AP publiceert jaarverslag 2018
- door Maurits & Hömann
- •
- 05 apr, 2019
Grip op persoonsgegevens
Voorwoord
Nederlanders maken zich zorgen over hun privacy. Uit onderzoek dat de Autoriteit Persoonsgegevens (AP) liet doen, bleek dat maar liefst 94% van de mensen zich zorgen maakt over de bescherming van hun persoonsgegevens. Vooral over misbruik van hun identiteitsbewijs, het volgen van hun online zoekgedrag en wifitracking. Bij uitstek situaties waarin mensen de grip op hun persoonsgegevens kwijt zijn. De nieuwe Europese privacywet die sinds 25 mei 2018 geldt, de Algemene verordening gegevensbescherming (AVG), kwam dan ook geen dag te laat. De AVG zorgt voor meer grip: voor de mensen van wie gegevens worden verwerkt, maar óók voor de organisaties die hun persoons- gegevens verwerken en voor de privacytoezichthouder.
Mensen hebben door de AVG meer en betere privacyrechten gekregen. Bijvoorbeeld het recht op heldere informatie over wat organisaties met hun gegevens doen. Een ellenlang privacystatement vol juridische termen, dat kan écht niet meer. Ook kunnen mensen een privacyklacht indienen bij de AP als zij het niet eens zijn met hoe een organisatie met hun persoonsgegevens omgaat. Als AP behandelen wij elke klacht. In 2018 ontvingen we meteen ruim 11.000 klachten – nog een teken dat mensen hun privacy serieus nemen.
In de AVG is veel aandacht voor verantwoording (‘accountability’). Dat houdt in dat organisaties moeten kunnen aantonen dat zij zich aan de privacywet houden. De AVG-regels dwingen organisaties om – al aan de tekentafel – goed na te denken over hoe zij persoonsgegevens verwerken en beschermen.
Zodat zij grip krijgen op waar zij mee bezig zijn. En daardoor een goed privacyverhaal hebben, zowel voor de mensen van wie zij gegevens ver- werken als voor de toezichthouder. Natuurlijk is een nieuwe wet ook lastig. Wij hebben organisaties daarom zo veel mogelijk geholpen bij de voorbereiding, bijvoorbeeld met praktische hulpmiddelen. Ook dat geeft grip.
Als toezichthouder hebben wij door de AVG steviger bevoegdheden gekregen. Zo kunnen we een boete opleggen van maximaal 20 miljoen euro. Het is nu menens. En dat is niet meer dan terecht, want de bescherming van persoonsgegevens is een grondrecht. Dat door de digitalisering feitelijk de hoeder is van alle andere grondrechten, zoals het recht op non-discriminatie, op godsdienstvrijheid en op briefgeheim. De uiting van deze rechten kan te vinden zijn in persoonsgegevens. Met deze gegevens moet dus uiterst zorgvuldig worden omgegaan, om niet alleen het recht op privacy maar ook de andere grond- rechten te beschermen.
Eind 2018 ligt het eerste half jaar van de AVG achter ons. Voor de AP was 2018 een enerverend jaar. Dynamisch, maar ook met de nodige groeipijnen. We kregen er nieuwe taken bij, onder meer op het gebied van Europese samenwerking, voorlichting en behandeling van privacyklachten. Dat vroeg om een ander soort organisatie. In 2018 zijn we daarom overgegaan naar een grotere organisatie met een andere structuur en rechtspersoonlijkheid en een nieuwe missie en toezichtkader. Op dit moment is de AP nog volop in ontwikkeling: we zijn bezig nieuwe medewerkers in te werken, de nieuwe structuur daalt in, werkprocessen voor nieuwe taken worden helder.
Ondanks deze grote veranderingen is ‘de winkel open gebleven’. De AP heeft ook in 2018 toezicht gehouden
op de naleving van de privacywetgeving, naast de voorbereidingen op de nieuwe wet en de nieuwe organisatie. Zo hebben wij bijna 27.000 mensen te woord gestaan tijdens onze telefonische spreekuren, ruim 11.000 privacyklachten, 4.000 tips en 21.000 datalekmeldingen ontvangen, meer dan 80 keer advies gegeven over nieuwe wet- en regelgeving, diverse grotere en kleinere onderzoeken gedaan en sancties opgelegd aan onder meer Uber, de Belastingdienst en het UWV.
Maar ook al zijn we gegroeid, we zijn nog steeds een relatief kleine toezichthouder. Dat betekent dat we niet overal tegelijk kunnen zijn. Daarom zijn wij heel blij met de 8000 functionarissen gegevensbescherming (FG’s) die zich in 2018 bij ons hebben aan-
gemeld. FG’s spelen een grote rol bij de naleving van de privacyregels binnen organisaties. Ze zijn als het ware onze oren en ogen ter plaatse. Een belangrijke functie dus, waar wij als AP veel waardering voor hebben.
Tot slot zijn er ook ruim 17 miljoen kleine toezichthouders – mensen in Nederland die zich bewust zijn van hun privacyrechten en die zich niet alleen zorgen maken, maar die ook in actie komen. Die organisaties aanspreken op hoe zij met hun persoonsgegevens omgaan. Die waar nodig de hulp van de AP inschakelen. Zodat zij grip houden op hun persoonsgegevens, waar het uiteindelijk allemaal om draait.
Het bestuur van de Autoriteit Persoonsgegevens,
Aleid Wolfsen
Monique Verdier
Katja Mur
Nieuwe wet, nieuwe organisatie
Op 25 mei 2018 werd de nieuwe Europese privacywet van toepassing: de Algemene verordening gegevensbescherming (AVG). En even daarvoor, op 6 mei 2018, de aparte Richtlijn gegevensbescherming voor de rechtshandhaving. De kern van beide is: meer rechten, meer plichten, steviger toezicht en de oprichting van een nieuw Europees instituut, de European Data Protection Board (EDPB). De Autoriteit Persoonsgegevens (AP) kreeg er als toezichthouder nieuwe taken en bevoegdheden bij, onder meer op internationaal gebied. Dat vroeg om een ander soort organisatie. De nieuwe organisatie van de AP is groter en heeft een nieuwe structuur. Ook heeft de AP een nieuwe missie en een nieuw toezichtkader.
In dit deel van ons jaarverslag staan we kort stil bij de nieuwe wet, vervolgens komt de nieuwe organisatie aan bod en focussen we op ons nieuwe toezichtkader. We kijken hierbij terug op 2018: welke plannen uit ons toezichtkader hebben we in dit jaar uitgevoerd? Daarna gaan we in op de internationale aspecten van ons werk.
Nieuwe wet
De nieuwe privacywet is aangepast aan deze tijd en geeft mensen meer zeggenschap over hun persoonsgegevens. Bovendien gelden nu in de hele Europese Unie dezelfde privacyregels en is er een nieuw Europees privacy- instituut, de EDPB. Mensen hebben door de AVG meer privacyrechten gekregen en organisaties meer verplichtingen en verantwoordelijkheden. De privacytoezichthouders kregen steviger bevoegdheden.
Privacyrechten
Iedereen heeft privacyrechten. Zoals het recht om in te zien welke persoonsgegevens een organisatie van je heeft. Die rechten zijn nu uitgebreid met het recht op data- portabiliteit (het recht om je gegevens mee te nemen) en het recht op vergetelheid (organisaties moeten je persoonsgegevens wissen als je erom vraagt). Verder kunnen mensen een privacyklacht indienen bij de AP als zij het niet eens zijn met hoe een organisatie met hun persoonsgegevens omgaat. De AP behandelt elke klacht.
zie verder: webdossier Privacyrechten zie verder: webdossier Privacyklacht indienen
Verantwoordelijkheden
Het uitgangspunt van de AVG is dat iedere verwerking van persoonsgegevens onrechtmatig is, tenzij een organisatie een grondslag heeft voor de verwerking. In de AVG is dan ook veel aandacht voor verantwoording (accountability). Dat houdt in dat organisaties moeten kunnen aantonen dat zij zich aan de privacywet houden. In de AVG staat daarom een aantal concrete verantwoordingsplichten, zoals een verwerkingsregister bijhouden. En sommige organisaties zijn bijvoorbeeld ook verplicht om een functionaris gegevensbescherming (FG) te benoemen. Daarnaast moeten organisaties al vanaf de tekentafel bezig zijn met de privacyrisico’s. De AVG-regels dwingen organisaties dus om goed na te denken over hoe zij persoonsgegevens verwerken en beschermen.
zie verder: webdossier Verantwoordingsplicht zie verder: webdossier Functionaris gegevensbescherming (FG)
Toezicht
De AVG heeft ook veranderingen meegebracht voor het toezicht en de toezichthouder. De AP heeft er nieuwe taken en bevoegdheden bij gekregen. Bijvoorbeeld op het gebied van Europese samenwerking, voorlichting aan mensen en organisaties en bij de behandeling van privacyklachten. Ook kan de AP nu een boete opleggen van maximaal 20 miljoen euro of 4% van de wereldwijde omzet als een organisatie de privacywet overtreedt.
Nieuwe organisatie
Om de nieuwe AVG-taken goed te kunnen uitvoeren, heeft de AP een nieuwe organisatiestructuur gekregen en een andere rechtspositie. Ook is het aantal medewerkers flink gegroeid. Verder heeft de AP een nieuwe vorm van toezicht geïntroduceerd: systeemtoezicht.
Organisatiestructuur Vanwege de nieuwe taken en bevoegdheden en de grotere organisatie heeft de AP een nieuwe managementstructuur ingesteld, met vier directies.
Rechtspositie
De onafhankelijkheid van de AP is versterkt, doordat de AP sinds 1 januari 2019 eigen rechtspersoonlijkheid heeft gekregen.
Personeel
Het aantal medewerkers van de AP is in de afgelopen twee jaar meer dan verdubbeld: van 75,7 fte begin 2017 naar 157,1 fte eind 2018. De grootste groei – met meer dan 60 fte – vond plaats in 2018. De verwachting is dat er in 2019 nog meer medewerkers bijkomen.
Systeemtoezicht
Een andere belangrijke wijziging is dat de AP in 2018 een nieuwe vorm van toezicht heeft geïntroduceerd: systeemtoezicht. Uitgangspunt hierbij is het bevorderen van de eigen verantwoordelijkheid van organisaties om aan de privacywetgeving te voldoen. Deze vorm van toezicht is een aanvulling op controlerende onderzoeken, handhaving en communicatie.
AVG-proof
De AP verwerkt zelf ook persoonsgegevens. Gegevens van en over burgers en medewerkers moeten bij de AP veilig zijn en de privacy van deze mensen moet zijn gewaarborgd. In 2018 heeft de AP een AVG-privacybeleid vastgesteld, het beveiligingsbeleid geactualiseerd, een verwerkingsregister opgesteld en alle werkprocessen en autorisaties getoetst en waar nodig aangepast aan de AVG.
Om belangenverstrengeling te voorkomen heeft de AP een externe FG aangesteld. De taken en de positie van de FG zijn uitgewerkt in het Statuut Functionaris gegevensbescherming. Daarnaast heeft de AP binnen iedere directie twee privacycontactpersonen aangewezen en voor directieoverstijgende aspecten een concern-privacy- contactpersoon.
Bestuur
Het bestuur heeft de leiding over de AP-organisatie. Het bestuur bestond jarenlang uit twee leden. Uit de UAVG volgt dat het bestuur van de AP uit drie leden bestaat: een voorzitter en twee andere leden.
VicevoorzitterWilbert Tomesen verliet de AP en werd per 1 juli 2018 voorzitter van het Huis van de Klokkenluiders.
Sinds 1 februari 2019 is het bestuur van de AP compleet. De drie bestuursleden vormen een collegiaal bestuur. De voorzitter en de leden zijn betrokken bij alle werkzaamheden van de AP: toezicht, handhaving, klachtbehandeling, voorlichting en wetgevingsadvisering.
Directies
De nieuwe organisatie van de AP bestaat uit vier directies. Onder de directies vallen verschillende afdelingen.
Directie Klantcontact en Controlerend onderzoek
De directie Klantcontact en Controlerend onderzoek bestaat uit het Informatie- en Meldpunt Privacy (IMP) en twee onderzoeksafdelingen. IMP is het eerste aanspreekpunt voor burgers en organisaties met vragen over de AVG. Ook behandelt IMP privacyklachten van mensen.
De afdeling Eerstelijns onderzoek beoordeelt alle meldingen van datalekken en doet beknopt onderzoek naar aanleiding van klachten of datalekmeldingen. De afdeling Controlerend onderzoek doet uitgebreider en complexer onderzoek naar mogelijke overtredingen.
Directie Systeemtoezicht, Beveiliging en Technologie
De directie Systeemtoezicht, Beveiliging en Technologie bestaat uit de afdeling Systeemtoezicht en de afdeling Beveiliging en Technologie.
De afdeling Systeemtoezicht houdt toezicht op de interne privacyprocessen van organisaties en is aanspreekpunt voor brancheorganisaties en FG’s. Verder beoordeelt deze afdeling voorafgaande raadplegingen, vergunning- aanvragen en privacy-instrumenten als gedragscodes en bindende bedrijfsvoorschriften.
Bij de afdeling Beveiliging en Technologie is de technologische privacy-expertise binnen de AP ondergebracht. De afdeling levert bijdragen aan de onderzoeken die de andere directies doen.
Directie Juridische Zaken en Wetgevingsadvisering
De directie Juridische Zaken en Wetgevingsadvisering is verantwoordelijk voor de sancties die de AP oplegt. Verder behandelt de directie bezwaarzaken en vertegenwoordigt de directie de AP bij de nationale en Europese rechter.
Daarnaast geeft de directie gevraagd en ongevraagd advies over privacyaspecten van nieuwe wet- en regelgeving. Verder maakt de directie de juridische analyses die de AP nodig heeft om de AVG eenduidig uit te leggen. Tot slot vallen de juridische staftaken onder deze directie, zoals contracten, convenanten, besluiten en WOB-verzoeken.
Directie Beleid, Internationaal, Strategie en Communicatie
De directie Beleid, Internationaal, Strategie en Communicatie ontwikkelt het beleid en de (middel)langetermijnstrategie van de AP. Ook is de directie op internationaal gebied onder meer verantwoordelijk voor de behandeling van internationale zaken en het (gezamenlijke) toezicht op Europese informatiesystemen.
Verder verzorgt de directie de interne en externe communicatie, onder andere via woordvoering en voorlichtingscampagnes. Tot slot zijn de AP-brede bedrijfsvoeringstaken bij deze directie ondergebracht, zoals ICT, administratie, financiën en het secretariaat.
Tussenstand toezicht 2018-2019
Er is vrijwel geen organisatie te bedenken die géén persoonsgegevens verwerkt, dus bijna iedereen moet zich aan nieuwe regels houden. De AP moet als toezichthouder bevorderen en bewaken dat alle organisaties die nieuwe regels ook echt naleven. In verhouding tot het aantal organisaties is de AP een kleine toezichthouder, die simpelweg niet overal tegelijk kan zijn. De AP heeft daarom een toezichtkader gemaakt, waarin staat wat we in 2018-2019 willen en kunnen doen en hoe we dat gaan doen.
Het toezichtkader geldt voor het halve jaar dus waarin de AVG nog relatief nieuw was, maar ook voor het jaar daarna – wanneer het eerste stof is neergedaald en we meer van organisaties verwachten.
