Algemene verordening gegevensbescherming (AVG)

Datum laatste wijziging: 24 juli 2020  |  Trefwoorden: , , , , , , , , , , , , , ,

Inhoud

  1. Op naar nieuwe Europese privacywetgeving
  2. Om welke privacygegevens gaat het?
  3. Functionaris voor de gegevensbescherming (FG)
  4. Bewaartermijnen persoonsgegevens
  5. Verwerkersovereenkomst (AVG)
  6. Geen automatische melding verwerken persoonsgegevens
  7. Recht op dataportabiliteit oftewel overdraagbaarheid van persoonsgegevens
  8. Werkgevers willen uitstel privacywet AVG, is gewoon onzin!
  9. Handleiding Algemene verordening gegevensbescherming
  10. Wet bescherming persoonsgegevens vervangen
  11. Uitvoeringswet AVG aangeboden aan de Tweede Kamer
  12. Uitvoeringswet AVG aangenomen door de Tweede Kamer
  13. Slechts kwart grote bedrijven voldoet al aan AVG
  14. AVG: niet meteen boetes voor sportclubs en kleine ondernemingen
  15. Persoonsgegevens van sollicitanten onder de AVG
  16. De Algemene Verordening Gegevensverwerking is gewoon een opgeklopte WBP
  17. Grootschalige gegevensverwerking in de zorg
  18. Geen uitzondering voor MKB in AVG
  19. Recht op inzage personeelsdossier onder AVG
  20. Wie is verantwoordelijk, u of uw leveranciers?
  21. AVG geeft niet per se recht op inzage in document zelf
  22. Regels AVG hinderen aanpak fraudeurs
  23. Werkgever blokkeert voortijdig e-mail account bij ontslag
  24. Museumkaart nodig voor bepalen woonplaats
  25. Fiscus stopt met flitsen voor bijtelling
  26. Nieuwsartikelen AVG
  27. Het tijdens sollicitatie niet melden medische beperkingen kan leiden tot ontslag
  28. Functionarissen gegevensbescherming geven vooral advies en begeleiding
  29. Google past Europese privacy voorwaarden aan
  30. Welke gegevens aanleveren aan verzuimverzekeraar?
  31. Zorgen en kennis op Europese Dag van de Privacy
  32. Nog amper boetes onder de AVG, maar blijft dat zo?
  33. Ervaringen AVG van non-profit organisaties
  34. Ervaringen AVG van profit organisaties
  35. AVG-koorts voorbij, maar problemen houden aan
  36. Gemeenten niet proactief met AVG
  37. Foto's van bedrijfsevenement vaak overtreding AVG
  38. Verzekeren tegen AVG-boete mogelijk
  39. Evaluatie AVG laat in 2019 veel knelpunten zien
  40. Nederlandse regering wil aanpassingen AVG
  41. Privacyverklaring ministerie van Sociale Zaken en Werkgelegenheid
  42. Werkwijze Belastingdienst in strijd met de wet en discriminerend
  43. Nieuwe rechtsvorm voor ondernemers met een maatschappelijke missie

Op naar nieuwe Europese privacywetgeving

Door de oprichting van Facebook in 2004 en Twitter in 2006 raakte de privacyrichtlijn in één keer achterhaald. De EU heeft in april 2016 een nieuwe wet aangenomen: Verordening 2016/679. In Nederland heet deze de Algemene Verordening Gegevensbescherming/AVG, of in het Engels: General Data Protection Regulation/GDPR). De Algemene Verordening Gegevensbescherming (AVG) treedt op 25 mei 2018 in werking. De AVG gaat de huidige wetgeving omtrent persoonsgegevens, de Wet bescherming persoonsgegevens (Wbp), vervangen.

De AP (Autoriteit Persoonsgegevens) heeft de 10 meest belangrijke stappen in kaart gebracht:
  1. Bewustwording in de organisatie. De relevante mensen in de organisatie (zoals beleidsmakers) moeten op de hoogte zijn van de nieuwe privacyregels.
  2. Rechten van betrokkenen. Organisaties moeten zorgen dat mensen hun rechten kunnen uitoefenen. Dat zijn de al bestaande rechten, zoals het recht op inzage en verwijdering van hun gegevens. Er zijn ook nieuwe rechten zoals het recht op dataportabiliteit, of wel het recht in om persoonsgegevens te ontvangen die een organisatie van hen heeft, deze zelf op te slaan of door te geven aan een andere organisatie. Ook kunnen werknemers bij de AP klachten indienen over de manier waarop de werkgever met hun gegevens omgaat.
  3. Overzicht verwerkingen. Organisaties moeten documenteren welke maatregelen getroffen zijn op het gebied van gegevensbescherming. Per categorie van gegevens moet duidelijk zijn welke wettelijke grondslag hieraan ten gronde liggen.
  4. Privacy impact assessment (PIA). Werkgevers kunnen verplicht worden een PIA uit te voeren. Het gaat hier om het in kaart brengen van de privacy risico’s van een gegevensverwerking. Tevens wordt verlangd maatregelen te nemen om de risico’s te verkleinen.
  5. Privacy by design & privacy by default. Privacy by design houdt in dat bij het ontwerpen van producten en diensten ervoor gezorgd wordt dat persoonsgegevens goed worden beschermd. Privacy by default houdt in de werkgever organisatorische maatregelen moet nemen om ervoor te zorgen dat alleen persoonsgegevens verwerkt worden die noodzakelijk zijn voor het specifieke doel dat men wil bereiken.
  6. Functionaris voor de gegevensbescherming. Er moet een functionaris gegevensbescherming (privacy officer) worden aangesteld. Deze functionaris ziet toe op de naleving van de privacy-wetgeving, informeert en adviseert, is de aanspreekpersoon voor de toezichthouder en voert risicoanalyses uit.
  7. Meldplicht datalekken. De AVG stelt strengere eisen aan de eigen registratie van de datalekken die zich in uw organisatie hebben voorgedaan. U moet alle datalekken documenteren. Met deze documentatie moet de AP kunnen controleren of aan de meldplicht wordt voldaan.
  8. Bewerkersovereenkomst vanaf 25 mei 2018 Verwerkersovereenkomst. Als de gegevensverwerking zijn uitbesteed aan een bewerker (ook wel verwerker genoemd) moet worden beoordeeld of de overeengekomen maatregelen in bestaande contracten met de bewerkers nog steeds toereikend zijn en voldoen aan de vereisten in de AVG. Zo niet, dan moeten tijdige noodzakelijke wijzigingen worden aangebracht.
  9. Leidende toezichthouder. Als de organisatie vestigingen in meerdere EU-lidstaten heeft, of hebben de gegevensverwerkingen in meerdere lidstaten impact, dan hoeft de werkgever met slechts één privacytoezichthouder zaken te doen. Dit wordt de leidende toezichthouder genoemd. Geldt dit voor uw organisatie, bepaal dan onder welke privacytoezichthouder u valt.
  10. Toestemming. De werkgever moet van alle betrokkenen toestemming krijgen om hun persoonsgegevens te verwerken. Ook moeten betrokkenen deze toestemming weer kunnen intrekken.
Tenslotte kan de AP “phishing”-aanvallen uitvoeren. Dat betekent dat aantallen medewerkers een nepmail ontvangen, waarin geprobeerd wordt hen te verleiden om een online vragenlijst in te vullen waarin ze gevoelige informatie moeten prijsgeven, e.d.

NB: Nieuwsberichten van de AVG treft u aan op internet.

Om welke privacygegevens gaat het?

Het gaat niet alleen om uw NAW-gegevens, zoals naam, e-mailadres, telefoonnummer en postcode. Het gaat ook om gegevens die herleidbaar zijn tot uw persoon, zoals een kenteken of een IP-adres. Verder gaat het om persoonlijke gevoelige gegevens en documenten, zoals uw seksuele geaardheid, uw paspoort, uw geheime gegevens (bijvoorbeeld uw wachtwoorden) of vertrouwelijke gegevens (bijvoorbeeld uw medisch dossier of uw BSN-nummer).

Functionaris voor de gegevensbescherming (FG)

Vanaf 25 mei 2018 kunnen organisaties verplicht zijn een functionaris voor de gegevensbescherming (FG) aan te stellen. Dit is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de AVG. Op grond van artikel 37 van de AVG is een FG in drie situaties verplicht:

  1. Overheidsinstanties en publieke organisaties altijd verplicht om een FG aan te stellen, ongeacht het type gegevens dat ze verwerken. Het kan gaan om de rijksoverheid, gemeenten en provincies, maar ook om bijvoorbeeld zorg- en onderwijsinstellingen. Voor rechtbanken geldt de verplichte aanstelling van een FG niet.
  2. Organisaties die vanuit hun kernactiviteiten op grote schaal individuen volgen. Het kan hierbij gaan om bijvoorbeeld profilering van mensen voor het maken van risico-inschattingen, cameratoezicht en monitoring van iemands gezondheid via wearables. Relevant hierbij zijn onder meer het aantal mensen dat een organisatie volgt, de hoeveelheid gegevens die deze organisatie verwerkt en hoe lang de organisatie mensen volgt.
  3. Organisaties die op grote schaal bijzondere persoonsgegevens verwerken en dit een kernactiviteit is. Bijzondere persoonsgegevens zijn bijvoorbeeld gegevens over iemands gezondheid, ras, politieke opvatting, geloofsovertuiging of strafrechtelijke verleden.
EU-lidstaten kunnen ook andere situaties benoemen waarin een FG verplicht is. Het is nog niet bekend of dit in Nederland gaat gebeuren.

