Autoriteit Persoonsgegevens

Datum laatste wijziging: 25 september 2021  |  Trefwoorden: , , , , , , , , , , , ,

Inhoud

  1. Rapport Autoriteit Persoonsgegevens over Abrona
  2. Beleidsregels 'De zieke werknemer'
  3. Evaluatie meldplicht datalekken na 1 jaar
  4. 5500 datalekmeldingen: waar gaat het mis?
  5. Campagne 'Privacy gaat iedereen wat aan'
  6. Werkgevers in de knel door privacywet
  7. Jaarverslag 2017
  8. Privacywaakhond vreest tandeloos te zijn door geldgebrek
  9. Onrust bij Autoriteit Persoonsgegevens
  10. Autoriteit Persoonsgegevens start controles naar verwerkingsregister
  11. Vele honderden klachten
  12. Nadere uitleg richtlijn ‘De zieke werknemer’
  13. Iedereen heeft privacyrechten
  14. Inzagerecht van persoonsgegevens
  15. Nepbrieven aan ondernemers van AP in omloop
  16. Veel privacy klachten over ICT-bedrijven
  17. Kwart van de organisaties nog geen AVG-bedrijfsbeleid
  18. Separaat wetsvoorstel over privacy in Handelsregisterwet
  19. Persoonsgegevens zonder Brexit akkoord niet zomaar naar Verenigd Koninkrijk
  20. Boetebeleid Autoriteit Persoonsgegevens
  21. Grondslag om personeelsgegevens te verwerken
  22. Jaarverslag 2018
  23. Mkb worstelt met privacywet
  24. Betaalgegevens gebruiken voor aanbiedingen? Dat doen veel banken al lang
  25. Richtlijnen voor cameratoezicht
  26. Spookfacturen niet meer melden
  27. Sterke toename van privacy klachten in 2019
  28. Onjuiste wijze toestemming voor plaatsen tracking cookies
  29. Waarschuwing voor neptoezichthouder
  30. Samenwerking AP en RvA: goedkeuring AVG-certificaten
  31. AP kijkt naar Nederlandse autofabrikanten
  32. Gebruik telecomdata tegen corona kan alléén met wet
  33. Belangrijkste huisartsinformatie tijdelijk te raadplegen
  34. Keuzehulp privacy bij videobel-apps
  35. Privacy corona-apps niet aangetoond
  36. Zorgen om dataverzameling bij thuisonderwijs
  37. AP start onderzoek naar TikTok
  38. AP toetst voorstel delen telecomdata
  39. UWV verbetert beveiliging werkgeversportaal na onderzoek AP
  40. AP wijst supermarkten op regels gezichtsherkenning
  41. Jaarverslag 2019
  42. Corona-spoedwet moet van tafel
  43. Snel en verplicht testen na brononderzoek
  44. Privacy corona-app gebruikers nog onvoldoende gewaarborgd
  45. Gedragscode NLdigital goedgekeurd door AP
  46. Aanbevelingen voor privacy bij digitaal thuisonderwijs
  47. Onderzoek in private sector: ‘de’ verwerkers-overeenkomst bestaat niet
  48. Pas op met camera’s met gezichtsherkenning
  49. Groei AP noodzakelijk
  50. AP onderzoekt meten temperatuur werknemers tijdens corona
  51. Verklaring van EDPB over e-Privacy-verordening
  52. Formele waarschuwing AP aan supermarkt om gezichtsherkenning
  53. Vanwege privacywet weet werkgever straks niet welke werknemer coronaprik heeft gehad
  54. Handleiding voor privacy verkiezingscampagnes
  55. Noodklok luidt over explosieve toename hacks en datadiefstal
  56. Aantal privacy-klachten blijft zorgwekkend hoog
  57. AP ontvangt 75 datalekmeldingen na lekken in Microsoft Exchange-servers
  58. Boete vanwege wifitracking
  59. Nieuw meldformulier voor datalekken
  60. AP verzwaart toezicht op gemeente
  61. Boete van 525.000 euro voor Locatefamily.com
  62. Boete voor CP&A om privacyschending zieke werknemers
  63. Wetsvoorstel elektronische gegevensuitwisseling zorg: risico op aantasting medisch beroepsgeheim
  64. Nieuw meldformulier datalekken is live
  65. Boete orthodontiepraktijk vanwege onbeveiligde patiëntenwebsite
  66. UWV krijgt boete voor slechte beveiliging bij verzending groepsberichten
  67. Boete TikTok vanwege schenden privacy kinderen
  68. AP kritisch over openbaar Transparantieregister zorg
  69. AP publiceert aanbevelingen voor smart cities
  70. Werkgever mag toch naar vaccinatiestatus vragenzorg

    71. Rapport Autoriteit Persoonsgegevens over Abrona

    Recent is een rapport verschenen van AP, de Autoriteit Persoonsgegevens (het vroegere CPB) over de zorginstelling Stichting Abrona en hoe deze onjuist omgaat met de medische gegevens van zieke werknemers. Het rapport krijgt bij derden weinig bijval.

    In het rapport is vastgesteld dat Abrona bij de ziekmelding meer persoonsgegevens betreffende de gezondheid van haar werknemers verwerkt dan noodzakelijk is voor de vaststelling van haar loondoorbetalingsverplichting en de re-integratie of begeleiding van haar zieke werknemers. Zo registreert Abrona in haar verzuimsysteem gegevens als aard en oorzaak van de ziekte van de (zieke) werknemer alsmede zwangerschap. Daarnaast bepaalt de zieke werknemer bij ziekmelding zelf het ziektepercentage en kan Abrona dit ziektepercentage bij een ziekmelding in het verzuimsysteem invullen. (Bron: RNVC, 14 mrt. 2016)

    Beleidsregels 'De zieke werknemer'

    De Autoriteit Persoonsgegevens (AP) publiceerde op 21 april 2016 de beleidsregels De zieke werknemer. De beleidsregels bevatten actuele informatie voor werknemers, werkgevers en andere partijen die gegevens over de gezondheid van (zieke) werknemers verwerken. Zo staat er welke gezondheidsgegevens van werknemers werkgevers mogen verwerken. Daarnaast zijn de normen in deze beleidsregels het uitgangspunt voor de Autoriteit Persoonsgegevens als zij onderzoekt of een organisatie in overeenstemming met de wet gezondheidsgegevens van werknemers verwerkt. (Bron en meer: AP, 21 apr. 2016, zie ook het uitvoerige rapport 'De zieke werknemer, Beleidsregels voor de verwerking van persoonsgegevens over de gezondheid van zieke werknemers'.

    De beleidsregels 'De zieke werknemer' hebben voor onrust en vragen gezorgd. Vooral de uitspraak van de AP dat een werkgever niet mag vragen naar functionele arbeidsbeperkingen en arbeidsmogelijkheden roept veel discussie op. Kunnen werkgever en werknemer nog wel een gesprek voeren over re-integratie zonder tussenkomst van de bedrijfsarts? Reden voor de Nederlandse Vereniging van Audicienbedrijven (NVAB) (Audicien = slechthorend) met de AP een gesprek (november 2016) te voeren. Samengevat:

    • Het gaat de AP vooral om twee belangrijke pijlers van de privacyregelgeving:
      • Het geheimhouden van medische gegevens.
      • Het zonder dwang of drang kunnen spreken (of zwijgen) door zieke werknemers over privacygevoelige onderwerpen.
    • Werkgever en werknemer zouden samen een sfeer moeten creëren waarin in alle vrijheid een gesprek kan plaatsvinden.

    Red.: Of de onrust door deze geruststellende woorden verdwenen is, valt te bezien.

    Evaluatie meldplicht datalekken na 1 jaar

    Op 1 januari 2016 is de meldplicht datalekken* ingegaan. Organisaties die een ernstig datalek hebben, moeten dit sindsdien melden bij de Autoriteit Persoonsgegevens (AP) en soms ook aan de mensen van wie de gelekte gegevens zijn. In bijna een jaar tijd (tot 15 december 2016) heeft de AP bijna 5500 meldingen ontvangen van datalekken.

    De meeste meldingen zijn afkomstig uit de sectoren gezondheid & welzijn (o.a. zorgverzekeraars, ziekenhuizen), financiële dienstverlening (o.a. banken, verzekeraars) en openbaar bestuur (o.a. gemeenten).

    Er zijn veel datalekken waarbij gegevens per ongeluk bij iemand anders terecht komen dan de bedoeling is. Bijvoorbeeld door een verkeerd bezorgde brief, een e-mail aan de verkeerde ontvanger of als een klant in een klantportaal de gegevens van iemand anders ziet. Ook komt het vaak voor dat bijvoorbeeld een USB-stick met persoonsgegevens kwijtraakt of een laptop wordt gestolen.

    Ruim 100 organisaties kregen een waarschuwing van de AP. In enkele andere tientallen gevallen doet de AP een diepgaander onderzoek. Deze onderzoeken lopen nog. (Bron AP, 28 dec. 2016)

    * We spreken van een datalek als persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens zouden mogen hebben. Een datalek is het gevolg van een beveiligingsprobleem. In de meeste gevallen gaat het om uitgelekte computerbestanden, al kan een gestolen geprinte klantenlijst evengoed een datalek vormen.

    NB: Het adres om een privacy klacht te melden, klik op Autoriteit Persoonsgegevens (AP).

    5500 datalekmeldingen: waar gaat het mis?

    Een jaar na de invoering van de meldplicht datalekken maakte de Autoriteit Persoonsgegevens (AP) eind 2016 de balans op: ruim 5.500 meldingen in krap een jaar tijd. Een groot deel van die meldingen was te voorkomen geweest.

    De meldingen die de Autoriteit Persoonsgegevens in 2016 ontving, gingen in veel gevallen over verkeerd bezorgde brieven, verkeerd geadresseerde e-mails en een slechte beveiliging van klantportalen waardoor klanten elkaars gegevens konden inzien. Ook komt het vaak voor dat USB-sticks met persoonsgegevens kwijtraken of dat een laptop wordt gestolen. (Bron: Brisk, 20 apr. 2017)

    Toezicht en begeleiding bij implementatie van AVG door Autoriteit Persoonsgegevens (AP)
    MKB-Nederland en VNO-NCW willen toezicht en begeleiding voor Nederlandse bedrijven bij de implementatie van de Europese Algemene Verordening Gegevensbescherming (AVG). De nieuwe privacywetgeving zou veel werk en kosten met zich meebrengen.

    De Autoriteit Persoonsgegevens (AP) moet samenwerken met het Nederlandse bedrijfsleven. Dat vinden ondernemersorganisaties MKB-Nederland en VNO-NCW naar aanleiding van de naderende invoering van de Europese Algemene Verordening Gegevensbescherming (AVG) in mei 2018. Toezicht vanuit de AP moet dan gericht zijn op het in goede banen leiden van data gedreven innovatie, en mag er niet toe leiden dat zulke innovaties onmogelijk worden. (Bron: CM, 22 aug. 2017)

    Op dit moment mag de Autoriteit Persoonsgegevens boetes opleggen van maximaal 900.000 euro. Dat maximum kan met de nieuwe wet oplopen tot 20 miljoen of 4% van de jaaromzet.

    Campagne 'Privacy gaat iedereen wat aan'

    De Autoriteit Persoonsgegevens (AP) start een voorlichtingscampagne over de nieuwe Europese privacywet die vanaf 25 mei 2018 geldt.

    Met de campagne biedt de AP organisaties praktische hulp om te voldoen aan hun nieuwe plichten. Zoals een digitale ‘regelhulp’ waarmee organisaties snel in kaart kunnen brengen wat zij nog moeten doen voor 25 mei. Op hulpbijprivacy.nl, de campagnewebsite van de AP, worden ook andere hulpmiddelen aangeboden en staat de informatie over de rechten en plichten uit de nieuwe wet overzichtelijk op een rij. Omdat kinderen al op jonge leeftijd online actief zijn, heeft de AP speciaal voor hen een lespakket laten ontwikkelen. (Bron: Autoriteit persoonsgegevens, 29 jan. 2018)

    Werkgevers in de knel door privacywet

    Werkgevers komen in de knel door de beperkingen die de Autoriteit Persoonsgegevens (AP) oplegt voor de verwerking van (gezondheids)gegevens van medewerkers. Dat staat in een brief die VNO-NCW en MKB-Nederland dinsdag naar de Tweede Kamer hebben gestuurd.

    De Autoriteit Persoonsgegevens (AP) handhaaft zo streng op de privacywetgeving, zeggen zij, dat het werkgevers niet lukt zieke werknemers goed te begeleiden. Ook kunnen ze zo onmogelijk mensen met een arbeidsbeperking een juiste werkplek bieden.

    Dat al in de eerste periode waarin een werknemer ziek is een bedrijfsarts moet worden ingeschakeld is volgens VNO-NCW ‘volstrekt onnodig’. “Werkgever en werknemer zijn over het algemeen prima in staat zelf onderling afspraken te maken zonder te spreken over diagnose of behandeling.” Door het snelle inschakelen van de bedrijfsarts is er sprake van “onnodige medicalisering” en “daarmee hogere kosten voor de werkgever”.

    Beide ondernemingsorganisaties willen dat de wetgever nader aangeeft onder welke voorwaarden werkgevers mogen vragen naar de gezondheidssituatie van medewerkers. Nu vult de AP de ruimte die de nieuwe privacywet AVG biedt zeer restrictief in. Door als wetgever duidelijkheid te creëren in de wet, kunnen ondernemers hun verantwoordelijkheden rond re-integratie, 100.000 banenplan en veilige werkomgeving waarmaken, zonder dat de AP daar onder het mom van privacy een stokje voor steekt. (Bron en meer: VNO-NCW, 7 mrt. 2018)

    Jaarverslag 2017

    Het jaar 2017 stond voor de Autoriteit Persoonsgegevens (AP) in het teken van de aankomende nieuwe privacywetgeving. De AP investeerde in voorlichting aan organisaties en nadere Europese uitleg van de nieuwe regels. Daarnaast hield de AP toezicht op de naleving van de huidige Wet bescherming persoonsgegevens (Wbp) met onderzoeken naar bijvoorbeeld Facebook, Microsoft en de registratie van prostituees.

    Voorzitter Aleid Wolfsen: “Er is nu veel meer aandacht in de samenleving voor het onderwerp privacy. Aandacht voor de nieuwe privacywetgeving, incidenten rond Facebook, medische dossiers en cameratoezicht in sauna’s zorgt voor een groter bewustzijn van het belang van de bescherming van onze persoonsgegevens. Mensen raken er steeds meer van doordrongen dat bijna alles wat we doen zijn weerslag heeft in persoonsgegevens. Wij zijn onze persoonsgegevens. Bescherming van die gegevens is geen luxe, maar noodzaak.” (Bron: AP, 24 apr. 2018)

    Privacywaakhond vreest tandeloos te zijn door geldgebrek

    De privacywaakhond zegt klaar te zijn om de wet te gaan handhaven, maar vreest wel dat het budget niet toereikend is. ‘Dat is een punt van zorg’, zegt een woordvoerder tegen Nu.nl. ‘Het aantal aanvragen dat we nu hebben gekregen is al drie keer zo hoog als in dezelfde periode vorig jaar, en de wet moet nog van kracht worden.’ Veel bedrijven zijn ook nog niet ‘AVG-bestendig’.

    De autoriteit reageert naar aanleiding van berichtgeving van persbureau Reuters, dat een rondje maakte onder 24 Europese privacywaakhonden. Zeventien van de 24 ondervraagde instanties zeggen dat ze op 25 mei nog onvoldoende financiering of bevoegdheden te hebben om de AVG goed te kunnen handhaven. (Bronnen: Nu & Accountancy Van Morgen, mei. 2018)

    Onrust bij Autoriteit Persoonsgegevens

    De Autoriteit Persoonsgegevens heeft te maken met interne onrust en een uittocht van medewerkers. De autoritaire bestuursstijl van de voormalige burgemeester van Utrecht Aleid Wolfsen zou hier aan ten grondslag liggen.

    "Hij weet het zelf altijd beter", vertelt een anonieme bron aan het Financieele Dagblad, dat over de onrust binnen de privacywaakhond schrijft. Wolfsen trad in 2016 aan als bestuursvoorzitter bij de Autoriteit Persoonsgegevens (AP). De voormalige Utrechtse politicus zou een autoritaire bestuursstijl hebben en nooit informatie vragen aan deskundigen.

    De krant schrijft dat de AP gebukt gaat onder interne onrust. Er zou sprake zijn van bestuursruzies en een uittocht van ervaren mensen, wat ten koste zou gaan van de slagkracht, terwijl nu net de nieuwe privacyregels uit de Algemene Verordening Gegevensbescherming (AVG) van kracht zijn geworden. (Bron: RTVUtrecht, 25 mei 2018)

    Autoriteit Persoonsgegevens start controles naar verwerkingsregister

    De Autoriteit Persoonsgegevens (AP) gaat onderzoeken of organisaties een verwerkingsregister bijhouden. Het gaat in eerste instantie om een willekeurige steekproef van dertig grote organisaties uit tien private sectoren.

    Dat meldt de toezichthouder op de website. Het steekproef wordt uitgevoerd in de volgende tien sectoren: industrie en metaal, waterleidingbedrijf , bouw, handel, horeca, reisorganisatie, communicatie, financiële dienstverlening, zakelijke dienstverlening en zorg. De organisaties zitten verspreid over heel Nederland. (Bron: Xpert, 18 jul. 2018)

    Vele honderden klachten

    Binnen een maand nadat de Europese privacywet AVG van kracht werd, dienden vele honderden mensen een klacht in bij privacywaakhond Autoriteit Persoonsgegevens (AP). Uit de klachten blijkt dat bedrijven nog grote slagen te maken hebben voor zij voldoen aan de wet. Bijna een derde van de klachten kwam van mensen die problemen ondervinden bij het verwijderd krijgen van hun persoonsgegevens. Daarnaast klagen mensen dat zij hun gegevens niet mogen inzien en over ongewenste verstrekking van hun gegevens aan derden.

    Het grootste deel van de klachten gaat over bedrijven (87%). De Algemene verordening gegevensbescherming (AVG) die op 25 2018 mei van kracht werd, heeft grote gevolgen voor organisaties die cv’s opslaan. Wie geen nadrukkelijke toestemming heeft van de sollicitant, mag de gegevens niet opslaan en moet alle cv’s ouder dan vier weken verwijderen. Dat betekent dat miljoenen cv’s moeten worden gewist of geanonimiseerd. (Bron: PW, 16 aug. 2018)

    Nadere uitleg richtlijn ‘De zieke werknemer’

    Het ministerie van Sociale Zaken en Werkgelegenheid (SZW) heeft op het Arboportaal een document gepubliceerd waarin uitleg wordt gegeven over de beleidsregels ‘De zieke werknemer’ van de Autoriteit Persoonsgegevens (AP). De beleidsregels hebben vanaf het moment van publicatie, 21 april 2016, tot veel discussie geleid. Voornaamste bezwaar van veel partijen betrokken bij verzuim(beleid) en re-integratie, is dat de beleidsregels met een beroep op de privacywetgeving onnodige drempels opwerpen die het re-integratieproces van zieke werknemers belemmeren.

    Door diverse partijen is twijfel geuit of een aantal aannames van de AP wel strookt met de Wet verbetering poortwachter. Het gaat hierbij onder andere om zaken als het bespreken en het verwerken van gegevens door een werkgever bij een ziekmelding. Zo mag de werkgever, volgens de AP, niet vragen naar de functionele mogelijkheden en beperkingen van de werknemer. Dit betekent dat hij niet mag vragen welke (deel)taken of werkzaamheden de werknemer nog kan uitvoeren. Volgens de AP hoeft de werknemer deze informatie niet aan de werkgever te verstrekken. En als de werknemer hierover spontaan informatie verstrekt, mag de werkgever dit volgens de AP niet registeren. Dit bemoeilijkt de re-integratie in de praktijk, tot ergernis van veel werkgevers.

