Data Protection - March 2021

European supervisory authorities 🇫🇷🇪🇸🇮🇹🇳🇱 keep fining organisations for clear GDPR and ePrivacy violations. The current ePrivacy Directive enforceforment keeps clear from one-stop-shop mechanisms under the GDPR. This might change when the final text of the ePrivacy Regulation 🇪🇺 will be adopted.

Data Protection - March 2021

🇪🇺 European developments

EDPB 🇪🇺 raised pre-Trilogue concerns on the ePrivacy Regulation

In  no way the ePrivacy Regulation can be used to de facto change the GDPR.In this regard, the Council’s position is raising a series of concerns and the EDPB wishes to point issues, which should be addressed in the upcoming negotiations.
Statement 03/2021 on the ePrivacy Regulation - European Data Protection Board - European Data Protection Board
Statement 03/2021 on the ePrivacy Regulation

Bavarian SA 🇩🇪 declares transfers to Mailchimp prohibited due to lack of controller’s assessment and supplementary measures

On March 15, 2021, the state Supervisory Authority of Bavaria declared the use of U.S. e-mail marketing service Mailchimp by a fashion magazine (acting as controller) in Bavaria impermissible due to non-compliance with Schrems II mitigation steps in relation to the transfer of e-mail addresses to Mailchimp in the U.S. However, the Bavarian SA decided not to impose a fine for the following reasons:

  • The DPA accepted the controller’s argument that the final version of the draft European Data Protection Board’s recommendations on supplementary measures post Schrems II has not yet been issued;
  • The use of Mailchimp’s services by the company was limited, since the service was only used to send newsletters twice. Therefore, “only a few cases of inadmissible data were transmitted.” In addition, the types of personal data involved (i.e., e-mail addresses) are “still relatively manageable in sensitivity.” Taken together, the “present infringement is still to be classified as minor with regard to its nature and gravity, and in particular only a slight degree of negligence;” and
  • The company cooperated and committed that it will immediately stop using Mailchimp’s services.
Bavarian DPA Declares Transfers to E-mail Marketing Service Prohibited Due to Lack of Controller’s Assessment and Supplementary Measures
On March 15, 2021, the state Data Protection Authority of Bavaria declared the use of U.S. e-mail marketing service Mailchimp by a fashion magazine in Bavaria impermissible due to lack of compliance with Schrems II mitigation steps for the transfer of e-mail addresses to the U.S.

The CNIL's 🇫🇷 cookies transition period has ended: organizations in France must comply with the CNIL’s revised guidelines on cookies and trackers

In order to enable stakeholders to implement the necessary measures to comply with the Revised Guidelines, the CNIL announced in October 2020 a transition period during which the authority stated that it will not enforce the new obligations regarding cookies and other trackers resulting from the Revised Guidelines (i.e., additional data subject information, end of implicit consent, obligation to enable users to refuse cookies “as easily” as it is to consent – i.e., the “refuse all” button, obligation to retain evidence of users’ choices) and Recommendations.

These Guidelines and Recommendations include:

  • Conditions of valid consent: granular per-purpose consent must be collected, which means that a general consent for all cookies is not acceptable, as it does not provide the user with a real specific choice. A consent must be collected for each purpose of cookie and manifested by a clear and positive action of the user
  • Cookie walls: Challengeable when not having buttons or links for “accept all cookies”/ “refuse all cookies” options displayed with the same format, size, and type in the cookie banner. The CNIL provides an example of a cookie banner with similar buttons for “accept all”, “refuse all” and “personalize my choices.” Combined with the first recommendation, "all" presumably refers to a single purpose.
  • A list of cookies and trackers exempt from consent
  • Withdrawal of consent: Users must be able to withdraw consent at any time and easily as providing consent or indicating refusal. Cookie consent configuration from web browsers or operating system is not sufficient
Cybersécurité, données de santé, cookies : les thématiques prioritaires de contrôle en 2021 | CNIL
Au titre de ses missions, et en complément de ses actions d’accompagnement, la CNIL veille au respect des traitements mis en œuvre par les professionnels dans le cadre de l’application du RGPD et de la loi Informatique et Libertés. Elle a ainsi réalisé, pour la seule année 2020, 6 500 actes d’invest…

