Algemene verordening gegevensbescherming (AVG)    Begrip en diverse onderwerpen 


Autoriteit Persoonsgegevens

Datum laatste wijziging: 9 september 2019  |  Trefwoorden: Privacy, Dataportabiliteit, Privacyrechten, Persoonsgegevens, Autoriteit Persoonsgegevens, Recht op inzage, Verwerkersovereenkomst, Boete, Boetebeleid

Inhoud

  1. Maak kennis met de site van de Autoriteit
  2. Rapport Autoriteit Persoonsgegevens over Abrona
  3. Beleidsregels 'De zieke werknemer'
  4. Evaluatie meldplicht datalekken na 1 jaar
  5. 5500 datalekmeldingen: waar gaat het mis?
  6. Campagne 'Privacy gaat iedereen wat aan'
  7. Werkgevers in de knel door privacywet
  8. Jaarverslag 2017
  9. Privacywaakhond vreest tandeloos te zijn door geldgebrek
  10. Onrust bij Autoriteit Persoonsgegevens
  11. Autoriteit Persoonsgegevens start controles naar verwerkingsregister
  12. Vele honderden klachten
  13. Nadere uitleg richtlijn ‘De zieke werknemer’
  14. Iedereen heeft privacyrechten
  15. Inzagerecht van persoonsgegevens
  16. Nepbrieven aan ondernemers van AP in omloop
  17. Veel privacyklachten over ICT-bedrijven
  18. Kwart van de organisaties nog geen AVG-bedrijfsbeleid
  19. Separaat wetsvoorstel over privacy in Handelsregisterwet
  20. Persoonsgegevens zonder Brexit akkoord niet zomaar naar Verenigd Koninkrijk
  21. Boetebeleid Autoriteit Persoonsgegevens
  22. Grondslag om personeelsgegevens te verwerken
  23. Jaarverslag 2018
  24. Mkb worstelt met privacywet
  25. Betaalgegevens gebruiken voor aanbiedingen? Dat doen veel banken al lang
  26. Richtlijnen voor cameratoezicht
  27. Spookfacturen niet meer melden
  28. Sterke toename van privacyklachten in 2019

Maak kennis met de site van de Autoriteit

De Autoriteit Persoonsgegevens (AP) is op 29 januari 2018 van start gegaan met een voorlichtingscampagne over de nieuwe Europese privacywet die vanaf 25 mei 2018 geldt. Aleid Wolfsen, voorzitter van de AP, deed de aftrap van de campagne met een privacyles op een basisschool. De campagne ‘Privacy gaat iedereen wat aan’ maakt mensen bewuster van hun privacyrechten en biedt organisaties praktische hulp bij de naleving van de wet.

De Autoriteit Persoonsgegevens is bij de uitvoering van zijn taken gehouden aan de bepalingen van de Algemene wet bestuursrecht. Dat betekent onder meer dat:
  • tegen besluiten van de Autoriteit Persoonsgegevens bezwaar kan worden gemaakt en beroep kan worden aangetekend bij de bestuursrechter;
  • de Wet openbaarheid van bestuur van toepassing is;
  • een klacht over de Autoriteit Persoonsgegevens kan worden ingediend bij de Nationale ombudsman;
  • de Autoriteit Persoonsgegevens als bestuursorgaan uiteraard ook gebonden is aan de algemene beginselen van behoorlijk bestuur.

Rapport Autoriteit Persoonsgegevens over Abrona

Recent is een rapport verschenen van AP, de Autoriteit Persoonsgegevens (het vroegere CPB) over de zorginstelling Stichting Abrona en hoe deze onjuist omgaat met de medische gegevens van zieke werknemers. Het rapport krijgt bij derden weinig bijval.

In het rapport is vastgesteld dat Abrona bij de ziekmelding meer persoonsgegevens betreffende de gezondheid van haar werknemers verwerkt dan noodzakelijk is voor de vaststelling van haar loondoorbetalingsverplichting en de re-integratie of begeleiding van haar zieke werknemers. Zo registreert Abrona in haar verzuimsysteem gegevens als aard en oorzaak van de ziekte van de (zieke) werknemer alsmede zwangerschap. Daarnaast bepaalt de zieke werknemer bij ziekmelding zelf het ziektepercentage en kan Abrona dit ziektepercentage bij een ziekmelding in het verzuimsysteem invullen. (Bron: RNVC, 14 mrt. 2016)

Beleidsregels 'De zieke werknemer'

De Autoriteit Persoonsgegevens (AP) publiceerde op 21 april 2016 de beleidsregels De zieke werknemer. De beleidsregels bevatten actuele informatie voor werknemers, werkgevers en andere partijen die gegevens over de gezondheid van (zieke) werknemers verwerken. Zo staat er welke gezondheidsgegevens van werknemers werkgevers mogen verwerken. Daarnaast zijn de normen in deze beleidsregels het uitgangspunt voor de Autoriteit Persoonsgegevens als zij onderzoekt of een organisatie in overeenstemming met de wet gezondheidsgegevens van werknemers verwerkt. (Bron en meer: AP, 21 apr. 2016, zie ook het uitvoerige rapport 'De zieke werknemer, Beleidsregels voor de verwerking van persoonsgegevens over de gezondheid van zieke werknemers'.

