"Verstand van zaken is meer dan juridische kennis"
 ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌  ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌  ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌  ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌  ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌  ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌  ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌  ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌  ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌  ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌  ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌  ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌
Ploum PRIVACY update
Verstand van zaken is
meer dan juridische
kennis
NIEUWS
Team Privacy heeft een mooie ranking in Legal 500. Het team is gerankt in Tier 3!
LEES MEER »

agenda
 
Ploum Academy ‘Privacy & Ondernemingsrecht’ (webinar)
Waarom zijn de privacyregels van belang voor het ondernemingsrecht? Met welke verplichtingen uit de AVG moet u rekening houden bij een overname of faillissement? Op dinsdag 15 september bespreken Dorine ten Brink, Nina Witt en Anamika Wilbrink dit tijdens het webinar 'Privacy & Ondernemingsrecht' van de Ploum Academy. 
Kosteloos aanmelden

Binnenkort te boeken: kennissessies privacy voor uw organisatie
Houd onze website en social media in de gaten of mail alvast naar privacy@ploum.nl voor meer informatie.

privacy blogs
 
Wabvpz | Cameratoezicht en privacyregels
Nieuwe bepalingen Wabvpz in werking getreden per 1 juli 2020
Er gelden nieuwe verplichtingen voor zorgaanbieders op grond van een per 1 juli 2020 ingevoerd onderdeel van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz). Zo moeten zorgaanbieders elektronisch inzage en afschrift bieden van het dossier van de cliënt/patiënt. Ook zijn er nieuwe regels over de gegevensuitwisseling bij medicatie en zelfmedicatie en geldt een verplichting tot “logging”. Voor de inhoud van deze verplichtingen, de verhouding met de AVG en WGBO en ons advies aan zorgaanbieders leest u hier verder.

Cameratoezicht en privacyregels
Ons privacyteam krijgt veel vragen over cameratoezicht en de AVG. Zie hier het antwoord op vier veelgestelde vragen over dit onderwerp.
Overige blogs
meer privacy blogs »
 
 
Privacy in de rechtspraak
 
Online surveillance software (“proctoring”) AVG-proof?
Studentenraden en een student van de Universiteit van Amsterdam (UvA) hebben een verbod op het gebruik van “online proctoring” software gevorderd. Deze software wordt gebruikt ter bestrijding van fraude bij tentamens en ter voorkoming van studievertraging, nu studenten gedurende de Covid-19 crisis geen tentamens kunnen maken in universiteitsgebouwen. Het programma slaat gegevens op van de webcam, de microfoon, het internetverkeer, het scherm, de muis en het toetsenbord van de student tijdens het tentamen. Ook moet de student zijn bureau laten zien. Als het programma, “Proctorio”, aangeeft dat een student ongebruikelijk gedrag vertoont, zoals bijvoorbeeld veel wegkijken, kan geautoriseerd personeel van de UvA de beelden bekijken. Anders worden deze na dertig dagen automatisch gewist. De UvA heeft een pilot gehouden, een uitgebreide risicoanalyse uitgevoerd en advies ingewonnen voordat het formele besluit tot gebruik van Proctorio is genomen. Proctorio wordt alleen gebruikt gedurende de Covid-19 crisis en alleen bij tentamens waar geen passend alternatief kan worden gevonden. De handelswijze van de UvA is AVG-proof volgens de rechtbank. De rechtbank hecht daarbij waarde aan het feit dat de beelden in principe alleen bekeken worden, als het programma aangeeft dat er sprake is van ongebruikelijk gedrag. 

PRIVACY IN DE RECHTSPRAAK
 
Oma plaatst foto’s op Facebook, mag dat?
Oma heeft een foto van haar kleinkind op haar Facebookpagina geplaatst, maar moeder eist dat oma de foto’s van Facebook af haalt. De AVG is niet van toepassing op de verwerking van persoonsgegevens door een natuurlijke persoon bij de uitoefening van een zuiver persoonlijke of huishoudelijke activiteit. In dit geval is echter niet goed vast te stellen dat oma haar Facebookpagina zodanig heeft afgeschermd, zodat hier eventueel een beroep op kan worden gedaan. Aangezien het kind jonger is dan 16 jaar en de moeder geen toestemming heeft gegeven aan oma om de foto’s te plaatsen, moet oma de foto van haar kleinkind van Facebook verwijderen.
Lees meer »
 
PRIVACY IN DE RECHTSPRAAK
 
SyRi-wetgeving van de overheid voldoet niet aan EVRM
SyRI is een wettelijk instrument dat de overheid gebruikt voor de bestrijding van fraude op bijvoorbeeld het terrein van uitkeringen, toeslagen en belastingen. De rechtbank is van oordeel dat de wetgeving die de inzet van SyRI regelt in strijd is met hoger recht. De wetgeving voldoet volgens de rechtbank niet aan artikel 8 van het Europees Verdrag voor de Rechten voor de Mens (EVRM): het recht op privéleven. De rechtbank heeft de doelen van de SyRI-wetgeving, namelijk het voorkomen en bestrijden van fraude in het belang van het economisch welzijn, afgezet tegen de inbreuk op het privéleven. Volgens de rechtbank voldoet de wetgeving niet aan de fair balance die het EVRM vereist om te kunnen spreken over een voldoende gerechtvaardigde inbreuk op het privéleven. De wetgeving is wat betreft de inzet van SyRI onvoldoende inzichtelijk en controleerbaar. De wetgeving is onrechtmatig en kan burgers niet binden. 
Lees meer »
 
