ALMERE | LELYSTAD

Coronavirus – wat betekent dit voor jouw onderneming?

036 5346220

Bel elke werkdag tussen 10 en 11 naar ons GRATIS telefonisch spreekuur voor al je vragen over ondernemingsrecht, arbeidsrecht en familierecht 

Zana Sami

Zana als advocaat:

Zana is als advocaat werkzaam op de sectie Privacy & Intellectuele Eigendom  en de sectie Verbintenissenrecht. Zana heeft zowel de bachelor rechtsgeleerdheid als de master Europees recht, accent mededingingsrecht, behaald aan de Universiteit van Leiden, waar hij in 2014 afstudeerde. Tijdens het voltooien van zijn master is Zana werkzaam geweest als onderzoeksassistent bij de Universiteit Leiden en heeft hij gewerkt als paralegal bij een nichekantoor in Amsterdam. Na het afstuderen heeft Zana gewerkt als onderwijs- en onderzoeksmedewerker EU Law bij de Universiteit Leiden. Ook heeft Zana als jurist gewerkt bij een organisatie dat valt onder het ministerie van BZK. Voordat Zana in dienst kwam bij O&S, heeft hij gewerkt als hogeschooldocent rechten. Uiteindelijk heeft Zana besloten om zijn hart te volgen en de overstap naar de advocatuur te maken.

Zana prive:

Zijn vrije tijd brengt Zana graag door in de sportschool. Ook leest hij graag boeken gerelateerd aan de politiek en/of filosofie. Verder is hij een enorme voetballiefhebber, speelt hij graag een bekend voetbalgame op zijn gameconsole met vrienden, en is hij regelmatig in het stadion te vinden van zijn favoriete voetbalclub.

Werkveld:

Zana adviseert en procedeert over kwesties binnen het privacyrecht en intellectueel eigendomsrecht.

Rechtsgebieden:

Opleiding en nevenactiviteiten:

  • Bachelor Rechtsgeleerdheid aan de Universiteit Leiden
  • Master Europees recht aan de Universiteit Leiden
  • BDB en BKE Gecertificeerd aan de Corporate Academy
  • Onbezoldigd wetenschappelijk medewerker,  Universiteit van Luik te België
  • Schrijver Tijdschrift voor Staatssteun
  • Tolk/vertaler Graphic Centre Zaxo Kunstacademie te Zakho, Irak

Testimonials (deze titel niet verwijderen)

Kennis

  • Camerabewaking en privacy

    Camerabewaking en privacy, zeer actueel: Deze week heb ik een cliënt bijgestaan in een zeer interessante en actuele privacyzaak. De zaak ging om een burengeschil waar privacyrechtelijke aspecten bij kwamen kijken. In deze post zal ik iets dieper op de zaak in gaan, de juridische aspecten die betrekking hebben op het geschil benoemen en bespreken in hoeverre het mogelijk is om (particuliere) bewakingscamera’s te plaatsen met inachtneming van de privacyregels.

    In deze zaak was er sprake van een (langlopend) conflict tussen (over)buren. De ene buurman, buurman X, stoorde zich verschrikkelijk aan de bewakingscamera van zijn overbuurman, buurman Y. Buurman X meende dat buurman Y al jaren stelselmatig zijn privacyrechten aan het schenden was en dat hij zich bespied en bekeken voelde. Buurman X stelde dat de bewakingscamera van buurman Y, te pas en te onpas, werd verschoven en op het erf van buurman X was gericht. Daardoor kreeg buurman Y, zonder toestemming, inzage in het privéleven van buurman X. Buurman Y stelde dat hij de bewakingscamera had laten plaatsen om de eigendommen op zijn erf, zoals zijn geparkeerde auto, te beschermen tegen vandalisme en diefstal. Buurman X startte een procedure en wilde bij de rechter afdwingen dat de bewakingscamera verwijderd zou worden. De vraag is dan ook: mag men een actieve bewakingscamera ophangen en wat zijn de privacyaspecten die daarbij komen kijken?