The AEPD 🇪🇸 imposed a record fine of EUR 8.125m on Vodafone España due to the continuous and numerous violations of several provisions, including Articles 28 and 44 GDPR, the Spanish Information Society Services Act implementing the e-Privacy Directive and the Spanish Telecommunications Act

AEPD - PS/00059/2020 - GDPRhub

The AP 🇳🇱 issues EUR 450K euro fine over late breach reporting

The Dutch Supervisory Authority, Autoriteit Persoonsgegevens, fined 450,000 euros for violations related to a 2018 breach. The AP alleges the reservation service provider did not report a breach involving more than 4,100 customers until 22 days after the incident came to light. The delay fell outside of the 72-hour breach notification requirement. AP Vice President Monique Verdier said breaches can "happen anywhere" despite "good precautions," however,  she added that "you have to report this in time" to protect customers. Some data protection experts are critical on the approach to fine the late reports instead of going after the breaches that haven't been reported at all.

Boete voor te laat melden datalek

The Polish SA 🇵🇱 (Urząd Ochrony Danych Osobowych) fined energy company EUR 30k for failing to report a data breach

UODO - DKN.5131.7.2020 - GDPRhub

District court of Amsterdam 🇳🇱: Uber has a selected duty to provide right of access when firing drivers 'automated'

The court holds there are no decisions based solely on automated processing, therefore Article 22 GDPR does not apply. Uber still has to provide some information about the specific accusations that led to the decision to deactivate the accounts and individual passenger rating, driving behaviour, phone use data during rides, percentage of accepted rides and, if deactivated; the access to data supporting the decision in so far necessary to understand the decision. Uber doesn't have to provide access to to other elements of the driver profile, such as manual notes on driver, tags, reports. With reference to the strict interpretation of Article 22 GDPR in this CoE report by F. Zuiderveen Borgesius. In responce to the verdict R. Mahieu published a Q&A. Side note: the court also published a case regarding the drivers app 'Ola'.

ECLI:NL:RBAMS:2021:1018, Rechtbank Amsterdam, C/13/692003 / HA RK 20-302
ECLI:NL:RBAMS:2021:1020, Rechtbank Amsterdam, C/13/687315 / HA RK 20-207

Regional Court Berlin 🇩🇪 stopped the fine proceeding against the company Deutsche Wohnen SE, which the SA fined €14.5m for violating erasure periods (Article 5(1)(c) and (e) GDPR)

LG Berlin - Deutsche Wohnen SE - GDPRhub

The court also held that the use of Google Analytics results in joint controllership of the website provider using this tool and Google.

LG Rostock - 3 O 762/19 - GDPRhub

CNIL 🇫🇷 investigates Clubhouse for possibly ignoring GDPR at all

France's supervisory authority announced an investigation into Clubhouse's privacy compliance. The CNIL noted its review of GDPR compliance does not fall under the one-stop-shop mechanism because the audio-based social media application has no establishment in the EU.

The investigation must confirm that the GDPR is applicable to the company and determine whether it is being ignored. If it is confirmed that the application published by this company does not comply with the GDPR, the CNIL may, if necessary, use its own repressive powers.
La CNIL ouvre une enquête sur l’application Clubhouse | CNIL
Saisie d’une plainte, la CNIL a interrogé le 12 mars dernier la société américaine Alpha Exploration CO., Inc., éditrice de l’application « Clubhouse », sur les mesures prises pour respecter le RGPD. La CNIL a ainsi ouvert une instruction et effectué des premières vérifications qui révèlent que cett…
OVG Saarlouis - 2 A 355/19 - GDPRhub
The complainant alleged that the dissemination of the images caused him serious harm, since he could be seen kissing a person who was not his couple.
AEPD - PS/00172/2020 - GDPRhub

The AEPD 🇪🇸  held that providing users with only a “generic” means for giving consent breaches Article 7 GDPR and that the website’s cookie policies breached Spanish national law

The privacy policy stated that personal data would only be used for “strictly necessary purposes”, but also that marketing was an object of the processing, without providing an option to reject cookies. The AEPD also held the website breached Article 22(2) of the Law 34/2002 (LSSI), the Spanish law implementing the e-Privacy Directive. For this, Canary Click was fined €8,000, i.e. €2,000 per URL.

