Over controle door de Autoriteit Persoonsgegevens
Gastblog: Carolien Brederije - Advocaat (Partner) Valegis Advocaten en Mickey Haasnoot - Privacy Officer Dutch Privacy Officers
Vanaf 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. De nieuwe privacywetgeving zorgt voor ingrijpende veranderingen in de bescherming van persoonsgegevens. Voor organisaties gelden meer verplichtingen om zorgvuldig met persoonsgegevens om te gaan. De Autoriteit Persoonsgegevens (AP) bewaakt de naleving van deze verplichtingen door onafhankelijk onderzoek te doen naar (mogelijke) overtredingen.
De AP controleert
Sinds de invoering van de AVG controleert de AP regelmatig of organisaties alle vereisten uit de privacywetgeving naleven. Dat doet zij op eigen initiatief. Daarbij richt zij zich in het bijzonder op de overheid, de zorg en bedrijven die handelen in persoonsgegevens. Bij andere sectoren wordt echter ook opgetreden, bijvoorbeeld naar aanleiding van de actualiteit en naar aanleiding van klachten.
De AP startte in juli 2018 met een verkennend onderzoek om te achterhalen hoe goed grote organisaties de nieuwe Europese privacyregels naleven. Bij een willekeurige steekproef van 30 grote organisaties uit tien private sectoren onderzocht de AP of zij een register van verwerkingsactiviteiten bijhielden. Een verwerkingsregister bevat informatie over de persoonsgegevens die organisaties verwerken en het doel waarvoor zij de persoonsgegevens verwerken. Na controle bij 400 overheidsorganisaties, 91 ziekenhuizen en 33 zorgverzekeraars in augustus 2018, controleerde de AP in november 2018 ook bij 45 banken en 93 verzekeraars op de verplichting een Functionaris Gegevensbescherming (FG) aan te stellen en de contactgegevens van de FG bekend te maken. De FG is iemand die vanuit een onafhankelijke ositie binnen de organisatie toezicht houdt op de toepassing en naleving van de AVG. In bepaalde gevallen is het aanstellen van een FG verplicht.
In december 2018 heeft de AP bij 53 organisaties het privacybeleid opgevraagd. Het ging om bloedbanken, IVF-klinieken en gemeentelijke politieke partijen. Deze organisaties verwerken bijzondere persoonsgegevens over gezondheid en politieke voorkeur. Daarom zijn zij verplicht om in een privacybeleid of gegevensbeschermingsbeleid onder meer vast te leggen met welk doel zij persoonsgegevens verwerken, hoelang ze de gegevens bewaren en hoe de gegevens beveiligd worden.
De AP heeft in januari 2019 bij 30 private organisaties opgevraagd welke afspraken zij hebben met andere partijen wanneer die voor hen persoonsgegevens verwerken. Volgens de Europese privacyregels moeten deze afspraken vastgelegd zijn in een zogeheten verwerkersovereenkomst. De AP heeft informatie opgevraagd bij bedrijven in onder meer de energiesector, media en handel.
Verantwoordingsplicht
De AVG kent een verantwoordingsplicht. Organisaties moeten kunnen aantonen dat zij zich houden aan de privacywet. Het moet aantoonbaar zijn dat de verwerking van persoonsgegevens aan de belangrijkste beginselen van de AVG voldoet, zoals rechtmatigheid, transparantie, doelbinding en juistheid.
In de AVG wordt een aantal verplichte maatregelen genoemd waarmee organisaties aan hun verantwoordingsplicht (accountability) voldoen:
- Het opstellen en uitvoeren van een privacybeleid;
- Het opstellen en bijhouden van een verwerkingsregister;
- Het (indien verplicht) benoemen van een Functionaris Gegevensbescherming;
- Het uitvoeren van een Data Protection Impact Assessment (DPIA) voor gegevensverwerkingen met een hoog privacyrisico;
- Het implementeren van passende beveiligingsmaatregelen;
- Een register bijhouden van datalekken die zijn opgetreden;
- Verwerkersovereenkomsten aangaan met organisaties die namens de organisatie persoonsgegevens verwerken;
- Aantonen dat een betrokkene daadwerkelijk toestemming heeft gegeven voor een verwerking wanneer de verwerking berust op deze grondslag.