    Camerabeelden en persoonsgegevens

    Een bewakingscamera legt beelden vast. De voorwaarden van de AVG zijn van toepassing indien op de camerabeelden natuurlijke personen te zien zijn. Men spreekt dan over (verwerking van) persoonsgegevens in de zin van de AVG. Let wel, er is alleen sprake van het verwerken van persoonsgegeven in de zin van de AVG als de camera actief is. Uit de rechtspraak blijkt dat wanneer de camera niet aan staat, er geen sprake kan zijn van het verwerken van persoonsgegevens. Dan is er ook geen sprake van een schending van het privacyrecht op grond van de AVG. Op het moment dat de camera wel aanstaat, is de AVG in beginsel van toepassing. Dat betekent dat voor het houden van cameratoezicht een duidelijk doel moet bestaan op grond van artikel 5 van de AVG. Dit noemt men ook wel doelbinding. Dat doel moet vervolgens gebaseerd worden op één van de grondslagen van artikel 6 van de AVG. In de onderhavige zaak deed buurman Y een beroep op de rechtsgrondslag “gerechtvaardigd belang”.

    Gerechtvaardigd belang

    Kortgezegd wordt bij het criterium ‘gerechtvaardigd belang’ een belangenafweging gemaakt tussen de belangen van de betrokken persoon/personen en de verwerker. De verwerking moet dan noodzakelijk zijn en als er – geschiktere en minder ingrijpende – alternatieven mogelijk zijn voor de verwerking, dan dient men te kiezen voor deze alternatieven.

    In deze zaak draaide het enerzijds om het belang van buurman Y om zijn eigendommen te beschermen en anderzijds het belang van buurman X om niet in zijn privésfeer geschaad te worden.  Deze belangen moeten gewogen worden. Het belang om inbraken, geweld en diefstal tegen te gaan, kan een gerechtvaardigd belang opleveren.

    In strijd met de AVG?

    Het plaatsen van een beveiligingscamera levert geen strijdigheid op met de AVG, mits er aan bepaalde voorwaarden wordt voldaan. Dit is tevens door de Autoriteit Persoonsgegevens bevestigd in een opgesteld stappenplan omtrent cameratoezicht. Volgens dit stappenplan moeten buren op de hoogte zijn van de plaatsing van een camera middels een sticker. De  camera mag dan enkel gericht zijn op het eigen erf. Ook dient men een gerechtvaardigd belang te hebben bij het ophangen van de camera.

    Uiteindelijk hoefde buurman Y de bewakingscamera niet te verwijderen. De volgende aspecten speelden hierbij een rol. Buurman Y had de camera reeds voor de intrek van buurman X in de straat bevestigd aan zijn woning. Ook had hij de camera gericht op zijn eigen erf en had hij stickers geplakt aan zijn raam om derden te waarschuwen dat er een bewakingscamera hing aan zijn woning. Er kon niet bewezen worden dat de camera van buurman Y buiten zijn erf beeldopnamen registreerde. Derhalve was er geen sprake van een schending van de privacyrechten van buurman X door buurman Y en mocht de camera blijven hangen.

    Vragen over het privacyrecht? Onze specialisten staan u graag te woord.

    Zana Sami

     

     

  • De dag van de privacy & datalekken

    Op de dag van de privacy, 28 januari, is het belangrijk om stil te staan bij de actualiteiten omtrent privacy. Deze week verscheen er in het nieuws dat de GGD, Nederlands meest bekende instantie in deze coronatijden, te maken heeft gehad met een datalek. Uit recent onderzoek van RTL-nieuws is gebleken dat er grootschalig gehandeld is in persoonsgegevens van miljoenen Nederlanders. Deze persoonsgegevens waren afkomstig uit de twee belangrijkste coronasystemen van de GGD. Dit datalek, dat al driekwart jaar aanwezig is, heeft er voor gezorgd dat er verschillende soorten persoonsgegevens op straat kwamen te liggen. In dit geval ging het om adressen, telefoonnummers, burgerservicenummers en testresultaten van burgers. De Autoriteit Persoonsgegevens geeft aan dat conform de Algemene Verordening Gegevensbescherming (AVG), alleen medewerkers van een zorgorganisatie die een behandelrelatie hebben met de patiënt toegang mogen hebben tot patiëntgegevens. Dit kan naast artsen en verpleegkundigen, ook het overig personeel van ondersteunende afdelingen zijn. Het datalek bij de GGD heeft er dus voor gezorgd dat de toegang tot deze gegevens niet beperkt is gebleven tot enkel de voorgenoemde actoren.

    Wat is een datalek?

    Datalekken zijn, helaas, niet ongewoon. Zo is uit recent onderzoek gebleken dat Nederland de 2e positie in Europa inneemt voor wat betreft het aantal (gemelde) datalekken. Een zekere paradox begint dan ook merkbaar te worden. De bewustwording, alsmede de regelgeving, omtrent privacy is aan het toenemen. Tegelijkertijd lijken privacyrechtelijke inbreuken ook vaker voor te komen in de praktijk. Datalekken zijn daar actuele voorbeelden van. In dat kader is het goed om te weten wat nou precies een datalek is en hoe men dient om te gaan met een (potentieel) datalek.

