Advocatuur

Privacy, wie heeft dat nou nog?

Ludo Block Ludo Block

In dit digitale tijdperk worden continu persoonsgegevens over ons doen en laten verzameld. Organisaties moeten een balans vinden tussen het vergaren en bewaren van de noodzakelijke persoonsgegevens, terwijl ze gelijktijdig de privacy van hun medewerkers moeten eerbiedigen. Vanuit het perspectief van incidentonderzoek hebben wij daar een specifieke kijk op, waar u wellicht uw voordeel mee kunt doen.

Persoonsgegevens overal

Vanaf het moment dat u opstaat en op uw telefoon kijkt, worden er persoonlijke gegevens over u verzameld. Als u zich per  auto of OV verplaatst, bij aankomst op het werk, bij het aanzetten van uw computer, door iets te mailen, printen of te bekijken, bij elk bericht op social media, bij betalen en het boodschappen doen, televisie kijken, vrijwel continu worden persoonsgegevens van u vastgelegd.

Met toegang tot de juiste bronnen is het daarom zeer eenvoudig om vrijwel elke minuut van uw dag te reconstrueren aan de hand van data. Geef ons bijvoorbeeld uw telefoon en we weten al snel meer over u dan u zelf. Strikt genomen hebben dus weinigen nog maar echte privacy. Vanuit het perspectief van een incidentonderzoeker een mooie situatie, zo lijkt het. Maar het tegendeel is waar.

Veel gegevens maar niet bruikbaar

Bij het uitvoeren van onderzoek naar een incident moeten wij ons vaak door bergen verouderde – dus irrelevante – gegevens heen worstelen. Niet zelden komen we daarbij tot de ontdekking dat juist de gegevens die relevant zijn, niet meer of niet tijdig beschikbaar zijn. Dit vertraagt het onderzoek naar het incident en maakt het inefficiënt en door vertraging, niet effectief. De Autoriteit Persoonsgegevens concludeerde dat recent over dat organisaties in strijd met de AVG persoonsgegevens vaak te lang bewaren. Ook non-compliance met de AVG kan een incidentonderzoek op achterstand zetten als daardoor discussie ontstaat over de legaliteit van de gebruikte gegevens.

Datamanagement in organisaties is een echte uitdaging geworden. Er spelen verschillende, soms tegenstrijdige, belangen mee bij het zoeken naar de balans van het wel of niet vastleggen en bewaren van (persoons)gegevens. Dat wordt nog complexer als (een deel van) de gegevens in een cloud omgeving staan en nog complexer als de organisatie rekening moet houden met (buitenlandse) toezichthouders en wellicht e-Disclosure verplichtingen.

Forensic readyness

Het mes van voorbereiden op een incident – wat wij forensic readyness noemen – snijdt aan twee kanten. Door het identificeren en op juiste wijze vastleggen van de gegevens die noodzakelijk zijn in geval van een incident, kan snel en efficiënt gehandeld worden wanneer een incident zich daadwerkelijk voordoet. Als de organisatie weet welke gegevens waar vastliggen, kan ook goed geregeld worden dat deze gegevens niet langer bewaard worden dan noodzakelijk. U kunt uw medewerkers niet de privacy teruggeven die ze kwijt zijn. Maar u kunt wel voorkomen dat u de privacy van uw medewerkers meer dan noodzakelijk schendt.

Voor welke organisaties is het noodzakelijk hun datamanagement en -organisatie te evalueren? Eigenlijk alle, behalve natuurlijk de organisaties waar nooit incidenten voorkomen en waar alles op gebied van de AVG perfect is geregeld. Is dat in uw organisatie het geval? Mooi. Zo niet, dan wordt het tijd om eens vrijblijvend contact met ons op te nemen. Wij helpen organisaties bij deze uitdagingen met ons team van specialisten op het gebied van (incident)onderzoek, IT-forensics, Cyber security en privacy.