Het privacybeleid, het verwerkingsregister, de aanstelling van een FG (indien verplicht) en verwerkersovereenkomsten zijn bij verschillende organisaties in verschillende branches door de AP gecontroleerd. De focus in het toezicht ligt op de naleving van de verantwoordingsplicht. Het op orde hebben van de verantwoordingsplichten wil niet per definitie zeggen dat een organisatie volledig voldoet aan de AVG. Het is echter wel een goede indicatie van de mate waarin serieus werk is gemaakt van de implementatie van de AVG en dat is nagedacht over belangrijke onderdelen uit de AVG. Informatie over de uitkomsten van de controles moet het lerend vermogen van organisaties ten aanzien van de naleving van de AVG vergroten.
What’s next?
Wat wordt de volgende (verantwoordings)verplichting uit de AVG waar de AP haar toezicht op focust? Tot dusver heeft de AP vooral onderdelen gecontroleerd die zij bij organisaties kon opvragen. Interne, fysieke controles bij organisaties lijken tot dusver (nog) niet te hebben plaatsgevonden. De verwachting is dat de AP deze aanpak voortzet. De AP hanteert in haar toezicht een risicogerichte aanpak waarbij zij extra oog heeft voor verwerkingen die mogelijk een hoog risico voor betrokkenen inhouden. De kans is daarom groot dat de volgende controle de documentatie van uitgevoerde DPIA’s betreft. Als een verwerking waarschijnlijk een hoog privacyrisico oplevert voor betrokkenen, dan moet een organisatie de privacyrisico’s vooraf in kaart brengen met een DPIA.
Er zijn verschillende methodes om een DPIA uit te voeren. Organisaties kunnen zelf kiezen welke methode zij gebruiken, als zij maar aan de basisvereisten voldoen zoals die in de AVG staan beschreven. Zo moet een DPIA in ieder geval de volgende onderdelen bevatten: een systematische beschrijving van de gegevensverwerking en de doeleinden hiervan; een beoordeling van de noodzaak en de proportionaliteit van de verwerkingen; een beoordeling van de privacyrisico’s en de beoogde maatregelen om die risico’s aan te pakken. De AP kan deze documentatie bij organisaties opvragen ter controle. Daar waar veel (gevoelige) persoonsgegevens worden verwerkt, nemen de risico’s op en gevolgen van datalekken toe. Adequate beveiliging is dan ook van groot belang. Organisaties zijn verplicht om passende technische en organisatorische maatregelen te treffen voor de beveiliging van persoonsgegevens.
Maar wat is passend? Dit verschilt per organisatie, het is voor de AP moeilijker om dit op basis van documentatie op afstand te beoordelen. De AP heeft wel aangegeven in 2019 extra aandacht te schenken aan niet-gemelde datalekken en datalekken die (mede) zijn veroorzaakt door ernstige tekortkomingen in de beveiliging. Organisaties moeten alle datalekken documenteren en niet alleen de gemelde datalekken. Zij moeten een register van datalekken bijhouden
Tot slot
Als blijkt dat een organisatie niet voldoet aan haar verplichtingen, dan kan de AP een sanctie opleggen. Tot dusver hebben de door de AP uitgevoerde controles niet direct geleid tot sancties. Verzuimende organisaties werden in de gelegenheid gesteld om op korte termijn toch aan hun verplichtingen te voldoen. Laten zij het na om binnen de gestelde termijn aan hun verplichtingen te voldoen, dan zal de AP alsnog overgaan tot sancties.
Twijfel je of jouw organisatie aan de eisen van de AVG voldoet of heb je nog vragen over dit onderwerp? De privacyteams van Valegis Advocaten en Dutch Privacy Officers staan voor je klaar.