De beleidsregels 'De zieke werknemer' hebben voor onrust en vragen gezorgd. Vooral de uitspraak van de AP dat een werkgever niet mag vragen naar functionele arbeidsbeperkingen en arbeidsmogelijkheden roept veel discussie op. Kunnen werkgever en werknemer nog wel een gesprek voeren over re-integratie zonder tussenkomst van de bedrijfsarts? Reden voor de Nederlandse Vereniging van Audicienbedrijven (NVAB) (Audicien = slechthorend) met de AP een gesprek (november 2016) te voeren. Samengevat:

  • Het gaat de AP vooral om twee belangrijke pijlers van de privacyregelgeving:
    • Het geheimhouden van medische gegevens.
    • Het zonder dwang of drang kunnen spreken (of zwijgen) door zieke werknemers over privacygevoelige onderwerpen.
  • Werkgever en werknemer zouden samen een sfeer moeten creëren waarin in alle vrijheid een gesprek kan plaatsvinden.

Red.: Of de onrust door deze geruststellende woorden verdwenen is, valt te bezien.

Evaluatie meldplicht datalekken na 1 jaar

Op 1 januari 2016 is de meldplicht datalekken* ingegaan. Organisaties die een ernstig datalek hebben, moeten dit sindsdien melden bij de Autoriteit Persoonsgegevens (AP) en soms ook aan de mensen van wie de gelekte gegevens zijn. In bijna een jaar tijd (tot 15 december 2016) heeft de AP bijna 5500 meldingen ontvangen van datalekken.

De meeste meldingen zijn afkomstig uit de sectoren gezondheid & welzijn (o.a. zorgverzekeraars, ziekenhuizen), financiële dienstverlening (o.a. banken, verzekeraars) en openbaar bestuur (o.a. gemeenten).

Er zijn veel datalekken waarbij gegevens per ongeluk bij iemand anders terecht komen dan de bedoeling is. Bijvoorbeeld door een verkeerd bezorgde brief, een e-mail aan de verkeerde ontvanger of als een klant in een klantportaal de gegevens van iemand anders ziet. Ook komt het vaak voor dat bijvoorbeeld een USB-stick met persoonsgegevens kwijtraakt of een laptop wordt gestolen.

Ruim 100 organisaties kregen een waarschuwing van de AP. In enkele andere tientallen gevallen doet de AP een diepgaander onderzoek. Deze onderzoeken lopen nog. (Bron AP, 28 dec. 2016)

* We spreken van een datalek als persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens zouden mogen hebben. Een datalek is het gevolg van een beveiligingsprobleem. In de meeste gevallen gaat het om uitgelekte computerbestanden, al kan een gestolen geprinte klantenlijst evengoed een datalek vormen.

5500 datalekmeldingen: waar gaat het mis?

Een jaar na de invoering van de meldplicht datalekken maakte de Autoriteit Persoonsgegevens (AP) eind 2016 de balans op: ruim 5.500 meldingen in krap een jaar tijd. Een groot deel van die meldingen was te voorkomen geweest.

De meldingen die de Autoriteit Persoonsgegevens in 2016 ontving, gingen in veel gevallen over verkeerd bezorgde brieven, verkeerd geadresseerde e-mails en een slechte beveiliging van klantportalen waardoor klanten elkaars gegevens konden inzien. Ook komt het vaak voor dat USB-sticks met persoonsgegevens kwijtraken of dat een laptop wordt gestolen. (Bron: Brisk, 20 apr. 2017)

Toezicht en begeleiding bij implementatie van AVG door Autoriteit Persoonsgegevens (AP)
MKB-Nederland en VNO-NCW willen toezicht en begeleiding voor Nederlandse bedrijven bij de implementatie van de Europese Algemene Verordening Gegevensbescherming (AVG). De nieuwe privacywetgeving zou veel werk en kosten met zich meebrengen.

De Autoriteit Persoonsgegevens (AP) moet samenwerken met het Nederlandse bedrijfsleven. Dat vinden ondernemersorganisaties MKB-Nederland en VNO-NCW naar aanleiding van de naderende invoering van de Europese Algemene Verordening Gegevensbescherming (AVG) in mei 2018. Toezicht vanuit de AP moet dan gericht zijn op het in goede banen leiden van data gedreven innovatie, en mag er niet toe leiden dat zulke innovaties onmogelijk worden. (Bron: CM, 22 aug. 2017)

Op dit moment mag de Autoriteit Persoonsgegevens boetes opleggen van maximaal 900.000 euro. Dat maximum kan met de nieuwe wet oplopen tot 20 miljoen of 4% van de jaaromzet.

Campagne 'Privacy gaat iedereen wat aan'

De Autoriteit Persoonsgegevens (AP) start een voorlichtingscampagne over de nieuwe Europese privacywet die vanaf 25 mei 2018 geldt.

