Categorie: Privacy

L1 Avondgasten over de AVG en Zuckerberg

L1 Avondgasten over de AVG en Zuckerberg

Vanavond mocht ik weer aanschuiven bij L1 Avondgasten, dit keer opgenomen in de studio in het Europees Parlement in Brussel. Samen met Europarlementariërs Jeroen Lenaers (CDA) en Judith Sargentini (GroenLinks) ging ik in gesprek over de Algemene Verordening Gegevensbescherming, die eind deze week van kracht wordt. En uiteraard ging het ook nog over de Grote Mark Zuckerberg Show. De Facebook-baas bracht dinsdagavond een bliksembezoek aan het Europees Parlement, waar hij vooral uitblonk in het ontwijken van antwoorden op een aantal hele terechte vragen.

De foto boven het bericht is gemaakt door het team van Jeroen Lenaers en met toestemming hergebruikt.

European Parliament: GDPR at the eve of its application

European Parliament: GDPR at the eve of its application

On 25 May 2018, the General Data Protection Regulation will finally enter into full force. After many years of preparations, and a two year transition period, organisations at the end of this month will need to comply with an updated set of data protection rules. The burden of proof for compliance is on the organisations, and data subjects (basically: you and me) will have more rights to understand what is happening with their data.

At the eve of its application, the European Parliament Committee on Civil Liberties, Justice and Consumers hosted a so-called Interparliamentary Committee Meeting, to which also the representatives of the national parliaments from across the EU were invited. In four blocks, the state of play of the data protection reform was discussed, including the Police and Justice Data Protection Directive. On behalf of Nymity, I was invited to discuss the issue of GDPR and Technological Innovation: have organisations found new ways to deal with their data protection requirements? And if so, how do they do so?

The recording of the afternoon session of the Interparliamentary Committee Meeting is available via the link below. My contribution starts around the 18-minute mark.

http://web.ep.streamovations.be/index.php/event/stream/20180515-1430-committee-libe

De Grote Privacy Show

De Grote Privacy Show

Van de kapper om de hoek tot Google, en van basisscholen tot Facebook. Elke organisatie die iets doet met persoonsgegevens moet vanaf 25 mei voldoen aan de nieuwe privacywet, de AVG. RTL Z zond daarom op 15 mei de Grote Privacyshow uit, waarin wordt uitgelegd wat er verandert en waar organisaties op moeten letten. Onder leiding van Peter van Zadelhoff en Frederieke Hegger leggen verschillende experts uit wat de impact van de nieuwe wet is voor consumenten, bedrijven en verenigingen, en worden talloze vragen beantwoord.

Namens Nymity mocht ik aanschuiven in de uitzending in het eerste en laatste blok van de show. De hele uitzending is hieronder terug te kijken.

Bron: https://www.rtlz.nl/business/ondernemen/kijk-terug-de-grote-privacyshow-alles-over-de-nieuwe-privacywet

De nieuwe Privacywet komt er aan

De nieuwe Privacywet komt er aan

Op 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming (AVG, ook wel bekend onder de Engelse afkorting GDPR) in werking. Al zo’n zeven jaar ben ik met de voorbereidingen van deze nieuwe privacywet bezig: eerst bij de Autoriteit Persoonsgegevens, waar ik samen met collega’s de standpunten van de Europese toezichthouders over de AVG (en de bijbehorende politie- en justitierichtlijn) en de onderhandelingsvoorstellen voorbereidde, en sinds een kleine twee jaar bij Nymity. Veel bedrijven, verenigingen en overheden zijn hard bezig om de manier waarop zij met gegevens omgaan aan te passen aan de nieuwe wet, en daar komt veel bij kijken. Het voldoen aan wetgeving is niet makkelijk, maar wel belangrijk: privacy en gegevensbescherming zijn grondrechten en verdienen dus de nodige aandacht.

L1 Avondgasten besteedde in de uitzending van vandaag ruim aandacht aan de nieuwe privacywetgeving, inclusief de uitdagingen waar organisaties voor staan om op tijd hun hele administratie op orde te krijgen. Namens de Universiteit Maastricht schoof ik aan in de uitzending om uitleg te geven over de nieuwe verplichtingen.

Waarom ik tegen de Wiv stem

Waarom ik tegen de Wiv stem

Morgen, 21 maart, mag Nederland naar de stembus. In bijna alle gemeenten wordt gestemd voor een nieuwe gemeenteraad. Maar daarnaast mag iedereen ook een stem uitbrengen voor het tweede (en waarschijnlijk laatste) raadgevend referendum. De vraag luidt: bent u voor of tegen de Wet op de Inlichtingen- en Veiligheidsdiensten 2017 (Wiv 2017)?

Gisteren schreef ik voor de Universiteit Maastricht een blog over de voors en tegens van de nieuwe wet. Dit heb ik naar eer en geweten zo objectief mogelijk gedaan. Maar voor mij is ook duidelijk, dat ik niet voor deze wet kan stemmen. Ondanks mijn persoonlijke bezwaar tegen referenda, en zeker tegen raadgevende referenda, zal ik morgen dus tegen de Wiv 2017 stemmen.

Mijn belangrijkste bezwaar is niet zozeer dát er meer bevoegdheden voor de inlichtingendiensten komen. Daar kan ik mij veel bij voorstellen. Net zo goed als de privacywetgeving na zo’n 20 jaar aan een grote update toe is (ja, ik bedoel de GDPR!) geldt dat denk ik ook voor de Wiv. Zowel technologie als dreigingsbeeld zijn de afgelopen jaren behoorlijk veranderd. De AIVD en MIVD moeten dus de bevoegdheden hebben om de Nederlandse samenleving veilig te houden. Maar: dat mag niet ten koste gaan van onze grondrechten. Meer bevoegdheden moeten dus met minstens zoveel extra waarborgen omkleed zijn. En daar schort het in mijn ogen aan.

Sleepnet
Of de wet nu wel of niet de mogelijkheid tot een grootschalig sleepnet biedt, durf ik niet te zeggen. Dat zal vooral afhangen van de invulling van de vereiste onderzoeksopdracht, op basis waarvan de inlichtingendiensten straks gegevens mogen verzamelen. Die opdrachten, die worden goedgekeurd door de minister van Binnenlandse Zaken, van Defensie en/of de minister-president, en worden getoetst door een speciale toetsingscommissie, zijn geheim. De ervaringen uit het buitenland, met name met het Amerikaanse FISA Court, zijn in elk geval niet hoopgevend: in de VS zijn de onderzoeksopdrachten breed en is de toets marginaal. Ik zou liever zien dat de inzet van het (bijna) ongericht verzamelen van gegevens in elk concreet geval zou worden getoetst door een zittende rechter.

Naar het buitenland
Een tweede, zo mogelijk nog groter bezwaar, is dat verzamelde gegevens, zonder dat zij überhaupt zijn bekeken door onze inlichtingendiensten, na toestemming van de minister mogen worden gedeeld met buitenlandse diensten. Er is dan bekend waar de gegevens vandaan komen, en misschien wie of wat het doel was van de gegevensverzameling, maar wat er precies is opgevangen weet nog niemand. Daar kunnen dus ook gegevens tussen zitten van jou en mij, van niet-verdachte Nederlanders (en niet-Nederlanders), die zonder dat wij dat weten bij een buitenlandse inlichtingendienst belanden. Volgens de diensten is dat de normaalste zaak van de wereld – gegevens moeten nu eenmaal worden gedeeld om de wereld veilig te houden. Ik ben het daar niet mee eens. Het willekeurig delen van gegevens met andere landen is in mijn ogen in strijd met de bescherming van mijn persoonlijke levenssfeer, zeker wanneer er geen enkele waarborg is ingebouwd om misbruik te voorkomen, of mij zelfs maar in staat te stellen erachter te komen dát mijn gegevens worden gedeeld.

Hacken
Mijn laatste bezwaar is gericht tegen de hackbevoegdheden van de inlichtingendiensten. Het gericht hacken van telefoons, computers en andere apparaten kan in sommige gevallen best gerechtvaardigd zijn. Maar ik vind niet dat daarbij gebruik moet kunnen worden gemaakt van beveiligingsproblemen in software, die niet eens bekend zijn bij de fabrikanten. Elke achterdeur die in software wordt ingebouwd, of per ongeluk is gecreëerd, is een risico voor de gebruiker van de software. De AIVD en MIVD hebben wellicht alleen goede bedoelingen en zetten deze bevoegdheid alleen in wanneer het écht nodig is. Maar als zij in de software kunnen binnendringen, kunnen de Russen, de Chinezen of kwaadwillende criminelen dat ook. Dat is onwenselijk. Beveiligingslekken moeten altijd gemeld worden bij de fabrikant, en al helemaal niet bewust worden gecreëerd om mensen te bespioneren.

Er valt nog veel meer te zeggen over de Wiv 2017. Ik zou bijvoorbeeld kunnen verwijzen naar de eindeloze reeks jurisprudentie over het verzamelen van gegevens zonder voldoende waarborgen. Maar daar schreef ik in mijn vorige functie al over. Of ik zou het kunnen hebben over de positie van  ijn eigen D66, bij de wetsbehandeling nog een groot tegenstander, maar nu gerustgesteld door een zin in het regeerakkoord. Die zin (“Van het willekeurig en massaal verzamelen van gegevens van burgers in Nederland of het buitenland (‘sleepnet’) kan, mag en zal geen sprake zijn.“) klinkt natuurlijk heel mooi, maar meer dan een politieke belofte van de coalitiedragende partijen is het niet. Juridisch is het helaas weinig waard.

Kortom: ik stem morgen tegen de Wiv 2017 bij het raadplegend referendum. Onze inlichtingendiensten, onze veiligheid én onze grondrechten verdienen een betere wet met meer waarborgen.