AEPD - PS/00385/2020 - GDPRhub

The Garante 🇮🇹 fined the national social security institute EUR 300k for various Covid aid processing violations

The Italian national social security institute (INPS) has provided financial aids to Italian citizens in order to face the Covid crisis. To access this aids, citizens were required to satisfy certain criteria. The INPS, in order to speed up the process to obtain the aid, first assessed the request only on the basis of the documentation provided in the request by the applicant, and just in a second moment, after the dispensing of the aid, carried out a more specific investigation for every applicant.
  • The examination of holders of public offices has been carried out before the excluding them from financial aid. This found to be a violation of the principles of lawfulness, fairness and transparency from Article 5(1)(a) GDPR.
  • The processing was not limited to who received the aid, but included who had already been refused, which was in violation of the principle of adequacy and data minimisation from Article 5(1)(c) GDPR.
  • The fact that tax information has been generated from open data and not obtain by official sources and thus potentially erroneous, was violating the principle of adequacy from Article 5(1)(d) GDPR.
  • The SA also considered that all the previous violations constituted together the violation of privacy by default and by design from Article 25 GDPR and the liability principle of 5(2) GDPR.
  • The SA finally found out that the provision on impact assessment, from Article 35 GDPR was also violated because the existence of a high risk was not adequately weighed, requiring the conduct of a DPIA, and the DPO was not adequately involved.
Garante per la protezione dei dati personali - 9556958 - GDPRhub

The Garante 🇮🇹 fined a local public health body EUR 30k for using an attendance detection system based on biometric data of employees

Garante per la protezione dei dati personali - 9542071 - GDPRhub

The Datatilsynet 🇳🇴 fined a municipality approx. EUR 5k for requiring students to use the fitness app Strava in gym classes

The municipality did not conducted a risk assessment and a DPIA first, and for the lack of security routines, thus breaching Article 32(1)(b) cf. Article 5 GDPR, Article 35 and Article 24(1), respectively.

Datatilsynet - DT-20/02147 - GDPRhub

The AEPD 🇪🇸 fined the owner of a property that he rented out EUR 5k

The defendant had placed a video camera inside the rented property which went beyond filming the entrance as he claimed. This breached Article 5(1)(c) GDPR.

AEPD - PS/00253/2020 - GDPRhub

The Datatilsynet 🇳🇴 fined a company approx. EUR 25k for requiring an employee to forward all emails to a shared inbox, on a continuous basis, despite her objections

Datatilsynet - DT-20/01916 - GDPRhub

The Urząd Ochrony Danych Osobowych 🇵🇱 fined the National School of Judiciary and Public Prosecution approx. EUR 22k for failing to apply security measures and concluding processor clauses

UODO - DKN.5130.2024.2020 - GDPRhub

The Garante fined an outpatient clinic EUR 2k for failing to respond to an access request within the time limits imposed by Article 12(3) GDPR

Garante per la protezione dei dati personali - 9542096 - GDPRhub

Belgian SA 🇧🇪 publishes new data protection toolkit

New practical documents for data controllers, processors and DPOs were prepared, such as simple registry templates of processing activities for controllers and processors

De GBA ontwikkelt nieuwe praktische documenten en tools | Gegevensbeschermingsautoriteit
Elastische website

Guide book by EDRi “Targeted Online” sheds light on opaque data industry and explores how EU law should regulate it

This is the first blog post in a new series dedicated to the EU’s proposed Digital Services Act and Digital Markets Act.
Surveillance-based advertising: An industry broken by design and by default - European Digital Rights (EDRi)
Most online advertising today relies on huge amounts of personal data extracted from people without their knowledge. EDRi’s new guide book “Targeted Online” sheds light on this opaque data industry and explores how EU law should regulate it. This is the first blog post in a new series dedicated to t…

EDRi and Politico on racism in artificial intelligence

Human rights mustn’t come second in the race to innovate, they should rather define innovations that better humanity.
This is the EU’s chance to stop racism in artificial intelligence - European Digital Rights (EDRi)
As the European Commission prepares its legislative proposal on artificial intelligence, human rights groups are watching closely for clear rules to limit discriminatory AI. In practice, this means a ban on biometric mass surveillance practices and red lines (legal limits) to stop harmful uses of AI…
Europe’s artificial intelligence blindspot: Race
Upcoming rules on AI might make Europe’s race issues a tech problem too.