“De Autoriteit Persoonsgegevens is de onafhankelijke toezichthouder in Nederland die de bescherming van persoonsgegevens bevordert en bewaakt.” Dat is onze missie. In ons toezichtkader beschrijven we daarom eerst wat we doen om de naleving van de privacyregels te bevorderen en daarna wat we doen om de naleving te bewaken.
Als relatief kleine organisatie moet de AP keuzes maken. We bekijken in welke sectoren en bij welke soorten verwerkingen de grootste risico’s zijn. En daar richten we ons dan vooral op. Dat noemen we risicogericht toezicht. In het toezichtkader geven wij aan wat onze focus is voor de periode 2018-2019.
In dit onderdeel van ons jaarverslag kijken we terug op 2018. Welke plannen uit ons toezichtkader hebben we ook daadwerkelijk uitgevoerd? Ook blikken we vooruit naar (de tweede helft van) 2019.
Naleving bevorderen
Naleving bevorderen is een net zo belangrijk onderdeel van ons toezicht als de naleving bewaken. De AP bevordert dat organisaties, maar ook mensen zelf, hun verantwoordelijkheid nemen om persoonsgegevens te beschermen. Dit doen wij door beide groepen te informeren over de regels en de risico’s.
Zo leggen wij mensen uit wat hun rechten zijn en stimuleren wij organisaties om privacyvriendelijke systemen en processen toe te passen. Daarnaast adviseren wij de overheid – zowel gevraagd als ongevraagd – over nieuwe wet- en regelgeving die over de verwerking van persoonsgegevens gaat.
Voorlichting
De AP maakt zich sterk voor de bescherming van persoonsgegevens als vanzelfsprekende waarde in onze maatschappij. Daarom hebben wij in 2018 nadrukkelijk geïnvesteerd in voorlichting. Dit is een bewuste keuze geweest, naast dat het volgens de AVG expliciet onze taak is om voorlichting te geven.
Wij hebben bijna 27.000 mensen te woord gestaan tijdens onze telefonische spreekuren en 834 keer contact gehad met journalisten. Ook hebben we ruim 70 presentaties en workshops verzorgd voor diverse (branche)organisaties. En tientallen gesprekken gevoerd met stakeholders in uiteenlopende sectoren, om problemen en risico’s te signaleren en samen naar oplossingen te zoeken.
Voorlichtingscampagne
Met de campagne ‘Privacy gaat iedereen wat aan’ hebben wij mensen bewuster gemaakt van hun privacyrechten en organisaties praktische hulp geboden om aan de AVG te voldoen. Bijvoorbeeld met een digitale ‘regelhulp’ waarmee organisaties snel in kaart konden brengen wat zij nog moesten doen voor 25 mei 2018. In 2019 volgt een nieuwe voorlichtingscampagne voor het algemeen publiek, het mkb en jongeren van 12, 13 en 14 jaar.
Uitleg van de AVG
Wetteksten zijn niet voor iedereen makkelijk te begrijpen. En ook staat niet altijd letterlijk in de wet wat organisaties moeten doen. Daarom heeft de AP samen met de andere Europese privacytoezichthouders diverse guidelines gepubliceerd die bepaalde onderwerpen uit de AVG verduidelijken. Maar er zijn ook onderwerpen waarover nog geen guidelines bestaan. Om toch alvast duidelijkheid te bieden, heeft de AP in 2018 over diverse onderwerpen uitleg gegeven, zoals wifitracking, direct marketing en grootschalige gegevensverwerkingen in de zorg.
zie verder: AVG-guidelines
Voorlichting aan FG’s
Volgens de AVG moeten bepaalde organisaties een FG – een interne toezichthouder – aanstellen en deze aanmelden bij de AP. Omdat FG’s een grote rol spelen bij de na- leving van de privacyregels binnen organisaties, vindt de AP het belangrijk om een goede relatie met hen te onderhouden. In 2018 zijn 8.000 FG’s aangemeld bij de AP. Verder hebben wij zo’n 1.600 vragen van FG’s beantwoord en de voorlichting aan FG’s via onze website verbeterd.
zie verder: dossier Functionaris gegevensbescherming (FG)
Parlement
De Eerste en Tweede Kamer nodigen de AP met enige regelmaat uit om deel te nemen aan een hoorzitting, rondetafelgesprek of technische briefing. Zo nam de vicevoorzitter van de AP in mei 2018 deel aan een ronde-
tafelgesprek over internetbedrijven en privacybescherming in de Tweede Kamer. De voorzitter nam in oktober 2018 deel aan een technische briefing in de Tweede Kamer over gegevensuitwisseling om ondermijnende criminaliteit te bestrijden. Verder bood de voorzitter in april 2018 de leden van de vaste commissie voor Justitie en Veiligheid van de Tweede Kamer het AP-jaarverslag 2017 aan, waarbij vooral het van toepassing worden van de AVG in mei 2018 onderwerp van gesprek was.
Behandeling van klachten
Iedereen die vermoedt dat een organisatie niet netjes omgaat met zijn of haar persoonsgegevens, kan een privacyklacht indienen bij de AP. Sinds de AVG neemt de AP elke klacht in behandeling die gaat over een mogelijke schending van de eigen persoonsgegevens. In 2018 hebben wij ruim 11.000 klachten ontvangen. De klachten gingen vooral over schending van privacyrechten, zoals het recht op inzage.
Omdat het aantal klachten zo groot was, richtten we ons op manieren om de klachten zo effectief en efficiënt mogelijk te behandelen. Zodat we toch zo veel mogelijk klachten op tijd konden afhandelen. We hebben onder meer uitleg gegeven over de regels, gesprekken gevoerd met organisaties en concrete tips gegeven om de problemen achter de klachten succesvol op te lossen.
De AP heeft zich in 2018 vooral gericht op het beëindigen van mogelijke overtredingen door aan te sturen op herstelmaatregelen door organisaties zelf. Klachten zullen in de toekomst vaker leiden tot onderzoek en sancties van de AP. Daarvoor zullen we meer medewerkers aanstellen.
zie verder: onderdeel ‘Klachten en informatieverzoeken’ in de bijlage bij het jaarverslag
Wetgevingsadvisering
De wetgever is verplicht om de AP te raadplegen over nieuwe wet- en regelgeving waarin de verwerking van persoonsgegevens aan de orde komt. Deze verplichting is sinds de AVG nog ruimer geworden en is bedoeld om ervoor te zorgen dat de nationale wetgeving in lijn is met de AVG. Ook kan de AP ongevraagd advies geven, niet alleen aan ministeries maar ook aan andere organisaties die betrokken zijn bij nieuwe wet- en regelgeving.
De wetgever is niet verplicht om het advies van de AP op te volgen. Een wetgevingsadvies is dus minder dwingend dan onze andere toezichts- en handhavingsbevoegd- heden. Maar het heeft als voordeel dat hiermee al in een vroeg stadium inbreuken op de privacy van mogelijk grote groepen mensen voorkomen kunnen worden.
De AP vindt het dan ook belangrijk om de adviseringstaak nog verder te verbeteren en uit te breiden. Zeker nu de wetgever vaker verplicht is om advies te vragen en wijzelf als ambitie hebben om vaker ongevraagd advies te geven. In 2018 hebben wij daarom een aparte afdeling opgericht
voor wetgevingsadvisering en extra adviseurs aangesteld. Verder hebben wij de adviesprocedure verbeterd in overleg met de ministeries. Wij hebben dit jaar prioriteit gegeven aan het op tijd afhandelen van de gevraagde adviezen. We kregen veel meer adviesaanvragen dan in voorgaande jaren (van rond de 30 naar meer dan 80), zodat vrijwel alle capaciteit van de nog nieuwe afdeling daarvoor nodig was.
Een terugkerend punt van aandacht in de wetgevings- adviezen waren de noodzaak, proportionaliteit (staat de privacyinbreuk in verhouding tot het doel?) en subsidiariteit (kan het doel niet op een andere, minder ingrijpende manier worden bereikt?) van voorgenomen gegevensverwerkingen. Daarnaast is van groot belang dat de AVG weliswaar op ruime schaal nationale wetgeving toelaat of vereist, maar dat aan die wetgeving wel eisen worden gesteld. Wetgeving moet vooral een waarborg zijn voor zorgvuldige afweging, niet een vrijbrief voor gegevensverwerking. Tot slot was een belangrijk thema, dat ook in 2019 nog aandacht zal vragen, uitwisseling van persoonsgegevens om ondermijnende criminaliteit tegen te gaan.
zie verder: onderdeel ‘Adviesprojecten wetgeving 2018’ in de bijlage bij dit jaarverslag
Naleving bewaken
De AP bewaakt dat organisaties zich aan de privacyregels houden door onafhankelijk onderzoek te doen naar (mogelijke) overtredingen. Als een overtreding wordt geconstateerd, treedt de AP handhavend op. Bijvoorbeeld door een boete op te leggen.
Wij werken samen met andere Europese privacytoezichthouders, want wij moeten reageren op nationale én internationale ontwikkelingen. Inherent daaraan is dat wij keuzes moeten maken. Keuzes over onze rol en over de meest effectieve aanpak per situatie.
Om een effectieve toezichthouder te kunnen zijn, past de AP uiteenlopende toezichts- en handhavingsinstrumenten toe. Een officieel onderzoek is bijvoorbeeld niet altijd nodig. Vaak is een waarschuwingsbrief of -gesprek al genoeg om een overtreding te beëindigen. Ons uitgangspunt is dat wij kiezen voor het instrument waarmee we het meeste effect bereiken. De wens van de klager is hierbij leidend.
Controle verantwoordingsplichten
In de AVG is veel aandacht voor verantwoording (accountability). Dat houdt in dat organisaties moeten kunnen aantonen dat zij zich aan de privacywet houden. In de AVG staat daarom een aantal concrete verantwoordingsplichten. Zoals een verwerkingsregister bijhouden en een FG aanstellen.
Dat een organisatie deze verantwoordingsplichten op orde heeft, wil niet per definitie zeggen dat de organisatie volledig voldoet aan de AVG. Maar het geeft wel een indicatie van de mate waarin de organisatie serieus werk heeft gemaakt van de implementatie van de AVG. En heeft nagedacht over belangrijke onderdelen uit de AVG, zoals grondslagen, doelbinding en beveiliging.
De AP heeft in 2018 in verschillende sectoren de naleving gecontroleerd van (een van de) verantwoordingsplichten uit de AVG: de FG bij de overheid, in de zorg, bij banken en bij verzekeraars; het privacybeleid in de zorg en bij politieke partijen; en tot slot het verwerkingsregister in de private sector.
Risicogericht toezicht
Omdat vrijwel iedere organisatie persoonsgegevens verwerkt, is het aantal organisaties waarop de AP toezicht houdt heel groot. Daarnaast heeft de AP er sinds de AVG geldt een aantal grote taken bij gekregen. Dit betekent dat wij keuzes moeten maken.
Daarbij stellen wij de mensen van wie gegevens worden verwerkt centraal, net als de AVG doet. Onze aanpak is risicogericht. Dat houdt in dat wij trends en privacyrisico’s in kaart brengen, waarbij wij er speciaal op letten welke risico’s voor grote groepen mensen gelden. Op basis van deze analyse bepalen wij per periode welke toezichtactiviteiten wij uitvoeren binnen welke aandachtsgebieden.
Aandachtsgebieden 2018-2019
In het toezichtkader 2018-2019 heeft de AP aangekondigd zich in deze periode vooral op de volgende sectoren en onderwerpen te richten: overheid, zorg, handel in persoonsgegevens en datalekken.
Overheid en zorg
Zowel overheidsorganisaties als zorginstellingen beschikken over grote hoeveelheden – vaak gevoelige – persoonsgegevens. Mensen zijn bovendien meestal verplicht om hun gegevens aan de overheid af te staan. En in de zorg gaat het vaak om medische gegevens, die tot de gevoeligste gegevens behoren die er zijn. Kortom: mensen moeten
erop kunnen vertrouwen dat er zowel bij de overheid als in de zorg uiterst zorgvuldig met hun gegevens wordt omgegaan.
De AP deed in 2018 controles op de verantwoordingsplichten uit de AVG bij de overheid en in de zorg. De AP controleerde bij 400 overheidsorganisaties, 91 ziekenhuizen en 33 zorgverzekeraars of zij een FG hadden aangemeld. Bij de organisaties in de zorg keek de AP ook of zij de contactgegevens van hun FG op de goede manier vermeldden op hun website. Verder is de AP in december 2018 gestart met onderzoek naar het privacybeleid van een aantal IVF-klinieken en bloedbanken.
De AP zal in 2019 bij de overheid en in de zorg blijvende aandacht hebben voor zowel de beveiliging van persoonsgegevens als de vraag of de verwerking gebaseerd is op de juiste grondslag, vooral als de gegevens worden uitgewisseld.
zie verder: hoofdstuk ‘Overheid’ zie verder: hoofdstuk ‘Gezondheid’
Handel in persoonsgegevens
Datahandelaren verzamelen op grote schaal persoons- gegevens van consumenten via verschillende online en offline bronnen. Zij verwerken de gegevens tot profielen en verkopen deze door. Bijvoorbeeld aan organisaties die de gegevens gebruiken voor direct marketing of voor creditscoring. Mensen weten vaak niet om hoeveel gegevens het gaat en welke persoonsgegevens aan welke partijen met welk doel worden verstrekt. Ook zijn zij meestal niet op de hoogte van profilering – tot het moment dat hun aanvraag voor een lening of abonnement wordt geweigerd. Een ander risico is dat sommige gegevens of opgestelde profielen onjuist zijn, wat grote gevolgen kan hebben. Mensen verliezen zo zeggenschap over hun gegevens.
De AP wil bevorderen dat organisaties die persoons- gegevens verkopen, dit alleen doen op basis van een juiste wettelijke grondslag. En dat zij mensen heldere informatie geven over wat er met hun gegevens gebeurt. Omdat het verhandelen van persoonsgegevens een complex proces is, heeft de AP zich in 2018 gericht op het in kaart brengen van dit proces en het ontwikkelen van een gefaseerde aanpak voor het toezicht op datahandel. Ook heeft de AP uitgebreide uitleg gegeven over wat er wel en niet mag bij direct marketing. Daarnaast is de AP in gesprek gegaan met de branche om de wettelijke regels toe te lichten.
zie verder: hoofdstuk ‘Internet en telecom’
Datalekken
Verantwoord omgaan met persoonsgegevens valt of staat met een adequate beveiliging van de gegevens. Slechte beveiliging kan leiden tot een datalek, met alle gevolgen van dien. Een organisatie die een ernstig datalek heeft, moet dit melden aan de mensen van wie de gegevens zijn. Zodat zij bijvoorbeeld snel hun wachtwoord kunnen wijzigen. Ook moet de organisatie het datalek melden bij de AP, zodat de AP zich een beeld kan vormen van de feiten en kan ingrijpen als dat nodig is.
In 2018 werden er 20.881 datalekken gemeld bij de AP. Het aantal meldingen is meer dan verdubbeld vergeleken met 2017. De AP heeft sinds 25 mei 2018 de meeste datalekmeldingen ontvangen van alle Europese privacytoezichthouders. Omdat het aantal meldingen het eerder geschatte aantal fors overstijgt, zullen wij onze capaciteit uitbreiden om meer actie te kunnen ondernemen. Deze acties kunnen leiden tot meer handhavende maatregelen.
