Privacy  

Advies RvS 16 augustus 2013, Wijziging van de Wet bescherming persoonsgegevens en de Telecommunicatiewet in verband met de invoering van een meldplicht bij de doorbreking van maatregelen voor de beveiliging van persoonsgegevens (meldplicht datalekken), Kamerstukken II 2012/13, 33 662 nr. 4.
Zie eerder IT 1202. Zie ook Koninklijke Boodschap, Voorstel van Wet en Memorie van Toelichting. Hieronder zijn opgenomen het advies van de Afdeling advisering van de Raad van State d.d. 14 september 2012 en het nader rapport d.d. 12 juni 2013, aangeboden aan de Koning door de staatssecretaris van Veiligheid en Justitie, mede namens de minister van Binnenlandse Zaken en Koninkrijksrelaties en de minister van Economische Zaken. Het advies van de Afdeling advisering van de Raad van State is cursief afgedrukt.

Inhoud:
1. Splitsing
2. Verruiming gebruik camerabeelden strafbare feiten
3. Meldplicht datalekken

Lees verder

CBP, Brief aan minister van Binnenlandse zaken inzake nadere uitwerking basisregistratie personen, z2013-00339, CBPweb.nl
Op verzoek van de minister van Binnenlandse Zaken en Koninkrijksrelaties heeft het College bescherming persoonsgegevens (CBP) geadviseerd over het ontwerpbesluit basisregistratie personen (BRP). Dit ontwerpbesluit bevat de nadere uitwerking van bepalingen uit de Wet BRP. Het CBP adviseert het ontwerpbesluit op een aantal punten aan te passen.

SILA
Een van die nadere uitwerkingen is de opname van een lijst van derden (niet-overheidsorganen) die werkzaamheden verrichten met een gewichtig maatschappelijk belang en die daarom systematisch gegevens uit de basisregistratie verstrekt krijgen. De Stichting Interkerkelijke Ledenadministratie (SILA) wordt hierbij als derde genoemd. Het CBP vraagt zich echter af of het bijhouden van een kerkelijke ledenadministratie onder de definitie van ‘gewichtig maatschappelijk belang’ valt zoals geformuleerd in de Wet BRP. Het CBP acht de opname van SILA als derde onvoldoende onderbouwd en adviseert deze nader te motiveren. Verder wil het CBP benadrukken dat het enkele feit dat iemand een SILA-afnemersindicatie achter zijn of haar naam heeft staan in de basisregistratie prijsgeeft dat deze persoon lid is van een kerkgenootschap. Daarmee is er sprake van het verwerken van bijzondere persoonsgegevens en dit behoeft daarom een nadere motivering.

BSN en derden
Het CBP had in zijn eerdere advies over de Wet BRP al gewezen op de te algemene formulering van het artikel in deze wet dat de verwerking van het burgerservicenummer (BSN) door niet-overheidsorganen regelt. Hoewel het artikel is aangepast, kan dit toch nog tot  interpretatieverschillen leiden. Het artikel behoeft derhalve nog een nadere verduidelijking. Het CBP benadrukt hierbij dat het verwerken van het BSN door niet-overheidsorganen een bedreiging voor de persoonlijke levenssfeer kan vormen.

Achtergrond brp en Wet BRP
De basisregistratie personen (brp) is de toekomstige opvolger van de gemeentelijke basisadministratie persoonsgegevens (GBA). De Wet GBA wordt daartoe vervangen door de Wet BRP. Het wetsvoorstel BRP is op 2 juli 2013 aangenomen door de Eerste Kamer (Kamerstukken 33 219).

CBP, Brief aan minister van Binnenlandse zaken inzake sluiten dossier vingerafdrukken, z2013-00122, CBPweb.nl.
Het College bescherming persoonsgegevens (CBP) heeft u bij brief van 26 maart 2013 verzocht om inlichtingen betreffende de verwerking van vingerafdrukken in de reisdocumentenadministraties van gemeenten.

Dit verzoek heeft betrekking op de vraag of de vingerafdrukken die worden of zijn afgenomen bij het indienen van een aanvraag voor een reisdocument, niet langer in de reisdocumentenadministraties van gemeenten worden bewaard dan noodzakelijk conform artikel 10, eerste lid, Wet bescherming persoonsgegevens (Wbp) j° artikel 72, vijfde lid, Paspoortuitvoeringsregeling Nederland 2001 (PUN) en artikel III Regeling van de Minister van Binnenlandse Zaken en Koninkrijksrelaties van 14 juni 2011, nr. CZW/WBI 2011-2000223491 (hierna: de Regeling). Bij brief van 8 april 2013 heeft u op dit verzoek gereageerd. Het CBP heeft u bij brief van 2 mei 2013 om nadere inlichtingen verzocht. U heeft deze  inlichtingen bij brief van 15 mei 2013 verstrekt.