Met de campagne biedt de AP organisaties praktische hulp om te voldoen aan hun nieuwe plichten. Zoals een digitale ‘regelhulp’ waarmee organisaties snel in kaart kunnen brengen wat zij nog moeten doen voor 25 mei. Op hulpbijprivacy.nl, de campagnewebsite van de AP, worden ook andere hulpmiddelen aangeboden en staat de informatie over de rechten en plichten uit de nieuwe wet overzichtelijk op een rij. Omdat kinderen al op jonge leeftijd online actief zijn, heeft de AP speciaal voor hen een lespakket laten ontwikkelen. (Bron: Autoriteit persoonsgegevens, 29 jan. 2018)

Werkgevers in de knel door privacywet 

Werkgevers komen in de knel door de beperkingen die de Autoriteit Persoonsgegevens (AP) oplegt voor de verwerking van (gezondheids)gegevens van medewerkers. Dat staat in een brief die VNO-NCW en MKB-Nederland dinsdag naar de Tweede Kamer hebben gestuurd.

De Autoriteit Persoonsgegevens (AP) handhaaft zo streng op de privacywetgeving, zeggen zij, dat het werkgevers niet lukt zieke werknemers goed te begeleiden. Ook kunnen ze zo onmogelijk mensen met een arbeidsbeperking een juiste werkplek bieden.

Dat al in de eerste periode waarin een werknemer ziek is een bedrijfsarts moet worden ingeschakeld is volgens VNO-NCW ‘volstrekt onnodig’. “Werkgever en werknemer zijn over het algemeen prima in staat zelf onderling afspraken te maken zonder te spreken over diagnose of behandeling.” Door het snelle inschakelen van de bedrijfsarts is er sprake van “onnodige medicalisering” en “daarmee hogere kosten voor de werkgever”.

Beide ondernemingsorganisaties willen dat de wetgever nader aangeeft onder welke voorwaarden werkgevers mogen vragen naar de gezondheidssituatie van medewerkers. Nu vult de AP de ruimte die de nieuwe privacywet AVG biedt zeer restrictief in. Door als wetgever duidelijkheid te creëren in de wet, kunnen ondernemers hun verantwoordelijkheden rond re-integratie, 100.000 banenplan en veilige werkomgeving waarmaken, zonder dat de AP daar onder het mom van privacy een stokje voor steekt. (Bron en meer: VNO-NCW, 7 mrt. 2018)

Jaarverslag 2017

Het jaar 2017 stond voor de Autoriteit Persoonsgegevens (AP) in het teken van de aankomende nieuwe privacywetgeving. De AP investeerde in voorlichting aan organisaties en nadere Europese uitleg van de nieuwe regels. Daarnaast hield de AP toezicht op de naleving van de huidige Wet bescherming persoonsgegevens (Wbp) met onderzoeken naar bijvoorbeeld Facebook, Microsoft en de registratie van prostituees.

Voorzitter Aleid Wolfsen: “Er is nu veel meer aandacht in de samenleving voor het onderwerp privacy. Aandacht voor de nieuwe privacywetgeving, incidenten rond Facebook, medische dossiers en cameratoezicht in sauna’s zorgt voor een groter bewustzijn van het belang van de bescherming van onze persoonsgegevens. Mensen raken er steeds meer van doordrongen dat bijna alles wat we doen zijn weerslag heeft in persoonsgegevens. Wij zijn onze persoonsgegevens. Bescherming van die gegevens is geen luxe, maar noodzaak.” (Bron: AP, 24 apr. 2018)

Privacywaakhond vreest tandeloos te zijn door geldgebrek

De privacywaakhond zegt klaar te zijn om de wet te gaan handhaven, maar vreest wel dat het budget niet toereikend is. ‘Dat is een punt van zorg’, zegt een woordvoerder tegen Nu.nl. ‘Het aantal aanvragen dat we nu hebben gekregen is al drie keer zo hoog als in dezelfde periode vorig jaar, en de wet moet nog van kracht worden.’ Veel bedrijven zijn ook nog niet ‘AVG-bestendig’.

De autoriteit reageert naar aanleiding van berichtgeving van persbureau Reuters, dat een rondje maakte onder 24 Europese privacywaakhonden. Zeventien van de 24 ondervraagde instanties zeggen dat ze op 25 mei nog onvoldoende financiering of bevoegdheden te hebben om de AVG goed te kunnen handhaven. (Bronnen: Nu & Accountancy Van Morgen, mei. 2018)

Onrust bij Autoriteit Persoonsgegevens

De Autoriteit Persoonsgegevens heeft te maken met interne onrust en een uittocht van medewerkers. De autoritaire bestuursstijl van de voormalige burgemeester van Utrecht Aleid Wolfsen zou hier aan ten grondslag liggen.

"Hij weet het zelf altijd beter", vertelt een anonieme bron aan het Financieele Dagblad, dat over de onrust binnen de privacywaakhond schrijft. Wolfsen trad in 2016 aan als bestuursvoorzitter bij de Autoriteit Persoonsgegevens (AP). De voormalige Utrechtse politicus zou een autoritaire bestuursstijl hebben en nooit informatie vragen aan deskundigen.

