden al langer dat extra waarborgen nodig zijn bij doorgifte van persoonsgegevens naar de VS. Deze uitspraak onderstreept nogmaals het grote belang van dataprotectie en het feit dat bescherming van persoonsgegevens een fundamenteel recht is. Het is belangrijk dat toezichthouders altijd onafhankelijk onderzoek kunnen blijven doen en zo kunnen blijven opkomen voor de rechten van Europese burgers wiens gegevens de hele wereld overgaan.

Safe Harbour
In de VS bestaat geen algemene wetgeving voor de bescherming van persoonsgegevens. Daarom had de EC over de VS een speciale beslissing genomen. Deze hield in dat in de VS alléén sprake was van een passend beschermingsniveau bij organisaties die zich hielden aan de zogeheten Safe Harbour Principles. De Safe Harbour-overeenkomst is nu ongeldig verklaard door het Europees Hof van Justitie.

CBP: Beveiliging DigiD moet aangescherpt

Persbericht/8 oktober 2015

Duizenden DigiD-gebruikers hebben geprobeerd in te loggen bij het reclamebureau Digi-D in de veronderstelling dat zij te maken hadden met de overheidsvoorziening DigiD. Hierbij hebben zij hun inloggegevens bij het reclamebureau achtergelaten. Dat heeft het CBP tijdens onderzoek vastgesteld. Het risico bestond dat derden misbruik zouden maken van persoonsgegevens die via de DigiD-inloggegevens toegankelijk zijn. Zowel het reclamebureau als de beheerder van de overheidsdienst DigiD, Logius, hebben maatregelen genomen waardoor het veiligheidsrisico rond deze specifieke situatie is weggenomen. Tegelijkertijd constateert het CBP dat mogelijk in andere situaties misbruik kan worden gemaakt van DigiD-inloggegevens. Het beveiligingsniveau van DigiD zou daarom moeten worden aangepast. Het CBP heeft het verantwoordelijke ministerie van Binnenlandse Zaken (BZK) hierop gewezen en om een nadere toelichting op het huidige beveiligingsniveau van DigiD gevraagd.

Beveiligingsrisico DigiD
Bij de huidige staat van de beveiligingssituatie valt niet uit te sluiten dat onbevoegden DigiD-inloggegevens van gebruikers achterhalen, bijvoorbeeld door middel van phishing. Zo kunnen onbevoegden misbruik maken van allerlei gevoelige gegevens die toegankelijk zijn met DigiD. Bijvoorbeeld van belastinggegevens of aanvraaggegevens bij de gemeente voor een persoonsgebonden budget. Om dit te voorkomen is een extra veiligheidsvoorziening noodzakelijk. Dit zou verplicht moeten worden voorgeschreven aan de instanties die zijn aangesloten bij DigiD. Daarbij kan gedacht worden aan de eis van een code via sms naast de gebruikelijke inloggegevens als gebruikersnaam en wachtwoord.

Onderzoek reclamebureau Digi-D
Het CBP startte op verzoek van het ministerie van BZK een onderzoek naar de verwerking van DigiD-gegevens van burgers door het Brabantse reclamebureau Digi-D. Het reclamebureau bleek van meer dan 8500 DigiD-accounts zowel  de gebruikersnamen als wachtwoorden te hebben opgeslagen nadat DigiD-gebruikers hadden geprobeerd in te loggen op de site van het reclamebureau.

Het reclamebureau heeft naar aanleiding van het onderzoek van het CBP het loggen van de wachtwoorden gestaakt waardoor het niet meer mogelijk is dat onbevoegden de beschikking krijgen over complete DigiD-inloggegevens. De beheerder van DigiD, Logius, heeft de accounts van de gebruikers van wie de DigiD-inloggegevens bij het reclamebureau waren opgeslagen, geblokkeerd en de betrokken mensen geïnformeerd. Met beide maatregelen is het veiligheidsrisico voor deze gegevens weggenomen.