misbruik data

Het delen van iemands persoonlijke informatie online kan leiden tot gevangenisstraf.

De wetgeving zegt dat doxing op een bedreigende en intimiderende manier moet worden gedaan als een misdrijf dient te worden beschouwd

De wetgeving stelt dat er sprake is van een misdrijf als iemand een drager gebruikt om informatie, waaronder de persoonlijke gegevens van een of meer personen, beschikbaar te stellen, te publiceren of anderszins te verspreiden, en zich op een manier gedraagt ​​die redelijke personen in alle omstandigheden als bedreigend of intimiderend jegens die personen zouden beschouwen.

Een persoon die de wet overtreedt, kan tot twee jaar gevangenisstraf krijgen voor het delict.

Maar er is nog een andere juridische mogelijkheid om een kwaadwillende te vervolgen als je persoonlijke informatie online wordt geplaatst.

Een wettelijke onrechtmatige daad voor ernstige inbreuk, om mensen van wie de integriteit is geschonden, toe te staan ​​civiele stappen te ondernemen tegen de persoon die volgens hen hun integriteit heeft geschonden.

Aan welke vereisten moet worden voldaan voordat een beroep op onrechtmatige daad mogelijk is? 

Art. 6:162 lid 1 > men is verplicht tot het betalen van s.v. indien er schade is ten gevolge van een 

onrechtmatige gedraging van een persoon

-Een onrechtmatige gedraging (uitgewerkt lid 2);

-Die kan worden toegerekend (lid 3);

-Er is schade (6:95, 6:96 en 6:98) -> leerdoel 2;

-Er is een causaal verband tussen de gedraging en de schade (c.s.q.n. & 6:98);

-Er is een relatief verband/doel tussen de geschonden norm en het geschonden belang 

(relativiteitsbeginsel 6:163).

De grondslag van de schadevergoedingsverplichting van 6:162 is de toerekenbare onrechtmatige 

gedraging van een persoon.

Wanneer is sprake van ‘onrechtmatig’ gedrag? -> 6:162 lid 2

-Inbreuk op een recht van iemand anders.

-Een doen of nalaten in strijd met een wettelijke

-Een doen of nalaten in strijd met hetgeen volgens ongeschreven recht in het maatschappelijk verkeer betaamt?

•Deze laatste is met opzet zo ruim geformuleerd, waardoor de rechter in vrijwel alle gevallen waarin iemand naar algemeen gedeeld in zich onbehoorlijk jegens een ander heeft gehandeld, die persoon tot schadevergoeding veroordelen.

Rechtvaardigingsgronden

Laatste zin 6:162 lid 2. Door een rechtvaardigingsgrond verliest een onrechtmatige gedraging zijn onrechtmatige karakter. 

-Overmacht (als noodtoestand)

-Noodweer

-Uitvoering van een wettelijk voorschrift

-Bevoegd gegeven ambtelijk bevel

Een doen of nalaten in strijd met een wettelijke plicht art. 6:162 lid 2

– In beginsel is ieder handelen, doen of nalaten, die in strijd is met een wettelijke plicht, onrechtmatig. 

– Het kan daarbij gaan om verdragen of wetten in formele zin en wetten in materiële zin. 

– Sterkere positie bij schending wettelijke norm die de gelaedeerde beschermt -> als gedaagde aannemelijk kan maken dat er sprake was van een rechtvaardigingsgrond of indien duidelijk wordt dat de norm niet beoogde om het geschonden belang van de gelaedeerde te beschermen (6:163), dan zal hij daarin slagen

– Er hoeft niet worden vastgesteld of de dader bedacht was of behoorde te zijn op de belangen van de benadeelde die de geschonden norm beoogt te beschermen, zoals wel hoort bij ongeschreven zorgvuldigheidsnormen. Wel of niet bedacht, hij is aansprakelijk

data-analyse

Het transformeren van ruwe data in bruikbare inzichten voor geïnformeerde besluitvorming. Het omvat het verzamelen en onderzoeken van data om vragen te beantwoorden, hypothesen te valideren of theorieën te weerleggen.

Voor het verkrijgen van een concurrentievoordeel, de uitdagingen in snel evoluerende markten, economische onvoorspelbaarheid, fluctuerende politieke omgevingen, grillige consumentensentimenten en zelfs een wereldwijde crises. Deze uitdagingen hebben de ruimte voor fouten verkleind. 

Dit houdt in dat waardevolle, bruikbare informatie strategisch wordt verzameld, die wordt gebruikt om processen te verbeteren.

Verzamelen van relevante data uit verschillende bronnen, waarbij de datakwaliteit en -integriteit worden gewaarborgd.

Datareiniging identificeert en corrigeer fouten, ontbrekende waarden en inconsistenties in de dataset. Schone data is cruciaal voor nauwkeurige analyse.

Datatransformatie bereid de data voor op analyse door categorische variabelen te coderen, functies te schalen en outliers te verwerken, indien nodig.

Vertaald de resultaten van het model naar bruikbare inzichten. Visualisaties, tabellen en samenvattende statistieken helpen bij het effectief overbrengen van bevindingen.

Implementeer de inzichten in oplossingen of strategieën in de echte wereld, en zorg ervoor dat de op data gebaseerde aanbevelingen worden geïmplementeerd.

Data-analyse speelt een cruciale rol in de huidige op data gebaseerde wereld. Het helpt de kracht van data te benutten, waardoor beslissingen kunnen nemen, processen kunnen optimaliseren en een concurrentievoordeel kunnen behalen. Door ruwe data om te zetten in zinvolle inzichten, stelt data-analyse ons in staat kansen te identificeren, risico’s te beperken en algehele prestaties te verbeteren.

Data-analyse is het kompas die ons door een zee van informatie leidt. Het stelt ons in staat keuzes te baseren op concreet bewijs in plaats van op intuïtie of giswerk. Wat betekent dat beslissingen waarschijnlijker tot succes leiden, of het nu gaat om het kiezen van de juiste strategie, het optimaliseren van ketens of het lanceren van nieuwe producten. Door data te analyseren, kunnen we de potentiële risico’s en beloningen van verschillende opties beoordelen, wat leidt tot betere keuzes.

Data-analyse biedt een dieper inzicht in processen, gedragingen en trends. Het stelt ons in staat inzicht te krijgen in voorkeuren, dynamiek en efficiëntie.

We kunnen kansen en bedreigingen identificeren door trends, gedrag en prestaties te analyseren. Om strategieën aan te passen om effectief te reageren en de concurrentie een stap voor te blijven. Dit vermogen om zich aan te passen en te innoveren op basis van data-inzichten kan leiden tot een aanzienlijk concurrentievoordeel.

Data-analyse is een waardevol hulpmiddel voor risicobeoordeling en -beheer. Door historische gegevens te analyseren, kunnen we potentiële problemen beoordelen en preventieve maatregelen nemen. Data-analyse detecteert bijvoorbeeld frauduleuze activiteiten door ongebruikelijke transactiepatronen te identificeren. Dit helpt financiële verliezen te minimaliseren en beschermt de reputatie en het vertrouwen.