Douwe Korff: inadequacy of the EU Commission’s 🇪🇺 Draft GDPR Adequacy Decision on the UK 🇬🇧

The UK ICO continues to fail to properly enforce the law in the vast majority of cases – even when it itself concludes that the law has been broken.
The elephant in the room: The Draft Decision completely fails to assess (or even note) the UK’s intelligence agencies’ actual surveillance practices.
The inadequacy of the EU Commission’s Draft GDPR Adequacy Decision on the UK
The European Commission published last month its draft decision finding the UK’s data protection regime to be “adequate” in GDPR terms. It would be a serious mistake for the EU Member States (t

Thesis: Between empowerment and manipulation - The ethics and regulation of for-profit health apps

In the digital society, many of our everyday activities take place within digital choice architectures that become increasingly good at understanding and shaping our behavior. Health apps are a perfect example of this trend: they are easy to download and use and promise user empowerment. By collecting and analyzing user data, health apps promise to be able to ‘get to know’ their users and deliver personalized feedback and suggestions for better health outcomes. But this promise of user empowerment also comes with a risk of user manipulation.
Digital Academic Repository - University of Amsterdam

AI story: Nothing Breaks Like A.I. Heart - An essay about artificial intelligence, emotional intelligence, and finding an ending

Nothing Breaks Like A.I. Heart
An essay about artificial intelligence, emotional intelligence, and finding an ending

Technology: Solitude, a privacy analysis tool by NCCgroup

Tool Release – Solitude: A privacy analysis tool
Solitude is an open source privacy analysis tool that enables you to conduct your own privacy investigations into where your private data goes once it leaves your web browser or mobile device.

Article: "I Tried to Use the Ad Tech Industry’s Tool to Opt Out of Personalized Ads. Did It Work?"

I Tried to Use the Ad Tech Industry’s Tool to Opt Out of Personalized Ads. Did It Work? – The Markup
Let’s just say it leaves a lot to be desired

NGOs: “Ban Surveillance Advertising.”

In an open letter posted today, a coalition defines surveillance advertising as “the practice of extensively tracking and profiling individuals and groups, and then microtargeting ads at them based on their behavioral history, relationships, and identity.”

This Group Wants to ‘Ban Surveillance Advertising’
A new front is opening in the fight to reform Facebook and Google—right at the heart of their business model.
Since GDPR came into our lives, we've all had to struggle with obtaining our basic privacy rights. With each cookie banner we have all been honing our skills, learning to navigate ambiguous options and distrust obvious buttons.

Now is your chance to show what you have learnt.
Cookie Consent Speed.Run
Test your GDPR skills by speed running a cookie consent banner

🇳🇱 Nederlandse ontwikkelingen


Rechtbank: Ministerie van Buitenlandse Zaken is met feitelijke invloed en zonder verwerkersbepalingen zelf de verwerkingsverantwoordelijke van een onderzoek ter plaatse

5.3. Naar het oordeel van de rechtbank moet verweerder in dit geval, gelet op het voorgaande, worden aangemerkt als verwerkingsverantwoordelijke. Hoewel verweerder zich op het standpunt heeft gesteld dat de Nederlandse ambassade in Baku in opdracht van de DT&V onderzoek ter plaatse heeft laten verrichten door een vertrouwenspersoon, dat het door de DT&V vastgestelde doel een identiteitsonderzoek was en dat hij slechts als bemiddelaar heeft gefungeerd, heeft hij hiermee niet afdoende (met stukken) onderbouwd dat de doelen en de middelen van de verwerking door verweerder door de DT&V zijn vastgesteld en dat hij zelf geen feitelijke invloed heeft gehad op de verwerking van de persoonsgegevens van eiser. De stellingen van verweerder ter zitting dat een identiteitsonderzoek in opdracht van DT&V altijd wordt uitgevoerd door inschakeling van een vertrouwenspersoon en dat hij slechts een kleine rol heeft bij het doorgeven van een onderzoeksvraag aan een vertrouwenspersoon, doen daaraan – de ruime uitleg van het begrip ‘verwerkingsverantwoordelijke’ indachtig – niet af. Ook heeft verweerder geen overeenkomst overgelegd of toegelicht in welke andere rechtshandeling krachtens het Unierecht of het lidstatelijke recht de verwerking is geregeld.
ECLI:NL:RBROT:2021:2306, Rechtbank Rotterdam, ROT 19/5030

