1/ Met 100 miljoen (lees: huidige budget x4) zou de klachtenafhandeling vermoedelijk maar van 0.04 naar 0.16 procent gaan. En het opvolgen van gemelde datalekken van 0.3 naar 1.2 procent. #AVG#privacy#rijksbegroting
2/ Het toezichtsmodel en eigenlijk de hele AVG is hopeloos achterhaald, want gebaseerd op principes die bedacht zijn in de jaren ‘70, toen computers nog mainframes waren en gegevensverwerkingen nog overzichtelijk. linkedin.com/pulse/do-we-ne… #AVG#privacy
3/ De AP’s van deze wereld kunnen de oorlog sowieso niet winnen (lees: de informatiesamenleving in goede banen leiden). Die verantwoordelijkheid ligt bij de regeringen en de EU. #AVG#privacy
4/ De veldslag (systeemtoezicht) moeten ze aan de markttoezichthouders overlaten, zoals de DNB, de AFM, de ACM en de diverse inspecties omdat gegevensverwerking nooit een doel op zich is, maar altijd een ander proces dient, zoals taakuitoefening, werkgeverschap of commercie. #AVG
5/ De AP kan zich daarom beter beperken tot het spelen van hospik (ombudsfunctie), die de arme betrokkene(n) een eind op weg kan helpen en zich richten op de accountability (auditfunctie). #AVG#privacy
6/ Kortom, de AP zou geen toezicht moeten houden op hoofdstuk 2 en 9 van de #AVG, al was het maar omdat de AP als horizontale toezichthouder geen verstand heeft van de processen waar de gegevensverwerkingen bij horen. #privacy
7/ Of iets noodzakelijk is, is bijvoorbeeld een technische/operationele vraag, waar je onder de #AVG alleen een consequentie aan verbindt aan het antwoord. #privacy
8/ De AP zou wel voldoende middelen moeten hebben om toezicht te houden op de naleving van hoofdstukken 3, 4 en 5. #AVG#privacy
9/ Nog even los daarvan: Geld erbij betekent niet dat de problemen gelijk zijn opgelost en de achterstanden zijn weggewerkt. De héle privacyarbeidsmarkt kampt momenteel met een ernstig tekort aan gekwalificeerde mensen. #AVG#privacy
10/ Dus de AP trekt niet even een blik extra medewerkers open. Die kunnen ook aan de slag bij het Rijk, gemeenten, universiteiten, zorginstellingen en bedrijven. #AVG#privacy
11/ Vanuit de bescherming van betrokkenen gezien, is het tekort aan gekwalificeerde privacy professionals op de werkvloer van de verwerkingsverantwoordelijken en verwerker een groter probleem dan het tekort aan capaciteit bij het toezicht (AP). #AVG#privacy
12/ Als de politiek de bescherming van persoonsgegevens wil versterken, dan zou ik mijn vooral geld steken in opleiding van privacy professionals. Bijv privacyrecht verplicht maken in de juridische opleiding en privacy-by-design integreren in technische opleidingen. #AVG#privacy
13/ …. En van de functionaris voor de gegevensbescherming (FG) een beschermd beroep maken, compleet met kwalificatie-eisen en tuchtrecht (peer review). #AVG#privacy
14/ Hoe beter het in de tweede lijn (privacy officers, juristen, etc) en derde lijn (FG, audit) is geregeld, hoe minder de vierde lijn (AP) te doen heeft. Althans, zo zou het moeten werken in complianceland. #AVG#privacy
• • •
Missing some Tweet in this thread? You can try to
force a refresh
ICT is onveilig. Onze eerste reactie is nog steeds om regels te maken voor het gebruik daarvan. En dus doen we DPIA’s en audits, stellen we CISO’s, privacy officers en FG’s aan, en introduceren we documentatie- en rapportageverplichtingen. fd.nl/ondernemen/138…. @ZelYassini
2/ Maar laten we wel wezen: wie moet hier nu eigenlijk zijn leven beteren? De gebruiker, de IT-er, of de developer? Wie het ook is, laten we in ieder geval alsjeblieft ophouden met dit soort flauwekul als het voorstel van @ZelYassini.
3/ Ooit moest er voor elke auto een man met een rode vlag lopen (verantwoordelijkheid van de gebruiker), maar auto’s werden pas echt interessant toen de fabrikanten verplicht werden om er remmen en gordels in te bouwen.