Data-analyse helpt bij het optimaliseren van de toewijzing van middelen. Of het nu gaat om het toewijzen van budgetten, personeelszaken of productiecapaciteit, datagestuurde inzichten kunnen ervoor zorgen dat middelen efficiënt worden gebruikt.

Data-analyse is een katalysator voor continue verbetering. Het stelt ons in staat om prestatiemetingen te monitoren, voortgang te volgen en gebieden voor verbetering te identificeren. Dit iteratieve proces van het analyseren van data, het implementeren van wijzigingen en het opnieuw analyseren leidt tot voortdurende verfijning en uitmuntendheid in processen en producten.

Beschrijvende analyse omvat het samenvatten en organiseren van data om de huidige situatie te beschrijven. Het gebruikt metingen zoals gemiddelde, mediaan, modus en standaarddeviatie om de belangrijkste kenmerken van een dataset te beschrijven.

Diagnostische analyse gaat verder dan beschrijvende statistieken om te begrijpen waarom iets is gebeurd. Het bekijkt data om de oorzaken van gebeurtenissen te vinden.

Voorspellende analyse gebruikt historische gegevens en statistische technieken om toekomstige resultaten te voorspellen. Vaak zijn er algoritmen voor machinaal leren bij betrokken.

Prescriptieve analyse beveelt acties aan op basis van gegevensanalyse. Het combineert inzichten uit beschrijvende, diagnostische en voorspellende analyses om beslissingsopties voor te stellen.

Kwantitatieve analyse omvat het gebruik van wiskundige en statistische technieken om numerieke gegevens te analyseren.

Kwalitatief onderzoek richt zich op het begrijpen van concepten, gedachten of ervaringen via niet-numerieke gegevens zoals interviews, observaties en teksten.

Tijdreeksanalyse omvat het analyseren van datapunten die op specifieke intervallen zijn verzameld of vastgelegd om trends, cycli en seizoensvariaties te identificeren.

Regressieanalyse beoordeelt de relatie tussen een afhankelijke variabele en een of meer onafhankelijke variabelen.

Clusteranalyse groepeert datapunten in clusters op basis van hun overeenkomsten.

Sentimentanalyse identificeert en categoriseert meningen die in de tekst worden geuit om het sentiment erachter te bepalen (positief, negatief of neutraal).

klacht indienen

Volgens artikel 63(1) van Verordening (EU) 2018/1725 heeft “elke betrokkene het recht een klacht in te dienen bij de Europese Toezichthouder voor gegevensbescherming indien hij of zij van mening is dat de verwerking van hem of haar betreffende persoonsgegevens inbreuk maakt op deze verordening”.

Vertrouwelijkheid in algemene zin verwijst naar de plicht om geen informatie te delen met personen die niet gekwalificeerd zijn om die informatie te ontvangen (zie artikel 5(f) van Verordening (EU) 2016/679 en artikel 4(f) van Verordening (EU) 2018/1725). In meer specifieke zin verwijst het naar de vertrouwelijkheid van communicatie zoals voorzien in artikel 5 van de E-privacyrichtlijn 2009/136/EG en in artikel 36 van Verordening (EU) 2018/1725.

In de terminologie van gegevensbescherming verwijst toestemming naar elke vrijelijk gegeven, specifieke en geïnformeerde indicatie van de wensen van een betrokkene, waarmee hij/zij instemt met de verwerking van persoonsgegevens die op hem/haar betrekking hebben (zie artikel 4 sub 11 van Verordening (EU) 2016/679 en artikel 3 sub 15 van Verordening (EU) 2018/1725).

Toestemming is een belangrijk element in de wetgeving inzake gegevensbescherming, aangezien het een van de voorwaarden is die de verwerking van persoonsgegevens kan legitimeren. Als er een beroep op wordt gedaan, moet de betrokkene ondubbelzinnig zijn/haar toestemming hebben gegeven nt tot een specifieke verwerkingsoperatie, waarvan hij/zij naar behoren op de hoogte moet zijn gesteld. De verkregen toestemming kan alleen worden gebruikt voor de specifieke verwerkingsoperatie waarvoor deze is verzameld, en kan in principe zonder terugwerkende kracht worden ingetrokken.

Overdracht van persoonsgegevens naar een ander land binnen de EU, Noorwegen, IJsland of Liechtenstein (EER)

De AVG zorgt voor uniformiteit van het privacybeleid binnen de EU, waardoor het vrije verkeer van persoonsgegevens binnen de EER (28 EU-lidstaten + Noorwegen, IJsland, Liechtenstein) mogelijk is. Als u samenwerkt of persoonsgegevens wilt uitwisselen met onderzoekers, partners of instellingen die zich in de EU, Noorwegen, IJsland of Liechtenstein bevinden, hebt u alleen een verwerkingsovereenkomst nodig om de toegang, overdracht of uitwisseling van persoonsgegevens correct vast te leggen.

Naast het opstellen van een gegevensverwerkingsovereenkomst moet u altijd de algemene beginselen van de AVG respecteren (inclusief rechtmatigheid, zie hieronder ‘algemene overwegingen’).

Zorg altijd voor een veilige overdracht (versleuteld, etc.).

Er kan slechts één rechtsgrond per gegevensoverdracht zijn (rechtmatigheid).

De rechtsgrond voor gegevensoverdracht moet een van de volgende zijn:

De personen die deelnemen hebben vrijwillig hun expliciete geïnformeerde toestemming gegeven voor de gegevensoverdracht.

De gegevensoverdracht vindt plaats in het algemeen belang, wat betekent dat het leidt tot een toename van kennis, direct of indirect.

De gegevensoverdracht is noodzakelijk voor de legitieme belangen, maar brengt geen grote risico’s met zich mee voor de personen die deelnemen.

De gegevensoverdracht is noodzakelijk voor de uitvoering van een overeenkomst met de persoon van wie de gegevens worden verwerkt (let op: het gaat hier niet om de verwerkersovereenkomst).

De overdracht van persoonsgegevens is noodzakelijk in het kader van een wettelijke verplichting.Klacht indienen.

classificatie

Gegevensclassificatie is een techniek die wordt gebruikt om gegevens te ordenen en te categoriseren in verschillende afzonderlijke klassen of groepen. Deze methoden zijn essentieel voor talloze toepassingen, zoals gegevensanalyse en machine leren, evenals gegevensbeveiliging, gegevensbeheer en naleving van regelgeving.

Gegevensclassificatie is het proces van het ordenen en categoriseren van gegevens in verschillende groepen en typen op basis van de inhoud en structuur. Voor het effectiever beheren en beschermen van gegevens, het naleven van beleid en regelgeving, het verbeteren van de beveiliging en het ondersteunen van gegevensanalyse en andere activiteiten.

Het doel van gegevensclassificatie is om ervoor te zorgen dat gegevens op de juiste manier worden beveiligd, dat gegevensnaleving wordt gehandhaafd en dat gegevensbeheer effectief is. Het exacte proces kan variëren op basis van de specifieke behoeften en overwegingen.

Door te identificeren welke gegevens gevoelig of vertrouwelijk zijn, kan men passende beveiligingsmaatregelen nemen om die gegevens beschermen.

Voor de naleving van regelgeving en om aan de wettelijke verplichtingen te voldoen, normen te handhaven met betrekking tot de opslag, verwerking en verzending van bepaalde soorten gegevens. Het verkeerd classificeren van gegevens kan leiden tot non-compliance en hoge boetes.