De krant schrijft dat de AP gebukt gaat onder interne onrust. Er zou sprake zijn van bestuursruzies en een uittocht van ervaren mensen, wat ten koste zou gaan van de slagkracht, terwijl nu net de nieuwe privacyregels uit de Algemene Verordening Gegevensbescherming (AVG) van kracht zijn geworden. (Bron: RTVUtrecht, 25 mei 2018)

Autoriteit Persoonsgegevens start controles naar verwerkingsregister

De Autoriteit Persoonsgegevens (AP) gaat onderzoeken of organisaties een verwerkingsregister bijhouden. Het gaat in eerste instantie om een willekeurige steekproef van dertig grote organisaties uit tien private sectoren.

Dat meldt de toezichthouder op de website. Het steekproef wordt uitgevoerd in de volgende tien sectoren: industrie en metaal, waterleidingbedrijf , bouw, handel, horeca, reisorganisatie, communicatie, financiële dienstverlening, zakelijke dienstverlening en zorg. De organisaties zitten verspreid over heel Nederland. (Bron: Xpert, 18 jul. 2018)

Vele honderden klachten

Binnen een maand nadat de Europese privacywet AVG van kracht werd, dienden vele honderden mensen een klacht in bij privacywaakhond Autoriteit Persoonsgegevens (AP). Uit de klachten blijkt dat bedrijven nog grote slagen te maken hebben voor zij voldoen aan de wet. Bijna een derde van de klachten kwam van mensen die problemen ondervinden bij het verwijderd krijgen van hun persoonsgegevens. Daarnaast klagen mensen dat zij hun gegevens niet mogen inzien en over ongewenste verstrekking van hun gegevens aan derden.

Het grootste deel van de klachten gaat over bedrijven (87%). De Algemene verordening gegevensbescherming (AVG) die op 25 2018 mei van kracht werd, heeft grote gevolgen voor organisaties die cv’s opslaan. Wie geen nadrukkelijke toestemming heeft van de sollicitant, mag de gegevens niet opslaan en moet alle cv’s ouder dan vier weken verwijderen. Dat betekent dat miljoenen cv’s moeten worden gewist of geanonimiseerd. (Bron: PW, 16 aug. 2018)

Nadere uitleg richtlijn ‘De zieke werknemer’

Het ministerie van Sociale Zaken en Werkgelegenheid (SZW) heeft op het Arboportaal een document gepubliceerd waarin uitleg wordt gegeven over de beleidsregels ‘De zieke werknemer’ van de Autoriteit Persoonsgegevens (AP). De beleidsregels hebben vanaf het moment van publicatie, 21 april 2016, tot veel discussie geleid. Voornaamste bezwaar van veel partijen betrokken bij verzuim(beleid) en re-integratie, is dat de beleidsregels met een beroep op de privacywetgeving onnodige drempels opwerpen die het re-integratieproces van zieke werknemers belemmeren.

Door diverse partijen is twijfel geuit of een aantal aannames van de AP wel strookt met de Wet verbetering poortwachter. Het gaat hierbij onder andere om zaken als het bespreken en het verwerken van gegevens door een werkgever bij een ziekmelding. Zo mag de werkgever, volgens de AP, niet vragen naar de functionele mogelijkheden en beperkingen van de werknemer. Dit betekent dat hij niet mag vragen welke (deel)taken of werkzaamheden de werknemer nog kan uitvoeren. Volgens de AP hoeft de werknemer deze informatie niet aan de werkgever te verstrekken. En als de werknemer hierover spontaan informatie verstrekt, mag de werkgever dit volgens de AP niet registeren. Dit bemoeilijkt de re-integratie in de praktijk, tot ergernis van veel werkgevers.

Om een lang verhaal kort te maken kort te maken. De AP verduidelijkt maar geeft geen duimbreed toe. Dit betekent dat de onduidelijkheid voortduurt en in de praktijk de beleidsregels een belemmering blijven vormen voor het re-integratieproces. Hier zijn werkgevers noch werknemers bij gebaat. (Bron: AWVN, 17 aug. 2018)

Red.: Wij zijn benieuwd of t.z.t. een rechter in zijn oordeel aangeeft of een werkgever zich inzake de re-integratie van een werknemer voldoende heeft ingespannen en het feit - dat de werkgever niet naar functionele mogelijkheden en beperkingen mocht vragen - laat meewegen

Iedereen heeft privacyrechten

De privacywet geeft iedereen privacyrechten. Zoals het recht om in te zien welke persoonsgegevens een organisatie van je heeft. Die rechten zijn onder de AVG uitgebreid met het recht op dataportabiliteit (het recht om je gegevens mee te nemen) en het recht op vergetelheid (het recht dat organisaties je persoonsgegevens moeten wissen als je erom vraagt. Die rechten kun je zelf uitoefenen, door een organisatie op deze rechten te wijzen. Sinds 25 mei zijn die rechten versterkt: iedereen kan nu ook een privacyklacht indienen bij de AP.

Recht op inzage

Mensen hebben recht op inzage in hun persoonsgegevens. Dat houdt in dat u een organisatie mag vragen of deze persoonsgegevens van u heeft vastgelegd en zo ja, welke. U hoeft geen reden te geven voor een inzageverzoek.

