Privacy & informatie, april 2017

Redactioneel
Mits maar goed geregeld?
Rik Kaspersen

Als u deze regels tot u neemt zijn de Tweede Kamerverkiezingen achter de rug. In de verschillende verkiezingsprogramma’s en kieskompassen trof ik weinig tot geen onderwerpen aan waarbij de bescherming van de persoonlijke levenssfeer als speerpunt van beleid werd uitgedragen. Niet onbegrijpelijk, omdat de kiezer nu eenmaal behaagd dient te worden met aansprekende voorstellen, alternatief van aard of niet. Spindoctors zullen niet snel aanbevelen de privacy tot politiek agendapunt te maken. Toch is er in onze era van internet en big data voldoende reden om zorgen te hebben over de bescherming van onze (informationele) privacy. Met name is dat het geval wanneer de wetgever bepaalde inbreuken op de persoonlijke levenssfeer gerechtvaardigd acht vanwege daar boven te stellen overheidsbelangen. De zich nog steeds verder ontwikkelende digitale wereld, waarvan inmiddels een belangrijk deel van de wereldbevolking deel uitmaakt, kent vele zegeningen maar ook bedreigingen van algemene en individuele waarden. Van de overheid mag worden verwacht dat zij daarop een passend antwoord heeft. Dat passende antwoord kan leiden tot inperking van de privacy. Bij de hierna te bespreken onderwerpen lijkt het leidend adagium te zijn dat het maken van inbreuk kan worden toegestaan, mits maar goed geregeld. Of deze regelgeving en vooral de handhaving ervan toereikend zijn om de effecten van deze inbreuken tot een aanvaardbaar niveau te beperken, is een zaak van permanente aandacht.
 

Het opslaan van gegevens over de zieke werknemer in verzuimsystemen
Mr. dr. I. van der Helm

Voor de verwerking van gegevens bij de ziekteverzuimbegeleiding van werknemers maken ondernemingen in de praktijk gebruik van via internet toegankelijke verzuimsystemen van externe beheerders. In deze systemen worden de gegevens opgeslagen door de werkgever, diens case manager en de bedrijfsarts. Het betreft hierbij vooral bijzondere gegevens over de gezondheid die extra beschermd moeten worden. Daarom is het van belang dat er door de beheerder van het systeem maatregelen worden genomen ten aanzien van de beveiliging van het systeem en gewaarborgd wordt dat alleen die gegevens verwerkt worden door de bevoegden.
In dit artikel wordt ingegaan op de privacywaarborgen die gesteld worden bij het opslaan, raadplegen en verstrekken van gegevens van zieke werknemers in verzuimsystemen. Het gaat er daarbij allereerst om wie als verantwoordelijke voor de gegevensverwerking is aan te merken en wie de bewerker is. Daarbij is van belang wie zorg dient te dragen voor de beveiliging van het systeem en hoe de beveiliging vormgegeven dient te worden. Daarnaast is het de vraag wie toegang mag hebben tot het systeem en wie de gegevens mag verwerken. Hierbij komt aan bod of de Algemene verordening gegevensbescherming (AVG) hierin verandering brengt. Aan het slot volgen enkele conclusies.

Het Europese voorstel voor een e-Privacy- verordening
Mr. M.A.M. Verveld-Suijkerbuijk

Het voorstel voor een verordening op het gebied van privacy en elektronische communicatie bevat nieuwe regels op het gebied van e-privacy. In het voorstel worden persoonlijke communicatiediensten gebonden aan de regels die tot op heden alleen golden voor traditionele elektronische-communicatiediensten. Verder bevat het voorstel aangepaste regels op het gebied van cookies, vertrouwelijkheid van communicatie en direct marketing. Het doel van de Europese Commissie is om de verordening per 25 mei 2018 (tegelijk met de Algemene verordening gegevensbescherming) van toepassing te laten zijn.
 
Mijlpaal; wijdverspreid beveiligingsalgoritme gekraakt
J. Jansen MSc, mr. C. Ebbers

Op 24 februari 2017 stond het volgende bericht op de website van Security Management:
‘Succesvolle aanval op veelgebruikt hash-algoritme, Nederlander breekt door beveiliging internet.’
De impact van een dergelijk bericht is voor een leek niet in te schatten. Is dit acuut en is dit erg? Heeft deze kraak bijvoorbeeld invloed op het streven van de overheid om dienstverlening steeds meer digitaal te laten verlopen, op internetbankieren of op de ontwikkeling van Idensys, de vervanger van DigiD? Als de beveiliging van een door de overheid verplicht voorgeschreven digitale identiteit niet op orde is, is het drama niet te overzien.
Ik leg de vraag voor aan onze tech-redacteur Jelte Jansen: