AVG per vandaag van kracht, leegloop AP

Terwijl de AVG deadline bereikt is, komen er naast berichten over controles, minder positieve berichten over het beleid bij AP naar buiten. Een overzicht.

Door AVG Cloud Register B.V. is een delegatie naar de ICT beurs te Barneveld met AVG kennissessies afgereisd om tot nieuwe kennis als ook aanvullend netwerk te komen. Al bij aftrap van deze reis op de D-day dat de AVG deadline heet, bereikten de eerste berichten omtrent de AVG ons.

Achtbaan bij Autoriteit Persoonsgegevens

De verkregen macht door de Autoriteit Persoonsgegevens, om te kunnen handhaven, is toegenomen. De privacy waakhond is bijvoorbeeld ineens bevoegd onder de AVG finke boetes op te leggen aan bedrijven die zonder grondslag persoonsgegevens verwerken of niet de juiste beschermende maatregelen hebben genomen.

Groei en ontwikkeling van Autoriteit Persoonsgegevens.

Tot 2016, heette de AP, College bescherming persoonsgegevens (Cbp). In die periode had de Cbp 30 tot 40 mensen in dienst. Bij de overgang naar de AP, werd ook de groei in werking gezet: van 70 medewerkers in 2017, naar 120 in medio 2018. De Nederlandse privacy toezichthouder verwachtte mei 2018 dit aantal naar 150 te kunnen verhogen. Ook met de bevoegdheden van de toezichthouder zit het goed; de AP geeft aan niet enkel naar aanleiding van klachten te zullen gaan controleren, maar ook op eigen initiatief onderzoek naar schending van privacy te zullen doen.

Leegloop Autoriteit Persoonsgegevens

De beschikbare middelen lijken tegelijkertijd ontoereikend, zo geven berichtgevingen voor de AVG deadline aan. De werkelijkheid is dat AP verwacht 185 tot 220 mensen nodig te hebben om als privacy toezichthouder de AVG te kunnen handhaven.

Eenmaal aangekomen op de bewuste datum van 25 mei 2018, wordt duidelijk dat er bovendien een leegloop plaatsvindt bij de Autoriteit Persoonsgegevens. Onder meer twee onderzoekers als ook twee afdelingshoofden ('private sector' en 'publieke sector') zouden de AP al hebben verlaten. Het vinden van gepaste vervanging, blijkt een lastige taak.

Controle op FG, beveiliging, datalekken en handel

Via hun website heeft de toezichthouder aangekondigd te gaan controleren op onder meer naleving van de verantwoordingsplicht. Hierbij mag gedacht worden aan verwerkings­registers en verwerkers­overeenkomsten.

Aanvullend heeft de AP andere aandachtspunten bekend gemaakt:

  • Zorginstellingen overheden worden gecontroleerd op aanwezigheid van een Functionaris voor de Gegegevens­bescherming;
  • beveiliging van medische gegevens;
  • niet gemelde datalekken;
  • handel in persoonsgegevens.

Medische gegevens

Buiten benodigde grondslag om (bijvoorbeeld, van vitaal belang), geldt voor bijzondere of gevoelige persoonsgegevens dat de juiste passende organisatorische en technische maatregelen getroffen moeten worden. Dit zal voor de AP reden zijn om dit onderdeel als toezichthoudende organisatie toe te voegen aan hun focus.

Niet gemelde datalekken

De conclusie die voorzichtig getrokken mag worden uit dit aandachtspunt, is dat datalekken te allen tijde intern geregistreerd kan worden. Maak daarbij de afweging of u of uw organisatie het gaat melden aan de Autoriteit Persoonsgegevens.

Wordt op last van bijvoorbeeld verantwoordelijke besloten een datalek niet bij de AP te melden, dan dient gedocumenteerd waarom hiervoor gekozen is. De AP kan op die manier nagaan of de beweegreden gegrond is, maar kan hier ook voor eenzelfde branch lering uit trekken en voorlichting op aanpassen.

Zelf aan de slag met de documentatie- ofwel verantwoordinsplicht? AVG Cloud Register voorziet in een toegankelijke oplossing voor bedrijf of vereniging, om de juiste documenten omtrent verantwoordingsplicht op te kunnen stellen.

Onze oplossingen