Weten welke gegevens men heeft en hoe deze zijn geclassificeerd, kan helpen bij het beheren en verminderen van het potentiële risico die gepaard gaat met een datalek.

Door gegevens correct te classificeren, kan ongeautoriseerde toegang tot gevoelige informatie beter voorkomen worden en de privacy van individuen beter beschermt.

Wanneer gegevens correct zijn geclassificeerd, kunnen deze effectiever worden gebruikt voor besluitvorming, analyses en het creëren van strategieën.

Correcte gegevensclassificatie kan helpen bij incidentrespons door potentiële gegevenscompromissen te identificeren in het geval van een inbreuk.

En kan ook leiden tot aanzienlijke kostenbesparingen, zoals het opslaan van minder gevoelige gegevens op goedkopere, laagbeveiligde opslag.

Gegevensclassificatie organiseert gegevens in categorieën op basis van verschillende kenmerken, zoals gevoeligheid, wettelijke vereisten, waarden en meer.

De eerste stap is het definiëren van welke gegevens worden geclassificeerd en de criteria voor de classificatie ervan. Dit kan onder andere het type gegevens, de gevoeligheid of de plek waar de gegevens vandaan komen omvatten.

Nadat de criteria zijn gedefinieerd, moeten labels of tags worden gegenereerd die overeenkomen met de classificatie. Labels kunnen ‘Vertrouwelijk’, ‘Openbaar’, ‘Intern’, enzovoort zijn.

De gegevens worden vervolgens geclassificeerd op basis van de gedefinieerde criteria en labels. Dit kan handmatig worden gedaan, waarbij een gegevenseigenaar labels toewijst aan de datasets, of automatisch, waarbij software of algoritmen worden gebruikt om gegevens te classificeren.

Afhankelijk van de classificatie worden de juiste beveiligingsmaatregelen vervolgens op de gegevens toegepast. Gegevens die als vertrouwelijk zijn geclassificeerd, kunnen bijvoorbeeld worden gecodeerd, met toegang beperkt tot alleen bepaalde personen.

Regelmatige audits moeten worden uitgevoerd om ervoor te zorgen dat de classificaties nauwkeurig zijn en dat beveiligingsmaatregelen werken zoals bedoeld. Aanpassingen moeten indien nodig worden gemaakt, met name wanneer nieuwe typen gegevens worden geïntroduceerd of wanneer de gevoeligheid van gegevens verandert.

Het vergroten van het bewustzijn van het personeel over het belang van dataclassificatie en het trainen om verschillende soorten data te verwerken, is ook essentieel voor de implementatie van dataclassificatie.

Het classificatieschema moet voortdurend worden gemonitord en onderhouden om de effectiviteit ervan te garanderen, met name naarmate de behoeften van de organisatie en het datalandschap evolueren.

Taggen ervan met een classificatieniveau op basis van de data-elementen die het bevat. Een document kan bijvoorbeeld worden geclassificeerd als ‘Vertrouwelijk’ als het gevoelige gegevens bevat, zoals creditcardnummers of persoonlijk identificeerbare informatie (PII).

Deze aanpak classificeert gegevens op basis van de elementen rondom de gegevens, ook wel metagegevens genoemd. Dit kan de applicatie omvatten die de data heeft gecreëerd, waar de data zich bevindt, wanneer de data is gecreëerd, wie de data bezit, etc. Bijvoorbeeld het classificeren van e-mails op basis van onderwerpregels, afzender- en ontvangeradressen.

Classificatie afhankelijk van de gebruiker die de data creëert of verwerkt om de data handmatig te classificeren. Deze classificatie is afhankelijk nt op de kennis en discretie van de gebruiker. Een documentmaker classificeert bijvoorbeeld een bestand als “Intern” op basis van de informatie die het bevat.

Openbaar: Dit zijn gegevens die bedoeld zijn voor openbaar gebruik. Het omvat marketingmateriaal, bedrijfswebsites en andere openbare documenten die geen risico vormen als ze worden geopend, verkeerd worden behandeld of openbaar worden gemaakt.

Gegevens die bedoeld zijn om binnen de organisatie te blijven, maar niet vertrouwelijk zijn. Voorbeelden hiervan zijn interne nieuwsbrieven, e-mailberichten en interne bedrijfsbeleidsregels. Verlies van interne gegevens kan kleine ongemakken veroorzaken, maar is in de meeste gevallen niet schadelijk.

Gevoelige gegevens die, als ze openbaar worden gemaakt, ernstige gevolgen kunnen hebben. Het omvat bedrijfsgeheimen, intellectueel eigendom of bepaalde soorten werknemers- of klantgegevens. Toegang tot vertrouwelijke gegevens is doorgaans beperkt tot specifieke personen.

De meest gevoelige gegevens waarvoor wettelijke verplichtingen gelden voor de bescherming ervan. Creditcardnummers, persoonlijk identificeerbare informatie (PII) en beschermde gezondheidsinformatie (PHI) worden bijvoorbeeld allemaal geclassificeerd als beperkt. Ongeautoriseerde openbaarmaking van deze gegevens kan leiden tot ernstige juridische en financiële gevolgen.

Gegevensgevoeligheidsniveaus verwijzen naar de mate van risico die kan ontstaan ​​als de gegevens worden gecompromitteerd. Er zijn doorgaans drie niveaus: hoog, gemiddeld en laag.

Gegevens met hoge gevoeligheid: dit omvat gegevens waarvan de ongeoorloofde openbaarmaking ernstige nadelige gevolgen kan hebben voor een organisatie of personen. Voorbeelden hiervan zijn geclassificeerde informatie, handelsgeheimen, persoonlijk identificeerbare informatie (PII), creditcardgegevens en medische dossiers.

Gegevens met gemiddelde gevoeligheid: deze gegevens zijn minder gevoelig, maar kunnen nog steeds een aanzienlijke impact hebben als ze worden vrijgegeven of gewijzigd. Voorbeelden hiervan zijn interne communicatie, niet-vertrouwelijke bedrijfsdocumenten en persoonlijke e-mails.

Gegevens met lage gevoeligheid: dit omvat informatie die openbaar kan worden gemaakt zonder enig risico voor de organisatie of personen. Het kan bestaan ​​uit reeds openbaar beschikbare gegevens of niet-gevoelige en niet-vertrouwelijke gegevens, zoals de openbaar beschikbare rapporten van een bedrijf, openbare website-inhoud en persberichten.

Handmatige classificatie hierbij wijst de gegevenseigenaar of een geautoriseerde gebruiker de gegevens handmatig een label toe dat de classificatie ervan aangeeft. Deze methode kan nauwkeurig zijn, maar is arbeidsintensief en tijdrovend.

Geautomatiseerde classificatie bij geautomatiseerde classificatie analyseren softwaretechnologieën gegevens en wijzen ze classificatie toe op basis van vooraf bepaalde regels en beleidsregels. Deze methode is sneller en minder arbeidsintensief, maar is mogelijk niet zo nauwkeurig bij complexe datasets.

