Algemene verordening gegevensbescherming (AVG)    Begrip en diverse onderwerpen 


Autoriteit Persoonsgegevens

Datum laatste wijziging: 11 oktober 2020  |  Trefwoorden: Privacy, Dataportabiliteit, Privacyrechten, Persoonsgegevens, Autoriteit Persoonsgegevens, Recht op inzage, Verwerkersovereenkomst, Boete, Boetebeleid, Cameratoezicht, Gerechtvaardigd doel

Inhoud

  1. Maak kennis met de site van de Autoriteit
  2. Rapport Autoriteit Persoonsgegevens over Abrona
  3. Beleidsregels 'De zieke werknemer'
  4. Evaluatie meldplicht datalekken na 1 jaar
  5. 5500 datalekmeldingen: waar gaat het mis?
  6. Campagne 'Privacy gaat iedereen wat aan'
  7. Werkgevers in de knel door privacywet
  8. Jaarverslag 2017
  9. Privacywaakhond vreest tandeloos te zijn door geldgebrek
  10. Onrust bij Autoriteit Persoonsgegevens
  11. Autoriteit Persoonsgegevens start controles naar verwerkingsregister
  12. Vele honderden klachten
  13. Nadere uitleg richtlijn ‘De zieke werknemer’
  14. Iedereen heeft privacyrechten
  15. Inzagerecht van persoonsgegevens
  16. Nepbrieven aan ondernemers van AP in omloop
  17. Veel privacy klachten over ICT-bedrijven
  18. Kwart van de organisaties nog geen AVG-bedrijfsbeleid
  19. Separaat wetsvoorstel over privacy in Handelsregisterwet
  20. Persoonsgegevens zonder Brexit akkoord niet zomaar naar Verenigd Koninkrijk
  21. Boetebeleid Autoriteit Persoonsgegevens
  22. Grondslag om personeelsgegevens te verwerken
  23. Jaarverslag 2018
  24. Mkb worstelt met privacywet
  25. Betaalgegevens gebruiken voor aanbiedingen? Dat doen veel banken al lang
  26. Richtlijnen voor cameratoezicht
  27. Spookfacturen niet meer melden
  28. Sterke toename van privacy klachten in 2019
  29. Onjuiste wijze toestemming voor plaatsen tracking cookies
  30. Waarschuwing voor neptoezichthouder
  31. Samenwerking AP en RvA: goedkeuring AVG-certificaten
  32. AP kijkt naar Nederlandse autofabrikanten
  33. Gebruik telecomdata tegen corona kan alléén met wet
  34. Belangrijkste huisartsinformatie tijdelijk te raadplegen
  35. Keuzehulp privacy bij videobel-apps
  36. Privacy corona-apps niet aangetoond
  37. Zorgen om dataverzameling bij thuisonderwijs
  38. AP start onderzoek naar TikTok
  39. AP toetst voorstel delen telecomdata
  40. UWV verbetert beveiliging werkgeversportaal na onderzoek AP
  41. AP wijst supermarkten op regels gezichtsherkenning
  42. Jaarverslag 2019
  43. Corona-spoedwet moet van tafel
  44. Snel en verplicht testen na brononderzoek
  45. Privacy corona-app gebruikers nog onvoldoende gewaarborgd
  46. Gedragscode NLdigital goedgekeurd door AP
  47. Aanbevelingen voor privacy bij digitaal thuisonderwijs
  48. Onderzoek in private sector: ‘de’ verwerkers-overeenkomst bestaat niet

Maak kennis met de site van de Autoriteit

De Autoriteit Persoonsgegevens (AP) is op 29 januari 2018 van start gegaan met een voorlichtingscampagne over de nieuwe Europese privacywet die vanaf 25 mei 2018 geldt. Aleid Wolfsen, voorzitter van de AP, deed de aftrap van de campagne met een privacyles op een basisschool. De campagne ‘Privacy gaat iedereen wat aan’ maakt mensen bewuster van hun privacyrechten en biedt organisaties praktische hulp bij de naleving van de wet.

De Autoriteit Persoonsgegevens is bij de uitvoering van zijn taken gehouden aan de bepalingen van de Algemene wet bestuursrecht. Dat betekent onder meer dat:
  • tegen besluiten van de Autoriteit Persoonsgegevens bezwaar kan worden gemaakt en beroep kan worden aangetekend bij de bestuursrechter;
  • de Wet openbaarheid van bestuur van toepassing is;
  • een klacht over de Autoriteit Persoonsgegevens kan worden ingediend bij de Nationale ombudsman;
  • de Autoriteit Persoonsgegevens als bestuursorgaan uiteraard ook gebonden is aan de algemene beginselen van behoorlijk bestuur.

Rapport Autoriteit Persoonsgegevens over Abrona

Recent is een rapport verschenen van AP, de Autoriteit Persoonsgegevens (het vroegere CPB) over de zorginstelling Stichting Abrona en hoe deze onjuist omgaat met de medische gegevens van zieke werknemers. Het rapport krijgt bij derden weinig bijval.

In het rapport is vastgesteld dat Abrona bij de ziekmelding meer persoonsgegevens betreffende de gezondheid van haar werknemers verwerkt dan noodzakelijk is voor de vaststelling van haar loondoorbetalingsverplichting en de re-integratie of begeleiding van haar zieke werknemers. Zo registreert Abrona in haar verzuimsysteem gegevens als aard en oorzaak van de ziekte van de (zieke) werknemer alsmede zwangerschap. Daarnaast bepaalt de zieke werknemer bij ziekmelding zelf het ziektepercentage en kan Abrona dit ziektepercentage bij een ziekmelding in het verzuimsysteem invullen. (Bron: RNVC, 14 mrt. 2016)

Beleidsregels 'De zieke werknemer'

De Autoriteit Persoonsgegevens (AP) publiceerde op 21 april 2016 de beleidsregels De zieke werknemer. De beleidsregels bevatten actuele informatie voor werknemers, werkgevers en andere partijen die gegevens over de gezondheid van (zieke) werknemers verwerken. Zo staat er welke gezondheidsgegevens van werknemers werkgevers mogen verwerken. Daarnaast zijn de normen in deze beleidsregels het uitgangspunt voor de Autoriteit Persoonsgegevens als zij onderzoekt of een organisatie in overeenstemming met de wet gezondheidsgegevens van werknemers verwerkt. (Bron en meer: AP, 21 apr. 2016, zie ook het uitvoerige rapport 'De zieke werknemer, Beleidsregels voor de verwerking van persoonsgegevens over de gezondheid van zieke werknemers'.

De beleidsregels 'De zieke werknemer' hebben voor onrust en vragen gezorgd. Vooral de uitspraak van de AP dat een werkgever niet mag vragen naar functionele arbeidsbeperkingen en arbeidsmogelijkheden roept veel discussie op. Kunnen werkgever en werknemer nog wel een gesprek voeren over re-integratie zonder tussenkomst van de bedrijfsarts? Reden voor de Nederlandse Vereniging van Audicienbedrijven (NVAB) (Audicien = slechthorend) met de AP een gesprek (november 2016) te voeren. Samengevat:

  • Het gaat de AP vooral om twee belangrijke pijlers van de privacyregelgeving:
    • Het geheimhouden van medische gegevens.
    • Het zonder dwang of drang kunnen spreken (of zwijgen) door zieke werknemers over privacygevoelige onderwerpen.
  • Werkgever en werknemer zouden samen een sfeer moeten creëren waarin in alle vrijheid een gesprek kan plaatsvinden.

Red.: Of de onrust door deze geruststellende woorden verdwenen is, valt te bezien.

Evaluatie meldplicht datalekken na 1 jaar

Op 1 januari 2016 is de meldplicht datalekken* ingegaan. Organisaties die een ernstig datalek hebben, moeten dit sindsdien melden bij de Autoriteit Persoonsgegevens (AP) en soms ook aan de mensen van wie de gelekte gegevens zijn. In bijna een jaar tijd (tot 15 december 2016) heeft de AP bijna 5500 meldingen ontvangen van datalekken.

De meeste meldingen zijn afkomstig uit de sectoren gezondheid & welzijn (o.a. zorgverzekeraars, ziekenhuizen), financiële dienstverlening (o.a. banken, verzekeraars) en openbaar bestuur (o.a. gemeenten).

Er zijn veel datalekken waarbij gegevens per ongeluk bij iemand anders terecht komen dan de bedoeling is. Bijvoorbeeld door een verkeerd bezorgde brief, een e-mail aan de verkeerde ontvanger of als een klant in een klantportaal de gegevens van iemand anders ziet. Ook komt het vaak voor dat bijvoorbeeld een USB-stick met persoonsgegevens kwijtraakt of een laptop wordt gestolen.

Ruim 100 organisaties kregen een waarschuwing van de AP. In enkele andere tientallen gevallen doet de AP een diepgaander onderzoek. Deze onderzoeken lopen nog. (Bron AP, 28 dec. 2016)

* We spreken van een datalek als persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens zouden mogen hebben. Een datalek is het gevolg van een beveiligingsprobleem. In de meeste gevallen gaat het om uitgelekte computerbestanden, al kan een gestolen geprinte klantenlijst evengoed een datalek vormen.

NB: Het adres om een privacyklacht te melden, klik op Autoriteit Persoonsgegevens (AP).

5500 datalekmeldingen: waar gaat het mis?

Een jaar na de invoering van de meldplicht datalekken maakte de Autoriteit Persoonsgegevens (AP) eind 2016 de balans op: ruim 5.500 meldingen in krap een jaar tijd. Een groot deel van die meldingen was te voorkomen geweest.

De meldingen die de Autoriteit Persoonsgegevens in 2016 ontving, gingen in veel gevallen over verkeerd bezorgde brieven, verkeerd geadresseerde e-mails en een slechte beveiliging van klantportalen waardoor klanten elkaars gegevens konden inzien. Ook komt het vaak voor dat USB-sticks met persoonsgegevens kwijtraken of dat een laptop wordt gestolen. (Bron: Brisk, 20 apr. 2017)

Toezicht en begeleiding bij implementatie van AVG door Autoriteit Persoonsgegevens (AP)
MKB-Nederland en VNO-NCW willen toezicht en begeleiding voor Nederlandse bedrijven bij de implementatie van de Europese Algemene Verordening Gegevensbescherming (AVG). De nieuwe privacywetgeving zou veel werk en kosten met zich meebrengen.

De Autoriteit Persoonsgegevens (AP) moet samenwerken met het Nederlandse bedrijfsleven. Dat vinden ondernemersorganisaties MKB-Nederland en VNO-NCW naar aanleiding van de naderende invoering van de Europese Algemene Verordening Gegevensbescherming (AVG) in mei 2018. Toezicht vanuit de AP moet dan gericht zijn op het in goede banen leiden van data gedreven innovatie, en mag er niet toe leiden dat zulke innovaties onmogelijk worden. (Bron: CM, 22 aug. 2017)

Op dit moment mag de Autoriteit Persoonsgegevens boetes opleggen van maximaal 900.000 euro. Dat maximum kan met de nieuwe wet oplopen tot 20 miljoen of 4% van de jaaromzet.

Campagne 'Privacy gaat iedereen wat aan'

De Autoriteit Persoonsgegevens (AP) start een voorlichtingscampagne over de nieuwe Europese privacywet die vanaf 25 mei 2018 geldt.

Met de campagne biedt de AP organisaties praktische hulp om te voldoen aan hun nieuwe plichten. Zoals een digitale ‘regelhulp’ waarmee organisaties snel in kaart kunnen brengen wat zij nog moeten doen voor 25 mei. Op hulpbijprivacy.nl, de campagnewebsite van de AP, worden ook andere hulpmiddelen aangeboden en staat de informatie over de rechten en plichten uit de nieuwe wet overzichtelijk op een rij. Omdat kinderen al op jonge leeftijd online actief zijn, heeft de AP speciaal voor hen een lespakket laten ontwikkelen. (Bron: Autoriteit persoonsgegevens, 29 jan. 2018)

Werkgevers in de knel door privacywet 

Werkgevers komen in de knel door de beperkingen die de Autoriteit Persoonsgegevens (AP) oplegt voor de verwerking van (gezondheids)gegevens van medewerkers. Dat staat in een brief die VNO-NCW en MKB-Nederland dinsdag naar de Tweede Kamer hebben gestuurd.

De Autoriteit Persoonsgegevens (AP) handhaaft zo streng op de privacywetgeving, zeggen zij, dat het werkgevers niet lukt zieke werknemers goed te begeleiden. Ook kunnen ze zo onmogelijk mensen met een arbeidsbeperking een juiste werkplek bieden.

Dat al in de eerste periode waarin een werknemer ziek is een bedrijfsarts moet worden ingeschakeld is volgens VNO-NCW ‘volstrekt onnodig’. “Werkgever en werknemer zijn over het algemeen prima in staat zelf onderling afspraken te maken zonder te spreken over diagnose of behandeling.” Door het snelle inschakelen van de bedrijfsarts is er sprake van “onnodige medicalisering” en “daarmee hogere kosten voor de werkgever”.

Beide ondernemingsorganisaties willen dat de wetgever nader aangeeft onder welke voorwaarden werkgevers mogen vragen naar de gezondheidssituatie van medewerkers. Nu vult de AP de ruimte die de nieuwe privacywet AVG biedt zeer restrictief in. Door als wetgever duidelijkheid te creëren in de wet, kunnen ondernemers hun verantwoordelijkheden rond re-integratie, 100.000 banenplan en veilige werkomgeving waarmaken, zonder dat de AP daar onder het mom van privacy een stokje voor steekt. (Bron en meer: VNO-NCW, 7 mrt. 2018)

Jaarverslag 2017

Het jaar 2017 stond voor de Autoriteit Persoonsgegevens (AP) in het teken van de aankomende nieuwe privacywetgeving. De AP investeerde in voorlichting aan organisaties en nadere Europese uitleg van de nieuwe regels. Daarnaast hield de AP toezicht op de naleving van de huidige Wet bescherming persoonsgegevens (Wbp) met onderzoeken naar bijvoorbeeld Facebook, Microsoft en de registratie van prostituees.

Voorzitter Aleid Wolfsen: “Er is nu veel meer aandacht in de samenleving voor het onderwerp privacy. Aandacht voor de nieuwe privacywetgeving, incidenten rond Facebook, medische dossiers en cameratoezicht in sauna’s zorgt voor een groter bewustzijn van het belang van de bescherming van onze persoonsgegevens. Mensen raken er steeds meer van doordrongen dat bijna alles wat we doen zijn weerslag heeft in persoonsgegevens. Wij zijn onze persoonsgegevens. Bescherming van die gegevens is geen luxe, maar noodzaak.” (Bron: AP, 24 apr. 2018)

Privacywaakhond vreest tandeloos te zijn door geldgebrek

De privacywaakhond zegt klaar te zijn om de wet te gaan handhaven, maar vreest wel dat het budget niet toereikend is. ‘Dat is een punt van zorg’, zegt een woordvoerder tegen Nu.nl. ‘Het aantal aanvragen dat we nu hebben gekregen is al drie keer zo hoog als in dezelfde periode vorig jaar, en de wet moet nog van kracht worden.’ Veel bedrijven zijn ook nog niet ‘AVG-bestendig’.

De autoriteit reageert naar aanleiding van berichtgeving van persbureau Reuters, dat een rondje maakte onder 24 Europese privacywaakhonden. Zeventien van de 24 ondervraagde instanties zeggen dat ze op 25 mei nog onvoldoende financiering of bevoegdheden te hebben om de AVG goed te kunnen handhaven. (Bronnen: Nu & Accountancy Van Morgen, mei. 2018)

Onrust bij Autoriteit Persoonsgegevens

De Autoriteit Persoonsgegevens heeft te maken met interne onrust en een uittocht van medewerkers. De autoritaire bestuursstijl van de voormalige burgemeester van Utrecht Aleid Wolfsen zou hier aan ten grondslag liggen.

"Hij weet het zelf altijd beter", vertelt een anonieme bron aan het Financieele Dagblad, dat over de onrust binnen de privacywaakhond schrijft. Wolfsen trad in 2016 aan als bestuursvoorzitter bij de Autoriteit Persoonsgegevens (AP). De voormalige Utrechtse politicus zou een autoritaire bestuursstijl hebben en nooit informatie vragen aan deskundigen.

De krant schrijft dat de AP gebukt gaat onder interne onrust. Er zou sprake zijn van bestuursruzies en een uittocht van ervaren mensen, wat ten koste zou gaan van de slagkracht, terwijl nu net de nieuwe privacyregels uit de Algemene Verordening Gegevensbescherming (AVG) van kracht zijn geworden. (Bron: RTVUtrecht, 25 mei 2018)

Autoriteit Persoonsgegevens start controles naar verwerkingsregister

De Autoriteit Persoonsgegevens (AP) gaat onderzoeken of organisaties een verwerkingsregister bijhouden. Het gaat in eerste instantie om een willekeurige steekproef van dertig grote organisaties uit tien private sectoren.

Dat meldt de toezichthouder op de website. Het steekproef wordt uitgevoerd in de volgende tien sectoren: industrie en metaal, waterleidingbedrijf , bouw, handel, horeca, reisorganisatie, communicatie, financiële dienstverlening, zakelijke dienstverlening en zorg. De organisaties zitten verspreid over heel Nederland. (Bron: Xpert, 18 jul. 2018)

Vele honderden klachten

Binnen een maand nadat de Europese privacywet AVG van kracht werd, dienden vele honderden mensen een klacht in bij privacywaakhond Autoriteit Persoonsgegevens (AP). Uit de klachten blijkt dat bedrijven nog grote slagen te maken hebben voor zij voldoen aan de wet. Bijna een derde van de klachten kwam van mensen die problemen ondervinden bij het verwijderd krijgen van hun persoonsgegevens. Daarnaast klagen mensen dat zij hun gegevens niet mogen inzien en over ongewenste verstrekking van hun gegevens aan derden.

Het grootste deel van de klachten gaat over bedrijven (87%). De Algemene verordening gegevensbescherming (AVG) die op 25 2018 mei van kracht werd, heeft grote gevolgen voor organisaties die cv’s opslaan. Wie geen nadrukkelijke toestemming heeft van de sollicitant, mag de gegevens niet opslaan en moet alle cv’s ouder dan vier weken verwijderen. Dat betekent dat miljoenen cv’s moeten worden gewist of geanonimiseerd. (Bron: PW, 16 aug. 2018)

Nadere uitleg richtlijn ‘De zieke werknemer’

Het ministerie van Sociale Zaken en Werkgelegenheid (SZW) heeft op het Arboportaal een document gepubliceerd waarin uitleg wordt gegeven over de beleidsregels ‘De zieke werknemer’ van de Autoriteit Persoonsgegevens (AP). De beleidsregels hebben vanaf het moment van publicatie, 21 april 2016, tot veel discussie geleid. Voornaamste bezwaar van veel partijen betrokken bij verzuim(beleid) en re-integratie, is dat de beleidsregels met een beroep op de privacywetgeving onnodige drempels opwerpen die het re-integratieproces van zieke werknemers belemmeren.

Door diverse partijen is twijfel geuit of een aantal aannames van de AP wel strookt met de Wet verbetering poortwachter. Het gaat hierbij onder andere om zaken als het bespreken en het verwerken van gegevens door een werkgever bij een ziekmelding. Zo mag de werkgever, volgens de AP, niet vragen naar de functionele mogelijkheden en beperkingen van de werknemer. Dit betekent dat hij niet mag vragen welke (deel)taken of werkzaamheden de werknemer nog kan uitvoeren. Volgens de AP hoeft de werknemer deze informatie niet aan de werkgever te verstrekken. En als de werknemer hierover spontaan informatie verstrekt, mag de werkgever dit volgens de AP niet registeren. Dit bemoeilijkt de re-integratie in de praktijk, tot ergernis van veel werkgevers.

Om een lang verhaal kort te maken kort te maken. De AP verduidelijkt maar geeft geen duimbreed toe. Dit betekent dat de onduidelijkheid voortduurt en in de praktijk de beleidsregels een belemmering blijven vormen voor het re-integratieproces. Hier zijn werkgevers noch werknemers bij gebaat. (Bron: AWVN, 17 aug. 2018)

Red.: Wij zijn benieuwd of t.z.t. een rechter in zijn oordeel aangeeft of een werkgever zich inzake de re-integratie van een werknemer voldoende heeft ingespannen en het feit - dat de werkgever niet naar functionele mogelijkheden en beperkingen mocht vragen - laat meewegen

Iedereen heeft privacyrechten

De privacywet geeft iedereen privacyrechten. Zoals het recht om in te zien welke persoonsgegevens een organisatie van je heeft. Die rechten zijn onder de AVG uitgebreid met het recht op dataportabiliteit (het recht om je gegevens mee te nemen) en het recht op vergetelheid (het recht dat organisaties je persoonsgegevens moeten wissen als je erom vraagt. Die rechten kun je zelf uitoefenen, door een organisatie op deze rechten te wijzen. Sinds 25 mei zijn die rechten versterkt: iedereen kan nu ook een privacyklacht indienen bij de AP.

Recht op inzage

Mensen hebben recht op inzage in hun persoonsgegevens. Dat houdt in dat u een organisatie mag vragen of deze persoonsgegevens van u heeft vastgelegd en zo ja, welke. U hoeft geen reden te geven voor een inzageverzoek.

Reikwijdte inzagerecht
Met het antwoord dat de organisatie geeft op uw inzageverzoek, moet u kunnen controleren of uw gegevens kloppen. En of de organisatie uw gegevens op de juiste manier verwerkt.
Het recht op inzage betreft alleen inzage in uw eigen gegevens. U heeft dus geen recht op informatie over anderen. Tenzij iemand u daar bijvoorbeeld een volmacht voor heeft gegeven.
Gebruikt een organisatie persoonlijke werkaantekeningen als geheugensteuntje? Dan vallen deze aantekeningen niet onder het inzagerecht.
Maar slaat de organisatie de aantekeningen vervolgens op in een dossier of verstrekt de organisatie deze aan anderen? Dan heeft degene over wie het gaat ook recht op inzage in deze aantekeningen.

Wetgeving
Het inzagerecht is geregeld in artikel 15 van de Algemene verordening gegevensbescherming (AVG).

Belangrijkste elementen van gegevensoverdraagbaarheid (dataportabiliteit)

Het recht op gegevensoverdraagbaarheid wordt in artikel 20, lid 1, van de algemene verordening gegevensbescherming (AVG) gedefinieerd.
De betrokkene heeft het recht de hem betreffende persoonsgegevens, die hij aan een verwerkingsverantwoordelijke heeft verstrekt of van hem zijn verwerkt, in een gestructureerde, gangbare en machineleesbare vorm te verkrijgen, en hij heeft het recht die gegevens aan een andere verwerkingsverantwoordelijke over te dragen, zonder daarbij te worden gehinderd door de verwerkingsverantwoordelijke aan wie de persoonsgegevens waren verstrekt […]

