Privacy    Autoriteit Persoonsgegevens 


Algemene verordening gegevensbescherming (AVG)

Datum laatste wijziging: 17 november 2018  |  Trefwoorden: Privacy, Algemene verordening gegevensbescherming (AVG), AVG, Privacyprotocol, Privacy protocol, Verwerkersovereenkomst, Sollicitant, Bewaartermijn, Gegevensoverdraagbaarheid, Dataportabiliteit, Dwangsom, Personeelsdossier, Museumkaart

Inhoud

  1. Op naar nieuwe Europese privacywetgeving
  2. Om welke privacygegevens gaat het?
  3. Functionaris voor de gegevensbescherming (FG)
  4. Bewaartermijnen persoonsgegevens
  5. Verwerkersovereenkomst (AVG)
  6. Geen automatische melding verwerken persoonsgegevens
  7. Recht op dataportabiliteit oftewel overdraagbaarheid van persoonsgegevens
  8. Werkgevers willen uitstel privacywet AVG, is gewoon onzin!
  9. Handleiding Algemene verordening gegevensbescherming
  10. Wet bescherming persoonsgegevens vervangen
  11. Uitvoeringswet AVG aangeboden aan de Tweede Kamer
  12. Uitvoeringswet AVG aangenomen door de Tweede Kamer
  13. Slechts kwart grote bedrijven voldoet al aan AVG
  14. AVG: niet meteen boetes voor sportclubs en kleine ondernemingen
  15. Persoonsgegevens van sollicitanten onder de AVG
  16. De Algemene Verordening Gegevensverwerking is gewoon een opgeklopte WBP
  17. Grootschalige gegevensverwerking in de zorg
  18. Geen uitzondering voor MKB in AVG
  19. Recht op inzage personeelsdossier onder AVG
  20. Wie is verantwoordelijk, u of uw leveranciers?
  21. AVG geeft niet per se recht op inzage in document zelf
  22. Regels AVG hinderen aanpak fraudeurs
  23. Werkgever blokkeert voortijdig e-mail account bij ontslag
  24. Museumkaart nodig voor bepalen woonplaats
  25. Fiscus stopt met flitsen voor bijtelling
  26. Nieuwsartikelen AVG 

Op naar nieuwe Europese privacywetgeving

Door de oprichting van Facebook in 2004 en Twitter in 2006 raakte de privacyrichtlijn in één keer achterhaald. De EU heeft in april 2016 een nieuwe wet aangenomen: Verordening 2016/679. In Nederland heet deze de Algemene Verordening Gegevensbescherming/AVG, of in het Engels: General Data Protection Regulation/GDPR). De Algemene Verordening Gegevensbescherming (AVG) treedt op 25 mei 2018 in werking. De AVG gaat de huidige wetgeving omtrent persoonsgegevens, de Wet bescherming persoonsgegevens (Wbp), vervangen.

De AP (Autoriteit Persoonsgegevens) heeft de 10 meest belangrijke stappen in kaart gebracht:
  1. Bewustwording in de organisatie. De relevante mensen in de organisatie (zoals beleidsmakers) moeten op de hoogte zijn van de nieuwe privacyregels.
  2. Rechten van betrokkenen. Organisaties moeten zorgen dat mensen hun rechten kunnen uitoefenen. Dat zijn de al bestaande rechten, zoals het recht op inzage en verwijdering van hun gegevens. Er zijn ook nieuwe rechten zoals het recht op dataportabiliteit, of wel het recht in om persoonsgegevens te ontvangen die een organisatie van hen heeft, deze zelf op te slaan of door te geven aan een andere organisatie. Ook kunnen werknemers bij de AP klachten indienen over de manier waarop de werkgever met hun gegevens omgaat.
  3. Overzicht verwerkingen. Organisaties moeten documenteren welke maatregelen getroffen zijn op het gebied van gegevensbescherming. Per categorie van gegevens moet duidelijk zijn welke wettelijke grondslag hieraan ten gronde liggen.
  4. Privacy impact assessment (PIA). Werkgevers kunnen verplicht worden een PIA uit te voeren. Het gaat hier om het in kaart brengen van de privacyrisico’s van een gegevensverwerking. Tevens wordt verlangd maatregelen te nemen om de risico’s te verkleinen.
  5. Privacy by design & privacy by default. Privacy by design houdt in dat bij het ontwerpen van producten en diensten ervoor gezorgd wordt dat persoonsgegevens goed worden beschermd. Privacy by default houdt in de werkgever organisatorische maatregelen moet nemen om ervoor te zorgen dat alleen persoonsgegevens verwerkt worden die noodzakelijk zijn voor het specifieke doel dat men wil bereiken.
  6. Functionaris voor de gegevensbescherming. Er moet een functionaris gegevensbescherming (privacy officer) worden aangesteld. Deze functionaris ziet toe op de naleving van de privacy-wetgeving, informeert en adviseert, is de aanspreekpersoon voor de toezichthouder en voert risicoanalyses uit.
  7. Meldplicht datalekken. De AVG stelt strengere eisen aan de eigen registratie van de datalekken die zich in uw organisatie hebben voorgedaan. U moet alle datalekken documenteren. Met deze documentatie moet de AP kunnen controleren of aan de meldplicht wordt voldaan.
  8. Bewerkersovereenkomst vanaf 25 mei 2018 Verwerkersovereenkomst. Als de gegevensverwerking zijn uitbesteed aan een bewerker (ook wel verwerker genoemd) moet worden beoordeeld of de overeengekomen maatregelen in bestaande contracten met de bewerkers nog steeds toereikend zijn en voldoen aan de vereisten in de AVG. Zo niet, dan moeten tijdige noodzakelijke wijzigingen worden aangebracht.
  9. Leidende toezichthouder. Als de organisatie vestigingen in meerdere EU-lidstaten heeft, of hebben de gegevensverwerkingen in meerdere lidstaten impact, dan hoeft de werkgever met slechts één privacytoezichthouder zaken te doen. Dit wordt de leidende toezichthouder genoemd. Geldt dit voor uw organisatie, bepaal dan onder welke privacytoezichthouder u valt.
  10. Toestemming. De werkgever moet van alle betrokkenen toestemming krijgen om hun persoonsgegevens te verwerken. Ook moeten betrokkenen deze toestemming weer kunnen intrekken.
Tenslotte kan de AP “phishing”-aanvallen uitvoeren. Dat betekent dat aantallen medewerkers een nepmail ontvangen, waarin geprobeerd wordt hen te verleiden om een online vragenlijst in te vullen waarin ze gevoelige informatie moeten prijsgeven, e.d.

NB: Nieuwsberichten van de AVG treft u aan op internet.  

Om welke privacygegevens gaat het?

