Uitspraken directeur Autoriteit Persoonsgegevens na afloop ALV van de NGFG

Na afloop van de Algemene ledenvergadering (ALV) van het Nederlands Genootschap voor Functionarissen Gegevensbescherming (NGFG) op 27 juni 2018 heeft directeur Cecile Schut van de Autoriteit Persoonsgegevens (AP) meerdere interessante opmerkingen gemaakt met betrekking tot de Algemene verordening gegevensbescherming (AVG). Hieronder een opsomming:

Met betrekking tot handhaving

  • De AP richt zich in 2018 met onderzoek vooral op:
    • ontvangen klachten: iedere klacht moet worden onderzocht. In de eerste maand na ingang van de AVG heeft de AP zo’n 500 klachten ontvangen. Hiervan ging 33% over verwijderingsverzoeken en 20% over het verstrekken van gegevens aan derden;
    • of er is voldaan aan de verantwoordingsplicht;
    • op de sectoren overheid en zorg;
    • op de Meldplicht datalekken en
    • op gemelde datalekken.
  • Een (D)PIA wordt verplicht voor o.a. ’heimelijke informatieverzameling’, verwerking van gegevens over kredietwaardigheid, bestedingspatronen of financiële situatie. Kijk voor de volledige lijst op de website van de AP.
  • De vorm van het verwerkingsregister is vrij, maar elke verwerking van persoonsgegevens moet goed in kaart zijn gebracht.
  • Hoeveel tijd mag een organisatie nemen voor het onderzoeken van een incident (datalek), alvorens het gemeld wordt? De AP adviseert incidenten direct (binnen 72 uur) te melden, en daarna pas een onderzoek in te stellen. Het is altijd mogelijk een gedane melding inzake een datalek terug te trekken.
  • Tot nu toe heeft de AP geen boetes opgelegd.

Met betrekking tot certificering

  • Certificering voor de AVG wordt niet verplicht.
  • Het proces om een AVG certificering geaccrediteerd te krijgen, duurt 8 tot 18 maanden. De eerste accreditatie laat nog zeker tot eind 2018 op zich wachten. Meerdere partijen, waaronder internationale, hebben zich aangemeld voor accreditatie. De rol van de AP met betrekking tot accreditatie is beperkt tot compliance met het certificeringsschema.
  • Normenkaders kunnen opgesteld worden door een nationale schemabeheerder als de NEN, of door individuele / commerciële partijen. Accreditering staat omschreven in de AVG en moet dus ook op een goede manier worden georganiseerd. Vooral de manier waarop is van belang; het moet niet een te grote papierwinkel worden.
  • De AP gaat geen opleidingen tot Functionaris Gegevensbescherming verzorgen of certificeren. Dat zou de AP tot een marktpartij maken en dat past niet bij de rol van toezichthouder.

Met betrekking tot de Functionaris Gegevensbescherming

  • De AP heeft aandacht voor de positionering van de FG. Organisaties die de FG passeren in contacten met de AP, worden hierop gewezen.
  • Er hebben zich eind juni zo’n 7.000 FG’s aangemeld bij de AP.
  • Het kunnen inkopen van FG-diensten is in principe “een goede zaak”, mits de kwaliteit voldoende is: de FG moet aan bepaalde, in de AVG omschreven eisen voldoen. Het uit de zaal gegeven voorbeeld van een ‘FG op afroep’, zonder voldoende kennis van organisatie en context, valt daar waarschijnlijk niet onder.

Met betrekking tot organisaties en hun medewerkers/vrijwilligers

  • Een organisatie mag géén foto’s van werknemers op de website of op social media plaatsen zonder toestemming van die werknemers.
  • Mag je gegevens over ziekte van werknemers/vrijwilligers delen om bijvoorbeeld een beterschapskaartje te sturen? Volgens Cecile Schut mag een kaartje of een bloemetje altijd.

Door: Sander Kok, Privacy Professional