Update AVG: Acties Autoriteit Persoonsgegevens
De Autoriteit Persoonsgegevens (AP) heeft de afgelopen zomermaanden vaart gezet achter het toezicht houden op naleving van de privacyregels.
Controles
Zo heeft de AP een grote hoeveelheid ziekenhuizen en zorgverleners gecontroleerd. Bij deze controles is nagegaan of deze instellingen al een Functionaris Gegevensbescherming (FG) hadden aangesteld. Dat is namelijk volgens de Algemene Verordening Persoonsgegevens voor dergelijke grote instellingen verplicht*.
Een kleine hoeveelheid gecontroleerde instellingen had nog niet aan deze verplichting voldaan. Deze instellingen hebben van de AP een termijn van vier weken gekregen om alsnog een FG aan te stellen. Ook is er gecontroleerd of deze instellingen de contactgegevens van hun FG op de website hadden gezet. Dit was bij een stuk meer van de zorginstellingen in orde.
Verplichting aanstellen FG
De meeste bedrijven in het MKB zijn niet verplicht om een FG aan te stellen. De impact van deze controleactie van de AP is in dat opzicht voor MKB-ers niet groot.
Voor bepaalde bedrijven kan het echter interessant zijn om een vrijwillige Privacy Officer aan te stellen, bijvoorbeeld wanneer u veel consumentengegevens verwerkt of personeel detacheert.
Communiceer in dat geval dat u een Privacy Officer hebt en deel de gegevens van de Privacy Officer in de privacyverklaring op uw website.
Impact voor MKB
Voor MKB-ondernemers zijn de volgende acties van de AP meer van belang:
- Opleggen van dwangsommen wegens het niet volledig voldoen aan de inzageplicht
De AP heeft recent een grote zakenbank veroordeeld om een dwangsom te voldoen wegens het niet (correct) verstrekken van inzage van persoonsgegevens aan een betrokkene die dit verzocht. Het recht op inzage is één van de rechten die betrokkenen hebben op grond van de AVG. De bank kreeg een termijn van vier weken van de AP om alsnog de betrokkene inzage te verlenen, echter kwam vast te staan dat de bank niet tijdig en zorgvuldig aan dit recht heeft voldaan.De bank beriep zich op een uitspraak van de rechtbank Den Haag, waarbij is geoordeeld dat het inzagerecht door haar klant alleen gebruikt werd om bewijs te vergaren in een aansprakelijkheidsprocedure en aldus kon worden gezien als misbruik van recht.
De AP ging aan deze uitspraak van de rechter te Den Haag voorbij en oordeelde dat zij zorgvuldig zal omgaan met de beslissing van de rechter te Den Haag, maar zich daar niet gebonden door voelde nu de AP geen partij bij deze procedure was.Ook het verzoek van de bank om terughoudend met het verlenen van het recht van inzage om te gaan vond geen gehoor bij de AP. De AP is namelijk degene die bij wet toegewezen is om over de bescherming van persoonsgegevens te oordelen en zij zal dan ook een dergelijk verzoek in volle omvang beoordelen met inachtneming van het daarover in de Wbp bepaalde. Het verzoek om inzage werd gedaan in 2016, waardoor nog de oude wet “Wet bescherming van persoonsgegevens (Wbp)” van toepassing is.De conclusie van de AP luidt dat de bank aan het inzageverzoek van de betrokkene dient te voldoen. Vanwege het feit dat naderhand werd geconstateerd dat de gegevens die aan de betrokkene zijn verstrekt niet volledig waren, wordt een boete van € 48.000 opgelegd en ingevorderd door de AP.
Alhoewel de boete is opgelegd aan een bank en velen duizenden euro’s betreft, is voor MKB-ondernemers vooral van belang dat de rechten van betrokkenen zorgvuldig en strikt dienen te worden gewaarborgd. Bij verzoeken van betrokkenen* is het verstandig om deze tijdig ( in beginsel binnen vier weken) af te ronden en daar zo volledig mogelijk in te zijn. Bedrijven dienen ook aan hun informatieplicht te voldoen door klanten en werknemers over hun rechten te informeren. Voor werknemers kan dat in een privacyverklaring of in een personeelshandboek. Voor klanten is de privacyverklaring op de website dé manier om informatie over deze rechten te verstrekken. - Dwangsom wegens gegevens delen met alle medewerkersDaarnaast heeft de AP een dwangsom van €40.000 opgelegd aan de Nationale Politie wegens het niet voldoen aan één van de vijf verzoeken van de AP binnen de door de AP gestelde termijn. Voor alle verzoeken werd een dwangsom van € 200.000 opgelegd. Aan vier van de vijf maatregelen heeft de Nationale Politie gevolg gegeven.
Deze hoge dwangsom werd aan de Nationale Politie opgelegd omdat alle medewerkers ongeacht hun functie toegang hadden tot het systeem waarbij alle inkomende en uitgaande personen en goederen in het Schengengebied werden gecontroleerd.
De AP acht het van zeer groot belang dat alleen die specifieke persoonsgegevens beschikbaar zijn voor de medewerkers van de Nationale Politie, die deze ook daadwerkelijk voor de uitoefening van hun functie nodig hebben. De AP gaf daarbij aan dat er regelmatig en proactieve controle op de logbestanden dient te zijn.Voor het MKB geldt, op grond van de AVG, ook de verplichting dat er goede organisatorische en technische maatregelen dienen te zijn om de bescherming van persoonsgegevens te waarborgen. ICT-systemen waar uw onderneming vaak gebruikt van maakt dienen hieraan te voldoen. Technisch moet het mogelijk worden gemaakt om personen beperkte rechten te geven, zodat niet iedereen de persoonsgegevens van alle medewerkers en alle klanten kan inzien. Daarbij is controle op rechtmatige toegang , bijvoorbeeld door middel van logbestanden van groot belang. Ook organisatorisch dienen de systemen zo ingeregeld te zijn dat alleen bepaalde functies toegang tot alle persoonsgegevens hebben, denk daarbij bijvoorbeeld aan de directie of de HR afdeling.
Deze actualiteiten geven aan dat de AVG grote impact op uw onderneming kan hebben. Wij staan u graag bij met al uw vragen rondom de AVG en de uitwerking van bepaalde verplichtingen in uw geval.
* Voor de uitleg van deze begrippen: lees onze [Download niet gevonden]
mw. mr. Judith van der Woude en mw. mr. drs. Shyreen Panday, senior bedrijfsjuristen bij de Raadgevers.