In 2018 heeft de AP bij 298 datalekmeldingen actief gehandeld richting de organisaties die het datalek meldden. Over het algemeen leidde dit tot een waarschuwing en gepaste acties van de organisaties. Hieronder vielen ook interventies naar mogelijke datalekken bij organisaties die het datalek níet hadden gemeld bij de AP. In 2019 gaan wij daar meer aandacht aan besteden.
De AP startte 4 onderzoeken: 2 naar niet-gemelde datalekken en 2 naar gemelde datalekken die zijn veroorzaakt door ernstige tekortkomingen in de beveiliging. In november 2018 legde AP Uber een boete van 600.000 euro op voor het te laat melden van een datalek.
zie verder: hoofdstuk ‘Beveiliging’
Actualiteit
De AP treedt ook op naar aanleiding van klachten of de actualiteit. In 2018 zijn wij 14 onderzoeken gestart nadat mensen een klacht bij ons hadden ingediend. Ook hebben wij bijvoorbeeld onderzoek gedaan naar camera’s in sauna’s, nadat er onrust was ontstaan in de media over gelekte camerabeelden en wij in korte tijd een groot aantal vragen kregen van bezorgde mensen. En ophef over camera’s in reclamezuilen was voor ons reden om de regels uit te leggen en daarover een brief te sturen aan de branchevereniging.
Sinds 2018 is de AP ook actief op Twitter. Op deze manier kunnen we snel op reageren op vragen en actualiteiten.
zie verder: hoofdstuk ‘Cameratoezicht’
zie verder: AP op Twitter
Vooruitblik 2019
In 2018 heeft de AP de nadruk gelegd op het bevorderen van de naleving. Wij hebben daarom veel geïnvesteerd in voorlichting en advisering om organisaties en mensen te laten wennen aan de AVG. Dit is een bewuste keuze geweest, naast dat het volgens de AVG een expliciete taak is van de toezichthouder om voorlichting te geven.
We zijn vooralsnog terughoudend geweest met de inzet van ‘zwaardere’ middelen als onderzoeken en boetes. In plaats daarvan hebben wij vaker waarschuwingsbrieven aan organisaties gestuurd en gesprekken met hen gevoerd om te bevorderen dat zij zich aan de AVG houden.
Het effect hiervan is dat zowel organisaties als mensen de AVG beter kennen en de AP weten te vinden. En dat zij ons zien als gesprekspartner bij het signaleren en oplossen van privacy-issues. Wij zijn er trots op dat we dit – ondanks onze beperkte middelen – hebben weten te bereiken.
In 2019 gaan wij aan de slag om onze werkprocessen verder te verbeteren, onze risicogestuurde aanpak door te ontwikkelen en de focus van ons toezicht te verbreden van voornamelijk voorlichting naar meer handhaving.
Verbetering werkprocessen
De nieuwe organisatie van de AP heeft een nieuwe missie, een grotere omvang, een andere structuur en een nieuw toezichtkader. De AP is nog volop in ontwikkeling. Daarbij hebben wij het afgelopen jaar zeer veel klachten en datalekmeldingen ontvangen. Daarom gaan we in 2019 verder met het optimaliseren van onze werkprocessen.
Verder gaan we in 2019 meer programmatisch werken. Het doel hiervan is efficiënter te werken en meer effect te bereiken. We verwachten op deze manier onze expertise en instrumenten optimaal te kunnen inzetten. Een voorbeeld hiervan is de aanpak voor het toezicht op handel in persoonsgegevens.
Aanpassen ICT-systemen
Het aantal medewerkers van de AP is in 2018 fors gegroeid. Ook heeft de nieuwe organisatiestructuur nieuwe werkprocessen met zich meegebracht. Wij zijn bezig de ICT-systemen af te stemmen op de nieuwe omvang en processen.
Doorontwikkeling risicogestuurde aanpak
De AP brengt privacyontwikkelingen in kaart door trend- en risicoanalyses te maken. Wij gaan hiertoe onder meer in gesprek met verschillende sectoren, zoals de overheid, de zorg en de financiële sector. Op basis van de aard en omvang van de onderliggende problematiek kiezen wij de meest impactvolle aandachtsgebieden en kijken wij vervolgens welke interventie- en instrumentenmix daar het beste bij past. In 2019 richt de AP zich in ieder geval op niet-gemelde datalekken en handel in persoonsgegevens.
Van voorlichting naar handhaving
In 2019 brengt de AP de inzet van preventieve, correctieve en repressieve instrumenten in evenwicht. Concreet betekent dit: een balans tussen voorlichting, onderzoek en handhaving (zoals boetes). Wij hebben er in 2018 bewust voor gekozen om ons de eerste periode nadat de nieuwe privacywet ging gelden vooral te richten op voorlichting, normuitleg en normoverdracht. Wij vinden dat dit bij een redelijke toezichthouder past. In 2019 geven wij ook voorlichting om de naleving van de privacywetgeving te bevorderen, maar daarnaast gaan wij, vergeleken met 2018, meer onderzoeken doen en waar nodig handhaven.
Internationale samenwerking
Door de AVG gelden in de hele EU dezelfde privacyregels. Een belangrijke stap om de persoonsgegevens van alle EU-inwoners beter te beschermen. Maar minstens zo belangrijk is dat de AVG in alle EU-landen ook op dezelfde manier wordt uitgelegd en toegepast. Zodat iedereen daadwerkelijk dezelfde privacybescherming krijgt en er duidelijkheid is voor organisaties die in meerdere EU-lidstaten actief zijn.
European Data Protection Board
Op 25 mei 2018 is de EDPB opgericht. In de EDPB werken de privacytoezichthouders uit de EU samen bij hun toezicht op de AVG. De EDPB speelt een centrale rol in het zogeheten samenwerkings- en coherentie- mechanisme. Dit mechanisme bestaat uit de verschillende instrumenten die de AVG biedt om ervoor te zorgen dat de wet in alle EU-lidstaten hetzelfde wordt geïnterpreteerd en toegepast.
De EDPB coördineert de samenwerking tussen de EU- privacytoezichthouders, neemt (bindende) besluiten en publiceert regelmatig uitleg over de toepassing van de AVG en andere privacykwesties. De AP is de Nederlandse toezichthouder in de EDPB.
In 2018 stond het internationale werk van de AP vooral in het teken van de EDPB. Het merendeel van de 90 internationale bijeenkomsten waaraan de AP deelnam, bestond uit vergaderingen van de EDPB, de bijbehorende subgroepen en verschillende werkgroepen. De AP speelde hierin een actieve rol, bijvoorbeeld door als (hoofd)rapporteur op te treden voor verschillende Europese projecten.
onderdeel ‘Autoriteit Persoonsgegevens internationaal’ in de bijlage bij dit jaarverslag
Een-loketmechanisme (onestopshop)
Wanneer organisaties in meerdere EU-lidstaten actief zijn – omdat ze vestigingen in meerdere lidstaten hebben of omdat hun activiteiten mensen in verschillende lidstaten raken – kregen ze voorheen te maken met meerdere privacytoezichthouders. Door de AVG is dit veranderd.
De AVG kent het een-loketmechanisme (ook wel ‘onestopshop’ genoemd). Dit houdt in dat organisaties die grensoverschrijdend gegevens verwerken, nog maar met één privacytoezichthouder zaken hoeven te doen. Die wordt de ‘leidende toezichthouder’ genoemd. Dit is vrijwel altijd de toezichthouder van het land waar de hoofdvestiging van de organisatie is gevestigd.
Het een-loketmechanisme heeft nog een voordeel. Heeft iemand een klacht over de verwerking van zijn gegevens door een internationale organisatie? Dan krijgt ook deze persoon nog maar met één privacytoezichthouder binnen de EU te maken, zelfs als de organisatie is gevestigd in een andere EU-lidstaat dan waar diegene woont. Zo krijgen alle EU-inwoners dezelfde privacybescherming.
De leidende toezichthouder werkt samen met de zogeheten betrokken toezichthouders. Dit zijn de toezichthouders van de lidstaten waarin ook mensen worden geraakt door de activiteiten van de internationale organisatie.
In 2018 heeft de AP in 69 internationale zaken opgetreden als leidende toezichthouder en in 342 zaken als betrokken toezichthouder.
zie verder: onderdeel ‘Internationale zaken’ in de bijlage bij dit jaarverslag
zie verder: webdossier Een-loketmechanisme (onestopshop)
Wederzijdse bijstand
De privacytoezichthouders in de EU kunnen elkaar volgens de AVG om wederzijdse bijstand vragen. Dit houdt in dat elke toezichthouder bijvoorbeeld informatie kan opvragen bij een andere toezichthouder of deze kan vragen om iets te doen. Het uitgangspunt is dat de toezichthouders meewerken en binnen 4 weken op zo’n verzoek reageren. In 2018 heeft de AP 15 keer een verzoek om wederzijdse bijstand gekregen en zelf 9 keer om wederzijdse bijstand gevraagd.
Gezamenlijke werkzaamheden
De AVG geeft de EU-privacytoezichthouders de mogelijkheid om in één team, dat bestaat uit medewerkers van verschillende toezichthouders, onderzoek te doen in een of meer EU-lidstaten. Dit worden gezamenlijke werkzaamheden genoemd. Bijvoorbeeld wanneer de leidende toezichthouder en de betrokken toezichthouders samen een onderzoek op locatie willen doen in een complexe, grensoverschrijdende zaak. In 2018 zijn er nog geen gezamenlijke werkzaamheden uitgevoerd.
Adviesprocedure
EDPB Is een van de EU-privacytoezichthouders van plan om een besluit te nemen dat gevolgen kan hebben voor andere EU-lidstaten? Dan moet deze toezichthouder in een specifiek aantal gevallen eerst advies vragen aan de EDPB. Bijvoorbeeld als de toezichthouder van plan is om een (transnationale) gedragscode goed te keuren of een lijst vast te stellen met verwerkingen waarvoor een data protection impact assessment (DPIA) verplicht is.
De privacytoezichthouders kunnen de EDPB ook uit zichzelf om advies vragen. Bijvoorbeeld als ze fundamentele vragen hebben over hoe de AVG moet worden uitgelegd en deze vragen van belang zijn voor (of gevolgen hebben in) meerdere EU-lidstaten. Via de adviesprocedure kunnen de toezichthouders gemeenschappelijke standpunten innemen over kwesties die voor meerdere EU-lidstaten van belang zijn. Hiermee is deze procedure een belangrijk middel voor duidelijke normuitleg en een hoog niveau van gegevensbescherming in de hele EU.
In 2018 heeft de AP 1 keer advies gevraagd aan de EDPB. Dat ging over de Nederlandse lijst van verwerkingen waarvoor een DPIA verplicht is. De EDPB heeft in 2018 27 adviezen vastgesteld.
Bindende besluiten
EDPB In de praktijk kan het voorkomen dat privacytoezichthouders het niet met elkaar eens zijn. Bijvoorbeeld over hoe de AVG op bepaalde punten moet worden uitgelegd. Als dat gebeurt, leggen zij de vraag voor aan de EDPB. Vervolgens neemt de EDPB een bindend besluit, zodat er toch een duidelijke Europese normuitleg komt. Alle privacytoezichthouders moeten deze uitleg vervolgens toepassen. In 2018 heeft de EDPB geen bindende besluiten vastgesteld.
Guidelines EDPB
De EDPB publiceert regelmatig guidelines over diverse onderwerpen uit de AVG en de Richtlijn gegevensbescherming voor de rechtshandhaving. Met deze guidelines laat de EDPB zien hoe bepaalde punten uit de nieuwe privacywetgeving moeten worden begrepen of toegepast. Het doel hiervan is mensen inzicht te bieden in hun privacyrechten en organisaties duidelijk te maken wat zij moeten doen.
De voorloper van de EDPB, de Artikel 29-werkgroep, heeft in de aanloop naar 25 mei 2018 diverse guidelines voorbereid. De EDPB heeft deze 16 guidelines na 25 mei formeel overgenomen. Daarnaast heeft de EDPB in 2018 4 nieuwe guidelines opgesteld. De AP heeft regelmatig de leiding genomen bij het opstellen van guidelines binnen de Artikel 29-werkgroep en de EDPB.
zie verder: AVG-guidelines
zie verder: onderdeel ‘Autoriteit Persoonsgegevens Internationaal’ in de bijlage bij het jaarverslag
Europees toezicht op politie en justitie
In 2018 heeft de AP, net als in voorgaande jaren, deelgenomen aan verschillende Europese toezichthoudende groepen op het gebied van politie, justitie en migratie. Het gaat onder meer om het toezicht op Europol, Eurojust en een aantal Europese informatiesystemen.
Nieuw toezichtplatform
De AP heeft in 2018 uitgebreid overleg gevoerd in de groep BTLE (Borders, Travel and Law Enforcement) en diverse andere toezichtgroepen om een nieuw toezichtplatform op te richten. Het doel van dit nieuwe platform is om al deze aparte toezichtgroepen op het gebied van politie, justitie en migratie te vervangen. Naar verwachting wordt dit nieuwe model van toezichthouden in de loop van 2019 vastgesteld.
SIS II
De AP heeft in 2018 meegedaan aan twee Schengen-evaluaties. Samen met de Europese Commissie controleren de EU-privacytoezichthouders hierbij of de lidstaten het Schengen Informatiesysteem (SIS II) volgens de regels gebruiken.
zie verder: webdossier Europese informatiesystemen
zie verder: onderdeel ‘Autoriteit Persoongegevens Internationaal’ in de bijlage bij het jaarverslag
Internationale doorgifte
De bescherming van persoonsgegevens is niet in alle landen hetzelfde geregeld. Persoonsgegevens doorgeven vanuit Nederland naar het buitenland mag daarom alleen als een land voldoende bescherming biedt.
Om gegevens te mogen doorgeven buiten de Europese Economische Ruimte (EER), kunnen internationaal opererende organisaties bindende bedrijfsvoorschriften (binding corporate rules, BCR’s) opstellen of een modelcontract van de Europese Commissie gebruiken.
De AP beoordeelt, samen met de andere EU-privacy- toezichthouders, of BCR’s en modelcontracten voldoende waarborgen hebben om de doorgifte van persoonsgegevens buiten de EER veilig te laten zijn. In 2018 heeft de AP 6 nieuwe modelcontracten afgehandeld. Verder zijn er 32 nieuwe BCR’s bij de AP ingediend en 5 gewijzigde modelcontracten.
Mensen hebben door de AVG meer en betere privacyrechten gekregen. Bijvoorbeeld het recht op heldere informatie over wat organisaties met hun gegevens doen. Een ellenlang privacystatement vol juridische termen, dat kan écht niet meer. Ook kunnen mensen een privacyklacht indienen bij de AP als zij het niet eens zijn met hoe een organisatie met hun persoonsgegevens omgaat. Als AP behandelen wij elke klacht. In 2018 ontvingen we meteen ruim 11.000 klachten – nog een teken dat mensen hun privacy serieus nemen.
In de AVG is veel aandacht voor verantwoording (‘accountability’). Dat houdt in dat organisaties moeten kunnen aantonen dat zij zich aan de privacywet houden. De AVG-regels dwingen organisaties om – al aan de tekentafel – goed na te denken over hoe zij persoonsgegevens verwerken en beschermen.