Actualiteiten

Cyber- en datarisico's

Hoe kunnen de bestuurders en managers van vandaag zich voorbereiden op data-, privacy- en cyberrisico’s en adequaat reageren als het toch mis gaat?

1 jaar AVG, de stand van zaken

Met het eerste jaar van de AVG achter de rug is het tijd om de balans op te maken. Wat vond er het afgelopen jaar plaats? Welke wijzigingen zijn er doorgevoerd? En wat doet de Autoriteit Persoonsgegevens momenteel? Lees het hele artikel.

Autoriteit Persoonsgegevens controleert naleving van de AVG!

Rond de inwerkingtreding van de Algemene verordening gegevensbescherming‎ (AVG) was een veelgehoorde opmerking dat het met de controle van de Autoriteit Persoonsgegevens (AP) niet zo een vaart zou lopen. Inmiddels is duidelijk dat de AP wel degelijk controleert en ook zal handhaven. Lees over welke controles de AP heeft uitgevoerd.

Gegevensbescherming bij een ‘no deal Brexit’

Mag u na 29 maart 2019 nog wel persoonsgegevens uitwisselen met in het Verenigd Koninkrijk gevestigde ondernemingen of instellingen? En mag u deze data doorgeven aan een bedrijfsonderdeel van uw concern dat gevestigd is in het Verenigd Koninkrijk? Lees het antwoord.

Privacy, wie heeft dat nou nog?

In dit digitale tijdperk worden continu persoonsgegevens over ons doen en laten verzameld. Organisaties moeten een balans vinden tussen het vergaren en bewaren van de noodzakelijke persoonsgegevens, terwijl ze gelijktijdig de privacy van hun medewerkers moeten eerbiedigen. Vanuit het perspectief van incidentonderzoek hebben wij daar een specifieke kijk op, waar u wellicht uw voordeel mee kunt doen. Lees hier meer over.

AVG: ben ik verwerker of verwerkingsverantwoordelijke?

Vanaf 25 mei 2018 wordt u geacht te voldoen aan de Algemene verordening gegevensbescherming (AVG). Wellicht weet u precies wat dat voor uw organisatie inhoudt, of wellicht heeft u nog een aantal zaken op orde te brengen voor de 25e. Lees meer over het zijn van verwerker of verwerkingsverantwoordelijke.

Privacywetgeving: heb ik nou een jurist nodig of een hacker?

Een Europese verordening over de bescherming van persoonsgegevens waar een hoop over te doen is. Maar wat staat daar nou eigenlijk in? In Artikel 5 staat: ‘persoonsgegevens moeten door het nemen van passende technische of organisatorische maatregelen op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is’. ‘Passende maatregelen’ voor een ‘passende beveiliging’. Aha. ‘Passend’, wat is dat eigenlijk? Lees hier meer over.

Waarin beschermt de Wet bescherming bedrijfsgeheimen mij?

De Wet bescherming bedrijfsgeheimen is recent aangenomen door de Eerste Kamer. De nieuwe wet implementeert de Europese Richtlijn betreffende de bescherming van niet-openbaar gemaakte knowhow en bedrijfsinformatie, oftewel bedrijfsgeheimen. Hoe helpt deze wet mij als ondernemer? En hoe moet ik mijn gegevens beschermen? Lees meer over dit onderwerp.

AVG: het begint bij bewustwording

Vanaf 25 mei 2018 wordt u geacht te voldoen aan de Algemene verordening gegevensbescherming (AVG). Wellicht weet u precies wat dat voor uw organisatie inhoudt, of wellicht heeft u nog een aantal zaken op orde te brengen voor de 25e. Controleer daarom hoe ver u bent of hoe u uw organisatie compliant maakt.

Wat is de waarde van mijn data?

Download het rapport 'Wat is de waarde van uw data?' en ontvang een praktische aanpak waarmee data- en privacyrisico’s en de dreiging van een cyberincident beter beheersbaar worden.