Begrip en diverse onderwerpen

Inhoud

1. Omschrijving
2. Inhoud privacyverklaring
3. Kopietje paspoort
4. Facebook hekelt Europees privacy beleid
5. Controlevragen BelastingTelefoon
6. Safe Harbor niet zo veilig als het lijkt
7. Vergeet OR niet bij aanpassing HR-software
8. Nationale Check je Wachtwoorden Dag
9. Onveilige website kost omzet
10. Privacywet zorgt voor paniek bij bedrijven
11. Privacy en databeveiliging geen prioriteit voor HR
12. Anderhalf miljoen werkgevers hebben onnodig toegang tot register arbeidsbeperkten
13. Werkgevers in de knel door privacywet
14. MKB: voorlichting over AVG belabberd
15. Slechte voorlichting overheid aan MKB
16. Uitzonderingspositie MKB in de nieuwe AVG?
17. ABC begrippen privacy
18. Privacywet zorgt voor toename cybercrime
19. Veel gemeentelijke websites voldoen niet aan AVG
20. Overheidswerkgevers goed op stoom met de AVG
21. Informeer medewerkers per functie over de AVG
22. Doorgeslagen privacyregels
23. Belastingdienst mag neuzen in gebruiksgegevens Museumkaart
24. Privacy belemmert discussie over Big Data in de zorg
25. Voorstel openbaarheid donaties goede doelen
26. Bescherming van de horizontale privacy
27. Voorlopig geen AVG-certificering, toezicht ontbreekt
28. Wat je mag vastleggen over zieke werknemers uitgebreid
29. Definitieve DPIA-lijst beschikbaar
30. Baseline Informatiebeveiliging Overheid
31. Tijdelijk verbod op gezichtsherkenning in openbare ruimtes
32. Schikking 550 miljoen dollar in zaak over gezichtsherkenning
33. AP geeft organisaties meer tijd vanwege coronacrisis
34. Doorgeslagen privacywet heeft extra doden gekost
35. Roep om verplichte coronatest werknemers
36. Aangepaste normen Erkenningsregeling goededoelenorganisaties
37. 15.000 UWV-medewerkers kunnen bij miljoenen gegevens van oud-klanten
38. Vaccinatiebewijs vragen voorlopig stap te ver
39. Veel illegale tests afgenomen
40. Ondersteuning werkgevers voor testen van werknemers zonder klachten
41. Ongeoorloofde controle leidt tot Kamervragen
42. Werkgevers: vaccinatiestatus vastleggen voor deel werknemers
43. CNV: bijna twintig procent werknemers gemonitord door werkgever

---

Omschrijving

Privacy, privésfeer, persoonlijke levenssfeer of eigen ruimte is een afweerrecht dat de persoonlijke levenssfeer beschermt. Van Dale omschrijft privacy als de persoonlijke vrijheid, het ongehinderd, alleen, in eigen kring of met een partner ergens kunnen vertoeven; gelegenheid om zich af te zonderen, om storende invloeden van de buitenwereld te ontgaan, een toestand waarin een mens er zeker van is dat zonder zijn toestemming zo weinig mogelijk andere mensen zich op zijn terrein zullen begeven.

De Grondwet (2008), artikel 10, zegt over privacy:

1. Ieder heeft, behoudens bij of krachtens de wet te stellen beperkingen, recht op eerbiediging van zijn persoonlijke levenssfeer.
2. De wet stelt regels ter bescherming van de persoonlijke levenssfeer in verband met het vastleggen en verstrekken van persoonsgegevens.
3. De wet stelt regels inzake de aanspraken van personen op kennisneming van over hen vastgelegde gegevens en van het gebruik dat daarvan wordt gemaakt, alsmede op verbetering van zodanige gegevens.

In de praktijk is privacy een ruim begrip: het gaat om de bescherming van persoonsgegevens, de bescherming van het eigen lichaam en van de eigen woning, de bescherming van familie- en gezinsleven en het recht vertrouwelijk te communiceren via brief, telefoon, e-mail. Privacy betekent dat iemand dingen kan doen zonder dat de buitenwereld daar inbreuk op maakt of weet van heeft. Privacy heeft met verschillende disciplines te maken, zoals ethiek, informatiekunde en rechtsgeleerdheid.

Red: Je kan je afvragen wat privacy niet is. Het bekend maken van inkomen van een bankdirecteur, de kosten van het koninklijk huis, een verslag van wat Holleeder in de rechtszaal allemaal gezegd heeft, het stiekem maken van een foto van een BN-er, een faillissement, het in de krant vermelden dat iemand is overleden of dat een voetbaltrainer per direct is ontslagen, is dat nu privacy schenden of niet? Kortom, talloze grijze gebieden, we zijn benieuwd waar de Autoriteit Persoonsgegevens de grenzen legt.

Inhoud privacyverklaring

Onderstaand worden onderwerpen genoemd die minimaal in een privacyverklaring (op schrift) moeten staan, indien noodzakelijk wordt de privacyverklaring uitgebreid.