Rechtbank stelt dat inzagerecht beperkt is tot de ruime persoonsgegevens die op betrokkene betrekking hebben, niet op vader en moeder

De uitspraak is in het verlengde gedaan van de hiervoor genoemde uitspraak waar de rechtbank Rotterdam concludeerde dat het Ministerie van Buitenlandse Zaken verwerkingsverantwoordelijke is en niet het Ministerie van Justitie en Veiligheid (DT&V).

ECLI:NL:RBROT:2021:2305, Rechtbank Rotterdam, ROT 19/4649

Rechtbank: Samenwerkingsverband is geen verwerkingsverantwoordelijke, dat zijn de convenantpartners (gezamenlijk)

De rechtbank Noord-Nederland stelt dat daarom het inzageverzoek tegen het samenwerkingsverband niet-ontvankelijk is.

Het feit dat het RIEC Noord-Nederland een eigen postadres, telefoonnummer en e-mailadres heeft maakt nog niet dat het RIEC Noord Nederland een zelfstandige entiteit is die voor eigen doeleinden gegevens verwerkt. Dit volgt evenmin uit het feit dat er op het internet bepaalde uitlatingen staan, waar [verzoekers] ter onderbouwing van zijn standpunt naar verwijst. De stelling van [verzoekers] dat uit artikel 5 van het Privacyprotocol RIECs-LIEC zou blijken dat het RIEC een zelfstandige entiteit is die voor eigen doeleinden gegevens verwerkt kan de rechtbank niet volgen. (r.o. 4.6)
ECLI:NL:RBNNE:2021:738, Rechtbank Noord-Nederland, C/18/202690 / HA RK 20-88

RvS: Niet álle chatberichten bewaren voor de Archiefwet

H.S. ten Cate schrijft in AB Rechtspraak Bestuursrecht (afl 11 2021/86) over de WhatsApp, sms en vergelijkbare berichtendiensten binnen het toepassingsbereik van de Wob op basis van een uitspraak van de Raad van State van 11 oktober 2020. De Archiefwet verplicht niet tot het bewaren van álle chatberichten. Dat kan zelfs in strijd zijn met de AVG. De Wob schrijft wel voor dat vanaf het moment dat een Wob-verzoek wordt ingediend, het behoud van de archiefbescheiden (ook uit berichtendiensten) volledig dient te worden gewaarborgd.

Een bestuursorgaan dient dan ook na de indiening van een verzoek om informatie op grond van de Wob de documenten waarop dat verzoek ziet, te bewaren. Omdat de minister hoger beroep had ingesteld kon hij hiermee wachten. Wel moest de minister zorgen dat de sms- en WhatsApp berichten niet verloren zouden gaan. De Afdeling constateert dat de minister eerst na de uitspraak van de Afdeling van 20 maart 2019 actie heeft ondernomen wat betreft de op de bestuurlijke aangelegenheid betrekking hebbende sms- en WhatsApp-berichten. De minister heeft er daarom onvoldoende op toegezien dat deze tot die tijd niet werden vernietigd. Derhalve kan niet worden geoordeeld dat de minister heeft voldaan aan zijn bewaarplicht. De mededeling van de minister dat er geen sms- of WhatsApp-berichten onder hem berusten die onder de reikwijdte van het Wob-verzoek vallen, is niet ongeloofwaardig. Berichtenapps zijn niet in beheer van de overheid en de technische functionaliteit voor informatiebeheer binnen de berichtenapps is zeer beperkt. De Afdeling ziet daarom geen grond voor het oordeel dat de door de minister verrichte zoekslag onvoldoende, dan wel onvolledig is geweest.
ECLI:NL:RVS:2020:2477, Raad van State, 201905713/1/A3