    Om een lang verhaal kort te maken kort te maken. De AP verduidelijkt maar geeft geen duimbreed toe. Dit betekent dat de onduidelijkheid voortduurt en in de praktijk de beleidsregels een belemmering blijven vormen voor het re-integratieproces. Hier zijn werkgevers noch werknemers bij gebaat. (Bron: AWVN, 17 aug. 2018)

    Red.: Wij zijn benieuwd of t.z.t. een rechter in zijn oordeel aangeeft of een werkgever zich inzake de re-integratie van een werknemer voldoende heeft ingespannen en het feit - dat de werkgever niet naar functionele mogelijkheden en beperkingen mocht vragen - laat meewegen

    Iedereen heeft privacyrechten

    De privacywet geeft iedereen privacyrechten. Zoals het recht om in te zien welke persoonsgegevens een organisatie van je heeft. Die rechten zijn onder de AVG uitgebreid met het recht op dataportabiliteit (het recht om je gegevens mee te nemen) en het recht op vergetelheid (het recht dat organisaties je persoonsgegevens moeten wissen als je erom vraagt. Die rechten kun je zelf uitoefenen, door een organisatie op deze rechten te wijzen. Sinds 25 mei zijn die rechten versterkt: iedereen kan nu ook een privacyklacht indienen bij de AP.

    Recht op inzage

    Mensen hebben recht op inzage in hun persoonsgegevens. Dat houdt in dat u een organisatie mag vragen of deze persoonsgegevens van u heeft vastgelegd en zo ja, welke. U hoeft geen reden te geven voor een inzageverzoek.

    Reikwijdte inzagerecht
    Met het antwoord dat de organisatie geeft op uw inzageverzoek, moet u kunnen controleren of uw gegevens kloppen. En of de organisatie uw gegevens op de juiste manier verwerkt.
    Het recht op inzage betreft alleen inzage in uw eigen gegevens. U heeft dus geen recht op informatie over anderen. Tenzij iemand u daar bijvoorbeeld een volmacht voor heeft gegeven.
    Gebruikt een organisatie persoonlijke werkaantekeningen als geheugensteuntje? Dan vallen deze aantekeningen niet onder het inzagerecht.
    Maar slaat de organisatie de aantekeningen vervolgens op in een dossier of verstrekt de organisatie deze aan anderen? Dan heeft degene over wie het gaat ook recht op inzage in deze aantekeningen.

    Wetgeving
    Het inzagerecht is geregeld in artikel 15 van de Algemene verordening gegevensbescherming (AVG).

    Belangrijkste elementen van gegevensoverdraagbaarheid (dataportabiliteit)

    Het recht op gegevensoverdraagbaarheid wordt in artikel 20, lid 1, van de algemene verordening gegevensbescherming (AVG) gedefinieerd.
    De betrokkene heeft het recht de hem betreffende persoonsgegevens, die hij aan een verwerkingsverantwoordelijke heeft verstrekt of van hem zijn verwerkt, in een gestructureerde, gangbare en machine leesbare vorm te verkrijgen, en hij heeft het recht die gegevens aan een andere verwerkingsverantwoordelijke over te dragen, zonder daarbij te worden gehinderd door de verwerkingsverantwoordelijke aan wie de persoonsgegevens waren verstrekt […]

    Een recht om persoonsgegevens te verkrijgen

    Gegevensoverdraagbaarheid is in eerste instantie een recht van de betrokkene om een subset te ontvangen van persoonsgegevens over hem of haar die door een verwerkingsverantwoordelijke werden verwerkt, en om die gegevens voor later persoonlijk gebruik op te slaan. Die gegevens kunnen op een eigen apparaat of in een eigen cloud worden opgeslagen, zonder dat ze daarbij naar een andere verwerkingsverantwoordelijke moeten worden verzonden.
    In dat opzicht vult gegevensoverdraagbaarheid het recht op inzage aan. Een specifiek kenmerk van gegevensoverdraagbaarheid is dat het betrokkenen een manier biedt om hun persoonsgegevens zelf makkelijk te beheren en opnieuw te gebruiken. Deze gegevens moeten "in een gestructureerd, gangbaar en machine leesbaar formaat" worden verkregen. Bijvoorbeeld: een betrokkene kan zijn huidige afspeellijst (of een historiek van beluisterde nummers) van een muziekstreamingdienst willen opvragen om te kijken hoeveel keer hij bepaalde nummers heeft beluisterd of om te bepalen welke muziek hij op een ander platform wil aankopen of beluisteren. Tegelijkertijd wil hij misschien ook zijn contactenlijst van zijn webmailapplicatie opvragen om bijvoorbeeld een lijst met gasten voor zijn huwelijk op te stellen, of informatie krijgen over aankopen met verschillende klantenkaarten of zijn koolstofvoetafdruk bepalen.
    In deze gevallen kan de verwerking van de door de betrokkene bezorgde gegevens binnen het toepassingsgebied van huishoudelijke activiteiten vallen, op voorwaarde dat de betrokkene volledige en exclusieve controle heeft over de verwerking, of ze kan namens de betrokkene door een andere partij worden uitgevoerd. In dit laatste geval moet de andere partij als een verwerkingsverantwoordelijke worden beschouwd, ook al gaat het enkel over opslag van persoonsgegevens, en moet deze de principes en verplichtingen zoals in de algemene verordening gegevensbescherming vastgelegd naleven.

    Een recht om persoonsgegevens van de ene aan een andere verwerkingsverantwoordelijke over te dragen

    Ten tweede wordt in artikel 20, lid 1, bepaald dat betrokkenen het recht hebben om persoonsgegevens van de ene aan een andere verwerkingsverantwoordelijke over te dragen, en dit "zonder daarbij te worden gehinderd". Gegevens kunnen ook direct van de ene aan een andere verwerkingsverantwoordelijke worden overgedragen op verzoek van de betrokkene en waar dat technisch haalbaar is (artikel 20, lid 2). In dat verband worden 6 verwerkingsverantwoordelijken in overweging 68 aangemoedigd om interoperabele formaten te ontwikkelen die gegevensoverdraagbaarheid mogelijk maken,5 maar zonder de verwerkingsverantwoordelijken daarbij te verplichten te kiezen voor of te blijven werken met technisch compatibele verwerkingssystemen6. In de algemene verordening gegevensbescherming wordt het verwerkingsverantwoordelijken echter verboden de verzending te beperken.
    In principe biedt dit aspect van gegevensoverdraagbaarheid betrokkenen de mogelijkheid om de gegevens die ze aan een andere dienstverlener (in hetzelfde of in een ander activiteitengebied) hebben bezorgd, niet alleen te verkrijgen en opnieuw te gebruiken, maar ze ook te verzenden. Naast het feit dat de consument (of medewerker) weerbaar wordt gemaakt door "lock-in" te voorkomen, wordt verwacht dat door het recht op gegevensoverdraagbaarheid ook opportuniteiten worden bevorderd op het vlak van innovatie en het veilig en beveiligd delen van persoonsgegevens tussen verwerkingsverantwoordelijken onder toezicht van de betrokkene.
    Gegevensoverdraagbaarheid kan het gecontroleerd en beperkt delen door gebruikers van persoonsgegevens tussen organisaties bevorderen en aldus diensten en klantervaringen verrijken. Gegevensoverdraagbaarheid kan verzending en hergebruik van persoonsgegevens van gebruikers tussen de diverse diensten waarin ze geïnteresseerd zijn mogelijk maken.

    Nepbrieven aan ondernemers van AP in omloop

    De Autoriteit Persoonsgegevens waarschuwt voor profiteurs die kwalijke nepbrieven versturen aan ondernemers. In de brief schermen de profiteurs met een bedrijfsbezoek door de AP, intimideren ze met mogelijk hoge boetes en bieden ze tegen veel geld een waardeloze AVG-scan aan.

    Hoe herkent u een echte AP-brief?

    Correspondentie van de AP is altijd op briefpapier, het is dus geen gekopieerd velletje. Een echte AP-brief is opgesteld in foutloos Nederlands en bevat altijd de naam en het telefoonnummer van een contactpersoon.

    Twijfelt u aan de juistheid van een brief?

    Bel dan met het Informatie- en Meldpunt Privacy van de AP, 088 - 1805 250. Samen kunnen we checken of uw brief juist is. (Bron: AP, 23 nov. 2018)

    Veel privacy klachten over ICT-bedrijven

    Bij de Autoriteit Persoonsgegevens (AP) zijn het afgelopen halfjaar ruim tienduizend klachten binnengekomen over privacy. 12 procent van die klachten gaan over ict-bedrijven. Ook klagen burgers vaak dat zakelijke dienstverleners (41 procent van de klachten) en de overheid (10 procent van de klachten) aan de haal gaan met hun privacyrechten.

    De meeste klachten (32 procent) gaan over een schending van een privacyrecht, zoals het recht op inzage en het recht op verwijdering. Mensen krijgen bijvoorbeeld geen inzage in hun gegevens als ze daarom vragen of ondervinden drempels als zij persoonsgegevens verwijderd willen hebben. Veel organisaties vragen bijvoorbeeld om een kopie van een identiteitsbewijs, voordat zij gegevens willen verwijderen. Omdat dit in veel gevallen niet mag heeft de AP via de website de voorlichting hierover uitgebreid. (Bron en meer: Computable, 13 dec. 2018)

    Kwart van de organisaties nog geen AVG-bedrijfsbeleid

    Bijna een kwart van de Nederlandse werknemers heeft nog geen AVG-beleid ontvangen. Dat blijkt uit onderzoek van kantoorspecialist Fellowes, dat onder ruim 7000 werknemers is gehouden. Sinds de ingang van de nieuwe privacywetgeving moet elke organisatie een privacybeleid op te stellen voor het feit dat medewerkers in contact komen met vertrouwelijke informatie. Onder meer de informatie die op het cv van een sollicitant staat of gegevens in e-mailadressen van derden.