PRIVACY IN DE RECHTSPRAAK
 
Hof van Justitie van de Europese Unie: naam en adres van personen die illegaal films uploaden mogen niet worden gedeeld
Constantin Film Verleih is een Duitse onderneming die gebruiksrechten van twee films heeft. Zij eist dat het internetplatform YouTube en de moedermaatschappij Google informatie verstrekken over het e-mailadres, het telefoonnummer en het IP-adres van gebruikers die de betrokken films illegaal op YouTube hebben geüpload. Er is twijfel of de verzochte informatie valt onder het begrip “de naam en het adres”, die op grond van de Richtlijn betreffende de handhaving van intellectuele eigendomsrechten (Richtlijn 2004/48/EG) aan de eisende partij moet worden verstrekt door de rechter. Enerzijds zouden deze gegevens het enige doeltreffende middel voor de handhaving van intellectuele eigendomsrechten kunnen vormen, anderzijds zijn IP-adressen persoonsgegevens.

De rechtbank in Duitsland heeft de vorderingen afgewezen. In hoger beroep is geoordeeld dat YouTube en Google de e-mailadressen van de betrokken gebruikers moeten verstrekken. Het Duitse hoogste gerechtshof vraagt zich af of de geëiste informatie op basis van de Richtlijn 2004/48/EG wel mag worden verstrekt. Het Hof van Justitie van de Europese Unie oordeelt dat wanneer een film illegaal is geüpload op een onlineplatform zoals YouTube, de rechthebbende, in dit geval Constantin Film Verleih, bij de exploitant uitsluitend het postadres van de betrokken gebruiker kan opvragen, maar niet zijn e-mailadres, IP-adres of telefoonnummer. Het Hof heeft in de eerste plaats vastgesteld dat het begrip „adres” in zijn gebruikelijke betekenis uitsluitend ziet op het postadres, dat wil zeggen iemands woon- of verblijfplaats. Het begrip is in de Richtlijn niet nader uitgelegd en dus kan de betekenis niet nader worden uitgebreid tot het e-mailadres, het telefoonnummer of het IP-adres. In de tweede plaats bevatten de voorbereidende documenten van de Richtlijn geen enkele aanwijzing dat het begrip „adres” aldus moet worden begrepen dat het niet alleen ziet op het postadres, maar ook op het e-mailadres, het telefoonnummer of het IP-adres van de betrokken personen. In de derde plaats blijkt uit de analyse van andere Unierechtelijke handelingen betreffende het e-mailadres of het IP-adres, dat in geen van deze handelingen het begrip „adres” zonder nadere precisering wordt gebruikt ter aanduiding van het telefoonnummer, het IP-adres of het e-mailadres. Daarom oordeelt het Hof dat deze uitleg in overeenstemming is met het doel van de bepaling van Richtlijn 2004/48 inzake het recht op informatie. 

AUTORITEIT PERSOONSGEGEVENS
 
Anoniem bedrijf ontvangt boete voor gebruiken vingerafdrukken van werknemers
Dat de Autoriteit Persoonsgegeven streng controleert op het gebruik van biometrische gegevens, blijkt uit de boete van €725.000 die zij heeft opgelegd aan een bedrijf dat vingerafdrukken van haar werknemers verzamelde voor aanwezigheids- en tijdregistratie. Het bedrijf kan zich niet beroepen op een (uitzonderings-)grond (toestemming of beveiligings- of authenticatiedoeleinde) voor de verwerking van vingerafdrukken en krijgt daarom de boete opgelegd.
Lees meer »
 
AUTORITEIT PERSOONSGEGEVENS
 
De verkoop van gegevens van leden komt de Tennisbond duur te staan 
De Koninklijke Nederlandse Lawn Tennisbond (KNLTB) heeft een boete van € 525.000 opgelegd gekregen van de Autoriteit Persoonsgegevens, omdat zij persoonsgegevens van haar leden heeft verkocht aan twee sponsoren. Deze sponsoren benaderden de leden dan voor tennis gerelateerde aanbiedingen. De KNLTB mocht de persoonsgegevens van de leden echter niet verkopen, omdat zij daar geen wettelijke grondslag voor had en dat is onder de AVG wel vereist.
Lees meer »
 