Het gaat niet alleen om uw NAW-gegevens, zoals naam, e-mailadres, telefoonnummer en postcode. Het gaat ook om gegevens die herleidbaar zijn tot uw persoon, zoals een kenteken of een IP-adres. Verder gaat het om persoonlijke gevoelige gegevens en documenten, zoals uw seksuele geaardheid, uw paspoort, uw geheime gegevens (bijvoorbeeld uw wachtwoorden) of vertrouwelijke gegevens (bijvoorbeeld uw medisch dossier of uw BSN-nummer).

Functionaris voor de gegevensbescherming (FG)

Vanaf 25 mei 2018 kunnen organisaties verplicht zijn een functionaris voor de gegevensbescherming (FG) aan te stellen. Dit is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de AVG. Op grond van artikel 37 van de AVG is een FG in drie situaties verplicht:

  1. Overheidsinstanties en publieke organisaties altijd verplicht om een FG aan te stellen, ongeacht het type gegevens dat ze verwerken. Het kan gaan om de rijksoverheid, gemeenten en provincies, maar ook om bijvoorbeeld zorg- en onderwijsinstellingen. Voor rechtbanken geldt de verplichte aanstelling van een FG niet.
  2. Organisaties die vanuit hun kernactiviteiten op grote schaal individuen volgen. Het kan hierbij gaan om bijvoorbeeld profilering van mensen voor het maken van risico-inschattingen, cameratoezicht en monitoring van iemands gezondheid via wearables. Relevant hierbij zijn onder meer het aantal mensen dat een organisatie volgt, de hoeveelheid gegevens die deze organisatie verwerkt en hoe lang de organisatie mensen volgt. 
  3. Organisaties die op grote schaal bijzondere persoonsgegevens verwerken en dit een kernactiviteit is. Bijzondere persoonsgegevens zijn bijvoorbeeld gegevens over iemands gezondheid, ras, politieke opvatting, geloofsovertuiging of strafrechtelijke verleden.
EU-lidstaten kunnen ook andere situaties benoemen waarin een FG verplicht is. Het is nog niet bekend of dit in Nederland gaat gebeuren.

Bewaartermijnen persoonsgegevens

Voor de Algemene verordening gegevensbescherming (AVG) gelden dezelfde regels voor het bewaren van persoonsgegevens als nu. Het uitgangspunt blijft dat u persoonsgegevens niet langer mag bewaren dan noodzakelijk voor het doel van uw verwerking.
Hoe lang u gegevens mag of moet bewaren verschilt per geval. Als verantwoordelijke moet u onder de AVG wel het volgende regelen:
  • U bepaalt van tevoren hoe lang u de persoonsgegevens bewaart. Als dat niet mogelijk is, bepaalt u in elk geval de criteria voor het vaststellen van de bewaartermijn.
  • U legt de bewaartermijn of de criteria vast in een bewaarbeleid.
  • U neemt de bewaartermijnen ook op in uw register van verwerkingen.
  • U informeert de betrokkenen (de mensen van wie u gegevens verwerkt) over de bewaartermijnen. Bijvoorbeeld via een privacyverklaring op uw website.
Er is op grond van de Wet bescherming persoonsgegevens (Wbp) geen concrete bewaartermijn voor persoonsgegevens. Organisaties bepalen zelf hoe lang zij persoonsgegevens bewaren. Hierbij kijken zij naar hoe lang de gegevens nodig zijn voor het doel waarvoor deze zijn verzameld of worden gebruikt.

Wel zijn er concrete bewaartermijnen in andere wetten waar organisaties zich aan moeten houden. Bijvoorbeeld op grond van belastingwetgeving. Een termijn van 5 jaar is meestal gebruikelijk. Maar er zijn gegevens in het personeelsdossier waarvoor het verstandig is deze langer te bewaren.

Verwerkersovereenkomst (AVG)

De Europese Privacy verordening “Algemene Verordening Gegevensbescherming (AVG)” verplicht organisaties, wanneer onder bepaalde omstandigheden persoonsgegevens worden verwerkt of bewerkt, een verwerkersovereenkomst op te maken.

Wat is een verwerkersovereenkomst?

De verwerkersovereenkomst - ook wel Privacy protocol genoemd - is de overeenkomst, die verplicht is, wanneer een bedrijf voor de verwerking van persoonsgegevens een ander bedrijf inschakelt.
In dit document wordt vastgelegd hoe de bewerker met de persoonsgegevens moet omgaan en regelt de verantwoordelijkheden bij de verwerking van deze gegevens

Wanneer is een verwerkersovereenkomst verplicht?

Veel ondernemingen schakelen andere ondernemingen in voor de verwerking van persoonsgegevens. Denk daarbij aan het laten verwerken van salarissen of een extern bureau dat uw e-mailmarketing of telefonische verkoop verzorgt, maar ook uw administratiekantoor, een externe helpdesk of payroll service. Onder de huidige en toekomstige wetgeving bent u verplicht met deze partijen een verwerkersovereenkomst af te sluiten waarin u opdracht, doel en middelen voor de gegevensverwerking vastlegt.

Wanneer gaat de AVG verwerkersovereenkomst in?

De verplichting tot het afsluiten van een verwerkersovereenkomst (nu nog bewerkersovereenkomst) bestaat al onder de huidige Wbp. Wie geen geldige overeenkomst heeft riskeert nu een boete tot negenhonderdduizend euro of een dwangsom. Met de vervanging van de Wbp door de AVG heeft elke onderneming een jaar de tijd gekregen, tot 25 mei 2018, om AVG-compliant te worden. U dient dus nu al voorbereidingen te treffen om een eventuele verwerkersovereenkomst in orde te maken.

Handhaving en boetes

Heeft u uw verwerkersovereenkomst niet op orde? Dan kunt u rekenen op sancties. De Autoriteit Persoonsgegevens (AP) heeft strenge handhaving op grond van de AVG afgekondigd, met fikse boetes wanneer u niet compliant bent. Deze kunnen oplopen tot maar liefst tien miljoen euro of 2% van de jaaromzet per overtreding!

Waarom een verwerkersovereenkomst?

Onder de Wet bescherming persoonsgegevens (Wbp) is de verwerkersovereenkomst (toen nog bewerkingsovereenkomst) in het leven geroepen om afspraken op papier te zetten over de verwerking van privacygevoelige informatie. Veel bedrijven waren zich destijds niet, en nu nog steeds niet, bewust van hun plicht tot het opstellen van een dergelijke overeenkomst. Met de Algemene Verordening Gegevensbescherming (AVG) die de Wbp per 25 mei 2018 gaat vervangen, is de inhoud en verplichting van de bewerkersovereenkomst echter flink aangescherpt. Vanaf dat moment zal het een verwerkersovereenkomst gaan heten.