Een recht om persoonsgegevens te verkrijgen

Gegevensoverdraagbaarheid is in eerste instantie een recht van de betrokkene om een subset te ontvangen van persoonsgegevens over hem of haar die door een verwerkingsverantwoordelijke werden verwerkt, en om die gegevens voor later persoonlijk gebruik op te slaan. Die gegevens kunnen op een eigen apparaat of in een eigen cloud worden opgeslagen, zonder dat ze daarbij naar een andere verwerkingsverantwoordelijke moeten worden verzonden.
In dat opzicht vult gegevensoverdraagbaarheid het recht op inzage aan. Een specifiek kenmerk van gegevensoverdraagbaarheid is dat het betrokkenen een manier biedt om hun persoonsgegevens zelf makkelijk te beheren en opnieuw te gebruiken. Deze gegevens moeten "in een gestructureerd, gangbaar en machineleesbaar formaat" worden verkregen. Bijvoorbeeld: een betrokkene kan zijn huidige afspeellijst (of een historiek van beluisterde nummers) van een muziekstreamingdienst willen opvragen om te kijken hoeveel keer hij bepaalde nummers heeft beluisterd of om te bepalen welke muziek hij op een ander platform wil aankopen of beluisteren. Tegelijkertijd wil hij misschien ook zijn contactenlijst van zijn webmailapplicatie opvragen om bijvoorbeeld een lijst met gasten voor zijn huwelijk op te stellen, of informatie krijgen over aankopen met verschillende klantenkaarten of zijn koolstofvoetafdruk bepalen.
In deze gevallen kan de verwerking van de door de betrokkene bezorgde gegevens binnen het toepassingsgebied van huishoudelijke activiteiten vallen, op voorwaarde dat de betrokkene volledige en exclusieve controle heeft over de verwerking, of ze kan namens de betrokkene door een andere partij worden uitgevoerd. In dit laatste geval moet de andere partij als een verwerkingsverantwoordelijke worden beschouwd, ook al gaat het enkel over opslag van persoonsgegevens, en moet deze de principes en verplichtingen zoals in de algemene verordening gegevensbescherming vastgelegd naleven.

Een recht om persoonsgegevens van de ene aan een andere verwerkingsverantwoordelijke over te dragen

Ten tweede wordt in artikel 20, lid 1, bepaald dat betrokkenen het recht hebben om persoonsgegevens van de ene aan een andere verwerkingsverantwoordelijke over te dragen, en dit "zonder daarbij te worden gehinderd". Gegevens kunnen ook direct van de ene aan een andere verwerkingsverantwoordelijke worden overgedragen op verzoek van de betrokkene en waar dat technisch haalbaar is (artikel 20, lid 2). In dat verband worden 6 verwerkingsverantwoordelijken in overweging 68 aangemoedigd om interoperabele formaten te ontwikkelen die gegevensoverdraagbaarheid mogelijk maken,5 maar zonder de verwerkingsverantwoordelijken daarbij te verplichten te kiezen voor of te blijven werken met technisch compatibele verwerkingssystemen6. In de algemene verordening gegevensbescherming wordt het verwerkingsverantwoordelijken echter verboden de verzending te beperken.
In principe biedt dit aspect van gegevensoverdraagbaarheid betrokkenen de mogelijkheid om de gegevens die ze aan een andere dienstverlener (in hetzelfde of in een ander activiteitengebied) hebben bezorgd, niet alleen te verkrijgen en opnieuw te gebruiken, maar ze ook te verzenden. Naast het feit dat de consument (of medewerker) weerbaar wordt gemaakt door "lock-in" te voorkomen, wordt verwacht dat door het recht op gegevensoverdraagbaarheid ook opportuniteiten worden bevorderd op het vlak van innovatie en het veilig en beveiligd delen van persoonsgegevens tussen verwerkingsverantwoordelijken onder toezicht van de betrokkene.
Gegevensoverdraagbaarheid kan het gecontroleerd en beperkt delen door gebruikers van persoonsgegevens tussen organisaties bevorderen en aldus diensten en klantervaringen verrijken. Gegevensoverdraagbaarheid kan verzending en hergebruik van persoonsgegevens van gebruikers tussen de diverse diensten waarin ze geïnteresseerd zijn mogelijk maken.

Nepbrieven aan ondernemers van AP in omloop

De Autoriteit Persoonsgegevens waarschuwt voor profiteurs die kwalijke nepbrieven versturen aan ondernemers. In de brief schermen de profiteurs met een bedrijfsbezoek door de AP, intimideren ze met mogelijk hoge boetes en bieden ze tegen veel geld een waardeloze AVG-scan aan.

Hoe herkent u een echte AP-brief?

Correspondentie van de AP is altijd op briefpapier, het is dus geen gekopieerd velletje. Een echte AP-brief is opgesteld in foutloos Nederlands en bevat altijd de naam en het telefoonnummer van een contactpersoon.

Twijfelt u aan de juistheid van een brief?

Bel dan met het Informatie- en Meldpunt Privacy van de AP, 088 - 1805 250. Samen kunnen we checken of uw brief juist is. (Bron: AP, 23 nov. 2018)

Veel privacy klachten over ICT-bedrijven

Bij de Autoriteit Persoonsgegevens (AP) zijn het afgelopen halfjaar ruim tienduizend klachten binnengekomen over privacy. 12 procent van die klachten gaan over ict-bedrijven. Ook klagen burgers vaak dat zakelijke dienstverleners (41 procent van de klachten) en de overheid (10 procent van de klachten) aan de haal gaan met hun privacyrechten.

De meeste klachten (32 procent) gaan over een schending van een privacyrecht, zoals het recht op inzage en het recht op verwijdering. Mensen krijgen bijvoorbeeld geen inzage in hun gegevens als ze daarom vragen of ondervinden drempels als zij persoonsgegevens verwijderd willen hebben. Veel organisaties vragen bijvoorbeeld om een kopie van een identiteitsbewijs, voordat zij gegevens willen verwijderen. Omdat dit in veel gevallen niet mag heeft de AP via de website de voorlichting hierover uitgebreid. (Bron en meer: Computable, 13 dec. 2018)

Kwart van de organisaties nog geen AVG-bedrijfsbeleid

Bijna een kwart van de Nederlandse werknemers heeft nog geen AVG-beleid ontvangen. Dat blijkt uit onderzoek van kantoorspecialist Fellowes, dat onder ruim 7000 werknemers is gehouden. Sinds de ingang van de nieuwe privacywetgeving moet elke organisatie een privacybeleid op te stellen voor het feit dat medewerkers in contact komen met vertrouwelijke informatie. Onder meer de informatie die op het cv van een sollicitant staat of gegevens in e-mailadressen van derden.

Branches die op dit moment nog veel moeten doen om AVG-proof te worden, zijn de auto-industrie (64%), horeca en reizen (53%) en handel (37%). (Bron: Persberichten.com, 6 dec. 2018)

Separaat wetsvoorstel over privacy in Handelsregisterwet

Het Handelsregister is een van de weinige basisregistraties in Nederland. Het kent veel persoonsgegevens die openbaar zijn. Dat deze data, zoals naam en adres van ondernemers van eenmanszaken openbaar zijn, staat op gespannen voet met de privacy. De privacyregels zijn juist door de implementatie van de Wet Algemene Verordening Gegevensbescherming (tools) in mei 2018 aangescherpt. Om de privacy te waarborgen zou de Handelsregisterwet ook hierop moeten worden aangepast.

Op 6 maart 2017 is het wetsvoorstel over de wijziging van de Handelsregisterwet 2007 echter al aan de Tweede Kamer aangeboden en de wet is nu in behandeling. Om dit proces niet te vertragen, stelt staatssecretaris Keijzer van Economische Zaken en Klimaat in een nota aan de Tweede Kamer (pdf) voor om de bescherming van privégegevens beter te regelen in een separaat wetsvoorstel. Daarin zal ook het advies van de Autoriteit Persoonsgegevens over verbeteringen in de Handelsregisterwet worden meegenomen. (Bronnen: PrivacyNieuws & Rendement, 11 jan. 2019))

Persoonsgegevens zonder Brexit akkoord niet zomaar naar Verenigd Koninkrijk

Een no deal-brexit treft niet alleen goederenverkeer, dat dan stil komt te staan aan de grens, maar ook de digitale snelweg. Daarvoor waarschuwt branchevereniging Nederland ICT. Persoonsgegevens mogen zonder akkoord namelijk niet zomaar meer naar het Verenigd Koninkrijk. "Dit treft niet alleen ict-bedrijven, maar alle bedrijven die persoonsgegevens in het Verenigd Koninkrijk hebben staan", zegt directeur Lotte de Bruijn van de branchevereniging. Daarbij gaat het bijvoorbeeld ook om bedrijven die software gebruiken die data in het Verenigd Koninkrijk opslaat.