• Naam onderneming, adres, bereikbaarheid
• Welke personele gegevens worden verzameld
• Reden deze gegevens te verzamelen, verplicht of gemakkelijk/gewenst
• Namen en functies van degenen die de persoonsgegevens beheren
• Duur/termijn van het opslaan van de personeelsgegevens, criteria personele gegevens te verwijderen
• Plaats en beveiliging van opslaan van de vertrouwelijke personele gegevens
• Recht werknemer op inzage, aanpassing of verwijdering van zijn personele gegevens.
• Bij weigering van de werknemer mee te werken aan het verzamelen van de personele gegevens, hem (schriftelijk) vertellen wat hiervan de consequenties zijn
• Afstemming in deze met de ondernemingsraad
• Medewerking verlenen als een persoon zich wil beklagen bij de Autoriteit Persoonsgegevens

Redactie HR-kiosk: geen onderneming is gelijk, dat zal ook de inhoud van de privacyverklaring zijn.

Kopietje paspoort

Regelmatig kopiëren bedrijven en organisaties het identiteitsbewijs van derden, dit verschijnsel staat ook wel bekend als ‘kopietje paspoort’. Het op grote schaal kopiëren of scannen van identiteitsdocumenten brengt risico’s met zich mee voor de persoonlijke levenssfeer van burgers, zoals identiteitsfraude. Een kopie maken van een paspoort, rijbewijs of identiteitskaart is dan ook – op enkele uitzonderingen na – bij wet verboden. Om de regels te verduidelijken, heeft het College bescherming persoonsgegevens (CBP) in 2012 richtsnoeren opgesteld voor het overnemen van persoonsgegevens en het kopiëren/scannen van identiteitsdocumenten.

Facebook hekelt Europees privacy beleid

Facebook heeft in een opiniestuk (2015) erg zwaar uitgehaald naar het Europese privacy beleid. Als er niets verandert, dan dreigt de sociaalnetwerksite erg langzaam of helemaal geen nieuwe features uit te rollen binnen de Europese Unie.

Facebook is het beu. Het Europese beleid verschilt van land tot land binnen de Europese Unie, waardoor ze in de Verenigde Staten niet meer weten hoe of wat. Volgens de Amerikanen: 'Het is ouderwets, en veel te gefragmenteerd voor internetbedrijven die aan een razend tempo innoveren. Elk land hanteert eigen regels, en dat komt groei en uitbreiding helemaal niet ten goede.'

Controlevragen BelastingTelefoon

Privacygevoelige informatie is tegenwoordig steeds gemakkelijker te achterhalen. Ook de informatie die de Belastingdienst via de BelastingTelefoon verstrekt, is privacygevoelig en daardoor interessant voor criminelen. Om ervoor te zorgen dat de fiscus de informatie aan de juiste persoon verstrekt, stellen de medewerkers van de BelastingTelefoon per 1 juni 2015 extra controle vragen.

Safe Harbor niet zo veilig als het lijkt

Op 6 oktober 2015 heeft het Hof van Justitie EU het 'Safe Harbor'-verdrag op basis waarvan Europese ondernemingen persoonsgegevens met de VS mochten delen, ongeldig verklaard. Aanleiding is dat de VS geen blijk heeft gegeven of zij daadwerkelijk privacy waarborging biedt die gelijkwaardig is aan de Europese normen.

De ongeldigverklaring van de Safe Harbor-beschikking trad per direct in werking. Dit betekent alle doorgiftes van persoonsgegevens op basis van de Safe Harbor-beschikking onrechtmatig zijn. Dat geldt dus ook voor ondernemingen die hun persoonsgegevens opslaan bij een cloudleverancier in de VS en vertrouwen op het Safe Harbor-verdrag.

Vervolgens gingen de Europese Unie en de VS in onderhandeling over een nieuw soort Safe Harbor-verdrag. Eurocommissaris​ Timmermans heeft het er maar druk mee, wanneer de onverkwikkelijke situatie wordt opgeheven is niet te zeggen.

Vergeet OR niet bij aanpassing HR-software

De nieuwe Europese privacywetgeving maakt de verwerking van persoonsgegevens complexer. Persoonsgegevens – en dus die van het personeel – mogen alleen verwerkt worden wanneer dit strikt noodzakelijk is. Bij dit alles komt de ondernemingsraad om de hoek kijken. Want de OR heeft instemmingsrecht wat betreft de verwerking van personeelsgegevens.

Voorbeeld: steeds meer organisaties maken gebruik van een digitaal smoelenboek. Om dat te mogen samenstellen, is toestemming nodig van de OR. (Bron: PW De Gids, 31 aug. 2016)
Stichting Privacy First

Stichting Privacy First heeft de volgende visie op privacy: 'Om van Nederland een gidsland op privacy gebied te maken, zien we een aantal vergezichten en concrete handvatten. Met onze visie willen we een klimaat van voortdurend onderzoek en reflectie op privacyvraagstukken stimuleren.' Er is ook een jaarlijkse prijs, de 'IIR Nationale Privacy Innovatie Awards'.

Nationale Check je Wachtwoorden Dag

Als internetter word je geconfronteerd met veel websites die vereisen dat je een gebruikersaccount aanmaakt en een wachtwoord kiest. Veel mensen vinden het moeilijk om al die verschillende wachtwoorden te bedenken en te onthouden. Dat heeft helaas als gevolg dat veel Nederlanders niet veilig omgaan met hun wachtwoorden, door bijvoorbeeld wachtwoorden te kiezen die makkelijk te raden zijn, of wachtwoorden te hergebruiken. Via de Nationale Check je Wachtwoorden Dag willen we mensen hiervan bewustmaken en uitleggen dat het bedenken en onthouden van goede wachtwoorden niet moeilijk hoeft te zijn. (Bron: Wachtwoordbewust.nl, 24 nov. 2016)

Onveilige website kost omzet

Zo’n 86 procent van de Nederlandse bedrijfswebsites die privacygevoelige gegevens verwerken, heeft de beveiliging daarvan onvoldoende op orde. Naast veiligheidsrisico’s voor sitebezoekers, dreigen ondernemers hierdoor steeds meer omzet* mis te lopen.