Terminologie verwerkersovereenkomst

Om de verwerkersovereenkomst goed te kunnen begrijpen is het van belang de begrippen helder te hebben:
  • Verantwoordelijke of verwerkingsverantwoordelijke: elke organisatie die systematisch persoonsgegevens verwerkt of laat verwerken en daarbij doel en middelen voor de verwerking vaststelt. Denk hierbij aan een bedrijf dat persoonsgegevens van zijn werknemers bijhoudt met het oog op de salarisadministratie (naam, adres, bankrekeningnummer enz.). Het bedrijf is verantwoordelijk voor de gegevens
  • Bewerker of verwerker: de onderneming die persoonsgegevens bewerkt in opdracht en ten behoeve van de verantwoordelijke. Het bedrijf dat de salarisadministratie afhandelt zou dan de bewerker zijn.
  • Persoonsgegevens: alle informatie (dus ook bijvoorbeeld beeld en geluid) over een geïdentificeerde of identificeerbare natuurlijke persoon.
  • Betrokkene: de persoon van wie de persoonsgegevens worden verwerkt.

Voor wie is de verwerkersovereenkomst bedoeld?

De wet stelt nadrukkelijk dat een verwerkersovereenkomst verplicht is bij samenwerkingen waarbij de ene partij ten behoeve van de andere partij persoonsgegevens verwerkt, waarbij die andere partij doel en middelen van de verwerking vaststelt. Dat betekent dat de verwerker persoonsgegevens verwerkt volgens de aanwijzingen en enkel ten behoeve van de verantwoordelijke. Wanneer de verwerker de persoonsgegevens ook gebruikt voor eigen doeleinden, dan zijn beide partijen verantwoordelijke.

Wat moet minimaal in de verwerkersovereenkomst komen te staan?

De verwerkersovereenkomst moet waarborgen dat er wordt voldaan aan het realiseren van passende technische en organisatorische maatregelen opdat de verwerking aan alle vereisten voldoet, moet in de verwerkersovereenkomst minimaal het volgende zijn geregeld:
  • Duur van de gegevensverwerking
  • Doel van de gegevensverwerking
  • Manier waarop de vertrouwelijkheid is geregeld
  • Verplichtingen die gelden op het gebied van veiligheid en controle
  • Welke persoonsgegevens worden verwerkt
  • De specifieke taken en verantwoordelijkheden van de verwerker in verband met de rechten en bevoegdheden van de betrokkenen.
Over het algemeen horen onderstaande verplichtingen, afspraken en doelstellingen  in de verwerkersovereenkomsten opgenomen te worden.

Aansprakelijkheid
De wet bepaalt dat de verantwoordelijke kan worden aangesproken als iemand schade lijdt doordat de AVG niet wordt nageleefd. Dit geldt zelfs als de schade het gevolg is van nalatigheid van de bewerker, die in dat geval ook zelfstandig aansprakelijk is. Het is verstandig in de verwerkersovereenkomst heldere afspraken te maken over deze verplichtingen.
Audits
De verantwoordelijke moet kunnen controleren of de bewerker zich houdt aan de gemaakte afspraken. Dit gebeurt vaak in de vorm van een audit (onderzoek) door de verantwoordelijke of door een onafhankelijke derde. In de verwerkersovereenkomst kunnen partijen hier nadere afspraken over maken.
Beveiligingsmaatregelen
De verantwoordelijke draagt zorg dat de bewerker passende technische en organisatorische maatregelen neemt om de persoonsgegevens te beveiligen tegen inzage door onbevoegden, maar ook tegen verlies, brand, diefstal e.d.
Bewerking in overeenstemming met instructies verantwoordelijke
De bewerker mag de persoonsgegevens niet voor eigen doeleinden gebruiken, maar alleen om uitvoering te geven aan de instructies van de verantwoordelijke.
Geheimhouding
In deze bepaling wordt aan de bewerker een geheimhoudingsplicht opgelegd, eventueel gecombineerd met een boetebeding. Overigens is opzettelijke niet-naleving van deze geheimhoudingsplicht strafbaar gesteld in het Wetboek van Strafrecht.
Inschakelen van derden en onderaannemers
In de overeenkomst wordt vastgelegd of, en onder welke voorwaarden, de bewerker sub-bewerkers mag inschakelen.
Locatie van de data
De verantwoordelijke moet weten waar en eventueel in welke landen zijn data wordt opgeslagen. Dit is mede van belang met het oog op de verplichtingen die gelden bij doorgifte van persoonsgegevens naar het buitenland.

Een model van een verwerkersovereenkomst hebben wij voor u beschikbaar info@hr-kiosk.nl

De AVG wordt eerst op 25 mei 2018 wet. Op 6 april heeft de Autoriteit Persoonsgegevens aan de minister een Advies Wetsvoorstel gedaan voor de Uitvoeringswet AVG.
Dat neemt niet weg, dat wanneer u op grond van de AVG een verwerkersovereenkomst zou moeten hebben, u ook op grond van de WBP over een bewerkersovereenkomst moet beschikken. 
Het is daarom verstandig om nu reeds een dergelijke overeenkomst op te (laten) stellen met de organisatie waarvoor of waardoor u persoonsgegevens laat verwerken.

Tegen een geringe vergoeding van € 90,00 (excl. BTW) kunnen wij u een model-verwerkersovereenkomst beschikbaar stellen. N.B. U moet deze wel zelf op maat maken, maar dat is grotendeels een “invuloefening”.
Voor specifieke afwijkende situaties willen wij u graag adviseren: info@hr-kiosk.nl

Geen automatische melding verwerken persoonsgegevens

Met ingang van 6 november 2017 hoeven organisaties in de praktijk geen melding meer te doen als zij persoonsgegevens verwerken. Op 25 mei 2018 wordt de Algemene verordening gegevensbescherming (AVG) van toepassing. Met de AVG vervalt de meldplicht. Tot 25 mei kunnen organisaties nog steeds een melding doen van een verwerking van persoonsgegevens, maar de Autoriteit Persoonsgegevens (AP) zal per 6 november 2017 niet handhaven op naleving van deze meldplicht. Alleen als er sprake is van een gegevensverwerking met een bepaald risico, blijft een melding verplicht. De administratieve lasten voor verantwoordelijken worden hiermee aanzienlijk verlicht.

Organisaties moeten een verwerking van persoonsgegevens met een bepaald risico (artikel 31, Wet bescherming persoonsgegevens) nog steeds melden bij de AP. Vervolgens doet de AP een voorafgaand onderzoek naar die gegevensverwerking.