Zodat zij grip krijgen op waar zij mee bezig zijn. En daardoor een goed privacyverhaal hebben, zowel voor de mensen van wie zij gegevens ver- werken als voor de toezichthouder. Natuurlijk is een nieuwe wet ook lastig. Wij hebben organisaties daarom zo veel mogelijk geholpen bij de voorbereiding, bijvoorbeeld met praktische hulpmiddelen. Ook dat geeft grip.
Als toezichthouder hebben wij door de AVG steviger bevoegdheden gekregen. Zo kunnen we een boete opleggen van maximaal 20 miljoen euro. Het is nu menens. En dat is niet meer dan terecht, want de bescherming van persoonsgegevens is een grondrecht. Dat door de digitalisering feitelijk de hoeder is van alle andere grondrechten, zoals het recht op non-discriminatie, op godsdienstvrijheid en op briefgeheim. De uiting van deze rechten kan te vinden zijn in persoonsgegevens. Met deze gegevens moet dus uiterst zorgvuldig worden omgegaan, om niet alleen het recht op privacy maar ook de andere grond- rechten te beschermen.
Eind 2018 ligt het eerste half jaar van de AVG achter ons. Voor de AP was 2018 een enerverend jaar. Dynamisch, maar ook met de nodige groeipijnen. We kregen er nieuwe taken bij, onder meer op het gebied van Europese samenwerking, voorlichting en behandeling van privacyklachten. Dat vroeg om een ander soort organisatie. In 2018 zijn we daarom overgegaan naar een grotere organisatie met een andere structuur en rechtspersoonlijkheid en een nieuwe missie en toezichtkader. Op dit moment is de AP nog volop in ontwikkeling: we zijn bezig nieuwe medewerkers in te werken, de nieuwe structuur daalt in, werkprocessen voor nieuwe taken worden helder.
Ondanks deze grote veranderingen is ‘de winkel open gebleven’. De AP heeft ook in 2018 toezicht gehouden
op de naleving van de privacywetgeving, naast de voorbereidingen op de nieuwe wet en de nieuwe organisatie. Zo hebben wij bijna 27.000 mensen te woord gestaan tijdens onze telefonische spreekuren, ruim 11.000 privacyklachten, 4.000 tips en 21.000 datalekmeldingen ontvangen, meer dan 80 keer advies gegeven over nieuwe wet- en regelgeving, diverse grotere en kleinere onderzoeken gedaan en sancties opgelegd aan onder meer Uber, de Belastingdienst en het UWV.
Maar ook al zijn we gegroeid, we zijn nog steeds een relatief kleine toezichthouder. Dat betekent dat we niet overal tegelijk kunnen zijn. Daarom zijn wij heel blij met de 8000 functionarissen gegevensbescherming (FG’s) die zich in 2018 bij ons hebben aan-
gemeld. FG’s spelen een grote rol bij de naleving van de privacyregels binnen organisaties. Ze zijn als het ware onze oren en ogen ter plaatse. Een belangrijke functie dus, waar wij als AP veel waardering voor hebben.
Tot slot zijn er ook ruim 17 miljoen kleine toezichthouders – mensen in Nederland die zich bewust zijn van hun privacyrechten en die zich niet alleen zorgen maken, maar die ook in actie komen. Die organisaties aanspreken op hoe zij met hun persoonsgegevens omgaan. Die waar nodig de hulp van de AP inschakelen. Zodat zij grip houden op hun persoonsgegevens, waar het uiteindelijk allemaal om draait.
Het bestuur van de Autoriteit Persoonsgegevens,
Aleid Wolfsen
Monique Verdier
Katja Mur
Nieuwe wet, nieuwe organisatie
Op 25 mei 2018 werd de nieuwe Europese privacywet van toepassing: de Algemene verordening gegevensbescherming (AVG). En even daarvoor, op 6 mei 2018, de aparte Richtlijn gegevensbescherming voor de rechtshandhaving. De kern van beide is: meer rechten, meer plichten, steviger toezicht en de oprichting van een nieuw Europees instituut, de European Data Protection Board (EDPB). De Autoriteit Persoonsgegevens (AP) kreeg er als toezichthouder nieuwe taken en bevoegdheden bij, onder meer op internationaal gebied. Dat vroeg om een ander soort organisatie. De nieuwe organisatie van de AP is groter en heeft een nieuwe structuur. Ook heeft de AP een nieuwe missie en een nieuw toezichtkader.
In dit deel van ons jaarverslag staan we kort stil bij de nieuwe wet, vervolgens komt de nieuwe organisatie aan bod en focussen we op ons nieuwe toezichtkader. We kijken hierbij terug op 2018: welke plannen uit ons toezichtkader hebben we in dit jaar uitgevoerd? Daarna gaan we in op de internationale aspecten van ons werk.
Nieuwe wet
De nieuwe privacywet is aangepast aan deze tijd en geeft mensen meer zeggenschap over hun persoonsgegevens. Bovendien gelden nu in de hele Europese Unie dezelfde privacyregels en is er een nieuw Europees privacy- instituut, de EDPB. Mensen hebben door de AVG meer privacyrechten gekregen en organisaties meer verplichtingen en verantwoordelijkheden. De privacytoezichthouders kregen steviger bevoegdheden.
Privacyrechten
Iedereen heeft privacyrechten. Zoals het recht om in te zien welke persoonsgegevens een organisatie van je heeft. Die rechten zijn nu uitgebreid met het recht op data- portabiliteit (het recht om je gegevens mee te nemen) en het recht op vergetelheid (organisaties moeten je persoonsgegevens wissen als je erom vraagt). Verder kunnen mensen een privacyklacht indienen bij de AP als zij het niet eens zijn met hoe een organisatie met hun persoonsgegevens omgaat. De AP behandelt elke klacht.
zie verder: webdossier Privacyrechten zie verder: webdossier Privacyklacht indienen
Verantwoordelijkheden
Het uitgangspunt van de AVG is dat iedere verwerking van persoonsgegevens onrechtmatig is, tenzij een organisatie een grondslag heeft voor de verwerking. In de AVG is dan ook veel aandacht voor verantwoording (accountability). Dat houdt in dat organisaties moeten kunnen aantonen dat zij zich aan de privacywet houden. In de AVG staat daarom een aantal concrete verantwoordingsplichten, zoals een verwerkingsregister bijhouden. En sommige organisaties zijn bijvoorbeeld ook verplicht om een functionaris gegevensbescherming (FG) te benoemen. Daarnaast moeten organisaties al vanaf de tekentafel bezig zijn met de privacyrisico’s. De AVG-regels dwingen organisaties dus om goed na te denken over hoe zij persoonsgegevens verwerken en beschermen.
zie verder: webdossier Verantwoordingsplicht zie verder: webdossier Functionaris gegevensbescherming (FG)
Toezicht
De AVG heeft ook veranderingen meegebracht voor het toezicht en de toezichthouder. De AP heeft er nieuwe taken en bevoegdheden bij gekregen. Bijvoorbeeld op het gebied van Europese samenwerking, voorlichting aan mensen en organisaties en bij de behandeling van privacyklachten. Ook kan de AP nu een boete opleggen van maximaal 20 miljoen euro of 4% van de wereldwijde omzet als een organisatie de privacywet overtreedt.
Nieuwe organisatie
Om de nieuwe AVG-taken goed te kunnen uitvoeren, heeft de AP een nieuwe organisatiestructuur gekregen en een andere rechtspositie. Ook is het aantal medewerkers flink gegroeid. Verder heeft de AP een nieuwe vorm van toezicht geïntroduceerd: systeemtoezicht.
Organisatiestructuur Vanwege de nieuwe taken en bevoegdheden en de grotere organisatie heeft de AP een nieuwe managementstructuur ingesteld, met vier directies.
Rechtspositie
De onafhankelijkheid van de AP is versterkt, doordat de AP sinds 1 januari 2019 eigen rechtspersoonlijkheid heeft gekregen.
Personeel
Het aantal medewerkers van de AP is in de afgelopen twee jaar meer dan verdubbeld: van 75,7 fte begin 2017 naar 157,1 fte eind 2018. De grootste groei – met meer dan 60 fte – vond plaats in 2018. De verwachting is dat er in 2019 nog meer medewerkers bijkomen.
Systeemtoezicht
Een andere belangrijke wijziging is dat de AP in 2018 een nieuwe vorm van toezicht heeft geïntroduceerd: systeemtoezicht. Uitgangspunt hierbij is het bevorderen van de eigen verantwoordelijkheid van organisaties om aan de privacywetgeving te voldoen. Deze vorm van toezicht is een aanvulling op controlerende onderzoeken, handhaving en communicatie.
AVG-proof
De AP verwerkt zelf ook persoonsgegevens. Gegevens van en over burgers en medewerkers moeten bij de AP veilig zijn en de privacy van deze mensen moet zijn gewaarborgd. In 2018 heeft de AP een AVG-privacybeleid vastgesteld, het beveiligingsbeleid geactualiseerd, een verwerkingsregister opgesteld en alle werkprocessen en autorisaties getoetst en waar nodig aangepast aan de AVG.
Om belangenverstrengeling te voorkomen heeft de AP een externe FG aangesteld. De taken en de positie van de FG zijn uitgewerkt in het Statuut Functionaris gegevensbescherming. Daarnaast heeft de AP binnen iedere directie twee privacycontactpersonen aangewezen en voor directieoverstijgende aspecten een concern-privacy- contactpersoon.
Bestuur
Het bestuur heeft de leiding over de AP-organisatie. Het bestuur bestond jarenlang uit twee leden. Uit de UAVG volgt dat het bestuur van de AP uit drie leden bestaat: een voorzitter en twee andere leden.
VicevoorzitterWilbert Tomesen verliet de AP en werd per 1 juli 2018 voorzitter van het Huis van de Klokkenluiders.
Sinds 1 februari 2019 is het bestuur van de AP compleet. De drie bestuursleden vormen een collegiaal bestuur. De voorzitter en de leden zijn betrokken bij alle werkzaamheden van de AP: toezicht, handhaving, klachtbehandeling, voorlichting en wetgevingsadvisering.
Directies
De nieuwe organisatie van de AP bestaat uit vier directies. Onder de directies vallen verschillende afdelingen.
Directie Klantcontact en Controlerend onderzoek
De directie Klantcontact en Controlerend onderzoek bestaat uit het Informatie- en Meldpunt Privacy (IMP) en twee onderzoeksafdelingen. IMP is het eerste aanspreekpunt voor burgers en organisaties met vragen over de AVG. Ook behandelt IMP privacyklachten van mensen.
De afdeling Eerstelijns onderzoek beoordeelt alle meldingen van datalekken en doet beknopt onderzoek naar aanleiding van klachten of datalekmeldingen. De afdeling Controlerend onderzoek doet uitgebreider en complexer onderzoek naar mogelijke overtredingen.
Directie Systeemtoezicht, Beveiliging en Technologie
De directie Systeemtoezicht, Beveiliging en Technologie bestaat uit de afdeling Systeemtoezicht en de afdeling Beveiliging en Technologie.
De afdeling Systeemtoezicht houdt toezicht op de interne privacyprocessen van organisaties en is aanspreekpunt voor brancheorganisaties en FG’s. Verder beoordeelt deze afdeling voorafgaande raadplegingen, vergunning- aanvragen en privacy-instrumenten als gedragscodes en bindende bedrijfsvoorschriften.
Bij de afdeling Beveiliging en Technologie is de technologische privacy-expertise binnen de AP ondergebracht. De afdeling levert bijdragen aan de onderzoeken die de andere directies doen.
Directie Juridische Zaken en Wetgevingsadvisering
De directie Juridische Zaken en Wetgevingsadvisering is verantwoordelijk voor de sancties die de AP oplegt. Verder behandelt de directie bezwaarzaken en vertegenwoordigt de directie de AP bij de nationale en Europese rechter.
Daarnaast geeft de directie gevraagd en ongevraagd advies over privacyaspecten van nieuwe wet- en regelgeving. Verder maakt de directie de juridische analyses die de AP nodig heeft om de AVG eenduidig uit te leggen. Tot slot vallen de juridische staftaken onder deze directie, zoals contracten, convenanten, besluiten en WOB-verzoeken.
Directie Beleid, Internationaal, Strategie en Communicatie
De directie Beleid, Internationaal, Strategie en Communicatie ontwikkelt het beleid en de (middel)langetermijnstrategie van de AP. Ook is de directie op internationaal gebied onder meer verantwoordelijk voor de behandeling van internationale zaken en het (gezamenlijke) toezicht op Europese informatiesystemen.
Verder verzorgt de directie de interne en externe communicatie, onder andere via woordvoering en voorlichtingscampagnes. Tot slot zijn de AP-brede bedrijfsvoeringstaken bij deze directie ondergebracht, zoals ICT, administratie, financiën en het secretariaat.
Tussenstand toezicht 2018-2019
Er is vrijwel geen organisatie te bedenken die géén persoonsgegevens verwerkt, dus bijna iedereen moet zich aan nieuwe regels houden. De AP moet als toezichthouder bevorderen en bewaken dat alle organisaties die nieuwe regels ook echt naleven. In verhouding tot het aantal organisaties is de AP een kleine toezichthouder, die simpelweg niet overal tegelijk kan zijn. De AP heeft daarom een toezichtkader gemaakt, waarin staat wat we in 2018-2019 willen en kunnen doen en hoe we dat gaan doen.
Het toezichtkader geldt voor het halve jaar dus waarin de AVG nog relatief nieuw was, maar ook voor het jaar daarna – wanneer het eerste stof is neergedaald en we meer van organisaties verwachten.
“De Autoriteit Persoonsgegevens is de onafhankelijke toezichthouder in Nederland die de bescherming van persoonsgegevens bevordert en bewaakt.” Dat is onze missie. In ons toezichtkader beschrijven we daarom eerst wat we doen om de naleving van de privacyregels te bevorderen en daarna wat we doen om de naleving te bewaken.
Als relatief kleine organisatie moet de AP keuzes maken. We bekijken in welke sectoren en bij welke soorten verwerkingen de grootste risico’s zijn. En daar richten we ons dan vooral op. Dat noemen we risicogericht toezicht. In het toezichtkader geven wij aan wat onze focus is voor de periode 2018-2019.
In dit onderdeel van ons jaarverslag kijken we terug op 2018. Welke plannen uit ons toezichtkader hebben we ook daadwerkelijk uitgevoerd? Ook blikken we vooruit naar (de tweede helft van) 2019.
Naleving bevorderen
Naleving bevorderen is een net zo belangrijk onderdeel van ons toezicht als de naleving bewaken. De AP bevordert dat organisaties, maar ook mensen zelf, hun verantwoordelijkheid nemen om persoonsgegevens te beschermen. Dit doen wij door beide groepen te informeren over de regels en de risico’s.
Zo leggen wij mensen uit wat hun rechten zijn en stimuleren wij organisaties om privacyvriendelijke systemen en processen toe te passen. Daarnaast adviseren wij de overheid – zowel gevraagd als ongevraagd – over nieuwe wet- en regelgeving die over de verwerking van persoonsgegevens gaat.
Voorlichting
De AP maakt zich sterk voor de bescherming van persoonsgegevens als vanzelfsprekende waarde in onze maatschappij. Daarom hebben wij in 2018 nadrukkelijk geïnvesteerd in voorlichting. Dit is een bewuste keuze geweest, naast dat het volgens de AVG expliciet onze taak is om voorlichting te geven.
