Uitspraken directeur Autoriteit Persoonsgegevens na afloop ALV van de NGFG

Na afloop van de Algemene ledenvergadering (ALV) van het Nederlands Genootschap voor Functionarissen Gegevensbescherming (NGFG) op 27 juni 2018 heeft directeur Cecile Schut van de Autoriteit Persoonsgegevens (AP) meerdere interessante opmerkingen gemaakt met betrekking tot de Algemene verordening gegevensbescherming (AVG). Hieronder een opsomming:

Met betrekking tot handhaving

  • De AP richt zich in 2018 met onderzoek vooral op:
    • ontvangen klachten: iedere klacht moet worden onderzocht. In de eerste maand na ingang van de AVG heeft de AP zo’n 500 klachten ontvangen. Hiervan ging 33% over verwijderingsverzoeken en 20% over het verstrekken van gegevens aan derden;
    • of er is voldaan aan de verantwoordingsplicht;
    • op de sectoren overheid en zorg;
    • op de Meldplicht datalekken en
    • op gemelde datalekken.
  • Een (D)PIA wordt verplicht voor o.a. ’heimelijke informatieverzameling’, verwerking van gegevens over kredietwaardigheid, bestedingspatronen of financiële situatie. Kijk voor de volledige lijst op de website van de AP.
  • De vorm van het verwerkingsregister is vrij, maar elke verwerking van persoonsgegevens moet goed in kaart zijn gebracht.
  • Hoeveel tijd mag een organisatie nemen voor het onderzoeken van een incident (datalek), alvorens het gemeld wordt? De AP adviseert incidenten direct (binnen 72 uur) te melden, en daarna pas een onderzoek in te stellen. Het is altijd mogelijk een gedane melding inzake een datalek terug te trekken.
  • Tot nu toe heeft de AP geen boetes opgelegd.

Met betrekking tot certificering

  • Certificering voor de AVG wordt niet verplicht.
  • Het proces om een AVG certificering geaccrediteerd te krijgen, duurt 8 tot 18 maanden. De eerste accreditatie laat nog zeker tot eind 2018 op zich wachten. Meerdere partijen, waaronder internationale, hebben zich aangemeld voor accreditatie. De rol van de AP met betrekking tot accreditatie is beperkt tot compliance met het certificeringsschema.
  • Normenkaders kunnen opgesteld worden door een nationale schemabeheerder als de NEN, of door individuele / commerciële partijen. Accreditering staat omschreven in de AVG en moet dus ook op een goede manier worden georganiseerd. Vooral de manier waarop is van belang; het moet niet een te grote papierwinkel worden.
  • De AP gaat geen opleidingen tot Functionaris Gegevensbescherming verzorgen of certificeren. Dat zou de AP tot een marktpartij maken en dat past niet bij de rol van toezichthouder.

Met betrekking tot de Functionaris Gegevensbescherming

  • De AP heeft aandacht voor de positionering van de FG. Organisaties die de FG passeren in contacten met de AP, worden hierop gewezen.
  • Er hebben zich eind juni zo’n 7.000 FG’s aangemeld bij de AP.
  • Het kunnen inkopen van FG-diensten is in principe “een goede zaak”, mits de kwaliteit voldoende is: de FG moet aan bepaalde, in de AVG omschreven eisen voldoen. Het uit de zaal gegeven voorbeeld van een ‘FG op afroep’, zonder voldoende kennis van organisatie en context, valt daar waarschijnlijk niet onder.

Met betrekking tot organisaties en hun medewerkers/vrijwilligers

  • Een organisatie mag géén foto’s van werknemers op de website of op social media plaatsen zonder toestemming van die werknemers.
  • Mag je gegevens over ziekte van werknemers/vrijwilligers delen om bijvoorbeeld een beterschapskaartje te sturen? Volgens Cecile Schut mag een kaartje of een bloemetje altijd.

Door: Sander Kok, Privacy Professional

 

Autoriteit Persoonsgegevens start steekproef naleving privacyregels door private sectoren

Op de website van de Autoriteit Persoonsgegevens (AP) is te lezen dat er is gestart met een verkennend onderzoek om te achterhalen hoe goed grote organisaties de Europese privacywet naleven. Bij een willekeurige steekproef van dertig grote organisaties uit tien private sectoren onderzoekt de AP of zij een verwerkingsregister bijhouden. De AP voert de steekproef uit bij de volgende tien sectoren: industrie en metaal, waterleidingbedrijf, bouw, handel, horeca, reisorganisatie, communicatie, financiële dienstverlening, zakelijke dienstverlening en zorg.

Kijk voor het hele bericht op de website van de Autoriteit Persoonsgegevens.