Na 25 mei 2018 zijn organisaties verplicht een data protection impact assessment (DPIA) uit te voeren als een verwerking mogelijk een hoog risico inhoudt voor rechten en vrijheden van de betrokkenen. (Bron: Autoriteit Personeelsgegevens, 6 nov. 2017)

Recht op dataportabiliteit oftewel overdraagbaarheid van persoonsgegevens

Onder de AVG krijgen mensen het recht op dataportabiliteit, oftewel overdraagbaarheid van persoonsgegevens. Dit houdt in dat zij het recht hebben om de persoonsgegevens te ontvangen die een organisatie van hen heeft. Zo kunnen zij hun gegevens bijvoorbeeld makkelijk doorgeven aan een andere leverancier van dezelfde soort dienst.

In de AVG staat een speciaal artikel over toestemming. Hierin staat wat de voorwaarden zijn voor organisaties om geldige toestemming te krijgen van mensen om hun persoonsgegevens te verwerken. Zo moeten organisaties kunnen bewijzen dat zij geldige toestemming hebben gekregen. En moet het voor mensen net zo makkelijk zijn om hun toestemming in te trekken als om die te geven.

En dan komt nog het recht op vergetelheid. Het recht op vergetelheid houdt in dat organisaties in een aantal gevallen persoonsgegevens moeten wissen als een betrokkene hierom vraagt. Dit nieuwe recht lijkt op het huidige recht op correctie en verwijdering, maar is breder.

(Bron en meer : Autoriteitpersoonsgegevens, okt. 2017)

Werkgevers willen uitstel privacywet AVG, is gewoon onzin!

De Autoriteit Persoonsgegevens moet de nieuwe privacywet na invoering per mei 2018 niet direct handhaven. In plaats daarvan moeten ze inzetten op voorlichting en ondersteuning van (mkb-)bedrijven. Dat vinden MKB-Nederland en VNO-NCW.

Redactie: Dit is een opmerkelijk standpunt, waarmee kennelijk bedoeld wordt, dat de nieuwe wet ingewikkeld is en nog niet iedere organisatie de maatregelen kent. In de eerste plaats is de wet al een jaar geleden geannonceerd, dus bedrijven hadden zich al op de gevolgen kunnen voorbereiden. Maar in tegenstelling tot de beweringen dat de wet nog onbekend is, is het feit, dat deze Europese Wetgeving, vrijwel een kopie is van de bestaande wetgeving op de privacy (WBP) en alleen de boetes zijn veel hoger.
Wanneer een organisatie, waarop de nieuwe wet van toepassing is, zich wil indekken, is het verstandig om met relaties een “Verwerkersovereenkomst” af te sluiten, waarin alle wederzijdse verplichtingen m.b.t. gevoelige persoonsdata zijn vastgelegd.
Een dergelijke (concept)overeenkomst heeft HR-Kiosk voor haar relaties beschikbaar tegen een geringe vergoeding van € 100,00. Info@hr-kiosk.nl

Handleiding Algemene verordening gegevensbescherming

De Handleiding Algemene verordening gegevensbescherming en Uitvoeringswet Algemene verordening gegevensbescherming (AVG) is door het ministerie van Justitie en Veiligheid gepubliceerd. De handleiding biedt veel informatie en geeft daarnaast handige checklists.
De AVG is op 25 mei 2018 van toepassing in alle lidstaten van de Europese Unie. In deze handleiding zijn de belangrijkste bepalingen uit de Verordening en uit de Nederlandse Uitvoeringswet Algemene verordening gegevensbescherming toegelicht.
De handleiding vervangt de handleiding Wet bescherming persoonsgegevens (Wbp en is er voor iedereen die gegevens verwerkt, in het bijzonder voor medewerkers die hun organisatie willen voorbereiden op de eisen van de Verordening.
Omdat de Verordening een Europese wet is die door de Europese toezichthouder(s) en de Europese rechter nader zal worden ingevuld, wordt deze elektronische versie periodiek aangevuld en herzien.

Wat staat er in de handleiding?

De handleiding omvat bijna 100 pagina’s. De hoofdstukken, opgedeeld in (sub)paragrafen, betreffen:
  • Inleiding.
  • Stroomdiagrammen en checklists
  • De Algemene verordening gegevensbescherming
  • Is de Verordening op mijn gegevensverwerkingen van toepassing?
  • Is mijn gegevensverwerking legitiem?
  • Wat zijn mijn plichten als verwerkingsverantwoordelijke?
  • Wat zijn mijn plichten als verwerker?
  • Hoe ga ik om met de rechten van de betrokkenen?
  • Onder welke voorwaarden mag ik de gegevens naar het buitenland sturen?
  • Hoe is het toezicht op de naleving geregeld en wat zijn de consequenties bij niet-naleving?
  • Bijlage

Wet bescherming persoonsgegevens vervangen

De Verordening vervangt de Wet bescherming persoonsgegevens. De beginselen en uitgangspunten voor verwerking van persoonsgegevens zijn onder de Verordening grotendeels hetzelfde gebleven.

De Verordening legt meer verantwoordelijkheid bij degene die de persoonsgegevens verwerkt, de verwerkingsverantwoordelijke. Die moet vanaf 25 mei 2018 kunnen aantonen dat zijn gegevensverwerkingen voldoen aan de eisen van de Verordening en dat het niveau van beveiliging is afgestemd op de mogelijke risico’s van de gegevensverwerkingen voor degenen van wie de gegevens worden verwerkt (de betrokkenen). Dat vereist onder meer inzicht in de gegevensverwerking en een privacy beleid.

De verwerkingsverantwoordelijke moet ook tegemoet komen aan de rechten van betrokkenen die onder de Verordening zijn aangescherpt en uitgebreid zoals het recht van inzage, rectificatie en vergetelheid. Bij niet-naleving van de Verordening kan de Autoriteit Persoonsgegevens hoge boetes opleggen.

Zie deze Verordening.

Uitvoeringswet AVG aangeboden aan de Tweede Kamer

De Algemene verordening gegevensbescherming (AVG) zal op 25 mei 2018 de Wet bescherming persoonsgegevens vervangen en biedt het kader voor het werken met persoonsgegevens in heel Europa. De AVG heeft rechtstreekse werking. De Uitvoeringswet AVG (UAVG) voorziet in nationale regels die nodig zijn voor de uitvoering van de AVG en zal dus ook op 25 mei 2018 in werking treden.