Wij hebben bijna 27.000 mensen te woord gestaan tijdens onze telefonische spreekuren en 834 keer contact gehad met journalisten. Ook hebben we ruim 70 presentaties en workshops verzorgd voor diverse (branche)organisaties. En tientallen gesprekken gevoerd met stakeholders in uiteenlopende sectoren, om problemen en risico’s te signaleren en samen naar oplossingen te zoeken.
Voorlichtingscampagne
Met de campagne ‘Privacy gaat iedereen wat aan’ hebben wij mensen bewuster gemaakt van hun privacyrechten en organisaties praktische hulp geboden om aan de AVG te voldoen. Bijvoorbeeld met een digitale ‘regelhulp’ waarmee organisaties snel in kaart konden brengen wat zij nog moesten doen voor 25 mei 2018. In 2019 volgt een nieuwe voorlichtingscampagne voor het algemeen publiek, het mkb en jongeren van 12, 13 en 14 jaar.
Uitleg van de AVG
Wetteksten zijn niet voor iedereen makkelijk te begrijpen. En ook staat niet altijd letterlijk in de wet wat organisaties moeten doen. Daarom heeft de AP samen met de andere Europese privacytoezichthouders diverse guidelines gepubliceerd die bepaalde onderwerpen uit de AVG verduidelijken. Maar er zijn ook onderwerpen waarover nog geen guidelines bestaan. Om toch alvast duidelijkheid te bieden, heeft de AP in 2018 over diverse onderwerpen uitleg gegeven, zoals wifitracking, direct marketing en grootschalige gegevensverwerkingen in de zorg.
zie verder: AVG-guidelines
Voorlichting aan FG’s
Volgens de AVG moeten bepaalde organisaties een FG – een interne toezichthouder – aanstellen en deze aanmelden bij de AP. Omdat FG’s een grote rol spelen bij de na- leving van de privacyregels binnen organisaties, vindt de AP het belangrijk om een goede relatie met hen te onderhouden. In 2018 zijn 8.000 FG’s aangemeld bij de AP. Verder hebben wij zo’n 1.600 vragen van FG’s beantwoord en de voorlichting aan FG’s via onze website verbeterd.
zie verder: dossier Functionaris gegevensbescherming (FG)
Parlement
De Eerste en Tweede Kamer nodigen de AP met enige regelmaat uit om deel te nemen aan een hoorzitting, rondetafelgesprek of technische briefing. Zo nam de vicevoorzitter van de AP in mei 2018 deel aan een ronde-
tafelgesprek over internetbedrijven en privacybescherming in de Tweede Kamer. De voorzitter nam in oktober 2018 deel aan een technische briefing in de Tweede Kamer over gegevensuitwisseling om ondermijnende criminaliteit te bestrijden. Verder bood de voorzitter in april 2018 de leden van de vaste commissie voor Justitie en Veiligheid van de Tweede Kamer het AP-jaarverslag 2017 aan, waarbij vooral het van toepassing worden van de AVG in mei 2018 onderwerp van gesprek was.
Behandeling van klachten
Iedereen die vermoedt dat een organisatie niet netjes omgaat met zijn of haar persoonsgegevens, kan een privacyklacht indienen bij de AP. Sinds de AVG neemt de AP elke klacht in behandeling die gaat over een mogelijke schending van de eigen persoonsgegevens. In 2018 hebben wij ruim 11.000 klachten ontvangen. De klachten gingen vooral over schending van privacyrechten, zoals het recht op inzage.
Omdat het aantal klachten zo groot was, richtten we ons op manieren om de klachten zo effectief en efficiënt mogelijk te behandelen. Zodat we toch zo veel mogelijk klachten op tijd konden afhandelen. We hebben onder meer uitleg gegeven over de regels, gesprekken gevoerd met organisaties en concrete tips gegeven om de problemen achter de klachten succesvol op te lossen.
De AP heeft zich in 2018 vooral gericht op het beëindigen van mogelijke overtredingen door aan te sturen op herstelmaatregelen door organisaties zelf. Klachten zullen in de toekomst vaker leiden tot onderzoek en sancties van de AP. Daarvoor zullen we meer medewerkers aanstellen.
zie verder: onderdeel ‘Klachten en informatieverzoeken’ in de bijlage bij het jaarverslag
Wetgevingsadvisering
De wetgever is verplicht om de AP te raadplegen over nieuwe wet- en regelgeving waarin de verwerking van persoonsgegevens aan de orde komt. Deze verplichting is sinds de AVG nog ruimer geworden en is bedoeld om ervoor te zorgen dat de nationale wetgeving in lijn is met de AVG. Ook kan de AP ongevraagd advies geven, niet alleen aan ministeries maar ook aan andere organisaties die betrokken zijn bij nieuwe wet- en regelgeving.
De wetgever is niet verplicht om het advies van de AP op te volgen. Een wetgevingsadvies is dus minder dwingend dan onze andere toezichts- en handhavingsbevoegd- heden. Maar het heeft als voordeel dat hiermee al in een vroeg stadium inbreuken op de privacy van mogelijk grote groepen mensen voorkomen kunnen worden.
De AP vindt het dan ook belangrijk om de adviseringstaak nog verder te verbeteren en uit te breiden. Zeker nu de wetgever vaker verplicht is om advies te vragen en wijzelf als ambitie hebben om vaker ongevraagd advies te geven. In 2018 hebben wij daarom een aparte afdeling opgericht
voor wetgevingsadvisering en extra adviseurs aangesteld. Verder hebben wij de adviesprocedure verbeterd in overleg met de ministeries. Wij hebben dit jaar prioriteit gegeven aan het op tijd afhandelen van de gevraagde adviezen. We kregen veel meer adviesaanvragen dan in voorgaande jaren (van rond de 30 naar meer dan 80), zodat vrijwel alle capaciteit van de nog nieuwe afdeling daarvoor nodig was.
Een terugkerend punt van aandacht in de wetgevings- adviezen waren de noodzaak, proportionaliteit (staat de privacyinbreuk in verhouding tot het doel?) en subsidiariteit (kan het doel niet op een andere, minder ingrijpende manier worden bereikt?) van voorgenomen gegevensverwerkingen. Daarnaast is van groot belang dat de AVG weliswaar op ruime schaal nationale wetgeving toelaat of vereist, maar dat aan die wetgeving wel eisen worden gesteld. Wetgeving moet vooral een waarborg zijn voor zorgvuldige afweging, niet een vrijbrief voor gegevensverwerking. Tot slot was een belangrijk thema, dat ook in 2019 nog aandacht zal vragen, uitwisseling van persoonsgegevens om ondermijnende criminaliteit tegen te gaan.
zie verder: onderdeel ‘Adviesprojecten wetgeving 2018’ in de bijlage bij dit jaarverslag
Naleving bewaken
De AP bewaakt dat organisaties zich aan de privacyregels houden door onafhankelijk onderzoek te doen naar (mogelijke) overtredingen. Als een overtreding wordt geconstateerd, treedt de AP handhavend op. Bijvoorbeeld door een boete op te leggen.
Wij werken samen met andere Europese privacytoezichthouders, want wij moeten reageren op nationale én internationale ontwikkelingen. Inherent daaraan is dat wij keuzes moeten maken. Keuzes over onze rol en over de meest effectieve aanpak per situatie.
Om een effectieve toezichthouder te kunnen zijn, past de AP uiteenlopende toezichts- en handhavingsinstrumenten toe. Een officieel onderzoek is bijvoorbeeld niet altijd nodig. Vaak is een waarschuwingsbrief of -gesprek al genoeg om een overtreding te beëindigen. Ons uitgangspunt is dat wij kiezen voor het instrument waarmee we het meeste effect bereiken. De wens van de klager is hierbij leidend.
Controle verantwoordingsplichten
In de AVG is veel aandacht voor verantwoording (accountability). Dat houdt in dat organisaties moeten kunnen aantonen dat zij zich aan de privacywet houden. In de AVG staat daarom een aantal concrete verantwoordingsplichten. Zoals een verwerkingsregister bijhouden en een FG aanstellen.
Dat een organisatie deze verantwoordingsplichten op orde heeft, wil niet per definitie zeggen dat de organisatie volledig voldoet aan de AVG. Maar het geeft wel een indicatie van de mate waarin de organisatie serieus werk heeft gemaakt van de implementatie van de AVG. En heeft nagedacht over belangrijke onderdelen uit de AVG, zoals grondslagen, doelbinding en beveiliging.
De AP heeft in 2018 in verschillende sectoren de naleving gecontroleerd van (een van de) verantwoordingsplichten uit de AVG: de FG bij de overheid, in de zorg, bij banken en bij verzekeraars; het privacybeleid in de zorg en bij politieke partijen; en tot slot het verwerkingsregister in de private sector.
Risicogericht toezicht
Omdat vrijwel iedere organisatie persoonsgegevens verwerkt, is het aantal organisaties waarop de AP toezicht houdt heel groot. Daarnaast heeft de AP er sinds de AVG geldt een aantal grote taken bij gekregen. Dit betekent dat wij keuzes moeten maken.
Daarbij stellen wij de mensen van wie gegevens worden verwerkt centraal, net als de AVG doet. Onze aanpak is risicogericht. Dat houdt in dat wij trends en privacyrisico’s in kaart brengen, waarbij wij er speciaal op letten welke risico’s voor grote groepen mensen gelden. Op basis van deze analyse bepalen wij per periode welke toezichtactiviteiten wij uitvoeren binnen welke aandachtsgebieden.
Aandachtsgebieden 2018-2019
In het toezichtkader 2018-2019 heeft de AP aangekondigd zich in deze periode vooral op de volgende sectoren en onderwerpen te richten: overheid, zorg, handel in persoonsgegevens en datalekken.
Overheid en zorg
Zowel overheidsorganisaties als zorginstellingen beschikken over grote hoeveelheden – vaak gevoelige – persoonsgegevens. Mensen zijn bovendien meestal verplicht om hun gegevens aan de overheid af te staan. En in de zorg gaat het vaak om medische gegevens, die tot de gevoeligste gegevens behoren die er zijn. Kortom: mensen moeten
erop kunnen vertrouwen dat er zowel bij de overheid als in de zorg uiterst zorgvuldig met hun gegevens wordt omgegaan.
De AP deed in 2018 controles op de verantwoordingsplichten uit de AVG bij de overheid en in de zorg. De AP controleerde bij 400 overheidsorganisaties, 91 ziekenhuizen en 33 zorgverzekeraars of zij een FG hadden aangemeld. Bij de organisaties in de zorg keek de AP ook of zij de contactgegevens van hun FG op de goede manier vermeldden op hun website. Verder is de AP in december 2018 gestart met onderzoek naar het privacybeleid van een aantal IVF-klinieken en bloedbanken.
De AP zal in 2019 bij de overheid en in de zorg blijvende aandacht hebben voor zowel de beveiliging van persoonsgegevens als de vraag of de verwerking gebaseerd is op de juiste grondslag, vooral als de gegevens worden uitgewisseld.
zie verder: hoofdstuk ‘Overheid’ zie verder: hoofdstuk ‘Gezondheid’
Handel in persoonsgegevens
Datahandelaren verzamelen op grote schaal persoons- gegevens van consumenten via verschillende online en offline bronnen. Zij verwerken de gegevens tot profielen en verkopen deze door. Bijvoorbeeld aan organisaties die de gegevens gebruiken voor direct marketing of voor creditscoring. Mensen weten vaak niet om hoeveel gegevens het gaat en welke persoonsgegevens aan welke partijen met welk doel worden verstrekt. Ook zijn zij meestal niet op de hoogte van profilering – tot het moment dat hun aanvraag voor een lening of abonnement wordt geweigerd. Een ander risico is dat sommige gegevens of opgestelde profielen onjuist zijn, wat grote gevolgen kan hebben. Mensen verliezen zo zeggenschap over hun gegevens.
De AP wil bevorderen dat organisaties die persoons- gegevens verkopen, dit alleen doen op basis van een juiste wettelijke grondslag. En dat zij mensen heldere informatie geven over wat er met hun gegevens gebeurt. Omdat het verhandelen van persoonsgegevens een complex proces is, heeft de AP zich in 2018 gericht op het in kaart brengen van dit proces en het ontwikkelen van een gefaseerde aanpak voor het toezicht op datahandel. Ook heeft de AP uitgebreide uitleg gegeven over wat er wel en niet mag bij direct marketing. Daarnaast is de AP in gesprek gegaan met de branche om de wettelijke regels toe te lichten.
zie verder: hoofdstuk ‘Internet en telecom’
Datalekken
Verantwoord omgaan met persoonsgegevens valt of staat met een adequate beveiliging van de gegevens. Slechte beveiliging kan leiden tot een datalek, met alle gevolgen van dien. Een organisatie die een ernstig datalek heeft, moet dit melden aan de mensen van wie de gegevens zijn. Zodat zij bijvoorbeeld snel hun wachtwoord kunnen wijzigen. Ook moet de organisatie het datalek melden bij de AP, zodat de AP zich een beeld kan vormen van de feiten en kan ingrijpen als dat nodig is.
In 2018 werden er 20.881 datalekken gemeld bij de AP. Het aantal meldingen is meer dan verdubbeld vergeleken met 2017. De AP heeft sinds 25 mei 2018 de meeste datalekmeldingen ontvangen van alle Europese privacytoezichthouders. Omdat het aantal meldingen het eerder geschatte aantal fors overstijgt, zullen wij onze capaciteit uitbreiden om meer actie te kunnen ondernemen. Deze acties kunnen leiden tot meer handhavende maatregelen.
In 2018 heeft de AP bij 298 datalekmeldingen actief gehandeld richting de organisaties die het datalek meldden. Over het algemeen leidde dit tot een waarschuwing en gepaste acties van de organisaties. Hieronder vielen ook interventies naar mogelijke datalekken bij organisaties die het datalek níet hadden gemeld bij de AP. In 2019 gaan wij daar meer aandacht aan besteden.
De AP startte 4 onderzoeken: 2 naar niet-gemelde datalekken en 2 naar gemelde datalekken die zijn veroorzaakt door ernstige tekortkomingen in de beveiliging. In november 2018 legde AP Uber een boete van 600.000 euro op voor het te laat melden van een datalek.
zie verder: hoofdstuk ‘Beveiliging’
Actualiteit
De AP treedt ook op naar aanleiding van klachten of de actualiteit. In 2018 zijn wij 14 onderzoeken gestart nadat mensen een klacht bij ons hadden ingediend. Ook hebben wij bijvoorbeeld onderzoek gedaan naar camera’s in sauna’s, nadat er onrust was ontstaan in de media over gelekte camerabeelden en wij in korte tijd een groot aantal vragen kregen van bezorgde mensen. En ophef over camera’s in reclamezuilen was voor ons reden om de regels uit te leggen en daarover een brief te sturen aan de branchevereniging.
Sinds 2018 is de AP ook actief op Twitter. Op deze manier kunnen we snel op reageren op vragen en actualiteiten.
zie verder: hoofdstuk ‘Cameratoezicht’
zie verder: AP op Twitter
Vooruitblik 2019
In 2018 heeft de AP de nadruk gelegd op het bevorderen van de naleving. Wij hebben daarom veel geïnvesteerd in voorlichting en advisering om organisaties en mensen te laten wennen aan de AVG. Dit is een bewuste keuze geweest, naast dat het volgens de AVG een expliciete taak is van de toezichthouder om voorlichting te geven.