Gebruikersgestuurde of gebruikersondersteunde classificatie: dit is een combinatie van handmatige en geautomatiseerde classificatie. Gebruikers wijzen labels toe aan een subset van gegevens en machine learning-algoritmen extrapoleren hiervan om de rest van de gegevens te classificeren.

Op inhoud gebaseerde classificatie deze methode classificeert gegevens op basis van de inhoud binnen het gegevensobject. Bijvoorbeeld, een document met gevoelige creditcardgegevens zou worden geclassificeerd als vertrouwelijk.

Contextgebaseerde classificatie deze methode classificeert gegevens op basis van factoren rondom de gegevens, zoals de maker, het tijdstip van creatie, de gebruikte applicatie of de locatie van de gegevens.

Machine Learning-classificatie bij deze methode worden algoritmen getraind om patronen en kenmerken te herkennen, die worden gebruikt om nieuwe of bestaande gegevens te classificeren. Deze methode kan grote hoeveelheden gegevens verwerken en de nauwkeurigheid in de loop van de tijd verbeteren.

Algemene verordening gegevensbescherming (AVG) is de verordening van de Europese Unie voor gegevensbescherming en privacy. Het stelt strenge richtlijnen vast voor het verzamelen, opslaan en verwerken van gegevens voor EU-ingezetenen en vereist het categoriseren van persoonlijke gegevens op basis van gevoeligheid en het bijbehorende risico.

Payment Card Industry Data Security Standard (PCI-DSS) is van toepassing op elke organisatie die creditcardtransacties verwerkt. Het bepaalt manieren om kaarthoudergegevens te beveiligen tijdens en na een financiële transactie. Het vereist dat organisaties kaarthoudergegevens beschermen en controleren.

Health Insurance Portability and Accountability Act (HIPAA) is van toepassing op zorgverleners, zorgverzekeraars en bedrijven die medische dossiers verwerken en opslaan. Het vereist de bescherming van persoonlijk identificeerbare e-informatie en andere medische gegevens.

California Consumer Privacy Act (CCPA) en Virginia Consumer Data Protection Act (VCDPA) zijn wetten en regels op staatsniveau die de privacyrechten van consumenten afdwingen en vereisen dat bedrijven die persoonlijke gegevens van staatsburgers verwerken, privacyprocedures en -beschermingen volgen.

ISO/IEC 27001 internationale norm specificeert de vereisten voor een informatiebeveiligingsbeheersysteem (ISMS) en bevat bepalingen voor het omgaan met gevoelige gegevens.

Sarbanes-Oxley Act (SOX) stelt strenge eisen aan bedrijven die in de VS zijn genoteerd om ervoor te zorgen dat ze financiële en boekhoudkundige gegevens nauwkeurig beheren.

Door gevoelige gegevens te identificeren en classificeren, kunnen organisaties passende beveiligingsmaatregelen implementeren, zoals encryptie en toegangscontrole, om ongeautoriseerde toegang te voorkomen en te beschermen tegen datalekken.

Gegevensclassificatie helpt organisaties te voldoen aan verschillende voorschriften en wetten voor gegevensbescherming, zoals AVG, HIPAA en CCPA, door ervoor te zorgen dat de juiste bescherming is ingesteld voor gevoelige en persoonlijke gegevens.

Georganiseerde gegevens kunnen efficiënter worden opgehaald, waardoor het gemakkelijker wordt om specifieke informatie te vinden en snellere besluitvorming mogelijk wordt.

Het bevordert het begrip van de waarde en gevoeligheid van gegevens onder werknemers, waardoor goede gegevensverwerkingspraktijken worden bevorderd.

Het verwijderen van onnodige gegevens kan helpen onnodige kosten van opslag, datalekken en boetes voor niet-naleving te voorkomen.

Het verbetert het begrip van hoe gegevens gedurende de levenscyclus moeten worden behandeld. Van creatie en opslag tot distributie en verwijdering.

Classificatie zorgt ervoor dat gegevens up-to-date, relevant en nauwkeurig zijn, wat na verloop van tijd leidt tot een verbeterde gegevenskwaliteit.

bezorgd!

Moeten we bezorgd zijn over onze privacy?

GDPR-naleving is een must voor vrijwel elk bedrijf dat gegevens van EU-ingezetenen verwerkt.

De Algemene Verordening Gegevensbescherming (AVG) is bedoeld om de privacy van EU-ingezetenen te beschermen. De verordening is van toepassing op bedrijven die persoonlijke gegevens verwerken van zelfs al is het maar één klant die in Europa woont. Bedrijven die de verordening overtreden, riskeren boetes tot € 20 miljoen of 4% van de jaarlijkse wereldwijde omzet, afhankelijk van wat het hoogst is.

1. U heeft als EU-inwoner het recht om te weten wat er met u gegevens wordt gedaan.

De AVG legt duidelijk vast welke informatie gegevensbeheerders en gegevensverwerkers verplicht zijn te verstrekken op verzoek:

Wie bent u?

Waarom heeft u mijn gegevens?

Waar heeft u ze vandaan?

Hoe lang heeft u ze?

Hoe en waar worden ze verwerkt?

2. Stilte en inactiviteit zijn geen tekenen meer van toestemming voor het verwerken van persoonlijke gegevens

Onder de AVG moet toestemming vrijelijk worden gegeven en specifiek zijn voor elke verwerkingsactiviteit. Het moet een verklaring zijn van duidelijke permissieve actie.

3. Gevoelige persoonlijke informatie moet zorgvuldiger worden behandeld

Volgens de AVG is deze informatie extra gevoelig en mag deze niet vrij worden gebruikt, gedeeld en verwerkt zonder expliciete toestemming van de betrokkene:

Religieuze of filosofische overtuigingen.

Fysieke en mentale gezondheid.

Gegevens over seksleven.

Ras of etnische afkomst.

Vakbondslidmaatschap.

Politieke opvattingen.

Biometrische en genetische gegevens.

3. De termijn voor melding van een datalek is 72 uur

Zo moeten gebruikers binnen 72 uur op de hoogte worden gesteld van elk type datalek. Betrokkenen moeten rechtstreeks geïnformeerd worden als het resultaat van het lek hen aanzienlijke schade kan berokkenen (bijv. openbaarmaking van hun bankrekeninggegevens of gevoelige gegevens met betrekking tot hun kinderen).

4. Recht om vergeten te worden: u moet uit alle back-ups kunnen verdwijnen

De gebruiker kan op elk moment verzoeken om zijn of haar informatie te verwijderen. U moet alle records met persoonlijke gegevens verwijderen en deze nooit meer gebruiken. Dit omvat databaserecords, back-upkopieën, bestanden en alle kopieën die mogelijk naar een archief zijn verplaatst.

Volgens de wet is er minder dan een maand de tijd om dit te doen.

5. U heeft het recht om de gegevens naar een ander verwerkingssysteem over te dragen

Met andere woorden, u als betrokkene heeft het recht om je gegevens naar een concurrent over te dragen. Dit recht geeft individuen meer macht om over te stappen naar een andere gegevensbeheerder/verwerker.

1. IS ER OVERWOGEN OF ECHT ALLE GEGEVENS NODIG ZIJN

Controleer wat voor soort persoonlijke gegevens er over u zijn opgeslagen. Zijn deze gegevens echt nodig? De beste manier voor een privacybewuste toekomst is om alleen het absolute minimum aan persoonlijke gegevens te verzamelen.

