Zoeken

ALTIJD OP DE HOOGTE?

Welke ontwikkelingen in de EU zijn van belang voor gemeenten, provincies en waterschappen? En wat betekent dat voor de dagelijkse praktijk?

Eerste controles Autoriteit Persoonsgegevens uitgevoerd

4 juni 2018Informatiemaatschappij

Op vrijdag 1 juni 2018 heeft de Autoriteit Persoonsgegevens (AP) aangekondigd ruim 400 overheidsorganisaties gecontroleerd te hebben op hun plicht de Functionaris Gegevensbescherming (FG) bij de Autoriteit aan te melden. De AP heeft de organisaties die hun FG nog niet hebben aangemeld aangeschreven. Het betreft minder dan vier procent van de gecontroleerde organisaties. Deze organisaties krijgen tot 11 juni 2018 de tijd hun FG alsnog aan te melden. Doen zij dit niet, dan kan de AP een sanctie opleggen.

 

Functionaris Gegevensbescherming

Per 25 mei 2018 zijn de regels van de Europese Algemene verordening gegevensbescherming (AVG) van toepassing. Dit houdt onder meer in dat bepaalde organisaties verplicht zijn een Functionaris Gegevensbescherming aan te stellen. Deze FG informeert, adviseert en houdt toezicht op de naleving van de AVG binnen een organisatie. Onder andere decentrale overheidsorganisaties zijn verplicht een FG aan te wijzen. Volgens de richtlijnen omtrent FG’s van de nationale toezichthouders – tot 25 mei 2018 verenigd in de Artikel 29-werkgroep (WP29) – dient de definitie van een overheidsorgaan op grond van nationale wetgeving bepaald te worden. Over de rol en taken van een FG kunt u op onze website meer lezen.

Verplichting aanmelden FG

Het aanmelden van de contactgegevens van de FG bij de toezichthoudende autoriteit is verplicht volgens artikel 37 lid 7 AVG. Voor sommige organisaties was het al verplicht een FG aan te wijzen voor de AVG van toepassing werd. Deze FG’s waren reeds bij de AP aangemeld. Eerder berichtte de AP hierover dat deze FG’s opnieuw aangemeld moesten worden. De AP heeft onder de AVG namelijk aanvullende informatie nodig over de FG, bijvoorbeeld of er sprake is van een verplichte of vrijwillige FG. Een aanmelding van een FG die niet via dit webformulier is gedaan, is daarom ook per 25 mei 2018 niet meer geldig.

Focus op overheidsorganisaties

Het is geen verrassing dat de AP de eerste controles omtrent het voldoen aan de AVG richt op de overheidssector. Eerder al gaf de AP aan dat de overheid hierin een voorbeeldfunctie dient te hebben. In het nieuwsbericht over de gehouden controles geeft de AP aan dat de komende maanden ook in de private sector controles uitgevoerd gaan worden.

Beleid Autoriteit Persoonsgegevens – Voorlichting of boetes?

In het debat met de Tweede Kamer omtrent de Uitvoeringswet van de AVG van 8 maart 2018 stelde minister Dekker van Rechtsbescherming dat de AP bij hem aangegeven heeft het eerste jaar na het van toepassing worden van de AVG in te zetten op verdere voorlichting en bijsturing, en niet onmiddellijk naar het zwaarste handhavingsmiddel uit de AVG zal grijpen. Hierbij werd echter het voorbeeld genoemd van een kleine lokale sportvereniging, die wel bereidwillig is zich aan de regels te houden. Wanneer er sprake is van opzettelijke of ernstige misstanden is dit een ander verhaal. Wat echter wel en niet onder een opzettelijke of ernstige misstand valt is op dat moment niet verduidelijkt. Evenmin werd besproken of dit ook voor kleine overheidsorganisaties geldt, gezien het eerder naar buiten gebrachte voornemen van de AP de eerste focus op de overheidssector te leggen.

In het geval van de verplichting een FG aan te melden heeft de AP ervoor gekozen een onderzoek te verrichten in de vorm van gegevensbeschermingscontroles en een verwerkingsverantwoordelijke of verwerker in kennis stellen van een beweerde inbreuk op de AVG (artikel 58 AVG). De Autoriteit Persoonsgegevens kan een organisatie die volgens artikel 37 AVG verplicht is een FG aan te wijzen, maar dit niet heeft gedaan, een administratieve boete opleggen op grond van artikel 83 lid 4 onder a AVG. Deze boete betreft een geldbedrag van maximaal € 10 miljoen of, voor een onderneming, tot 2% van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is. In artikel 18 van de Uitvoeringswet AVG is bepaald dat de AP deze bestuurlijke boetes ook aan overheidsorganisaties kan opleggen.

Door:

Juliëtte Fredriksz, Europa decentraal

Bron:

AP gestart met controles functionarissen voor gegevensbescherming, Autoriteit Persoonsgegevens

Meer informatie:

De Algemene verordening gegevensbescherming, Europa decentraal
AVG Deel VII: De Functionaris Gegevensbescherming, Europa decentraal
Richtlijnen voor functionarissen voor de gegevensbescherming (FG’s), Artikel 29-werkgroep

 

 

X