    Branches die op dit moment nog veel moeten doen om AVG-proof te worden, zijn de auto-industrie (64%), horeca en reizen (53%) en handel (37%). (Bron: Persberichten.com, 6 dec. 2018)

    Separaat wetsvoorstel over privacy in Handelsregisterwet

    Het Handelsregister is een van de weinige basisregistraties in Nederland. Het kent veel persoonsgegevens die openbaar zijn. Dat deze data, zoals naam en adres van ondernemers van eenmanszaken openbaar zijn, staat op gespannen voet met de privacy. De privacyregels zijn juist door de implementatie van de Wet Algemene Verordening Gegevensbescherming (tools) in mei 2018 aangescherpt. Om de privacy te waarborgen zou de Handelsregisterwet ook hierop moeten worden aangepast.

    Op 6 maart 2017 is het wetsvoorstel over de wijziging van de Handelsregisterwet 2007 echter al aan de Tweede Kamer aangeboden en de wet is nu in behandeling. Om dit proces niet te vertragen, stelt staatssecretaris Keijzer van Economische Zaken en Klimaat in een nota aan de Tweede Kamer (pdf) voor om de bescherming van privégegevens beter te regelen in een separaat wetsvoorstel. Daarin zal ook het advies van de Autoriteit Persoonsgegevens over verbeteringen in de Handelsregisterwet worden meegenomen. (Bronnen: PrivacyNieuws & Rendement, 11 jan. 2019))

    Persoonsgegevens zonder Brexit akkoord niet zomaar naar Verenigd Koninkrijk

    Een no deal-brexit treft niet alleen goederenverkeer, dat dan stil komt te staan aan de grens, maar ook de digitale snelweg. Daarvoor waarschuwt branchevereniging Nederland ICT. Persoonsgegevens mogen zonder akkoord namelijk niet zomaar meer naar het Verenigd Koninkrijk. "Dit treft niet alleen ict-bedrijven, maar alle bedrijven die persoonsgegevens in het Verenigd Koninkrijk hebben staan", zegt directeur Lotte de Bruijn van de branchevereniging. Daarbij gaat het bijvoorbeeld ook om bedrijven die software gebruiken die data in het Verenigd Koninkrijk opslaat.

    De branchevereniging roept de Autoriteit Persoonsgegevens daarom op om een overgangsregeling in te stellen van minimaal vijftien maanden. "Als die er niet komt, lopen veel bedrijven het risico op boetes." (Bron en meer: NOS, 17 jan. 2019)

    Boetebeleid van de Autoriteit Persoonsgegevens (AP)

    Het boetebeleid laat zien hoe de AP de hoogte van een boete berekent. De hoogte van een boete verschilt per type overtreding. Daarnaast speelt bij het vaststellen van de hoogte bijvoorbeeld ook de ernst, omvang en duur van de overtreding mee en of er sprake is van opzet of recidive. Zie wet

    Wettelijk boetemaximum AVG

    De AP kan boetes opleggen bij overtredingen van de Algemene verordening gegevensbescherming (AVG) en de Uitvoeringswet van de AVG. De AVG kent twee categorieën van overtredingen en bijbehorende maximale boetes.

    Wie persoonsgegevens verwerkt heeft verplichtingen, zoals een verwerkingsregister (verwerkersovereenkomst) bijhouden. Gebeurt dat niet dan kan de AP een boete opleggen tot 10 miljoen euro, of 2% van de jaaromzet.
    Overtreedt een verantwoordelijke privacy rechten of de beginselen van de AVG, dan kan de AP een boete opleggen tot 20 miljoen euro, of 4% van de jaaromzet.

    Boetecategorieën

    De AP heeft de overtredingen van de AVG en de andere wetten waarop zij toezicht houdt, voor elk wettelijk boetemaximum ingedeeld in 3 of 4 boetecategorieën, waaraan oplopende geldboetes zijn verbonden. Deze indeling is ingegeven door de zwaarte en ernst van de geschonden norm en de verhouding tot de andere normen in het gegevensbeschermingsrecht.

    Basisboete

    Elke boetecategorie is vervolgens gekoppeld aan boetebandbreedtes. De hoogte daarvan moet voldoende afschrikwekkend zijn voor potentiële overtreders. Daarbinnen heeft de AP een basisboete vastgelegd. Dit bedrag vormt voor de AP het uitgangspunt voor de berekening van de boete in een afzonderlijk geval.
    Websites moeten toegankelijk blijven bij weigeren tracking cookies

    Grondslag om personeelsgegevens te verwerken

    Volgens de regels van de AVG moeten organisaties een grondslag hebben om persoonsgegevens te verwerken. Als bedrijven mensen willen volgen met tracking cookies, volgsoftware of andere digitale methodes, moeten zij daarvoor toestemming vragen. Om die reden vragen vele websides vooraf toestemming voor het plaatsen van diverse ‘volgsoftware’ zoals tracking cookies, tracking pixels of fingerprinting.

    Bij cookiewalls op websites (geen toestemming betekent geen toegang) is de toestemming niet vrij gegeven, omdat websitebezoekers zonder het geven van toestemming geen toegang tot de website krijgen. Voor organisaties die in 2019 nog in de fout zitten de plicht zich snel aan te passen.

    Jaarverslag 2018

    Het jaar 2018 was een mijlpaal voor de bescherming van persoonsgegevens. Op 25 mei 2018 werd namelijk de nieuwe privacywet van toepassing, de Algemene verordening gegevensbescherming (AVG). Voor de Autoriteit Persoonsgegevens (AP) stond het jaar dan ook in het teken hiervan.

    Enkele feiten die in het jaarverslag opvielen:
    • Sinds de AVG neemt de AP elke privacyklacht in behandeling. In 2018 heeft de AP ruim 11.000 klachten ontvangen. De klachten gingen vooral over een schending van privacyrechten, zoals het recht op inzage.
    • Er is tot nu toe één boete uitgedeeld. Zes ton aan Uber voor het te laat melden van een datalek.
    • De AP heeft zich in 2018 voornamelijk gericht op het beëindigen van mogelijke overtredingen door aan te sturen op herstelmaatregelen door organisaties zelf.
    • De AP controleerde bij 400 overheidsorganisaties, 91 ziekenhuizen en 33 zorgverzekeraars of zij een Functionaris gegevensbescherming (FG) hadden aangemeld.
    • In december 2018 is de AP gestart met onderzoek naar het privacybeleid van een aantal IVF* -klinieken, politieke partijen en bloedbanken.
    • Het budget werd met 25 procent overschreden, mede door het moeten inhuren van externe ondersteuning. De reden was onderbezetting.
    * In vitro fertilisatie (IVF) is een voortplantingstechniek waarbij een of meer eicellen buiten het lichaam worden bevrucht met zaadcellen, waarna de ontstane embryo's in de baarmoeder worden teruggeplaatst.

    Mkb worstelt met privacywet

    Meer dan de helft van de Nederlandse mkb’ers voldoet nog niet aan de eisen van de Algemene Verordening Gegevensbescherming (AVG). Het is 25 mei een jaar geleden dat deze wet in werking is getreden. Het volgende moet nog worden gerealiseerd, tussenhaakjes het percentage MKB-ers wat tot dusverre in gebreke bleef:
    • Het afsluiten van overeenkomsten met opdrachtgevers of -nemers hoe persoonsgegevens worden verwerkt (69%)
    • Het hebben van een het register waarin bijgehouden wordt welke persoonsgegevens worden verwerkt (52%)
    • Het inrichten van processen ingericht om te voldoen aan verzoeken van betrokkenen, bijv. een verzoek tot verwijdering of inzage (45%)
    (Bron: DDMA (branchevereniging voor data en marketing), 23 mei 2019)

    Zie ook de privacy improver van de DDMA.

    Betaalgegevens gebruiken voor aanbiedingen? Dat doen veel banken al lang

    Het voornemen van de ING om bankafschriften te gebruiken voor marketing heeft – naast brede verontwaardiging – inmiddels ook geleid tot een waarschuwing van de Autoriteit Persoonsgegevens (juli 2019). Maar waar ING de plannen nog openlijk aankondigt, blijkt uit een inventarisatie van de Volkskrant dat andere grote banken betaalgegevens van klanten allang gebruiken voor marketingdoeleinden.

    Vanwege de privacy klachten die volgden, stuurde de Autoriteit Persoonsgegevens woensdag een waarschuwingsbrief aan de Nederlandse Vereniging van Banken om duidelijk te maken dat dit niet zomaar gaat. Banken zouden dergelijk gebruik van transactiegegevens moeten ‘heroverwegen’. De privacy toezichthouder betwijfelt sterk of het huidige plan van ING voldoet aan de privacywetgeving, onder meer omdat klanten vooraf geen toestemming verlenen. Ze kunnen er enkel op eigen initiatief uitstappen.

    Richtlijnen voor cameratoezicht

    De European Data Protection Board (EDPB) heeft guidelines opgesteld over cameratoezicht. Deze (Engelstalige) guidelines staan nu open voor feedback. De guidelines verduidelijken hoe de Algemene verordening gegevensbescherming (AVG) van toepassing is op de verwerking van persoonsgegevens met videocamera’s (zowel traditionele als smart camera’s). In de guidelines komen onder meer de volgende onderwerpen aan bod:
    • de rechtmatigheid van de verwerking;
    • de uitzondering voor persoonlijk of huishoudelijk gebruik;
    • het delen van beeldmateriaal met derde partijen.
    Heeft u opmerkingen of suggesties bij Guidelines 3/2019 on processing of personal data through video devices? Dan kunt u deze tot en met 9 september 2019 doorgeven aan de EDPB. Op de website van de EDPB vindt u praktische informatie over de consultatie.

    Wat zegt de APG over cameratoezicht

    Cameratoezicht op het werk kan helpen tegen bijvoorbeeld diefstal of beschadiging van eigendommen. Maar de inbreuk op de privacy van de werknemers en bezoekers is groot. Daarom mogen werkgevers alleen camera’s ophangen als zij aan een aantal voorwaarden voldoen.
    Werkgevers moeten ervoor zorgen dat de inbreuk op de privacy zo klein mogelijk is. Een camera in bijvoorbeeld een toilet of kleedhokje gaat te ver, omdat mensen dan bloot in beeld kunnen komen.
    Verder mag de camera geen geluidsopnamen maken. Dit is voor het doel namelijk niet nodig.