2. VERSLEUTEL ALLE PERSOONLIJKE GEGEVENS

Versleuteling versleutelt gegevens op een manier die ze onbegrijpelijk maakt voor degenen die niet over de decoderingssleutels beschikken. Het woord “versleuteling” wordt slechts 4 keer genoemd in de GDPR-tekst:

“…maatregelen implementeren om die risico’s te beperken, zoals versleuteling.” (P51. (83))

“…passende waarborgen, waaronder encryptie” (P121 (4.e))

“…waaronder onder meer, indien van toepassing: (a) de pseudonimisering en encryptie van persoonsgegevens.” (P160 (1a))

“…onbegrijpelijk voor iedereen die niet bevoegd is om er toegang toe te krijgen, zoals encryptie” (P163 (3a))

Maar wat als er een ​​legitieme reden is, zoals kostenefficiëntie of prestatieverlies, dat encryptie niet gebruikt kan worden als onderdeel van gegevensbeschermingsbeleid?

In zo’n geval moet er ofwel voldoende bewijs verzamelen zijn om de beweringen te staven of alternatieve methoden gebruikt zijn, zoals pseudonimisering.

3. BESCHOUW HTTPS ALS EEN ESSENTIEEL ONDERDEEL VAN UW AANVRAAG

“Contactformulieren” bevatten vaak persoonlijke gegevens zoals e-mails, telefoonnummers of huisadressen. Als deze informatie wordt opgeslagen en verstuurd als platte tekst, wordt de deur geopend voor hackers en kwaadwillende.

Is er encryptie gebruikt voor de “contactformulieren”. Informeer hoe u gegevens worden opgeslagen en voor hoe lang.

Controleer of HTTPS is gebruikt, een veilige versie van het HTTP-communicatieprotocol.

Het versleutelt alle gegevens die tussen u en een server worden verzonden met behulp van de SSL/TLS-cryptografische protocollen. Wanneer een gebruiker een HTTPS-verbinding aanvraagt, wordt er een SSL-certificaat naar hem/haar verzonden, dat de sleutel bevat die nodig is om de beveiligde verbinding te starten.

Daarom is het belangrijk om een ​​SSL-certificaat van een betrouwbare certificeringsinstantie te ontvangen en dat deze correct geïnstalleerd is. En het certificaat niet vatbaar is voor de kwetsbaarheden van het protocol.

4. ZIJN TOESTEMMINGSFORMULIEREN OP ORDE

Vergeet alle vooraf aangevinkte vakjes. Men kan niet langer wegkomen met impliciete, opt-out toestemming. De AVG vereist “een verklaring van duidelijke bevestigende actie” of “een vrijelijk gegeven, specifieke, geïnformeerde en ondubbelzinnige toestemming van de gebruiker”.

Toestemmingsformulieren moeten standaard op “nee” staan ​​of leeg zijn. Op die manier dwingt u gebruikers niet om zich actief af te melden.

5. VRAAG SPECIFIEK NAAR DE DERDE PARTIJEN

Als persoonlijke gegevens wordt doorgegeven aan derden, dan moeten deze geïdentificeerd zijn en benoem worden in de toestemmingsformulieren.

6. ZIJN DE ALGEMENE VOORWAARDENOVEREENKOMST GESCHEIDEN VAN ANDERE TOESTEMMINGSFORMULIEREN

De Algemene Voorwaardenovereenkomst staan apart en heeft geen binding met enige vorm van verwerking van persoonlijke gegevens.

7. ZIJN DE ALGEMENE VOORWAARDENSECTIE ZEER ZICHTBAAR

Onder de AVG mogen de Algemene Voorwaarden niet langer verborgen of begraven zijn in de kleine lettertjes.

U moeten immers erkennen dat u de Algemene Voorwaarden hebt gelezen en ermee akkoord gaat voordat u toegang krijgt.

8. KIJK OF UW TOESTEMMING EENVOUDIG IN TE TREKKEN IS

Vanwege het nieuwe AVG-principe – heeft u het recht om vergeten te worden – en moet u zich op elk moment kunnen afmelden en u toestemming kunnen intrekken.

9. LET OP HET COOKIEBELEID

Het officiële AVG-document vermeldt cookies in de volgende context (overweging 30):

Natuurlijke personen kunnen worden gekoppeld aan online-identificatoren […] zoals internetprotocoladressen, cookie-identificatoren of andere identificatoren […]. Dit kan sporen achterlaten die, met name in combinatie met unieke identificatoren en andere informatie die door de servers wordt ontvangen, kunnen worden gebruikt om profielen van de natuurlijke personen te maken en hen te identificeren.

Simpel gezegd, de cookies waarmee u wordt geïdentificeerd via je apparaten (advertentie-, analyse- en functionele cookies) vallen onder de AVG. Het gebruik van dergelijke cookies moet worden vermeden of er moet een wettelijke basis zijn voor het verzamelen en verwerken van persoonsgegevens:

Wettelijke verplichtingen.

Legitieme belangen (zolang ze geen inbreuk maken op individuele rechten).

Vereisten voor de uitvoering van een contract (d.w.z. het verzamelen van betalingsgegevens van contractanten).

Expliciete toestemming.

Volgens de AVG geeft het voor het eerst bezoeken van een website niet automatisch toestemming voor het verwerken van persoonsgegevens. Het weergeven van berichten als “Als u deze website gebruikt, accepteert u cookies” wordt niet beschouwd als een “vrijwillig gegeven toestemming” (Overweging 42).

Gedetailleerde toestemming is nog steeds van toepassing. Dus als men u gedrag wil volgen en u gegevens voor advertenties worden gebruikt , moet u toestemming geven voor elke activiteit.

Volgens de best practices van de AVG moet men u toestaan ​​u toestemming eenvoudig in te trekken. En de toegang voor gebruikers die hun toestemming onthouden, kunnen niet worden geblokkeerd. En nadat u bent uitgelogd, moeten de cookies en sessies vernietigen zijn/worden.

10. INFORMEER OVER LOGBOEKEN MET U IP-ADRESSEN

Controleer of systeem IP-adressen of locatiegegevens gebruikt zijn bij authenticatie. Als logboeken dergelijke gegevens bevatten, informeer dan naar de manier waarop ze opgeslagen zijn en hoe lang ze bewaard blijven. Vraag om versleuteling van de logs en zorg ervoor dat ze geen bijzonder gevoelige gegevens bevatten, zoals wachtwoorden.

11. ZIJN ALLE PERSOONLIJKE GEGEVENS VERWIJDERD NADAT ZE NAAR BETALINGSGATEWAYS ZIJN DOORGEGEVEN

Het gebruik van betalingsgateways betekent vaak dat er persoonlijke gegevens worden verzameld.

In de meeste gevallen blijven deze gegevens in systemen staan, wat illegaal is volgens de AVG. Een applicatie moet alle persoonlijke gegevens binnen een bepaalde periode verwijderen (bijv. 60 dagen).

