25 november markeerde het halfjarig bestaan van de AVG, in de volksmond ook wel ‘de Privacywet’ genoemd. In de komende 2 blogs geef ik een overzicht van wat zich heeft voorgedaan op AVG-gebied. Heeft de Autoriteit Persoonsgegevens (AP) stilgezeten of juist de spreekwoordelijke benen onder het lijf vandaan gelopen?
Klachten
De eerste maand AVG leverde meteen al 600 klachten over vermeende privacy inbreuken op, waarvan er naar eigen zeggen 400 door de AP zijn geanalyseerd. Bijna een derde van de ingediende klachten betrof problemen omtrent de verwijdering van persoonsgegevens, ofwel uitvoering van het recht op vergetelheid.
De klachtenregen begon de eerste maand sterk en daar bleef het niet bij, inmiddels staat de teller op ruim 7000 klachten. Hoeveel van deze klachten tot een officieel onderzoek heeft geleid, wil de AP niet kwijt. Wel gaf het een voorbeeld waarin het niet tot een boete kwam, maar de klacht op andere wijze werd afgehandeld: iemand diende een klacht in dat hij een kopie van zijn paspoort moest opsturen naar een webwinkel. Na een brief van de AP heeft de webwinkel het beleid aangepast.
Controles
Ongeveer een week nadat de AVG van kracht werd heeft de AP ongeveer 400 overheidsorganisaties gecontroleerd of zij een Functionaris Gegevensbescherming (FG) hebben aangesteld. Een FG dient als eerste privacy aanspreekpunt van een organisatie en ziet erop toe dat de organisatie de AVG naleeft. Een FG is in drie situaties verplicht:
- Voor overheidsinstanties en publieke organisaties (bijvoorbeeld rijksoverheid, gemeenten en onderwijsinstellingen);
- Voor organisaties die vanuit hun kernactiviteit op grote schaal individuen volgen of diens activiteiten in kaart brengen (denk daarbij aan profilering van mensen voor het maken van risico-inschattingen, en personeelsvolgsystemen);
- Voor organisaties die vanuit hun kernactiviteit op grote schaal bijzondere persoonsgegevens verwerken (onder meer gegevens over gezondheid, ras, politieke geaardheid of strafrechtelijk verleden).
Uit de controle volgt dat slechts 4% dit heeft gedaan. De AP heeft de instanties vervolgens 10 dagen de tijd gegeven om dit alsnog te doen, op straffe van een sanctie indien de instanties hier geen gehoor aan zouden geven.
Een maand later begon de AP een verkennend steekproefsgewijs onderzoek naar de mate waarin grote private organisaties (actief in 10 sectoren, waaronder zakelijke dienstverlening, bouw, handel en horeca) zich aan de privacyregels houden, met name of zij een verwerkingsregister bijhouden. Volgens de AP laat een organisatie met een dergelijk register zien dat de privacyregels serieus worden genomen. Een verwerkingsregister bevat informatie over de persoonsgegevens die een organisatie verwerkt en is in bijna alle gevallen verplicht[i].
In oktober bracht de AP naar buiten dat er ongeveer 130 ziekenhuizen en zorgverzekeraars gecontroleerd zijn op het feit of er een Functionaris Gegevensbescherming was aangesteld. De zorginstellingen hadden de zaakjes goed geregeld; alle gecontroleerde ziekenhuizen en zorgverzekeraars hielden zich netjes aan de regels.
Na eerder overheidsinstanties en zorginstellingen op dit punt te hebben gecontroleerd, was het in november de beurt aan banken en verzekeraars om open kaart te spelen. Deze organisaties kwamen minder goed uit de bus; op het moment van controle hadden 6 banken en 9 verzekeraars van de 45 banken en 93 verzekeraars nog geen FG aangesteld. Zij kregen de gelegenheid om dit alsnog te doen. Verder heeft de AP gecontroleerd of de contactgegevens van de wel aangestelde functionarissen eenvoudig terug te vinden waren op de websites van de gecontroleerde bedrijven. Daar bleken 7 banken en 14 verzekeraars de fout in te gaan. Ook zij kregen tijd om dit te verbeteren. De AP verlangt een direct lijntje met de FG, wat betekent dat er een direct telefoonnummer, e-mailadres, postadres of contactformulier moet worden vermeld. De naam van de FG hoeft overigens niet te worden vermeld, dat er direct contact kan worden gezocht is voldoende.
In deel twee zal ik ingaan op het onderwerp van de AVG waar zo voor gevreesd werd: de torenhoge boetes. Of wordt de soep niet zo heet gegeten als opgediend? Stay tuned voor deel 2!
[i] Een verwerkingsregister is verplicht voor organisaties met meer dan 250 medewerkers of wanneer een van de volgende situaties van toepassing is:
- De verwerking van persoonsgegevens is niet incidenteel. In de praktijk zijn verwerkingen zelden incidenteel. Denk bijvoorbeeld aan de persoonsgegevens van medewerkers die u verwerkt. Of van uw klanten, cliënten, patiënten of inwoners.
- U verwerkt persoonsgegevens die een hoog risico inhouden voor de rechten en vrijheden van de personen van wie u persoonsgegevens verwerkt.
- U verwerkt persoonsgegevens die vallen onder de categorie bijzondere persoonsgegevens. Zoals gegevens over godsdienst, gezondheid en politieke voorkeur of strafrechtelijke gegevens.
Meer weten over de AVG of over de dienstverlening van Netflex Legal in het algemeen? Neem gerust contact met ons op via 088-6383590 of info@netflexlegal.nl!