    Gerechtvaardigd belang
    De werkgever moet een gerechtvaardigd belang hebben voor het cameratoezicht. Bijvoorbeeld diefstal tegengaan of werknemers en bezoekers beschermen.

    Noodzaak cameratoezicht
    Het cameratoezicht moet noodzakelijk zijn. Dat wil zeggen dat de werkgever het doel, bijvoorbeeld fraudebestrijding, niet op een andere manier kan bereiken. Is er geen andere mogelijkheid, die minder ingrijpend is voor de privacy? Dat moet de werkgever eerst nagaan.
    Ook mag het cameratoezicht niet op zichzelf staan. Het moet onderdeel zijn van een totaalpakket aan maatregelen.

    Privacy toets
    De werkgever moet eerst een privacy toets uitvoeren. Dit betekent dat de werkgever de belangen en rechten van de werknemers en bezoekers afweegt tegen zijn eigen belang.
    Ook moet de werkgever de plannen vooraf met de ondernemingsraad (OR) bespreken. De OR moet vooraf ingestemd hebben met de camera’s voordat de werkgever kan starten met het cameratoezicht.

    DPIA
    Zet de werkgever grootschalig en/of systematisch cameratoezicht in om diefstal en fraude door werknemers te bestrijden? Dan moet de werkgever een data protection impact assessment (DPIA) uitvoeren.
    Dit is bijvoorbeeld zo als de werkgever structureel of gedurende een langere periode cameratoezicht inzet voor dit doel.
    Wil de werkgever een verborgen camera (heimelijk cameratoezicht) inzetten? Dan moet de werkgever hiervoor altijd een DPIA uitvoeren. Ook als het heimelijk cameratoezicht incidenteel is.

    Rechten werknemers en bezoekers
    De werkgever moet ervoor zorgen dat de werknemers en bezoekers weten dat er een camera hangt en voor welk doel deze er hangt. Bijvoorbeeld door bordjes op te hangen.
    Daarnaast geeft de Algemene verordening gegevensbescherming (AVG) de volgende privacy rechten aan betrokkenen:

    • het recht om gegevens (camerabeelden) in te zien;
    • het recht om vergeten te worden;
    • het recht op beperking van de verwerking;
    • het recht om bezwaar te maken tegen het gebruik van persoonsgegevens.

    Bewaartermijn camerabeelden
    De werkgever mag de camerabeelden niet langer bewaren dan noodzakelijk is. De richtlijn hiervoor is maximaal 4 weken.
    Maar is er een incident vastgelegd, zoals diefstal? Dan mag de werkgever de betreffende beelden bewaren tot dit incident is afgehandeld.

    Meer informatie:
    Meer weten over de regels voor cameratoezicht? Zie dossier Foto en film.
    Voor een overzicht van alle guidelines van de EDPB tot nu toe, zie AVG-guidelines.

    Spookfacturen niet meer melden

    Op de site van de Fraudehelpdesk* was altijd een overzicht van verzenders van spooknota's te vinden. Met ingang van 1 augustus 2019 is deze dienstverlening acuut gestopt, omdat de Autoriteit Persoonsgegevens de Fraudehelpdesk daar geen vergunning voor heeft gegeven. Sinds de komst van de Algemene verordening gegevensbescherming (AVG) is zo'n vergunning verplicht voor het vastleggen van (vermoedelijk) strafrechtelijke gegevens. Hier vallen de bedrijfsnamen, rekeningnummers, e-mailadressen en bitcoinadressen die in fraudemeldingen staan.

    * Reacties Fraudehelpdesk: "Dat de Fraudehelpdesk deze dienst niet meer kan uitvoeren, is in negatieve zin merkbaar voor vele burgers en bedrijven in Nederland. We ontvingen namelijk maandelijks gemiddeld ruim 80.000 e-mails waarvan de echtheid geautomatiseerd geverifieerd werd en waarvoor we vervolgens waarschuwden via onze website." en
    "We respecteren het besluit van de Autoriteit Persoonsgegevens maar zijn ook teleurgesteld, omdat het belang van de fraudeur zwaarder lijkt te wegen dan dat van het slachtoffer."

    Sterke toename van privacy klachten in 2019

    In 2019 ontving de Autoriteit Persoonsgegevens (AP) bijna 27.000 datalekmeldingen. Dat is een stijging van 29% ten opzichte van 2018. Sinds de invoering van de meldplicht datalekken in 2016 blijft het aantal meldingen stijgen. De AP legt de komende jaren in het toezichtwerk extra nadruk op de digitale overheid en licht om die reden de datalekmeldingen binnen de sector openbaar bestuur uit in haar jaarlijkse rapportage. (Bron: AP, 6 feb. 2020)

    Onjuiste wijze toestemming voor plaatsen tracking cookies

    Bij tracking cookies gaat het om gegevens over het internetgedrag van mensen. Met deze gegevens kunnen organisaties het internetgedrag door de tijd heen volgen. Ook kunnen gerichte advertenties worden gestuurd. Daarom moet de websitebezoeker met een ondubbelzinnige en actieve handeling toestemming geven voor het plaatsen en raadplegen van tracking cookies.

    Een vooraf met ‘ja’ aangevinkt hokje wanneer de gebruiker om akkoord wordt gevraagd mag daarom niet. Ook stilzwijgen, inactiviteit of omlaag scrollen of variaties op ‘u gaat akkoord als u verder gaat op deze website’ zijn niet toegestaan. Hetzelfde geldt voor de zogeheten cookiewalls. (Bron: AP, 10 dec. 2019)

    NB: Op 1 oktober 2019 heeft het Europees Hof van Justitie uitspraak gedaan dat toestemming van de gebruiker voor het plaatsen en raadplegen van tracking cookies op zijn apparatuur niet rechtsgeldig is verleend wanneer daarvoor gebruik is gemaakt van een standaard aangevinkt selectievakje.

    Waarschuwing voor neptoezichthouder

    De Autoriteit Persoonsgegevens (AP) waarschuwt voor een organisatie met de naam ‘Persoonsgegevens Nederland’. Deze organisatie doet zich via de website persoonsgegevensnederland.nl onterecht voor als de Nederlandse toezichthouder op de Algemene verordening gegevensbescherming (AVG).

    Uit meldingen bij de AP blijkt dat de neptoezichthouder website-eigenaren benadert en onder druk zet om bepaalde beveiligingscertificaten aan te schaffen. Onder meer door te dreigen met boetes. (Bron: AP, 13 nov. 2019)

    Samenwerking AP en RvA: goedkeuring AVG-certificaten

    De Autoriteit Persoonsgegevens (AP) en de Raad voor Accreditatie (RvA) gaan samen zorgen voor de goedkeuring van AVG-certificaten. Zij hebben daartoe een informatieprotocol ondertekend. Met een AVG-certificaat kan de verwerker van persoonsgegevens aantonen dat zijn product, proces of dienst aan de eisen uit de Algemene verordening gegevensbescherming (AVG) voldoet. (Bron: AP, 23 dec. 2019)

    AP kijkt naar Nederlandse autofabrikanten

    De Autoriteit Persoonsgegevens (AP) inventariseert op dit moment in hoeverre Nederlandse autofabrikanten zich aan de privacywet houden. De AP hoopt zo een beeld te krijgen van eventuele privacyschendingen bij connected cars. Moderne auto’s zijn vaak ‘connected’. Het zijn rijdende computers, verbonden met het internet. Ze verzamelen daarbij vaak persoonsgegevens, zoals locatiegegevens en gegevens over de rijstijl.

    De AP heeft per brief alle in Nederland gevestigde fabrikanten van auto’s, bedrijfswagens en vrachtwagens gevraagd welke persoonsgegevens ze verwerken, waarom, hoe lang, hoe ze die beveiligd hebben en met wie ze die delen. (Bron: AP, 24 mrt. 2020)

    Gebruik telecomdata tegen corona kan alléén met wet

    Locatiegegevens gebruiken om de overheid te helpen in de strijd tegen het coronavirus is niet volledig onmogelijk, maar kan alleen als daar een wettelijke regeling voor bestaat. Dat zegt de Autoriteit Persoonsgegevens (AP) in reactie op ideeën om locatiegegevens van burgers in te zetten om verspreiding van het virus te remmen. (Bron: AP, 30 mrt 2020)

    en twee dagen daarna:

    Artsen op de huisartsenpost of spoedeisende hulp mogen alleen met toestemming van coronapatiënten het medisch dossier bij hun huisarts inzien via een elektronisch uitwisselingssysteem. Wie nog geen toestemming heeft gegeven, kan dat ter plekke doen. Dat mag in dit geval ook mondeling. Alleen als een patiënt niet in staat is om toestemming te geven, is inzage zonder toestemming toegestaan. De Autoriteit Persoonsgegevens (AP) heeft dit laten weten in een brief aan de minister van Medische Zorg. De minister is bezig met een regeling voor tijdens de coronacrisis. (Bron: AP, 2 apr. 2020)

    (Redactie: De situatie als iemand als patient is opgenomen in een ziekenhuis, wordt door AP niet beschreven, zie onderstaande NB)

    NB: BDO vulde de leemte in, zie haar artikel "Medische gegevens van coronapatiënten zonder toestemming delen, mag dat?" (30 mrt. 2020)

    Belangrijkste huisartsinformatie tijdelijk te raadplegen

    Om de toenemende druk tijdens de COVID-19-crisis op huisartsenposten en op de spoedeisende hulp te verlichten, wordt het tijdelijk mogelijk om huisartsgegevens van meer patiënten te raadplegen. Hiermee kunnen dokters sneller werken, omdat niet alle gegevens ter plekke hoeven worden uitgevraagd en ingetypt in de systemen.

