Controles op naleving Algemene Verordening Gegevensbescherming

31-07-2018

Het zijn roerige tijden voor de Autoriteit Persoonsgegevens (AP) maar nadat de Algemene Verordening Gegevensbescherming (AVG) per 25 mei jl. van kracht is geworden, is de AP toch onlangs begonnen met de controle op de naleving daarvan. De eerste pijlen werden gericht op overheidsorganisaties, maar nu zijn (ook) de private sectoren aan de beurt. Hieronder wordt ingegaan op de aspecten waarop de AP zich primair lijkt te richten.

Functionaris voor de Gegevensbescherming

Voor 25 mei jl. moesten organisaties die een Functionaris voor de Gegevensbescherming (FG) hebben aangesteld deze online aanmelden bij de AP. In bepaalde gevallen bestaat een verplichting voor organisaties om een FG aan te stellen. Deze verplichting geldt voor:

  • overheden en publieke organisaties;
  • organisaties die vanuit een kernactiviteit op grote schaal bijzondere persoonsgegevens (zoals medische gegevens) verwerken;
  • organisatie die vanuit een kernactiviteit op regelmatige en stelselmatige wijze betrokkenen observeren.

De verplichting om de FG aan te melden maakt dat de AP eenvoudig(er) kan controleren of aan de verplichting op grond van de AVG is voldaan. De eerste pijlen werden gericht op overheidsorganisaties. Zo heeft de AP onlangs ten aanzien van 400 overheidsorganisaties gecontroleerd of zij een FG hebben aangemeld. Daaruit bleek dat slechts een klein percentage (minder dan 4%) ‘mogelijk’ geen FG heeft aangesteld. Die organisaties zijn aangeschreven met het verzoek om een eventueel aangestelde FG alsnog aan te melden voor een bepaalde datum aan te melden. Blijft een aanmelding uit, dan kan de AP overgaan tot het opleggen van een sanctie.

De komende maanden zal de AP ook in de private sector controles op de aanstelling van een FG gaan uitvoeren. Dat die controles (mede) betrekking zullen hebben op de zorgsector ligt voor de hand omdat in die sector de aanwijzing van een FG al snel verplicht zal zijn.

Register van Verwerkingsactiviteiten

In de sectoren industrie en metaal, waterleidingbedrijf, bouw, handel, horeca, reisorganisatie, communicatie, financiële dienstverlening, zakelijke dienstverlening en zorg is de AP deze maand begonnen aan een willekeurige steekproef onder dertig grote organisaties. Gecontroleerd wordt of deze organisaties, die door het hele land zijn gelegen, een register van verwerkingsactiviteiten bijhouden. Op grond van de AVG heeft de AP de bevoegdheid om bij een verwerkingsverantwoordelijke het register van verwerkingsactiviteiten op te vragen. De AP kan op die manier controleren of de bedrijven voldoen aan de verplichting om een register bij te houden én of in het register de juiste informatie is opgenomen.

In een verwerkingsregister houdt een verwerkingsverantwoordelijke bij welke verwerkingsactiviteiten onder zijn verantwoordelijkheid plaatsvinden. Daarin worden onder meer opgetekend welke persoonsgegevens worden verwerkt en voor welke doeleinden. Het bijhouden van een dergelijk register is verplicht voor organisaties met meer dan 250 medewerkers (artikel 30, lid 5 AVG). Ook organisaties met minder dan 250 medewerkers kunnen verplicht zijn om (voor bepaalde verwerkingen) een register bij te houden als:

  • het waarschijnlijk is dat de verwerking een risico inhoudt voor de rechten en vrijheden van de betrokkenen;
  • de verwerking niet incidenteel is (zoals de verwerking van persoonsgegevens van medewerkers); of
  • de werking bijzondere categorieën van persoonsgegevens betreft.

Klachten

Tot slot is nog het signaleren waard per 25 mei jl. voor een betrokkene het recht bestaat om bij de AP een klacht in te dienen over het gebruik van persoonsgegevens bij de AP. Van deze mogelijkheid wordt volgens een nieuwsbericht van de AP flink gebruik gemaakt. In een tijdsbestek van iets meer dan een maand heeft de AP ruim 600 klachten heeft ontvangen van betrokkenen over de verwerking van hun persoonsgegevens.

Uit een analyse van de eerste 400 klachten blijkt volgens de AP dat bijna een derde van de klachten gaat over het niet (volledig) gehoor geven door verwerkingsverantwoordelijken aan een verzoek om verwijdering. Een ander substantieel deel gaat over de verstrekking van gegevens aan derden (18%) en 5% over inzageverzoeken.

Bijna 90% van de klachten gaat over bedrijven, de rest over overheidsinstanties. De AP heeft alle klachten in behandeling en zal twee keer per jaar (in algemene zin) rapporteren over de wijze waarop de klachten zijn afgehandeld.


Dit artikel is ook te vinden in het dossier AVG

Meer artikelen van Pot Jonker advocaten

Van onze partners

Examentraining CIPM / Certified Information Privacy Manager

→ Lees meer

Examentraining CIPP / E Certified Information Privacy Professional Europe

→ Lees meer

Seminar: Privacy en de gemeente

→ Lees meer

Nieuwsbrief

Blijf op de hoogte van het laatste nieuws over privacy, cybersecurity en data. Abonneer op onze gratis nieuwsbrief.

Abonneer