Reikwijdte inzagerecht
Met het antwoord dat de organisatie geeft op uw inzageverzoek, moet u kunnen controleren of uw gegevens kloppen. En of de organisatie uw gegevens op de juiste manier verwerkt.
Het recht op inzage betreft alleen inzage in uw eigen gegevens. U heeft dus geen recht op informatie over anderen. Tenzij iemand u daar bijvoorbeeld een volmacht voor heeft gegeven.
Gebruikt een organisatie persoonlijke werkaantekeningen als geheugensteuntje? Dan vallen deze aantekeningen niet onder het inzagerecht.
Maar slaat de organisatie de aantekeningen vervolgens op in een dossier of verstrekt de organisatie deze aan anderen? Dan heeft degene over wie het gaat ook recht op inzage in deze aantekeningen.

Wetgeving
Het inzagerecht is geregeld in artikel 15 van de Algemene verordening gegevensbescherming (AVG).

Belangrijkste elementen van gegevensoverdraagbaarheid (dataportabiliteit)

Het recht op gegevensoverdraagbaarheid wordt in artikel 20, lid 1, van de algemene verordening gegevensbescherming (AVG) gedefinieerd.
De betrokkene heeft het recht de hem betreffende persoonsgegevens, die hij aan een verwerkingsverantwoordelijke heeft verstrektof van hem zijn verwerkt, in een gestructureerde, gangbare en machineleesbare vorm te verkrijgen, en hij heeft het recht die gegevens aan een andere verwerkingsverantwoordelijke over te dragen, zonder daarbij te worden gehinderd door de verwerkingsverantwoordelijke aan wie de persoonsgegevens waren verstrekt […]

Een recht om persoonsgegevens te verkrijgen

Gegevensoverdraagbaarheid is in eerste instantie een recht van de betrokkene om een subset te ontvangen van persoonsgegevens over hem of haar die door een verwerkingsverantwoordelijke werden verwerkt, en om die gegevens voor later persoonlijk gebruik op te slaan. Die gegevens kunnen op een eigen apparaat of in een eigen cloud worden opgeslagen, zonder dat ze daarbij naar een andere verwerkingsverantwoordelijke moeten worden verzonden.
In dat opzicht vult gegevensoverdraagbaarheid het recht op inzage aan. Een specifiek kenmerk van gegevensoverdraagbaarheid is dat het betrokkenen een manier biedt om hun persoonsgegevens zelf makkelijk te beheren en opnieuw te gebruiken. Deze gegevens moeten "in een gestructureerd, gangbaar en machineleesbaar formaat" worden verkregen. Bijvoorbeeld: een betrokkene kan zijn huidige afspeellijst (of een historiek van beluisterde nummers) van een muziekstreamingdienst willen opvragen om te kijken hoeveel keer hij bepaalde nummers heeft beluisterd of om te bepalen welke muziek hij op een ander platform wil aankopen of beluisteren. Tegelijkertijd wil hij misschien ook zijn contactenlijst van zijn webmailapplicatie opvragen om bijvoorbeeld een lijst met gasten voor zijn huwelijk op te stellen, of informatie krijgen over aankopen met verschillende klantenkaarten of zijn koolstofvoetafdruk bepalen.
In deze gevallen kan de verwerking van de door de betrokkene bezorgde gegevens binnen het toepassingsgebied van huishoudelijke activiteiten vallen, op voorwaarde dat de betrokkene volledige en exclusieve controle heeft over de verwerking, of ze kan namens de betrokkene door een andere partij worden uitgevoerd. In dit laatste geval moet de andere partij als een verwerkingsverantwoordelijke worden beschouwd, ook al gaat het enkel over opslag van persoonsgegevens, en moet deze de principes en verplichtingen zoals in de algemene verordening gegevensbescherming vastgelegd naleven.

Een recht om persoonsgegevens van de ene aan een andere verwerkingsverantwoordelijke over te dragen

Ten tweede wordt in artikel 20, lid 1, bepaald dat betrokkenen het recht hebben om persoonsgegevens van de ene aan een andere verwerkingsverantwoordelijke over te dragen, en dit "zonder daarbij te worden gehinderd". Gegevens kunnen ook direct van de ene aan een andere verwerkingsverantwoordelijke worden overgedragen op verzoek van de betrokkene en waar dat technisch haalbaar is (artikel 20, lid 2). In dat verband worden 6 verwerkingsverantwoordelijken in overweging 68 aangemoedigd om interoperabele formaten te ontwikkelen die gegevensoverdraagbaarheid mogelijk maken,5 maar zonder de verwerkingsverantwoordelijken daarbij te verplichten te kiezen voor of te blijven werken met technisch compatibele verwerkingssystemen6. In de algemene verordening gegevensbescherming wordt het verwerkingsverantwoordelijken echter verboden de verzending te beperken.
In principe biedt dit aspect van gegevensoverdraagbaarheid betrokkenen de mogelijkheid om de gegevens die ze aan een andere dienstverlener (in hetzelfde of in een ander activiteitengebied) hebben bezorgd, niet alleen te verkrijgen en opnieuw te gebruiken, maar ze ook te verzenden. Naast het feit dat de consument (of medewerker) weerbaar wordt gemaakt door "lock-in" te voorkomen, wordt verwacht dat door het recht op gegevensoverdraagbaarheid ook opportuniteiten worden bevorderd op het vlak van innovatie en het veilig en beveiligd delen van persoonsgegevens tussen verwerkingsverantwoordelijken onder toezicht van de betrokkene.
Gegevensoverdraagbaarheid kan het gecontroleerd en beperkt delen door gebruikers van persoonsgegevens tussen organisaties bevorderen en aldus diensten en klantervaringen verrijken. Gegevensoverdraagbaarheid kan verzending en hergebruik van persoonsgegevens van gebruikers tussen de diverse diensten waarin ze geïnteresseerd zijn mogelijk maken.

