Zoeken

ALTIJD OP DE HOOGTE?

Welke ontwikkelingen in de EU zijn van belang voor gemeenten, provincies en waterschappen? En wat betekent dat voor de dagelijkse praktijk?

De Autoriteit Persoonsgegevens: controles en onderzoek naar de naleving van de AVG

4 februari 2019Informatiemaatschappij, Overige onderwerpen

De Algemene verordening gegevensbescherming (AVG) is op 25 mei 2018 van toepassing geworden. De Autoriteit Persoonsgegevens houdt toezicht op de naleving van de privacywetgeving: organisaties die zich niet aan de verplichtingen houden kunnen fikse boetes krijgen. Waar heeft de Autoriteit Persoonsgegevens zich de afgelopen tijd mee bezig gehouden en welke controles kunnen decentrale overheden nog verwachten?

De Autoriteit Persoonsgegevens

In mei 2018 heeft de Autoriteit Persoonsgegevens (AP) het toezichtkader 2018-2019 gepubliceerd. Hierin geeft de AP aan welke onderdelen zij in deze periode prioriteit geeft bij het controleren van de naleving van de wet. Bij deze controles wordt ook een actieve rol van de organisaties zelf verwacht: volgens de AVG zijn organisaties namelijk verplicht aan te kunnen tonen dat zij voldoen aan de wet.

Functionaris voor gegevensbescherming

De AP heeft na 25 mei 2018 gelijk gecontroleerd of overheidsorganisaties een Functionaris voor Gegevensbescherming (FG) hebben aangewezen. Aangezien deze bij de AP aangemeld moet worden, is dit voor de toezichthouder vrij eenvoudig na te gaan. Recentelijk controleerde de AP ook andere sectoren, zoals banken en verzekeraars, op de aanwezigheid van een FG. Meer informatie over wanneer een organisatie precies een ‘overheidsorganisatie’ is en daarbij verplicht is een FG aan te stellen is te vinden in deze praktijkvraag.

Naast de controle op de aanwezigheid van een FG geeft de AP in het toezichtkader ook aan te (gaan) controleren op welke wijze de organisatie de FG positioneert en hoe deze in staat wordt gesteld de taken en verplichtingen te vervullen die hij op grond van de AVG heeft.

Register verwerkingen

Hierna heeft de AP bij dertig organisaties uit verschillende sectoren gekeken of zij een register van verwerkingsactiviteiten bijhouden. De overheidssector zat hier nog niet tussen. Naar aanleiding van dit onderzoek heeft de AP vijf aanbevelingen gedaan voor het opstellen van een dergelijk register. Vaak werd bijvoorbeeld niet gespecifieerd wel verwerkingsdoel precies bij welke verwerking hoort, maar werd slechts een opsomming gegeven van verschillende verwerkingen en verwerkingsdoeleinden per afdeling. Dat is volgens de AP niet voldoende.

Privacybeleid

Eind vorig jaar heeft de AP bij verschillende organisaties in de zorg en bij gemeentelijke politieke partijen het privacybeleid opgevraagd. In een privacybeleid dient onder meer vastgelegd te worden hoe lang persoonsgegevens worden bewaard en hoe deze beveiligd worden. Dit is een ander document dan de privacyverklaring die veel organisaties op hun website plaatsen. Daarmee wordt voldaan aan de plicht de betrokkene te informeren over de verwerking van zijn persoonsgegevens.

Of een organisatie verplicht is een privacybeleid op te stellen hangt af van onder meer de context en het doel van de verwerking. De organisaties die de AP in dit geval controleerde moeten een privacybeleid opstellen omdat zij bijzondere persoonsgegevens verwerken.

Verwerkersovereenkomsten

Bij dertig private organisaties in de energiesector, media en handel heeft de AP begin dit jaar opgevraagd welke afspraken zij hebben gemaakt met verwerkers. Wanneer een organisatie persoonsgegevens verwerkt ten behoeve van een andere organisatie dienen zij hiervoor een verwerkersovereenkomst af te sluiten. Er bestaat nog vaak onduidelijkheid of een verwerkersovereenkomst wel of niet afgesloten moet worden en wat er precies in moet staan. Voornamelijk de aansprakelijkheidsbepalingen zijn vaak onderwerp van discussie. Meer informatie over de verwerkersovereenkomst is te vinden op deze pagina op onze website en in deze praktijkvraag. Voor gemeenten heeft de VNG een standaardverwerkersovereenkomst vastgesteld.

Datalekken

Een datalek betreft een inbreuk op de beveiliging van persoonsgegevens. Wat volgens de AP het meest voorkomt is dat een e-mail met persoonsgegevens doorgestuurd wordt naar de verkeerde ontvanger(s). Wanneer een decentrale overheid te maken heeft met een datalek moet dit in sommige gevallen gemeld worden aan de betrokkene van wie de persoonsgegevens zijn gelekt en aan de Autoriteit Persoonsgegevens. Dit moet in het geval dat het waarschijnlijk is dat het lek ernstige risico’s voor de rechten en vrijheden van de betrokkene betekent. Voor het beoordelen van dit risico hebben de Europese toezichthouders richtlijnen opgesteld.

Recentelijk liet de AP weten dat er in het afgelopen jaar 20.881 datalekken gemeld zijn. Dit betreft een verdubbeling van het jaar daarvoor. De meeste meldingen kwamen uit de sector gezondheid en welzijn (29%), met de sector financiële dienstverlening daar niet ver achter (26%). Het openbaar bestuur staat op de derde plaats, met 17% van de meldingen.

In het toezichtkader 2018-2019 meldt de AP dat het extra aandacht geeft aan datalekken die niet gemeld zijn waar dit wel had gemoeten en datalekken die (mede) zijn veroorzaakt door ernstige tekortkomingen in de beveiliging. In november 2018 werd Uber een boete opgelegd van € 600.000,- vanwege het te laat melden van een datalek. Tevens wordt bij de Nationale politie en het UWV er op aangedrongen bepaalde beveiligingsmaatregelen te verscherpen.

Waar moeten decentrale overheden op letten?

De AP blijft controleren of organisaties de vereisten uit de privacywetgeving naleven. Bij sommige van de uitgevoerde controles zijn ook steekproeven in de publieke sector verricht. In het toezichtkader 2018-2019 noemt de AP dat zij bij hun controles bijzondere aandacht aan onder andere de overheidssector geeft, aangezien burgers vaak verplicht zijn hun persoonsgegevens met overheidsorganisaties te delen. Naast de hiervoor behandelde verplichtingen van de AVG geeft de AP in het toezichtkader aan zich ook nog te richten op de vraag of een verwerking van persoonsgegevens op de juiste grondslag gebaseerd is. Decentrale overheden wordt aangeraden kennis te nemen van de conclusies van de controles van de AP bij het nalopen en verder implementeren van de AVG in hun organisatie.

Door:

Juliëtte Fredriksz, Europa decentraal

Meer informatie:

Toezichtkader 2018-2019, Autoriteit Persoonsgegevens
De Algemene verordening gegevensbescherming, Europa decentraal
AVG-specials voor decentrale overheden, Europa decentraal

X