AVG: in gesprek over privacywetgeving

Gast

Tja hoe zit het met dit data lek bij Achmea ofwel Zilveren kruis, waarom wordt dit verzwegen of stilgehouden. Wat ligt op straat en welke personen of gegevens zijn gelekt, is dit in strijd met de AVG 25 mei 2018. Met wie heeft Zilveren kruis een verwerkingsovereenkomst deze moeten openbaar gemaakt worden, ik zie op de website niets van AVG of GEO blocking terug.

AVG: in gesprek over privacywetgeving

3 ANTWOORDEN

Re: AVG: in gesprek over privacywetgeving

Community Manager

@johnmaso Zullen we dit topic gebruiken om met elkaar in gesprek te gaan over de AVG? Misschien dat je het goed vindt dat de titel aanpas, dan is voor anderen ook duidelijk dat dit topic gaat over de AVG en specifiek over de verwerkingsovereenkomst. 

 

Als organisatie hebben we een verantwoordingsplicht. Dat is vastgelegd in de AVG. Dit houdt in dat we aan de Autoriteit Persoonsgegevens moeten kunnen aantonen dat onze verwerkingen van persoonsgegevens aan de regels van de AVG voldoen. 

 

Wat een verwerkingsovereenkomst is en wanneer die gesloten dient te worden staat onderaan de pagina over verantwoordingsplicht. Deze overeenkomst sluit een organisatie met een andere partij wanneer deze  partij gegevens verwerkt in opdracht van de organisatie. Met een verwerkersovereenkomst wordt uitgesloten dat de andere partij de persoonsgegevens voor eigen doelen mag verwerken. Met wie wij verwerkingsoverenkomsten hebben hoeft, zover ik weet, niet openbaar gemaakt te worden maar we moeten wel voldoen aan onze verantwoordingsplicht en inzicht geven aan de AP wanneer daarom gevraagd wordt.

 

De AVG geeft mensen het recht op duidelijke informatie en organisaties een informatieplicht. Dat betekent dat we verplicht zijn om nieuwe en bestaande klanten duidelijk te informeren over wat we met hun persoonsgegevens doet en waarom. In de praktijk is een online privacyverklaring de meest handige manier om hier aan te voldoen. Een link naar het privacy statement van Zilveren Kruis staat onderaan elke pagina. Op die manier voldoen we dus aan de AVG.

 

Ik ben benieuwd waarom je geoblocking noemt, omdat dat dat een technologie is om op basis van iemands geografische locatie toegang tot het internet of bepaalde websites op het internet te beperken. Op onze website is dat niet van toepassing.

 

Over het datalek waar je aan refereert heeft de Stentor in oktober geschreven, waarna Achmea op hun website heeft aangegeven dat het gaat om de gegevens van klanten met een pensioenuitkering uit een verzekering. Achmea heeft van het incident melding gemaakt bij de AP. Zilveren Kruis is een ander merk van Achmea dat geen pensioenverzekeringen aanbiedt.

Re: AVG: in gesprek over privacywetgeving

Gast

Goedeavond Raoul

Dankjewel dat je reageert op mijn topic, of je de titel veranderd is mij eender. Wat mij opvalt aan deze community maak het leesvoer niet te zwaar, mensen of leden worden plotseling geconfronteerd met termen als AVG/Persoonsgegevens/Geo blocking. Mijn achterliggende bedoeling is voor de belangstellende meer informatie te verstrekken, zodat een gezondere discussie ontstaat waar iedereen zijn lering uit kan trekken!

Laten we bij het thema AVG persoonsgegevens blijven, en laat ons richten op de gezondheidszorg of wel de reguliere geneeskunde, want daar gaat het over hier. Je hebt gelijk dat je het hebt over AVG t.b.v. een website, dat is iets anders dan in mijn geval een webshop, hier kun je van alles kopen en met een ieder die persoonsgegevens krijgt d.m.v. betalingen, accounts, enz. moet een verwerkingsovereenkomst hebben of afgesloten zijn van iedere partij.

Maar laat ons beperken tot een website zoals jij als voorbeeld aangaf Achmea die door RADAR gepresenteert wordt als zijnde een datalek, inhoudelijk kan ik daar niet op ingaan omdat ik geen kennis draag hierover logisch want ik heb niet deelgenomen aan dit onderzoek.

Laten we gewoon eens een huisartsenpraktijk x eruit halen als voorbeeld in een startende discussie. De praktijk heeft een website! Hier kunnen alle patiënten informatie krijgen die zij nodig hebben, voor het maken van afspraken etc..