Nepbrieven aan ondernemers van AP in omloop

De Autoriteit Persoonsgegevens waarschuwt voor profiteurs die kwalijke nepbrieven versturen aan ondernemers. In de brief schermen de profiteurs met een bedrijfsbezoek door de AP, intimideren ze met mogelijk hoge boetes en bieden ze tegen veel geld een waardeloze AVG-scan aan.

Hoe herkent u een echte AP-brief?

Correspondentie van de AP is altijd op briefpapier, het is dus geen gekopieerd velletje. Een echte AP-brief is opgesteld in foutloos Nederlands en bevat altijd de naam en het telefoonnummer van een contactpersoon.

Twijfelt u aan de juistheid van een brief?

Bel dan met het Informatie- en Meldpunt Privacy van de AP, 088 - 1805 250. Samen kunnen we checken of uw brief juist is. (Bron: AP, 23 nov. 2018)

Veel privacyklachten over ICT-bedrijven

Bij de Autoriteit Persoonsgegevens (AP) zijn het afgelopen halfjaar ruim tienduizend klachten binnengekomen over privacy. 12 procent van die klachten gaan over ict-bedrijven. Ook klagen burgers vaak dat zakelijke dienstverleners (41 procent van de klachten) en de overheid (10 procent van de klachten) aan de haal gaan met hun privacyrechten.

De meeste klachten (32 procent) gaan over een schending van een privacyrecht, zoals het recht op inzage en het recht op verwijdering. Mensen krijgen bijvoorbeeld geen inzage in hun gegevens als ze daarom vragen of ondervinden drempels als zij persoonsgegevens verwijderd willen hebben. Veel organisaties vragen bijvoorbeeld om een kopie van een identiteitsbewijs, voordat zij gegevens willen verwijderen. Omdat dit in veel gevallen niet mag heeft de AP via de website de voorlichting hierover uitgebreid. (Bron en meer: Computable, 13 dec. 2018)

Kwart van de organisaties nog geen AVG-bedrijfsbeleid

Bijna een kwart van de Nederlandse werknemers heeft nog geen AVG-beleid ontvangen. Dat blijkt uit onderzoek van kantoorspecialist Fellowes, dat onder ruim 7000 werknemers is gehouden. Sinds de ingang van de nieuwe privacywetgeving moet elke organisatie een privacybeleid op te stellen voor het feit dat medewerkers in contact komen met vertrouwelijke informatie. Onder meer de informatie die op het cv van een sollicitant staat of gegevens in e-mailadressen van derden.

Branches die op dit moment nog veel moeten doen om AVG-proof te worden, zijn de auto-industrie (64%), horeca en reizen (53%) en handel (37%). (Bron: Persberichten.com, 6 dec. 2018)

Separaat wetsvoorstel over privacy in Handelsregisterwet

Het Handelsregister is een van de weinige basisregistraties in Nederland. Het kent veel persoonsgegevens die openbaar zijn. Dat deze data, zoals naam en adres van ondernemers van eenmanszaken openbaar zijn, staat op gespannen voet met de privacy. De privacyregels zijn juist door de implementatie van de Wet Algemene Verordening Gegevensbescherming (tools) in mei 2018 aangescherpt. Om de privacy te waarborgen zou de Handelsregisterwet ook hierop moeten worden aangepast.

Op 6 maart 2017 is het wetsvoorstel over de wijziging van de Handelsregisterwet 2007 echter al aan de Tweede Kamer aangeboden en de wet is nu in behandeling. Om dit proces niet te vertragen, stelt staatssecretaris Keijzer van Economische Zaken en Klimaat in een nota aan de Tweede Kamer (pdf) voor om de bescherming van privégegevens beter te regelen in een separaat wetsvoorstel. Daarin zal ook het advies van de Autoriteit Persoonsgegevens over verbeteringen in de Handelsregisterwet worden meegenomen. (Bronnen: PrivacyNieuws & Rendement, 11 jan. 2019))

Persoonsgegevens zonder Brexit akkoord niet zomaar naar Verenigd Koninkrijk

Een no deal-brexit treft niet alleen goederenverkeer, dat dan stil komt te staan aan de grens, maar ook de digitale snelweg. Daarvoor waarschuwt branchevereniging Nederland ICT. Persoonsgegevens mogen zonder akkoord namelijk niet zomaar meer naar het Verenigd Koninkrijk. "Dit treft niet alleen ict-bedrijven, maar alle bedrijven die persoonsgegevens in het Verenigd Koninkrijk hebben staan", zegt directeur Lotte de Bruijn van de branchevereniging. Daarbij gaat het bijvoorbeeld ook om bedrijven die software gebruiken die data in het Verenigd Koninkrijk opslaat.

