HOME  / ONLINE PRODUCTENNextendum Nieuws / Nieuwsbericht

Actualiteiten Autoriteit Persoonsgegevens

Door de huidige corona crisis is de AVG niet onze eerste prioriteit maar raakt de AVG veel aspecten waar de samenleving op dit moment mee worstelt. Om maar eens wat te noemen: hoe ga je zorgvuldig om met gezondheidsgegevens? of hoe waarborgen we de beveiliging van persoonsgegevens nu zoveel mensen acuut vanuit huis zijn gaan werken?

De Autoriteit Persoonsgegevens (AP) toont in ieder geval begrip voor het feit dat we op dit moment de AVG niet in alle situaties 100% kunnen volgen.

In deze AVG Nieuwsbrief gaan we uitvoerig in op het standpunt over de verwerkersrol die door diverse beroepsorganisaties in Richtsnoeren zijn vastgelegd en hoe accountantskantoren met dit gewijzigde standpunt kunnen omgaan.

Daarnaast is er aandacht voor veilig thuiswerken en een resumé van relevante actualiteiten van de afgelopen periode.

AP geeft organisaties meer tijd vanwege coronacrisis

De AP geeft overheden en bedrijven tijdens de coronacrisis ruimte om zich te concentreren op de bestrijding van corona. Zo krijgen organisaties waar nodig meer tijd om te reageren op vragen van de AP en geeft de AP initiatieven om de volksgezondheid te beschermen ruim baan. De toezichthouder zal ingrijpen waar privacy echt in gevaar is.

De AP zal organisaties de ruimte geven hun volledige aandacht te besteden aan het bestrijden van de gevolgen van de coronacrisis.

Deadlines voor het aanleveren van informatie aan de toezichthouder worden opgerekt waar nodig en de AP zal de komende tijd per geval goed kijken wat passend is en wat niet.

Veel zorgorganisaties hebben een manier om beveiligd te beeldbellen, maar sommige niet. De AP geeft aan: ‘gebruik als het echt niet anders kan consumentenapps als FaceTime of Skype. Maar wees daarbij voorzichtig: doe het alleen bij hoge uitzondering en deel via die apps zo min mogelijk gevoelige gegevens.’

Privacy blijft heel belangrijk en ‘De coronacrisis mag geen excuus worden om de privacy helemaal overboord te gooien. De crisis mag geen opmaat worden naar een big brother-maatschappij”, aldus de AP.

Datalekmeldingen blijven stijgen

In 2019 ontving de Autoriteit Persoonsgegevens (AP) bijna 27.000 datalekmeldingen. Dat is een stijging van 29% ten opzichte van 2018. Sinds de invoering van de meldplicht datalekken in 2016 blijft het aantal meldingen stijgen. De AP legt de komende jaren in het toezichtwerk extra nadruk op de digitale overheid en licht om die reden de datalekmeldingen binnen de sector openbaar bestuur uit in haar jaarlijkse rapportage.

In 2019 ontving de AP 4.624 datalekmeldingen uit de sector openbaar bestuur. Dit zijn 27% meer meldingen dan in 2018. Het grootste aantal datalekmeldingen binnen de sector openbaar bestuur is afkomstig van gemeenten (33%), gevolgd door de Rijksoverheid (25%) en verplichte sociale verzekeringen (20%).

Centrale en lokale overheden beschikken over een grote hoeveelheid – vaak gevoelige en bijzondere – persoonsgegevens, zoals burgerservicenummers en gegevens over zorg en maatschappelijke dienstverlening.

Het gaat met name om wettelijke en/of onvrijwillige verwerking van gegevens en burgers kunnen niet terecht bij een alternatieve dienstverlener. Datalekken in deze sector kunnen daarom grote impact hebben op burgers.

De AP ontving dit jaar een kwart (25%) meer meldingen naar aanleiding van hacking, phishing of malware-incidenten dan in het jaar daarvoor. Vooral grotere organisaties, die persoonsgegevens van veel mensen verwerken, lijken hier doelwit van.

Datalekken door hacking, phishing of malware leveren meestal een hoog risico op voor de mensen om wiens gegevens het gaat. Hackers kunnen met de verkregen gegevens bijvoorbeeld identiteitsfraude proberen te plegen of een abonnement op andermans naam afsluiten.

Nederland loopt binnen de EU voorop op het gebied van digitalisering en is – samen met Duitsland en het Verenigd Koninkrijk – koploper waar de meeste datalekken worden gemeld.