Oordeel CBP
In uw voornoemde reacties op de inlichtingenverzoeken alsmede in uw brief van 21 december  2012 aan de burgemeester2 heeft u aangegeven dat er updates zijn geïnstalleerd op de programmatuur van de reisdocumentenadministraties van alle gemeenten ter verwijdering van de vingerafdrukken. Tevens heeft u aangegeven dat de back-uptapes en apparatuur met eventuele restsporen van vingerafdrukken dit jaar zullen worden vervangen. U heeft toegezegd het CBP hiervan op de hoogte te houden.

Deze door u gegeven informatie geeft het CBP geen aanleiding om te veronderstellen dat de vingerafdrukken in de reisdocumentenadministraties van gemeenten langer worden bewaard dan noodzakelijk als bedoeld in de eerdergenoemde artikelen 10, eerste lid, Wbp j° 72, vijfde lid, PUN en III van de Regeling. Het CBP zal het dossier daarom sluiten. Nieuwe informatie over de verwerking van vingerafdrukken kan ertoe leiden dat het CBP nadere inlichtingen bij u opvraagt of een onderzoek opent.

Openbaarmaking
Het CBP is voornemens om deze brief openbaar te maken. U kunt tot 17 juni 2013 schriftelijk en gemotiveerd aan het CBP mededelen of deze brief, en zo ja welke onderdelen daarvan, volgens u vertrouwelijke informatie bevat als bedoeld in artikel 10 Wet openbaarheid van bestuur. Een afschrift van deze en bijgevoegde brief zendt het CBP aan de functionaris voor de gegevensbescherming van uw ministerie.

Verslag van een algemeen overleg over de JBZ-Raad 6 en 7 juni 2013 (overige JBZ-onderwerpen), Kamerstukken II 2012/13, 32 317, nr. 182.
Privacyonderhandelingen. Europol. Dataprotectie. De vaste commissie voor Veiligheid en Justitie, de vaste commissie voor Binnenlandse Zaken en de vaste commissie voor Europese Zaken hebben op 5 juni 2013 overleg gevoerd met Minister Opstelten van Veiligheid en Justitie en Staatssecretaris Teeven van Veiligheid en Justitie over de JBZ-Raad 6 en 7 juni 2013 (overige JBZ-onderwerpen). De volledige agenda is opgenomen aan het einde van het verslag.

Lees verder

Voortgangsoverzicht EU dossiers Veiligheid en Justitie, Bijlage bij Kamerstukken II 2012/13, 32 317, nr. 181.
Strafrecht. Gegevensbescherming en uitwisseling - Informatiesystemen, informatieuitwisseling, cyberbeveiliging, netwerk- en informatiebeveiliging, persoonsgegevens, gegevensbescherming.

Behandeling - TK, EK (2010) - Voorstel voor een richtlijn over aanvallen op informatiesystemen en tot intrekking van Kaderbesluit 2005/222/JBZ van de Raad - COM (2010) 517BNC 1085  - Algemene oriëntatie in JBZ Raad 9-10 juni 2011; er is overeenstemming bereikt tussen Raad en EP over de tekst; plenaire stemming in EP vermoedelijk juli 2013. - Het voorstel strekt tot verbetering van de justitiële samenwerking tussen de lidstaten door onderlinge aanpassing van het strafrecht – via vaststelling van minimumregels – inzake aanvallen op informatiesystemen. De ontwerprichtlijn vervangt het bestaande kaderbesluit van 2005.

Behandeling - Mededeling betreffende samenwerking op het gebied van rechtshandhaving in de EU te versterken: het Europees model voor informatieuitwisseling (EIXM) - COM(2013) 735 BNC 1549 - Voorstel gepubliceerd op 7 december 2012 - Deze mededeling geeft - naast de stand van zaken van de bestaande grensoverschrijdende informatie-uitwisseling tussen rechtshandhavingdiensten in de EU - aanbevelingen voor de lidstaten en Europol.