Autoriteit persoonsgegevens
 
Omgang van persoonsgegevens bij een faillissement
De Autoriteit Persoonsgegevens geeft richtlijnen aan curatoren hoe zij om moeten gaan met persoonsgegevens van failliete bedrijven, zoals bijvoorbeeld het klantenbestand of gegevens van over de werknemers. Ook bij een faillissement moet aan de vereisten uit de AVG worden voldaan. Op 15 september geeft Ploum een webinar dat ook hierover gaat (zie de aanmeldlink onder “Agenda”). 
Lees meer »
 
AUTORITEIT PERSOONSGEGEVENS
 
Boete voor Bureau Krediet Registratie (BKR)
Op 31 juli 2019 heeft BKR een boete van € 830.000 opgelegd gekregen door de Autoriteit Persoonsgegevens (AP) voor het niet voldoen aan haar verplichtingen met betrekking tot het recht op inzage van betrokkenen (artikel 15 AVG). BKR kreeg de boete opgelegd, ten eerste omdat zij betrokkenen maar één keer per jaar de mogelijkheid per post een verzoek tot inzage te doen. Daarmee heeft zij volgens de AP het recht op inzage niet gefaciliteerd (artikel 12 lid 2 AVG). Ten tweede heeft BKR de persoonsgegevens niet kosteloos verstrekt aan betrokkenen wanneer zij via elektronische wijze om inzage verzochten (artikel 12 lid 5 AVG).
 
Dit is de hoogste boete die de AP tot nu toe oplegde. Uit deze boete blijkt dat de AP de rechten van betrokkenen serieus neemt. De AP merkt op dat in het kader van het transparantiebeginsel de verwerkingsverantwoordelijke de uitoefening van de rechten van de betrokkene, zoals het recht op inzage, moet faciliteren. Kosteloze inzage stelt betrokkenen in staat om op een eenvoudige manier kennis te nemen van welke persoonsgegevens van hen worden verwerkt en of deze rechtmatig verwerkt worden. Een goede invulling van het inzagerecht is verder noodzakelijk om andere rechten te kunnen uitoefenen, zoals het recht op rectificatie en het recht op gegevenswissing. Met het vragen van een vergoeding voor het via elektronische wijze verkrijgen van inzage in persoonsgegevens heeft BKR één van de belangrijkste beginselen, namelijk het transparantiebeginsel, van de AVG geschonden. Deze boete is op 6 juli 2020 gepubliceerd. BKR is in beroep gegaan bij de rechter. Hierdoor is de boete van de AP nog niet definitief.
Lees meer »
 
AUTORITEIT PERSOONSGEGEVENS
 

Toestemming voor inzage medisch dossier mag in coronacrisis mondeling worden gegeven 

Voor de verwerking van bijzondere persoonsgegevens, zoals gezondheidsgegevens, geldt een verwerkingsverbod. Om deze gegevens te kunnen verwerken is een wettelijke uitzondering nodig (o.a. artikel 9 van de AVG). Toestemming kan zo een grondslag zijn. Ook tijdens de coronacrisis is het belangrijk dat persoonsgegevens op de juiste manier worden verwerkt. Om als (-nog- niet behandelend) arts inzicht te krijgen in het dossier van de patiënt is toestemming van de patiënt vereist. Normaal wordt deze toestemming schriftelijk vastgelegd, maar tijdens de coronacrisis werkte dat niet snel genoeg. Daarom heeft Autoriteit Persoonsgegevens te kennen gegeven dat toestemming in dat kader ook mondeling mag worden gegeven.
Lees meer »
 
AUTORITEIT PERSOONSGEGEVENS
 
Gezichtsherkenning in de supermarkt?
De Autoriteit Persoonsgegevens kreeg verschillende signalen dat supermarkten nu gebruik willen maken van gezichtsherkenning. Biometrische gegevens, waaronder gezichtsherkenning en vingerafdrukken vallen, worden steeds vaker gebruikt. In de AVG staan strenge regels over het gebruik van biometrische gegevens. Er is toestemming nodig om deze gegevens te verwerken of het moet een beveiligings- of authenticatiedoel dienen. Voor supermarkten zal er niet snel sprake zijn van een van deze situaties. In een brief heeft de Autoriteit Persoonsgegevens uitgelegd dat supermarkten alleen in uitzonderlijke gevallen gebruik kunnen maken van deze methode.
Lees meer »
 

 

ander nieuws 
 

  • Er zijn diverse nieuw guidelines van het European Data Protection Board vastgesteld (zoals videotoezicht, wetenschappelijk onderzoek en COVID-19 en de verwerkingsgrondslag: toestemming).
  • De AP heeft haar jaarverslag 2019 gepubliceerd (o.a. 4 boetes, meer onderzoek door de AP, veel privacyklachten) 
  • Op 19 mei 2020 vond het webinar Actualiteiten Privacyrecht plaats. Klik hier om het webinar terug te kijken. 
Vragen? Mail naar privacy@ploum.nl
 
Ploum | Rotterdam Law Firm
Blaak 28 T +31 10 440 6440
3011 TA Rotterdam F +31 10 436 4400
The Netherlands W www.ploum.nl
Ploum
Facebook   LinkedIn   Twitter   Youtube