Door de hoge mate van digitalisering van de Nederlandse maatschappij is het risico op grote en ernstige datalekken in Nederland relatief hoog. Het vereist extra aandacht voor fundamentele vraagstukken als privacybescherming en cybersecurity.

Organisaties lijken zich onder meer door de nieuwe privacywet meer bewust te worden van de meldplicht datalekken. Maar de AP ziet door tips en klachten die zij ontvangt dat niet alle meldplichtige datalekken door organisaties worden gemeld.

In 2019 zijn 28 onderzoeken gestart bij organisaties die (mogelijk) een datalek hadden moeten melden aan de AP en/of de betrokken personen en dat niet of te laat hebben gedaan. Per geval wordt bekeken of, en zo ja, welke actie of sanctie passend is.

AP vervolgt campagne met informatie over persoonsgegevens van zieke werknemers

Wat mag je als werkgever vragen aan een werknemer die zich ziek meldt? Wat mag je vastleggen in zijn/haar personeelsdossier? En wat mag je over die werknemer vertellen aan zijn of haar collega’s? Ondernemers stellen de Autoriteit Persoonsgegevens (AP) hier regelmatig vragen over. In het laatste kwartaal van 2019 vervolgt de AP de campagne ‘Wat betekent de privacywet voor jou(w bedrijf)?’ met praktische informatie voor ondernemers over de verwerking van persoonsgegevens van hun zieke werknemers. Zoals antwoorden op de meest gestelde vragen en een privacyvideo over wat je mag vastleggen over je zieke werknemer.

Op de werkvloer gelden specifieke privacyregels rondom het vastleggen van informatie bij ziekte. Gezondheidsgegevens zijn bijzondere persoonsgegevens. Deze gegevens worden extra beschermd door de privacywet.

Maar de privacywet geeft een werkgever wel de ruimte om de noodzakelijke informatie over zieke werknemers vast te leggen. Bijvoorbeeld informatie om te laten beoordelen of de werkgever het loon moet doorbetalen. Een werkgever moet hierbij rekening houden met de privacy van de zieke werknemers.

In reactie op de meest gestelde vragen, heeft de AP de informatie over wat je mag vastleggen over zieke werknemers uitgebreid. Bestaande QenA’s zijn aangepast, er zijn nieuwe QenA’s toegevoegd en de AP biedt een privacyvideo over wat je mag vastleggen over zieke werknemers. Deze informatie deelt de AP via de campagnewebsite hulpbijprivacy.nl en social media.

AP bepleit wettelijke waarborgen voor kredietregistratie

De AP heeft de minister van Financiën geadviseerd om nieuwe wetgeving in gang te zetten die ervoor zorgt dat bij kredietregistratie vastgelegde persoonsgegevens beter worden beschermd.

Kredietaanbieders mogen niet zomaar een krediet verstrekken. Om overkreditering te voorkomen, moeten zij eerst voldoende informatie inwinnen over de kredietwaardigheid van de klant. Om aan deze zorgplicht invulling te geven, moeten ze onder meer aangesloten zijn bij een stelsel van kredietregistratie.

Ondanks dat de wet dus zorgplichten oplegt en deelname aan het stelsel van kredietregistratie verplicht is, zijn er geen wettelijke regels voor de verwerking van persoonsgegevens om die verplichtingen uit te voeren.

De wetgever heeft dus niet afgewogen en vastgelegd wie wat wanneer mag met welke persoonsgegevens, wie het stelsel beheert en hoe lang kredietgegevens nog mogen worden bewaard na afloop van een krediet.

In de praktijk is BKR de organisatie die in Nederland de kredietregistratie uitvoert en ook bepaalt hoe met de gegevens wordt omgegaan. BKR registreert van miljoenen mensen gevoelige persoonsgegevens (krediet, betalingsachterstanden).

De AP stelt dat het aan de wetgever is om waarborgen vast te leggen voor de bescherming van persoonsgegevens bij kredietregistratie. En daarbij het algemene belang van het voorkomen van overkreditering expliciet af te wegen tegen het grondrecht op bescherming van persoonsgegevens.

Ook kan wetgeving waarborgen dat gegevens niet verloren kunnen gaan of in handen kunnen komen van onbevoegden. Bijvoorbeeld bij een faillissement.

