Autoriteit Persoonsgegevens waarschuwt voor oplichter

De Autoriteit Persoonsgegevens (AP) krijgt signalen dat organisaties worden gebeld dat zij een boete moeten betalen omdat hun website niet voldoet aan de AVG.  Dit is geen actie vanuit de AP. Een boete van de AP komt nooit uit de lucht vallen. Er zal altijd een onderzoek aan voorafgaan. Wordt u ook benaderd? Neem dan contact op met de Autoriteit Persoonsgegevens.

AVG Helpdesk Zorg en Welzijn

Werk je in de zorg of het sociaal domein? Dan kun je met vragen over privacy en de AVG terecht bij de AVG-Helpdesk Zorg en Welzijn, een samenwerking tussen enkele koepelorganisaties en het ministerie van Volksgezondheid, Welzijn en Sport. Door afstemming met de Autoriteit Persoonsgegevens verstrekt de helpdesk eenduidige informatie.

de website van de AP

De AVG heeft ook gevolgen voor hoe organisaties FG’s moeten aanmelden bij de Authoriteit Persoonsgegevens (AP). Zo wil de AP bijvoorbeeld weten of er sprake is van een verplichte dan wel een vrijwillige FG. Ook wil de AP het eenvoudiger maken om een FG aan te melden.

Om dit alles goed in kaart te brengen dienen alle FG’s opnieuw worden aangemeld bij de AP via een formulier die zij per 3 april beschikbaar stelt.

Aanmelden is mogelijk vanaf 3 april 2018 via een nieuw formulier op de website van de AP.

 

LET OP!

Alle FG-aanmeldingen die niet met dit nieuwe onlineformulier zijn gedaan, komen per 25 mei 2018 te vervallen.

Dit geldt ook voor aanmeldingen die recent zijn gedaan.

De Top 5 datalekken van 2017

Aan het einde van het jaar kijken we even achterom. We zetten de grootste datalekken van het afgelopen jaar op een rij. Reputaties van bedrijven en organisaties staan op het spel als klantgegevens lekken of worden gestolen. Wat waren de oorzaken en hoe zag het crisismanagement eruit? Hier is de Top 5 datalekken van 2017.

  1. Wannacry
    De uitbraak van het Wannacry virus gevolgd door het non-Petya virus bewijst maar weer eens dat het up to date houden van software het eerste en belangrijkste is om te doen. Het virus maakt gebruik van een twee maanden oud lek in Windows. De computers van onder andere Chinese universiteiten, Spaanse elektriciteits- en gasbedrijven, Renault in Frankrijk en de Deutsche Bahn raken besmet. In het Verenigd Koninkrijk worden computers van ambulancebedrijven, ziekenhuizen en huisartsenpraktijken gegijzeld. Operaties worden afgeblazen en artsen kunnen niet bij medische dossiers. Parkeerbedrijf Q-Park is een van de weinige Nederlandse slachtoffers. Het bedrijf volgt zijn eigen drie-stappenplan voor digitale aanvallen: eerst de geïnfecteerde computers uit het netwerk nemen, dan vergelijkbare computers controleren en tot slot alle systemen controleren. Dat leidt ertoe dat Q-Park naast de 11 geïnfecteerde parkeergelegenheden uit voorzorg nog 9 van de 262 locaties offline haalt.
  2. Equifax
    Door de hack op een van de Amerikaanse bureau’s voor kredietregistratie, komt zeer persoonlijke informatie over de kredietwaardigheid van 143 miljoen mensen op straat te liggen. Bij de kredietregistratie van Equifax is geen sprake van een klantrelatie, een direct toestemming of een ‘opt-out’. In het crisismanagement valt op dat de CEO daags nadat hij op de hoogte is van de inbraak, besluit zijn aandelen te verkopen in plaats van de gedupeerden te informeren.
  3. Uber
    De hack waarmee namen, e-mailadressen en telefoonnummers worden gestolen van 57 miljoen klanten, waaronder waarschijnlijk 174.000 Nederlanders. De hackers treffen inloggegevens van de database aan in de broncode. Uber faalt opzichtig nadat het bedrijf de hack vaststelt: het lek wordt niet gemeld aan de autoriteiten en het bedrijf betaalt 100.000 dollar om de hacker af te kopen. Uber heeft waarschijnlijk de WBP overtreden door het lek niet te melden bij de Autoriteit Persoonsgegevens. De boete kan hiervoor oplopen tot 10 procent van de omzet in Nederland. De Nederlandse Autoriteit Persoonsgegevens leidt het Europese onderzoek.
  4. Deloitte
    De Accountant en een van de grootste cybersecurity-consultants ter wereld wordt gehackt doordat de beheerder zijn inloggegevens laat slingeren. Er is geen multifactor authenticatie, dus kan worden ingelogd op het data en e-mailplatform van het bedrijf. De hack zou in maart zijn ontdekt, maar de hackers hadden mogelijk al sinds oktober of november 2016 toegang tot het systeem. Aanvankelijk probeert het bedrijf de inbraak geheim te houden, maar de Britse krant The Guardian brengt het verhaal in september naar buiten.
  5. ANWB
    E-mailadressen, betaalvoorkeuren, adressen, telefoonnummers en namen van 87.500 klanten van de webwinkel van de ANWB zijn enige tijd via Google inzichtelijk door een fout bij de ANWB. De ANWB neemt na het ontdekken van het datalek onmiddellijk maatregelen: de persoonsgegevens worden direct afgeschermd en ontoegankelijk gemaakt. Het lek wordt ontdekt op 21 september. Vóór de bekendmaking verwijdert de ANWB eerst de resultaten uit Google, daarom duurt het tot enige tijd voordat de klanten per e-mail op de hoogte worden gesteld. De organisatie meldt het datalek wel onmiddellijk aan de Autoriteit Persoonsgegevens.