 

Jouw werkplek en de AVG

Het beschermen van privacygevoelige informatie is wettelijk steeds beter geregeld. Dit is uiteraard een goede ontwikkeling. Met de introductie van de AVG is ook het bewustzijn van veel medewerkers verhoogd. Helaas, zijn veel medewerkers niet of nauwelijks op de hoogte van alle AVG-regels. Uit onderzoek blijkt dat de grootste oorzaak van datalekken menselijk falen en/of procesfouten zijn.
Conform de AVG moeten organisaties en medewerkers de nodige stappen zetten om privacybescherming en informatiebeveiliging naar een hoger niveau te tillen. PrivacyCompass kan hierbij helpen. Wij geven medewerkers bewustzijn, passende kennis en nieuwe vaardigheden. Medewerkers zijn in staat actief met privacy om te gaan.

Om praktische invulling te geven aan de AVG, onderstaand een aantal tips waaruit blijkt dat de AVG voor elke medewerker geldt. Wij adviseren je om:

  • Openbare netwerken te vermijden. Als je laptop/computer toegang heeft tot internet via een openbaar netwerk, gebruik dan geen gevoelige programma’s. Voorbeelden van gevoelige programma’s zijn apps van je bank, e-mail, inloggen op je werkomgeving.
  • Gebruik een VPN-verbinding of maak een hotspot van je telefoon.
  • De computer/de laptop altijd te blokkeren bij het verlaten van je werkplek.
  • Niet te kiezen voor automatisch opslaan van inloggegevens op je computer, gebruik hiervoor een passwordmanager.
  • Je persoonlijke inloggegevens niet aan collega’s te geven, gebruik ook niet de inloggegevens van een collega.
  • Je inloggegevens niet op te schrijven en bewaar deze niet op of rond de werkplek.
  • Regelmatig je wachtwoorden te wijzigen.
  • Privacygevoelige gegevens niet te versturen per onbeveiligde e-mail aan derden.
  • Je telefoon te beveiligen met een toegangscode of vingerafdrukherkenning.
  • Documenten met persoonsgegevens niet onbeheerd achter te laten op je bureau of bij de printer.
  • Bakjes met papieren, die vaak op een bureau staan, aan het eind van de dag in een kast te zetten die op slot kan.
  • De zakelijke computer/ laptop etc. alleen zakelijk te gebruiken. Zo voorkom je datalekken, spelletjes zijn bijvoorbeeld regelmatig virus bronnen.
  • Bij te blijven met de updates van je computer, software etc. en zorg voor een goed antivirusprogramma.
  • Processen waar persoonsgegevens verwerkt worden in kaart te brengen en uit te schrijven zodat je inzicht krijgt in de risico’s.

Mocht jouw organisatie hulp nodig hebben neem dan contact op met PrivacyCompass.

 

AP waarschuwt reclamebranche!

De Autoriteit Persoonsgegevens is actief. Althans, de AP heeft vorige week met een officiële brief de reclamebranche een waarschuwing gegeven dat ze de AVG waarschijnlijk overtreedt. Wat wil het geval? Reclamebedrijven blijken niet alleen flitsende billboards te plaatsen maar tegelijkertijd met verborgen camera’s  de argeloze voorbijgangers te filmen om aan de hand van hun persoonlijke kenmerken gericht advertenties te versturen.

Denkt u ook weleens: “hè, waarom krijg ik deze aanbieding langs?” Dan is het heel goed mogelijk dat u toevallig langs zo’n filmend billboard bent gelopen. De camera heeft geregistreerd dat u tussen de 30 en 45 jaar oud bent, vrouw of man bent, een blanke of een donkere huid heeft en in elegante of juist sportieve kleding rondloopt. U bent zelfs meer dan 1 keer gefilmd, gewoon omdat u er dagelijks langs komt op weg naar uw kantoor in dezelfde straat. Kortom: de branche weet al veel over u en die kennis is voor veel bedrijven goud waard. Zeker voor adverteerders.

De AP is er duidelijk over in de brief: dit mag niet. Alleen als u als voorbijganger toestemming geeft, en dat is niet zomaar geregeld in het voorbijgaan, kan er sprake zijn van een wettelijke grondslag voor het verwerken van persoonsgegevens. Anders niet. Een (reclame)bedrijf mag zonder wettelijke grondslag mensen niet herkenbaar in beeld brengen. Het kan alleen een infrarood camera gebruiken, mensen zijn dan niet herkenbaar, om bijvoorbeeld het aantal voorbijgangers te tellen. Meer ook niet.  

Wat is nu de betekenis van de waarschuwing aan de reclamebranche? Bij een volgende overtreding een boete? Ingevolge artikel 58 lid 2 van de AVG behoort de waarschuwing tot de corrigerende maatregelen waartoe de Autoriteit Persoonsgegevens beschikt. ‘Houd er mee op, je maakt waarschijnlijk inbreuk op bepalingen van de AVG!’ Helpt dat niet, dan komen de zwaardere maatregelen: berisping, een andere werkwijze gelasten, een verwerkingsverbod opleggen, opschorting van gegevensstromen naar een ontvanger in een derde land etc. Mocht een reclamebureau doorgaan op de ingeslagen weg, dan kan de actie van de AP oplopen tot aan een fikse geldboete. De reclamebranche heeft een taak om haar leden daarvoor te behoeden. En dat is precies wat de AP beoogde met deze waarschuwing.

door: Ina Brouwer, advocaat