De Algemene Verordening Gegevensbescherming (AVG) is op 25 mei 2018 van toepassing geworden. De Autoriteit Persoonsgegevens houdt toezicht op de naleving van de privacywetgeving: organisaties die zich niet aan de verplichtingen houden kunnen fikse boetes krijgen. Waar heeft de Autoriteit Persoonsgegevens zich de afgelopen tijd mee bezig gehouden en welke controles kunnen decentrale overheden nog verwachten?
De Autoriteit Persoonsgegevens
In mei 2018 heeft de Autoriteit Persoonsgegevens (AP) het toezichtkader 2018-2019 gepubliceerd. Hierin geeft de AP aan welke onderdelen zij in deze periode prioriteit geeft bij het controleren van de naleving van de wet. Bij deze controles wordt ook een actieve rol van de organisaties zelf verwacht: volgens de AVG zijn organisaties namelijk verplicht aan te kunnen tonen dat zij voldoen aan de wet.
Functionaris voor gegevensbescherming
De AP heeft na 25 mei 2018 gelijk gecontroleerd of overheidsorganisaties een Functionaris voor Gegevensbescherming (FG) hebben aangewezen. Aangezien deze bij de AP aangemeld moet worden, is dit voor de toezichthouder vrij eenvoudig na te gaan. Recentelijk controleerde de AP ook andere sectoren, zoals banken en verzekeraars, op de aanwezigheid van een FG. Meer informatie over wanneer een organisatie precies een ‘overheidsorganisatie’ is en daarbij verplicht is een FG aan te stellen is te vinden in deze praktijkvraag. Naast de controle op de aanwezigheid van een FG geeft de AP in het toezichtkader ook aan te (gaan) controleren op welke wijze de organisatie de FG positioneert en hoe deze in staat wordt gesteld de taken en verplichtingen te vervullen die hij op grond van de AVG heeft.
Register verwerkingen
Hierna heeft de AP bij dertig organisaties uit verschillende sectoren gekeken of zij een register van verwerkingsactiviteiten bijhouden. De overheidssector zat hier nog niet tussen. Naar aanleiding van dit onderzoek heeft de AP vijf aanbevelingen gedaan voor het opstellen van een dergelijk register. Vaak werd bijvoorbeeld niet gespecifieerd wel verwerkingsdoel precies bij welke verwerking hoort, maar werd slechts een opsomming gegeven van verschillende verwerkingen en verwerkingsdoeleinden per afdeling. Dat is volgens de AP niet voldoende.
Privacybeleid
Eind vorig jaar heeft de AP bij verschillende organisaties in de zorg en bij gemeentelijke politieke partijen het privacybeleid opgevraagd. In een privacybeleid dient onder meer vastgelegd te worden hoe lang persoonsgegevens worden bewaard en hoe deze beveiligd worden. Dit is een ander document dan de privacyverklaring die veel organisaties op hun website plaatsen. Daarmee wordt voldaan aan de plicht de betrokkene te informeren over de verwerking van zijn persoonsgegevens.
Of een organisatie verplicht is een privacybeleid op te stellen hangt af van onder meer de context en het doel van de verwerking. De organisaties die de AP in dit geval controleerde moeten een privacybeleid opstellen omdat zij bijzondere persoonsgegevens verwerken.
Verwerkersovereenkomsten
Bij dertig private organisaties in de energiesector, media en handel heeft de AP begin dit jaar opgevraagd welke afspraken zij hebben gemaakt met verwerkers. Wanneer een organisatie persoonsgegevens verwerkt ten behoeve van een andere organisatie dienen zij hiervoor een verwerkersovereenkomst af te sluiten. Er bestaat nog vaak onduidelijkheid of een verwerkersovereenkomst wel of niet afgesloten moet worden en wat er precies in moet staan. Voornamelijk de aansprakelijkheidsbepalingen zijn vaak onderwerp van discussie. Meer informatie over de verwerkersovereenkomst is te vinden op deze pagina op onze website en in deze praktijkvraag.
Datalekken
Een datalek betreft een inbreuk op de beveiliging van persoonsgegevens. Wat volgens de AP het meest voorkomt is dat een e-mail met persoonsgegevens doorgestuurd wordt naar de verkeerde ontvanger(s). Wanneer een decentrale overheid te maken heeft met een datalek moet dit in sommige gevallen gemeld worden aan de betrokkene van wie de persoonsgegevens zijn gelekt en aan de Autoriteit Persoonsgegevens. Dit moet in het geval dat het waarschijnlijk is dat het lek ernstige risico’s voor de rechten en vrijheden van de betrokkene betekent. Voor het beoordelen van dit risico hebben de Europese toezichthouders richtlijnen opgesteld.
Waar moeten decentrale overheden op letten?
De AP blijft controleren of organisaties de vereisten uit de privacywetgeving naleven. Bij sommige van de uitgevoerde controles zijn ook steekproeven in de publieke sector verricht. In het toezichtkader 2018-2019 noemt de AP dat zij bij hun controles bijzondere aandacht aan onder andere de overheidssector geeft, aangezien burgers vaak verplicht zijn hun persoonsgegevens met overheidsorganisaties te delen. Naast de hiervoor behandelde verplichtingen van de AVG geeft de AP in het toezichtkader aan zich ook nog te richten op de vraag of een verwerking van persoonsgegevens op de juiste grondslag gebaseerd is. Decentrale overheden wordt aangeraden kennis te nemen van de conclusies van de controles van de AP bij het nalopen en verder implementeren van de AVG in hun organisatie.
Meer informatie
Toezichtkader 2018-2019, Autoriteit Persoonsgegevens
Algemene Verordening Gegevensbescherming, Kenniscentrum Europa Decentraal