Privacy

Belang van een bewerkersovereenkomst bij een IT-contract

| 17-01-2012

Bij steeds meer IT-contracten is er sprake van verwerking van persoonsgegevens door de leverancier. Onder persoonsgegevens worden gegevens verstaan die (indirect) herleidbaar zijn tot natuurlijke personen (dat kan variëren van NAW-gegevens tot unieke nummers zoals een bankrekeningnummer). Het verwerken van deze gegevens is in Nederland gereguleerd in de Wet bescherming persoonsgegevens (Wbp). In deze bijdrage ga ik in op de eisen die de Wbp stelt aan de verwerkers van persoonsgegevens en welke onderwerpen een bewerkersovereenkomst moet bevatten.

Persoonsgegevens: waar eindigt de reis?

| 03-01-2012

(Eerder verschenen op IT en Recht blog)

OV-chipkaartpoortjes van NS

OV-chipkaartpoortjes van NS. Foto (c) Alper Çuğun/alper.nl, CC-BY 2.0

Nog net op de valreep van 2011 publiceerde het College Bescherming Persoonsgegevens (CBP) haar beslissing op bezwaar inzake de transactiegegevens die het Gemeentelijk Vervoersbedrijf (GVB) verwerkt als gevolg van het gebruik van de studenten OV-chipkaart in het Amsterdamse openbaar vervoer. Het CBP had het GVB een dwangsom opgelegd wegens het niet conform artikel 6 Wbp verwerken van persoonsgegevens van houders van  studenten OV-chipkaarten. Kernpunt van de discussie was de vraag of reisgegevens wel of geen persoonsgegevens zijn, waarbij het CBP haar zienswijze in de bezwaarprocedure heeft gehandhaafd. Een kritische noot vanaf de zijlijn.

Wat te doen met privacyregels? Een praktisch model voor privacyvraagstukken

| 15-08-2011

Nu steeds meer organisaties zich bewust worden van privacyvraagstukken rijst voor vele van hen de vraag wat de regels rondom privacy voor hen betekenen. Overtreding van privacyregelgeving kan verschillende vergaande consequenties hebben. De toezichthouder, het College bescherming persoonsgegevens (CBP), kan boetes opleggen, wat tevens kan leiden tot imagoschade. In het ergste geval vindt strafrechtelijke vervolging plaats. Goed omgaan met privacyregelgeving is daardoor niet alleen van belang voor degene wiens persoonsgegevens worden verwerkt, maar ook voor de organisatie die ze verwerkt.

Het aanpassen van de organisatie aan de privacyregelgeving vraagt vaak veranderingen die van invloed zijn op de gehele organisatie en niet alleen op de technische informatiebeveiliging. Over wat organisaties kunnen doen om hun privacydoelstellingen te bereiken, schreef T. Bosselaers samen met C. Jobse en S. Gellaerts een artikel. Hierin gaan we in het kader van privacyvraagstukken  op zoek naar antwoorden op vragen als: waar sta ik, waar wil ik naar toe en hoe moet ik daar komen? Hiervoor geven we een praktisch model mee aan de lezer.

 

Voor meer uitleg verwijs ik u naar het artikel, dat u hier kunt downloaden (PDF).

Koekje erbij?

| 22-06-2011

Gisteren heeft de Tweede Kamer in een rommelig verlopen stemming ingestemd met een wijziging van de Telecommunicatiewet die leidt tot implementatie van de Europese kaderrichtlijn Telecommunicatie. Twee onderdelen daarvan, netneutraliteit en cookies hebben de pennen de afgelopen tijd beroerd. Over netneutraliteit heeft Rob van den Hoven van Genderen al geschreven, het staat buiten kijf dat dit goed is, juist voor innovatieve ondernemers die op basis van SaaS-verdienmodellen werken. Maar die cookies, wat moet daar nu van gedacht worden?

Hoe houd ik grip op mijn bedrijfsgegevens in de cloud? | Seminar 23 juni a.s.

| 09-06-2011

Op 23 Juni organiseert Mitopics in samenwerking met IDentity.Next dit (mini-)seminar. Hierin worden de resultaten van ons onderzoek naar cloud computing gepresenteerd. U krijgt antwoord op één van de belangrijkste vragen rondom de cloud: hoe houd ik grip op mijn bedrijfsgegevens in de cloud?

