Bel bij overlijden: 088 1198 200

menu

Bel bij overlijden

088 1198 200

Home Bulletins Identiteitsfraude? Pak je verantwoordelijkheid!

Identiteitsfraude? Pak je verantwoordelijkheid!

 

Het zal je gebeuren: je post een foto van jezelf vanaf je vakantieadres en binnen afzienbare tijd wordt deze sprankelende afbeelding gebruikt voor advertenties met dubieuze doeleinden. Maar het kan nog erger: je identiteit wordt gebruikt om huizen te kopen, auto’s te verhandelen of grote aankopen te doen. Het resultaat: een gigantische schuld en niemand die je gelooft…

Identiteitsfraude komt steeds vaker voor. We delen alles online, koppelen alle mogelijke datasystemen aan elkaar en zijn ons soms niet altijd bewust van de gevolgen. En die kunnen groot zijn. Er zijn gevallen bekend, waar de gevolgen zo groot waren, dat zelfdoding de enige uitweg bleek te zijn. Niet zo gek dus dat de wet- en regelgeving is aangepast naar de maatstaven van deze moderne tijd. Advocaat Lesley Broos is gespecialiseerd in de nieuwe Privacywet (AVG) en ziet grote voordelen in de nieuwe wetgeving, maar realiseert zich tegelijkertijd dat er nog een weg te gaan is bij de praktische uitvoering ervan. “Een belangrijk doel van de Privacywet is dat misbruik van gevoelige persoonsgegevens wordt tegengegaan. We zien dat online dataverzameling van personen inmiddels zulke grootschalige vormen aanneemt, dat áls het misgaat, het ook gelijk goed misgaat. Bij identiteitsfraude is de impact op iemands leven zo enorm, dat moeten we als maatschappij niet willen. En het vraagt eigenlijk gewoon om een stuk fatsoen, een stuk bewustwording bij organisaties én bij de mensen zelf om zorgvuldig met gegevens om te gaan.”

Interpretatiediscussies

De nieuwe in heel Europa geldende Privacywet bouwt verder op de daarvoor al geldende Europese richtlijnen voor privacyrecht. Door wetgeving op Europees niveau verder te harmoniseren, is het voor organisaties eenvoudiger om gegevens tussen landen uit te wisselen en te beschermen op uniforme wijze. Wel heeft ieder land nog zijn eigen uitvoeringswet, waardoor per land toch nog kleine verschillen blijven bestaan. “Voor Nederland is dat de UAVG. Nu de nieuwe wetgeving sinds 25 mei 2018 van kracht is, breekt de fase aan van het zogeheten ‘puntjes-op-de-i-zetten’. Je merkt dat er nu interpretatiediscussies ontstaan. Denk maar eens aan een bekend voorbeeld: de NPO voert de cookiemelding op hun sites tot in detail door, terwijl anderen volstaan met slechts een cookiemelding ergens onderin met een link naar het privacy statement. Wat heeft de wet nu eigenlijk bedoeld met deze melding? Slaat de NPO door of is het de juiste manier om uitvoering te geven aan de wet? Dit soort discussies zullen de komende jaren nog regelmatig plaatsvinden”, geeft Broos aan.

Stappen in het proces

Ondanks dat de wet inmiddels van kracht is, merkt Broos dat er nog best wat werk te verzetten is. “Over de gehele linie zijn veel bedrijven en organisaties goed bezig. Hoewel de voorbereiding bij velen pas laat op gang kwam, zie je nu toch dat het gros zijn verantwoordelijkheid heeft genomen. In de beginfase merkten we twijfel: Hoeveel tijd en aandacht ga ik dit thema geven binnen mijn bedrijfsvoering? En waar te beginnen? Bij Kienhuis Hoving hebben we anderhalf jaar lang met een team van zes advocaten en juridisch medewerkers bedrijven begeleid bij de voorbereiding en implementatie van de wet.” Belangrijke stappen in dat proces zijn:

