Print:

De AVG vanuit het perspectief van de toezichthouder: de drie trends van nu

Redactie IIR , Trainingen & Conferenties

LinkedIn profiel

Een van de terugkerende vragen sinds de komst van de Algemene verordening gegevensbescherming (AVG) gaat over het toezicht en de handhaving. Hoe gaat de Autoriteit Persoonsgegevens (AP) controleren en optreden? Drie ontwikkelingen geven meer inzicht.

Dag van de Privacy Officer | IIR

 

De bescherming van persoonsgegevens is een breed gedeelde zorg in de Nederlandse samenleving. 94 procent van de bevolking maakt zich er zorgen over, blijkt uit onderzoek dat de Autoriteit Persoonsgegevens (AP) in januari publiceerde. De zorgen hebben volgens de toezichthouder vooral te maken met angst dat gegevens in verkeerde handen vallen. Tegelijkertijd maken Nederlanders nog nauwelijks gebruik van de rechten die ze op grond van de Algemene verordening gegevensbescherming (AVG)  hebben. Twaalf procent van de ondervraagden zegt wel eens gebruik te hebben gemaakt van bijvoorbeeld het recht op inzage of verwijdering. Respondenten weten naar eigen zeggen niet hoe het werkt, vinden het gedoe, of vinden het niet belangrijk genoeg.

De AP maakte de onderzoeksgegevens bekend op de Dag van de Privacy, die bedoeld is om het maatschappelijk bewustzijn van het Europese privacyrecht te versterken. Die awareness is sinds de afgelopen periode sowieso flink gestegen, want de komst van de nieuwe Europese wetgeving heeft veel aandacht gekregen. De vraag hoe de AP de handhaving van de AVG oppakt, is daarbij een terugkerend onderwerp van gesprek. Er is een toezichtkader, en er zijn enkele onderzoeken aangekondigd en gestart. Maar concrete plannen voor  handhavend optreden maakt de toezichthouder niet bekend.

Een aantal ontwikkelingen tekent zich inmiddels wel af. Drie trends vallen op.

Handhaving en onderzoek vinden plaats bij uiteenlopende sectoren

De controle op de verplichte aanstelling van een Functionaris voor de Gegevensbescherming (FG) was een van de eerste acties die de AP ondernam na de invoering van de AVG. De verplichting geldt voor de overheid, maar ook voor sommige commerciële instellingen. De AP is inmiddels controles gestart in verschillende sectoren: van gemeenten en ziekenhuizen tot banken en verzekeraars.

De verkennende onderzoeken van de AP hebben betrekking op verschillende verplichtingen uit de AVG, waaronder de verwerkersovereenkomst, het register van verwerkingsactiviteiten en het privacybeleid. Omdat het onderzoek vaak steekproefsgewijs wordt ingevuld, kunnen organisaties uit uiteenlopende branches ermee te maken krijgen.

Ook bij andere vormen van toezicht kijkt de AP naar de publieke én private sector. Zo kregen Theodoor Gilissen Bankiers, Uber en UWV een sanctie opgelegd. Ook tegen de Belastingdienst treedt de toezichthouder op. Sinds 25 mei 2018 heeft de AP bovendien in bijna driehonderd gevallen actie ondernomen richting organisaties die een datalek gemeld hebben.

Jurisprudentie en voorlichting nemen een vlucht

Langzamerhand ontstaan er steeds meer praktische handvatten geeft voor de interpretatie van regels en begrippen uit de AVG. Allereerst ontwikkelt zich jurisprudentie. Zo oordeelt de rechtbank Midden-Nederland dat de AVG van toepassing is op het personeelsdossier, waardoor de werknemer onder meer een recht op inzage in het dossier heeft. Volgens de Reclame Code Commissie is gerichte reclame op basis van het kijk- en klikgedrag van gebruikers van Facebook toegestaan. Dit ondanks het verbod uit de wet om zonder toestemming bijzondere persoonsgegevens te verwerken, zoals informatie over iemands gezondheid. Al voor de komst van de AVG concludeerde de Centrale Raad van Beroep dat de Dienst Uitvoering Onderwijs (DUO) reisgegevens van een student mag opvragen met het oog op fraudebestrijding.

Daarnaast geeft de AP guidance en voorlichting. Recent verschenen uitspraken en richtlijnen over onder andere het gebruik van camera’s voor het beveiligen van bedrijfspanden en de inzet van camera’s in digitale billboards. Ook verschafte de AP duidelijkheid over direct marketing, waarvoor in veel gevallen toestemming van betrokkene noodzakelijk is, en verschenen er nieuwe Q&A’s over bijvoorbeeld het verwerken van persoonsgegevens door verzekeraars. Bovendien deed de toezichthouder vijf concrete aanbevelingen voor het register van verwerkingsactiviteiten. Ook handig: voor FG’s zijn er een speciale nieuwsbrief en informatielijn (fg@autoriteitpersoonsgegevens.nl).

Cijfers en feiten komen beschikbaar

De AP toont zich in toenemende niet alleen een toezichthouder die onderzoekt, optreedt en adviseert, maar ook informatie deelt. Er verschenen bijvoorbeeld interessante cijfers en feiten op het terrein van dataprotectie. Zo blijkt dat er tot nu toe zo’n 8.000 FG’s officieel zijn geregistreerd. Aan het slot van 2018 werd duidelijk dat bijna 10.000 mensen een privacyklacht indienden bij de AP. De meeste klachten (32 procent) gaan over een schending van een van de rechten van betrokkenen, zoals het recht op inzage of verwijdering van persoonsgegevens.

In het jaar 2018 bleken er bovendien 20.881 datalekken bij de AP gemeld. Het aantal meldingen is daarmee meer dan verdubbeld ten opzichte van het jaar ervoor, toen de AP er zo’n 10.000 ontving. Ruim twee derde (63 procent) van de datalekken van vorig jaar heeft te maken met persoonsgegevens die aan een verkeerde ontvanger zijn gestuurd.

In een recent interview met het FD toonde de toezichthouder zich in ieder geval positief over de ontwikkelingen sinds 25 mei 2018. Woordvoerder Martijn Pols stelde: “Dat is een compliment waard: mensen zijn ver met de bescherming van persoonsgegevens. Wij realiseren ons ook dat grote en kleine bedrijven veel werk hebben moeten verzetten. Er is een goede basis gelegd voor privacybescherming, maar in de praktijk moet blijken of persoonsgegevens echt beschermd blijven.” Dat is een opgave waarvan privacy officers zich ongetwijfeld bewust zijn.

Goed voorbereid zijn op het toezicht van de AP? Volg een van onze praktijkgerichte trainingen en kom op 6 en 7 juni naar de Dag van de Privacy Officer, waar onder andere de AP zal spreken.

Meer informatie?

Laat uw e-mail achter en ontvang de brochure direct in uw mailbox.