    De term ‘datalek’ komt formeel niet voor in de AVG. In de plaats daarvan heeft de AVG het over een ‘inbreuk in verband met persoonsgegevens’. Meer concreet, uit artikel 4 lid 12 van de AVG volgt dat onder een datalek moet worden verstaan: een inbreuk op de beveiliging die per ongeluk of op onrechtmachtige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens. Betrokken personen dreigen schade te lijden door de handelingen zoals hierboven genoemd.

    Wat te doen bij een datalek

    Indien er sprake is van een datalek, dan dient men snel tot actie over te gaan om het datalek te beëindigen en de eventuele negatieve gevolgen voor de betrokken personen te beperken. De betrokken personen dienen vaak ook ingelicht te worden over het datalek. Tevens kan het zijn dat men, afhankelijk van de aard en de ernst van het datalek binnen 72 uur een datalek moet melden bij de Autoriteit Persoonsgegevens. Bij het niet of niet tijdig melden, riskeert men een boete. Ook het niet of niet tijdig melden van het datalek bij de betrokken personen kan leiden tot een boete. Bovendien kunnen de betrokken personen een actie tot schadevergoeding instellen bij de rechter vanwege mogelijke inbreuken.

    Nieuwe guidelines datalekmeldingen

    Dat een datalek en datalekmeldingen zeer actueel zijn, blijkt ook uit de ontwikkelingen op Europees niveau. De European Data Protection Board (EDPB) heeft onlangs nieuwe guidelines over datalekmeldingen vastgesteld. De guidelines zijn een aanvulling op de algemene richtlijnen over datalekken van de Artikel 29-werkgroep (voorganger van de EDPB). Zo worden organisaties geholpen bij de maatregelen die ze moeten nemen bij een datalek. In de guidelines staat een lijst met veel voorkomende soorten datalekken (zoals ransomware-aanvallen en zoekgeraakte/gestolen apparatuur). Per categorie staat aangegeven welke maatregelen een organisatie van tevoren had moeten nemen. En welke maatregelen de organisatie na het incident moet nemen.

    Heeft u vragen over privacyvraagstukken in algemeen of datalekken in het bijzonder? Neem dan contact op met onze sectie privacyrecht. Wij beantwoorden graag uw vragen.

    Zana Sami, advocaat Privacyrecht

     

  • Privacy en handhaving

    In een eerdere post hebben wij uiteengezet hoe belangrijk het is om aan privacyborging te doen. Dat persoonsgegevens effectief en adequaat beschermd dienen te worden, volgt uit de Algemene Verordening Gegevensbescherming (hierna:AVG). Het kan helaas voorkomen dat er persoonsgegevens verloren gaan, gewist worden of zelfs gestolen worden. Dat laatste kan gebeuren via een hack of schadeveroorzakende software zoals ransomware. Datalekken komen helaas steeds vaker voor. In de praktijk zien wij dat de Autoriteit Persoonsgegevens met name voor wat betreft het doen van een te late melding van een datalek vaker handhavend optreedt. In deze post zullen wij dieper ingaan op de meldingsplicht. Wij zullen daarbij  een actueel voorbeeld uit de praktijk betrekken. Kortom: Privacy en handhaving.

    Wat is een datalek?

    De term ‘datalek’ is formeel niet in de AVG opgenomen. In plaats daarvan wordt in de AVG  een ‘inbreuk in verband met persoonsgegevens’ omschreven. Uit artikel 4 lid 12 van de AVG volgt dat onder een dergelijke inbreuk (een datalek) moet worden verstaan: een inbreuk op de beveiliging die per ongeluk of op onrechtmachtige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking/toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens. Van een datalek is dus in verschillende gevallen sprake.