We zijn vooralsnog terughoudend geweest met de inzet van ‘zwaardere’ middelen als onderzoeken en boetes. In plaats daarvan hebben wij vaker waarschuwingsbrieven aan organisaties gestuurd en gesprekken met hen gevoerd om te bevorderen dat zij zich aan de AVG houden.
Het effect hiervan is dat zowel organisaties als mensen de AVG beter kennen en de AP weten te vinden. En dat zij ons zien als gesprekspartner bij het signaleren en oplossen van privacy-issues. Wij zijn er trots op dat we dit – ondanks onze beperkte middelen – hebben weten te bereiken.
In 2019 gaan wij aan de slag om onze werkprocessen verder te verbeteren, onze risicogestuurde aanpak door te ontwikkelen en de focus van ons toezicht te verbreden van voornamelijk voorlichting naar meer handhaving.
Verbetering werkprocessen
De nieuwe organisatie van de AP heeft een nieuwe missie, een grotere omvang, een andere structuur en een nieuw toezichtkader. De AP is nog volop in ontwikkeling. Daarbij hebben wij het afgelopen jaar zeer veel klachten en datalekmeldingen ontvangen. Daarom gaan we in 2019 verder met het optimaliseren van onze werkprocessen.
Verder gaan we in 2019 meer programmatisch werken. Het doel hiervan is efficiënter te werken en meer effect te bereiken. We verwachten op deze manier onze expertise en instrumenten optimaal te kunnen inzetten. Een voorbeeld hiervan is de aanpak voor het toezicht op handel in persoonsgegevens.
Aanpassen ICT-systemen
Het aantal medewerkers van de AP is in 2018 fors gegroeid. Ook heeft de nieuwe organisatiestructuur nieuwe werkprocessen met zich meegebracht. Wij zijn bezig de ICT-systemen af te stemmen op de nieuwe omvang en processen.
Doorontwikkeling risicogestuurde aanpak
De AP brengt privacyontwikkelingen in kaart door trend- en risicoanalyses te maken. Wij gaan hiertoe onder meer in gesprek met verschillende sectoren, zoals de overheid, de zorg en de financiële sector. Op basis van de aard en omvang van de onderliggende problematiek kiezen wij de meest impactvolle aandachtsgebieden en kijken wij vervolgens welke interventie- en instrumentenmix daar het beste bij past. In 2019 richt de AP zich in ieder geval op niet-gemelde datalekken en handel in persoonsgegevens.
Van voorlichting naar handhaving
In 2019 brengt de AP de inzet van preventieve, correctieve en repressieve instrumenten in evenwicht. Concreet betekent dit: een balans tussen voorlichting, onderzoek en handhaving (zoals boetes). Wij hebben er in 2018 bewust voor gekozen om ons de eerste periode nadat de nieuwe privacywet ging gelden vooral te richten op voorlichting, normuitleg en normoverdracht. Wij vinden dat dit bij een redelijke toezichthouder past. In 2019 geven wij ook voorlichting om de naleving van de privacywetgeving te bevorderen, maar daarnaast gaan wij, vergeleken met 2018, meer onderzoeken doen en waar nodig handhaven.
Internationale samenwerking
Door de AVG gelden in de hele EU dezelfde privacyregels. Een belangrijke stap om de persoonsgegevens van alle EU-inwoners beter te beschermen. Maar minstens zo belangrijk is dat de AVG in alle EU-landen ook op dezelfde manier wordt uitgelegd en toegepast. Zodat iedereen daadwerkelijk dezelfde privacybescherming krijgt en er duidelijkheid is voor organisaties die in meerdere EU-lidstaten actief zijn.
European Data Protection Board
Op 25 mei 2018 is de EDPB opgericht. In de EDPB werken de privacytoezichthouders uit de EU samen bij hun toezicht op de AVG. De EDPB speelt een centrale rol in het zogeheten samenwerkings- en coherentie- mechanisme. Dit mechanisme bestaat uit de verschillende instrumenten die de AVG biedt om ervoor te zorgen dat de wet in alle EU-lidstaten hetzelfde wordt geïnterpreteerd en toegepast.
De EDPB coördineert de samenwerking tussen de EU- privacytoezichthouders, neemt (bindende) besluiten en publiceert regelmatig uitleg over de toepassing van de AVG en andere privacykwesties. De AP is de Nederlandse toezichthouder in de EDPB.
In 2018 stond het internationale werk van de AP vooral in het teken van de EDPB. Het merendeel van de 90 internationale bijeenkomsten waaraan de AP deelnam, bestond uit vergaderingen van de EDPB, de bijbehorende subgroepen en verschillende werkgroepen. De AP speelde hierin een actieve rol, bijvoorbeeld door als (hoofd)rapporteur op te treden voor verschillende Europese projecten.
onderdeel ‘Autoriteit Persoonsgegevens internationaal’ in de bijlage bij dit jaarverslag
Een-loketmechanisme (onestopshop)
Wanneer organisaties in meerdere EU-lidstaten actief zijn – omdat ze vestigingen in meerdere lidstaten hebben of omdat hun activiteiten mensen in verschillende lidstaten raken – kregen ze voorheen te maken met meerdere privacytoezichthouders. Door de AVG is dit veranderd.
De AVG kent het een-loketmechanisme (ook wel ‘onestopshop’ genoemd). Dit houdt in dat organisaties die grensoverschrijdend gegevens verwerken, nog maar met één privacytoezichthouder zaken hoeven te doen. Die wordt de ‘leidende toezichthouder’ genoemd. Dit is vrijwel altijd de toezichthouder van het land waar de hoofdvestiging van de organisatie is gevestigd.
Het een-loketmechanisme heeft nog een voordeel. Heeft iemand een klacht over de verwerking van zijn gegevens door een internationale organisatie? Dan krijgt ook deze persoon nog maar met één privacytoezichthouder binnen de EU te maken, zelfs als de organisatie is gevestigd in een andere EU-lidstaat dan waar diegene woont. Zo krijgen alle EU-inwoners dezelfde privacybescherming.
De leidende toezichthouder werkt samen met de zogeheten betrokken toezichthouders. Dit zijn de toezichthouders van de lidstaten waarin ook mensen worden geraakt door de activiteiten van de internationale organisatie.
In 2018 heeft de AP in 69 internationale zaken opgetreden als leidende toezichthouder en in 342 zaken als betrokken toezichthouder.
zie verder: onderdeel ‘Internationale zaken’ in de bijlage bij dit jaarverslag
zie verder: webdossier Een-loketmechanisme (onestopshop)
Wederzijdse bijstand
De privacytoezichthouders in de EU kunnen elkaar volgens de AVG om wederzijdse bijstand vragen. Dit houdt in dat elke toezichthouder bijvoorbeeld informatie kan opvragen bij een andere toezichthouder of deze kan vragen om iets te doen. Het uitgangspunt is dat de toezichthouders meewerken en binnen 4 weken op zo’n verzoek reageren. In 2018 heeft de AP 15 keer een verzoek om wederzijdse bijstand gekregen en zelf 9 keer om wederzijdse bijstand gevraagd.
Gezamenlijke werkzaamheden
De AVG geeft de EU-privacytoezichthouders de mogelijkheid om in één team, dat bestaat uit medewerkers van verschillende toezichthouders, onderzoek te doen in een of meer EU-lidstaten. Dit worden gezamenlijke werkzaamheden genoemd. Bijvoorbeeld wanneer de leidende toezichthouder en de betrokken toezichthouders samen een onderzoek op locatie willen doen in een complexe, grensoverschrijdende zaak. In 2018 zijn er nog geen gezamenlijke werkzaamheden uitgevoerd.
Adviesprocedure
EDPB Is een van de EU-privacytoezichthouders van plan om een besluit te nemen dat gevolgen kan hebben voor andere EU-lidstaten? Dan moet deze toezichthouder in een specifiek aantal gevallen eerst advies vragen aan de EDPB. Bijvoorbeeld als de toezichthouder van plan is om een (transnationale) gedragscode goed te keuren of een lijst vast te stellen met verwerkingen waarvoor een data protection impact assessment (DPIA) verplicht is.
De privacytoezichthouders kunnen de EDPB ook uit zichzelf om advies vragen. Bijvoorbeeld als ze fundamentele vragen hebben over hoe de AVG moet worden uitgelegd en deze vragen van belang zijn voor (of gevolgen hebben in) meerdere EU-lidstaten. Via de adviesprocedure kunnen de toezichthouders gemeenschappelijke standpunten innemen over kwesties die voor meerdere EU-lidstaten van belang zijn. Hiermee is deze procedure een belangrijk middel voor duidelijke normuitleg en een hoog niveau van gegevensbescherming in de hele EU.
In 2018 heeft de AP 1 keer advies gevraagd aan de EDPB. Dat ging over de Nederlandse lijst van verwerkingen waarvoor een DPIA verplicht is. De EDPB heeft in 2018 27 adviezen vastgesteld.
Bindende besluiten
EDPB In de praktijk kan het voorkomen dat privacytoezichthouders het niet met elkaar eens zijn. Bijvoorbeeld over hoe de AVG op bepaalde punten moet worden uitgelegd. Als dat gebeurt, leggen zij de vraag voor aan de EDPB. Vervolgens neemt de EDPB een bindend besluit, zodat er toch een duidelijke Europese normuitleg komt. Alle privacytoezichthouders moeten deze uitleg vervolgens toepassen. In 2018 heeft de EDPB geen bindende besluiten vastgesteld.
Guidelines EDPB
De EDPB publiceert regelmatig guidelines over diverse onderwerpen uit de AVG en de Richtlijn gegevensbescherming voor de rechtshandhaving. Met deze guidelines laat de EDPB zien hoe bepaalde punten uit de nieuwe privacywetgeving moeten worden begrepen of toegepast. Het doel hiervan is mensen inzicht te bieden in hun privacyrechten en organisaties duidelijk te maken wat zij moeten doen.
De voorloper van de EDPB, de Artikel 29-werkgroep, heeft in de aanloop naar 25 mei 2018 diverse guidelines voorbereid. De EDPB heeft deze 16 guidelines na 25 mei formeel overgenomen. Daarnaast heeft de EDPB in 2018 4 nieuwe guidelines opgesteld. De AP heeft regelmatig de leiding genomen bij het opstellen van guidelines binnen de Artikel 29-werkgroep en de EDPB.
zie verder: AVG-guidelines
zie verder: onderdeel ‘Autoriteit Persoonsgegevens Internationaal’ in de bijlage bij het jaarverslag
Europees toezicht op politie en justitie
In 2018 heeft de AP, net als in voorgaande jaren, deelgenomen aan verschillende Europese toezichthoudende groepen op het gebied van politie, justitie en migratie. Het gaat onder meer om het toezicht op Europol, Eurojust en een aantal Europese informatiesystemen.
Nieuw toezichtplatform
De AP heeft in 2018 uitgebreid overleg gevoerd in de groep BTLE (Borders, Travel and Law Enforcement) en diverse andere toezichtgroepen om een nieuw toezichtplatform op te richten. Het doel van dit nieuwe platform is om al deze aparte toezichtgroepen op het gebied van politie, justitie en migratie te vervangen. Naar verwachting wordt dit nieuwe model van toezichthouden in de loop van 2019 vastgesteld.
SIS II
De AP heeft in 2018 meegedaan aan twee Schengen-evaluaties. Samen met de Europese Commissie controleren de EU-privacytoezichthouders hierbij of de lidstaten het Schengen Informatiesysteem (SIS II) volgens de regels gebruiken.
zie verder: webdossier Europese informatiesystemen
zie verder: onderdeel ‘Autoriteit Persoongegevens Internationaal’ in de bijlage bij het jaarverslag
Internationale doorgifte
De bescherming van persoonsgegevens is niet in alle landen hetzelfde geregeld. Persoonsgegevens doorgeven vanuit Nederland naar het buitenland mag daarom alleen als een land voldoende bescherming biedt.
Om gegevens te mogen doorgeven buiten de Europese Economische Ruimte (EER), kunnen internationaal opererende organisaties bindende bedrijfsvoorschriften (binding corporate rules, BCR’s) opstellen of een modelcontract van de Europese Commissie gebruiken.
De AP beoordeelt, samen met de andere EU-privacy- toezichthouders, of BCR’s en modelcontracten voldoende waarborgen hebben om de doorgifte van persoonsgegevens buiten de EER veilig te laten zijn. In 2018 heeft de AP 6 nieuwe modelcontracten afgehandeld. Verder zijn er 32 nieuwe BCR’s bij de AP ingediend en 5 gewijzigde modelcontracten.
Overheid
Centrale en lokale overheden, uitvoeringsorganisaties en politie en justitie beschikken over een grote hoeveelheid – vaak gevoelige – persoonsgegevens. Mensen zijn meestal verplicht om hun persoonsgegevens af te geven aan de overheid. Daarom moet iedereen erop kunnen vertrouwen dat de overheid zorgvuldig met deze gegevens omgaat. En dat de overheid dus bijvoorbeeld altijd een wettelijke basis heeft om gegevens te verwerken, niet meer persoonsgegevens verwerkt dan noodzakelijk en de gegevens goed beveiligt.
Onderzoek btw-nummer
Het burgerservicenummer (BSN) van zzp’ers is deel van hun btw-nummer. Omdat zij wettelijk verplicht zijn om dit nummer op hun facturen te vermelden en soms ook op hun website, is hun BSN breed bekend. Dat maakt hen kwetsbaar voor identiteitsfraude.
De Autoriteit Persoonsgegevens (AP) heeft daarom in december 2018 een verwerkingsverbod opgelegd aan de Belastingdienst. Dit gebeurde nadat de AP eerder dat jaar na onderzoek concludeerde dat de Belastingdienst geen wettelijke basis heeft om het BSN te gebruiken in het btw-identificatienummer.
Het verwerkingsverbod gaat per 1 januari 2020 in. Vóór die tijd moet de Belastingdienst dus maatregelen hebben genomen die ervoor zorgen dat het BSN niet langer deel is van het btw-nummer. De Belastingdienst heeft de AP laten weten welke maatregelen genomen zullen worden. Op papier lijken deze maatregelen voldoende, maar ze moeten eerst nog worden uitgevoerd voordat de AP kan beoordelen of de overtreding daarmee is beëindigd.
Belastingdienst mag BSN niet meer gebruiken in btwidentificatienummer
Controle FG’s overheid
Sinds de Algemene verordening gegevensbescherming (AVG) geldt, moeten alle overheidsorganisaties een functionaris gegevensbescherming (FG) hebben. De FG is, kort gezegd, de interne privacytoezichthouder van een organisatie. Organisaties moeten aan de AP laten weten wie hun FG is.
In 2018 onderzocht de AP in meerdere sectoren of organisaties een FG hadden aangemeld. De AP startte met deze controles bij de overheid: bij ruim 400 overheidsorganisaties, waaronder gemeenten, provincies, waterschappen, ministeries en een aantal zelfstandige bestuursorganen. De meeste van deze organisaties bleken al te voldoen aan de eis om een FG aan te stellen. De AP liet de overige organisaties weten dat zij alsnog een FG moesten aanmelden, omdat zij anders een sanctie konden krijgen. Bij de afronding van het onderzoek hadden alle gecontroleerde overheidsorganisaties een FG aangemeld.