Time is a serious operational problem for #GDPR enforcement. Today, the Dutch DPA issued a fining report of 58 pages. Last week the Spanish AEPD needed 184 pages! It takes time to draft these reports, as each one is unique. Not counting the time spent on the investigation.
2/ Data Protection Authorities are not in the business of writing books. They are in the business of enforcing the #GDPR. But if GDPR enforcement requires decisions of the volume of books, such enforcement can never be systematic or high-volume (like traffic fines).
3/ Ergo, the DPA-model, which dates back from the ‘70’s/80’s, when data processing operations were limited and easy to oversee/investigate, is not sustainable in our information society. Resources are limited by default, and selective enforcement violates the equality principle.
De voorbeelden van de @Consumentenbond lijken eerder een overtreding van de #AVG. Bij kinderen legt de AVG de lat voor het gerechtvaardigd belang hoger. Hoe jonger het kind, hoe hoger de lat. En dus is gericht monitoren van het online klikgedrag van kinderen al snel uit den boze.
2/ Er is in Brussel uitgebreid gesproken over de bescherming van kinderen. Kinderen worden door de #AVG gezien als kwetsbare groep. En hoewel er maar weinig specifieke regels zijn voor kinderen, zijn er veel meer regels over verwerking van data over kwetsbare groepen, zoals ...
3/ Naast art. 6.1.f en 8, art. 12 (begrijpelijkheid van communicatie), art. 22 (profiling met significante effecten), art. 25 (privacy by design), en art. 35 (DPIAs). Je moet non-compliance niet verwarren met slechte bescherming.
1/ Uitstekende column van @TijmenWisman.
Met kanttekening dat NL er juist voor heeft geijverd om de volledige doorbreking van de doelbinding zoals voorgesteld door de EurCie in art. 6.4 #AVG af te zwakken naar de regeling die we al kenden in art. 9(2) Wbp. bijvoorbaatverdacht.nl/het-dreigende-…
2/ In het oorspronkelijke voorstel (2012) stond in art. 6.4 #AVG dat IEDER nevengebruik van gegevens was toegestaan, zolang er maar een nieuwe grondslag was. NL heeft er voor geijverd om dit in lijn te brengen met het advies WP 203 van de Art. 29 Werkgroep (en art. 9 lid 2 Wbp)
3/ Nevengebruik mag ex art. 6.4 #AVG maar in 3 gevallen: 1. Wettelijk verplichting (mits binnen grenzen art. 8 EVRM en art. 52 Handvest). 2. Restrictieve belangenafweging, waarbij de contextuele integriteit en de waarborgen voorop staan, of 3. Toestemming van de betrokkene.
Voor de duidelijkheid: je kan niet kiezen of de #AVG van toepassing is of niet. Dat volgt uit de feiten. Het wetsvoorstel verbiedt impliciet al ‘herleidbaarheid’. En dus zijn de gegevens in de backend van de #CoronaMelder app geen persoonsgegevens en is de AVG dus nu al nvt. 1/x
Mijn advies in de second opinion is om dat explicieter in het wetsvoorstel op te schrijven, zodat alle twijfel over de vraag of de #AVG van toepassing is of niet wordt weggenomen. 2/x
Verder is het natuurlijk niet zo dat #privacy en informatiebeveiliging in en om de #CoronaMelder app alleen maar kunnen worden gewaarborgd als de #AVG van toepassing is. Dat dat kan worden bereikt zonder de AVG hebben de bouwers wel laten zien. 3/x
Bij het begin beginnen: 1) Waarom is de AVG hierop überhaupt van toepassing? Data van EU burgers harvesten in de VS triggert de AVG niet. Dan ook geen rep in Hamburg nodig. 2) Hoezo PrivacyShield? Er worden zo te zien geen data geëxporteerd. #AVG#privacy@RKain@Jan_Middendorp
3) LinkedIn laat gebruikers bepaalde data, zoals telefoonnummer, afschermen (raadpleging én/of download). Als dit goed werkt, zie ik het door @trouw geschetste probleem niet. Als dit niet goed werkt, heeft LinkedIn een datalek.
4) NL bedrijven die persoonsgegevens kopen die op deze manier zijn verzameld, hebben in ieder geval met de #AVG te maken, dus ook met de informatieplicht ex art. 14 AVG.