Bewaartermijnen persoonsgegevens

Voor de Algemene verordening gegevensbescherming (AVG) gelden dezelfde regels voor het bewaren van persoonsgegevens als nu. Het uitgangspunt blijft dat u persoonsgegevens niet langer mag bewaren dan noodzakelijk voor het doel van uw verwerking.
Hoe lang u gegevens mag of moet bewaren verschilt per geval. Als verantwoordelijke moet u onder de AVG wel het volgende regelen:
  • U bepaalt van tevoren hoe lang u de persoonsgegevens bewaart. Als dat niet mogelijk is, bepaalt u in elk geval de criteria voor het vaststellen van de bewaartermijn.
  • U legt de bewaartermijn of de criteria vast in een bewaarbeleid.
  • U neemt de bewaartermijnen ook op in uw register van verwerkingen.
  • U informeert de betrokkenen (de mensen van wie u gegevens verwerkt) over de bewaartermijnen. Bijvoorbeeld via een privacyverklaring op uw website.
Er is op grond van de Wet bescherming persoonsgegevens (Wbp) geen concrete bewaartermijn voor persoonsgegevens. Organisaties bepalen zelf hoe lang zij persoonsgegevens bewaren. Hierbij kijken zij naar hoe lang de gegevens nodig zijn voor het doel waarvoor deze zijn verzameld of worden gebruikt.

Wel zijn er concrete bewaartermijnen in andere wetten waar organisaties zich aan moeten houden. Bijvoorbeeld op grond van belastingwetgeving. Een termijn van 5 jaar is meestal gebruikelijk. Maar er zijn gegevens in het personeelsdossier waarvoor het verstandig is deze langer te bewaren.

Verwerkersovereenkomst (AVG)

De Europese Privacy verordening “Algemene Verordening Gegevensbescherming (AVG)” verplicht organisaties, wanneer onder bepaalde omstandigheden persoonsgegevens worden verwerkt of bewerkt, een verwerkersovereenkomst op te maken.

Wat is een verwerkersovereenkomst?

De verwerkersovereenkomst - ook wel Privacy protocol genoemd - is de overeenkomst, die verplicht is, wanneer een bedrijf voor de verwerking van persoonsgegevens een ander bedrijf inschakelt.
In dit document wordt vastgelegd hoe de bewerker met de persoonsgegevens moet omgaan en regelt de verantwoordelijkheden bij de verwerking van deze gegevens

Wanneer is een verwerkersovereenkomst verplicht?

Veel ondernemingen schakelen andere ondernemingen in voor de verwerking van persoonsgegevens. Denk daarbij aan het laten verwerken van salarissen of een extern bureau dat uw e-mailmarketing of telefonische verkoop verzorgt, maar ook uw administratiekantoor, een externe helpdesk of payroll service. Onder de huidige en toekomstige wetgeving bent u verplicht met deze partijen een verwerkersovereenkomst af te sluiten waarin u opdracht, doel en middelen voor de gegevensverwerking vastlegt.

Wanneer gaat de AVG verwerkersovereenkomst in?

De verplichting tot het afsluiten van een verwerkersovereenkomst (nu nog bewerkersovereenkomst) bestaat al onder de huidige Wbp. Wie geen geldige overeenkomst heeft riskeert nu een boete tot negenhonderdduizend euro of een dwangsom. Met de vervanging van de Wbp door de AVG heeft elke onderneming een jaar de tijd gekregen, tot 25 mei 2018, om AVG-compliant te worden. U dient dus nu al voorbereidingen te treffen om een eventuele verwerkersovereenkomst in orde te maken.

Handhaving en boetes

Heeft u uw verwerkersovereenkomst niet op orde? Dan kunt u rekenen op sancties. De Autoriteit Persoonsgegevens (AP) heeft strenge handhaving op grond van de AVG afgekondigd, met fikse boetes wanneer u niet compliant bent. Deze kunnen oplopen tot maar liefst tien miljoen euro of 2% van de jaaromzet per overtreding!

Waarom een verwerkersovereenkomst?

Onder de Wet bescherming persoonsgegevens (Wbp) is de verwerkersovereenkomst (toen nog bewerkingsovereenkomst) in het leven geroepen om afspraken op papier te zetten over de verwerking van privacygevoelige informatie. Veel bedrijven waren zich destijds niet, en nu nog steeds niet, bewust van hun plicht tot het opstellen van een dergelijke overeenkomst. Met de Algemene Verordening Gegevensbescherming (AVG) die de Wbp per 25 mei 2018 gaat vervangen, is de inhoud en verplichting van de bewerkersovereenkomst echter flink aangescherpt. Vanaf dat moment zal het een verwerkersovereenkomst gaan heten.

Terminologie verwerkersovereenkomst

Om de verwerkersovereenkomst goed te kunnen begrijpen is het van belang de begrippen helder te hebben:
  • Verantwoordelijke of verwerkingsverantwoordelijke: elke organisatie die systematisch persoonsgegevens verwerkt of laat verwerken en daarbij doel en middelen voor de verwerking vaststelt. Denk hierbij aan een bedrijf dat persoonsgegevens van zijn werknemers bijhoudt met het oog op de salarisadministratie (naam, adres, bankrekeningnummer enz.). Het bedrijf is verantwoordelijk voor de gegevens
  • Bewerker of verwerker: de onderneming die persoonsgegevens bewerkt in opdracht en ten behoeve van de verantwoordelijke. Het bedrijf dat de salarisadministratie afhandelt zou dan de bewerker zijn.
  • Persoonsgegevens: alle informatie (dus ook bijvoorbeeld beeld en geluid) over een geïdentificeerde of identificeerbare natuurlijke persoon.
  • Betrokkene: de persoon van wie de persoonsgegevens worden verwerkt.

Voor wie is de verwerkersovereenkomst bedoeld?

De wet stelt nadrukkelijk dat een verwerkersovereenkomst verplicht is bij samenwerkingen waarbij de ene partij ten behoeve van de andere partij persoonsgegevens verwerkt, waarbij die andere partij doel en middelen van de verwerking vaststelt. Dat betekent dat de verwerker persoonsgegevens verwerkt volgens de aanwijzingen en enkel ten behoeve van de verantwoordelijke. Wanneer de verwerker de persoonsgegevens ook gebruikt voor eigen doeleinden, dan zijn beide partijen verantwoordelijke.

Wat moet minimaal in de verwerkersovereenkomst komen te staan?

De verwerkersovereenkomst moet waarborgen dat er wordt voldaan aan het realiseren van passende technische en organisatorische maatregelen opdat de verwerking aan alle vereisten voldoet, moet in de verwerkersovereenkomst minimaal het volgende zijn geregeld:
  • Duur van de gegevensverwerking
  • Doel van de gegevensverwerking
  • Manier waarop de vertrouwelijkheid is geregeld
  • Verplichtingen die gelden op het gebied van veiligheid en controle
  • Welke persoonsgegevens worden verwerkt
  • De specifieke taken en verantwoordelijkheden van de verwerker in verband met de rechten en bevoegdheden van de betrokkenen.
Over het algemeen horen onderstaande verplichtingen, afspraken en doelstellingen  in de verwerkersovereenkomsten opgenomen te worden.

Aansprakelijkheid
De wet bepaalt dat de verantwoordelijke kan worden aangesproken als iemand schade lijdt doordat de AVG niet wordt nageleefd. Dit geldt zelfs als de schade het gevolg is van nalatigheid van de bewerker, die in dat geval ook zelfstandig aansprakelijk is. Het is verstandig in de verwerkersovereenkomst heldere afspraken te maken over deze verplichtingen.
Audits
De verantwoordelijke moet kunnen controleren of de bewerker zich houdt aan de gemaakte afspraken. Dit gebeurt vaak in de vorm van een audit (onderzoek) door de verantwoordelijke of door een onafhankelijke derde. In de verwerkersovereenkomst kunnen partijen hier nadere afspraken over maken.
Beveiligingsmaatregelen
De verantwoordelijke draagt zorg dat de bewerker passende technische en organisatorische maatregelen neemt om de persoonsgegevens te beveiligen tegen inzage door onbevoegden, maar ook tegen verlies, brand, diefstal e.d.
Bewerking in overeenstemming met instructies verantwoordelijke
De bewerker mag de persoonsgegevens niet voor eigen doeleinden gebruiken, maar alleen om uitvoering te geven aan de instructies van de verantwoordelijke.
Geheimhouding
In deze bepaling wordt aan de bewerker een geheimhoudingsplicht opgelegd, eventueel gecombineerd met een boetebeding. Overigens is opzettelijke niet-naleving van deze geheimhoudingsplicht strafbaar gesteld in het Wetboek van Strafrecht.
Inschakelen van derden en onderaannemers
In de overeenkomst wordt vastgelegd of, en onder welke voorwaarden, de bewerker sub-bewerkers mag inschakelen.
Locatie van de data
De verantwoordelijke moet weten waar en eventueel in welke landen zijn data wordt opgeslagen. Dit is mede van belang met het oog op de verplichtingen die gelden bij doorgifte van persoonsgegevens naar het buitenland.