De branchevereniging roept de Autoriteit Persoonsgegevens daarom op om een overgangsregeling in te stellen van minimaal vijftien maanden. "Als die er niet komt, lopen veel bedrijven het risico op boetes." (Bron en meer: NOS, 17 jan. 2019)

Boetebeleid van de Autoriteit Persoonsgegevens (AP)

Het boetebeleid laat zien hoe de AP de hoogte van een boete berekent. De hoogte van een boete verschilt per type overtreding. Daarnaast speelt bij het vaststellen van de hoogte bijvoorbeeld ook de ernst, omvang en duur van de overtreding mee en of er sprake is van opzet of recidive. Zie wet

Wettelijk boetemaximum AVG

De AP kan boetes opleggen bij overtredingen van de Algemene verordening gegevensbescherming (AVG) en de Uitvoeringswet van de AVG. De AVG kent twee categorieën van overtredingen en bijbehorende maximale boetes.

Wie persoonsgegevens verwerkt heeft verplichtingen, zoals een verwerkingsregister (verwerkersovereenkomst) bijhouden. Gebeurt dat niet dan kan de AP een boete opleggen tot 10 miljoen euro, of 2% van de jaaromzet.
Overtreedt een verantwoordelijke privacy rechten of de beginselen van de AVG, dan kan de AP een boete opleggen tot 20 miljoen euro, of 4% van de jaaromzet.

Boetecategorieën

De AP heeft de overtredingen van de AVG en de andere wetten waarop zij toezicht houdt, voor elk wettelijk boetemaximum ingedeeld in 3 of 4 boetecategorieën, waaraan oplopende geldboetes zijn verbonden. Deze indeling is ingegeven door de zwaarte en ernst van de geschonden norm en de verhouding tot de andere normen in het gegevensbeschermingsrecht.

Basisboete

Elke boetecategorie is vervolgens gekoppeld aan boetebandbreedtes. De hoogte daarvan moet voldoende afschrikwekkend zijn voor potentiële overtreders. Daarbinnen heeft de AP een basisboete vastgelegd. Dit bedrag vormt voor de AP het uitgangspunt voor de berekening van de boete in een afzonderlijk geval.
Websites moeten toegankelijk blijven bij weigeren tracking cookies

Grondslag om personeelsgegevens te verwerken

Volgens de regels van de AVG moeten organisaties een grondslag hebben om persoonsgegevens te verwerken. Als bedrijven mensen willen volgen met tracking cookies, volgsoftware of andere digitale methodes, moeten zij daarvoor toestemming vragen. Om die reden vragen vele websides vooraf toestemming voor het plaatsen van diverse ‘volgsoftware’ zoals tracking cookies, tracking pixels of fingerprinting.

Bij cookiewalls op websites (geen toestemming betekent geen toegang) is de toestemming niet vrij gegeven, omdat websitebezoekers zonder het geven van toestemming geen toegang tot de website krijgen. Voor organisaties die in 2019 nog in de fout zitten de plicht zich snel aan te passen.

Jaarverslag 2018

Het jaar 2018 was een mijlpaal voor de bescherming van persoonsgegevens. Op 25 mei 2018 werd namelijk de nieuwe privacywet van toepassing, de Algemene verordening gegevensbescherming (AVG). Voor de Autoriteit Persoonsgegevens (AP) stond het jaar dan ook in het teken hiervan.

Enkele feiten die in het jaarverslag opvielen:
  • Sinds de AVG neemt de AP elke privacyklacht in behandeling. In 2018 heeft de AP ruim 11.000 klachten ontvangen. De klachten gingen vooral over een schending van privacyrechten, zoals het recht op inzage.
  • Er is tot nu toe één boete uitgedeeld. Zes ton aan Uber voor het te laat melden van een datalek.
  • De AP heeft zich in 2018 voornamelijk gericht op het beëindigen van mogelijke overtredingen door aan te sturen op herstelmaatregelen door organisaties zelf.
  • De AP controleerde bij 400 overheidsorganisaties, 91 ziekenhuizen en 33 zorgverzekeraars of zij een Functionaris gegevensbescherming (FG) hadden aangemeld.
  • In december 2018 is de AP gestart met onderzoek naar het privacybeleid van een aantal IVF* -klinieken, politieke partijen en bloedbanken.
  • Het budget werd met 25 procent overschreden, mede door het moeten inhuren van externe ondersteuning. De reden was onderbezetting.
* In vitro fertilisatie (IVF) is een voortplantingstechniek waarbij een of meer eicellen buiten het lichaam worden bevrucht met zaadcellen, waarna de ontstane embryo's in de baarmoeder worden teruggeplaatst. 

Mkb worstelt met privacywet

Meer dan de helft van de Nederlandse mkb’ers voldoet nog niet aan de eisen van de Algemene Verordening Gegevensbescherming (AVG). Het is 25 mei een jaar geleden dat deze wet in werking is getreden. Het volgende moet nog worden gerealiseerd, tussenhaakjes het percentage MKB-ers wat tot dusverre in gebreke bleef:
  • Het afsluiten van overeenkomsten met opdrachtgevers of -nemers hoe persoonsgegevens worden verwerkt (69%)
  • Het hebben van een het register waarin bijgehouden wordt welke persoonsgegevens worden verwerkt (52%)
  • Het inrichten van processen ingericht om te voldoen aan verzoeken van betrokkenen, bijv. een verzoek tot verwijdering of inzage (45%)
(Bron: DDMA (branchevereniging voor data en marketing), 23 mei 2019)

Zie ook de privacy improver van de DDMA.

Betaalgegevens gebruiken voor aanbiedingen? Dat doen veel banken al lang

Het voornemen van de ING om bankafschriften te gebruiken voor marketing heeft – naast brede verontwaardiging – inmiddels ook geleid tot een waarschuwing van de Autoriteit Persoonsgegevens (juli 2019). Maar waar ING de plannen nog openlijk aankondigt, blijkt uit een inventarisatie van de Volkskrant dat andere grote banken betaalgegevens van klanten allang gebruiken voor marketingdoeleinden.

Vanwege de privacy klachten die volgden, stuurde de Autoriteit Persoonsgegevens woensdag een waarschuwingsbrief aan de Nederlandse Vereniging van Banken om duidelijk te maken dat dit niet zomaar gaat. Banken zouden dergelijk gebruik van transactiegegevens moeten ‘heroverwegen’. De privacy toezichthouder betwijfelt sterk of het huidige plan van ING voldoet aan de privacywetgeving, onder meer omdat klanten vooraf geen toestemming verlenen. Ze kunnen er enkel op eigen initiatief uitstappen.

Richtlijnen voor cameratoezicht

De European Data Protection Board (EDPB) heeft guidelines opgesteld over cameratoezicht. Deze (Engelstalige) guidelines staan nu open voor feedback. De guidelines verduidelijken hoe de Algemene verordening gegevensbescherming (AVG) van toepassing is op de verwerking van persoonsgegevens met videocamera’s (zowel traditionele als smart camera’s). In de guidelines komen onder meer de volgende onderwerpen aan bod:
  • de rechtmatigheid van de verwerking;
  • de uitzondering voor persoonlijk of huishoudelijk gebruik;
  • het delen van beeldmateriaal met derde partijen.
Heeft u opmerkingen of suggesties bij Guidelines 3/2019 on processing of personal data through video devices? Dan kunt u deze tot en met 9 september 2019 doorgeven aan de EDPB. Op de website van de EDPB vindt u praktische informatie over de consultatie.