AP rondt controle af op functionaris gegevensbescherming overheid
Onderzoek gemeenten
Gemeenten verzamelen meer persoonsgegevens dan noodzakelijk is om te beoordelen welke zorg mensen nodig hebben. Dat concludeerde de AP begin 2018 na onderzoek. De AP onderzocht bij twee gemeenten de manier waarop zij persoonsgegevens verwerkten in een zelfredzaamheidsmatrix (ZRM). Met dit onderzoek liet de AP zien hoe alle gemeenten die een ZRM gebruiken, dit zorgvuldig en volgens de privacywet kunnen doen.
De ZRM is een instrument waarmee wordt gemeten hoe zelfredzaam mensen zijn. Bij de uitvoering van de Wet maatschappelijke ondersteuning (Wmo) en de Jeugdwet gebruiken veel gemeenten de ZRM als leidraad bij contacten met burgers. Bijvoorbeeld tijdens keukentafelgesprekken. Met een ZRM verzamelt de gemeente persoonsgegevens op veel verschillende gebieden, zoals lichamelijke en psychische gezondheid, financiën en justitie.
Uit het onderzoek van de AP bleek dat de twee gemeenten bij het gebruik van een ZRM ook persoonsgegevens van mensen verzamelden die niet relevant waren voor hun hulpvraag. Dat mag niet volgens de privacywet. Gemeenten die een ZRM gebruiken, moeten hun werkwijze hierop aanpassen. De AP kwam er ook achter dat de gemeenten geen goede instructies gaven aan hun medewerkers over wat zij mensen wel en niet mogen vragen. Terwijl gemeenten verplicht zijn om ervoor te zorgen dat medewerkers hun werk goed kunnen doen, bijvoorbeeld door opleidingen te organiseren en goede handleidingen te maken.
Gemeenten verzamelen te veel persoonsgegevens bij uitvoering Wmo en Jeugdwet
Advies wijziging Wet Bibob
De minister van Justitie en Veiligheid wil de wet Bibob op een aantal punten aanpassen. Zo zouden overheden de wet Bibob vaker kunnen toepassen. In september 2018 adviseerde de AP kritisch over dit wetsvoorstel. De AP adviseerde om het voorstel niet in deze vorm door te zetten, maar het eerst beter te onderbouwen. Bijvoorbeeld door bij diverse onderdelen te motiveren waarom er sprake is van een pressing social need, die wettelijk vereist is om de grotere privacyinbreuk te rechtvaardigen. En als deze onderbouwing niet mogelijk blijkt, van de wetswijziging af te zien.
De wet Bibob staat voor de Wet bevordering integriteitsbeoordelingen door het openbaar bestuur. Met deze wet in handen kunnen overheden optreden als het gevaar dreigt dat een vergunning wordt misbruikt voor criminele activiteiten. Overheden kunnen (laten) onderzoeken of de aanvrager van de vergunning betrouwbaar is en zo niet,
de vergunning weigeren of een al afgegeven vergunning intrekken.
Het wetsvoorstel is op het moment van publicatie van dit jaarverslag nog in behandeling.
Advies wijziging Wet Bibob
Onderzoek politie
In december 2018 legde de AP voor de tweede keer een last onder dwangsom op aan de Nationale Politie voor een voortdurende overtreding. De Nationale Politie moest betere maatregelen treffen om politiegegevens goed te beveiligen tegen onbevoegde inzage door politiemedewerkers. Eind februari 2019 constateerde de AP dat er inmiddels voldoende maatregelen waren genomen, waardoor de Nationale Politie aan de last voldoet. De overtreding betrof de beveiliging van het N.SIS II-systeem. In dit systeem staat informatie over signaleringen binnen het Schengengebied, zoals gegevens over gezochte of vermiste personen of over gestolen voertuigen. Niet alle medewerkers van de Nationale Politie die toegang hebben tot dit systeem mogen ongelimiteerd alle politiegegevens inzien. Daarom moet de Nationale Politie regelmatig en proactief controleren wie welke informatie heeft ingezien.
Begin 2017 legde de AP een last onder dwangsom op aan de Nationale Politie vanwege onvoldoende controle op logbestanden van N.SIS II. Daarna heeft de Nationale Politie een dwangsom van 40.000 euro betaald, omdat de overtreding niet was beëindigd. In november 2018 legde de AP een tweede last onder dwangsom op, omdat de AP de tot dan toe getroffen maatregelen onvoldoende vond. De Nationale Politie heeft bezwaar gemaakt tegen de last onder dwangsom. Deze procedure loopt nog.
Nationale Politie voldoet aan last onder dwangsom
Implementatie Richtlijn gegevensbescherming voor de rechtshandhaving
Naast de nieuwe privacywet, de AVG, is er de aparte Richtlijn gegevensbescherming voor de rechtshandhaving. Deze richtlijn werd op 6 mei 2018 van toepassing en had op die datum ook omgezet moeten zijn in nationale wetgeving. In Nederland is de richtlijn per 1 januari 2019 geïmplementeerd in de Wet politiegegevens (Wpg) en de Wet justitiële en strafvorderlijke gegevens (Wjsg).
De AP heeft in het najaar van 2018 de sector politie en justitie benaderd bij de voorbereiding op deze implementatie. Zo heeft de AP een bijeenkomst georganiseerd voor de FG’s van organisaties die te maken hebben met de Wpg en Wjsg, zoals de Nationale Politie, het Openbaar Ministerie en de bijzondere opsporingsdiensten.
Onderzoek btw-nummer
Het burgerservicenummer (BSN) van zzp’ers is deel van hun btw-nummer. Omdat zij wettelijk verplicht zijn om dit nummer op hun facturen te vermelden en soms ook op hun website, is hun BSN breed bekend. Dat maakt hen kwetsbaar voor identiteitsfraude.
De Autoriteit Persoonsgegevens (AP) heeft daarom in december 2018 een verwerkingsverbod opgelegd aan de Belastingdienst. Dit gebeurde nadat de AP eerder dat jaar na onderzoek concludeerde dat de Belastingdienst geen wettelijke basis heeft om het BSN te gebruiken in het btw-identificatienummer.
Het verwerkingsverbod gaat per 1 januari 2020 in. Vóór die tijd moet de Belastingdienst dus maatregelen hebben genomen die ervoor zorgen dat het BSN niet langer deel is van het btw-nummer. De Belastingdienst heeft de AP laten weten welke maatregelen genomen zullen worden. Op papier lijken deze maatregelen voldoende, maar ze moeten eerst nog worden uitgevoerd voordat de AP kan beoordelen of de overtreding daarmee is beëindigd.
Belastingdienst mag BSN niet meer gebruiken in btwidentificatienummer
Controle FG’s overheid
Sinds de Algemene verordening gegevensbescherming (AVG) geldt, moeten alle overheidsorganisaties een functionaris gegevensbescherming (FG) hebben. De FG is, kort gezegd, de interne privacytoezichthouder van een organisatie. Organisaties moeten aan de AP laten weten wie hun FG is.
In 2018 onderzocht de AP in meerdere sectoren of organisaties een FG hadden aangemeld. De AP startte met deze controles bij de overheid: bij ruim 400 overheidsorganisaties, waaronder gemeenten, provincies, waterschappen, ministeries en een aantal zelfstandige bestuursorganen. De meeste van deze organisaties bleken al te voldoen aan de eis om een FG aan te stellen. De AP liet de overige organisaties weten dat zij alsnog een FG moesten aanmelden, omdat zij anders een sanctie konden krijgen. Bij de afronding van het onderzoek hadden alle gecontroleerde overheidsorganisaties een FG aangemeld.
AP rondt controle af op functionaris gegevensbescherming overheid
Onderzoek gemeenten
Gemeenten verzamelen meer persoonsgegevens dan noodzakelijk is om te beoordelen welke zorg mensen nodig hebben. Dat concludeerde de AP begin 2018 na onderzoek. De AP onderzocht bij twee gemeenten de manier waarop zij persoonsgegevens verwerkten in een zelfredzaamheidsmatrix (ZRM). Met dit onderzoek liet de AP zien hoe alle gemeenten die een ZRM gebruiken, dit zorgvuldig en volgens de privacywet kunnen doen.
De ZRM is een instrument waarmee wordt gemeten hoe zelfredzaam mensen zijn. Bij de uitvoering van de Wet maatschappelijke ondersteuning (Wmo) en de Jeugdwet gebruiken veel gemeenten de ZRM als leidraad bij contacten met burgers. Bijvoorbeeld tijdens keukentafelgesprekken. Met een ZRM verzamelt de gemeente persoonsgegevens op veel verschillende gebieden, zoals lichamelijke en psychische gezondheid, financiën en justitie.
Uit het onderzoek van de AP bleek dat de twee gemeenten bij het gebruik van een ZRM ook persoonsgegevens van mensen verzamelden die niet relevant waren voor hun hulpvraag. Dat mag niet volgens de privacywet. Gemeenten die een ZRM gebruiken, moeten hun werkwijze hierop aanpassen. De AP kwam er ook achter dat de gemeenten geen goede instructies gaven aan hun medewerkers over wat zij mensen wel en niet mogen vragen. Terwijl gemeenten verplicht zijn om ervoor te zorgen dat medewerkers hun werk goed kunnen doen, bijvoorbeeld door opleidingen te organiseren en goede handleidingen te maken.
Gemeenten verzamelen te veel persoonsgegevens bij uitvoering Wmo en Jeugdwet
Advies wijziging Wet Bibob
De minister van Justitie en Veiligheid wil de wet Bibob op een aantal punten aanpassen. Zo zouden overheden de wet Bibob vaker kunnen toepassen. In september 2018 adviseerde de AP kritisch over dit wetsvoorstel. De AP adviseerde om het voorstel niet in deze vorm door te zetten, maar het eerst beter te onderbouwen. Bijvoorbeeld door bij diverse onderdelen te motiveren waarom er sprake is van een pressing social need, die wettelijk vereist is om de grotere privacyinbreuk te rechtvaardigen. En als deze onderbouwing niet mogelijk blijkt, van de wetswijziging af te zien.
De wet Bibob staat voor de Wet bevordering integriteitsbeoordelingen door het openbaar bestuur. Met deze wet in handen kunnen overheden optreden als het gevaar dreigt dat een vergunning wordt misbruikt voor criminele activiteiten. Overheden kunnen (laten) onderzoeken of de aanvrager van de vergunning betrouwbaar is en zo niet,
de vergunning weigeren of een al afgegeven vergunning intrekken.
Het wetsvoorstel is op het moment van publicatie van dit jaarverslag nog in behandeling.
Advies wijziging Wet Bibob
Onderzoek politie
In december 2018 legde de AP voor de tweede keer een last onder dwangsom op aan de Nationale Politie voor een voortdurende overtreding. De Nationale Politie moest betere maatregelen treffen om politiegegevens goed te beveiligen tegen onbevoegde inzage door politiemedewerkers. Eind februari 2019 constateerde de AP dat er inmiddels voldoende maatregelen waren genomen, waardoor de Nationale Politie aan de last voldoet. De overtreding betrof de beveiliging van het N.SIS II-systeem. In dit systeem staat informatie over signaleringen binnen het Schengengebied, zoals gegevens over gezochte of vermiste personen of over gestolen voertuigen. Niet alle medewerkers van de Nationale Politie die toegang hebben tot dit systeem mogen ongelimiteerd alle politiegegevens inzien. Daarom moet de Nationale Politie regelmatig en proactief controleren wie welke informatie heeft ingezien.
Begin 2017 legde de AP een last onder dwangsom op aan de Nationale Politie vanwege onvoldoende controle op logbestanden van N.SIS II. Daarna heeft de Nationale Politie een dwangsom van 40.000 euro betaald, omdat de overtreding niet was beëindigd. In november 2018 legde de AP een tweede last onder dwangsom op, omdat de AP de tot dan toe getroffen maatregelen onvoldoende vond. De Nationale Politie heeft bezwaar gemaakt tegen de last onder dwangsom. Deze procedure loopt nog.
Nationale Politie voldoet aan last onder dwangsom
Implementatie Richtlijn gegevensbescherming voor de rechtshandhaving
Naast de nieuwe privacywet, de AVG, is er de aparte Richtlijn gegevensbescherming voor de rechtshandhaving. Deze richtlijn werd op 6 mei 2018 van toepassing en had op die datum ook omgezet moeten zijn in nationale wetgeving. In Nederland is de richtlijn per 1 januari 2019 geïmplementeerd in de Wet politiegegevens (Wpg) en de Wet justitiële en strafvorderlijke gegevens (Wjsg).
De AP heeft in het najaar van 2018 de sector politie en justitie benaderd bij de voorbereiding op deze implementatie. Zo heeft de AP een bijeenkomst georganiseerd voor de FG’s van organisaties die te maken hebben met de Wpg en Wjsg, zoals de Nationale Politie, het Openbaar Ministerie en de bijzondere opsporingsdiensten.
Gezondheid
Gegevens over iemands gezondheid behoren tot de gevoeligste persoonsgegevens die er zijn. Daarom zijn het bijzondere persoonsgegevens, die wettelijk extra zijn beschermd. Dat betekent dat er strengere regels gelden voor het verwerken van deze gegevens. Bijvoorbeeld door zorginstellingen, die over grote hoeveelheden medische persoonsgegevens beschikken. Het is dan ook essentieel dat zorginstellingen zich aan de privacywet houden, vooral bij speciale verplichtingen als een functionaris gegevensbescherming (FG) aanstellen en een privacybeleid hebben.
Controle FG’s
Sinds de nieuwe privacywet geldt, moeten onder meer alle ziekenhuizen en zorgverzekeraars een functionaris gegevensbescherming (FG) hebben. De FG is, kort gezegd, de interne privacytoezichthouder van een organisatie.
Vervolgens moeten deze organisaties aan de Autoriteit Persoonsgegevens (AP) laten weten wie hun FG is. En de contactgegevens van hun FG (direct telefoonnummer, e-mailadres, postadres en/of direct contactformulier) op hun website publiceren. Zodat iedereen die dat wil, snel en in vertrouwen contact kan opnemen met de FG over privacy-issues.
De AP controleerde bij 91 ziekenhuizen en 33 zorgverzekeraars of zij een FG hadden aangemeld en de contactgegevens hadden gepubliceerd. Uit een eerste controle bleek dat 2 ziekenhuizen nog geen FG hadden aangemeld bij de AP. En dat 17 ziekenhuizen en 2 zorgverzekeraars nog geen directe contactgegevens op hun website hadden geplaatst. Van de organisaties die wel contactgegevens op hun website vermeldden, vond de AP aanvankelijk bij 3 ziekenhuizen en 1 zorgverzekeraar geen direct e-mailadres of doorkiesnummer.
Inmiddels hebben, door toedoen van de AP, alle gecontroleerde ziekenhuizen en zorgverzekeraars een FG aangemeld. Ook vermelden zij nu allemaal op een goede manier de contactgegevens van hun FG’s.
AP rondt controle ziekenhuizen en zorgverzekeraars af
Uitleg begrip ‘grootschalig’
De Algemene verordening gegevensverwerking (AVG) bevat een aantal verplichtingen voor organisaties die op grote schaal bijzondere persoonsgegevens verwerken en dit als kerntaak hebben. Deze organisaties moeten een FG aanstellen en in bepaalde gevallen een data protection impact assessment (DPIA) doen.
In de zorg hebben organisaties vrijwel altijd als kerntaak het verwerken van bijzondere persoonsgegevens, omdat zij medische gegevens verwerken. Maar wanneer is de verwerking grootschalig? In de AVG staat niet precies uitgelegd wat ‘grootschalig’ inhoudt. De AP kreeg hierover veel vragen van zorgverleners. Daarom besloot de AP uitleg te geven.