En dat niet alleen. De Wet Bescherming Persoonsgegevens schrijft voor dat websites die wachtwoorden, persoonsgegevens of betaalinformatie verwerken, goed beveiligd worden. De Autoriteit Persoonsgegevens adviseert hiervoor up-to-date versleuteling toe te passen, zoals de meest actuele SSL-varianten. In het uiterste geval kunnen zij een boete tot 4500 euro uitdelen.

Dat blijkt uit gecombineerd onderzoek van MKB Servicedesk en SIDN na analyse van de bijna 780.000 zakelijke .nl-websites (exclusief webshops). Van de bijna 429.000 bedrijfswebsites die gevoelige data verwerken, deden iets meer dan 367.000 (85,6 procent) sites dat zonder enige vorm van SSL-encryptie. (Ter vergelijking: van de overheidswebsites is inmiddels 44 procent hiermee beveiligd.)

Websites met SSL-encryptie zijn te herkennen aan https:// en het ‘slotje’ in de adresbalk van de browser. Bij de meest uitgebreide variant (EV SSL) toont de browser de bedrijfsnaam binnen een groen vlak in de adresbalk. Gebruikers weten dan zeker welk bedrijf eigenaar is van de website. (Bron: Brisk, 26 jan. 2017)

* De iets meer dan 80.000 Nederlandse webshops gebruiken allemaal SSL-certificaten bij hun betaalfaciliteit. Maar van hen gebruikt slechts 3,3 procent de uitgebreide variant met de bekende groene balk. We zien bij consumenten dat men gewend is geraakt aan het concept ‘de groene balk is veilig’ en dat men een voorkeur heeft voor webshops die deze variant gebruiken."

En, al langer ‘straft’ zoekmachine Google alle websites zonder SSL-protocol door deze lager te rangschikken in zoekresultaten. Sinds 1 januari 2017 geven browsers zoals Chrome en Firefox een expliciete waarschuwing voor een ‘onveilige verbinding’. Vrijwel alle sitebezoekers klikken dan weg.

Privacywet zorgt voor paniek bij bedrijven

Volgens het gegevensbeschermingsteam van DLA Piper zijn veel bedrijven in paniek over de nieuwe Europese privacywet (FD). Wij van HR-kiosk betwijfelen dat.
Daarentegen is onze indruk dat veel organisaties totaal geen kennis hebben van deze nieuwe privacy regels. Zie https://www.hr-kiosk.nl/hoofdstuk/privacy#weinig-priva

Wat is de situatie: Veel bedrijven verzamelen gegevens van ons, zoals geboortedatum en woongegevens. Ook slaan websites je aankopen of je voorkeuren op. Die bedrijven kunnen die data bewaren, delen met anderen en ze zelf gebruiken voor aanbiedingen.

Privacy en databeveiliging geen prioriteit voor HR

Privacy en databeveiliging bungelen onderaan het prioriteitriteiten lijstje van HR-afdelingen. In 2018 zakt het thema zelfs nog lager op de prioriteitriteiten lijst, zo verwachten HR-professionals. En dat is opvallend, want op 25 mei 2018 gaat de Europese Algemene Verordening Gegevensbescherming (AVG) in, ook wel General Data Protection Regulation (GDPR) geheten, waardoor organisaties moeten voldoen aan nieuwe strengere privacyregels ten aanzien van persoonsgegevens.

Hoewel zij er dagelijks mee te maken hebben, weet bijna een op de tien HR-professionals (8%) niet dat de Wet bescherming persoonsgegevens (Wbp) sinds de invoering van de meldplicht datalekken een grotere rol is gaan spelen binnen HR. Dit blijkt uit ‘HR Trends 2017-2018’, een onderzoek van HR- en salarisdienstverlener ADP Nederland en organisatieadviesbureau Berenschot en Performa Uitgeverij onder ruim 1.000 Nederlandse HR-professionals. (Bron: HR Praktijk, 27 sep. 2017)

Anderhalf miljoen werkgevers hebben onnodig toegang tot register arbeidsbeperkten

Het doelgroepenregister, dat het UWV deze maand openstelde voor werkgevers, is in te zien door anderhalf miljoen bedrijven en ZZP-ers. Zij kunnen daar met een BSN-nummer checken of iemand een arbeidsbeperking heeft en op basis daarvan besluiten iemand wel of niet aan te nemen. Slechts 30.000 van deze 1,5 miljoen bedrijven heeft iets te maken met deze informatie. Het College Bescherming Persoonsgegevens (CBP) adviseerde om de arbeidsbeperkten geen toestemming te vragen om in het register te worden opgenomen.

Het doelgroepenregister is onderdeel van een banenplan van staatssecretaris Klijnsma (PvdA). Volgens dit plan moeten bedrijven met meer dan 25 medewerkers een bepaald percentage arbeidsbeperkten aannemen. Door die mensen in een database op te nemen, kunnen Klijnsma en de bedrijven de voortgang van het banenplan controleren.