Wat zegt de APG over cameratoezicht

Cameratoezicht op het werk kan helpen tegen bijvoorbeeld diefstal of beschadiging van eigendommen. Maar de inbreuk op de privacy van de werknemers en bezoekers is groot. Daarom mogen werkgevers alleen camera’s ophangen als zij aan een aantal voorwaarden voldoen.
Werkgevers moeten ervoor zorgen dat de inbreuk op de privacy zo klein mogelijk is. Een camera in bijvoorbeeld een toilet of kleedhokje gaat te ver, omdat mensen dan bloot in beeld kunnen komen.
Verder mag de camera geen geluidsopnamen maken. Dit is voor het doel namelijk niet nodig.

Gerechtvaardigd belang
De werkgever moet een gerechtvaardigd belang hebben voor het cameratoezicht. Bijvoorbeeld diefstal tegengaan of werknemers en bezoekers beschermen.

Noodzaak cameratoezicht
Het cameratoezicht moet noodzakelijk zijn. Dat wil zeggen dat de werkgever het doel, bijvoorbeeld fraudebestrijding, niet op een andere manier kan bereiken. Is er geen andere mogelijkheid, die minder ingrijpend is voor de privacy? Dat moet de werkgever eerst nagaan.
Ook mag het cameratoezicht niet op zichzelf staan. Het moet onderdeel zijn van een totaalpakket aan maatregelen.

Privacy toets
De werkgever moet eerst een privacy toets uitvoeren. Dit betekent dat de werkgever de belangen en rechten van de werknemers en bezoekers afweegt tegen zijn eigen belang.
Ook moet de werkgever de plannen vooraf met de ondernemingsraad (OR) bespreken. De OR moet vooraf ingestemd hebben met de camera’s voordat de werkgever kan starten met het cameratoezicht.

DPIA
Zet de werkgever grootschalig en/of systematisch cameratoezicht in om diefstal en fraude door werknemers te bestrijden? Dan moet de werkgever een data protection impact assessment (DPIA) uitvoeren.
Dit is bijvoorbeeld zo als de werkgever structureel of gedurende een langere periode cameratoezicht inzet voor dit doel.
Wil de werkgever een verborgen camera (heimelijk cameratoezicht) inzetten? Dan moet de werkgever hiervoor altijd een DPIA uitvoeren. Ook als het heimelijk cameratoezicht incidenteel is.

Rechten werknemers en bezoekers
De werkgever moet ervoor zorgen dat de werknemers en bezoekers weten dat er een camera hangt en voor welk doel deze er hangt. Bijvoorbeeld door bordjes op te hangen.
Daarnaast geeft de Algemene verordening gegevensbescherming (AVG) de volgende privacy rechten aan betrokkenen:

  • het recht om gegevens (camerabeelden) in te zien;
  • het recht om vergeten te worden;
  • het recht op beperking van de verwerking;
  • het recht om bezwaar te maken tegen het gebruik van persoonsgegevens.

Bewaartermijn camerabeelden
De werkgever mag de camerabeelden niet langer bewaren dan noodzakelijk is. De richtlijn hiervoor is maximaal 4 weken.
Maar is er een incident vastgelegd, zoals diefstal? Dan mag de werkgever de betreffende beelden bewaren tot dit incident is afgehandeld.

Meer informatie:
Meer weten over de regels voor cameratoezicht? Zie dossier Foto en film.
Voor een overzicht van alle guidelines van de EDPB tot nu toe, zie AVG-guidelines.

Spookfacturen niet meer melden

Op de site van de Fraudehelpdesk* was altijd een overzicht van verzenders van spooknota's te vinden. Met ingang van 1 augustus 2019 is deze dienstverlening acuut gestopt, omdat de Autoriteit Persoonsgegevens de Fraudehelpdesk daar geen vergunning voor heeft gegeven. Sinds de komst van de Algemene verordening gegevensbescherming (AVG) is zo'n vergunning verplicht voor het vastleggen van (vermoedelijk) strafrechtelijke gegevens. Hier vallen de bedrijfsnamen, rekeningnummers, e-mailadressen en bitcoinadressen die in fraudemeldingen staan.

* Reacties Fraudehelpdesk: "Dat de Fraudehelpdesk deze dienst niet meer kan uitvoeren, is in negatieve zin merkbaar voor vele burgers en bedrijven in Nederland. We ontvingen namelijk maandelijks gemiddeld ruim 80.000 e-mails waarvan de echtheid geautomatiseerd geverifieerd werd en waarvoor we vervolgens waarschuwden via onze website." en
"We respecteren het besluit van de Autoriteit Persoonsgegevens maar zijn ook teleurgesteld, omdat het belang van de fraudeur zwaarder lijkt te wegen dan dat van het slachtoffer."

Sterke toename van privacy klachten in 2019

In 2019 ontving de Autoriteit Persoonsgegevens (AP) bijna 27.000 datalekmeldingen. Dat is een stijging van 29% ten opzichte van 2018. Sinds de invoering van de meldplicht datalekken in 2016 blijft het aantal meldingen stijgen. De AP legt de komende jaren in het toezichtwerk extra nadruk op de digitale overheid en licht om die reden de datalekmeldingen binnen de sector openbaar bestuur uit in haar jaarlijkse rapportage. (Bron: AP, 6 feb. 2020)

Onjuiste wijze toestemming voor plaatsen tracking cookies

Bij tracking cookies gaat het om gegevens over het internetgedrag van mensen. Met deze gegevens kunnen organisaties het internetgedrag door de tijd heen volgen. Ook kunnen gerichte advertenties worden gestuurd. Daarom moet de websitebezoeker met een ondubbelzinnige en actieve handeling toestemming geven voor het plaatsen en raadplegen van tracking cookies.

Een vooraf met ‘ja’ aangevinkt hokje wanneer de gebruiker om akkoord wordt gevraagd mag daarom niet. Ook stilzwijgen, inactiviteit of omlaag scrollen of variaties op ‘u gaat akkoord als u verder gaat op deze website’ zijn niet toegestaan. Hetzelfde geldt voor de zogeheten cookiewalls. (Bron: AP, 10 dec. 2019)

NB: Op 1 oktober 2019 heeft het Europees Hof van Justitie uitspraak gedaan dat toestemming van de gebruiker voor het plaatsen en raadplegen van tracking cookies op zijn apparatuur niet rechtsgeldig is verleend wanneer daarvoor gebruik is gemaakt van een standaard aangevinkt selectievakje.

Waarschuwing voor neptoezichthouder

De Autoriteit Persoonsgegevens (AP) waarschuwt voor een organisatie met de naam ‘Persoonsgegevens Nederland’. Deze organisatie doet zich via de website persoonsgegevensnederland.nl onterecht voor als de Nederlandse toezichthouder op de Algemene verordening gegevensbescherming (AVG).

Uit meldingen bij de AP blijkt dat de neptoezichthouder website-eigenaren benadert en onder druk zet om bepaalde beveiligingscertificaten aan te schaffen. Onder meer door te dreigen met boetes. (Bron: AP, 13 nov. 2019)

Samenwerking AP en RvA: goedkeuring AVG-certificaten

De Autoriteit Persoonsgegevens (AP) en de Raad voor Accreditatie (RvA) gaan samen zorgen voor de goedkeuring van AVG-certificaten. Zij hebben daartoe een informatieprotocol ondertekend. Met een AVG-certificaat kan de verwerker van persoonsgegevens aantonen dat zijn product, proces of dienst aan de eisen uit de Algemene verordening gegevensbescherming (AVG) voldoet. (Bron: AP, 23 dec. 2019)

AP kijkt naar Nederlandse autofabrikanten

De Autoriteit Persoonsgegevens (AP) inventariseert op dit moment in hoeverre Nederlandse autofabrikanten zich aan de privacywet houden. De AP hoopt zo een beeld te krijgen van eventuele privacyschendingen bij connected cars. Moderne auto’s zijn vaak ‘connected’. Het zijn rijdende computers, verbonden met het internet. Ze verzamelen daarbij vaak persoonsgegevens, zoals locatiegegevens en gegevens over de rijstijl.

