AVG & AP: 8 ontwikkelingen en actualiteiten

Op 28 januari 2019 is het alweer de 13e Europese dag van de Privacy. Een jaar geleden keken we vooruit naar de AVG, nu ligt 25 mei 2018 al ruim een half jaar achter ons. Vanaf die datum kan de Autoriteit Persoonsgegevens (AP) de Algemene Verordening Gegevensbescherming (AVG, ook wel GDPR genoemd) handhaven.

Wat heeft de AP al gedaan? Zijn er al AVG boetes? Waar controleert de AP vooral op? Welke klachten liggen er op het bord van de AP en wat staat er op de handhavingskalender?

De komende periode zullen we acht interessante ontwikkelingen en actualiteiten met betrekking tot de Autoriteit Persoonsgegevens en de AVG bespreken.

Ieder jaar rond de dag van de privacy maakt de Autoriteit Persoonsgegevens (AP) haar agenda bekend. In die agenda staat welke privacy-onderwerpen extra aandacht krijgen het komend jaar.

Ieder jaar zijn er een aantal vaste speerpunten zoals de beveiliging van persoonsgegevens, de verwerking van gevoelige gegevens en gegevens van kwetsbare groepen. Denk bijvoorbeeld aan gegevens van kinderen of zieken. En ook de omgang met gegevens van werknemers heeft altijd de bijzondere aandacht van de AP.

Net na 25 mei 2018 is de Autoriteit Persoonsgegevens (AP) gestart met het uitvoeren van controles op de formele verplichtingen uit de AVG.

Hebben alle overheidsinstanties, zorginstellingen en banken een Functionaris voor de Gegevensbescherming (FG)? Houden grote ondernemingen een register van verwerkingsactiviteiten bij en hebben zij verwerkersovereenkomsten gesloten met hun verwerkers? Hoe ziet het privacybeleid eruit bij zorginstellingen en politieke partijen?

De beveiliging van persoonsgegevens is al lange tijd een topprioriteit van de Autoriteit Persoonsgegevens (AP). Ook sinds de komst van de AVG is dit niet anders. Al meerdere organisaties zijn op de vingers getikt door de AP, omdat de beveiliging niet voldoende op orde is, zoals het UWV en de Nationale Politie.

De AP geeft ook regelmatig aanwijzingen over de invulling van de beveiligingseisen. 

Werkgevers hebben tal van mogelijkheden om (automatisch) allerlei informatie over hun personeel te verzamelen. Bijvoorbeeld via cameratoezicht, telefooncentrales, e-mail en internetgebruik, track & trace systemen en toegangspoorten. Dit is niet verboden, mits de controle voldoet aan de voorwaarden uit de AVG en de Uitvoeringswet op de AVG (UAVG).

Met welke voorwaarden moet de werkgever rekening houden? Welke rol heeft de Ondernemingsraad hierin? En hoe kijkt de Autoriteit Persoonsgegevens (AP) hier tegenaan?

Op deze Europese dag van de privacy van 28 januari 2019, ruim een half jaar nadat de AVG van kracht is, heeft de Autoriteit Persoonsgegevens (AP) nog geen AVG boete opgelegd. De eerste boete die de AP oplegde na 25 mei 2018 aan Uber was nog voor een overtreding van de Wet bescherming persoonsgegevens, de voorganger van de AVG.

De voorzitter van de AP, Aleid Wolfsen, heeft wel aangekondigd dat er binnenkort meer boetes zullen volgen.

Wat doe je als de Autoriteit Persoonsgegevens (AP) opeens op de stoep staat voor een onderzoek binnen jouw organisatie?

De AP heeft verschillende onderzoeksbevoegdheden, zoals het vorderen van inlichtingen, het vorderen van inzage of zelfs binnentreden. Bij het uitoefenen daarvan dient de AP zich te houden aan allerlei procedurele regels.

Het filmen van personen is aan de orde van de dag. Het gebeurt bijvoorbeeld op straat, in de trein en op het werk.

Dat mag als aan de voorwaarden van de AVG en de Uitvoeringswet op de AVG (UAVG) wordt voldaan. Welke voorwaarden zijn dat? Wat vindt de Autoriteit Persoonsgegevens (AP) van het gebruiken van camerabeelden en foto’s?

In mei 2019 zullen we stilstaan bij alle acties die de Autoriteit Persoonsgegevens (AP) tot dat moment heeft uitgevoerd. Daarbij zullen we aandacht besteden aan de lessen die daaruit zijn te trekken en hoe je de risico’s op handhaving zo klein mogelijk kunt houden.

Heb je vragen over het praktisch toepassen van de AVG binnen je organisatie of wil je weten hoe de Autoriteit Persoonsgegevens (AP) handelt? Neem dan contact op met één van onze privacy specialisten Chantal Grouls of Marieke Thijssen.