Een model van een verwerkersovereenkomst hebben wij voor u beschikbaar info@hr-kiosk.nl

De AVG wordt eerst op 25 mei 2018 wet. Op 6 april heeft de Autoriteit Persoonsgegevens aan de minister een Advies Wetsvoorstel gedaan voor de Uitvoeringswet AVG.
Dat neemt niet weg, dat wanneer u op grond van de AVG een verwerkersovereenkomst zou moeten hebben, u ook op grond van de WBP over een bewerkersovereenkomst moet beschikken.
Het is daarom verstandig om nu reeds een dergelijke overeenkomst op te (laten) stellen met de organisatie waarvoor of waardoor u persoonsgegevens laat verwerken.

Tegen een geringe vergoeding van € 90,00 (excl. BTW) kunnen wij u een model-verwerkersovereenkomst beschikbaar stellen. N.B. U moet deze wel zelf op maat maken, maar dat is grotendeels een “invuloefening”.
Voor specifieke afwijkende situaties willen wij u graag adviseren: info@hr-kiosk.nl

Geen automatische melding verwerken persoonsgegevens

Met ingang van 6 november 2017 hoeven organisaties in de praktijk geen melding meer te doen als zij persoonsgegevens verwerken. Op 25 mei 2018 wordt de Algemene verordening gegevensbescherming (AVG) van toepassing. Met de AVG vervalt de meldplicht. Tot 25 mei kunnen organisaties nog steeds een melding doen van een verwerking van persoonsgegevens, maar de Autoriteit Persoonsgegevens (AP) zal per 6 november 2017 niet handhaven op naleving van deze meldplicht. Alleen als er sprake is van een gegevensverwerking met een bepaald risico, blijft een melding verplicht. De administratieve lasten voor verantwoordelijken worden hiermee aanzienlijk verlicht.

Organisaties moeten een verwerking van persoonsgegevens met een bepaald risico (artikel 31, Wet bescherming persoonsgegevens) nog steeds melden bij de AP. Vervolgens doet de AP een voorafgaand onderzoek naar die gegevensverwerking.

Na 25 mei 2018 zijn organisaties verplicht een data protection impact assessment (DPIA) uit te voeren als een verwerking mogelijk een hoog risico inhoudt voor rechten en vrijheden van de betrokkenen. (Bron: Autoriteit Personeelsgegevens, 6 nov. 2017)

Recht op dataportabiliteit oftewel overdraagbaarheid van persoonsgegevens

Onder de AVG krijgen mensen het recht op dataportabiliteit, oftewel overdraagbaarheid van persoonsgegevens. Dit houdt in dat zij het recht hebben om de persoonsgegevens te ontvangen die een organisatie van hen heeft. Zo kunnen zij hun gegevens bijvoorbeeld makkelijk doorgeven aan een andere leverancier van dezelfde soort dienst.

In de AVG staat een speciaal artikel over toestemming. Hierin staat wat de voorwaarden zijn voor organisaties om geldige toestemming te krijgen van mensen om hun persoonsgegevens te verwerken. Zo moeten organisaties kunnen bewijzen dat zij geldige toestemming hebben gekregen. En moet het voor mensen net zo makkelijk zijn om hun toestemming in te trekken als om die te geven.

En dan komt nog het recht op vergetelheid. Het recht op vergetelheid houdt in dat organisaties in een aantal gevallen persoonsgegevens moeten wissen als een betrokkene hierom vraagt. Dit nieuwe recht lijkt op het huidige recht op correctie en verwijdering, maar is breder.

(Bron en meer : Autoriteitpersoonsgegevens, okt. 2017)

Werkgevers willen uitstel privacywet AVG, is gewoon onzin!

De Autoriteit Persoonsgegevens moet de nieuwe privacywet na invoering per mei 2018 niet direct handhaven. In plaats daarvan moeten ze inzetten op voorlichting en ondersteuning van (mkb-)bedrijven. Dat vinden MKB-Nederland en VNO-NCW.

Redactie: Dit is een opmerkelijk standpunt, waarmee kennelijk bedoeld wordt, dat de nieuwe wet ingewikkeld is en nog niet iedere organisatie de maatregelen kent. In de eerste plaats is de wet al een jaar geleden geannonceerd, dus bedrijven hadden zich al op de gevolgen kunnen voorbereiden. Maar in tegenstelling tot de beweringen dat de wet nog onbekend is, is het feit, dat deze Europese Wetgeving, vrijwel een kopie is van de bestaande wetgeving op de privacy (WBP) en alleen de boetes zijn veel hoger.
Wanneer een organisatie, waarop de nieuwe wet van toepassing is, zich wil indekken, is het verstandig om met relaties een “Verwerkersovereenkomst” af te sluiten, waarin alle wederzijdse verplichtingen m.b.t. gevoelige persoonsdata zijn vastgelegd.
Een dergelijke (concept)overeenkomst heeft HR-Kiosk voor haar relaties beschikbaar tegen een geringe vergoeding van € 100,00. Info@hr-kiosk.nl

Handleiding Algemene verordening gegevensbescherming

De Handleiding Algemene verordening gegevensbescherming en Uitvoeringswet Algemene verordening gegevensbescherming (AVG) is door het ministerie van Justitie en Veiligheid gepubliceerd. De handleiding biedt veel informatie en geeft daarnaast handige checklists.
De AVG is op 25 mei 2018 van toepassing in alle lidstaten van de Europese Unie. In deze handleiding zijn de belangrijkste bepalingen uit de Verordening en uit de Nederlandse Uitvoeringswet Algemene verordening gegevensbescherming toegelicht.
De handleiding vervangt de handleiding Wet bescherming persoonsgegevens (Wbp en is er voor iedereen die gegevens verwerkt, in het bijzonder voor medewerkers die hun organisatie willen voorbereiden op de eisen van de Verordening.
Omdat de Verordening een Europese wet is die door de Europese toezichthouder(s) en de Europese rechter nader zal worden ingevuld, wordt deze elektronische versie periodiek aangevuld en herzien.

Wat staat er in de handleiding?

De handleiding omvat bijna 100 pagina’s. De hoofdstukken, opgedeeld in (sub)paragrafen, betreffen:
  • Inleiding.
  • Stroomdiagrammen en checklists
  • De Algemene verordening gegevensbescherming
  • Is de Verordening op mijn gegevensverwerkingen van toepassing?
  • Is mijn gegevensverwerking legitiem?
  • Wat zijn mijn plichten als verwerkingsverantwoordelijke?
  • Wat zijn mijn plichten als verwerker?
  • Hoe ga ik om met de rechten van de betrokkenen?
  • Onder welke voorwaarden mag ik de gegevens naar het buitenland sturen?
  • Hoe is het toezicht op de naleving geregeld en wat zijn de consequenties bij niet-naleving?
  • Bijlage

Wet bescherming persoonsgegevens vervangen

De Verordening vervangt de Wet bescherming persoonsgegevens. De beginselen en uitgangspunten voor verwerking van persoonsgegevens zijn onder de Verordening grotendeels hetzelfde gebleven.

De Verordening legt meer verantwoordelijkheid bij degene die de persoonsgegevens verwerkt, de verwerkingsverantwoordelijke. Die moet vanaf 25 mei 2018 kunnen aantonen dat zijn gegevensverwerkingen voldoen aan de eisen van de Verordening en dat het niveau van beveiliging is afgestemd op de mogelijke risico’s van de gegevensverwerkingen voor degenen van wie de gegevens worden verwerkt (de betrokkenen). Dat vereist onder meer inzicht in de gegevensverwerking en een privacy beleid.

De verwerkingsverantwoordelijke moet ook tegemoet komen aan de rechten van betrokkenen die onder de Verordening zijn aangescherpt en uitgebreid zoals het recht van inzage, rectificatie en vergetelheid. Bij niet-naleving van de Verordening kan de Autoriteit Persoonsgegevens hoge boetes opleggen.

Zie deze Verordening.

Uitvoeringswet AVG aangeboden aan de Tweede Kamer

De Algemene verordening gegevensbescherming (AVG) zal op 25 mei 2018 de Wet bescherming persoonsgegevens vervangen en biedt het kader voor het werken met persoonsgegevens in heel Europa. De AVG heeft rechtstreekse werking. De Uitvoeringswet AVG (UAVG) voorziet in nationale regels die nodig zijn voor de uitvoering van de AVG en zal dus ook op 25 mei 2018 in werking treden.