De AP heeft per brief alle in Nederland gevestigde fabrikanten van auto’s, bedrijfswagens en vrachtwagens gevraagd welke persoonsgegevens ze verwerken, waarom, hoe lang, hoe ze die beveiligd hebben en met wie ze die delen. (Bron: AP, 24 mrt. 2020)

Gebruik telecomdata tegen corona kan alléén met wet

Locatiegegevens gebruiken om de overheid te helpen in de strijd tegen het coronavirus is niet volledig onmogelijk, maar kan alleen als daar een wettelijke regeling voor bestaat. Dat zegt de Autoriteit Persoonsgegevens (AP) in reactie op ideeën om locatiegegevens van burgers in te zetten om verspreiding van het virus te remmen. (Bron: AP, 30 mrt 2020)

en twee dagen daarna:

Artsen op de huisartsenpost of spoedeisende hulp mogen alleen met toestemming van coronapatiënten het medisch dossier bij hun huisarts inzien via een elektronisch uitwisselingssysteem. Wie nog geen toestemming heeft gegeven, kan dat ter plekke doen. Dat mag in dit geval ook mondeling. Alleen als een patiënt niet in staat is om toestemming te geven, is inzage zonder toestemming toegestaan. De Autoriteit Persoonsgegevens (AP) heeft dit laten weten in een brief aan de minister van Medische Zorg. De minister is bezig met een regeling voor tijdens de coronacrisis. (Bron: AP, 2 apr. 2020)

(Redactie: De situatie als iemand als patient is opgenomen in een ziekenhuis, wordt door AP niet beschreven, zie onderstaande NB)

NB: BDO vulde de leemte in, zie haar artikel "Medische gegevens van coronapatiënten zonder toestemming delen, mag dat?" (30 mrt. 2020)

Belangrijkste huisartsinformatie tijdelijk te raadplegen

Om de toenemende druk tijdens de COVID-19-crisis op huisartsenposten en op de spoedeisende hulp te verlichten, wordt het tijdelijk mogelijk om huisartsgegevens van meer patiënten te raadplegen. Hiermee kunnen dokters sneller werken, omdat niet alle gegevens ter plekke hoeven worden uitgevraagd en ingetypt in de systemen.

Het ministerie van Volksgezondheid, Welzijn en Sport komt met deze maatregel in samenwerking met de Autoriteit Persoonsgegevens, de Inspectie Gezondheidszorg en Jeugd en het Openbaar Ministerie tegemoet aan het verzoek van de huisartsen, de eerste hulp artsen en de Patiëntenfederatie om een oplossing te vinden voor het vollopen van de huisartsenposten en de SEH’s. (Bron: Min. VWS, 8 apr. 2020)

Redactie: Autoriteit Persoonsgegevens, Inspectie Gezondheidszorg en Jeugd, Openbaar Ministerie, Eerste hulp artsen en Patiëntenfederatie. Wat zijn er toch veel instanties die dezelfde raakvlakken hebben. Is dat typisch Nederlands?

Keuzehulp privacy bij videobel-apps

De Autoriteit Persoonsgegevens (AP) heeft bij 13 veelgebruikte videobel-apps gekeken naar de belangrijkste privacyaspecten. Zoals welke gegevens de app verzamelt, wat de app daarmee doet en of de communicatie beveiligd is. De AP krijgt namelijk veel vragen over privacy bij zulke apps, nu mensen massaal zijn gaan videobellen tijdens de coronacrisis. Daarom biedt de AP een keuzehulp om verschillende videobel-apps te vergelijken. (Bron en meer: 15 apr. 2020)

Privacy corona-apps niet aangetoond

De Autoriteit Persoonsgegevens (AP) kan geen oordeel geven over de opzet van de 7 ‘corona-apps’ die het ministerie van VWS heeft geselecteerd. De AP vindt dat het ministerie de kaders niet duidelijk genoeg heeft gesteld. Daardoor zijn de 7 app-voorstellen onvoldoende uitgewerkt om te kunnen beoordelen of de bescherming van gevoelige gegevens van Nederlanders voldoende is gewaarborgd.

De AP heeft op verzoek van het ministerie van Volksgezondheid, Welzijn en Sport (VWS) de opzet van 7 apps die kunnen bijdragen aan bron- en contactopsporing zorgvuldig bekeken, maar kan deze dus niet beoordelen. (Bron: AP, 20 apr. 2020)

Zorgen om dataverzameling bij thuisonderwijs

Veel ouders, docenten, leerlingen en studenten maken zich zorgen over persoonsgegevens die worden verzameld bij digitaal thuisonderwijs tijdens de coronacrisis. Zij vragen zich bijvoorbeeld af of de systemen die scholen gebruiken om te videobellen wel veilig zijn, of gegevens niet in verkeerde handen kunnen vallen en wat er precies met al die gegevens gebeurt. Dit blijkt uit de grote hoeveelheid signalen die de Autoriteit Persoonsgegevens (AP) hierover ontvangt. De AP deelt deze zorgen en gaat daarom bij onderwijsinstellingen na of zij de privacy wel goed op orde hebben. (Bron: AP, 23 apr. 2020)

AP start onderzoek naar TikTok

In Nederland hebben veel kinderen TikTok* op hun telefoon staan. Met de opkomst van TikTok zijn ook privacy-zorgen rondom het gebruik toegenomen. Om na te gaan of de privacy in orde is, start de Autoriteit Persoonsgegevens (AP) een onderzoek. (Bron: AP, 8 mei 2020)

* TikTok is een social media-app waarmee korte muziekvideo's gemaakt en gedeeld kunnen worden. De video's hebben een lengte van 3 tot 15 seconden; ook kunnen er video's in loops van maximaal 60 seconden worden gemaakt. De app is voornamelijk populair onder de jeugd. TikTok heeft 830.000 gebruikers binnen de leeftijdsgroep 6 t/m 18 jaar. (Bron: Wikipedia)

AP toetst voorstel delen telecomdata

Het kabinet wil de Telecommunicatiewet wijzigen om het delen van telecomdata in de strijd tegen corona mogelijk te maken. De Autoriteit Persoonsgegevens (AP) heeft het voorstel tot wetswijziging beoordeeld en zal haar bevindingen uiterlijk bekendmaken zodra het kabinet het wetsvoorstel publiceert.

‘Wij hebben steeds gezegd: de inzet van telecomdata kan alléén als dat in de wet geregeld wordt. Volgens de huidige wetgeving is dit namelijk niet toegestaan’, zegt AP-voorzitter Aleid Wolfsen. (Bron: AP, 20 mei 2020)

NB: Het voorstel tot wetswijziging is op 29 mei 2020 gepubliceerd.

UWV verbetert beveiliging werkgeversportaal na onderzoek AP

De Autoriteit Persoonsgegevens (AP) heeft na onderzoek vastgesteld dat het Uitvoeringsinstituut Werknemersverzekeringen (UWV) de beveiliging van het online werkgeversportaal heeft verbeterd. Het UWV heeft ervoor gezorgd dat werkgevers en arbodiensten alleen nog via eHerkenning kunnen inloggen in het portaal. De gezondheidsgegevens van werknemers die in dit systeem staan, zijn hiermee voldoende beveiligd. Het UWV hoeft daarom geen dwangsom te betalen. (Bron: AP, 4 jun. 2020)

AP wijst supermarkten op regels gezichtsherkenning

‘Gezichtsherkenning is een zwaar middel’, zegt Monique Verdier, vicevoorzitter van de AP. ‘Daarmee zijn mensen op grote schaal te volgen. Dat begint misschien bij een supermarkt, die met één druk op de knop kan opzoeken hoe vaak jij de winkel binnenkomt en wat jij dan koopt. Dat eindigt bij een situatie dat we continu gevolgd worden, met gezichtsherkenning in alle winkels en op straat. Zo’n surveillancesamenleving moeten we voorkomen.’ (Bron: AP, 5 jun. 2020)

Redactie: "Dat eindigt bij een situatie dat we continu gevolgd worden, met gezichtsherkenning in alle winkels en op straat". Een beetje zwaar aangezet. Maar misschien wel een goed idee om winkeldiefstal te voorkomen. Of is diefstal een minder ernstig vergrijp dan met behulp van gezichtsherkenning ontmaskeren van dieven? Misschien kan de AP toevoegen waarvoor de beelden wel gebruikt en bewaard mogen worden.