RvS geeft kader voor verdere verwerking van persoonsgegevens (art. 6 lid 4 AVG) door de overheid

In de Gemeentestem (Gst. 2021/29) schreven C.N. van der Sluis & R. Wiekeraad over een verzoek tot wissing bij de gemeente Bladel en een uitspraak van de Raad van State van 30 september 2020. Daar ging het over de afwijzing van een verzoek tot wissing. Daarbij werd onderzocht of de verwerking noodzakelijk is wegens een lopende of dreigende (civiele) procedure.  

Het is een opvallende uitspraak, omdat de Afdeling hierin een kader heeft gegeven voor secundair gebruik door een bestuursorgaan van de gemeente (verdere verwerking van persoonsgegevens die niet door het bestuursorgaan van de gemeente zijn verzameld; zie artikel 6 lid 4 Algemene Verordening Gegevensverwerking (AVG)). Opvallend ook, omdat in dit geval het college van burgemeester en wethouders (het college) op enig moment de grondslag voor de bestreden beslissing heeft gewijzigd. [...] Daarnaast staan we stil bij het belang van artikel 17 lid 3 AVG en het idee van secundair gebruik.
ECLI:NL:RVS:2020:2316, Raad van State, 201902925/1/A3

Rechtbank concludeert dat betrokke geen toestemming hoeft te verlenen voor het inschakelen van een verwerker door verwerkingsverantwoordelijke

4.6 Naar het oordeel van de rechtbank stond het [naam partij] als verwerkingsverantwoordelijke vrij om te besluiten de persoonsgegevens binnen de organisatie te verwerken, of om de verwerkingen uit te besteden aan een externe organisatie als verwerker, zijnde in dit geval DEX Online Services.
ECLI:NL:RBROT:2021:2304, Rechtbank Rotterdam, ROT 19/3036

Rechtbank komt tot onbevredigende slotsom dat ziekenhuis door overmacht de identiteit van zaaddonor niet hoeft prijs te geven

Een vordering van moeder en dochter tot verstrekking van gegevens van de zaaddonor door het ziekenhuis waar de ivf-behandeling heeft plaatsgevonden slaagt niet. De donor trekt zijn aanvankelijke instemming met het delen van zijn gegevens naderhand in. Beroep op overmacht van het ziekenhuis, gebaseerd op het overgangsrecht van de Wet donorgegevens kunstmatige bevruchting, die anonieme donatie verboden maakt, op basis van onmogelijke belangenafweging uit art. 7 lid 1 IVRK en art. 8 EVRM.

ECLI:NL:RBGEL:2021:1388, Rechtbank Gelderland, 361950


Ombudsman: Overheid dient actief uit te leggen op basis waarvan de burger geselecteerd wordt

Iedereen moet op dezelfde manier behandeld worden. Maar toch vertellen burgers de Nationale ombudsman dat zij eruit worden gepikt vanwege hun etniciteit. En daardoor het vertrouwen in de overheid kwijt zijn geraakt. De ombudsman heeft onderzocht hoe de overheid moet omgaan met klachten over etnisch profileren.
Klachtbehandeling etnisch profileren: overheid is nu echt aan zet
De ombudsman heeft onderzoek gedaan naar professionele klachtbehandeling bij etnisch profileren. Hoe moet de overheid hiermee omgaan?

In reactie nog een scherpe beschouwing van A. Engelfriet: "deze criteria zijn geen voorspellers. Desondanks blijft het idee hardnekkig, met name nu we steeds vaker met data-analyses werken die dan objectief zouden zijn."

Daarnaast schreef Prof. mr. Janneke Gerards over haar gepubliceerde studie 'Algorithmic Discrimination in Europe', die is voorbereid in samenwerking met het European network of legal experts in gender equality and non-discrimination.

Automated racism: How tech can entrench bias
Dutch benefits scandal highlights need for EU scrutiny.