Uitgangspunt van de quotumwet en het daarbij behorende doelgroepenregister is dat mensen 'met een vlekje' betere kansen maken op de arbeidsmarkt. Staatssecretaris Klijnsma wilde in haar oorspronkelijke plan mensen om toestemming vragen om opgenomen te worden in dit register. Het College Bescherming Persoonsgegevens (CBP) adviseerde (als pdf) haar dit niet te doen. Volgens het CBP kunnen mensen niet in vrije wil toestemming geven, omdat ze afhankelijk zijn van gemeenten en / of uitkeringsinstantie. (Bron: Privacybarometer, nov. 2015)

Werkgevers in de knel door privacywet

Werkgevers komen in de knel door de beperkingen die de Autoriteit Persoonsgegevens (AP) oplegt voor de verwerking van (gezondheids)gegevens van medewerkers. Dat staat in een brief die VNO-NCW en MKB-Nederland dinsdag naar de Tweede Kamer hebben gestuurd.

De Autoriteit Persoonsgegevens (AP) handhaaft zo streng op de privacywetgeving, zeggen zij, dat het werkgevers niet lukt zieke werknemers goed te begeleiden. Ook kunnen ze zo onmogelijk mensen met een arbeidsbeperking een juiste werkplek bieden.

Dat al in de eerste periode waarin een werknemer ziek is een bedrijfsarts moet worden ingeschakeld is volgens VNO-NCW ‘volstrekt onnodig’. “Werkgever en werknemer zijn over het algemeen prima in staat zelf onderling afspraken te maken zonder te spreken over diagnose of behandeling.” Door het snelle inschakelen van de bedrijfsarts is er sprake van “onnodige medicalisering” en “daarmee hogere kosten voor de werkgever”.

Beide ondernemingsorganisaties willen dat de wetgever nader aangeeft onder welke voorwaarden werkgevers mogen vragen naar de gezondheidssituatie van medewerkers. Nu vult de AP de ruimte die de nieuwe privacywet AVG biedt zeer restrictief in. Door als wetgever duidelijkheid te creëren in de wet, kunnen ondernemers hun verantwoordelijkheden rond re-integratie, 100.000 banenplan en veilige werkomgeving waarmaken, zonder dat de AP daar onder het mom van privacy een stokje voor steekt. (Bron en meer: VNO-NCW, 7 mrt. 2018)

Slechte voorlichting overheid aan MKB

Meer dan zeven op de tien mkb-bedrijven zijn niet klaar met de maatregelen voor de nieuwe Europese privacywetgeving waar ze over een maand aan zouden moeten voldoen. Dat blijkt uit een peiling van MKB Servicedesk onder 2800 bedrijven. Opvallend is dat ruim 77% van de ondervraagde ondernemers de voorlichting door de overheid slecht tot heel slecht noemt.

De mkb-ondernemer is het meest geholpen met maatwerk: op zijn onderneming/branche toegesneden informatie die hem ontzorgt en instrumenten aanreikt die hij vandaag kan inzetten om morgen compliant te zijn. Daar zou de overheid in moeten investeren. De Autoriteit Persoonsgegevens moet zich wat ons betreft de komende tijd vooral richten op hulp in plaats van handhaving. Zorg voor een zachte landing van de wet in het mkb. (Bron: MKB Service Desk, 2 mei 2018)

Uitzonderingspositie MKB in de nieuwe AVG?

In de Algemene verordening gegevensbescherming (Avg) staat dat alle bedrijven die persoonsgegevens verwerken daar een register van moeten bijhouden. Dat levert een flinke administratieve last op. Schattingen lopen uiteen van tweehonderd miljoen tot een half miljard aan extra kosten per jaar voor alleen al het Nederlandse bedrijfsleven. De Avg bevat echter ook een uitzondering op deze registerplicht voor bedrijven met minder dan 250 werknemers. De meningen over de precieze interpretatie van de wettekst lopen echter uiteen. Een recente uitspraak van Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens, lijkt nu toch de weg vrij te maken voor een brede uitzondering.

De kern van de vraag is voor wie de uitzondering op de registerplicht nu daadwerkelijk geldt. In de interpretatie van Nederland ICT zijn dat alle bedrijven met minder dan 250 werknemers, tenzij zij structureel risicovolle verwerkingen doen of bijzondere persoonsgegevens verwerken. (Bron: Nederland ICT, 10 apr. 2018)

ABC begrippen privacy

Nieuwe wetgeving, nieuwe begrippen. Digimagazine maakte een abc van de privacy.

Privacywet zorgt voor toename cybercrime

Door de invoering van de Algemene verordening gegevensbescherming (AVG), bedoeld om veiliger met persoonsgegevens om te gaan, zal cybercriminaliteit eerder toe- dan afnemen, verwacht verzekeraar AIG.

Door de AVG is de waarde van persoonsdata van bedrijven groter dan voorheen, aldus AIG. “Afpersers staan sterker in hun onderhandelingen als zij dreigen de data van een organisatie te publiceren. Bovendien groeit het aantal schadegevallen door ransomware en de verwachting is dat deze trend zich voortzet.” (Bron: Accountancyvanmorgen, 9 jul. 2018)

Veel gemeentelijke websites voldoen niet aan AVG

Diverse gemeenten gaan de fout in omdat er géén privacyverklaring op hun website te vinden is. Het bedrijf Leadsupply concludeert dat na onderzoek bij 115 gemeentelijke websites.