12. ZIJN U GEBRUIKERSGEGEVENS VERWIJDERD TOEN U UITGESCHREVEN BENT

Volgens het recht om vergeten te worden van de AVG, ben u als gebruiker vrij om account te laten verwijderen, samen met al u persoonlijke gegevens. De taak van bedrijven is om duidelijk te laten zien dat deze gegevens inderdaad worden verwijderd en ook uit al de back-ups worden gewist.

persoonsgegevens

Verstrekken van persoonsgegevens

Organisaties mogen niet zomaar persoonsgegevens verstrekken (doorgeven) aan andere organisaties of personen. De algemene regel is dat verstrekken van persoonsgegevens alleen mag als dit verenigbaar is met het doel waarvoor de gegevens zijn verzameld. Hiervoor gelden echter strenge eisen, waaraan niet snel zal worden voldaan.

  1. Verstrekking moet verenigbaar zijn met doel
  2. Bepalen of verstrekking verenigbaar is
  3. Verstrekking is verenigbaar
  4. Verstrekking is niet verenigbaar

Verstrekking moet verenigbaar zijn met doel

Wil een organisatie persoonsgegevens verstrekken aan een andere organisatie? Doorgaans zijn de persoonsgegevens niet (mede) met dat doel verzameld. Daarom zal dat vaak niet toegestaan zijn. Er moet immers een duidelijk doel zijn om persoonsgegevens te mogen verzamelen. En mogen de gegevens vervolgens niet voor een ander doel worden verwerkt (verstrekken is een vorm van verwerken). Dat is een van de hoofdregels voor de bescherming van persoonsgegevensen wordt ‘doelbinding’ genoemd.

Deze eis van doelbinding is streng, maar de AVG geeft wel wat ruimte: verdere verwerking van persoonsgegevens is toegestaan als die verwerking verenigbaar is met het oorspronkelijke doel waarvoor de gegevens zijn verzameld. Dat houdt in dat er een concreet, logisch en nauw verband moet zijn tussen het oorspronkelijke doel en de verdere verwerking. En dat de verdere verwerking ook aansluit bij de verwachtingen van de betrokkene(n).

Is er voor de verstrekking van persoonsgegevens aan een andere organisatie geen toestemming gekregen van de betrokkene(n)? En volgt de verstrekking ook niet uit een wettelijke bepaling? Dan mogen de gegevens alleen worden verstrekt als het doel van de verstrekking verenigbaar is met het oorspronkelijke doel waarvoor de gegevens verzameld zijn.

Bepalen of verstrekking verenigbaar is

Bij de vraag of een verstrekking verenigbaar is, spelen verschillende factoren een rol. Bijvoorbeeld:

  • Is er een verband met het doel waarvoor de gegevens zijn verzameld?
  • Binnen welk kader zijn de persoonsgegevens verzameld? Dat wil zeggen: wat is de verhouding tussen de organisatie en de betrokkene(n)?
  • Wat is de aard van de gegevens? Dat wil zeggen: hoe gevoelig zijn de gegevens? Gaat het bijvoorbeeld om bijzondere persoonsgegevens en/of strafrechtelijke persoonsgegevens?
  • Wat zijn de (mogelijke) gevolgen van een verstrekking?
  • Zijn er passende waarborgen, zoals versleuteling of pheudonimisering van de gegevens?
  • Wat zijn de verwachtingen van de betrokkene(n)?

Verstrekking van persoonsgegevens aan een andere organisatie zal hier echter niet snel aan voldoen. Want vaak:

  • staat het doel van de verstrekking of van die andere organisatie juist ver af van het oorspronkelijke doel;
  • kan verstrekking aan een andere organisatie juist wel vergaande gevolgen hebben;
  • kan verstrekking voor de betrokkene(n) verrassend kan zijn. 

Verstrekking is verenigbaar

Is de verstrekking van persoonsgegevens toch verenigbaar? Dan mogen de gegevens verstrekt worden. Als dit op basis van dezelfde grondslag gebeurt als de grondslag op basis waarvan de gegevens verzameld zijn. Dan is er dus geen nieuwe grondslag nodig voor de verstrekking van de gegevens.

Verstrekking is niet verenigbaar

Is de verstrekking van persoonsgegevens niet verenigbaar? Dan mogen de gegevens alleen verstrekken als de betrokkene toestemming geeft om de gegevens (ook) voor de nieuwe doelstelling te verwerken. Of als de wetgever met het oog op specifieke, zwaarwegende belangen bepaald heeft dat de al verzamelde gegevens ook voor andere doeleinden mogen worden gebruikt. 

doxing

Het verzamelen of delen van andermans persoonsgegevens om die persoon te intimideren is sinds 1 januari 2024 strafbaar. Dit wordt ook wel doxing genoemd. De overheid neemt verschillende maatregelen om doxing tegen te gaan.

Persoonlijke informatie delen strafbaar

Vanaf 1 januari 2024 is doxing strafbaar. Doxing komt veel voor en heeft vaak grote impact. Zeker als privégegevens op het internet blijven staan. Slachtoffers kunnen bijvoorbeeld hun werk niet meer normaal doen of voelen zich thuis niet meer veilig. Doxing is vaak gericht tegen journalisten, politici, rechters of hulpverleners. Maar ook andere mensen kunnen ermee te maken krijgen.

Een adres of telefoonnummer delen om iemand bang te maken of lastig te vallen?

Sinds 1 januari 2024 is dat officieel strafbaar.
Deze vorm van criminaliteit noemen we doxing.
Doxing betekent het delen van persoonsgegevens om iemand te intimideren.

Dat komt van dropping docs. Documenten lekken, dus.

Denk aan het delen van een telefoonnummer,  
informatie over iemands werk of een adres.

Hoe doxers aan die gegevens komen?
Bijvoorbeeld via sociale media of online registers.

Veel gegevens zijn vindbaar.

Het doel van het delen?
Iemand lastigvallen of intimideren.

Doxing kan grote gevolgen hebben voor slachtoffers.

Ze voelen zich vaak angstig en onveilig en dat kan lang duren.
Zeker als de gegevens op het internet blijven staan.

Slachtoffers kunnen beroemdheden, politieagenten, hulpverleners, politici…
en journalisten zijn.

Iemand is het dan niet eens met hun mening of wat ze doen…
en verspreidt privé-informatie.

Maar ook andere mensen kunnen ermee te maken krijgen.

Misschien heb je ruzie met iemand en  deelt diegene je adres op het internet?  

Of heb je een boze ex die een intieme foto van jou verspreidt via WhatsApp…
met je telefoonnummer erbij?

Misschien krijg je zo’n bericht wel  eens doorgestuurd van iemand?

Dat mag dus niet.
Sinds 1 januari 2024 kan doxing leiden  tot een gevangenisstraf of een geldboete.

Ben je zelf slachtoffer van doxing, dan  kun je aangifte doen bij de politie.
Die probeert de dader te vinden.

Het helpt om screenshots te maken en tekstberichten en e-mails te bewaren.

Je kunt ook proberen de informatie offline te halen.


Doe dat zelf bij het online platform.

Of vraag hulp bij HelpWanted.
Zoek ook steun bij familie, vrienden of de huisarts.

Weten wat je zelf kunt doen tegen doxing of hoe je een slachtoffer helpt?