NRC: Plotseling is iedereen privacy-expert

NRC: Plotseling is iedereen privacy-expert

Afgelopen donderdag stond in NRC een artikel over privacy als nieuw vakgebied. Met de komst van de Algemene Verordening Gegevensbescherming is er steeds meer behoefte aan mensen die wat weten over privacy en gegevensbescherming. Soms is dit omdat een organisatie zich goed op de wet wil voorbereiden, maar vaak is er ook sprake van een wettelijke verplichting een functionaris voor de gegevensbescherming aan te stellen. Er steken steeds meer consultants de kop op die hierbij kunnen helpen, maar velen verkopen ook de grootst mogelijke onzin, bijvoorbeeld dat altijd toestemming nodig is voor de verwerking van gegevens. NRC probeert wat duidelijkheid te scheppen in een artikel in de carrière-bijlage, waar ik een bijdrage aan leverde.

Het volledige artikel is hier terug te lezen (€).

Referendum Sleepwet

Referendum Sleepwet

Maandag 16 oktober werd bekend dat in totaal 407.582 ondersteuningsverklaringen zijn verzameld voor een referendum over de Wet op de Inlichtingen- en Veiligheidsdiensten 2017 (Wiv 2017), beter bekend als de sleepwet. Deze wet vervangt de huidige wet voor de AIVD en MIVD uit 2002 en is met name bedoeld om de wetgeving bij de tijd te brengen. In de oude wet was nog geen rekening gehouden met de enorme vlucht die het internet de afgelopen 15 jaar heeft genomen en de hoeveelheid data die nu via kabels wordt verzonden. Door de nieuwe wet mogen de inlichtingen- en veiligheidsdiensten vanaf 1 januari 2018 ook het verkeer via de kabel grootschalig in de gaten houden, waar dit tot nu toe alleen mocht voor het radio- en satellietverkeer.

Hoewel de Wiv 2017 uitgebreid is besproken in beide Kamers der Staten-Generaal, blijven er zorgen over de nieuwe bevoegdheden van de diensten. Gaat het aftappen van data via kabels niet te ver, mogen de gegevens niet te lang worden bewaard (drie jaar) en worden gegevens, ook over Nederlandse burgers, niet te snel gedeeld met buitenlandse diensten (zelfs zonder dat ze in Nederland al zijn beoordeeld)? Om deze en andere vragen te bespreken was ik maandagavond 16 oktober te gast bij het programma Avondgasten van regionale omroep L1. De opname kun je hieronder terugkijken.

E-Volution of Data Protection

E-Volution of Data Protection

This week, I’m in Tartu (Estonia) for a privacy conference organised by the Estonian presidency of the European Union. It is a timely conference, with some 260 days to go before the GDPR will come into full application. On the afternoon of the first day, I joined a panel on “GDPR and the Private Sector”, with several speakers from the Baltics. The video of the session is available below.

An important take-away from the conference for me (outside of the fact that Tartu is a lovely city) is that there are so many people still looking for practical guidance on how to deal with the GDPR. The conference had some great sessions explaining the ins and outs of the legislation, as well as of some recent case-law, but the sessions most appreciated by the audience were those where practical tips were provided. Good to remember for my next speaking engagements!

The Nightmare Letters II – The DPA Inquires…

The Nightmare Letters II – The DPA Inquires…

So let’s imagine how the letter from hell has been answered in a typical organization. All these annoying questions have been asked, and they may have to be answered. The scope of the answers will depend on the context of what the subject is legitimately making a complaint or inquiry about.

If you are not prepared and do not have an adequate picture of your data processing activities and privacy management processes, then answering any subject-access request will be time consuming. You won’t even know who knows the answers to some of these questions, and in your exploration of your companies’ subterranean caverns of data processing, you come up against the deadline.

So naturally, you have written back initially in the one-month period following the subject-access request, to advise that you will require a further two months (Article 12(3) GDPR). And despite your best efforts and intentions to get answers from your IT department, your HR department, marketing and everyone else who presumably should know how this individual’s information is being processed, you find yourself coming up against the extended deadline again.

And you slip over it. Not by much, but you are late. And your answers are, admittedly, a bit vague and perhaps not that persuasive. The data subject does what data subjects will do – they complain to their national or local DPA. And you get another letter…

[This post was originally published on LinkedIn by Constantine Karbaliotis and me]

Read More Read More

CPDP 2017: Demonstrating Compliance as the Basis for Certification

CPDP 2017: Demonstrating Compliance as the Basis for Certification

Video of the panel I chaired during the 2017 Computer, Privacy and Data Protection Conference in Brussels. Together with Joëlle Jouret (Belgian Privacy Commission), Bojana Bellamy (CIPL), Irene Kamara (Vrije Universiteit Brussels / Tilburg University),  Gemma Farmer (Information Commissioner’s Office, UK) and Valérie Bourriquen (CNIL) I discussed how certifications can be used as a means to demonstrate compliance under the GDPR.