Tot slot is er in 2017 nog een ‘bonus’ op het grote datalek van Yahoo uit 2013. In 2017 wordt bekend dat criminelen de gegevens van niet een deel maar van het gehele gebruikersbestand van drie miljard accounts in handen heeft gekregen. Het lek kan vooral gevaarlijk zijn voor mensen die hun Yahoo-wachtwoord ook op andere websites gebruiken. Hackers kunnen de gelekte Yahoo-gegevens dan mogelijk ook gebruiken om in andere accounts in te breken.

Met dank aan Brenno de Winter voor deze Top 5!

Masterclass PIA voor financiële dienstverleners

PrivacyCompass biedt samen met Dukers & Baelemans Opleidingen een praktische Masterclass PIA aan. Een Privacy Impact Assessment (PIA) brengt privacyrisico’s van een organisatie op een gestructureerde en heldere manier in beeld. Na het volgen van de eendaagse Masterclass kunnen financiële dienstverleners voldoen aan de nieuwe privacywet- en regelgeving.

De nieuwe privacywet, ofwel de Algemene Verordening Gegevensbescherming (AVG) treedt op 25 mei 2018 in werking. De Masterclass PIA leert hoe met behulp van praktische tooling een Privacy Impact Assessment wordt uitgevoerd. Het geeft inzicht in de privacy risico’s binnen een financiële organisatie. De Masterclass PIA bevat de basis om een financiële organisatie vóór 25 mei 2018 privacy-proof te maken.

  • Inzicht in de privacy risico’s binnen organisatie, systemen en processen
  • Handige tooling om zelf Privacy Impact Assessments uit voeren
  • Ruime mogelijkheden voor inbreng praktijkcasuïstiek

De opleiding vindt plaats op 6 maart (09.30 – 16.30 uur) op de trainingslocatie van BCN te Utrecht. De kosten bedragen 345,= euro per persoon.

Inschrijven kan online op de website van Dukers en Baelemans via de link hieronder.
Dukers & Baelemans Masterclass PIA inzicht in privacyrisico’s

 

Rechter geeft Autoriteit Persoonsgegevens er van langs

De Autoriteit Persoonsgegevens (AP) heeft afgelopen week in drie rechtszaken te horen gekregen dat zij onvoldoende handhavend optreedt, ondanks herhaald verzoek van bezorgde burgers. In een vierde zaak wilden burgers het oordeel van de AP niet afwachten en stapten met succes direct naar de rechter.

Lees HIER meer over dit nieuwsbericht.

Consumentenbond: zorgsites gaan slordig om met privacy bezoekers

Zeker twintig websites met medische informatie gaan slordig om met de privacy van bezoekers. Dat meldt de Consumentenbond. De sites plaatsten zonder toestemming van de bezoeker cookies, waarmee advertentiebedrijven als Google mensen kunnen volgen op internet. En dat is tegen de wet, zegt de Consumentenbond.

Lees HIER meer over dit nieuwsbericht.

Camera’s in kleedkamers fitnessketen fit for free

Fitnessketen Fit For Free heeft in 19 vestigingen toezicht gehouden met camera’s in kleedkamers. Dat blijkt uit onderzoek van RTL Nieuws. Volgens de sportschool ging het om een preventieve maatregel tegen diefstal, maar volgens deskundigen is de privacy van klanten in het geding gekomen. Fit For Free zegt dat de camera’s inmiddels zijn uitgezet.

Lees HIER meer over dit nieuwsbericht.

Privacy: een multidisciplinair vraagstuk