Uitleg AP
De verwerking van persoonsgegevens door ziekenhuizen, huisartsenposten en zorggroepen interpreteert de AP altijd als grootschalig. Voor alle overige zorgaanbieders (zoals huisartsenpraktijken, verpleeg- en verzorgingstehuizen, ggz-instellingen en instellingen voor medisch-specialistische zorg, die geen ziekenhuis zijn) geldt dat zij grootschalig persoonsgegevens verwerken als zij van meer dan 10.000 patiënten gegevens verwerken in één informatiesysteem.
Apothekers
Verwerkingen van persoonsgegevens door apothekers ziet de AP al gauw als grootschalig, omdat apotheken gemiddeld genomen veel patiënten bedienen en met veel andere zorgaanbieders gegevens uitwisselen. Het zou dus goed zijn als apotheken een FG hebben. Maar als er minder dan 10.000 patiënten in het systeem van de apotheek zijn ingeschreven, ziet de AP dat – net als bij de andere zorgaanbieders – niet als grootschalig.
Privacybeleid zorginstellingen
In december 2018 heeft de AP het privacybeleid opgevraagd van een aantal zorginstellingen en politieke partijen. Dit zijn voorbeelden van organisaties die op grond van de privacywet een privacybeleid moeten hebben. Deze organisaties verwerken namelijk bijzondere persoonsgegevens over gezondheid en politieke voorkeur, die extra goed beschermd moeten worden. Hebben deze organisaties geen privacybeleid of voldoet dit niet aan de eisen, dan overtreden zij de privacywet.
De AP heeft bij in totaal 53 bloedbanken, IVF-klinieken en de politieke partijen van 3 gemeenten het privacybeleid opgevraagd. De AP is bezig te beoordelen of het beleid voldoet aan de wettelijke eisen. Zo moet bijvoorbeeld helder zijn welke categorieën persoonsgegevens worden verwerkt, met welk doel, hoe de gegevens worden beveiligd, welke rechten betrokkenen hebben en hoe zij die rechten kunnen uitoefenen.
Controle op privacybeleid bij zorginstellingen en politieke partijen
Onderzoek BrainCompass
Assessment-platform BrainCompass verwerkt niet langer persoonsgegevens over gezondheid en ras in strijd met de privacywet. De privacy van deelnemers is daardoor beter gewaarborgd. Dat liet de AP in oktober 2018 weten.
BrainCompass is een specifiek soort assessmentbureau. De basis voor hun rapportage is een persoonlijk en een biologisch profiel. Hiervoor worden gegevens verzameld en met elkaar in verband gebracht zoals het ras van de deelnemer, gewicht en lengte, DNA-gegevens en psychologische gegevens.
In 2017 concludeerde de AP na onderzoek dat BrainCompass niet op de juiste manier toestemming vroeg aan deelnemers voor de verwerking van hun gegevens. Ook het beveiligingsbeleid was niet op orde. BrainCompass heeft daarop verbeteringen doorgevoerd, zodat de overtredingen zijn beëindigd.
Een deel van de mensen die bij BrainCompass een assessment ondergaat, doet dit binnen een arbeidsrelatie. In zo’n relatie, waarin de werknemer (financieel) afhankelijk is van de werkgever, is over het algemeen geen sprake van ‘vrije’ toestemming. BrainCompass heeft ervoor gezorgd dat de toestemming aan BrainCompass voldoende vrij is, bijvoorbeeld door geen informatie over de deelnemer meer te delen met de werkgever en de assessments niet meer in groepssessies af te nemen.
Ook is er een BrainCompass-variant ontwikkeld waarbij in het geheel geen bijzondere persoonsgegevens worden verwerkt en informeert BrainCompass klanten op de juiste manier bij het vragen om toestemming. Tot slot heeft BrainCompass een beveiligingsbeleid opgesteld.
BrainCompass past werkwijze aan na onderzoek AP
Advies Besluit forensische zorg
Het medisch beroepsgeheim is de kern van de privacybescherming in de gezondheidszorg. De AP vindt dan ook dat de overheid uiterst terughoudend moet zijn met wettelijke regelingen die het medisch beroepsgeheim doorbreken. Dit is een van de redenen dat de AP in juni 2018 kritisch adviseerde over het voorgestelde Besluit forensische zorg.
Mensen die in aanraking komen met politie en justitie, kunnen een stoornis of een verstandelijke beperking hebben. Als onderdeel van hun straf of maatregel kunnen zij forensische zorg opgelegd krijgen.
De Wet forensische zorg (Wfz) en het bijbehorende Besluit forensische zorg, dat de wet op een aantal punten verder uitwerkt, hebben als doel de forensische zorg op verschillende punten te verbeteren. Onderdeel daarvan is dat er vaker gegevens van forensische patiënten worden uitgewisseld.
Noodzaak
De AP mist echter bij diverse onderdelen van het conceptbesluit de motivering waarom er een noodzaak zou zijn om gegevens uit te wisselen. Bijvoorbeeld als er wordt gesteld dat het noodzakelijk is dat de zorgaanbieder gegevens krijgt over de rechtszaak, de uitvoer van de straf of de reclassering, maar niet wordt uitgelegd waarom dat zo is.
Ook mist de AP op meerdere plekken de onderbouwing dat de gegevensverwerkingen voldoen aan de wettelijke beginselen van proportionaliteit (staat de privacyinbreuk in verhouding tot het doel?) en subsidiariteit (kan het doel niet op een andere, minder ingrijpende manier worden bereikt?).
Medisch beroepsgeheim De zorgaanbieder moet volgens de Wfz en het conceptbesluit gegevens over de behandeltrouw van de forensische patiënt aan het Openbaar Ministerie (OM) of de reclassering verstrekken. Hierdoor wordt het medisch beroepsgeheim van de zorgaanbieder doorbroken.
De AP adviseert om in het conceptbesluit op te nemen dat de zorgaanbieder per geval beoordeelt of het noodzakelijk is om de gegevens door te geven aan het OM of de reclassering. Ook vindt de AP de bepaling over het verstrekken van de gegevens te ruim en adviseert de AP om deze in te perken.
Advies Besluit forensische zorg
Controle FG’s
Sinds de nieuwe privacywet geldt, moeten onder meer alle ziekenhuizen en zorgverzekeraars een functionaris gegevensbescherming (FG) hebben. De FG is, kort gezegd, de interne privacytoezichthouder van een organisatie.
Vervolgens moeten deze organisaties aan de Autoriteit Persoonsgegevens (AP) laten weten wie hun FG is. En de contactgegevens van hun FG (direct telefoonnummer, e-mailadres, postadres en/of direct contactformulier) op hun website publiceren. Zodat iedereen die dat wil, snel en in vertrouwen contact kan opnemen met de FG over privacy-issues.
De AP controleerde bij 91 ziekenhuizen en 33 zorgverzekeraars of zij een FG hadden aangemeld en de contactgegevens hadden gepubliceerd. Uit een eerste controle bleek dat 2 ziekenhuizen nog geen FG hadden aangemeld bij de AP. En dat 17 ziekenhuizen en 2 zorgverzekeraars nog geen directe contactgegevens op hun website hadden geplaatst. Van de organisaties die wel contactgegevens op hun website vermeldden, vond de AP aanvankelijk bij 3 ziekenhuizen en 1 zorgverzekeraar geen direct e-mailadres of doorkiesnummer.
Inmiddels hebben, door toedoen van de AP, alle gecontroleerde ziekenhuizen en zorgverzekeraars een FG aangemeld. Ook vermelden zij nu allemaal op een goede manier de contactgegevens van hun FG’s.
AP rondt controle ziekenhuizen en zorgverzekeraars af
Uitleg begrip ‘grootschalig’
De Algemene verordening gegevensverwerking (AVG) bevat een aantal verplichtingen voor organisaties die op grote schaal bijzondere persoonsgegevens verwerken en dit als kerntaak hebben. Deze organisaties moeten een FG aanstellen en in bepaalde gevallen een data protection impact assessment (DPIA) doen.
In de zorg hebben organisaties vrijwel altijd als kerntaak het verwerken van bijzondere persoonsgegevens, omdat zij medische gegevens verwerken. Maar wanneer is de verwerking grootschalig? In de AVG staat niet precies uitgelegd wat ‘grootschalig’ inhoudt. De AP kreeg hierover veel vragen van zorgverleners. Daarom besloot de AP uitleg te geven.
Uitleg AP
De verwerking van persoonsgegevens door ziekenhuizen, huisartsenposten en zorggroepen interpreteert de AP altijd als grootschalig. Voor alle overige zorgaanbieders (zoals huisartsenpraktijken, verpleeg- en verzorgingstehuizen, ggz-instellingen en instellingen voor medisch-specialistische zorg, die geen ziekenhuis zijn) geldt dat zij grootschalig persoonsgegevens verwerken als zij van meer dan 10.000 patiënten gegevens verwerken in één informatiesysteem.
Apothekers
Verwerkingen van persoonsgegevens door apothekers ziet de AP al gauw als grootschalig, omdat apotheken gemiddeld genomen veel patiënten bedienen en met veel andere zorgaanbieders gegevens uitwisselen. Het zou dus goed zijn als apotheken een FG hebben. Maar als er minder dan 10.000 patiënten in het systeem van de apotheek zijn ingeschreven, ziet de AP dat – net als bij de andere zorgaanbieders – niet als grootschalig.
Privacybeleid zorginstellingen
In december 2018 heeft de AP het privacybeleid opgevraagd van een aantal zorginstellingen en politieke partijen. Dit zijn voorbeelden van organisaties die op grond van de privacywet een privacybeleid moeten hebben. Deze organisaties verwerken namelijk bijzondere persoonsgegevens over gezondheid en politieke voorkeur, die extra goed beschermd moeten worden. Hebben deze organisaties geen privacybeleid of voldoet dit niet aan de eisen, dan overtreden zij de privacywet.
De AP heeft bij in totaal 53 bloedbanken, IVF-klinieken en de politieke partijen van 3 gemeenten het privacybeleid opgevraagd. De AP is bezig te beoordelen of het beleid voldoet aan de wettelijke eisen. Zo moet bijvoorbeeld helder zijn welke categorieën persoonsgegevens worden verwerkt, met welk doel, hoe de gegevens worden beveiligd, welke rechten betrokkenen hebben en hoe zij die rechten kunnen uitoefenen.
Controle op privacybeleid bij zorginstellingen en politieke partijen
Onderzoek BrainCompass
Assessment-platform BrainCompass verwerkt niet langer persoonsgegevens over gezondheid en ras in strijd met de privacywet. De privacy van deelnemers is daardoor beter gewaarborgd. Dat liet de AP in oktober 2018 weten.
BrainCompass is een specifiek soort assessmentbureau. De basis voor hun rapportage is een persoonlijk en een biologisch profiel. Hiervoor worden gegevens verzameld en met elkaar in verband gebracht zoals het ras van de deelnemer, gewicht en lengte, DNA-gegevens en psychologische gegevens.
In 2017 concludeerde de AP na onderzoek dat BrainCompass niet op de juiste manier toestemming vroeg aan deelnemers voor de verwerking van hun gegevens. Ook het beveiligingsbeleid was niet op orde. BrainCompass heeft daarop verbeteringen doorgevoerd, zodat de overtredingen zijn beëindigd.
Een deel van de mensen die bij BrainCompass een assessment ondergaat, doet dit binnen een arbeidsrelatie. In zo’n relatie, waarin de werknemer (financieel) afhankelijk is van de werkgever, is over het algemeen geen sprake van ‘vrije’ toestemming. BrainCompass heeft ervoor gezorgd dat de toestemming aan BrainCompass voldoende vrij is, bijvoorbeeld door geen informatie over de deelnemer meer te delen met de werkgever en de assessments niet meer in groepssessies af te nemen.
Ook is er een BrainCompass-variant ontwikkeld waarbij in het geheel geen bijzondere persoonsgegevens worden verwerkt en informeert BrainCompass klanten op de juiste manier bij het vragen om toestemming. Tot slot heeft BrainCompass een beveiligingsbeleid opgesteld.
BrainCompass past werkwijze aan na onderzoek AP
Advies Besluit forensische zorg
Het medisch beroepsgeheim is de kern van de privacybescherming in de gezondheidszorg. De AP vindt dan ook dat de overheid uiterst terughoudend moet zijn met wettelijke regelingen die het medisch beroepsgeheim doorbreken. Dit is een van de redenen dat de AP in juni 2018 kritisch adviseerde over het voorgestelde Besluit forensische zorg.
Mensen die in aanraking komen met politie en justitie, kunnen een stoornis of een verstandelijke beperking hebben. Als onderdeel van hun straf of maatregel kunnen zij forensische zorg opgelegd krijgen.
De Wet forensische zorg (Wfz) en het bijbehorende Besluit forensische zorg, dat de wet op een aantal punten verder uitwerkt, hebben als doel de forensische zorg op verschillende punten te verbeteren. Onderdeel daarvan is dat er vaker gegevens van forensische patiënten worden uitgewisseld.
Noodzaak
De AP mist echter bij diverse onderdelen van het conceptbesluit de motivering waarom er een noodzaak zou zijn om gegevens uit te wisselen. Bijvoorbeeld als er wordt gesteld dat het noodzakelijk is dat de zorgaanbieder gegevens krijgt over de rechtszaak, de uitvoer van de straf of de reclassering, maar niet wordt uitgelegd waarom dat zo is.
Ook mist de AP op meerdere plekken de onderbouwing dat de gegevensverwerkingen voldoen aan de wettelijke beginselen van proportionaliteit (staat de privacyinbreuk in verhouding tot het doel?) en subsidiariteit (kan het doel niet op een andere, minder ingrijpende manier worden bereikt?).
Medisch beroepsgeheim De zorgaanbieder moet volgens de Wfz en het conceptbesluit gegevens over de behandeltrouw van de forensische patiënt aan het Openbaar Ministerie (OM) of de reclassering verstrekken. Hierdoor wordt het medisch beroepsgeheim van de zorgaanbieder doorbroken.
De AP adviseert om in het conceptbesluit op te nemen dat de zorgaanbieder per geval beoordeelt of het noodzakelijk is om de gegevens door te geven aan het OM of de reclassering. Ook vindt de AP de bepaling over het verstrekken van de gegevens te ruim en adviseert de AP om deze in te perken.
Advies Besluit forensische zorg
Op 9 en 10 juli 2019 zijn de Europese privacy toezichthouders weer bijeen om een aantal belangrijke privacy vraagstukken te bespreken
Banken teruggefloten door Autoriteit Persoonsgegevens met betrekking tot gebruik betaalgegevens voor direct-marketing aanbiedingen.
4 juni 2019 komen de Europese Privacy waakhonden weer bijeen om een aantal belangrijke privacy vraagstukken te bespreken
Hoewel de boete bescheiden is, is de boodschap dat niet: de bescherming van gegevens is een zaak van ons allen maar de verwerkingsverantwoordelijken moeten hun verantwoordelijkheid nemen, vooral als zij een overheidsmandaat hebben.
In dit artikel wordt de mogelijkheid besproken om schadevergoeding te vorderen bij de burgerlijke rechter.
Doorgifte van persoonsgegevens buiten de Europese Unie mogelijk door gebruikmaking van modelcontracten/