Leadsupply nam per provincie tien gemeenten onder de loep, in sommige provincies was dit aantal iets lager omdat er niet overal tien gemeenten zijn. Uit het onderzoek werd duidelijk dat er in veertig procent van de gevallen geen privacyverklaring op de website aanwezig is, of dat deze onvolledig is. De maatregel staat echter wel in Artikel 12 van de Algemene Verordening Gegevensbescherming omschreven. Daarnaast geven diverse gemeenten niet aan wie de functionaris voor gegevensbescherming (FG) is van de gemeente. (Bron: Binnenlandsbestuur, 11 jul. 2018)

Overheidswerkgevers goed op stoom met de AVG

Vrijwel alle gecontroleerde overheidsorganisaties hebben inmiddels een functionaris gegevensbescherming (FG) aangemeld bij de Autoriteit Persoonsgegevens (AP).

De AP beperkt haar controles niet tot de overheden. Zo controleerde de privacywaakhond ook zorgverzekeraars en ziekenhuizen op FG’s en deed zij een steekproef bij grote private organisaties om te onderzoeken of zij een register voor verwerkingsactiviteiten bijhouden. (Bron: PW, 5 sep. 2018)

Informeer medewerkers per functie over de AVG

Wat doen bedrijven nu precies om de AVG in te voeren? Chris Maliepaard, docent bedrijfskunde bij Fontys, begeleidde vier afstudeerstudenten die onderzoek deden naar de invoering van de AVG in verschillende bedrijven. Dit onderzoek werd uitgevoerd in onder andere de meubelbranche, de automotive branche en in een ouderenzorgorganisatie.

"Cruciaal is dat je in kaart brengt wat de data-intensiteit per functie is. Je ziet dan al snel dat de AVG voor sommige functies heel relevant en voor andere functies totaal irrelevant is." Volgens Maliepaard is het verstandig om per functie medewerkers te informeren over wat de AVG voor hen inhoudt. (Bron en meer informatie hoe het wel en hoe het niet moet: PW, 12 okt. 2018)

Doorgeslagen privacyregels

Autofabriek VDL Nedcar kwam recent in het nieuws: bij een steekproefcontrole op drugs en alcohol bij willekeurige medewerkers van VDL Nedcar bleek dat het bloed van de helft van de geteste personen sporen bevat van verdovende middelen. "Dit komt de veiligheid in onze productielijn niet ten goede."

Maar de drugstesten zijn voor Nedcar niet zonder risico. Want hoewel het bedrijf aan de ene kant verantwoordelijk is voor de veiligheid, kunnen hoge boetes worden opgelegd als de privacy van werknemers wordt geschonden*.

* De Autoriteit Personeelsgegevens (AP) stelt zich uitdrukkelijk op het standpunt dat onder de huidige (en de nieuwe regelgeving) een uitslag van een alcohol- of drugstest in de meest gevoelige gegevenscategorie valt, namelijk die van de gegevens over de gezondheid. Het resultaat van de test bevat informatie die is verkregen aan de hand van biologisch materiaal en ook informatie bevat over iemands fysiologische staat. Dat iemand op een willekeurige dag alcohol gebruikt heeft, zou volgens deze opvatting niets zeggen over zijn algemene gezondheidsgraad, maar zou een tijdelijke situatie weergeven, aldus de AP.

"Piloten kunnen met een wettelijke basis op alcohol of drugs worden getest. Voor machinisten geldt hetzelfde. Maar voor de chemische industrie, waar een hoog veiligheidsrisico geldt, is niets vastgelegd", zegt Edwin van Scherrenburg van werkgeversorganisatie VNO-NCW. "Een kwalijke zaak". (Bronnen: VNO-NVW en AP, nov. 2018)

Belastingdienst mag neuzen in gebruiksgegevens Museumkaart

De organisatie achter de Museumkaart moet gegevens van kaarthouders delen met de Belastingdienst. De rechter vindt dat het belang van 'correcte belastingheffing' zwaarder weegt dan de privacy van de kaarthouder. Lees de jurisprudentie d.d. 15 november 2018.

Privacy belemmert discussie over Big Data in de zorg

De Erasmus School of Health Policy & Management deed een onderzoek in acht Europese landen naar de regels voor het gebruik van Big Data in de zorg. Ze bestudeerden relevante documenten en spraken met 160 verschillende experts. Op basis daarvan ontwikkelden zij negen infographics. Uit het onderzoek blijkt dat het thema ‘privacy’ de discussies rondom het gebruik van big data domineert. Exemplarisch is de aandacht voor de Europese GDPR privacywetgeving (AVG in Nederland). Daardoor is er te weinig aandacht voor andere relevante regels, zoals de plicht van zorgverleners om te documenteren of de mogelijkheden die big data biedt voor financials.

Privacy lijkt de enige waarde die in het spel is. Andere waarden krijgen minder aandacht. Denk aan waarden zoals efficiëntere zorg of ethische waarden bij het hergebruik van data. Bijvoorbeeld wie mag met welk doel die data gebruiken? Goede besluitvorming over big data gaat verder dan het ‘afdekken’ van privacy-risico’s. (Bron: CM, 30 jan. 2019)

Voorstel openbaarheid donaties goede doelen

Volgens het kabinetsvoorstel moeten ruim 350.000 maatschappelijke organisaties (stichtingen, verenigingen en kerkgenootschappen) jaarlijks een overzicht openbaar gaan maken van donaties van meer dan 15.000 euro. Volgens het kabinet helpt dat tegen ongewenste beïnvloeding door financiers.

