Kunnen decentrale overheden beboet worden voor een onvolledige privacyverklaring op de website?

16 juli 2018Informatiemaatschappij

Een recent verschenen artikel van Binnenlands Bestuur stelt dat veel gemeentelijke websites niet voldoen aan de Algemene verordening gegevensbescherming. Het artikel wijst op een onderzoek van het bedrijf Leadsupply dat 30% van de gemeentelijke websites onderzocht. Het onderzoek concludeert dat op 40% van deze onderzochte websites een privacyverklaring ontbreekt of dat deze onvolledig is. Waarom zou een decentrale overheid een dergelijke verklaring moeten hebben? En kan het zijn dat de Autoriteit Persoonsgegevens straks boetes gaat uitdelen voor ontbrekende of onvolledige privacyverklaringen?

Privacyverklaring

Sinds 25 mei 2018 moeten decentrale overheidsorganisaties zich aan de regels van de Algemene verordening gegevensbescherming (AVG) houden wanneer zij persoonsgegevens verwerken. Deze verwerkingen moeten voldoen aan de verwerkingsbeginselen van de AVG. Een hiervan is het zogeheten transparantiebeginsel. Dit beginsel verplicht een verwerkingsverantwoordelijke om transparant te zijn over de persoonsgegevens die hij verwerkt.

WAT moet er in de verklaring staan?

Een decentrale overheid dient de betrokkene van wie hij persoonsgegevens verwerkt onder andere op de hoogte te stellen dat deze verwerking plaatsvindt, en op welke rechten de betrokkene zich kan beroepen. De precieze informatie die gegeven moet worden staat in verschillende artikelen van de AVG. Een provincie die persoonsgegevens direct bij de betrokkene verzamelt, moet de informatie genoemd in artikel 13 verstrekken. Wanneer de provincie die persoonsgegevens niet van de betrokkene, maar via een andere organisatie verkrijgt, moet deze de informatie uit artikel 14 aan de betrokkene verstrekken.

Een belangrijke uitzondering op de informatieverplichting betreft het geval dat de betrokkene reeds op de hoogte is van de verwerking. Wanneer artikel 14 van toepassing is gelden nog drie andere uitzonderingen. De informatie hoeft dan ook niet te worden verstrekt wanneer dit onevenredig veel inspanning zou vergen; indien de verwerking uitdrukkelijk is voorgeschreven in de wet; of deze wettelijk gezien geheim moet blijven.

Moet de VERKLARING op de website worden GEPLAATST?

De AVG stelt verder eisen aan de manier waarop de informatie aan de betrokkene wordt verstrekt en de tijdsperiode die een decentrale overheid daar voor heeft. Wanneer persoonsgegevens direct bij de betrokkene worden verkregen, moet deze gelijk bij het verkrijgen hiervan over worden geïnformeerd. Communiceren over persoonsgegevens die via een andere weg worden verkregen moet uiterlijk binnen één maand na verkrijging van de gegevens gebeuren. Ook moet de informatie op een beknopte en begrijpelijke manier worden verstrekt. In de overwegingen van de AVG wordt uitgelegd dat het mogelijk is om de informatie elektronisch te verstrekken aan het publiek, door het bijvoorbeeld op een website te plaatsen. Dit geldt in het bijzonder voor situaties waarbij er sprake is van veel betrokkenen en een verwerkingsverantwoordelijke hen niet allemaal afzonderlijk kan bereiken. Gezien decentrale overheidsorganisaties vaak direct persoonsgegevens verzamelen op hun website en betrokkenen hier dus gelijk over geïnformeerd moeten worden, is de meest praktische manier om aan de informatieplicht te voldoen het plaatsen van een privacy statement op de website. Als iemand daarom verzoekt mag de informatie echter ook mondeling worden meegedeeld. In dat geval moet de identiteit van de betrokkene wel geverifieerd zijn.

Krijgen decentrale overheden een boete?