De Tweede en Eerste kamer moeten nog akkoord gaan met het wetsvoorstel. De inhoud ervan kan nog wijzigen. Desondanks kunnen een aantal belangrijke onderwerpen uit de Ontwerp-Uitvoeringswet AVG worden genoemd die alvast goed zijn voor gemeenten om te weten:
  1. Toestemming van wettelijk vertegenwoordiger. De leeftijdsgrens van 16 jaar voor de verwerking van persoonsgegevens van kinderen op basis van toestemming is niet verlaagd naar 13 jaar (artikel 5 UAVG), wat op grond van de AVG mogelijk was (artikel 8, eerste lid, AVG).
  2. De AP mag behalve een boete ook een last onder bestuursdwang opleggen (artikel 16 UAVG). Dat betekent dat de AP een einde mag maken aan de overtreding (bestuursdwang) of een last onder dwangsom mag opleggen om een gemeente te dwingen de overtreding te beëindigen.
  3. Ook overheden kunnen boetes krijgen. Er heerst bij enkele overheden het misverstand dat overheidsinstanties geen boete kunnen krijgen voor overtreding van de AVG. Artikel 18 UAVG is daar duidelijk over: ook overheidsinstanties kunnen boetes krijgen van maximaal 10 respectievelijk 20 miljoen euro.
  4. Verwerkingsverbod bijzondere categorieën persoonsgegevens en algemene uitzonderingen (artikel 9 AVG en 22 UAVG). De UAVG bevat een verwerkingsverbod voor dezelfde bijzondere categorieën persoonsgegevens als onder de Wbp (ras/etniciteit, geloof, gezondheid, politieke opvattingen, vakbondsmaatschap, seksueel leven, etc), met uitzondering van persoonsgegevens van strafrechtelijke aard. Deze worden niet als bijzondere persoonsgegevens beschouwd maar is artikel 10 van de AVG van toepassing. In de artikelen 31 tot en met 33 UAVG is hiervoor een regeling getroffen.
  5. Biometrische gegevens. De UAVG bevat een specifieke regeling voor de verwerking van biometrische gegevens (onder de AVG is dit een bijzonder persoonsgegeven). De verwerking van biometrische gegevens is toegestaan voor authenticatie en beveiligingsdoeleinden.
  6. Besluit in de zin van de AWB. Een besluit op een verzoek van een burger om inzage, correctie, verwijdering, etc. is een besluit in de zin van de Algemene Wet Bestuursrecht (artikel 34 UAVG). Dat betekent dat tegen zo’n besluit gedurende een termijn van zes weken bezwaar en beroep open staat.
  7. Opschortende werking bezwaar en beroep. In artikel 38 UAVG staat dat de werking van een besluit tot het opleggen van een boete wordt opgeschort totdat op het beroep is beslist. Dit zal in de praktijk een extra prikkel zijn om een besluit aan te vechten. Zolang het besluit niet definitief is hoeft de boete immers niet te worden betaald.
  8. BSN. De verwerking van het Burger Service Nummer (BSN) blijft verboden, tenzij er sprake is van een grondslag op grond van de wet of een Algemene Maatregel van Bestuur (AMvB) (artikel 46 UAVG).

(Bron: VNG, 20 dec. 2017)

Uitvoeringswet AVG aangenomen door de Tweede Kamer

Bij de stemming op 13 maart 2018 werd naast het wetsvoorstel ook gestemd over zeven amendementen en zeven moties. Daarbij zijn twee amendementen aangenomen. De eerste neemt een bepaling in de Uitvoeringswet op waarin de AP wordt aangespoord om bij de toepassing van de AVG rekening te houden met kleine ondernemingen. Het tweede amendement heeft tot gevolg dat het College van de AP altijd uit drie leden moet bestaan.

Nu het wetsvoorstel voor de Uitvoeringswet door de Tweede Kamer is aangenomen, zal de Eerste Kamer nog over het wetsvoorstel stemmen. Hierbij kunnen echter geen amendementen meer worden ingediend. (Bron: Europa Decentraal, 13 mrt. 2018)

NB: De Uitvoeringswet Algemene Verordening gegevensbescherming (AVG) is door de Eerste Kamer op 15 mei 2018 aangenomen.

Slechts kwart grote bedrijven voldoet al aan AVG

Slechts 25 procent van de Nederlandse bedrijven met meer dan 500 werknemers in dienst voldoet aan de nieuwe privacywet AVG die per 25 mei in werking treedt. De boete voor het niet naleven kan in de miljoenen euro’s lopen.

Dat 75 procent van de bedrijven de gegevens van onder meer hun eigen werknemers niet veilig hebben gesteld, is opmerkelijk. Het gaat hier om persoonlijke gegevens van minstens 30.000 werknemers (75 procent van 40.000). Daar komen ook nog de gegevens bij van personen buiten de organisaties. Netiv: “Los van het feit dat organisaties enorm hoge boetes riskeren, doen bedrijven er verstandig aan om de bij hun opgeslagen persoonsgegeven op de juiste manier te beveiligen. Dat is gunstig voor het betrouwbaarheids-imago en uiteindelijk het vertrouwen dat mensen in het bedrijf hebben.” (Bron: HR Praktijk, 26 mrt. 2018)

AVG: niet meteen boetes voor sportclubs en kleine ondernemingen

Wat minister Dekker betreft kan de korfbalvereniging opgelucht ademhalen. En daarmee bedoelt hij elke sportclub en kleine onderneming. Bij de handhaving van de AVG/GDPR krijgen zij niet meteen een boete aan hun broek, ‘zolang de welwillendheid er is om aan de regels te voldoen’.

Dat heeft minister voor Rechtsbescherming Dekker gezegd in antwoord op Kamervragen. Bij de invoering van de wet op 25 mei ligt de nadruk in eerste instantie op voorlichting. Hij belooft dat er eind maart een brochure komt om de veranderingen van de wet inzichtelijk te maken voor kleine partijen als sportclubs, mkb’ers en zzp’ers. ‘Vrijwilligersverenigingen die niks bijzonders doen met persoonsgegevens hoeven er veel minder aandacht aan te besteden dan bedrijven die op grote schaal aan gegevensverwerking doen.’ (Bron: VraagHugo, 19 mrt. 2018)

NB: Gemeenten zullen niet direct beboet worden: 'De wetgeving leidt tot veel onzekerheid en onrust bij gemeenten, denkt de AP (maart 2018). De organisatie heeft via de Vereniging van Nederlandse Gemeenten (VNG) aangegeven dat er in de meeste gevallen niet meteen boetes worden uitgedeeld als op 25 mei de nieuwe privacyregels ingaan. Ook de minister gaf dat in een debat met de Tweede Kamer al eens aan, maar deze heeft geen zeggenschap over het doen en laten van de toezichthouder.'

Persoonsgegevens van sollicitanten onder de AVG

Ook de persoonsgegevens van sollicitanten vallen onder de AVG. Dit betekent onder meer dat de werkgever het CV van sollicitanten op tijd moet verwijderen of nadrukkelijk aan de sollicitant toestemming moet vragen of de gegevens bewaard mogen blijven, ook als deze voor een functie is afgewezen. Veel werkgevers bewaren de gegevens, omdat een sollicitant mogelijk later zich wel zou kunnen kwalificeren voor een nieuwe vacature.

Werving en selectieprocedure
Het is verstandig om een sollicitant vóór zijn sollicitatie een privacyverklaring voor te leggen en toestemming te vragen voor het verwerken van zijn gegevens en deze te mogen bewaren. Niet alleen dat u toestemming vraagt, maar u verklaart ook nadrukkelijk dat u met de gegevens vertrouwelijk omgaat.

Werving en selectie opnemen in de verwerkersovereenkomst
Door het werving- en selectieproces op te nemen in de privacyverklaring van uw organisatie kan de werkgever aangeven voor welke doeleinden en hoelang hij de gegevens uit het CV wil bewaren. Daarnaast kunnen in de privacyverklaring de rechten van de sollicitant staan, zoals het recht op inzage, het recht om bezwaar te maken tegen de verwerking van zijn gegevens en het recht op verwijdering van zijn gegevens.

Bewaartermijn
Voor het bewaren van het CV van een sollicitant kunt u de richtlijn van de Sollicitatiecode van de Nederlandse Vereniging voor Personeelsmanagement & Organisatieontwikkeling (NVP) aanhouden. Hierin is een bewaartermijn van maximaal vier weken opgenomen. Als een werkgever deze gegevens langer wil bewaren, heeft hij hiervoor toestemming nodig.
Heeft u op dit moment cv’s van sollicitanten langer dan een jaar in de database staan en waarvoor indertijd geen toestemming is gevraagd, dan moeten deze dus verwijderd worden. Een werkgever kan er uiteraard voor kiezen om alsnog toestemming te vragen aan de kandidaat als hij de gegevens langer wil bewaren.

De Algemene Verordening Gegevensverwerking us gewoon een opgeklopte WPB

Wat is er nu wezenlijk anders aan de AVG t.o.v. de Wet Bescherming Persoonsgegevens (WBP)? Alleen de hysterische aandacht en de hoge boetes die u in het vooruitzicht worden gesteld, maar feitelijk mocht u toch onder de WBP ook niet zomaar met persoonsgegevens rommelen en de privacy veronachtzamen.

Bij HR-kiosk kunt u zich opgeven voor de Nieuwsbrief. Al enige tijd sturen wij die echter niet meer, omdat wij (ook gezien de vele andere nieuwsbrieven, die uw e-mailbox vervuilen) het nut er niet zo van inzien. Onze mening is dat, wanneer u informatie zoekt op het gebied van HR, u toch wel gaat zoeken op onze website. En als het Nieuws u interesseert zult u, ook zonder onze aanmoediging, wel naar de Nieuwsrubriek gaan. Daarom zullen we ook in de toekomst geen Nieuwsbrieven meer sturen, maar wel dagelijks het belangrijkste Nieuws brengen en de wetgeving bijhouden.

Dat ontslaat ons ook van de plicht, die wij volgens de AVG moeten naleven, om uw toestemming te vragen of wij u (regelmatig) berichten mogen toesturen. Het bestand met adressen van diegenen die zich hebben aangemeld voor de Nieuwsbrief hebben wij verwijderd.
We hebben overigens op basis van de Wet Bescherming Persoonsgegevens al jaren geleden een “Privacy statement” gemaakt.
Lees ons oordeel over de AVG.