Behandeling - Mededeling over de strategie inzake cyberbeveiliging van de EU: een open, veilige en beveiligde cyberspace - JOIN(2013)1 BNC 1588 - Voorstel gepubliceerd op 7 februari 2013. Raadsconclusies (11357/13) aangenomen in RAZ 25 juni 2013. - De mededeling voorziet in een strategie om de digitale omgeving in de EU de veiligste in de wereld te maken. Hiertoe beschrijft de mededeling de vereiste maatregelen die hiervoor nodig zijn op basis van een sterke en effectieve bescherming en bevordering van de rechten van de burgers. De raadsconclusies geven weer welke prioriteiten lidstaten zien. De Friends of the Presidency Group on Cyber Issues zal door Litouws VZschap worden voortgezet en de voortgang bewaken van de uitvoering van de strategie en conclusies.

Behandeling - Voorstel voor een richtlijn houdende maatregelen om een hoog niveau van netwerk- en informatiebeveiliging in de Unie te waarborgen - COM(2013) 48 BNC 1587 - Voorstel gepubliceerd op 7 februari 2013. Behandeling in Raadswerkgroep Telecom 11 april en 12 juni, vervolg op 18 juli 2013. - Doel van de voorgestelde richtlijn is het waarborgen van een hoog gemeenschappelijk niveau van netwerk- en informatiebeveiliging (NIB). Dit niveau verschilt momenteel per lidstaat. Dit leidt tot een sterk wisselend niveau van paraatheid bij incidenten en een ongelijk niveau van bescherming van consumenten en bedrijven.

Behandeling - VenJ, TK, EK - Voorstel voor een richtlijn betreffende het gebruik van persoonsgegevens van passagiers voor het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en zware criminaliteit - COM(2011)32 BNC 1149 - Algemene oriëntatie in JBZ-Raad 26-27 april 2012. Juni 2013 door EP terugverwezen naar LIBE. - De richtlijn betreft een EU-systeem voor de uitwisseling van gegevens van vliegtuigpassagiers (PNR). Deze gegevens kunnen gebruikt worden voor het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en zware criminaliteit. Het voorstel betreft vluchten tussen derde landen en één of meer lidstaten van de EU.

Behandeling - PNR EU-Canada overeenkomst - Onderhandelingen gestart in 2011, inmiddels gesloten. In AO 5 juni 2013 behandeld. - Overeenkomst tussen de EU en Canada inzake het gebruik en de doorgifte van persoonsgegevens van passagiers.

Behandeling - VenJ, TK - Mededeling Privacywaarborging in het online tijdperk Een Europees gegevensbeschermingskader voor de 21e eeuw - COM (2012) 9 - Gepubliceerd op 25 januari 2012 - De mededeling vormt onderdeel van een pakket dat strekt tot herziening van de regels voor de bescherming van persoonsgegevens binnen de Europese Unie. Het pakket omvat twee voorstellen (COM (2012) 10 en 11) en een mededeling waarin die voorstellen worden opgevoerd.

Behandeling - VenJ, TK (behandel-voorbehoud is afgerond) - Voorstel voor een richtlijn betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens - COM (2012) 10 BNC 1371 - Behandeling in Raadswerkgroep. Maandelijks ontvangt de TK voortgangrapportage. Het voorstel voor een richtlijn dient ter vervanging van het huidige kaderbesluit 2008/977/JBZ van de Raad van 27 november 2008 en bevat regels voor de bescherming van persoonsgegevens die worden verwerkt ten behoeve van de voorkoming, opsporing en vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en het vrije verkeer van dergelijke gegevens.

Behandeling - VenJ, TK (behandel-voorbehoud is afgerond) - Voorstel voor een verordening betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (algemene verordening gegevensbescherming) - COM (2012) 11 BNC 1372 - Behandeling in Raadswerkgroep. 3-maandelijks ontvangt de TK een voortgangrapportage. Juni 2013 bevindt de Raad zich met de verordening in de Eerste lezing. De Eerste lezing bestaat uit: de Algemene Oriëntatie en het Politiek Akkoord. - De ontwerpverordening stelt nieuwe regels vast met betrekking tot de bescherming van de gegevens van natuurlijke personen en het vrije verkeer van persoonsgegevens. De rechten van betrokkenen worden versterkt, met name met het recht om te worden vergeten en het recht op dataportabiliteit.

Nota naar aanleiding van het verslag Wijziging van de Paspoortwet in verband met onder meer de status van de Nederlandse identiteitskaart, Kamerstukken II, 2012/13, 33440-(R1990) nr. 7
Wijziging van de Paspoortwet in verband met een andere status van de Nederlandse identiteitskaart, het verlengen van de geldigheidsduur van reisdocumenten en Nederlandse identiteitskaarten, een andere grondslag voor de heffing van rechten door burgemeesters en gezaghebbers en het niet langer opslaan van vingerafdrukken in de reisdocumentenadministratie (Wijziging van de Paspoortwet in verband met onder meer de status van de Nederlandse identiteitskaart). Zie eerder IT 975.