De Tweede en Eerste kamer moeten nog akkoord gaan met het wetsvoorstel. De inhoud ervan kan nog wijzigen. Desondanks kunnen een aantal belangrijke onderwerpen uit de Ontwerp-Uitvoeringswet AVG worden genoemd die alvast goed zijn voor gemeenten om te weten:
  1. Toestemming van wettelijk vertegenwoordiger. De leeftijdsgrens van 16 jaar voor de verwerking van persoonsgegevens van kinderen op basis van toestemming is niet verlaagd naar 13 jaar (artikel 5 UAVG), wat op grond van de AVG mogelijk was (artikel 8, eerste lid, AVG).
  2. De AP mag behalve een boete ook een last onder bestuursdwang opleggen (artikel 16 UAVG). Dat betekent dat de AP een einde mag maken aan de overtreding (bestuursdwang) of een last onder dwangsom mag opleggen om een gemeente te dwingen de overtreding te beëindigen.
  3. Ook overheden kunnen boetes krijgen.  Er heerst bij enkele overheden het misverstand dat overheidsinstanties geen boete kunnen krijgen voor overtreding van de AVG. Artikel 18 UAVG is daar duidelijk over: ook overheidsinstanties kunnen boetes krijgen van maximaal 10 respectievelijk 20 miljoen euro.
  4. Verwerkingsverbod bijzondere categorieën persoonsgegevens en algemene uitzonderingen (artikel 9 AVG en 22 UAVG). De UAVG bevat een verwerkingsverbod voor dezelfde bijzondere categorieën persoonsgegevens als onder de Wbp (ras/etniciteit, geloof, gezondheid, politieke opvattingen, vakbondsmaatschap, seksueel leven, etc), met uitzondering van persoonsgegevens van strafrechtelijke aard. Deze worden niet als bijzondere persoonsgegevens beschouwd maar is artikel 10 van de AVG van toepassing. In de artikelen 31 tot en met 33 UAVG is hiervoor een regeling getroffen.
  5. Biometrische gegevens. De UAVG bevat een specifieke regeling voor de verwerking van biometrische gegevens (onder de AVG is dit een bijzonder persoonsgegeven). De verwerking van biometrische gegevens is toegestaan voor authenticatie en beveiligingsdoeleinden.
  6. Besluit in de zin van de AWB. Een besluit op een verzoek van een burger om inzage, correctie, verwijdering, etc. is een besluit in de zin van de Algemene Wet Bestuursrecht (artikel 34 UAVG). Dat betekent dat tegen zo’n besluit gedurende een termijn van zes weken bezwaar en beroep open staat.
  7. Opschortende werking bezwaar en beroep. In artikel 38 UAVG staat dat de werking van een besluit tot het opleggen van een boete wordt opgeschort totdat op het beroep is beslist. Dit zal in de praktijk een extra prikkel zijn om een besluit aan te vechten. Zolang het besluit niet definitief is hoeft de boete immers niet te worden betaald.
  8. BSN. De verwerking van het Burger Service Nummer (BSN) blijft verboden, tenzij er sprake is van een grondslag op grond van de wet of een Algemene Maatregel van Bestuur (AMvB) (artikel 46 UAVG).

(Bron: VNG, 20 dec. 2017)

Uitvoeringswet AVG aangenomen door de Tweede Kamer

Bij de stemming op 13 maart 2018 werd naast het wetsvoorstel ook gestemd over zeven amendementen en zeven moties. Daarbij zijn twee amendementen aangenomen. De eerste neemt een bepaling in de Uitvoeringswet op waarin de AP wordt aangespoord om bij de toepassing van de AVG rekening te houden met kleine ondernemingen. Het tweede amendement heeft tot gevolg dat het College van de AP altijd uit drie leden moet bestaan.

Nu het wetsvoorstel voor de Uitvoeringswet door de Tweede Kamer is aangenomen, zal de Eerste Kamer nog over het wetsvoorstel stemmen. Hierbij kunnen echter geen amendementen meer worden ingediend. (Bron: Europa Decentraal, 13 mrt. 2018)

NB: De Uitvoeringswet Algemene Verordening gegevensbescherming (AVG) is door de Eerste Kamer op 15 mei 2018 aangenomen.

Slechts kwart grote bedrijven voldoet al aan AVG

Slechts 25 procent van de Nederlandse bedrijven met meer dan 500 werknemers in dienst voldoet aan de nieuwe privacywet AVG die per 25 mei in werking treedt. De boete voor het niet naleven kan in de miljoenen euro’s lopen.

Dat 75 procent van de bedrijven de gegevens van onder meer hun eigen werknemers niet veilig hebben gesteld, is opmerkelijk. Het gaat hier om persoonlijke gegevens van minstens 30.000 werknemers (75 procent van 40.000). Daar komen ook nog de gegevens bij van personen buiten de organisaties. Netiv: “Los van het feit dat organisaties enorm hoge boetes riskeren, doen bedrijven er verstandig aan om de bij hun opgeslagen persoonsgegeven op de juiste manier te beveiligen. Dat is gunstig voor het betrouwbaarheids-imago en uiteindelijk het vertrouwen dat mensen in het bedrijf hebben.” (Bron: HR Praktijk, 26 mrt. 2018)

AVG: niet meteen boetes voor sportclubs en kleine ondernemingen

Wat minister Dekker betreft kan de korfbalvereniging opgelucht ademhalen. En daarmee bedoelt hij elke sportclub en kleine onderneming. Bij de handhaving van de AVG/GDPR krijgen zij niet meteen een boete aan hun broek, ‘zolang de welwillendheid er is om aan de regels te voldoen’.

Dat heeft minister voor Rechtsbescherming Dekker gezegd in antwoord op Kamervragen. Bij de invoering van de wet op 25 mei ligt de nadruk in eerste instantie op voorlichting. Hij belooft dat er eind maart een brochure komt om de veranderingen van de wet inzichtelijk te maken voor kleine partijen als sportclubs, mkb’ers en zzp’ers. ‘Vrijwilligersverenigingen die niks bijzonders doen met persoonsgegevens hoeven er veel minder aandacht aan te besteden dan bedrijven die op grote schaal aan gegevensverwerking doen.’ (Bron: VraagHugo, 19 mrt. 2018)

NB: Gemeenten zullen niet direct beboet worden: 'De wetgeving leidt tot veel onzekerheid en onrust bij gemeenten, denkt de AP (maart 2018). De organisatie heeft via de Vereniging van Nederlandse Gemeenten (VNG) aangegeven dat er in de meeste gevallen niet meteen boetes worden uitgedeeld als op 25 mei de nieuwe privacyregels ingaan. Ook de minister gaf dat in een debat met de Tweede Kamer al eens aan, maar deze heeft geen zeggenschap over het doen en laten van de toezichthouder.'    

Persoonsgegevens van sollicitanten onder de AVG

Ook de persoonsgegevens van sollicitanten vallen onder de AVG. Dit betekent onder meer dat de werkgever het CV van sollicitanten op tijd moet verwijderen of nadrukkelijk aan de sollicitant toestemming moet vragen of de gegevens bewaard mogen blijven, ook als deze voor een functie is afgewezen. Veel werkgevers bewaren de gegevens, omdat een sollicitant mogelijk later zich wel zou kunnen kwalificeren voor een nieuwe vacature.