MKB-Nederland en VNO-NCW vinden dat het kabinetsvoorstel om grote donaties aan stichtingen en goede doelen openbaar te maken te ver gaat. De beide ondernemersorganisaties voorzien een onnodige teruggang van donaties omdat grote gevers hechten aan hun privacy. (Bron: MKB, 27 feb. 2019)

Bescherming van de horizontale privacy

Het kabinet wil profilering op basis van persoonlijke data indammen. Het plan is een onderdeel van een nieuwe kabinetsvisie over privacy risico’s die minister Dekker 7 mei 2019 naar de Tweede Kamer stuurde.

Waar gaat het om? Profilering van klanten op basis van uitgebreide datasets is in opkomst, nu bedrijven op grote schaal gegevens van burgers kunnen verzamelen en verwerken. Zo berichtte weekblad De Groene in 2017 al dat incassokantoren kredietwaardigheid bepalen van miljoenen Nederlanders, waarbij onder meer tikfouten en woonplaats werden meegewogen als indicatie of iemand een wanbetaler is. De Volkskrant berichtte vorig jaar over AdviceRobo, een bedrijf dat banken aanbiedt om mede op basis van het sociale mediagedrag van mensen te bepalen hoeveel iemand mag lenen. (Bron: De Volkskrant, 9 mei 2019)

Voorlopig geen AVG-certificering, toezicht ontbreekt

De Autoriteit Persoonsgegevens (AP) is van plan de Data Pro Code, een gedragscode voor data verwerkende bedrijven, goed te keuren. Met de door branche-organisatie NL Digital (voorheen Nederland ICT) opgezette certificering geven data verwerkende bedrijven te kennen dat ze voldoen aan de AVG (Algemene Verordening Gegevensbescherming). Er is echter nog een obstakel: het ontbreekt aan een toezichthoudend orgaan dat vanuit de ict-branche toeziet op de naleving van die code.

Omdat de ict-brancheorganisatie het noodzakelijke toezichthoudend orgaan nog niet opgericht, verbindt de AP daarom een opschortende voorwaarde aan de goedkeuring. Dat betekent dat de code pas wordt goedgekeurd na de oprichting van een orgaan. (Bron: Autoriteit Personeelsgegevens, aug. 2019)

Redactie: Beetje gechargeerd, we gaan naar een land waar de ene helft werkend is en de andere helft dat controleert.

Wat je mag vastleggen over zieke werknemers uitgebreid

In reactie op de meest gestelde vragen, heeft de Autoriteit Persoonsgegevens (AP) de informatie over wat je mag vastleggen over zieke werknemers uitgebreid. Bestaande Q&A’s (Question & Answer) zijn aangepast, er zijn nieuwe Q&A’s toegevoegd en de AP biedt een privacy video over wat je mag vastleggen over zieke werknemers. Deze informatie is te vinden op de campagnewebsite hulpbijprivacy.nl en social media.

Definitieve DPIA-lijst beschikbaar

De Autoriteit Persoonsgegevens (AP) heeft een definitieve lijst vastgesteld van verwerkingen van persoonsgegevens waarvoor een data protection impact assessment (DPIA) nodig is. Deze lijst is afgestemd met de andere privacytoezichthouders in de Europese Unie (EU).

Een DPIA is een instrument om vooraf de privacy risico’s van een gegevensverwerking in kaart te brengen. En om daarna maatregelen te kunnen nemen om de risico’s te verkleinen. (Bron: AP, nov. 2019)

Baseline Informatiebeveiliging Overheid

Voor het uitvoeren van diensten vragen gemeenten inwoners om persoonlijke informatie. Maar is die informatie bij gemeenten wel in goede handen? De op 1 januari 2020 ingevoerde Baseline Informatiebeveiliging Overheid (BIO) moet daaraan bijdragen.

De BIO is een normenkader voor de beveiliging van informatie dat vanaf nu door alle lagen van de overheid gebruikt moet worden. De BIO komt in de plaats van deels verouderde standaarden voor informatiebeveiliging, zoals de BIWA, BIG, BIR en IBI en sluit aan bij de actuele ISO-standaarden 27001 en 27002. Met de BIO hebben alle overheidslagen nu dezelfde normen voor het beveiligen van informatie.’

Tijdelijk verbod op gezichtsherkenning in openbare ruimtes

De Europese Commissie (17 jan. 2020) overweegt een tijdelijk verbod op het gebruik van gezichtsherkenning in openbare ruimtes. Volgens de commissie zijn strengere regels mogelijk nodig om de privacy en datarechten van Europeanen te beschermen. Tijdens het opstellen van deze regels zou er een tijdelijk verbod op het gebruik van gezichtsherkenning kunnen worden ingesteld.

In het document wordt gesproken over een periode van drie tot vijf jaar waarbij er geen gebruik van gezichtsherkenningstechnologie in openbare ruimtes mag worden gemaakt. Dit zou voldoende tijd moeten geven voor de ontwikkeling van een methodologie waarmee de impact van gezichtsherkenning is te beoordelen en mogelijke maatregelen zijn te ontwikkelen. Voor beveiligingsprojecten en onderzoek en ontwikkeling zou een uitzondering kunnen worden gemaakt.

In China wordt gezichtsherkenning al steeds vaker ingezet, zowel op straat als in bijvoorbeeld apotheken. Wie bepaalde medicijnen wil kopen, moet zijn gezicht scannen. Met camera's op straat kan China automatisch bekende criminelen herkennen, en zelfs de manier waarop ze lopen.