Grootschalige gegevensverwerking in de zorg

Bij een grootschalige verwerking vereist de nieuwe privacywet dat een FG (Functionaris voor de gegevensbescherming) nodig is en moet in bepaalde gevallen een DPIA worden gedaan. Voor huisartsenpraktijken en instellingen voor medisch specialistische zorg, niet zijnde ziekenhuizen, beschouwt de AP een verwerking grootschalig bij meer dan 10.000 patiënten. De verwerking van persoonsgegevens van ziekenhuizen, apotheken (geen solistisch werkende zorgverlener), huisartsenposten en zorggroepen is altijd grootschalig.

De Algemene verordening gegevensverwerking (AVG) bevat een aantal verplichtingen voor organisaties die op grote schaal bijzondere persoonsgegevens verwerken en dit als kerntaak hebben. Deze organisaties moeten verplicht een functionaris voor de gegevensbescherming aanstellen en in bepaalde gevallen een DPIA* doen. In de zorg hebben organisaties vrijwel altijd als kerntaak het verwerken van bijzondere persoonsgegevens omdat zij medische gegevens verwerken. (Bron: Autoriteit Personeelsgegevens, 31 mei 2018)

* Een Data Protection Impact Assessment (DPIA) is een instrument ter ondersteuning van de implementatie en/of naleving van de bepalingen van de Algemene verordening gegevensbescherming (AVG). Een DPIA brengt de effecten op privacybescherming in kaart als gevolg van een verandering in de verwerking van persoonsgegevens of bij de ontwikkeling van nieuwe producten of diensten. Inhoudelijk is er geen verschil tussen een PIA en een DPIA.

Geen uitzondering voor MKB in AVG

Staatssecretaris Keijzer van Economische Zaken voelt er niets voor om het MKB tegemoet te komen met meer duidelijkheid over de normen onder de AVG, zoals de registerplicht en de vraag welke dataopslag wel en welke niet onder de AVG valt. Dat schrijft ze in reactie op Kamervragen naar aanleiding van zorgen bij MKB’ers.

Leden van de Tweede Kamer hadden vragen gesteld over de plichten van ondernemers onder de nieuwe privacywetgeving en de onduidelijkheid daarover. Die baren veel ondernemers zorgen. “Aan deze zorgen is mijns inziens al voldoende tegemoet gekomen”, schrijft de staatssecretaris. “De Rijksoverheid heeft namelijk een aantal hulpmiddelen beschikbaar gesteld om ondernemers te helpen bij het voldoen aan de vereisten uit de AVG. Naast de Handleiding Algemene Verordening Gegevensbescherming heeft het ministerie van Justitie en Veiligheid, met medewerking van VNO-NCW en MKB-Nederland, de brochure “De Algemene verordening gegevensbescherming: wat betekent deze Europese wet voor jou als ondernemer?” gepubliceerd. (Bron: Accountancyvanmorgen, 11 jul. 2018)

Recht op inzage personeelsdossier onder AVG

De AVG is van toepassing op de geheel of gedeeltelijke geautomatiseerde verwerking van persoonsgegevens, en ook op de verwerking van persoonsgegevens die in een bestand zijn of worden opgenomen. Niet duidelijk is of het personeelsdossier van de werknemer geautomatiseerd wordt verwerkt, bijvoorbeeld in een online-database of op de computer opgeslagen documenten. Wanneer dat het geval is, valt het personeelsdossier onder het materiële toepassingsgebied van de AVG.

Ook voor zover het personeelsdossier door de werkgever niet geautomatiseerd wordt verwerkt, oordeelt de rechter dat een personeelsdossier meerdere kenmerken bevat die zodanig met elkaar samenhangen dat al die gegevens naar de werknemer zijn te herleiden. Het personeelsdossier is in dat geval aan te merken als ‘bestand’. Daarmee staat vast dat de werknemer bescherming geniet onder de AVG. De betrokkene heeft onder meer het recht om – wanneer duidelijk is dat zijn persoonsgegevens worden verwerkt – inzage te verkrijgen van die persoonsgegevens. Daarnaast heeft hij recht op de verstrekking van een kopie van zijn persoonsgegevens die worden verwerkt. (Bron: Jurisprudentie, d.d. 25 juli 2018)

Recht op kopie personeelsdossier

In een andere situatie vordert een werknemer bij de rechter in het kader van op te starten mediation alle stukken in zijn personeelsdossier, omdat hij daar volgens de Algemene verordening gegevensbescherming (AVG) recht op heeft. De werkgever weigert de stukken af te geven, omdat de werknemer deze stukken al heeft dan wel bekend hiermee is. Wat zegt Rechtbank Den Haag?

Uitzonderingen

Artikel 41 van de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG) noemt een paar uitzonderingen waarin het recht op inzage valt te weigeren. Het gaat dan bijvoorbeeld om de bescherming van de openbare veiligheid of de onafhankelijkheid van de rechter.

Al bekend of verstrekt

De werkgever voert aan dat de stukken waarvan de werknemer nu een kopie vraagt al eerder aan hem zijn verstrekt of dat hij met de gegevens die daarin staan bekend is of moet zijn, zoals bijvoorbeeld gegevens omtrent zijn ziekteverzuim en ziekteverloop. Dit behoort echter niet tot de uitzonderingen genoemd in artikel 41 UAVG.
Bekendheid met gegevens is geen grond voor het niet verstrekken van stukken.

Administratieve kosten

Verder is in de AVG vastgelegd dat voor het verstrekken van bijkomende kopieën geen andere kosten in rekening mogen worden gebracht dan een redelijke vergoeding op basis van de administratieve kosten. Daaruit volgt dat de betrokkene ook om een kopie kan vragen van stukken die al eerder (ooit eens) zijn verstrekt.
Volgens de kantonrechter heeft de werknemer dan ook een rechtmatig belang bij afgifte van de stukken in zijn personeelsdossier die hem niet al na zijn verzoek zijn verstrekt. De kantonrechter vindt ook dat de werknemer daarbij een spoedeisend belang heeft. Hij heeft een conflict met zijn werkgever en het is voor hem van belang om te weten wat er in zijn personeelsdossier zit.
De werkgever heeft de wettelijke termijn van 1 maand niet in acht genomen en zonder bevel van de kantonrechter is niet te verwachten dat de werkgever de werknemer binnen een redelijke termijn zal geven waarop hij recht heeft.

Dwangsom

Oplegging van een dwangsom, als stimulans tot nakoming van de te geven beslissing, acht de kantonrechter aangewezen. De op te leggen dwangsom wordt gematigd en gemaximeerd.
De werkgever moet binnen drie werkdagen na het vonnis een kopie van de stukken waarin zij persoonsgegevens van de werknemer heeft verwerkt aan de werknemer overhandigen. Gebeurt dit niet dan volgt een dwangsom van 500 euro per dag dat de werkgever hiermee in gebreke blijft, met een maximum van 10.000 euro.

Wie is verantwoordelijk, u of uw leveranciers?

Voor veel facilitaire systemen waarop de Algemene Verordening Gegevensbescherming (AVG) van toepassing is - zoals camerasystemen en toegangscontrolesystemen - geldt dat de facilitaire organisatie deze aan leveranciers heeft uitbesteed. Maar wie hoort nu precies wat te doen en wie is nu precies waarvoor verantwoordelijk?

De AVG legt door een verantwoordingsplicht meer verantwoordelijkheid bij organisaties om aan te tonen dat ze aan de regels voldoen. Een organisatie door of voor wie de gegevens verzameld wordt, wordt een verwerkingsverantwoordelijke genoemd. De verwerkingsverantwoordelijke - voor het gemak opdrachtgever - blijft verantwoordelijk voor alles wat er met de door of namens zijn organisatie verzamelde gegevens gebeurt. De opdrachtgever is en blijft verantwoordelijk voor alles wat er binnen zijn organisatie gebeurt maar ook voor alles wat er door leveranciers mee gedaan wordt. Zou de Autoriteit Persoonsgegevens een boete opleggen dan komt hij in eerste instantie bij de opdrachtgever uit, deze is immers aansprakelijk.

In principe kan de verwerker dus alleen aansprakelijk worden gesteld in die gevallen waarbij de verwerker handelt in strijd met de instructies en afspraken zoals vastgelegd in de verwerkersovereenkomst. (Bron: F-Facts, 22 aug. 2018)

AVG geeft niet per se recht op inzage in document zelf

De Algemene Verordening Gegevensbescherming (AVG) geeft geen recht op inzage in het document als zodanig. Dat stelt staatssecretaris Snel in antwoord op Kamervragen. Specifiek was de vraag of de burger recht heeft op inzage in notities betreffende telefoongesprekken met de Belastingdienst.

Snel: "Een burger heeft alleen recht op inzage in zijn eigen persoonsgegevens. Voor zover aan de met het recht op inzage nagestreefde doelstelling volledig kan worden voldaan met een andere vorm van verstrekking, kan een betrokkene noch aan de AVG noch aan artikel 8, lid 2, van het Handvest van de Grondrechten van de Europese Unie het recht ontlenen om een afschrift te verkrijgen van het originele document of bestand waarin die gegevens staan. Teneinde een burger geen toegang te geven tot andere informatie dan de hem betreffende persoonsgegevens, kan hij een afschrift krijgen van het originele document of bestaand waarin die andere informatie onleesbaar is gemaakt.