Werving en selectieprocedure
Het is verstandig om een sollicitant vóór zijn sollicitatie een privacyverklaring voor te leggen en toestemming te vragen voor het verwerken van zijn gegevens en deze te mogen bewaren. Niet alleen dat u toestemming vraagt, maar u verklaart ook nadrukkelijk dat u met de gegevens vertrouwelijk omgaat.

Werving en selectie opnemen in de verwerkersovereenkomst
Door het werving- en selectieproces op te nemen in de privacyverklaring van uw organisatie kan de werkgever aangeven voor welke doeleinden en hoelang hij de gegevens uit het CV wil bewaren. Daarnaast kunnen in de privacyverklaring de rechten van de sollicitant staan, zoals het recht op inzage, het recht om bezwaar te maken tegen de verwerking van zijn gegevens en het recht op verwijdering van zijn gegevens.

Bewaartermijn
Voor het bewaren van het CV van een sollicitant kunt u de richtlijn van de Sollicitatiecode van de Nederlandse Vereniging voor Personeelsmanagement & Organisatieontwikkeling (NVP) aanhouden. Hierin is een bewaartermijn van maximaal vier weken opgenomen. Als een werkgever deze gegevens langer wil bewaren, heeft hij hiervoor toestemming nodig.
Heeft u op dit moment cv’s van sollicitanten langer dan een jaar in de database staan en waarvoor indertijd geen toestemming is gevraagd, dan moeten deze dus verwijderd worden. Een werkgever kan er uiteraard voor kiezen om alsnog toestemming te vragen aan de kandidaat als hij de gegevens langer wil bewaren.

De Algemene Verordening Gegevensverwerking is gewoon een opgeklopte WBP

Wat is er nu wezenlijk anders aan de AVG t.o.v. de Wet Bescherming Persoonsgegevens (WBP)? Alleen de hysterische aandacht en de hoge boetes die u in het vooruitzicht worden gesteld, maar feitelijk mocht u toch onder de WBP ook niet zomaar met persoonsgegevens rommelen en de privacy veronachtzamen.

Bij HR-kiosk kunt u zich opgeven voor de Nieuwsbrief. Al enige tijd sturen wij die echter niet meer, omdat wij (ook gezien de vele andere nieuwsbrieven, die uw e-mailbox vervuilen) het nut er niet zo van inzien. Onze mening is dat, wanneer u informatie zoekt op het gebied van HR, u toch wel gaat zoeken op onze website. En als het Nieuws u interesseert zult u, ook zonder onze aanmoediging, wel naar de Nieuwsrubriek gaan. Daarom zullen we ook in de toekomst geen Nieuwsbrieven meer sturen, maar wel dagelijks het belangrijkste Nieuws brengen en de wetgeving bijhouden.

Dat ontslaat ons ook van de plicht, die wij volgens de AVG moeten naleven, om uw toestemming te vragen of wij u (regelmatig) berichten mogen toesturen. Het bestand met adressen van diegenen die zich hebben aangemeld voor de Nieuwsbrief hebben wij verwijderd.
We hebben overigens op basis van de Wet Bescherming Persoonsgegevens al jaren geleden een “Privacy statement” gemaakt.
Lees ons oordeel over de AVG.

Grootschalige gegevensverwerking in de zorg

Bij een grootschalige verwerking vereist de nieuwe privacywet dat een FG (Functionaris voor de gegevensbescherming) nodig is en moet in bepaalde gevallen een DPIA worden gedaan. Voor huisartsenpraktijken en instellingen voor medisch specialistische zorg, niet zijnde ziekenhuizen, beschouwt de AP een verwerking grootschalig bij meer dan 10.000 patiënten. De verwerking van persoonsgegevens van ziekenhuizen, apotheken (geen solistisch werkende zorgverlener), huisartsenposten en zorggroepen is altijd grootschalig.

De Algemene verordening gegevensverwerking (AVG) bevat een aantal verplichtingen voor organisaties die op grote schaal bijzondere persoonsgegevens verwerken en dit als kerntaak hebben. Deze organisaties moeten verplicht een functionaris voor de gegevensbescherming aanstellen en in bepaalde gevallen een DPIA* doen. In de zorg hebben organisaties vrijwel altijd als kerntaak het verwerken van bijzondere persoonsgegevens omdat zij medische gegevens verwerken. (Bron: Autoriteit Personeelsgegevens, 31 mei 2018)

* Een Data Protection Impact Assessment (DPIA) is een instrument ter ondersteuning van de implementatie en/of naleving van de bepalingen van de Algemene verordening gegevensbescherming (AVG). Een DPIA brengt de effecten op privacybescherming in kaart als gevolg van een verandering in de verwerking van persoonsgegevens of bij de ontwikkeling van nieuwe producten of diensten. Inhoudelijk is er geen verschil tussen een PIA en een DPIA.

Geen uitzondering voor MKB in AVG

Staatssecretaris Keijzer van Economische Zaken voelt er niets voor om het MKB tegemoet te komen met meer duidelijkheid over de normen onder de AVG, zoals de registerplicht en de vraag welke dataopslag wel en welke niet onder de AVG valt. Dat schrijft ze in reactie op Kamervragen naar aanleiding van zorgen bij MKB’ers.

Leden van de Tweede Kamer hadden vragen gesteld over de plichten van ondernemers onder de nieuwe privacywetgeving en de onduidelijkheid daarover. Die baren veel ondernemers zorgen. “Aan deze zorgen is mijns inziens al voldoende tegemoet gekomen”, schrijft de staatssecretaris. “De Rijksoverheid heeft namelijk een aantal hulpmiddelen beschikbaar gesteld om ondernemers te helpen bij het voldoen aan de vereisten uit de AVG. Naast de Handleiding Algemene Verordening Gegevensbescherming heeft het ministerie van Justitie en Veiligheid, met medewerking van VNO-NCW en MKB-Nederland, de brochure “De Algemene verordening gegevensbescherming: wat betekent deze Europese wet voor jou als ondernemer?” gepubliceerd. (Bron: Accountancyvanmorgen, 11 jul. 2018)

Recht op inzage personeelsdossier onder AVG

De AVG is van toepassing op de geheel of gedeeltelijke geautomatiseerde verwerking van persoonsgegevens, en ook op de verwerking van persoonsgegevens die in een bestand zijn of worden opgenomen. Niet duidelijk is of het personeelsdossier van de werknemer geautomatiseerd wordt verwerkt, bijvoorbeeld in een online-database of op de computer opgeslagen documenten. Wanneer dat het geval is, valt het personeelsdossier onder het materiële toepassingsgebied van de AVG.

