AVG & AP: controles door de Autoriteit Persoonsgegevens

Vanaf 25 mei 2018 voert de Autoriteit Persoonsgegevens (AP) controles uit op de formele verplichtingen uit de Algemene Verordening Gegevensbescherming (ook wel GDPR genoemd).

Op welke verplichtingen legt de AP in haar controles de nadruk? De Autoriteit Persoonsgegevens richt zich op de volgende verplichtingen:

Bovenstaande punten komen in deze blog uitgebreid aan bod. Dit is deel 2 van onze blogreeks: ‘AVG & AP: 8 ontwikkelingen en actualiteiten’.

Sommige organisaties zijn verplicht om een Functionaris voor de Gegevensbescherming aan te stellen. Dit is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de AVG. De volgende organisaties zijn ingevolge artikel 37 AVG verplicht tot het aanstellen van een FG:

Organisaties kunnen een Functionaris voor de Gegevensbescherming aanstellen door aanmelding bij de Autoriteit Persoonsgegevens. Daarnaast verplicht de AVG om de contactgegevens van de FG op te nemen in het verwerkingsregister en in de privacyverklaring.

De AP heeft bij verschillende soorten organisaties gecontroleerd of zij een FG hebben aangesteld. Daarbij heeft de AP gekeken naar het formele aspect of een FG is ingeschreven. Daarnaast heeft de AP gecontroleerd of de organisaties de (directe) contactgegevens van de FG bekend hebben gemaakt in de privacyverklaring. De AP acht deze verplichting belangrijk, omdat “privacy-issues snel en in vertrouwen gemeld kunnen worden bij de FG”. Het is niet noodzakelijk om daar de naam van de FG bij te vermelden, aldus de AP.

Niet is gebleken of de AP onderzoek heeft gedaan naar de positie, kennis en capaciteiten van de FG’s die zijn aangesteld. De organisaties die door de AP zijn gecontroleerd op deze verplichting zijn:

Inmiddels heeft nagenoeg iedere gecontroleerde organisatie een FG aangesteld met vermelding van de contactgegevens in de privacyverklaring. Het is jammer dat de AP geen aanbevelingen heeft gedaan met betrekking tot de inhoudelijke functie van de FG.

Op grond van artikel 30 AVG is het voor iedere organisatie verplicht om een verwerkingsregister op te stellen waarin alle verwerkingsactiviteiten staan. Zo bevat het register onder meer de categorieën persoonsgegevens, doeleinden van verwerking, categorieën betrokkenen en beveiligingsmaatregelen.

De Autoriteit Persoonsgegevens heeft door middel van een steekproef in 30 grote organisaties in private sectoren een verkennend onderzoek uitgevoerd over “hoe het staat met de kwaliteit van de verwerkingsregisters”. Hierbij heeft de AP gecontroleerd of de organisaties een verwerkingsregister bijhouden en of deze de juiste informatie bevatten.

Naar aanleiding van dit onderzoek heeft de AP een aantal aanbevelingen gedaan voor het opstellen van een verwerkingsregister.

Het is niet voor iedere organisatie verplicht om een privacybeleid op te stellen. Ingevolge artikel 24 AVG is dit verplicht “wanneer zulks in verhouding staat tot de verwerkingsactiviteiten”. Uit deze open norm blijkt dus niet welke organisaties verplicht zijn om een privacybeleid op te stellen.

De AP licht dit toe op haar website onder de vraag “wanneer is een gegevensbeschermingsbeleid volgens de AVG verplicht?”. Dit hangt af van de concrete omstandigheden, zoals de aard, de omvang, de context en het doel van de gegevensverwerking.

De AP controleert of organisaties die hiertoe verplicht zijn een privacybeleid hebben en of dit voldoet aan de eisen die de AVG daaraan stelt. De AP heeft het privacybeleid (ook wel ‘gegevensbeschermingsbeleid’) van 53 organisaties opgevraagd. Uit de aankondiging van dit onderzoek blijkt dat de Autoriteit Persoonsgegevens een privacybeleid in ieder geval verplicht acht voor bloedbanken, IVF-klinieken en politieke partijen.