Verder kan gedacht worden aan bepalingen over de beheerder van het stelsel (zoals financiering, benoeming en wat te doen bij taakverwaarlozing). Het vormgeven van kredietregistratie als goed afgebakende – en van commerciële activiteiten te onderscheiden – wettelijke taak van een wettelijk aangewezen beheerder biedt daarbij onmiskenbaar een duidelijke grondslag om persoonsgegevens te mogen verwerken, aldus de AP.

De AP adviseert dan ook wetgeving tot stand te brengen:

  • waarbij de inbreuk op het grondrecht van degene die krediet heeft of wil expliciet wordt afgewogen tegen het algemene belang om overkreditering te voorkomen;
  • die het beheer van een stelsel van kredietregistratie als wettelijke taak aan een bepaalde beheerder opdraagt;
  • die zorgt voor duidelijke waarborgen voor de betrokkenen en voor een goede taakuitvoering.

Forse stijging privacy klachten in 2019

In 2019 dienden ruim 27.800 mensen een klacht in bij de Autoriteit Persoonsgegevens vanwege een mogelijke privacy schending. Dat is bijna 79 procent meer dan in 2018. Ondanks maatregelen om klachten sneller af te handelen, blijft de capaciteit van de privacy toezichthouder onvoldoende om burgers snel genoeg te helpen.

De AP ontving afgelopen jaar 27.800 privacy klachten en handelde in 2019 20.700 klachten af. Dit gaat zowel om klachten die in 2018 zijn ingediend als om klachten ingediend in 2019. In 2019 verrichtte de AP 138 onderzoeken naar aanleiding van klachten. Bij 25 daarvan is een overtreding geconstateerd. Die onderzoeken leiden tot een boete of een andere sanctie. Een groot deel van de klachten handelde de AP op een andere manier af. Bijvoorbeeld door een brief met de uitleg van de privacyregels te sturen aan de organisatie die vermoedelijk de regels overtreedt. Of door de te bemiddelen tussen de indiener van de klacht en de organisatie waarover de klacht ging. De AP start in de toekomst graag vaker een onderzoek naar aanleiding van een klacht, wanneer ze daar voldoende capaciteit voor heeft.

De AP handelde in 2019 meer klachten af dan in het jaar daarvoor: afgelopen jaar handelde de AP 67 procent van de klachten af, tegenover 56 procent in 2018. De AP heeft in 2019 namelijk maatregelen getroffen om de wachttijden voor burgers die een klacht indienen terug te dringen, waaronder een prioriteringsbeleid. ‘Ondanks die maatregelen zijn klachten nog steeds langer in behandeling dan wij wenselijk vinden’, zegt Wolfsen. ‘Met het huidige aantal medewerkers kunnen wij de meeste klachten pas na zes maanden in behandeling nemen. Dat moet anders: mensen hebben recht op bescherming van hun privacy en moeten daarvoor snel terecht kunnen. Daarom zijn wij ook erg blij dat het ministerie van Justitie en Veiligheid samen met ons opdracht heeft gegeven tot een onderzoek naar onze capaciteit en de financiering die daarvoor nodig is.’ Dat onderzoek is naar verwachting in mei 2020 klaar.

De meeste klachten (29%) gaan over een schending van een privacyrecht, zoals het recht op inzage en het recht op verwijdering. Mensen krijgen bijvoorbeeld geen of geen volledige inzage in hun gegevens als ze daarom vragen of ondervinden drempels als zij persoonsgegevens verwijderd willen hebben. Verder gingen veel klachten over ongevraagde reclame (15%) en over organisaties die persoonsgegevens doorgeven aan derden terwijl zij dit niet weten of willen. Zij worden dan bijvoorbeeld gebeld door onbekende bedrijven met aanbiedingen.

De sterke stijging van het aantal klachten ten opzichte van het jaar daarvoor is voor een deel te verklaren door de invoering van de Algemene Verordening Gegevensbescherming (AVG) op 25 mei 2018. Na invoering van die privacywet was het aantal privacy klachten veel hoger dan daarvoor. Daarnaast kwamen er in de tweede helft van 2019 minder klachten binnen dan in de eerste helft. Die daling is waarschijnlijk vooral te verklaren doordat de AP in de tweede helft van 2019 het bestaande klachtenproces heeft verbeterd. Zo lanceerde de AP in de tweede helft van 2019 een vernieuwd klachtenformulier op de website, waardoor onbedoelde klachten worden voorkomen.

bron: Autoriteit Persoonsgegevens

iOS touchscreen gebruikers: Voor delen 2 keer tikken