"Het inzagerecht geeft dus geen recht op het document c.q. de telefoonnotitie als zodanig, maar slechts op zijn/haar in de telefoonnotitie opgenomen persoonsgegevens. Eventuele persoonlijke overwegingen en/of juridische analyses vallen buiten het bereik van het inzagerecht; zie de uitspraak van het Hof van Justitie van de Europese Unie van 17 juli 2014 (C-141/12 en C-372/12; ECLI:EU:C:2014:2081)." (Bron: VVP, 7 sep. 2018).

Regels AVG hinderen aanpak fraudeurs

De Algemene Verordening Gegevensbescherming (AVG) is nu een tijdje van kracht in Nederland, maar er mag in de praktijk nog wel wat bijgestuurd worden. Dat heeft belangenorganisatie MKB-Nederland laten weten tijdens een overleg in de Tweede Kamer.

Een van de knelpunten: bestrijding van fraude. Bij het aanpakken van fraudeurs ‘over sectoren heen’ werken de privacyregels ondernemers tegen, aldus MKB-Nederland. Tussen verschillende sectoren mogen namelijk geen gegevens worden uitgewisseld over fraudeurs. En dat maakt de aanpak er niet makkelijker op, omdat fraudeurs geregeld in verschillende sectoren actief zijn. Ondernemersorganisaties pleiten ook al langer voor een frauderegister naar Brits voorbeeld. (Bron en meer: Rendement, 1 okt. 2018)

Werkgever blokkeert voortijdig toegang tot e-mailaccount van werknemer waarvan overeenkomst niet wordt verlengd.

Als van een werknemer de arbeidsovereenkomst niet wordt verlengd, kan het handig zijn om zijn zakelijke e-mailaccount nog even aan te houden of de mails automatisch door te sturen naar een collega. Maar houdt de werkgever dan voldoende rekening met de privacy van de ex-werknemer? En mag de werkgever dat account dan voortijdig blokkeren?

Veel werkgevers willen zicht houden op e-mails van klanten of relaties die na uitdiensttreding nog binnenkomen op het zakelijke mailaccount van een ex-werknemer. Toch is het de vraag of dit is toegestaan; de werkgever maakt hiermee immers inbreuk op de privacy van de ex-werknemer. Op grond van de Algemene Verordening Gegevensbescherming zijn er twee grondslagen waar de werkgever in zo’n geval een beroep op zou kunnen doen: toestemming en het gerechtvaardigd belang.

Zakelijke mail inzien mag, privémail niet
Het is niet verstandig of toegelaten om op grond van de toestemmingsvereiste uit de AVG om de informatie te gebruiken vanwege de gezagsverhouding tussen een werkgever en (ex-) werknemer. Wel zou de werkgever het zakelijke e-mailaccount van de ex-werknemer kunnen aanhouden op basis van een gerechtvaardigd belang. De werkgever heeft immers een bedrijfsbelang om klanten of relaties die het oude e-mailadres gebruiken alsnog te helpen. Bij het inzien van de e-mails moet de werkgever voorkomen dat hij (of collega’s) privémails bekijken die op het zakelijke e-mailaccount eventueel nog binnenkomen. In de praktijk is dit uiteraard wel lastig te controleren.

Privémail gebruiken in een zakelijk conflict
Het is uiteraard niet toegestaan dat de werkgever vervolgens privé mail gebruikt ter ondersteuning van bewijs in een rechtszaak m.b.t. het ontslag. Een dergelijk bewijs is eveneens niet toegestaan.

Termijn verbinden aan inzien e-mailaccount
Daarnaast moet de werkgever een bepaalde termijn verbinden aan het inzien van het e-mailaccount van de ex-werknemer. Hoelang deze termijn kan zijn, hangt onder meer af van de functie die de ex-werknemer uitoefende. Als hij een commerciële functie had met veel klantcontact, zal een langere termijn zijn toegestaan dan bijvoorbeeld bij een administratieve functie. Gemiddeld genomen is een periode van zes maanden na uitdiensttreding redelijk.

Redactie: Het zal in de praktijk moeilijk zijn om privé mail te onderscheiden van zakelijke mail, behalve wanneer de werkgever te kwader trouw zal zijn

Museumkaart nodig voor bepalen woonplaats

De gegevens van een museumkaart zijn volgens de Belastingdienst een van de puzzelstukjes die meer duidelijkheid moeten geven over de woonplaats van een persoon naar wie onderzoek plaatsvindt. Het gebeurt geregeld dat informatie bij derden wordt opgevraagd over mogelijk belastingontduikers, bepleitte de advocaat van de Staat tijdens een kort geding op de rechtbank in Amsterdam.

Daarbij gaat het vaak om privacygevoelige gegevens, zoals informatie van een lidmaatschap van een sportclub, creditcardbetalingen of geldopnames. De Belastingdienst wil via de civiele rechter de Stichting Museumkaart ertoe dwingen informatie te verstrekken over data en locaties in een periode van ruim drie jaar waarop deze kaarthouder musea heeft bezocht. De stichting weigert de informatie te verstrekken omdat ze de privacy van de kaarthouders wil beschermen. Bovendien bieden de gegevens geen garantie dat de betreffende musea daadwerkelijk door deze persoon zijn bezocht. (Bron: Welingelichte Kringen, 1 nov. 2018

De Museumvereniging moet de gegevens van een Museumkaarthouder aan de Belastingdienst geven voor onderzoek naar het al dan niet belastingplichtig zijn van die kaarthouder. Het belang van de privacy van de kaarthouder weegt niet op tegen het algemeen belang van ‘een correcte belastingheffing’, zo heeft de kortgedingrechter in Amsterdam donderdag 15-11-2018 bepaald.

Fiscus stopt met flitsen voor bijtelling
Er is geen enkele manier waarop de Belastingdienst camerabeelden van snelwegen kan gebruiken om te controleren of zakelijke rijders hun auto niet te veel privé gebruiken zonder hun privacy ernstig te schaden, dus de fiscus stopt met deze praktijk.

Een zakelijke rijder mag maximaal 500 kilometer per jaar privé kilometers in zijn auto maken zonder bijtelling (en daarover belasting) te hoeven betalen. Bij flitscontroles kunnen alle kentekens van het langsrijdend verkeer worden vastgelegd. De Belastingdienst kan door het combineren van al deze foto’s precies weten hoeveel er met een auto wordt gereden, waar en wanneer. Maar al deze data bewaren, is een te grote inbreuk op de privacy van miljoenen Nederlanders. (Bron: De Telegraaf, 1 nov. 2018)

Nieuwsartikelen AVG

Wat je ook van de Algemene Verordening Gegevensbescherming (AVG) vindt, het is in ieder geval een ijverige club. Vanaf begin januari 2014 - tot midden november 2018 zijn niet minder dan 152 nieuwsartikelen verschenen. Het eerste nieuwsartikel van januari 2014 - toen nog College Bescherming Persoonsgegevens (CBP) geheten - luidde 'Instemmingsrecht OR bij geheim cameratoezicht' en op 13 november 2018 mochten we 'Microsoft moet privacy van producten bij Rijksoverheid verbeteren' verwelkomen.

Wie wil kijken of hij/zij iets over het hoofd heeft gezien, is er de site van Rendement die alle nieuwsartikelen bijhoudt.

Het tijdens sollicitatie niet melden medische beperkingen kan leiden tot ontslag

Het hof bekrachtigt het vonnis van de kantonrechter. Het is niet de werkgever die tekort is geschoten maar de werknemer. Die heeft in de sollicitatieprocedure zijn beperkingen niet gemeld. Lees de jurisprudentie d.d. 25 september 2018.

Redactie: Tijdens de sollicitatie is het vanwege privacy verboden vragen over de gezondheid c.q. medische beperkingen te stellen. Aan de andere kant is de sollicitant wel verplicht eventuele medische problemen tijdens het sollicitatiegesprek te melden. Gek eigenlijk.

Functionarissen gegevensbescherming geven vooral advies en begeleiding

Het merendeel van de Nederlandse functionarissen gegevensbescherming (fg’s) houdt zich vooral bezig met advies en begeleiding. Zij geven in mindere mate invulling aan hun toezichthoudende verantwoordelijkheid, die ze via de AVG hebben verkregen.

Meer bijzonderheden van de fg's (hoewel de steekproef klein was):
  • Qua achtergrond is 93 procent hoogopgeleid (hbo/wo-niveau), waarvan ruim de helft een juridische opleiding heeft.
  • De meeste fg’s hebben een dienstverband voor onbepaalde tijd en rapporteren, in de rol van senior medewerker, rechtstreeks aan een bestuur of algemeen directeur.
  • Fg’s ervaren voldoende ondersteuning van bestuurders, maar beschikken niet over een eigen budget.
  • De functie wordt veelal op deeltijdbasis uitgevoerd: voor 29 procent is dat slechts één dag per week of zelfs minder.
(Bron: Computable, 4 dec. 2018)

Google past Europese privacy voorwaarden aan 

Om aan de Europese privacyregels van de Algemene Verordening Gegevensbescherming (AVG) te voldoen, verandert Google de privacyregels en gebruiksvoorwaarden. Deze worden per 22 januari 2019 van kracht.

