Kunnen decentrale overheden beboet worden voor een onvolledige privacyverklaring op de website?

16 juli 2018Informatiemaatschappij

Een recent verschenen artikel van Binnenlands Bestuur stelt dat veel gemeentelijke websites niet voldoen aan de Algemene verordening gegevensbescherming. Het artikel wijst op een onderzoek van het bedrijf Leadsupply dat 30% van de gemeentelijke websites onderzocht. Het onderzoek concludeert dat op 40% van deze websites een privacyverklaring ontbreekt of dat deze onvolledig is. Waarom zou een decentrale overheid een dergelijke verklaring moeten hebben? En kan het zijn dat de Autoriteit Persoonsgegevens straks boetes gaat uitdelen voor ontbrekende of onvolledige privacyverklaringen?

Privacyverklaring

Sinds 25 mei 2018 moeten decentrale overheidsorganisaties zich aan de regels van de Algemene verordening gegevensbescherming (AVG) houden wanneer zij persoonsgegevens verwerken. Deze verwerkingen moeten voldoen aan de verwerkingsbeginselen van de AVG. Een hiervan is het zogeheten transparantiebeginsel. Dit beginsel legt de plicht op aan een verwerkingsverantwoordelijke om transparant te zijn over de persoonsgegevens die worden verwerkt.

Welke informatie moet er in de verklaring staan?

Een decentrale overheid dient de betrokkene van wie hij persoonsgegevens verwerkt op de hoogte te stellen dat deze verwerking plaatsvindt, en welke rechten de betrokkene daarbij heeft. De precieze informatie die gegeven moet worden staat in verschillende artikelen van de AVG. Een provincie die persoonsgegevens direct bij de betrokkene verzamelt, moet de informatie genoemd in artikel 13 verstrekken. Een gemeente die persoonsgegevens niet van de betrokkene, maar bijvoorbeeld via een andere overheidsorganisatie verkrijgt, moet de informatie uit artikel 14 naar de betrokkene communiceren.

Een belangrijke uitzondering op de informatieverplichting betreft het geval dat de betrokkene reeds op de hoogte is van de verwerking. In het geval van een verzameling via andere organisaties geldt dat de informatie ook niet hoeft te worden verstrekt wanneer dit onevenredig veel inspanning zou vergen, indien de verwerking uitdrukkelijk is voorgeschreven in de wet of deze wettelijk gezien geheim moet blijven.

Moet deze informatie op de website worden verstrekt?

De AVG stelt eisen aan de manier waarop de informatie wordt verstrekt en de tijdsperiode die een decentrale overheid daar voor heeft. Wanneer persoonsgegevens direct bij de betrokkene worden verkregen, moet deze gelijk bij het verkrijgen hiervan over worden geïnformeerd. Communiceren over persoonsgegevens die via een andere weg worden verkregen moet uiterlijk binnen één maand na verkrijging gebeuren. Ook moet de informatie op een beknopte en begrijpelijke manier verstrekt worden. In de overwegingen van de AVG wordt uitgelegd dat het mogelijk is om de informatie elektronisch te verstrekken aan het publiek, door het bijvoorbeeld op een website te plaatsen. Dit geldt in het bijzonder voor situaties waarin veel betrokkenen zijn en een verwerkingsverantwoordelijke niet alle betrokkenen afzonderlijk kan bereiken.

Als iemand daarom verzoekt mag de informatie ook mondeling worden meegedeeld. In dat geval moet de identiteit van de betrokkene wel geverifieerd zijn. Het voldoen aan de informatieverplichting middels een privacy statement op de website zal de meest praktische manier zijn, ook gezien decentrale overheidsorganisaties in de meeste gevallen ook via hun website persoonsgegevens verzamelen.

Krijgen decentrale overheden een boete?

Wat nu als de privacyverklaring op de website van een decentrale overheid ontbreekt, of er niet de juiste informatie in staat? In principe voldoet de organisatie dan niet aan een van zijn verplichtingen onder de AVG. Een inbreuk op de bepalingen over de rechten van de betrokkenen wordt in het Europees privacyrecht gezien als een overtreding van de zwaarste categorie. Er staat een boete op van maximaal 20 miljoen euro of, voor een onderneming, tot 4% van de wereldwijde jaaromzet. Deze boete kan worden opgelegd door een toezichthoudende autoriteit. Dit kan bijvoorbeeld naar aanleiding van een klacht of door onderzoek op initiatief van de autoriteit.

Eind juni 2018 maakte de Autoriteit Persoonsgegevens bekend sinds 25 mei al ruim 600 klachten te hebben ontvangen. Een klein gedeelte daarvan, zo’n 13%, gaat over overheidsinstanties. Alle ingekomen klachten betreffen voornamelijk verwijderings- en inzageverzoeken en ongewenste verstrekkingen van persoonsgegevens aan derden, aldus de AP. De autoriteit behandelt momenteel alle klachten.

Het eigen onderzoek van de AP richt zich in het bijzonder op de sector overheid en zorg, bleek onder meer uit het toezichtkader 2018-2019 dat de AP in mei publiceerde. Een van de eerste acties van de AP na 25 mei 2018 was te controleren of overheidsorganisaties een Functionaris Gegevensbescherming (FG) hadden aangewezen. Uit dit onderzoek bleek dat dit bij minder dan 4% van de organisaties nog niet duidelijk was. Deze organisaties werd niet direct een boete opgelegd, maar kregen van de AP tien dagen de tijd de fout nog te herstellen.

In het toezichtkader van de AP staat verder dat de autoriteit zich naast het hebben van een FG gaat richten op de aanwezigheid van een register van verwerkingen, de beveiliging van persoonsgegevens en het verwerken op basis van de juiste grondslag. Het kijken naar de aanwezigheid van een privacyverklaring op de website van decentrale overheden wordt in het toezichtkader niet als een focusgebied genoemd, maar kan ook redelijk eenvoudig door de AP gecontroleerd worden. Daarnaast noemt de toezichthouder dat het bij de controle op de naleving van de AVG zal kiezen voor een handhavingsinstrument dat het minst ingrijpend, maar wel effectief is. Deze lijn is terug te zien in de aanpak van de eerdere controle van de AP op een aangewezen FG.

Voor decentrale overheden is het belangrijk hun privacyverklaringen goed na te lopen op volledigheid aan de hand van de artikelen 13 en 14 AVG. Organisaties die de betrokkenen van wie zij persoonsgegevens verwerken hier niet of onvoldoende over informeren, voldoen niet aan hun verplichtingen onder de AVG.

Door:

Juliëtte Fredriksz, Europa decentraal

Meer informatie:

Veel gemeentelijke websites voldoen niet aan AVG, Nieuwsbericht Binnenlands Bestuur
De Algemene verordening gegevensbescherming, Europa decentraal
De verwerkingsbeginselen, Europa decentraal
Toezichtkader Autoriteit Persoonsgegevens 2018-2019, Publicatie Autoriteit Persoonsgegevens
Ruim 600 mensen dienen privacyklacht in bij AP, Nieuwsbericht Autoriteit Persoonsgegevens
AP gestart met controles FG, Nieuwsbericht Autoriteit Persoonsgegevens

 

X