De VS kwam onlangs ook met een wetsvoorstel rond kunstmatige intelligentie, waaronder beeldherkenning. Het land wil weinig regelgeving toepassen, en spoort de EU aan om hetzelfde te doen. 

Schikking 550 miljoen dollar in zaak over gezichtsherkenning

Facebook heeft een schikking getroffen (januari 2020) in een collectieve rechtszaak met gebruikers uit Illinois over het gebruik van gezichtsherkenning. Het sociale netwerk betaalt 550 miljoen dollar als schadevergoeding en voor het dekken van juridische kosten.

Een groep inwoners van Illinois spande een rechtszaak aan omdat ze vonden dat Facebook met het gebruik van gezichtsherkenning in overtreding is van de Biometric Information Privacy Act van de Amerikaanse staat. Het ging om de functie Tag Suggestions, waarbij gebruikers suggesties te zien kregen voor het taggen van foto's. Facebook gebruikte gezichtsherkenning om die suggesties te genereren en vroeg daarvoor geen expliciete toestemming voor aan de desbetreffende personen.

AP geeft organisaties meer tijd vanwege coronacrisis

De Autoriteit Persoonsgegevens (AP) geeft overheden en bedrijven tijdens de coronacrisis ruimte om zich te concentreren op de bestrijding van het virus. Zo krijgen organisaties waar nodig meer tijd om te reageren op vragen van de AP en geeft de AP initiatieven om de volksgezondheid te beschermen ruim baan. (Bron en meer: AP, 20 mrt. 2020)

Doorgeslagen privacywet heeft extra doden gekost

"Toen het parlement debatteerde over te weinig ic-bedden, overleden bij ons massaal mensen in verpleeghuizen. Niemand wist het, want officiële instanties mochten het niet melden. De GGD zei me niet te gaan bellen als er mensen in Nunspeet waren besmet of overleden, omdat het herleidbaar was. Mijn informatie moest ik vergaren via semi-legale kanalen. Toen in Elspeet de eerste coronabesmetting bekend werd, heb ik het gewoon openbaar gemaakt. Het hele dorp sprak erover, maar ik mocht er niks over zeggen. Dat kan natuurlijk niet."
In Nunspeet (Gelderland) en Zwartewaterland (Overijssel) stierven volgens de burgemeesters respectievelijk ruim tachtig en meer dan vijftig mensen aan corona.(Bron: Nieuws, 16 mei 2020)

Roep om verplichte coronatest werknemers

VNO-NCW en MKB-Nederland willen dat werknemers die in contact zijn gekomen met corona besmette mensen, meteen verplicht worden getest. Dat zeggen zij in reactie op de verplichte thuisquarantaine die minister De Jonge (Volksgezondheid) voor deze mensen voorstelt. VNO-NCW en MKB-Nederland vinden dat werkgevers de mogelijkheid moeten krijgen om medewerkers te verplichten zich te laten testen.

‘Met een testverplichting voorkomen we dat mensen onnodig thuis zitten en houden we de rekening voor werkgevers zo laag mogelijk’, zegt Jacco Vonhof, voorzitter van MKB-Nederland namens de twee ondernemingsorganisaties. VNO-NCW en MKB-Nederland vrezen dat met de verplichte thuisquarantaine na brononderzoek en het dringend advies van het kabinet om dat ook te doen bij terugkeer uit rode en oranje gebieden, het aantal werknemers dat thuisblijft flink kan oplopen.. (Bron: VNO-NCW, 12 aug 2020)

Aangepaste normen Erkenningsregeling goede doelen organisaties

De Commissie Normstelling heeft een aantal aanpassingen doorgevoerd in de normen van de Erkenningsregeling voor goede doelen organisaties. Deze aanpassingen zijn, na een zorgvuldige consultatie van de sector, op 10 november 2020 doorgevoerd en gelden per 10 februari 2021. (Bron: Mazars, 19 nov. 2020)

15.000 UWV-medewerkers kunnen bij miljoenen gegevens van oud-klanten

Ongeveer vijftienduizend medewerkers van het UWV kunnen bij de gegevens van miljoenen (oud-)klanten, ook als zij die toegang niet nodig hebben, blijkt uit een rapport (pdf) van adviesbureau KPMG. Ten tijde van het onderzoek stonden in het systeem Sonar gevoelige gegevens van 3,1 miljoen mensen die niet langer door het UWV worden begeleid. (Bron: Nu, 8 jan. 2021)

Vaccinatiebewijs vragen voorlopig stap te ver

Private partijen hebben de vrijheid om een vaccinatiebewijs als voorwaarde te stellen voor toegang tot diensten of voorzieningen, zolang zij binnen de grenzen van de relevante wet- en regelgeving blijven. Dat stelt de Gezondheidsraad in een advies aan het kabinet over de ethische en juridische afwegingen bij vaccinatie tegen het coronavirus.

Het vragen om een vaccinatiebewijs mag niet in strijd zijn met het discriminatieverbod, de Algemene wet gelijke behandeling (AWGB) en de privacywetgeving. Private partijen moeten een belangenafweging maken en kunnen aantonen dat het vaccinatiebewijs een gerechtvaardigd doel dient, noodzakelijk is om dat doel te bereiken en voldoet aan de eisen van subsidiariteit en proportionaliteit. (Bron: AWVN, 9 feb. 2021) 

Veel illegale tests afgenomen

Beveiligingspersoneel en speciaal ingehuurde testbedrijven nemen ‘aan de poort’ tests af op alcohol en andere drugs. Vaak gaat het om speekseltests. Het testen gebeurt in allerlei sectoren, van de (petro)chemie, tot de voedings- en levensmiddelenindustrie. Ook visinkopers, bakkerijen en zelfs zorginstellingen zouden belangstelling hebben. Volgens een leverancier, Dräger, zou het gaan om tussen 50 en 70.000 tests per jaar.