  1. Inventariseren van gegevens: Bedrijven moeten een zogenaamd Register van Verwerkingsactiviteiten opstellen wanneer zij structureel persoonsgegevens verwerken – en dat doet bijna ieder bedrijf. In het register wordt onder meer vastgelegd welke gegevens van welke ‘betrokkenen’ met welk doel worden verwerkt.
  2. Welke gegevens mag je verwerken: Persoonsgegevens mogen alleen verwerkt worden als daarvoor een wettelijke grondslag bestaat. Er bestaan maar zes grondslagen, waarvan er ten minste een van toepassing moet zijn. Kort samengevat:
    1. Je hebt specifiek toestemming gekregen van de persoon zelf.
    2. De verwerking is noodzakelijk voor de uitvoering van een overeenkomst met die betrokkene.
    3. De verwerking is noodzakelijk in verband met een wettelijke verplichting (bijvoorbeeld een fiscale bewaarplicht).
    4. De verwerking is noodzakelijk om een vitaal belang van de betrokkene te behartigen.
    5. De verwerking is noodzakelijk voor het algemeen belang of het openbaar gezag.
    6. Er is sprake van een gerechtvaardigd belang dat zwaarder weegt dan de privacy van de betrokkene.
  3. Hoe lang mag je gegevens bewaren: Als je inzichtelijk hebt welke gegevens je voor welke doeleinden verwerkt, dan weet je ook hoe lang je die gegevens daarvoor nodig hebt. Dat bepaalt de maximale bewaartermijn die je vervolgens automatisch kunt inrichten in je bedrijfsproces.
  4. Externe partijen: Bedrijven werken veel samen met externe partijen die ook verwerker zijn van hun persoonsgegevens, zoals bijvoorbeeld cloud dienstverleners. Heb je goede afspraken met deze partijen gemaakt over beveiliging en verwerking? Veel cloud-servers staan buiten de Europees Economische Ruimte en in dat geval gelden extra strenge regels.
  5. Verantwoordingsplicht: Kun je laten zien dat je aan de wet voldoet?
  6. Privacy Impact Assessment: Door een goede risicoscan uit te voeren – zeker op terugkerende basis – zie je waar de risico’s liggen. Het is vooral aan te bevelen wanneer je grote wijzigingen doorvoert in je automatiseringsproces. Heeft de wijziging impact op de privacybescherming van de betrokkene? Zijn de gegevens nog wel op de juiste wijze beschermd? Privacybescherming is een doorlopend proces.

Privacy by Design: wanneer je een nieuw systeem nodig hebt…

Broos adviseert bedrijven en organisaties om blijvend aandacht te houden voor de uitvoering van de AVG. “Je merkt dat na verloop van tijd de aandacht wordt opgeslokt door andere taken en verantwoordelijkheden. Het is goed om in elk geval iemand binnen je organisatie verantwoordelijk te maken voor het beschermen van persoonsgegevens. Soms is het ook wettelijk verplicht om een Functionaris voor de Gegevensbescherming (FG) aan te wijzen, een soort interne toezichthouder. Sowieso moet je periodiek een check uitvoeren of het nog wel gaat zoals het zou moeten. Heb je deze kennis onvoldoende in huis, dan is een adviseur geen slecht idee. Het is vaak efficiënter en kwalitatiever en helpt onder andere datalekken voorkomen die grote gevolgen kunnen hebben. En denk ook aan Privacy by Design; wanneer je een nieuw ICT-systeem inkoopt en implementeert, ben je tegenwoordig wettelijk verplicht de eisen en wensen vanuit de AVG daarin te implementeren. Welke eisen stel je in dat kader aan de leveranciers van dergelijke systemen? Hoe wil je data verwerken en hoe bescherm je ze? Bij dit soort ontwerpprocessen is het goed om aan de voorkant na te denken over mogelijke datalekken en ontwerpfouten. Kortom, de privacywetgeving is een continu proces. Maar wel een interessant proces!”

Mr. Dr. Lesley Broos is advocaat bij Kienhuis Hoving en gespecialiseerd in Intellectuele eigendom, ICT-recht en Privacy. Daarnaast is hij universitair docent Business Law & Technology aan de Universiteit Twente.