Ga naar rijksoverheid.nl/doxing

Maatregelen tegen doxing

Vanaf 1 januari 2024 zijn er meer mogelijkheden om doxing te bestrijden. Zo kunnen:

  • slachtoffers aangifte doen van doxing;
  • daders makkelijker vervolgd en bestraft worden;
  • politie en het Openbaar Ministerie na een aangifte direct een opsporingsonderzoek starten. Eerder kon dit alleen als er ook andere strafbare feiten waren gepleegd, zoals bedreiging;
  • slachtoffers gerichter hulp krijgen bij het verwijderen van gegevens, bijvoorbeeld via HelpWanted of door een bevel van de officier van justitie;
  • platforms makkelijker beoordelen of persoonsgegevens verwijderd moeten worden.

Maximale straf voor doxing

Voor doxing staat maximaal 2 jaar gevangenisstraf of een geldboete van € 22.500. De maximale gevangenisstraf kan met een derde verhoogd worden, als de doxing gericht is tegen personen met een specifiek beroep. Zoals politici, rechters, journalisten of hulpverleners. 

Doxing, ofwel het delen van iemands persoonsgegevens met als doel deze persoon te intimideren. We zien het steeds vaker en in steeds extremere vormen. Tegen politieagenten, journalisten, hulpverleners, politici. De mensen die dagelijks strijden voor onze veiligheid en onze rechtsstaat kunnen hierdoor niet meer onbezorgd hun mening verkondigen, of zijn niet meer in staat hun werk te doen. Maar ook andere mensen krijgen ermee te maken. Denk bijvoorbeeld aan iemand met een boze ex, die erachter komt dat persoonlijke gegevens online zijn gedeeld om hen angst aan te jagen. Daar mag je niet zomaar mee wegkomen. Daarom is doxing vanaf nu strafbaar.

Wat betekent dit? 

Heel concreet betekent het strafbaar stellen het volgende: als je iemand doxt, bijvoorbeeld om diegene bang te maken, veel last te bezorgen, of moeilijkheden te geven in hun werk, dan kun je daarvoor een gevangenisstraf of een geldboete krijgen.

Doe je dit bij mensen met bepaalde specifieke beroepen, zoals journalisten, advocaten, of politieagenten, dan kan dat ertoe leiden dat je straf zwaarder wordt.

Waarom is deze wet zo belangrijk? 

We leven in een land waarin iedereen het recht heeft om zijn of haar mening te uiten. Als je dat doet en je vrijheden vervolgens worden ingeperkt omdat je gegevens op straat komen te liggen, dan mogen we dat niet accepteren. Veel intimiderend gedrag is al strafbaar, maar het delen van persoonsgegevens was dat niet. Tot nu dus! Met deze nieuwe wet kunnen politie en Openbaar Ministerie eerder en makkelijker optreden tegen doxing.


Als jij gedoxt wordt, bedenk dan dat je er niet alleen voor staat. Zoek hulp en doe in elk geval aangifte bij de politie.

data intelligentie

Het gebruik van data voor Intelligentie , een systeem dat generatieve AI gebruikt om onze ervaringen te verbeteren. Echter hoe kan de privacy behouden worden bij het gebruik van AI-tools, die vaak kunnen leiden tot grotere risico’s voor persoonlijke gegevens. Het gaat om het verwerken van gebruikersgegevens en het vragen om geïnformeerde toestemming. Intelligentie in een breder gesprek over hoe het ware potentieel van persoonlijke AI-agenten kan worden ontsloten.

En hoe we gebruikersgegevens veilig houden bij het gebruik van AI-tools. Indien mogelijk zal de verwerking daarvan gedaan worden op de smartphone zelf worden uitgevoerd in plaats van naar een datacenter te worden gestuurd, waar de kans op een datalek groter is. Voor verzoeken die meer vermogen vereisen, zou een privécloudnetwerk gecreëerd worden voor verwerking buiten smartphone , waar alleen de gebruiker zelf toegang toe tot zou hebben. Een buurt cloud die gegevens in de directe omgeving van de gebruiker verwerkt.

Waarbij verschillende AI-tool kunnen worden ingezet zoals OpenAI, dat complexere verzoeken kan verwerken. Gebruikers moeten echter expliciet toestemming geven voor het gebruik van OpenAI, wat betekent dat ze volledig op de hoogte zijn van wie de antwoorden komen en hoe de gegevens worden verwerkt.

Een opwindende stap voorwaarts in AI voor persoonlijk gebruik en in het garanderen dat AI-tools veilig worden gebruikt. Beperkingen in de manier waarop gegevens momenteel worden opgeslagen, door de meeste systeemhuizen, betekenen echter dat het gebruik geïsoleerd is en beperkt tot een paar veelvoorkomende use cases.

De kracht komt voort uit het gebruik ervan in een persoonlijke context: de tool kan je e-mails en berichten doorneemt en informatie synthetiseert, of zelfs ideeën of content genereert. De gegevens verwerking, is echter beperkt tot de gegevens die op het mobiele apparaat zijn opgeslagen: de AI-agent zou veel krachtiger zijn als deze persoonlijke gegevens uit andere contexten zou kunnen gebruiken, zoals financiële gegevens, medische gegevens of winkelgeschiedenis.

Een mechanisme om extra context te gebruiken om AI-uitvoer te formeren, kan door de query naar een AI-tool als OpenAI te sturen, maar deze tool gebruikt internetkennis die is verzameld door het internet te scrapen en biedt geen manier om geselecteerde persoonlijke gegevens te gebruiken voor extra context. Als gevolg hiervan is de kwaliteit en reikwijdte van de gegevens die worden gebruikt beperkt.

Hoewel een aantal basismechanismen voor toestemming gebruikt worden om OpenAI een verzoek te laten verwerken, kunnen gebruikers alleen in- of uitschrijven voor een dergelijke service: ze kunnen geen gedetailleerde toestemming geven waarin sommige gegevens kunnen worden gebruikt en andere gegevens niet.

De beperkingen in de mogelijkheden van AI-technologie komen niet voort uit de AI-tools zelf, maar uit fundamentele hiaten in de huidige datapraktijken en infrastructuren. Door gegevens te koppelen aan applicaties beperken we onze blik en kunnen we alleen diensten afnemen op basis van de gegevens waarvoor we toestemming hebben gegeven.

In plaats van een AI-agent te creëren die beperkt is tot één tool, en dus beperkt tot een paar diensten, zouden we moeten investeren in interoperabele datawallets. Deze wallets maken het mogelijk om data te hergebruiken op apparaten, applicaties en diensten, en ontsluiten nieuwe waarde voor zowel individuen als organisaties. Met een interoperabele data wallet kan een AI-agent toegang krijgen tot alle data van een gebruiker via een aantal services, en weloverwogen aanbevelingen doen, helpen bij het invullen van formulieren of het delen van vertrouwelijke gegevens met een vertrouwde provider.

De sleutel tot interoperabele data wallets is het standaardiseren van de onderliggende protocollen, datamodellen en interfaces. Solid, een W3C-standaard, kan dit nieuwe dataparadigma mogelijk maken en ondersteunen.

Het Solid-protocol legt al de basis voor interoperabele data wallets en veilig delen van data, en drijft een datamodel aan dat zowel voor organisaties als individuen aantrekkelijk is.

persoonlijke data

Wat zijn gevoelige persoonlijke gegevens?