In de praktijk merken we bijvoorbeeld dat organisaties niet hebben nagedacht over de daadwerkelijke locatie van de server waarop de bedrijfsgegevens staan, terwijl de eisen die de organisatie of de wetgeving in het betreffende land stelt aan beveiliging van privacygevoelige gegevens niet passen. Daarnaast stellen organisaties ons de vraag wat ze moeten doen wanneer dienstenleverancier failliet gaat, terwijl de bedrijfsgegevens nog in de cloud staan. Dit zijn voorbeelden waarvoor u  maatregelen kunt treffen die ervoor zorgen dat deze risico’ s geborgd zijn. We delen deze kennis en ervaring tijdens het mini-seminar waardoor u voorbereid bent voor de overstap naar de cloud.

Waarover wilt u het graag nog meer hebben tijdens dit seminar? Breng hier uw stem uit: http://linkd.in/jg6Ab0

Registreren?  Klik hier!

Meedoen aan het onderzoek? Klik hier!

Agenda

13.30 – 14.00 Inloop

14.00 – 14.10  Opening

14.10 – 14.40 Uitkomst onderzoek ‘Zwevend de hemel in of zwervend de weg kwijt?

Over welke vragen maakt de afnemer van clouddiensten zich zorgen en wat wordt er in de praktijk geregeld? Van de survey en de discussie tijdens het mini-event zal een rapport verschijnen. Dit rapport zal naast een whitepaper over de terminologie ook informatie bevatten over de valkuilen, privacy-aandachtspunten, risico’s t.a.v. de grip op uw bedrijfsgegevens en de te nemen maatregelen bij het aanschaffen en beheren van cloudproducten. Dit rapport wordt kosteloos toegezonden aan degene die meedoen aan de survey, doe dus mee en beantwoord de vragen van dit onderzoek.

14.40 – 15.10 Een kijkje onder de motorkap: hoe hou je grip op bedrijfsgegevens in de cloud?

Alan Steele Nicholson zal dieper ingaan op de valkuilen en best practices voor het behouden van de regie over uw data in de cloud.

15.10 – 15.25 Break/netwerken/twitteren #cloudwijzer

Korte break voor netwerken tussen deelnemers

15.25 – 16.30 Paneldiscussie

o.a. Willem Guensberg (IT advisor Cloud Computing Specialist), Alan Steele Nicholson (IT Outsourcing  en Cloud specialist)
U kunt uw technische, bedrijfskundige of juridische vragen zowel op voorhand of tijdens het event via Twitter (#cloudwijzer), e-mail of andere kanalen aan ons stellen. Zo vult u zelf een deel van het interactieve programma. Laat u verrassen door vragen en antwoorden, waar u zelf misschien nog niet eens aan had gedacht en doe er uw voordeel ermee!

16.30 – 17.30 Afsluiting: Netwerkborrel

Voor wie?

De zakelijke consument: afnemers van clouddiensten of organisaties die de overstap naar de cloud overwegen.

Waar?

Locatie Mitopics te Gouda. U ontvangt een bevestiging en routebeschrijving na aanmelding.

Meer informatie

Voor meer informatie kunt u zich richten tot Eva Kassenaar (Mitopics) of Robert Garskamp (IDentity.Next)

Doe-het-zelf contracteren in de cloud: juridisch mijnenveld? Kom naar Cloud Forum 2011 Spring Edition

| 16-05-2011

Op 18 mei aanstaande vindt het Cloud Forum 2010 plaats in Media Plaza, Utrecht. Cloud Forum is hét cloud computing event van Nederland. Het congres biedt u de mogelijkheid alle informatie te verzamelen die u nodig heeft. 30 tot 40 IT-leveranciers delen hun expertise met u.

Deep Packet Inspection of Deep Pocket Inspection? Hoe diep duikt KPN in de privacy van de gebruiker?

| 13-05-2011

Er is geen blog of krant die geen aandacht geeft aan de uitglijder van de directeur van KPN Mobiel Marco Visser die, om investeerders aan te trekken, heeft gegeven dat KPN al tijden gebruik maakt van Deep Packet Inspection (DPI). Waarom zou dat investeerders trekken?

Workshop SLA in de Cloud | 6 april 2011

| 24-03-2011

Op 6 april aanstaande organiseert Heliview samen met Mitopics de workshop SLA in de Cloud. Tijdens de uiterst succesvolle “uitverkochte” eerste editie van Cloud Forum in november 2010 (400 bezoekers) was er veel belangstelling voor het regelen van afspraken met de leverancier, aanbieders van clouddiensten, onder andere tijdens de Mitopics workshop ‘Van de regen in de drup‘.