Ook voor zover het personeelsdossier door de werkgever niet geautomatiseerd wordt verwerkt, oordeelt de rechter dat een personeelsdossier meerdere kenmerken bevat die zodanig met elkaar samenhangen dat al die gegevens naar de werknemer zijn te herleiden. Het personeelsdossier is in dat geval aan te merken als ‘bestand’.  Daarmee staat vast dat de werknemer bescherming geniet onder de AVG. De betrokkene heeft onder meer het recht om – wanneer duidelijk is dat zijn persoonsgegevens worden verwerkt – inzage te verkrijgen van die persoonsgegevens. Daarnaast heeft hij recht op de verstrekking van een kopie van zijn persoonsgegevens die worden verwerkt. (Bron: Jurisprudentie, d.d. 25 juli 2018)

Recht op kopie personeelsdossier

In een andere situatie vordert een werknemer bij de rechter in het kader van op te starten mediation alle stukken in zijn personeelsdossier, omdat hij daar volgens de Algemene verordening gegevensbescherming (AVG) recht op heeft. De werkgever weigert de stukken af te geven, omdat de werknemer deze stukken al heeft dan wel bekend hiermee is. Wat zegt Rechtbank Den Haag? 

Uitzonderingen 

Artikel 41 van de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG) noemt een paar uitzonderingen waarin het recht op inzage valt te weigeren. Het gaat dan bijvoorbeeld om de bescherming van de openbare veiligheid of de onafhankelijkheid van de rechter.  

Al bekend of verstrekt

De werkgever voert aan dat de stukken waarvan de werknemer nu een kopie vraagt al eerder aan hem zijn verstrekt of dat hij met de gegevens die daarin staan bekend is of moet zijn, zoals bijvoorbeeld gegevens omtrent zijn ziekteverzuim en ziekteverloop. Dit behoort echter niet tot de uitzonderingen genoemd in artikel 41 UAVG.  
Bekendheid met gegevens is geen grond voor het niet verstrekken van stukken.  

Administratieve kosten

Verder is in de AVG vastgelegd dat voor het verstrekken van bijkomende kopieën geen andere kosten in rekening mogen worden gebracht dan een redelijke vergoeding op basis van de administratieve kosten. Daaruit volgt dat de betrokkene ook om een kopie kan vragen van stukken die al eerder (ooit eens) zijn verstrekt.  
Volgens de kantonrechter heeft de werknemer dan ook een rechtmatig belang bij afgifte van de stukken in zijn personeelsdossier die hem niet al na zijn verzoek zijn verstrekt. De kantonrechter vindt ook dat de werknemer daarbij een spoedeisend belang heeft. Hij heeft een conflict met zijn werkgever en het is voor hem van belang om te weten wat er in zijn personeelsdossier zit.  
De werkgever heeft de wettelijke termijn van 1 maand niet in acht genomen en zonder bevel van de kantonrechter is niet te verwachten dat de werkgever de werknemer binnen een redelijke termijn zal geven waarop hij recht heeft.  

Dwangsom

Oplegging van een dwangsom, als stimulans tot nakoming van de te geven beslissing, acht de kantonrechter aangewezen. De op te leggen dwangsom wordt gematigd en gemaximeerd. 
De werkgever moet binnen drie werkdagen na het vonnis een kopie van de stukken waarin zij persoonsgegevens van de werknemer heeft verwerkt aan de werknemer overhandigen. Gebeurt dit niet dan volgt een dwangsom van 500 euro per dag dat de werkgever hiermee in gebreke blijft, met een maximum van 10.000 euro. 
 

Wie is verantwoordelijk, u of uw leveranciers?

Voor veel facilitaire systemen waarop de Algemene Verordening Gegevensbescherming (AVG) van toepassing is - zoals camerasystemen en toegangscontrolesystemen - geldt dat de facilitaire organisatie deze aan leveranciers heeft uitbesteed. Maar wie hoort nu precies wat te doen en wie is nu precies waarvoor verantwoordelijk?

De AVG legt door een verantwoordingsplicht meer verantwoordelijkheid bij organisaties om aan te tonen dat ze aan de regels voldoen. Een organisatie door of voor wie de gegevens verzameld wordt, wordt een verwerkingsverantwoordelijke genoemd. De verwerkingsverantwoordelijke - voor het gemak opdrachtgever - blijft verantwoordelijk voor alles wat er met de door of namens zijn organisatie verzamelde gegevens gebeurt. De opdrachtgever is en blijft verantwoordelijk voor alles wat er binnen zijn organisatie gebeurt maar ook voor alles wat er door leveranciers mee gedaan wordt. Zou de Autoriteit Persoonsgegevens een boete opleggen dan komt hij in eerste instantie bij de opdrachtgever uit, deze is immers aansprakelijk.

In principe kan de verwerker dus alleen aansprakelijk worden gesteld in die gevallen waarbij de verwerker handelt in strijd met de instructies en afspraken zoals vastgelegd in de verwerkersovereenkomst. (Bron: F-Facts, 22 aug. 2018)

AVG geeft niet per se recht op inzage in document zelf

De Algemene Verordening Gegevensbescherming (AVG) geeft geen recht op inzage in het document als zodanig. Dat stelt staatssecretaris Snel in antwoord op Kamervragen. Specifiek was de vraag of de burger recht heeft op inzage in notities betreffende telefoongesprekken met de Belastingdienst.

Snel: "Een burger heeft alleen recht op inzage in zijn eigen persoonsgegevens. Voor zover aan de met het recht op inzage nagestreefde doelstelling volledig kan worden voldaan met een andere vorm van verstrekking, kan een betrokkene noch aan de AVG noch aan artikel 8, lid 2, van het Handvest van de Grondrechten van de Europese Unie het recht ontlenen om een afschrift te verkrijgen van het originele document of bestand waarin die gegevens staan. Teneinde een burger geen toegang te geven tot andere informatie dan de hem betreffende persoonsgegevens, kan hij een afschrift krijgen van het originele document of bestaand waarin die andere informatie onleesbaar is gemaakt. 

 "Het inzagerecht geeft dus geen recht op het document c.q. de telefoonnotitie als zodanig, maar slechts op zijn/haar in de telefoonnotitie opgenomen persoonsgegevens. Eventuele persoonlijke overwegingen en/of juridische analyses vallen buiten het bereik van het inzagerecht; zie de uitspraak van het Hof van Justitie van de Europese Unie van 17 juli 2014 (C-141/12 en C-372/12; ECLI:EU:C:2014:2081)." (Bron: VVP, 7 sep. 2018).

Regels AVG hinderen aanpak fraudeurs

De Algemene Verordening Gegevensbescherming (AVG) is nu een tijdje van kracht in Nederland, maar er mag in de praktijk nog wel wat bijgestuurd worden. Dat heeft belangenorganisatie MKB-Nederland laten weten tijdens een overleg in de Tweede Kamer.