    Wat te doen bij een datalek

    Indien er sprake is van een datalek, dient men snel tot actie over te gaan om het datalek te beëindigen en de eventuele negatieve gevolgen voor de betrokken personen te beperken. De betrokken personen dienen vaak ook ingelicht te worden over het datalek. Op grond van artikel 33 lid 1van de AVG dient degene die verantwoordelijk is voor de verwerking van de gegevens (de verwerkingsverantwoordelijke) een datalek zonder onredelijke vertraging te melden. In principe moet de verwerkingsverantwoordelijke het datalek uiterlijk 72 uur nadat hij daarvan kennis heeft genomen melden. De melding dient op grond van artikel 55 AVG aan de bevoegde toezichthoudende autoriteit te worden gedaan, tenzij het niet waarschijnlijk is dat de inbreuk een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Indien de melding aan de toezichthoudende autoriteit niet binnen 72 uren plaatsvindt, dient men een met redenen omklede motivering mee te sturen bij de (late) melding. Bij het niet of niet tijdig melden, kan de Autoriteit Persoonsgegevens (hierna: AP) een boete opleggen. Bovendien kunnen de betrokken personen vanwege privacyrechtelijke inbreuken bij de rechter een actie tot schadevergoeding instellen.

    Recente ontwikkelingen

    Al eerder zagen wij dat datalekken steeds vaker voorkomen. Zo is gebleken dat  bij de GGD sprake was van een datalek. Bij dit datalek zouden mogelijk gevoelige gegevens, zoals BSN-nummers, van burgers gestolen zijn. Ook Facebook heeft recent moeten constateren dat er een datalek binnen de organisatie heeft plaatsgevonden. De gegevens van maar liefst 533 miljoen gebruikers zijn op straat komen te liggen, waaronder die van 5,4 miljoen Nederlanders. Voorts is bekend geworden dat hackers gegevens van RDC, een onderneming die ICT-diensten aanbiedt aan garagehouders in Nederland, buit hebben gemaakt. Deze gegevens werden vervolgens online verhandeld. Dit zijn een paar voorbeelden uit de recente praktijk.  Een aantal van deze organisaties heeft wel een melding gemaakt bij de privacytoezichthouder terwijl andere organisaties dat niet hebben gedaan. De keuze om wel of niet tot melding over te gaan, ligt immers bij de organisaties zelf. Het komt ook nog wel eens voor dat er wel wordt gemeld, maar dat de melding niet tijdig is gedaan. Dit gebeurde bij Booking.com.

    De AP heeft Booking.com onlangs een boete op van € 475.000 opgelegd omdat Booking.com een datalek te laat bij de toezichthouder heeft gemeld. Bij het datalek hebben criminelen persoonsgegevens van meer dan 4.000 klanten buitgemaakt, zoals creditcardgegevens van bijna 300 slachtoffers. De melding gebeurde 22 dagen te laat. De AP nam dit de boekingssite  kwalijk, omdat hackers de mogelijkheid kregen om langer door te gaan met hun inbreukmakende activiteiten. Booking.com verweerde zich door te stellen dat het in de praktijk niet altijd mogelijk is om de aard, omvang en impact van een datalek te onderzoeken en vervolgens ook nog eens tijdig een melding te doen bij toezichthouder. De AP gaat mee in het standpunt dat een onderzoek naar de omvang en precieze impact van een inbreuk langer dan 72 uur in beslag kan nemen. De AP stelt daarom dat het mogelijk is om op grond van artikel 33 lid 3 AVG een melding in stappen of pro-forma te doen totdat de precieze aard en context van het datalek vastgesteld kan worden. Dit neemt volgens de AP niet weg dat de melding van de inbreuk op grond van artikel 33 lid 1 AVG binnen de wettelijk voorgeschreven termijn van 72 uur moet plaatsvinden. Dit had Booking.com nagelaten, waardoor de AP uiteindelijk een boete heeft opgelegd aan de onderneming.

    Heeft u vragen over privacyvraagstukken in het algemeen of datalekken in het bijzonder? Neem dan contact op met onze sectie privacyrecht. Wij beantwoorden graag uw vragen.

    Zana Sami, sectie privacyrecht

     

delen via:

Share on twitter
Share on linkedin
Share on email

Okkerse & Schop Advocaten maakt voor deze website gebruik van cookies en daarmee vergelijkbare technieken. Cookies zijn kleine digitale tekstbestanden die in de browser worden geplaatst bij het bezoek aan een website. Okkerse & Schop Advocaten gebruikt functionele cookies om de website naar behoren te laten functioneren. Analytische cookies worden gebruikt om het websitegebruik te analyseren en de website te verbeteren. Met het gebruik van functionele cookies en analytische cookies worden geen persoonsgegevens verwerkt. U kunt uw cookievoorkeuren op ieder moment aanpassen door de instellingen van de browser te wijzigen. Raadpleeg ons privacy- en cookie statement voor meer informatie.