De eerste en grootste verandering in het nieuwe privacybeleid van Google is dat Google Ireland Limited de serviceprovider wordt voor Europese Economische Ruimte en Zwitserland. Dit houdt in dat Google Ireland Limited de gegevensbeheerder voor gebruikersinformatie wordt. Per 22 januari 2019 kunnen Europese autoriteiten data opvragen bij Google Ireland Limited. (Bron: Rendement, 27 dec. 2018)

Welke gegevens aanleveren aan verzuimverzekeraar?

Een organisatie kan diverse verzekeringen afsluiten om het ziekte- en arbeidsongeschiktheidsrisico van werknemers af te dekken. Verzekeringen betreffen het risico van de loondoorbetalingsplicht bij ziekte, het eigenrisicodragerschap voor de Ziektewet (ZW) en de Werkhervattingsregeling voor gedeeltelijk arbeidsgeschikten (WGA) en verzekeringen voor de bovenwettelijke aanvullingen op de Wet werk en inkomen naar arbeidsvermogen (WIA).

Wat het aanleveren van data aan een verzekeraar betreft, wordt onderscheid gemaakt tussen de gegevens die een organisatie mag verstrekken vóór het sluiten van een verzekeringsovereenkomst (zodat de verzekeraar een offerte kan uitbrengen) en de gegevens die een organisatie mag verstrekken op het moment dat er daadwerkelijk een contract wordt gesloten. Met nadruk wordt gesteld dat het verboden is inzicht te geven in de medische situatie van de werknemer (dus geen diagnose). (Bron en meer: Rendement, 15 jan. 2019)

Zorgen en kennis op Europese Dag van de Privacy

Jaarlijks is het op 28 januari de Europese Dag van de Privacy. Dit jaar een mooi moment om te evalueren of de AVG het gewenste effect heeft. De Autoriteit Persoonsgegevens heeft met oog op de Europese Dag van de Privacy via onderzoek ingezoomd op privacyzorgen onder Nederlanders.

Privacy is een grondrecht. De Algemene verordening gegevensbescherming (AVG) is in het leven geroepen om dit grondrecht te vertalen naar handvatten voor burgers en organisaties. In de aanloop naar de Europese Dag van de Privacy liet de Autoriteit Persoonsgegevens onderzoek doen naar privacy zorgen (pdf) onder een representatieve groep van 1.002 Nederlanders. Die zorgen bleken er te zijn: 94% van de ondervraagden uitte in mindere of meerdere mate zorgen over de bescherming van hun persoonsgegevens. Als een organisatie een kopie van het identiteitsbewijs (tool) vraagt, is 85% bang dat deze in verkeerde handen valt en dat dit mogelijk tot misbruik van de persoonsgegevens leidt. Nog eens 73% is er niet gerust op dat het BSN-nummer veilig is. (Bron en meer zorgen: Fundament, 28 jan. 2018)

Nog amper boetes onder AVG, maar blijft dat ook zo?

De Autoriteit Persoonsgegevens (AP) heeft pas één boete uitgedeeld. Dat staat in haar jaarverslag over 2018. De AP heeft zich echter voorgenomen in 2019 strenger te zijn.
Bij de annoncering van de Algemene Verordening Gegevensverwerking (of –beheer) (AVG) in 2016, werden organisaties vooral opgeschrikt door de torenhoge boetes bij het overtreden van de “privacyregels” van de wet AVG, die inhoudelijk niet zoveel verschilden van de Wet Bescherming Persoonsgegevens.(WBP)

De AVG, de Europese privacywet is sinds 25 mei 2018 van toepassing . Organisaties gingen vorig jaar daarom actief aan de slag om hun privacybeleid in overeenstemming met de AVG te brengen. De AP richtte zich in 2018 met name op voorlichting en advisering. De handhaving van de AVG met zware middelen was nog beperkt.

Boete voor privacyovertredingen

In het jaarverslag staat dat de Autoriteit Persoonsgegevens één boete heeft opgelegd in 2018. Deze boete (€ 600.000) was voor taxidienst Uber, die zich niet goed aan de regels voor het melden van een datalek had gehouden. Opvallend is dat gister in het nieuws kwam in 2018 (€ 50.000). Werknemers hadden toegang gekregen tot medische dossiers, terwijl zij daar niet toe bevoegd waren.

AP zal zich in 2019 meer op handhaving richten

Als een organisatie daadwerkelijk een bedrag moet ophoesten voor een privacyovertreding, heeft zij het bont gemaakt. Doorgaans zal een organisatie de kans krijgen om een overtreding te herstellen. In het jaarverslag geeft de AP wel aan steviger op handhaving in te gaan zetten, omdat organisaties inmiddels bekender met de nieuwe privacywet zijn. Als relatief kleine toezichthouder zal de AP zich richten op de sectoren en soorten verwerkingen met de grootste risico’s. De AP benadrukt daarnaast heel blij te zijn met de hulp van de 8.000 functionarissen voor de gegevensbescherming die zich in 2018 bij de autoriteit hebben aangemeld. Onlangs heeft de AP het boetebeleid onder de AVG uitgewerkt en gepubliceerd

Ervaringen AVG van non-profit organisaties 

Op 1 april 2019 heeft minister Dekker van Rechtsbescherming een brief aan de Tweede Kamer gestuurd met de eerste ervaringen van onder andere kleinere maatschappelijke organisaties, vrijwilligersverenigingen en kerkgenootschappen.

Twee passages uit de brief, inclusief de antwoorden van minister Dekker (Redactie: die daarmee de vragen van organisaties een beetje bagatelliseert)
  • Over de uitleg van de AVG (Algemene verordening gegevensbescherming) en UAVG (Uitvoeringswet Algemene verordening gegevensbescherming) leven velerlei vragen. Er is en blijft daarom behoefte aan goede voorlichting. Deze behoefte zien we vooral bij kleinere maatschappelijke organisaties, zoals vrijwilligersverenigingen, sportverenigingen en kerkgenootschappen.
  • Er zijn punten van zorg over de ruimte voor gegevensverwerking. Verondersteld wordt dat het niet meer mogelijk is kerkdiensten via radio of televisie uit te zenden, terwijl dat zeer wel mogelijk is en blijft, mits aan bepaalde voorwaarden wordt voldaan en passende waarborgen zijn getroffen. Hetzelfde geldt met betrekking tot het publiceren van foto’s op websites van sportclubs.

Ervaring AVG van profit organisaties

De AVG was in april 2019 een jaar oud. Enkele van de opgedane ervaringen:
  • Persoonsgegevens zijn massaal verzameld, opgeslagen, verwerkt en weer gedeeld voor de meest uiteenlopende doelen. Het gevolg is dat het vaak onvoldoende duidelijk is welke persoonsgegevens waar zijn opgeslagen.
  • De Functionaris Gegevensbescherming (FG) werd in de helft van de grotere bedrijven aangesteld. Meestal een eigen medewerker, ook het inhuren of een gedeelde FG kwam voor. En soms nam de directie de FG-taken op zich.
  • Vanwege het grote aantal bestaande verwerkingen en de toename van het aantal nieuwe verwerkingen roepen steeds meer organisaties de hulp in van gespecialiseerde datapartijen voor het opzetten van een Data Usage Board (DUB)*.
  • Veel bedrijven rapporteerden aan de Autoriteit Personeelsgegevens alle datalekken, soms onnodig als er geen risico's waren voor de privacy van de betrokken personen.
* Een DUB beziet verwerkingen vanuit verschillende perspectieven (privacy, security, datamanagement en medezeggenschap), toetst deze aan de betreffende wetgeving en bepaalt onder welke voorwaarden de verwerking is toegestaan.

AVG-koorts voorbij, maar problemen houden aan

Ondanks de complexe privacywet AVG en de vage normen daarin, hebben ondernemers zich het afgelopen jaar sterk ingespannen om de handschoen op te pakken. We kunnen echter niet anders concluderen dan dat verdere aanpassing van de regels nodig is, omdat mkb-ondernemers er nog altijd teveel mee worstelen.

Daarbij hebben de privacyregels - of de uitleg die de Autoriteit Persoonsgegevens (AP) eraan geeft - tot gevolg dat belangrijke zaken niet meer mogen of kunnen, zoals het tegengaan van ondermijning en de oprichting van een nationaal frauderegister. Dat schrijven VNO-NCW en MKB-Nederland in een brief aan de Tweede Kamer. (Bron: VNO-NCW, 23 mei 2019)

Gemeenten niet proactief met AVG

Gemeenten komen vaak pas in actie ná privacy-incidenten, concludeert de Tilburgse rechtenstudent Jeroen van Dijk in zijn afstudeeronderzoek onder 187 gemeenten. Gemeenten hebben zich volgens Van Dijk maar matig voorbereid op de inwerkingtreding van de Algemene verordening gegevensbescherming (Avg). De achterstand op het gebied van verantwoording kan onder meer worden ingehaald door gemeentebreed met PDCA-cycli te gaan werken. (Bron: LPG-Grave, 30 mei 2019)

Foto's van bedrijfsevenement vaak overtreding AVG

Vrolijke foto’s van collega’s op de vrijdagmiddagborrel komt u volop tegen op social media. Organisaties maken snel de vergissing om te denken dat zulke foto’s niet onder de AVG vallen, omdat het beeldmateriaal bijvoorbeeld op het privéaccount van een werknemer wordt gepubliceerd. Toch kunnen werkgevers wel degelijk in de problemen komen door kiekjes van bedrijfsborrels en andere evenementen op social media. Dat is het geval als de foto’s of filmpjes zijn gemaakt namens de werkgever. Denk aan een ingehuurde fotograaf op een relatie-evenement of een werknemer die een filmpje maakt tijdens het bedrijfsuitje voor op de Facebookbedrijfspagina. (Bron: AVG, 2018)

Verzekeren tegen AVG-boete mogelijk

Boetes opgelegd op basis van de Algemene verordening gegevensbescherming (AVG) zijn onder voorwaarden verzekerbaar. Nederland is daarmee een van de weinige landen in Europa waar dit mogelijk is.