Jaarverslag 2019

In 2019 focuste de Autoriteit Persoonsgegevens (AP) meer op handhaving van de privacywetgeving. In 2018 lag de nadruk nog op voorlichting over de nieuwe Algemene verordening gegevensbescherming, die in dat jaar van toepassing werd. Maar in 2019 was deze periode van coulance voorbij. De AP legde onder meer 4 keer een boete op, voor een bedrag van in totaal ruim 2,5 miljoen euro. Deze overtredingen gingen over toegang tot medische dossiers, verkoop van ledengegevens, biometrie (vingerafdrukken) en inzagerechten.

Uit het enorme aantal privacy klachten dat de AP in 2019 ontving over organisaties (bijna 28.000!), blijkt wel hoe belangrijk mensen hun privacy vinden. En hoe vaak zij in de praktijk tegen problemen aanlopen met organisaties die hun persoonsgegevens verwerken. (Bron: AP, 1 juli 2020)

Corona-spoedwet moet van tafel

De Autoriteit Persoonsgegevens (AP) ziet niets in de spoedwet die telecombedrijven verplicht om locatiegegevens te verstrekken in de strijd tegen corona. De plannen zijn te vaag om zo’n maatregel te rechtvaardigen en daarom moeten ze van tafel, zegt AP-voorzitter Aleid Wolfsen in de NRC. Verantwoordelijk minister Hugo de Jonge vindt de wet nog steeds een goed idee.

De Raad van State heeft eerder een positief advies afgegeven op de voorgestelde spoedwet. Het voorstel ligt in de Tweede Kamer, die er na het zomerreces over stemt. (Bron: Computable, 3 jul. 2020)

Ook de AWVN schaart zich achter het verplicht verstrekken van locatiegegevens aan de werkgever. De werkgever heeft een zorgplicht voor de veiligheid van de werkomgeving van zijn werknemers. Hij moet dus alles doen wat hij redelijkerwijs kan om te voorkomen dat zijn werknemers op de werkplek met het coronavirus in aanraking komen. Dit betekent onder meer dat hij moet voorkomen dat werknemers in aanraking komen met collega’s die mogelijkerwijs met het coronavirus besmet kunnen zijn. De mogelijkheid van besmetting is er als wordt teruggereisd vanuit een land of gebied waarvoor een oranje of rood reisadvies geldt. De werkgever kan alleen aan bovengenoemde zorgplicht voldoen, als hij weet of werknemers al dan niet zijn teruggereisd vanuit een land of gebied waarvoor een oranje of rood reisadvies geldt. (Bron: AWVN, 13 aug. 2020)  

Snel en verplicht testen na brononderzoek

VNO-NCW en MKB-Nederland willen dat werknemers die in contact zijn gekomen met corona besmette mensen, meteen verplicht worden getest. Dat zeggen zij in reactie op de verplichte thuisquarantaine die minister De Jonge (Volksgezondheid) voor deze mensen voorstelt. VNO-NCW en MKB-Nederland vinden dat werkgevers de mogelijkheid moeten krijgen om medewerkers te verplichten zich te laten testen.

‘Het laatste dat je als werkgever wil, is het risico dat het virus zich verder in je bedrijf en onder je medewerkers verspreidt, met de kans op sluiting aan toe’, benadrukt Vonhof. ‘Maar werkgevers kunnen en mogen niks. Als er nou één ding in de Noodwet moet worden geregeld, is dat je als werkgever tegen bijvoorbeeld een grieperige werknemer kunt zeggen dat hij of zij zich moet laten testen. We hebben begrip voor de privacygevoelige kanten, maar we hebben het hier over de veiligheid en gezondheid van mensen en het voorkomen van de gevreesde tweede golf. Een tweede golf zou in alle opzichten rampzalig zijn.’ (Bron: VNO-NCW, 12 aug. 2020)

Privacy corona-app gebruikers nog onvoldoende gewaarborgd

De privacy rond corona-app CoronaMelder is nog onvoldoende gewaarborgd. De Autoriteit Persoonsgegevens (AP) vindt dat de minister afspraken moet maken met Google en Apple over de software die zij leveren voor de inzet van de app, dat er een wet moet komen om de inzet van de app goed te regelen en dat duidelijk moet worden dat de servers die de app gebruikt ook veilig zijn. De AP adviseert het kabinet de app pas in te zetten als de adviezen zijn opgevolgd.

De AP is positief over de ontwikkeling van de app op zichzelf, zegt AP-voorzitter Aleid Wolfsen. ‘Die is duidelijk ontworpen met privacy als uitgangspunt. Met allerlei technische waarborgen voor de privacy van gebruikers, zoals versleuteling van het dataverkeer en het versturen van nepcodes om te voorkomen dat je iets kunt aflezen uit het dataverkeer.’ (Bron: AP, 17 aug. 2020)

Gedragscode NLdigital goedgekeurd door AP

De Autoriteit Persoonsgegevens (AP) heeft de Data Pro Code van branchevereniging NLdigital goedgekeurd. Dit is een gedragscode waarbij organisaties in de ICT-sector zich kunnen aansluiten. Veel van de leden van NLdigital treden voor hun opdrachtgevers op als verwerker van persoonsgegevens. De Data Pro Code is bedoeld om deze bedrijven te helpen om aan de verplichtingen uit de Algemene verordening gegevensbescherming (AVG) te voldoen.

De Data Pro Code is de eerste gedragscode onder de AVG die de AP heeft goedgekeurd. (Bron: AP, 27 aug. 2020)

Aanbevelingen voor privacy bij digitaal thuisonderwijs

Tijdens de coronacrisis zijn onderwijsinstellingen massaal overgestapt op digitaal thuisonderwijs. Online (video)bellen en online proctoring (digitale surveillance) zijn bruikbare middelen gebleken om het onderwijs te laten doorgaan. De keerzijde is dat de inbreuk op de privacy groot kan zijn, vooral bij online proctoring. 

Ouders, leerlingen, studenten en docenten hebben bij de AP hun zorgen geuit over de verwerking van persoonsgegevens in het afstandsonderwijs. Zij vragen zich bijvoorbeeld af of de systemen die scholen gebruiken om te videobellen wel veilig zijn. En of gegevens niet in verkeerde handen kunnen vallen. 

Een van de verbeteringen "Als het niet noodzakelijk is, moet de onderwijsinstelling ervoor zorgen dat er bij het maken van beeldopnamen van een digitale les geen leerlingen of studenten in beeld zijn." (Bron en meer aanbevelingen: AP, 2 okt. 2020)

Onderzoek in private sector: ‘de’ verwerkers-overeenkomst bestaat niet

De Autoriteit Persoonsgegevens (AP) heeft bij 31 organisaties in de private sector (uit de sectoren handel, gezondheidszorg, media, vrije tijd en energie) onderzoek gedaan naar verwerkersovereenkomsten. Het doel was een beter beeld te krijgen van hoe organisaties deze overeenkomsten opstellen. De conclusie is dat er zeer diverse verwerkersovereenkomsten in gebruik zijn.

Organisaties schakelen vaak andere organisaties in om persoonsgegevens voor hen te verwerken. Bijvoorbeeld als zij de boekhouding uitbesteden, een callcenter inhuren of een website laten hosten. Zo’n andere organisatie heet een verwerker. In een verwerkersovereenkomst leggen beide partijen afspraken vast over wat de verwerker wel en niet mag doen met die persoonsgegevens. Een verwerkersovereenkomst is verplicht op grond van de AVG.

De AP benadrukt dat degelijke, periodiek bijgewerkte verwerkersovereenkomsten onderdeel vormen van een goede bedrijfsvoering. (Bron: AP, 9 okt. 2020)


 

Gerelateerde artikelen en/of partner bijdragen:
Gerelateerd nieuws en/of opinies:



 Algemene verordening gegevensbescherming (AVG)    Begrip en diverse onderwerpen