De branchevereniging roept de Autoriteit Persoonsgegevens daarom op om een overgangsregeling in te stellen van minimaal vijftien maanden. "Als die er niet komt, lopen veel bedrijven het risico op boetes." (Bron en meer: NOS, 17 jan. 2019)

Boetebeleid van de Autoriteit Persoonsgegevens (AP)

Het boetebeleid laat zien hoe de AP de hoogte van een boete berekent. De hoogte van een boete verschilt per type overtreding. Daarnaast speelt bij het vaststellen van de hoogte bijvoorbeeld ook de ernst, omvang en duur van de overtreding mee en of er sprake is van opzet of recidive. Zie wet

Wettelijk boetemaximum AVG

De AP kan boetes opleggen bij overtredingen van de Algemene verordening gegevensbescherming (AVG) en de Uitvoeringswet van de AVG. De AVG kent twee categorieën van overtredingen en bijbehorende maximale boetes.

Wie persoonsgegevens verwerkt heeft verplichtingen, zoals een verwerkingsregister (verwerkersovereenkomst) bijhouden. Gebeurt dat niet dan kan de AP een boete opleggen tot 10 miljoen euro, of 2% van de jaaromzet.
Overtreedt een verantwoordelijke privacyrechten of de beginselen van de AVG, dan kan de AP een boete opleggen tot 20 miljoen euro, of 4% van de jaaromzet.

Boetecategorieën

De AP heeft de overtredingen van de AVG en de andere wetten waarop zij toezicht houdt, voor elk wettelijk boetemaximum ingedeeld in 3 of 4 boetecategorieën, waaraan oplopende geldboetes zijn verbonden. Deze indeling is ingegeven door de zwaarte en ernst van de geschonden norm en de verhouding tot de andere normen in het gegevensbeschermingsrecht.

Basisboete

Elke boetecategorie is vervolgens gekoppeld aan boetebandbreedtes. De hoogte daarvan moet voldoende afschrikwekkend zijn voor potentiële overtreders. Daarbinnen heeft de AP een basisboete vastgelegd. Dit bedrag vormt voor de AP het uitgangspunt voor de berekening van de boete in een afzonderlijk geval.
Websites moeten toegankelijk blijven bij weigeren tracking cookies

Grondslag om personeelsgegevens te verwerken

Volgens de regels van de AVG moeten organisaties een grondslag hebben om persoonsgegevens te verwerken. Als bedrijven mensen willen volgen met tracking cookies, volgsoftware of andere digitale methodes, moeten zij daarvoor toestemming vragen. Om die reden vragen vele websides vooraf toestemming voor het plaatsen van diverse ‘volgsoftware’ zoals tracking cookies, tracking pixels of fingerprinting.

Bij cookiewalls op websites (geen toestemming betekent geen toegang) is de toestemming niet vrij gegeven, omdat websitebezoekers zonder het geven van toestemming geen toegang tot de website krijgen. Voor organisaties die in 2019 nog in de fout zitten de plicht zich snel aan te passen.

Jaarverslag 2018

Het jaar 2018 was een mijlpaal voor de bescherming van persoonsgegevens. Op 25 mei 2018 werd namelijk de nieuwe privacywet van toepassing, de Algemene verordening gegevensbescherming (AVG). Voor de Autoriteit Persoonsgegevens (AP) stond het jaar dan ook in het teken hiervan.

Enkele feiten die in het jaarverslag opvielen:
  • Sinds de AVG neemt de AP elke privacyklacht in behandeling. In 2018 heeft de AP ruim 11.000 klachten ontvangen. De klachten gingen vooral over een schending van privacyrechten, zoals het recht op inzage.
  • Er is tot nu toe één boete uitgedeeld. Zes ton aan Uber voor het te laat melden van een datalek.
  • De AP heeft zich in 2018 voornamelijk gericht op het beëindigen van mogelijke overtredingen door aan te sturen op herstelmaatregelen door organisaties zelf.
  • De AP controleerde bij 400 overheidsorganisaties, 91 ziekenhuizen en 33 zorgverzekeraars of zij een Functionaris gegevensbescherming (FG) hadden aangemeld.
  • In december 2018 is de AP gestart met onderzoek naar het privacybeleid van een aantal IVF* -klinieken, politieke partijen en bloedbanken.
  • Het budget werd met 25 procent overschreden, mede door het moeten inhuren van externe ondersteuning. De reden was onderbezetting. 
* In vitro fertilisatie (IVF) is een voortplantingstechniek waarbij een of meer eicellen buiten het lichaam worden bevrucht met zaadcellen, waarna de ontstane embryo's in de baarmoeder worden teruggeplaatst. 