Het verzekeren van boetes is in strijd met de goede zeden en derhalve niet toegestaan, artikel 3:40 van het Burgerlijk Wetboek. Het gaat hierbij met name om verzekeringen voor boetes die voorkomen uit een strafbaar feit, opzet of grove schuld. De oplegging van een boete van de Autoriteit Persoonsgegevens (AP) is administratief van aard en valt daarom niet onder het gestelde in artikel 3:40.

Verzekeringsadviseur AON (27 augustus 2019) raadt organisaties aan te investeren in beheersmaatregelen en risico’s in kaart te brengen. ‘Een verzekering tegen een AVG-boete is belangrijk, zeker als organisaties een belangrijke maatschappelijke functie hebben’, aldus een woordvoerder. Het voorgaande heeft te maken met de recente megaboete voor Haga Ziekenhuis waarbij, wat de hoogte van de boete betreft, geen matiging werd toegepast ondanks een beroep op de slechte financiële situatie en het feit dat het een publieke instelling betreft.

AP laat weten dat het bestuursrechtelijk inderdaad mogelijk om een verzekering af te sluiten. AP is wel geschokt: "Dit vinden wij de omgekeerde wereld. Niet alles wat kan, moet je willen. Eigenlijk is dit meer een ethische kwestie. De beste manier om een AVG-boete te voorkomen, is om je aan de regels te houden."

Evaluatie AVG laat in 2019 veel knelpunten zien

Minister Dekker heeft op 31 oktober 2019 de Tweede Kamer geïnformeerd over voorgenomen aanpassingen in de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG). Daarnaast gaat hij in op de evaluatie van de Algemene verordening gegevensbescherming |(AVG).

In het eerste kwartaal van 2020 komt de minister met een wetsvoorstel voor enkele concrete wijzigingen:
  • de verwerking van bijzondere categorieën persoonsgegevens door accountants ter uitvoering van hun wettelijke controletaken;
  • toepassing van biometrie voor de identificatie van personen in het belang van een rechtmatige toegang tot bepaalde plaatsen, gebouwen, informatie- of werkprocessystemen, diensten of producten';
  • verwerking van bijzondere categorieën van persoonsgegevens door het Huis voor klokkenluiders ter uitvoering van de wettelijke advies- en onderzoekstaken, zoals gegevens over discriminatie en achterstelling of benadeling wegens afkomst, religie of seksuele geaardheid, en
  • verwerking van gezondheidsgegevens door patiëntenverenigingen voor intern gebruik in bijvoorbeeld hun ledenbestand.
Met betrekking tot de volgende onderwerpen is het kabinet nog bezig in overleg met betrokken branches en andere partijen te bezien of de wetgeving aanpassing behoeft: 
  • gebruik van het BIG-nummer buiten de Wet BIG ten behoeve van bijvoorbeeld na- en bijscholing, 
  • een adequate grondslag voor profilering door banken ter voorkoming van witwassen en fraude, 
  • een verplichting voor uitleners van personeel of onderaannemers om aan de opdrachtgever de gegevens te verstrekken die noodzakelijk zijn om gebruik te kunnen maken van vrijwarende betaling via een zogenoemde g-rekening,  
  • cross-sectorale gegevensdeling te behoeve van de bestrijding van fraude, 
  • uitbreiding van de uitzonderingen die gelden voor archiefbewaarplaatsen met betrekking tot bepaalde verplichtingen uit de AVG tot ook andere maatschappelijk relevante archieven, 
  • delen van gegevens over verkeersboetes ten behoeve van het verhalen van deze boetes op de berijder door autoleasemaatschappijen e.a., 
  • gebruik van het BSN-nummer door ondernemers, meer in het bijzonder door banken e.a. voor het uitoefenen van de poortwachtersfunctie bij het voorkomen van witwassen.

Nederlandse regering wil aanpassingen AVG

De Nederlandse regering heeft in Brussel bij de Raad input geleverd op de herziening van de Algemene verordening gegevensbescherming (AVG). Speerpunt is een grotere acceptatie en legitimiteit van de AVG. Prijsdiscriminatie is een grote zorg van de Nederlandse regering. Ze maken zich zorgen over het gebruik van persoonsgegevens voor het profileren en personaliseren van aanbiedingen door:
  1. mensen verschillende prijzen te laten zien
  2. extra barrières voor ‘ongewenste’ typen klanten op te werpen, of
  3. uitsluiting door het vermijden van groepen met targeting*.
De overheid is van mening dat, als hier algoritmes voor gebruikt worden, toestemming de enige grondslag kan zijn. Ze signaleren dat er situaties zijn waar dit soort ‘aanbodsdiscriminatie’ legaal is, en wil daar een aanpak voor creëren.

* Targeting is een veel voorkomend marketingbegrip. Bij bijvoorbeeld de targeting van een reclame-uiting of een AdWords advertentie, wordt deze boodschap gericht aan een bepaalde doelgroep. Hierbij is je doelgroep de targeting. Op deze manier kan het advertentiebudget van de aanbieder zo gericht mogelijk worden besteed.

Privacyverklaring ministerie van Sociale Zaken en Werkgelegenheid

Voor de uitvoering van zijn taken verwerkt het ministerie van Sociale Zaken en Werkgelegenheid (SZW) persoonsgegevens. De verwerking van deze persoonsgegevens gebeurt op gepaste en zorgvuldige wijze. Bij de verwerking van persoonsgegevens staan de belangen van burgers centraal.

In artikel 10 van de Grondwet is opgenomen dat iedereen recht heeft op eerbiediging van zijn of haar persoonlijke levenssfeer. Dit betekent dat iemands persoonlijke vrijheid niet wordt gehinderd en/of beïnvloed door externe factoren, en dat iemand zelf kan bepalen wie welke informatie over hem of haar verkrijgt.

Tot de verwerking van persoonsgegevens behoren alle handelingen die gedaan worden met deze gegevens; bijvoorbeeld het verzamelen, vastleggen, ordenen, structureren, bijwerken, opvragen, raadplegen, verstrekken door middel van doorzending, verspreiden, combineren, afschermen, en vernietigen van gegevens. (Bron en meer: Min SZW, juni 2020)

Werkwijze Belastingdienst in strijd met de wet en discriminerend

Afdeling Toeslagen van de Belastingdienst had de dubbele nationaliteit van aanvragers van kinderopvangtoeslag niet zo mogen verwerken als jarenlang gebeurde. Deze verwerkingen waren onrechtmatig, discriminerend en daarmee onbehoorlijk – zware overtredingen van de privacywet, de Algemene verordening gegevensbescherming (AVG).

Meer concreet:
  • Dubbele nationaliteit speelt geen rol bij het beoordelen van een aanvraag voor kinderopvangtoeslag. Toch bewaarde en gebruikte de Belastingdienst deze gegevens.
  • De Belastingdienst verwerkte de nationaliteit van aanvragers van kinderopvangtoeslag om georganiseerde fraude te bestrijden. Gegevens van een dubbele nationaliteit waren hiervoor niet noodzakelijk.
  • De Belastingdienst gebruikte de nationaliteit van aanvragers als een indicator (wel/niet Nederlander) in een systeem dat automatisch bepaalde aanvragen als risicovol aanwees. Ook voor dit doel waren deze gegevens van een dubbele nationaliteit niet noodzakelijk.
Met dit feitenonderzoek heeft de AP het eerste deel van het onderzoekstraject afgerond. De volgende stap is dat de AP beoordeelt of de Belastingdienst een sanctie opgelegd krijgt, zoals een boete. (Bron: AP, 17 juli 2020)

Redactie: Het is volstrekt flauwe kul dat de ene rijksdienst een andere (non-profit) rijksdienst beboet. Of moeten bepaalde kopstukken van de Belastingdienst een deel van hun salaris inleveren?

Nieuwe rechtsvorm voor ondernemers met een maatschappelijke missie

In het kielzog van de Algemene Verordening Gegevensbescherming (AVG) is ook de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG) in 2018 in rap tempo ingevoerd. In de daaropvolgende periode heeft de wetgever de UAVG en enkele andere wetten geëvalueerd. Van 20 mei tot en met 14 juli 2020 heeft de wetgever het uit die evaluatie voortvloeiende conceptwetsvoorstel ‘Verzamelwet gegevensbescherming’ ter internetconsultatie voorgelegd, met daarin wijzigingen om knelpunten in het gegevensbeschermingsrecht het hoofd te bieden. (Bron en meer: Dirkzwager, 23 jul. 2020)