Inhoudsopgave:
1. Inleiding
2. Verlenging van de geldigheidsduur van reisdocumenten en van de Nederlandse identiteitskaart
3. Wijziging van de status van de Nederlandse identiteitskaart
4. Het opnemen van een grondslag voor heffing van rechten
5. Opname van vingerafdrukken in de reisdocumentenadministratie
6. Gevolgen van het wetsvoorstel voor de privacy
7. Gevolgen van het wetsvoorstel voor de administratieve lasten

Lees verder

Internetconsultatie Wet melding inbreuken elektronische informatiesystemen
Dit wetsvoorstel introduceert een meldplicht voor ICT-inbreuken. De meldplicht geldt alleen voor aanbieders van producten of diensten waarvan de beschikbaarheid of betrouwbaarheid van vitaal belang is voor de Nederlandse samenleving, en alleen als de inbreuk tot gevolg heeft of kan hebben dat die beschikbaarheid of betrouwbaarheid in belangrijke mate wordt onderbroken. Publicatiedatum 22-07-2013. Einddatum consultatie 17-09-2013.

Zie ook Concept regeling en Ontwerp toelichting

Doel van de regeling
De melding moet worden gedaan aan de Minister van Veiligheid en Justitie. De melding wordt behandeld door het Nationaal Cyber Security Centrum (NCSC), een onderdeel van het ministerie. De meldplicht heeft primair tot doel om het NCSC in staat te stellen om de risico’s van de ICT-inbreuk te kunnen inschatten en de door de inbreuk getroffen aanbieder bij te staan. Het achterliggende belang daarvan is het voorkomen of beperken van maatschappelijke ontwrichting in Nederland. De verstrekte gegevens mogen vervolgens ook worden gebruikt als basis voor advies en informatie aan (o.a.) andere vitale aanbieders en het publiek. Publieksvoorlichting kan bijvoorbeeld inhouden dat wordt gewaarschuwd voor de risico’s van een door internetcriminelen gehanteerde werkwijze of dat wordt gewaarschuwd dat een bepaald product of een bepaalde dienst tot nader order beter niet gebruikt kan worden.

Doelgroepen die door de regeling worden geraakt
Aanbieders van vitale producten of diensten binnen de sectoren elektriciteit, gas, drinkwater, telecom, keren en beheren oppervlaktewater, financiën, overheid en transport, zoals energienetwerkbeheerders, drinkwaterbedrijven, telecombedrijven, beheerders van hoofdwaterkeringen, banken, het Havenbedrijf Rotterdam, de NV Luchthaven Schiphol en Luchtverkeersleiding Nederland. Het gaat om onderdelen van de vitale infrastructuur waarbij een ICT-inbreuk direct of indirect tot maatschappelijke ontwrichting kan leiden. De meldplicht zal niet gelden voor certificaatdienstverleners. Voor hen zal de melding van ICT-inbreuken op andere wijze worden vormgegeven (zie memorie van toelichting, paragraaf 2, Meldplichtige partijen).

Verwachte effecten van de regeling
De meldplicht zal leiden tot een bescheiden stijging van de administratieve lasten voor de bedrijven en andere organisaties die onder het toepassingsbereik vallen. Sommige bedrijven moeten ICT-inbreuken nu al melden aan een toezichthouder. Daarnaast is specifiek voor persoonsgegevens een meldplicht voor datalekken in voorbereiding. Een toename van de administratieve lasten zal zo veel mogelijk worden voorkomen door de wijze waarop moet worden gemeld en de gegevens die dienen te worden verstrekt op elkaar af te stemmen en door processen efficiënt in te richten.

Doel van de consultatie
Gelegenheid bieden voor commentaar.

Op welke onderdelen van de regeling wordt een reactie gevraagd
Op alle onderdelen is een reactie mogelijk.

Publicatie reacties
Reacties worden gepubliceerd nadat de consultatie is gesloten. Alleen die reacties worden gepubliceerd waarvan is aangeven, door de inzender, dat deze openbaar mogen zijn.