Wat nu als de privacyverklaring op de website van een decentrale overheid ontbreekt, of er niet de juiste informatie in staat? In principe houdt de organisatie zich dan niet aan zijn verplichtingen volgend uit artikel 13 en 14 AVG. Geïnformeerd worden over de verwerking van zijn persoonsgegevens is een recht van de betrokkene. Een inbreuk op deze rechten wordt in het Europees privacyrecht gezien als een overtreding van de zwaarste categorie. Er staat een boete op van maximaal 20 miljoen euro of, voor een onderneming, tot 4% van de wereldwijde jaaromzet. Deze boete kan worden opgelegd door een toezichthoudende autoriteit. Dit kan bijvoorbeeld naar aanleiding van een klacht of door onderzoek op initiatief van de autoriteit.

Klachten

Betrokkenen hebben het recht een klacht in te dienen bij een toezichthoudende autoriteit over de verwerking van hun persoonsgegevens. Eind juni 2018 maakte de Autoriteit Persoonsgegevens (AP) bekend sinds 25 mei al ruim 600 klachten te hebben ontvangen. Een klein gedeelte daarvan, zo’n 13%, gaat over overheidsinstanties. De ingekomen klachten betreffen voornamelijk verwijderings- en inzageverzoeken en ongewenste verstrekkingen van persoonsgegevens aan derden, aldus de AP. De Autoriteit behandelt momenteel alle klachten.

Onderzoek AP

Het eigen onderzoek van de AP richt zich in het bijzonder op de sector overheid en zorg, bleek onder meer uit het toezichtkader 2018-2019 dat de AP in mei publiceerde. Een van de eerste acties van de AP na 25 mei 2018 was te controleren of overheidsorganisaties een Functionaris Gegevensbescherming (FG) hadden aangewezen. Uit dit onderzoek bleek dat hier bij minder dan 4% van de organisaties nog geen duidelijkheid over bestond. Deze organisaties werd niet direct een boete opgelegd, maar kregen van de AP tien dagen de tijd de fout nog te herstellen.

In het toezichtkader van de AP staat verder dat de Autoriteit zich naast de aanwijzing van een FG gaat richten op de aanwezigheid van een register van verwerkingen, de beveiliging van persoonsgegevens en het verwerken op basis van de juiste grondslag. Onderzoeken of de betrokkene juist wordt geïnformeerd over de verwerking van zijn persoonsgegevens wordt in het toezichtkader niet als een focusgebied genoemd. De aanwezigheid van een privacyverklaring op de website van decentrale overheden kan echter ook redelijk eenvoudig door de AP gecontroleerd worden.

Mocht dit onderzoek er komen is niet zeker dat de Autoriteit direct boetes op zal leggen. De AP geeft in het toezichtkader aan dat het bij de controle op de naleving van de AVG zal kiezen voor een handhavingsinstrument dat het minst ingrijpend, maar wel effectief is. Deze lijn is terug te zien in de aanpak van de eerdere controle van de AP op een aangewezen FG.

Voor decentrale overheden is het belangrijk hun privacyverklaringen goed na te lopen op volledigheid aan de hand van de artikelen 13 en 14 AVG. Organisaties die de betrokkenen van wie zij persoonsgegevens verwerken hier niet of onvoldoende over informeren, voldoen niet aan hun verplichtingen onder de AVG.

Door:

Juliëtte Fredriksz, Europa decentraal

Meer informatie:

Veel gemeentelijke websites voldoen niet aan AVG, Nieuwsbericht Binnenlands Bestuur
De Algemene verordening gegevensbescherming, Europa decentraal
De verwerkingsbeginselen, Europa decentraal
Toezichtkader Autoriteit Persoonsgegevens 2018-2019, Publicatie Autoriteit Persoonsgegevens
Ruim 600 mensen dienen privacyklacht in bij AP, Nieuwsbericht Autoriteit Persoonsgegevens
AP gestart met controles FG, Nieuwsbericht Autoriteit Persoonsgegevens

 

X