Professionalisering van privacy in organisaties

| 22-11-2010

Nu steeds meer organisaties zich bewust worden van privacyvraagstukken rijst voor velen van hen de vraag wat privacywetgeving voor hun organisatie betekent. Vanuit verschillende hoeken zijn wij benaderd voor een visie. Hiertoe hebben wij een model ontwikkeld om inzicht te geven in deze vraagstukken.

Privacyregelgeving is vanwege de vele en snelle technische ontwikkelingen techniekonafhankelijk geformuleerd. Dit heeft voor veel organisaties die serieus bezig zijn met privacy tot gevolg dat zij zich geconfronteerd zien met veel ‘open’ normen die vaak lastig te doorgronden zijn. Wanneer in wetgeving open normen worden gebruikt is het vaak complex om vast te stellen of een organisatie voldoet aan deze wet- en regelgeving.

Privacyvraagstukken zijn voor organisaties veel meer dan een louter juridisch vraagstuk. Zij raken ook de werkprocessen, de externe relaties, beheersing en de cultuur. Zo kan de technische beveiliging zowel in theorie als in de praktijk optimaal zijn, maar wanneer iemand zijn wachtwoord op een memobriefje aan zijn beeldscherm hangt of collega’s hun wachtwoorden uitwisselen, voldoet men de facto niet aan de beveiligingseisen en zijn daarom privacyproblemen te verwachten. Vanwege de complexiteit van een dergelijk vraagstuk is een multidisciplinaire benadering wenselijk. Te meer omdat het zowel in theorie als in de praktijk neer komt op een combinatie van aspecten op gebied van regelgeving, techniek, management van en cultuur binnen de organisatie. Aspecten van verandermanagement voor het aanpassen van de organisatie op de privacyregelgeving vervullen daarin een rol van belang. In de praktijk betekent die aanpassing immers veelal dat organisaties hun werkwijzen in het kader van privacy verder moeten professionaliseren.

Onlangs publiceerde T. Bosselaers samen met enkele collega’s hierover een artikel in het tijdschrift Privacy en Informatie (P&I oktober 2010) waarin wij nader ingaan op deze problematiek. Allereerst gaan wij in op de vraag wat privacy(-wetgeving) voor een organisatie betekent en welke vragen daarbij een rol spelen. Daarna presenteren we een volwassenheidsmodel op basis waarvan organisaties op zoek kunnen gaan naar antwoorden op professionaliseringsvragen als: waar sta ik, waar wil ik naar toe en hoe kom ik daar? Het model wordt vervolgens ter verduidelijking toegepast op een casus. Op ons weblog kunt u meer artikelen verwachten over dit thema.

Risico’s bij gebruik van P3P Privacy Policies in Nederland

| 17-11-2010

Een klant vroeg mij: “Onze applicatie maakt gebruik van P3P Privacy Policy en we willen een algemene policy van P3P hanteren. Zijn er nog risico’s of andere aandachtspunten verbonden aan het gebruik van P3P Privacy Policies in Nederland?”

NEN 7510, wie niet volgt is gezien? De hantering van de norm in de zorgsector

| 17-11-2010

De beveiliging van persoonsgegevens in de zorgsector is een gevoelig punt en vraagt om specifieke benadering van de vereisten tot beveiliging. De complexiteit van informatiebeveiliging in de zorgsector door het grote aantal partijen en disciplines en netwerken van zorginstellingen is groot. Al die activiteiten van belanghebbenden bij het verzamelen, opslaan, verwerken en transporteren, betreffen vaak bijzonder gevoelige gegevens die vragen om een adequate beveiliging. De NEN 7510  norm voor de zorg geeft een aantal organisatorische en fysieke beveiligingseisen die hier behulpzaam kunnen zijn. De vraag is hoe dwingend de in de norm vastgelegde eisen zijn.

Cloud computing: David en Goliath

| 06-09-2010

Sommige cloud computing-leveranciers behandelen, als waren zij een moderne Goliath, hun wederpartij als dwergen. Betekent dit dat een kleine ‘David’ elk contractsvoorstel dat zo een Goliath hem voorlegt, moet accepteren? In dit artikel wordt een recent cloudcontract bekeken waarbij twee ‘reuzen’ een overeenkomst hebben gesloten die onderhandelingsmogelijkheden toont die David misschien nog niet had gezien (of had mogen zien). Deze mogelijkheden zouden David nieuwe inzichten kunnen geven voor als hij zich in de cloud waagt, of hij nu een contract sluit met Goliath of met zijn vriendelijke cloudleverancier verderop in de straat.