    Het ministerie van Volksgezondheid, Welzijn en Sport komt met deze maatregel in samenwerking met de Autoriteit Persoonsgegevens, de Inspectie Gezondheidszorg en Jeugd en het Openbaar Ministerie tegemoet aan het verzoek van de huisartsen, de eerste hulp artsen en de Patiëntenfederatie om een oplossing te vinden voor het vollopen van de huisartsenposten en de SEH’s. (Bron: Min. VWS, 8 apr. 2020)

    Redactie: Autoriteit Persoonsgegevens, Inspectie Gezondheidszorg en Jeugd, Openbaar Ministerie, Eerste hulp artsen en Patiëntenfederatie. Wat zijn er toch veel instanties die dezelfde raakvlakken hebben. Is dat typisch Nederlands?

    Keuzehulp privacy bij videobel-apps

    De Autoriteit Persoonsgegevens (AP) heeft bij 13 veelgebruikte videobel-apps gekeken naar de belangrijkste privacyaspecten. Zoals welke gegevens de app verzamelt, wat de app daarmee doet en of de communicatie beveiligd is. De AP krijgt namelijk veel vragen over privacy bij zulke apps, nu mensen massaal zijn gaan videobellen tijdens de coronacrisis. Daarom biedt de AP een keuzehulp om verschillende videobel-apps te vergelijken. (Bron en meer: 15 apr. 2020)

    Privacy corona-apps niet aangetoond

    De Autoriteit Persoonsgegevens (AP) kan geen oordeel geven over de opzet van de 7 ‘corona-apps’ die het ministerie van VWS heeft geselecteerd. De AP vindt dat het ministerie de kaders niet duidelijk genoeg heeft gesteld. Daardoor zijn de 7 app-voorstellen onvoldoende uitgewerkt om te kunnen beoordelen of de bescherming van gevoelige gegevens van Nederlanders voldoende is gewaarborgd.

    De AP heeft op verzoek van het ministerie van Volksgezondheid, Welzijn en Sport (VWS) de opzet van 7 apps die kunnen bijdragen aan bron- en contactopsporing zorgvuldig bekeken, maar kan deze dus niet beoordelen. (Bron: AP, 20 apr. 2020)

    Zorgen om dataverzameling bij thuisonderwijs

    Veel ouders, docenten, leerlingen en studenten maken zich zorgen over persoonsgegevens die worden verzameld bij digitaal thuisonderwijs tijdens de coronacrisis. Zij vragen zich bijvoorbeeld af of de systemen die scholen gebruiken om te videobellen wel veilig zijn, of gegevens niet in verkeerde handen kunnen vallen en wat er precies met al die gegevens gebeurt. Dit blijkt uit de grote hoeveelheid signalen die de Autoriteit Persoonsgegevens (AP) hierover ontvangt. De AP deelt deze zorgen en gaat daarom bij onderwijsinstellingen na of zij de privacy wel goed op orde hebben. (Bron: AP, 23 apr. 2020)

    AP start onderzoek naar TikTok

    In Nederland hebben veel kinderen TikTok* op hun telefoon staan. Met de opkomst van TikTok zijn ook privacy-zorgen rondom het gebruik toegenomen. Om na te gaan of de privacy in orde is, start de Autoriteit Persoonsgegevens (AP) een onderzoek. (Bron: AP, 8 mei 2020)

    * TikTok is een social media-app waarmee korte muziekvideo's gemaakt en gedeeld kunnen worden. De video's hebben een lengte van 3 tot 15 seconden; ook kunnen er video's in loops van maximaal 60 seconden worden gemaakt. De app is voornamelijk populair onder de jeugd. TikTok heeft 830.000 gebruikers binnen de leeftijdsgroep 6 t/m 18 jaar. (Bron: Wikipedia)

    AP toetst voorstel delen telecomdata

    Het kabinet wil de Telecommunicatiewet wijzigen om het delen van telecomdata in de strijd tegen corona mogelijk te maken. De Autoriteit Persoonsgegevens (AP) heeft het voorstel tot wetswijziging beoordeeld en zal haar bevindingen uiterlijk bekendmaken zodra het kabinet het wetsvoorstel publiceert.

    ‘Wij hebben steeds gezegd: de inzet van telecomdata kan alléén als dat in de wet geregeld wordt. Volgens de huidige wetgeving is dit namelijk niet toegestaan’, zegt AP-voorzitter Aleid Wolfsen. (Bron: AP, 20 mei 2020)

    NB: Het voorstel tot wetswijziging is op 29 mei 2020 gepubliceerd.

    UWV verbetert beveiliging werkgeversportaal na onderzoek AP

    De Autoriteit Persoonsgegevens (AP) heeft na onderzoek vastgesteld dat het Uitvoeringsinstituut Werknemersverzekeringen (UWV) de beveiliging van het online werkgeversportaal heeft verbeterd. Het UWV heeft ervoor gezorgd dat werkgevers en arbodiensten alleen nog via eHerkenning kunnen inloggen in het portaal. De gezondheidsgegevens van werknemers die in dit systeem staan, zijn hiermee voldoende beveiligd. Het UWV hoeft daarom geen dwangsom te betalen. (Bron: AP, 4 jun. 2020)

    AP wijst supermarkten op regels gezichtsherkenning

    ‘Gezichtsherkenning is een zwaar middel’, zegt Monique Verdier, vicevoorzitter van de AP. ‘Daarmee zijn mensen op grote schaal te volgen. Dat begint misschien bij een supermarkt, die met één druk op de knop kan opzoeken hoe vaak jij de winkel binnenkomt en wat jij dan koopt. Dat eindigt bij een situatie dat we continu gevolgd worden, met gezichtsherkenning in alle winkels en op straat. Zo’n surveillancesamenleving moeten we voorkomen.’ (Bron: AP, 5 jun. 2020)

    Redactie: "Dat eindigt bij een situatie dat we continu gevolgd worden, met gezichtsherkenning in alle winkels en op straat". Een beetje zwaar aangezet. Maar misschien wel een goed idee om winkeldiefstal te voorkomen. Of is diefstal een minder ernstig vergrijp dan met behulp van gezichtsherkenning ontmaskeren van dieven? Misschien kan de AP toevoegen waarvoor de beelden wel gebruikt en bewaard mogen worden.

    Jaarverslag 2019

    In 2019 focuste de Autoriteit Persoonsgegevens (AP) meer op handhaving van de privacywetgeving. In 2018 lag de nadruk nog op voorlichting over de nieuwe Algemene verordening gegevensbescherming, die in dat jaar van toepassing werd. Maar in 2019 was deze periode van coulance voorbij. De AP legde onder meer 4 keer een boete op, voor een bedrag van in totaal ruim 2,5 miljoen euro. Deze overtredingen gingen over toegang tot medische dossiers, verkoop van ledengegevens, biometrie (vingerafdrukken) en inzagerechten.

    Uit het enorme aantal privacy klachten dat de AP in 2019 ontving over organisaties (bijna 28.000!), blijkt wel hoe belangrijk mensen hun privacy vinden. En hoe vaak zij in de praktijk tegen problemen aanlopen met organisaties die hun persoonsgegevens verwerken. (Bron: AP, 1 juli 2020)

    Corona-spoedwet moet van tafel

    De Autoriteit Persoonsgegevens (AP) ziet niets in de spoedwet die telecombedrijven verplicht om locatiegegevens te verstrekken in de strijd tegen corona. De plannen zijn te vaag om zo’n maatregel te rechtvaardigen en daarom moeten ze van tafel, zegt AP-voorzitter Aleid Wolfsen in de NRC. Verantwoordelijk minister Hugo de Jonge vindt de wet nog steeds een goed idee.

    De Raad van State heeft eerder een positief advies afgegeven op de voorgestelde spoedwet. Het voorstel ligt in de Tweede Kamer, die er na het zomerreces over stemt. (Bron: Computable, 3 jul. 2020)

    Ook de AWVN schaart zich achter het verplicht verstrekken van locatiegegevens aan de werkgever. De werkgever heeft een zorgplicht voor de veiligheid van de werkomgeving van zijn werknemers. Hij moet dus alles doen wat hij redelijkerwijs kan om te voorkomen dat zijn werknemers op de werkplek met het coronavirus in aanraking komen. Dit betekent onder meer dat hij moet voorkomen dat werknemers in aanraking komen met collega’s die mogelijkerwijs met het coronavirus besmet kunnen zijn. De mogelijkheid van besmetting is er als wordt teruggereisd vanuit een land of gebied waarvoor een oranje of rood reisadvies geldt. De werkgever kan alleen aan bovengenoemde zorgplicht voldoen, als hij weet of werknemers al dan niet zijn teruggereisd vanuit een land of gebied waarvoor een oranje of rood reisadvies geldt. (Bron: AWVN, 13 aug. 2020)

    Snel en verplicht testen na brononderzoek

    VNO-NCW en MKB-Nederland willen dat werknemers die in contact zijn gekomen met corona besmette mensen, meteen verplicht worden getest. Dat zeggen zij in reactie op de verplichte thuisquarantaine die minister De Jonge (Volksgezondheid) voor deze mensen voorstelt. VNO-NCW en MKB-Nederland vinden dat werkgevers de mogelijkheid moeten krijgen om medewerkers te verplichten zich te laten testen.

    ‘Het laatste dat je als werkgever wil, is het risico dat het virus zich verder in je bedrijf en onder je medewerkers verspreidt, met de kans op sluiting aan toe’, benadrukt Vonhof. ‘Maar werkgevers kunnen en mogen niks. Als er nou één ding in de Noodwet moet worden geregeld, is dat je als werkgever tegen bijvoorbeeld een grieperige werknemer kunt zeggen dat hij of zij zich moet laten testen. We hebben begrip voor de privacygevoelige kanten, maar we hebben het hier over de veiligheid en gezondheid van mensen en het voorkomen van de gevreesde tweede golf. Een tweede golf zou in alle opzichten rampzalig zijn.’ (Bron: VNO-NCW, 12 aug. 2020)

    Privacy corona-app gebruikers nog onvoldoende gewaarborgd

    De privacy rond corona-app CoronaMelder is nog onvoldoende gewaarborgd. De Autoriteit Persoonsgegevens (AP) vindt dat de minister afspraken moet maken met Google en Apple over de software die zij leveren voor de inzet van de app, dat er een wet moet komen om de inzet van de app goed te regelen en dat duidelijk moet worden dat de servers die de app gebruikt ook veilig zijn. De AP adviseert het kabinet de app pas in te zetten als de adviezen zijn opgevolgd.

