Autoriteit Persoonsgegevens verduidelijkt rol functionaris gegevensbescherming
De functionaris gegevensbescherming (FG) houdt binnen zijn of haar organisatie toezicht op de toepassing en naleving van de Algemene verordening gegevensbescherming (AVG), maar in de praktijk blijkt dat FG’s niet of te laat betrokken worden bij plannen over gegevensverwerking, niet de juiste documentatie ontvangen of onvoldoende tijd krijgen om te kunnen doen wat er van hen wordt verwacht, aldus de Autoriteit Persoonsgegevens (AP).
De privacytoezichthouder is daarom met een nieuw document gekomen waarin het concrete uitgangspunten benoemt voor de rollen, processen en verantwoordelijkheden van de FG en de organisaties waarin ze opereren (pdf). "De invulling van het interne toezicht is lang niet bij alle organisaties goed genoeg geregeld. Hierdoor lopen burgers, patiënten en klanten het risico dat gegevens niet goed beschermd worden", zo laat de AP weten.
Zo moeten organisaties hun FG in een vroeg stadium betrekken, moet de FG goed zichtbaar zijn binnen de organisatie en direct, zonder tussenkomst van anderen, benaderbaar en aanspreekbaar zijn. Ook voor personen van buiten de organisatie. Verder moeten organisaties faciliteren dat de FG kan ingrijpen bij privacyproblemen en moet de onafhankelijke positie van de FG zijn gewaarborgd.
Overheidsinstanties en publieke organisaties zijn sinds de invoering van de AVG altijd verplicht om een FG aan te stellen, ongeacht het type gegevens dat ze verwerken. Daarnaast geldt de verplichting om een FG aan te stellen voor organisaties die vanuit hun kernactiviteiten op grote schaal individuen volgen en voor organisaties die als kernactiviteit op grote schaal bijzondere persoonsgegevens verwerken.
"Door FG’s op de goede manier te positioneren, kunnen zij een nog grotere rol spelen bij het voorkomen én oplossen van privacyproblemen", zegt Katja Mur, bestuurslid van de AP.
De FG bij de NS lijkt anders meer voor om nog grote privacyproblemen te ontwikkelen. Totaal niet voor reden vatbaar, maar goed dat is al decennia lang 'n algeheel probleem bij de klantenservice van de NS.
NS wil eerst meer persoonsgegevens van mij verzamelen dan dat ze al in bezit hebben, voordat ze mijn gegevens willen verwijderen. Bij NS zijn ze heilig overtuigd dat dit logisch en de bedoeling van de AVG is.
NS vindt dat ze niet zomaar gegevens mogen verwijderen zonder vast te stellen wie het echt is (zijn genoeg andere oplossingen voor). Maar het onnodig zonder reden opslaan van gegevens vinden ze helemaal prima, dat is dan weer makkelijk om spam (NS heeft bevestigd dat het spam betrof) te versturen.
Tenenkrommend, klacht indienen bij de AP is helaas compleet zinloos. Kun je 'n jaar wachten op een standaard antwoord en wel al jouw persoonsgegevens moeten verstrekken, die dan met de NS gedeeld worden, die weer jaren onnodig bewaard worden.
Privacy in Nederland en naleving van de AVG, het blijft zeer lastig, en mevrouw Mur van de AP heeft ook al geen idee wat speelt in de samenleving betreffende AVG.
Nogal vanzelfsprekend wat mij betreft.
Privacy in Nederland en naleving van de AVG, het blijft zeer lastig, en mevrouw Mur van de AP heeft ook al geen idee wat speelt in de samenleving betreffende AVG.
De officiële taak van de AP is om als toezichthouder en handhaver de privacy te beschermen.
De echte taak van de AP is om de bevolking in slaap te sussen door te doen alsof er best wel wat toezicht en handhaving plaatsvindt.
***
De officiële taak van een FG is om te zorgen dat een organisatie goed omgaat met persoonsgegevens
Dit wordt dan onjuist vertaald als: de taak van een FG is om te zorgen dat een organisatie voldoet aan privacy-regelgeving. (Als we aan de regeltjes voldoen, dan is het goed.)
De echte taak van een FG is om de organisatie te helpen waar mogelijk privacy-regelgeving legaal te omzeilen, zodra dat voordeel (bv. financiële besparingen) oplevert.
***
Hoe Nederlandse functionarissen omgaan met privacy-eisen, is vergelijkbaar met hoe ze omgaan met milieu-eisen. Je doet alsof. Er is zowel bij katholieken als bij calvinisten een lange geschiedenis van schijnheiligheid. Met de secularisering is die schijnheiligheid gewoon meegeseculariseerd.
***
Het nieuwe document van de AP moet daarom worden opgevat als een handleiding die duidelijk maakt hoe organisaties de schijn beter kunnen ophouden. Nuttig voor privacy-schenders! Maar niet voor burgers die het slachtoffer worden van privacy-schendingen. Die krijgen het nu nog moeilijker.
***
Alles staat of valt met de bereidheid van de AP om echt te handhaven. Die bereidheid is er tot op heden niet. Daarom moeten alle documenten van de AP tussen de regels gelezen worden. Daar staat de boodschap: "Maak het ons makkelijk om niet te handhaven."
Nogal vanzelfsprekend wat mij betreft.
Ik als voormalig 2e lijns servicedeskmedewerker van een grote OpCo kan je met zekerheid zeggen dat authenticatie via telefoon zo simpel te omzeilen is (of voor de gek te houden) dat het mij echt niet veel moeite gaat kosten om je een extra abonnement aan te naaien of al je spullen af te sluiten. Enige dat je nodig hebt is naam, adres, geboortedatum en nummer.
Identiteitsdiefstal is niet voor niets een hot item tegenwoordig. Geen goede authenticatie door bedrijven bij contactmomenten met klanten zet dit op scherp en daar wordt hier zeer correct ook op gewezen.
Nogal vanzelfsprekend wat mij betreft.
Ik als voormalig 2e lijns servicedeskmedewerker van een grote OpCo kan je met zekerheid zeggen dat authenticatie via telefoon zo simpel te omzeilen is (of voor de gek te houden) dat het mij echt niet veel moeite gaat kosten om je een extra abonnement aan te naaien of al je spullen af te sluiten. Enige dat je nodig hebt is naam, adres, geboortedatum en nummer.
Identiteitsdiefstal is niet voor niets een hot item tegenwoordig. Geen goede authenticatie door bedrijven bij contactmomenten met klanten zet dit op scherp en daar wordt hier zeer correct ook op gewezen.
Wat is een OpCo?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.