CBP, Onderzoek naar de beveiliging van het online aanvragen van herhaalrecepten bij huisarts en apotheek, cbpweb.nl 10 juli 2013.
Online aanvragen voor herhaalrecepten worden vaak over een onbeveiligde verbinding verzonden. Dit concludeert het CBP na een steekproef onder 150 websites van huisartsen en apotheken. Bijna een derde van de sites bleek op dit punt onbeveiligd. Hierdoor kunnen anderen de gevoelige, medische gegevens relatief eenvoudig meelezen, verwijderen of aanpassen. Huisartsen en apothekers die niet zorgen voor een veilige verbinding (bijvoorbeeld te zien aan https) voor de verzending van de aanvragen voor herhaalrecepten, handelen in strijd met de Wet bescherming persoonsgegevens (Wbp).

Er vinden op internet tal van interacties plaats, waarbij persoonsgegevens worden verstrekt. Zo ook bij huisartsen en apothekers die steeds vaker de mogelijkheid bieden om herhaalrecepten online aan te vragen en medicijnen te bestellen. De aanvraagformulieren bevatten gevoelige gegevens, onder meer de benodigde medicatie. Huisartsen en apothekers zijn ervoor verantwoordelijk dat de persoonsgegevens van hun patiënten op een veilige manier worden verstuurd, zodat derden hier geen toegang toe hebben. Hiertoe dienen huisartsen en apothekers het verkeer tussen de browser en de server goed te beveiligen. Het CBP constateert dat dit bij 43 van de 150 onderzochte websites niet het geval is.

Medische gegevens
Medische gegevens zijn per definitie privacygevoelig. De beveiliging van dergelijke gegevens moet dan ook aan de hoogste normen voldoen. Mensen moeten er op kunnen vertrouwen dat met de medische gegevens die zij toevertrouwen aan een zorgverlener zorgvuldig wordt omgegaan. Huisartsen en apothekers hebben de wettelijke verantwoordelijkheid om de persoonlijke levenssfeer van hun patiënten te beschermen. De beveiliging van medische gegevens blijft de komende tijd een speerpunt van het CBP.

Vervolg
In het najaar van 2013 zal het CBP opnieuw onderzoek doen en controleren of huisartsen en apothekers de verbindingen hebben beveiligd. Als dat niet het geval is, zal het CBP in individuele gevallen nader onderzoek doen.

CBP, 'Wijzigingsvoorstellen conceptverordening voor de gegevensbescherming Verbeterde samenwerking privacy toezichthouders, CBPweb.nl 3 juli 2013

Uit de mededeling: Jacob Kohnstamm, voorzitter van de Artikel 29-werkgroep, stelt een wijzigingstekst voor ten aanzien van de hoofdstukken van de conceptverordening waarin de samenwerking tussen de privacytoezichthouders in de Europese Unie wordt behandeld. Om tot een tekst te komen die zowel voor de Artikel 29-werkgroep als voor de Vice-voorzitter van de Europese Commissie acceptabel zou kunnen zijn, zijn er directe informele contacten geweest met het kabinet van Commissaris Reding.

De tekst is gebaseerd op de ideeën van de Artikel 29-werkgroep over de betreffende artikelen, maar houdt ook rekening met de zorgen die de Europese Commissie daarover heeft geuit. Het resultaat is een compromis waarin beide uitgangspunten worden verenigd en die in overeenstemming is met het Europees recht.

De voorzitter van de Artikel 29-werkgroep heeft deze wijzigingsvoorstellen onder de aandacht gebracht van het Europees Parlement en de Raad. Vice-President Reding en haar onderhandelaars hebben zich tegenover Parlement en Raad positief uitgelaten over het compromisvoorstel.

Brief van de minister en van de staatssecretaris betreffende Informatie- en communicatietechnologie (ICT), Kamerstukken II, 2012/13, 26 643, nr. 282.
Het PIA-toetsmodel Rijksdienst zal vanaf 1 september 2013 standaard worden toegepast bij ontwikkeling van nieuwe wetgeving en beleid waarmee de bouw van nieuwe ICT-systemen of de aanleg van grote databestanden wordt voorzien. Hiertoe zal het worden opgenomen in het Integraal Afwegingskader voor beleid en regelgeving en het Handboek Portfoliomanagement. De resultaten van een uitgevoerde PIA zullen telkens – nog in de fase van beleidsontwikkeling – ter beschikking worden gesteld aan de betrokken functionaris(sen) voor de gegevensbescherming en, waar nodig, aan de betrokken Chief Information Officer(s). Waar het gaat om wetgeving zal verslag worden gedaan van de PIA-uitkomsten in de memorie van toelichting.

Lees verder