    De AP is positief over de ontwikkeling van de app op zichzelf, zegt AP-voorzitter Aleid Wolfsen. ‘Die is duidelijk ontworpen met privacy als uitgangspunt. Met allerlei technische waarborgen voor de privacy van gebruikers, zoals versleuteling van het dataverkeer en het versturen van nepcodes om te voorkomen dat je iets kunt aflezen uit het dataverkeer.’ (Bron: AP, 17 aug. 2020)

    Gedragscode NLdigital goedgekeurd door AP

    De Autoriteit Persoonsgegevens (AP) heeft de Data Pro Code van branchevereniging NLdigital goedgekeurd. Dit is een gedragscode waarbij organisaties in de ICT-sector zich kunnen aansluiten. Veel van de leden van NLdigital treden voor hun opdrachtgevers op als verwerker van persoonsgegevens. De Data Pro Code is bedoeld om deze bedrijven te helpen om aan de verplichtingen uit de Algemene verordening gegevensbescherming (AVG) te voldoen.

    De Data Pro Code is de eerste gedragscode onder de AVG die de AP heeft goedgekeurd. (Bron: AP, 27 aug. 2020)

    Aanbevelingen voor privacy bij digitaal thuisonderwijs

    Tijdens de coronacrisis zijn onderwijsinstellingen massaal overgestapt op digitaal thuisonderwijs. Online (video)bellen en online proctoring (digitale surveillance) zijn bruikbare middelen gebleken om het onderwijs te laten doorgaan. De keerzijde is dat de inbreuk op de privacy groot kan zijn, vooral bij online proctoring.

    Ouders, leerlingen, studenten en docenten hebben bij de AP hun zorgen geuit over de verwerking van persoonsgegevens in het afstandsonderwijs. Zij vragen zich bijvoorbeeld af of de systemen die scholen gebruiken om te videobellen wel veilig zijn. En of gegevens niet in verkeerde handen kunnen vallen.

    Een van de verbeteringen "Als het niet noodzakelijk is, moet de onderwijsinstelling ervoor zorgen dat er bij het maken van beeldopnamen van een digitale les geen leerlingen of studenten in beeld zijn." (Bron en meer aanbevelingen: AP, 2 okt. 2020)

    Onderzoek in private sector: ‘de’ verwerkers-overeenkomst bestaat niet

    De Autoriteit Persoonsgegevens (AP) heeft bij 31 organisaties in de private sector (uit de sectoren handel, gezondheidszorg, media, vrije tijd en energie) onderzoek gedaan naar verwerkersovereenkomsten. Het doel was een beter beeld te krijgen van hoe organisaties deze overeenkomsten opstellen. De conclusie is dat er zeer diverse verwerkersovereenkomsten in gebruik zijn.

    Organisaties schakelen vaak andere organisaties in om persoonsgegevens voor hen te verwerken. Bijvoorbeeld als zij de boekhouding uitbesteden, een callcenter inhuren of een website laten hosten. Zo’n andere organisatie heet een verwerker. In een verwerkersovereenkomst leggen beide partijen afspraken vast over wat de verwerker wel en niet mag doen met die persoonsgegevens. Een verwerkersovereenkomst is verplicht op grond van de AVG.

    De AP benadrukt dat degelijke, periodiek bijgewerkte verwerkersovereenkomsten onderdeel vormen van een goede bedrijfsvoering. (Bron: AP, 9 okt. 2020)

    Pas op met camera’s met gezichtsherkenning

    Gezichtsherkenningscamera’s worden het meest ingezet bij bedrijven in de detailhandel, beveiliging, sport & entertainment en vervoer, en bij gemeenten. Dat blijkt uit een inventarisatie van de Autoriteit Persoonsgegevens (AP). Omdat de inzet van een zwaar middel als gezichtsherkenning niet zomaar mag, gaat de AP in die sectoren gericht voorlichting geven over de regels.

    Het is in beginsel verboden om biometrische gegevens te gebruiken om iemand te identificeren. Maar er zijn twee uitzonderingen op dit verbod:
    • De gefilmde mensen hebben uitdrukkelijk toestemming gegeven.
    • Gezichtsherkenning wordt ingezet voor beveiligings- of authenticatiedoeleinden, maar dan alléén om een ‘zwaarwegend algemeen belang’ te dienen. Dat is bijvoorbeeld de beveiliging van een kerncentrale. Maar de beveiliging van bijvoorbeeld een winkel is niet zó belangrijk dat daarvoor biometrische gegevens mogen worden verwerkt.
    (Bron: AP, 29 okt. 2020)

    Groei AP noodzakelijk

    De Autoriteit Persoonsgegevens (AP) moet in de volgende kabinetsperiode flink uitbreiden om burgers te beschermen en bedrijven te helpen in digitaliserend Nederland. Ontwikkelingen als gezichtsherkenning, internet of things, algoritmes, smartphonetechnologie, volgsoftware, datahandel en sexting vereisen adequaat toezicht. Om haar wettelijke taken goed te kunnen uitvoeren, moet de AP groeien van 184 fte naar 470 fte en ruim 66 miljoen euro in 2025. (Bron: AP, 19 nov. 2020)

    Een volgend kabinet moet gaan bepalen of en hoe de Autoriteit Persoonsgegevens mag groeien, zo heeft minister Dekker voor Rechtsbescherming aan de Tweede Kamer laten weten.

    AP onderzoekt meten temperatuur werknemers tijdens corona

    De Autoriteit Persoonsgegevens (AP) heeft twee grote bedrijven onderzocht die de temperatuur van hun personeel meten vanwege corona. De AP constateerde dat beide bedrijven, waaronder een multinational, de Algemene verordening gegevensbescherming (AVG) overtreden.

    Een lichaamstemperatuur is een persoonsgegeven als deze temperatuur te herleiden is tot een specifiek persoon. Bij beide organisaties is dit zo. De organisaties kunnen namelijk achterhalen wie een normale of een te hoge temperatuur heeft. Een lichaamstemperatuur zegt iets over iemands gezondheid. Daarom is het niet alleen een persoonsgegeven, maar ook een gezondheidsgegeven. En gezondheidsgegevens zijn bijzondere persoonsgegevens, waarvoor speciale regels gelden. (Bron: AP, 26 nov. 2020)

    Verklaring van EDPB over e-Privacyverordening

    De European Data Protection Board (EDPB) heeft een verklaring gepubliceerd over de toekomstige e-Privacyverordening. In deze verklaring uit de EDPB zorgen over het toezicht op de e-Privacyverordening.

    De EDPB vindt dat het toezicht op verwerkingen van persoonsgegevens onder de e-Privacyverordening zou moeten worden toevertrouwd aan dezelfde nationale autoriteiten die toezicht houden op de Algemene verordening gegevensbescherming (AVG). Dat zorgt voor een hoog niveau van bescherming, een gelijk speelveld en een geharmoniseerde interpretatie en handhaving door de EU, aldus de EDPB. (Bron: AP, 26 nov. 2020)

    Formele waarschuwing AP aan supermarkt om gezichtsherkenning

    De Autoriteit Persoonsgegevens (AP) heeft een formele waarschuwing gegeven aan een supermarkt vanwege de inzet van gezichtsherkenning. Hoewel het systeem voor gezichtsherkenning sinds december 2019 uit staat, had de supermarkt de wens het weer in te schakelen.

    De supermarkt maakte naar eigen zeggen gebruik van gezichtsherkenning om winkelbezoekers en personeel te beschermen, en winkeldiefstal tegen te gaan. Het systeem was gekoppeld aan camera’s bij de ingang van de winkel. (Bron: AP, 15 dec. 2020)

    Vanwege privacywet weet werkgever straks niet welke werknemer coronaprik heeft gehad

    Voor de veiligheid van hun meest kwetsbare cliënten willen werkgevers in de ouderen- en gehandicaptenzorg het straks graag weten: wie van hun werknemers heeft zich laten vaccineren en wie niet? Maar grote kans dat ze dat ze daar geen volledig overzicht over krijgen. (Bron: De Volkskrant, 21 dec. 2020)

    Handleiding voor privacy verkiezingscampagnes

    Politieke partijen gebruiken steeds vaker persoonsgegevens – of huren hiervoor bedrijven in – om zo gericht mogelijk hun leden en potentiële nieuwe leden te bereiken. Dit laatste wordt microtargeting genoemd. Natuurlijk mogen politieke partijen campagne voeren. En in deze tijd gebeurt dat uiteraard vaak digitaal. Maar politieke partijen moeten zich hierbij wel aan de privacyregels houden. De Autoriteit Persoonsgegevens (AP) heeft daarom een handleiding gepubliceerd over privacy bij verkiezingscampagnes. (Bron: Autoriteit Persoonsgegevens, 16 feb. 2021)

    Noodklok luidt over explosieve toename hacks en datadiefstal

    De Autoriteit Persoonsgegevens (AP) meet een explosieve toename van het aantal hacks, gericht op het buitmaken van persoonsgegevens. Het aantal meldingen steeg in 2020 met maar liefst 30% ten opzichte van vorig jaar. Datadiefstal is vaak te voorkomen door een betere beveiliging. Dat blijkt uit de ‘Rapportage Datalekken 2020’ die AP-voorzitter Aleid Wolfsen vandaag naar de Tweede Kamer heeft gestuurd. (Bron: Autoriteit Persoonsgegevens, 1 maart 2021)

    Aantal privacy-klachten blijft zorgwekkend hoog

    Na een explosieve groei in 2019 blijft het aantal privacy-klachten in 2020 op hetzelfde zorgelijk hoge niveau. De Autoriteit Persoonsgegevens (AP) ontving in 2020 maar liefst 25.590 klachten over de mogelijke misstanden met persoonsgegevens.
    ‘Zo’n cijfer is natuurlijk abstract, maar de verhalen daarachter zijn pijnlijk concreet’, zegt AP-voorzitter Aleid Wolfsen. ‘Achter elke klacht kan een drama schuilen, met per geval vele slachtoffers. (Bron: AP, 12 mrt. 2021)

    AP ontvangt 75 datalekmeldingen na lekken in Microsoft Exchange-servers

    De Autoriteit Persoonsgegevens (AP) heeft de afgelopen weken 75 meldingen gekregen van datalekken bij organisaties die Microsoft Exchange Server gebruiken om e-mail te ontvangen en versturen. Het Nationaal Cyber Security Centrum (NCSC) meldde dat er ten minste 1200 Nederlandse servers waarop Microsoft Exchange staat zijn geïnfecteerd. (Bron: AP, 19 mrt. 2021)

    Boete vanwege wifitracking

    De Autoriteit Persoonsgegevens (AP) geeft de gemeente Enschede een boete van 600.000 euro, omdat de gemeente wifitracking* gebruikte in de binnenstad op een manier die niet mag. Daardoor was het mogelijk winkelend publiek en mensen die in de binnenstad wonen of werken te volgen.