De AP licht dit als volgt toe: “Zij verwerken bijzondere persoonsgegevens over gezondheid en politieke voorkeur. Deze persoonsgegevens moeten goed beschermd worden.”

De AVG bevat geen concrete eisen voor de inhoud van een privacybeleid. Ook dit licht de Autoriteit Persoonsgegevens toe op haar website, onder de vraag: “wat moet er volgens de AVG in een gegevensbeschermingsbeleid staan?”. Volgens de AP bevat een privacybeleid onder meer een omschrijving van de categorieën persoonsgegevens en doeleinden, hoe je voldoet aan de basisbeginselen en hoe je aan verzoeken van betrokkenen kunt voldoen. De uitkomst van de controle is nog niet bekend.

Hopelijk zal de AP duidelijkheid verschaffen over het al dan niet verplicht zijn tot het opstellen van een privacybeleid. Daarnaast zou het gewenst zijn als de AP een aantal bruikbare concrete aanbevelingen doet voor de inhoud van een privacybeleid.

We houden je op de hoogte!

Indien een organisatie gebruik maakt van diensten van een externe partij en in dat kader daarvan persoonsgegevens verstrekt aan deze externe partij, dan kan dit een verwerker zijn. In dat geval bestaat op grond van artikel 28 AVG de verplichting om afspraken vast te leggen in een overeenkomst (‘verwerkersovereenkomst’).

De Autoriteit Persoonsgegevens heeft van 30 private organisaties informatie opgevraagd over welke afspraken zij hebben gemaakt met andere partijen, indien die voor hen persoonsgegevens verwerken.

De AP gaat in haar nieuwsbericht specifiek in op de inhoud van een verwerkersovereenkomst. Er is niet bekend gemaakt op welke wijze AP de controle zal uitvoeren: zal zij ten aanzien van specifieke gevallen beoordelen wat de privacyrechtelijke rolverdeling is en of partijen verplicht zijn om een verwerkersovereenkomst te sluiten? Zal de AP de inhoud van de gemaakte afspraken beoordelen?

We wachten nog op de uitkomst van deze controle.

Met de Provinciale Statenverkiezingen in het vizier, heeft de AP bekendgemaakt dat zij onderzoek doet naar de wijze waarop politieke partijen omgaan met persoonsgegevens tijdens verkiezingscampagnes.

Politieke voorkeur is een bijzonder persoonsgegeven. Organisaties mogen dit gegeven alleen verwerken indien daar een wettelijke uitzondering voor is. De AP vindt dan ook dat deze gegevens “extra goed moeten worden beschermd”.

De AP benadrukt dat de vertrouwelijkheid en beveiliging van deze gegevens op orde moet zijn. Politieke partijen maken voor verkiezingscampagnes vaak gebruik van de diensten van externe organisaties, zoals marketingbureaus die potentiële kiezers via social media benaderen. De focus in deze controle ligt dan ook op organisaties die door politieke partijen worden ingehuurd met als doel campagne-uitingen gericht in te zetten op (groepen van) personen (‘microtargeting’).

Daarnaast richt het onderzoek zich op de vraag of en op welke wijze politieke partijen gegevens over potentiële kiezers registreren. De AP wijst op de grote hoeveelheid media-aandacht met betrekking tot gebruik van persoonsgegevens in politieke campagnes. Daarmee zal de AP in ieder geval verwijzen naar het Cambridge Analytica schandaal.

We moeten nog even afwachten wat de uitkomst zal zijn, omdat het onderzoek nog maar kort geleden is aangekondigd.

Uiteraard houden we je op de hoogte van de uitkomsten van de controles door de AP. Wil je meer weten over de AVG of de acties van de AP? Abonneer je dan op de blog update Ondernemerszaken en/of het thema Privacy.

Mocht je vragen hebben over privacy of de AVG, neem dan contact op met één van onze privacy specialisten Chantal Grouls of Marieke Thijssen