Waar moet een website aan voldoen: op de eerste plaats als ik kijk naar mijn huisartsenpraktijk x, ga ik naar Google en toets de gewenste praktijk x in. Dan zou ik op de website terecht moeten komen van de huisartsenpraktijk x. Ik schrik mij een hoedje, als ik een grote waarschuwing krijg ga direct terug cybercriminelen proberen data,s te stelen. Nou heb ik een beveiligingsprogramma x dat ik betaal, kosten per jaar zijn te verwaarlozen. Maar mocht iets (data) gestolen worden, dan zal de rechter zeggen wat heeft u gedaan om dit te voorkomen. Dan leg ik het betaalbewijs van mijn beveiligingsprogramma x voor, en zeg kijk hier ik heb alles eraan gedaan om dit te voorkomen. Punt uit! Terug naar die website van mijn huisartsenpraktijk x, tja hier komt dus de AVG om de hoek kijken eigenlijk ligt hier alle persoonsgegevens op straat, dus alle patiëntengegevens zoals medisch dossier, BSN, misschien bankgegevens, u legitimatie, enz. De website van deze praktijk is dus onveilig, nou verdiepen medici zich niet in dit soort calamiteiten en onderschatten hun verantwoordelijkheid. Hier kun je dus ook niet de privacy & police zien, eigenlijk niets omdat de deuren wijd open staan. Nu terug naar de AVG die ingegaan is op 25 mei 2018, dus we hadden deze wetgeving al in 1995, deze werd gewijzigd omdat toen nog de sociale media in de kinderschoenen stond, en de 1e kamer keurde de wet (herziening) goed d.d. 25 mei 2016. Op 23 mei 2017 werd nog een aanpassing gemaakt op de nieuwe wetgeving, en op 25 mei 2018 is de AVG een feit en ieder dient zich te onderwerpen aan deze wetgeving! Terug naar mijn praktijk x voorbeeld, deze website moet zoals Raoul vermeld aan een aantal verplichtingen voldoen. En dit kan ik niet toetsen, omdat cybercriminelen bestanden stelen en de website onveilig is verklaart. Dit is kwalijk, ik heb dit gemeld bij de praktijkeigenaar x, hij onderneemt na 72 uur nog steeds niets en dan ontstaat een situatie dat iedere burger in dit land Nederland de plicht heeft dit te melden bij de persoonsgegevens autoriteiten. Wat ook gebeurd is, daarna wordt het stil. Maak van de situatie screenshots dat is Ctrl + Alt + PrtScn, en plak dit ergens op een Word document. Zullen we het hier even bij laten, anders loop je het gevaar dat de leden van het community het te zeer droge stof vinden. Wil je dat ik verdere ga like mij, of niet natuurlijk dan heb ik een graagd meter om verder te gaan of niet natuurlijk!

Re: AVG: in gesprek over privacywetgeving

Community Manager

@johnmaso Misschien is het voor anderen droge stof, maar het is een onderwerp dat je bezig houdt en daarom bespreek ik het hier graag. Daarnaast is het een onderwerp wat steeds relevanter wordt voor iedereen die gegevens bekijkt of deelt online. Dus helder krijgen wat de risico's zijn en welke stappen mensen maar ook organisaties kunnen nemen om zichzelf en anderen beter te beschermen lijkt me heel nuttig. 

 

Ik pas de titel aan naar AVG: in gesprek over privacywetgeving

 

Ik hoop dat de uitleg over hoe wij op onze website omgaan met de AVG duidelijk is geworden door mijn uitleg, ook voor anderen die dit topic meelezen. Als er vragen zijn of verduidelijking nodig is dan hoor ik het graag. 

 

Kleinere bedrijven, waaronder huisartsen, hebben niet altijd de expertise in huis om hun website up to date te houden. Zo waren er in juli nog veel websites te vinden die geen SSL-certificaat en dus geen beveiligde verbinding hadden. In jullie kwam Chrome 68 uit en vanaf die versie worden gebruikers duidelijk gewaarschuwd voor het gebruik van onbeveiligde verbindingen. Dat helpt gebruikers van die pagina zich bewust te zijn van de risico's. De Autoriteit Persoonsgegevens geeft aan dat in het kader van de AVG organisaties die persoonsgegevens verwerken die gegevens moeten beveiligen. Ze geven de overweging mee aan gebruikers van onbeveiligde websites of ze hun persoonsgegevens wel willen delen op een onbeveiligde website.

De vraag die overblijft is: geeft de website van je huisarts de mogelijkheid om in te loggen of persoonsgegevens te delen? Als dat zo is, is het de vraag of die gegevens voldoende beveiligd zijn. Ik zou zelf denken van niet, maar dat is misschien een vraag die voor te leggen is aan de AP of anders in eerste instantie het melden waard is bij de huisarts.