    Het was niet de intentie van de gemeente om individuen te volgen. En de AP heeft ook geen aanwijzingen gevonden dat dit is gebeurd. Maar het inzetten van wifitracking die dit mogelijk maakt, is op zichzelf al een ernstige overtreding van privacywet AVG. De gemeente gaat in beroep. (Bron: AP, 29 apr. 2021)

    * Wifi-tracking werkt als volgt: iedere smartphone stuurt (wanneer de wifi-functionaliteit op het apparaat is ingeschakeld) continu een signaal uit dat een uniek identificatienummer (het MAC-adres) bevat. Door het opvangen van dit signaal kunnen partijen in kaart brengen waar een telefoon – en dus een persoon – zich bevindt.

    Redactie: Stel, iemand koopt een bijl om er hout mee te kappen. Er zijn geen aanwijzingen dat hij daarmee mensen wil verwonden of erger. Maar het bezit van een bijl is al genoeg hem tot twee jaar gevangenisstraf te veroordelen.

    Nieuw meldformulier voor datalekken

    Het nieuwe meldformulier bevat een aantal verbeteringen voor de gebruiker. Zo wordt het aanvullen van een eerdere melding eenvoudiger en kan de gebruiker tussentijds de voortgang opslaan om er op een later moment verder aan te werken. (Bron: AP, 3 mei 2021)

    AP verzwaart toezicht op gemeente

    De AP heeft besloten het toezicht op een gemeente te verzwaren. De AP heeft zorgen of deze gemeente de (gevoelige) gegevens van de inwoners wel voldoende beschermt. De betreffende gemeente wordt daarom verplicht elke drie maanden een uitgebreide rapportage aan de AP te verstrekken. Aanleiding zijn signalen over overtredingen van de privacywet. (Bron: AP, 6 mei 2021)

    Boete van 525.000 euro voor Locatefamily.com

    De Autoriteit Persoonsgegevens (AP) legt Locatefamily.com een boete op van 525.000 euro. Locatefamily.com publiceert adresgegevens en telefoonnummers van mensen, vaak zonder dat die mensen dat weten. Als zij hun gegevens willen laten schrappen is dat niet eenvoudig, omdat Locatefamily geen vertegenwoordiger heeft in de EU. Het niet-hebben van een vertegenwoordiger in de EU is een overtreding van de privacywet en de reden van de boete. (Bron: Autoriteit Personeelsgegevens, 12 mei 2021)

    Boete voor CP&A om privacyschending zieke werknemers

    De Autoriteit Persoonsgegevens (AP) heeft onderhoudsbedrijf CP&A een boete opgelegd van 15.000 euro vanwege overtredingen bij het verwerken van gezondheidsgegevens van zieke werknemers. CP&A hield bij wat de oorzaak was van het ziekteverzuim. Daarmee verwerkte het bedrijf meer gezondheidsgegevens dan was toegestaan. Bovendien was de verzuimregistratie onvoldoende beveiligd. CP&A heeft de overtredingen inmiddels beëindigd. (Bron: AP, 19 mei 2021)

    Wetsvoorstel elektronische gegevensuitwisseling zorg: risico op aantasting medisch beroepsgeheim

    De Autoriteit Persoonsgegevens (AP) heeft bezwaren bij het wetsvoorstel elektronische gegevensuitwisseling in de zorg. Dit wetsvoorstel verplicht zorgverleners om in bepaalde situaties gegevens van patiënten elektronisch uit te wisselen. De AP ziet hierbij het risico dat zorgaanbieders in de praktijk gedwongen worden hun beroepsgeheim te doorbreken. Dit staat in het wetgevingsadvies dat de AP aan de minister van VWS heeft uitgebracht. (Bron: AT, 28 mei 2021)

    Nieuw meldformulier datalekken is live

    De Autoriteit Persoonsgegevens (AP) heeft een nieuw meldformulier datalekken. Het nieuwe formulier maakt het voor de gebruiker makkelijker om een datalek bij de AP te melden. (Bron: AP, 1 juni 2021)

    Boete orthodontiepraktijk vanwege onbeveiligde patiëntenwebsite

    De Autoriteit Persoonsgegevens (AP) legt een orthodontiepraktijk een boete op van 12.000 euro. De praktijk krijgt de boete omdat nieuwe patiënten zich via een onbeveiligde website konden aanmelden. Hierdoor liepen patiënten de kans dat gevoelige gegevens, zoals hun BSN, in verkeerde handen zouden terechtkomen.

    Het boetebesluit is nog niet onherroepelijk. De orthodontiepraktijk heeft bezwaar gemaakt tegen de opgelegde boete. De AP heeft het bezwaar ongegrond verklaard. Daartegen staat nog beroep open bij de rechtbank. (Bron: AP, 10 juni 2021)

    UWV krijgt boete voor slechte beveiliging bij verzending groepsberichten

    De Autoriteit Persoonsgegevens (AP) legt het Uitvoeringsinstituut Werknemersverzekeringen (UWV) een boete van € 450.000 op. Het UWV had het versturen van groepsberichten via de zogenoemde ‘Mijn Werkmap’-omgeving niet goed beveiligd. Dat is een persoonlijke omgeving op de website van het UWV, waar werkzoekenden contact hebben met het UWV. Hierdoor waren er verschillende datalekken van persoonsgegevens, waaronder gezondheidsgegevens, van in totaal ruim 15.000 mensen. (Bron: AP, 7 juli 2021)

    Boete TikTok vanwege schenden privacy kinderen

    De Autoriteit Persoonsgegevens (AP) heeft videoapp TikTok een boete van 750.000 euro opgelegd wegens het schenden van de privacy van jonge kinderen. De informatie die de Nederlandse gebruikers – veelal jonge kinderen – van TikTok kregen bij het installeren en gebruiken van de app, was in het Engels en daardoor niet goed te begrijpen. (Bron: AP, 22 juli 2021)

    AP kritisch over openbaar Transparantieregister zorg

    Artsen mogen bij de keuze welke medicijnen of hulpmiddelen zij hun patiënten voorschrijven, niet worden beïnvloed door betalingen van fabrikanten. Om de naleving hiervan te versterken, is een wetsvoorstel opgesteld voor een verplicht openbaar Transparantieregister zorg. In dit register wordt iedere transactie tussen fabrikant en arts van 50 euro of meer geregistreerd. De Autoriteit Persoonsgegevens (AP) heeft grote twijfels bij het nut van dit openbare register. (Bron: AP, 23 juli 2021)

    AP publiceert aanbevelingen voor smart cities

    De Autoriteit Persoonsgegevens (AP) publiceert aanbevelingen voor de ontwikkeling van zogenoemde smart city-toepassingen. De aanbevelingen zijn bedoeld voor gemeenten die met slimme sensoren en meetapparatuur data in de openbare ruimte verzamelen of dat van plan zijn. De adviezen van de AP zijn nodig omdat gemeenten niet altijd voldoende stilstaan bij de privacywetgeving terwijl dit juist bij smart city-toepassingen waarbij persoonsgegevens van de burgers verwerkt worden essentieel is.

    Werkgever mag toch naar vaccinatiestatus werknemer vragen

    Werkgevers mogen toch aan werknemers vragen of zij gevaccineerd zijn. Tot nu toe gold dat als een ongeoorloofde inbreuk op de privacy. Vragen mag, mits daar een goede reden voor is, zoals het in aanraking komen met kwetsbare mensen. Formeel mogen werkgevers geen consequenties verbinden aan het antwoord van de werknemer en de gegevens ook niet verwerken, maar dat staat niet in de weg aan het nemen van sommige maatregelen. (Bron: Recht, 17 sept. 2020)

Gerelateerde artikelen en/of partner bijdragen: Algemene verordening gegevensbescherming (AVG) Overtreding en boete Voorbeelden privacy Privacy Begrip en diverse onderwerpen Privacy Alcohol Boete Datalekken Europa Boete Boetebeding Vergunningen Boetes Arbo Bekeuring leaseauto Boete en sanctie Direct belastbare vergoedingen en voordelen Briefgeheim Wetten voor 25 mei 2018 Boete
Gerelateerd nieuws en/of opinies: Wat mag wel? Boete orthodontiepraktijk vanwege onbeveiligde patiëntenwebsite Boete van 525.000 euro voor Locatefamily.com Boete vanwege wifitracking Ruim 4 ton boete voor Amsterdams ziekenhuis Vanwege privacywet weet werkgever straks niet welke werknemer coronaprik heeft gehad Mag je als leidinggevende camerabeelden terugkijken om je werknemers te controleren Boete vanwege kosten bij inzage persoonsgegevens Temperatuur werknemer meten mag toch Boete voor bedrijf voor verwerken vingerafdrukken Temperatuur meten mag niet zomaar Privacy corona-apps niet aangetoond Keuzehulp privacy bij videobel-apps Gebruik telecomdata tegen corona kan alléén met wet Boete voor tennisbond wegens verkoop van persoonsgegevens Forse asbestboete voor bedrijf uit Epe Waarschuwing voor neptoezichthouder Megaboete voor Haga Ziekenhuis Betaalgegevens gebruiken voor aanbiedingen? Dat doen veel banken allang Foto's van bedrijfsevenement vaak overtreding AVG
Vorige Overzicht Volgende