Veel werkgevers en testbedrijven weten dat ze werknemers niet mogen testen. Toch deelde een van de commerciële aanbieders, ArboFit, geanonimiseerde resultaten uit drugscontroles met Investico om het ‘taboe’ op testen te doorbreken. (Bron: OR Net, 25 feb.2021)

Ondersteuning werkgevers voor testen van werknemers zonder klachten

Het kabinet komt met een nieuwe regeling die werkgevers financieel ondersteunt om hun werknemers zonder klachten preventief en frequent te testen onder medisch toezicht. De tijdelijk ondersteuning geldt voor bedrijven die dat willen doen in situaties waar thuiswerken geen optie is. Op termijn biedt de inzet van zelftesten perspectief, is de verwachting. (Bron: Accountancy van morgen, 17 mrt. 2021)

Ongeoorloofde controle leidt tot Kamervragen

Onlangs bleek uit onderzoek van vakbond CNV dat één op de tien werkgevers de productiviteit van thuiswerkende werknemers in de gaten houdt met speciale software. Dit heeft geleid tot Kamervragen. Demissionair minister Koolmees van SZW gaf daarbij aan dat controle soms wel is toegestaan, maar alleen als het strikt noodzakelijk is en onder strenge voorwaarden die de privacy van werknemers beschermen. Dit geldt voor zowel de werkplek op de bedrijfslocatie als voor het werken vanuit huis. Ineens intensiever monitoren omdat werknemers vanuit huis werken, is dus niet toegestaan. Het vertrouwen tussen werkgever en werknemer is volgens de minister de basis voor een goede arbeidsrelatie. (Bron: Rendement, 4 jun. 2021)

Werkgevers: vaccinatiestatus vastleggen voor deel werknemers

Een grote meerderheid van de werkgevers vindt het onwenselijk dat ze de vaccinatiestatus van medewerkers niet mogen opvragen. Zij maken zich zorgen over de veiligheid van de werkomgeving, zeker nu steeds meer medewerkers naar de werklocatie terugkeren. Ze willen daarom dat het ten minste voor bepaalde functies en werkomstandigheden mogelijk wordt om te registreren of hun werknemers gevaccineerd zijn. (Bron: AWVN, 4 sep. 2021)

CNV: bijna twintig procent werknemers gemonitord door werkgever

Bijna twintig procent van de werknemers wordt door hun werkgever gemonitord. Van zestien procent weet de werkgever via een GPS-systeem waar de werknemer zich bevindt en bij dertien procent registreert de werkgever welke websites hun medewerkers bezoeken, zo stelt vakbond CNV op basis van onderzoek onder 2600 werkenden. Verder geeft één op de drie ondervraagde medewerkers aan dat er bij hun op het werk camera's hangen.

Bijna een kwart laat weten dat de monitoring van zijn of haar werkzaamheden de afgelopen jaren toeneemt en vier op de tien stelt dat de werkgever via digitale mogelijkheden meer over hen weet dan vijf jaar geleden. Eén op de tien werknemers zegt geconfronteerd te worden met informatie die de werkgever via digitale monitoring over hen heeft verkregen. Een kwart vreest dat de werkgever de digitaal verkregen informatie tegen hen gebruikt.

De werknemers die aan het onderzoek deelnamen zijn niet blij met deze ontwikkeling. 71 procent wil niet dat hun werkgever alles van hen weet en veertig procent vindt het een probleem dat zijn of haar werkgever steeds meer mogelijkheden heeft om hem te controleren.

Alleen bij uitzondering toegestaan

"De controledrift van werkgevers neemt in snel tempo toe. Werkgevers maken gretig gebruik van digitale middelen om werknemers te controleren. Privacy staat steeds meer bij het grofvuil", zegt CNV-voorzitter Piet Fortuin.

Hij merkt op dat monitoring juridisch gezien alleen in uitzonderlijke gevallen is toegestaan, bijvoorbeeld als er een ernstig vermoeden van misbruik is. "Maar gezien de hoeveelheid mensen die door hun werkgever worden gecontroleerd, lijken werkgevers massaal de wet te overtreden", aldus de CNV-voorzitter.

De werkgever mag werknemers alleen controleren als hij voldoet aan de eisen uit de privacywetgeving. De voorwaarden voor de controle van personeel staan in de Algemene verordening gegevensbescherming (AVG) en de Uitvoeringswet AVG (UAVG).

Zo moet de werkgever goed kunnen beargumenteren waarom monitoring van de werknemers noodzakelijk is én dat dit bedrijfsbelang zwaarder weegt dan de inbreuk op de privacy van de werknemers. Wat wel en niet mag, kan per geval en per sector verschillen.

Onwenselijke ontwikkeling

"Werkgevers moeten sturen op vertrouwen, controle is schadelijk voor de onderlinge verhoudingen, de productiviteit en de werksfeer. Funest in een tijd waarin het psychisch verzuim zeer hoog is. Werkgevers moeten zich bovenal houden aan de wet en hun personeel niet steeds meer lukraak illegaal monitoren."