Een pleidooi voor meer gegevensbescherming in het bestuursrecht

F. Çapkurt publiceert in het Nederlands Tijdschrift voor Bestuursrecht (NTB 2021/62) over de toeslagaffaire en de aansluiting van de Awb op de AVG.

Wel is al duidelijk hoe desastreus het kan uitpakken voor burgers wanneer bestuursorganen zich voor het nemen van ingrijpende beslissingen laten leiden door onrechtmatige, onjuiste en geheime persoonsgegevensregistraties. Maar heeft het bestuursrecht hier oog voor? Te weinig, helaas. Dat heeft alles te maken met het besluitbegrip. De Algemene wet bestuursrecht (Awb) normeert primair de publiekrechtelijke rechtshandeling waarmee het bestuursorgaan eenzijdig ingrijpt in de rechtspositie van de burger: het besluit. Dat is de kracht van de Awb, maar tegelijkertijd ook haar achilleshiel. Hetgeen aan een besluit voorafgaat, blijft daardoor buiten het zicht van het bestuursrecht. Dat geldt ook voor de verwerking van persoonsgegevens. Die wordt bestuursrechtelijk beschouwd als een feitelijke handeling, omdat de registratie van persoonsgegevens als zodanig niet gericht is op enig rechtsgevolg. De toeslagenaffaire laat echter zien dat deze benadering niet langer houdbaar is.

Ministerie van J&V publiceert samenvatting indrukken en leerpunten leerevaluatie respons Citrix

Mede-overheden: Een belangrijke les is dat er geen centraal informatieknooppunt voor provincies is en er tevens geen computercrisisteamis ingeregeld. Verder gaven de mede-overheden aan vaker cyber te willen beoefenen. Dit past ook bij de inspanningen van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) en de Vereniging Nederlandse Gemeenten (VNG) om tot cyberoefenpakketten te komen. Wat het voor sommigen lastig maakte gedurende de Citrix-gebeurtenissen is het feit dat de situatie een politieke lading kreeg. Hierdoor raakten bestuurlijke aspecten en meer operationele informatie en acties verweven.
Informatie over Bijlage 971423 | > Officiële bekendmakingen

De Eerste Kamer publiceerde opnieuw WRR rapport Voorbereiden op digitale ontwrichting

Informatie over Bijlage 971424 | > Officiële bekendmakingen


ADR publiceert onderzoeksrapport na datalek donorregister

De Auditdienst Rijk heeft de werkwijze en procedures van het CIBG voor de omgang met externe gegevensdragers onderzocht en gepubliceerd in de "inventarisatie maatregelen t.a.v. beheer externe gegevensdragers Donorregister".

Handelingsperspectief: in het belang van de burger dient het aantal medewerkers dat diens gegevens verwerkt in het kader van de AVG tot een minimum beperkt te worden & Verwerkersovereenkomsten-/afspraken zijn niet op orde
Inventarisatie maatregelen t.a.v. beheer externe gegevensdragers Donorregister
De Auditdienst Rijk heeft de werkwijze en procedures van het CIBG voor de omgang met externe gegevensdragers onderzocht. Dit na de verdwijning van 2 externe harde schijven met donorformulieren uit een kluis.

Georganiseerde hackersgroep SilverFish richt zich op Nederlandse zorg

Tekenen van SilverFish zijn gezien bij zeker een tiental Nederlandse zorgorganisaties. Onderzoek moet uitwijzen wat de gevolgen daarvan zijn. In deze blogpost geven we alvast antwoord op de meest gestelde vragen over SilverFish.
Hackergroep SilverFish; moeilijk te zien, lastig om vanaf te komen - Z-CERT

Media & politiek

Bits of Freedom beschrijft de snelle opkomst van biometrische massasurveillance in de EU

Ook in de Europese Unie zien we biometrische surveillance, en deze surveillance ons
Een ontluisterend inkijkje in de snelle opkomst van biometrische massasurveillance in landen binnen de EU. Maar we kunnen het nog stoppen. Onderteken ons burgerinitiatief!

Naleving & toezicht

G-J Zwenne behandelt de laatste stand van het inzagerecht bij het CIP