icon

Autoriteit Persoonsgegevens controleert op naleving AVG

De Algemene verordening gegevensbescherming is inmiddels zo’n twee maanden geleden van kracht geworden. Van de verschillende wijzigingen die de AVG met zich bracht, werd de invoering van ruimere boetebevoegdheden voor de nationale gegevensbeschermingsautoriteiten (in Nederland de Autoriteit Persoonsgegevens, AP) wel het meest gevreesd. Hoewel de AP ook vóór invoering van de AVG al over een dergelijke bevoegdheid beschikte (zij het iets beperkter), heeft zij daar in de praktijk geen gebruik van gemaakt. Is dat onder de AVG veranderd?

Voor zover bekend heeft de AP tot nog toe geen boetes opgelegd in verband met overtredingen van de AVG. Wel lijkt de autoriteit wat actiever gebruik te maken van haar toezichthoudende bevoegdheden, in het bijzonder waar het aankomt op de naleving van nieuw geïntroduceerde verplichtingen.

Zo heeft de AP begin juni, een week na inwerkingtreding van de AVG, bijvoorbeeld al gecontroleerd of overheidsinstellingen voldoen aan hun plicht om een functionaris voor de gegevensbescherming (FG) aan te wijzen en aan te melden bij de AP. De FG houdt toezicht op de naleving van de privacywetgeving binnen de organisatie, en heeft een onafhankelijke positie. De verplichting om een FG aan te wijzen geldt voor alle overheden, en daarnaast voor organisaties die als kerntaak hebben om op grote schaal mensen te observeren (denk aan beveiligingsbedrijven) en bedrijven die de verwerking van grote hoeveelheden bijzondere persoonsgegevens (zoals gezondheidsgegevens) als kerntaak hebben, zoals grote zorginstellingen. Liefst 96% van de ruim 400 gecontroleerde overheidsorganisaties bleek een FG te hebben aangemeld; de overige 4% had dat niet gedaan. Mogelijk hadden deze organisaties dus wel al een FG aangewezen, maar deze nog niet aangemeld bij de AP.

Deze week heeft de AP aangekondigd ook in de private sector te gaan controleren op de naleving van de AVG. In eerste instantie zal dit steekproefsgewijs gebeuren: bij enkele tientallen organisaties in diverse sectoren zal het register van verwerkingsactiviteiten worden opgevraagd. Bedrijven zijn verplicht om met betrekking tot elke verwerkingsactiviteit waarvoor zij als verantwoordelijke fungeren, enkele gegevens in zo’n register vast te leggen. Per verwerkingsactiviteit (bijvoorbeeld de loonadministratie) moet onder andere worden bijgehouden welke soorten persoonsgegevens worden verwerkt (salarisgegevens, rekeningnummer), op welke categorieën van personen die gegevens betrekking hebben (werknemers) en aan welke partijen deze gegevens worden verstrekt (boekhoudkantoor, Belastingdienst). Het register kan bijvoorbeeld in een spreadsheet worden bijgehouden, maar er zijn inmiddels ook verschillende programma’s voor dit doel op de markt.

Tot slot lijkt het erop dat mensen actief gebruik maken van hun recht om te klagen bij de AP over verwerkingen van hun persoonsgegevens. Eind juni hadden al 600 mensen een klacht ingediend over bedrijven en overheden die de AVG (in hun ogen althans) niet juist naleven. Een groot deel van de klachten ging over de afhandeling van verwijderingsverzoeken. Kennelijk gaan organisaties daar niet op een correcte manier mee om, of hebben veel mensen het idee dat een dergelijk verzoek altijd moet worden ingewilligd. Dat is echter niet het geval: als de verwerking voldoet aan alle voorwaarden van de AVG, zal verwijdering in de meeste gevallen niet nodig zijn.

De AP voert naar aanleiding van elke klacht onderzoekt uit. Een groot deel van de klachten zal ongegrond blijken, maar ongetwijfeld zullen er overtredingen van de AVG naar voren komen. Ik verwacht dat daarop wel enkele sancties zullen volgen. Dat zou een waarschuwing of een last onder dwangsom kunnen zijn, maar een eerste boete kan ook niet lang meer op zich laten wachten: de AP zal zeker een voorbeeld willen stellen om te laten zien dat zij geen tandeloze tijger is.

Heeft u vragen?

Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.
Autoriteit Persoonsgegevens controleert op naleving AVG

Schrijf u in voor onze nieuwsbrief

Schrijf u in voor onze nieuwsbrief