Een van de knelpunten: bestrijding van fraude. Bij het aanpakken van fraudeurs ‘over sectoren heen’ werken de privacyregels ondernemers tegen, aldus MKB-Nederland. Tussen verschillende sectoren mogen namelijk geen gegevens worden uitgewisseld over fraudeurs. En dat maakt de aanpak er niet makkelijker op, omdat fraudeurs geregeld in verschillende sectoren actief zijn. Ondernemersorganisaties pleiten ook al langer voor een frauderegister naar Brits voorbeeld. (Bron en meer: Rendement, 1 okt. 2018)

Werkgever blokkeert voortijdig toegang tot e-mailaccount van werknemer waarvan overeenkomst niet wordt verlengd.

Als van een werknemer de arbeidsovereenkomst niet wordt verlengd, kan het handig zijn om zijn zakelijke e-mailaccount nog even aan te houden of de mails automatisch door te sturen naar een collega. Maar houdt de werkgever dan voldoende rekening met de privacy van de ex-werknemer? En mag de werkgever dat account dan voortijdig blokkeren?

Veel werkgevers willen zicht houden op e-mails van klanten of relaties die na uitdiensttreding nog binnenkomen op het zakelijke mailaccount van een ex-werknemer. Toch is het de vraag of dit is toegestaan; de werkgever maakt hiermee immers inbreuk op de privacy van de ex-werknemer. Op grond van de Algemene Verordening Gegevensbescherming zijn er twee grondslagen waar de werkgever in zo’n geval een beroep op zou kunnen doen: toestemming en het gerechtvaardigd belang.

Zakelijke mail inzien mag, privémail niet
Het is niet verstandig of toegelaten om op grond van de  toestemmingsvereiste uit de AVG om de informatie  te gebruiken vanwege de gezagsverhouding tussen een werkgever en (ex-) werknemer. Wel zou de werkgever het zakelijke e-mailaccount van de ex-werknemer kunnen aanhouden op basis van een gerechtvaardigd belang. De werkgever heeft immers een bedrijfsbelang om klanten of relaties die het oude e-mailadres gebruiken alsnog te helpen. Bij het inzien van de e-mails moet de werkgever voorkomen dat hij (of collega’s) privémails bekijken die op het zakelijke e-mailaccount eventueel nog binnenkomen. In de praktijk is dit uiteraard wel lastig te controleren.

Privémail gebruiken in een zakelijk conflict
Het is uiteraard niet toegestaan dat de werkgever vervolgens privé mail gebruikt ter ondersteuning van bewijs in een rechtszaak m.b.t. het ontslag. Een dergelijk bewijs is eveneens niet toegestaan.

Termijn verbinden aan inzien e-mailaccount
Daarnaast moet de werkgever een bepaalde termijn verbinden aan het inzien van het e-mailaccount van de ex-werknemer. Hoelang deze termijn kan zijn, hangt onder meer af van de functie die de ex-werknemer uitoefende. Als hij een commerciële functie had met veel klantcontact, zal een langere termijn zijn toegestaan dan bijvoorbeeld bij een administratieve functie. Gemiddeld genomen is een periode van zes maanden na uitdiensttreding redelijk.

Redactie: Het zal in de praktijk moeilijk zijn om prive mail te onderscheiden van zakelijke mail, behalve wanneer de werkgever te kwader trouw zal zijn

Museumkaart nodig voor bepalen woonplaats

De gegevens van een museumkaart zijn volgens de Belastingdienst een van de puzzelstukjes die meer duidelijkheid moeten geven over de woonplaats van een persoon naar wie onderzoek plaatsvindt. Het gebeurt geregeld dat informatie bij derden wordt opgevraagd over mogelijk belastingontduikers, bepleitte de advocaat van de Staat tijdens een kort geding op de rechtbank in Amsterdam.

Daarbij gaat het vaak om privacygevoelige gegevens, zoals informatie van een lidmaatschap van een sportclub, creditcardbetalingen of geldopnames. De Belastingdienst wil via de civiele rechter de Stichting Museumkaart ertoe dwingen informatie te verstrekken over data en locaties in een periode van ruim drie jaar waarop deze kaarthouder musea heeft bezocht. De stichting weigert de informatie te verstrekken omdat ze de privacy van de kaarthouders wil beschermen. Bovendien bieden de gegevens geen garantie dat de betreffende musea daadwerkelijk door deze persoon zijn bezocht. (Bron: Welingelichte Kringen, 1 nov. 2018

De Museumvereniging moet de gegevens van een Museumkaarthouder aan de Belastingdienst geven voor onderzoek naar het al dan niet belastingplichtig zijn van die kaarthouder. Het belang van de privacy van de kaarthouder weegt niet op tegen het algemeen belang van ‘een correcte belastingheffing’, zo heeft de kortgedingrechter in Amsterdam donderdag 15-11-2018 bepaald.

Fiscus stopt met flitsen voor bijtelling
 Er is geen enkele manier waarop de Belastingdienst camerabeelden van snelwegen kan gebruiken om te controleren of zakelijke rijders hun auto niet te veel privé gebruiken zonder hun privacy ernstig te schaden, dus de fiscus stopt met deze praktijk.

Een zakelijke rijder mag maximaal 500 kilometer per jaar privé kilometers in zijn auto maken zonder bijtelling (en daarover belasting) te hoeven betalen. Bij flitscontroles kunnen alle kentekens van het langsrijdend verkeer worden vastgelegd. De Belastingdienst kan door het combineren van al deze foto’s precies weten hoeveel er met een auto wordt gereden, waar en wanneer. Maar al deze data bewaren, is een te grote inbreuk op de privacy van miljoenen Nederlanders. (Bron: De Telegraaf, 1 nov. 2018)

Nieuwsartikelen AVG 

Wat je ook van de Algemene Verordening Gegevensbescherming (AVG) vindt, het is in ieder geval een ijverige club. Vanaf begin januari 2014 - tot midden november 2018 zijn niet minder dan 152 nieuwsartikelen verschenen. Het eerste nieuwsartikel van januari 2014 - toen nog College Bescherming Persoonsgegevens (CBP) geheten - luidde 'Instemmingsrecht OR bij geheim cameratoezicht' en op 13 november 2018 mochten we 'Microsoft moet privacy van producten bij Rijksoverheid verbeteren' verwelkomen.  

Wie wil kijken of hij/zij iets over het hoofd heeft gezien, is er de site van Rendement die alle nieuwsartikelen bijhoudt.  

Gerelateerde artikelen en/of partner bijdragen:
Gerelateerd nieuws en/of opinies:


 Privacy    Autoriteit Persoonsgegevens