De AVG (Algemene Verordening Gegevensbescherming) maakt onderscheid tussen ‘persoonsgegevens’ en ‘gevoelige persoonsgegevens’.

Hoe ze verschillen en wat je moet weten over gevoelige gegevens als deze worden verwerkt.

Wat zijn ‘persoonsgegevens’ onder de AVG?

De Verordening definieert ‘persoonsgegevens’ als:

Alle informatie met betrekking tot een geïdentificeerde of identificeerbare natuurlijke persoon (“betrokkene”).

Met andere woorden: alle informatie die duidelijk over een bepaalde persoon gaat.

Afhankelijk van de omstandigheden kan dit alles omvatten, van iemands naam tot zijn fysieke verschijning.

Eerder hebben we meer uitgelegd over persoonlijke gegevens en het belang ervan.

Wat zijn ‘gevoelige persoonsgegevens’?

In de meest basale definitie zijn gevoelige gegevens een specifieke reeks ‘speciale categorieën’:

Genetische gegevens
Politieke meningen
Ras of etnische afkomst
Gegevens over gezondheid
Lidmaatschap van een vakbond
Religieuze of filosofische overtuigingen
Gegevens over seksleven of seksuele geaardheid
Biometrische gegevens (indien verwerkt om iemand uniek te identificereny)

Wanneer mogen gevoelige gegevens worden verwerkty?


Artikel 9 van de AVG verbiedt de verwerking van bijzondere gegevens, tenzij men zich kan beroepen op een vrijstelling.

Net als bij niet-gevoelige persoonsgegevens, zoals namen en adressen, mogen gevoelige gegevens alleen verwerken als men zich daarvoor kan beroepen op een wettelijke grondslag (op grond van artikel 6):

Toestemming
Publieke taak
Vitale belangen
Wettelijke verplichting
Gerechtvaardigde belangen
Contractuele verplichting


De zes rechtsgrondslagen nader toegelicht.

Voor gevoelige gegevens legt de AVG echter extra regels op: er moet een wettelijke grondslag op grond van artikel 9 zijn en deze moet worden gedocumenteerd.

Wat zijn de wettige grondslagen op grond van artikel 9?

Er mag alleen gevoelige informatie worden verwerkt als een uitzondering genoemd onder artikel 9 van toepassing is.

Hieronder hebben we ze opgesomd, waar mogelijk gegroepeerd op relevantie voor de wettelijke grondslagen van artikel 6.

Toestemming

U heeft uitdrukkelijk toestemming gegeven voor de verwerking.


Publieke taak

De verwerking is noodzakelijk voor een ‘wezenlijk’ publiek belang.
De verwerking is noodzakelijk om taken van algemeen belang op het gebied van de volksgezondheid te voltooien, zoals de bescherming tegen ernstige grensoverschrijdende bedreigingen van de gezondheid of het waarborgen van hoge normen voor de kwaliteit en veiligheid van de gezondheidszorg, of van geneesmiddelen of hulpmiddelen.
De verwerking is noodzakelijk voor archiveringsdoeleinden van algemeen belang, wetenschappelijke of historische onderzoeksdoeleinden of statistische doeleinden.


Vitale belangen

De verwerking is noodzakelijk om de vitale belangen van een individu te beschermen.


Wettelijke verplichting

De verwerking is noodzakelijk om verplichtingen uit te voeren of de rechten van de betrokkene uit te oefenen op het gebied van arbeidsrecht, sociale zekerheid en/of sociale bescherming.
De verwerking is noodzakelijk om juridische claims vast te stellen, uit te oefenen of te verdedigen.
Verwerking is noodzakelijk voor een rechtbank om in haar rechterlijke hoedanigheid te kunnen optreden.


Ander

De betrokkene heeft de gegevens ‘kennelijk’ openbaar gemaakt.
De verwerking maakt deel uit van legitieme activiteiten of een non-profitorganisatie met een politiek, filosofisch, religieus of vakbondsdoel.
De verwerking is noodzakelijk voor doeleinden van preventieve of arbeidsgeneeskunde, of een medische diagnose.
De verwerking is noodzakelijk om de arbeidsgeschiktheid van een medewerker te beoordelen.
Verwerking is noodzakelijk om gezondheidszorg- of socialezorgsystemen en -diensten te kunnen leveren.


Daar buiten zijn er in de Europese Unie verdere voorwaarden of beperkingen voor de verwerking van gevoelige gegevens – de bovenstaande lijst weerspiegelt alleen de vereisten van de EU AVG.

cyberverdediging

De NAVO-Bondgenoten zijn overeengekomen een nieuw centrum op te richten om zich beter te kunnen beschermen tegen steeds geavanceerdere cyberdreigingen.

Het NAVO Integrated Cyber ​​Defense Center (NICC) zal de bescherming van NAVO- en bondgenootschappelijke netwerken en het gebruik van cyberspace als operationeel domein verbeteren. Het Centrum zal informeren over mogelijke dreigingen en kwetsbaarheden in cyberspace, inclusief particuliere civiele kritieke infrastructuren die nodig zijn om activiteiten te ondersteunen.

Het Centrum zal civiel en militair personeel uit de hele NAVO-onderneming, de geallieerde landen en deskundigen uit de industrie samenbrengen. Het zal gebruik maken van geavanceerde technologieën om ons situationeel bewustzijn in cyberspace te vergroten en de collectieve veerkracht en defensie te verbeteren.

In overeenstemming met de gedeelde waarden en internationale verplichtingen van de Bondgenoten zal het Centrum een ​​op normen gebaseerde, voorspelbare en veilige benadering van cyberspace bevorderen.

Cyberbedreigingen voor de veiligheid zijn complex, destructief en dwingend, en komen steeds vaker voor. Cyberspace wordt te allen tijde betwist en kwaadaardige cybergebeurtenissen vinden elke dag plaats, van aanvallen op laag niveau tot technologisch geavanceerde aanvallen. Reageren door het vermogen te versterken om kwaadaardige cyberactiviteiten op te sporen, te voorkomen en erop te reageren. Daarbij vertrouwen we op een sterke en veerkrachtige cyberdefensie om de drie kerntaken: afschrikking en verdediging, crisispreventie en -beheersing, en coöperatieve veiligheid. Het moet voorbereid zijn om netwerken en operaties te verdedigen tegen de toenemende verfijning van de cyberdreigingen waarmee het wordt geconfronteerd.

De focus op het gebied van cyberdefensie ligt op het beschermen van netwerken, het opereren in cyberspace, het helpen om veerkracht te vergroten en het bieden van een platform overleg en collectieve actie.

Cyberspace staat voortdurend ter discussie, omdat kwaadaardige actoren steeds vaker proberen landen te destabiliseren door kwaadwillige cyberactiviteiten en -campagnes in te zetten. Potentiële tegenstanders proberen kritieke infrastructuur te degraderen, zich te bemoeien met overheidsdiensten, inlichtingen te verkrijgen, intellectueel eigendom te stelen en activiteiten te belemmeren. Het actief bestrijden van het groeiende aantal substantiële en aanhoudende cyberdreigingen, voor democratische systemen en kritieke infrastructuren.