Mkb worstelt met privacywet

Meer dan de helft van de Nederlandse mkb’ers voldoet nog niet aan de eisen van de Algemene Verordening Gegevensbescherming (AVG). Het is 25 mei een jaar geleden dat deze wet in werking is getreden. Het volgende moet nog worden gerealiseerd, tussenhaakjes het percentage MKB-ers wat tot dusverre in gebreke bleef:
  • Het afsluiten van overeenkomsten met opdrachtgevers of -nemers hoe persoonsgegevens worden verwerkt (69%)
  • Het hebben van een het register waarin bijgehouden wordt welke persoonsgegevens worden verwerkt (52%)
  • Het inrichten van processen ingericht om te voldoen aan verzoeken van betrokkenen, bijv. een verzoek tot verwijdering of inzage (45%)
(Bron: DDMA (branchevereniging voor data en marketing), 23 mei 2019)

Zie ook de privacy improver van de DDMA.

Betaalgegevens gebruiken voor aanbiedingen? Dat doen veel banken al lang

Het voornemen van de ING om bankafschriften te gebruiken voor marketing heeft – naast brede verontwaardiging – inmiddels ook geleid tot een waarschuwing van de Autoriteit Persoonsgegevens (juli 2019). Maar waar ING de plannen nog openlijk aankondigt, blijkt uit een inventarisatie van de Volkskrant dat andere grote banken betaalgegevens van klanten allang gebruiken voor marketingdoeleinden.

Vanwege de privacyklachten die volgden, stuurde de Autoriteit Persoonsgegevens woensdag een waarschuwingsbrief aan de Nederlandse Vereniging van Banken om duidelijk te maken dat dit niet zomaar gaat. Banken zouden dergelijk gebruik van transactiegegevens moeten ‘heroverwegen’. De privacytoezichthouder betwijfelt sterk of het huidige plan van ING voldoet aan de privacywetgeving, onder meer omdat klanten vooraf geen toestemming verlenen. Ze kunnen er enkel op eigen initiatief uitstappen.

Richtlijnen voor cameratoezicht

De European Data Protection Board (EDPB) heeft guidelines opgesteld over cameratoezicht. Deze (Engelstalige) guidelines staan nu open voor feedback. De guidelines verduidelijken hoe de Algemene verordening gegevensbescherming (AVG) van toepassing is op de verwerking van persoonsgegevens met videocamera’s (zowel traditionele als smart camera’s). In de guidelines komen onder meer de volgende onderwerpen aan bod:
  • de rechtmatigheid van de verwerking;
  • de uitzondering voor persoonlijk of huishoudelijk gebruik;
  • het delen van beeldmateriaal met derde partijen.
Heeft u opmerkingen of suggesties bij Guidelines 3/2019 on processing of personal data through video devices? Dan kunt u deze tot en met 9 september 2019 doorgeven aan de EDPB. Op de website van de EDPB vindt u praktische informatie over de consultatie.

Meer informatie:
Meer weten over de regels voor cameratoezicht? Zie dossier Foto en film.
Voor een overzicht van alle guidelines van de EDPB tot nu toe, zie AVG-guidelines.

Spookfacturen niet meer melden

Op de site van de Fraudehelpdesk* was altijd een overzicht van verzenders van spooknota's te vinden. Met ingang van 1 augustus 2019 is deze dienstverlening acuut gestopt, omdat de Autoriteit Persoonsgegevens de Fraudehelpdesk daar geen vergunning voor heeft gegeven. Sinds de komst van de Algemene verordening gegevensbescherming (AVG) is zo'n vergunning verplicht voor het vastleggen van (vermoedelijk) strafrechtelijke gegevens. Hier vallen de bedrijfsnamen, rekeningnummers, e-mailadressen en bitcoinadressen die in fraudemeldingen staan.

* Reacties Fraudehelpdesk: "Dat de Fraudehelpdesk deze dienst niet meer kan uitvoeren, is in negatieve zin merkbaar voor vele burgers en bedrijven in Nederland. We ontvingen namelijk maandelijks gemiddeld ruim 80.000 e-mails waarvan de echtheid geautomatiseerd geverifieerd werd en waarvoor we vervolgens waarschuwden via onze website." en
"We respecteren het besluit van de Autoriteit Persoonsgegevens maar zijn ook teleurgesteld, omdat het belang van de fraudeur zwaarder lijkt te wegen dan dat van het slachtoffer."

Sterke toename van privacyklachten in 2019

Het aantal privacyklachten blijft sterk toenemen. Ruim 15.000 mensen hebben in de eerste zes maanden 2019 een klacht ingediend bij de Autoriteit Persoonsgegevens (AP). Dat is bijna 60% meer dan in de tweede helft van 2018. Een verklaring hiervoor is dat de mogelijkheid om privacyklachten in te dienen nieuw is in Nederland en steeds bekender wordt. Ook speelt waarschijnlijk een rol dat Nederland een sterk gedigitaliseerd land is. Mensen maken zich zorgen over hun privacy en klagen over een schending van hun privacyrechten. (Bron: AP, 9 sep. 2019)

Gerelateerde artikelen en/of partner bijdragen:
Gerelateerd nieuws en/of opinies:



 Algemene verordening gegevensbescherming (AVG)    Begrip en diverse onderwerpen