2018: het jaar dat de Algemene verordening gegevensbescherming (AVG) van toepassing is geworden. Privacy stond daarmee bij veel organisaties hoog op de agenda, ook bij de Autoriteit Persoonsgegevens (AP). De AP heeft het jaar dan ook afgetrapt met een voorlichtingscampagne over de AVG.
De AVG zorgt onder andere voor versterking en uitbreiding van privacyrechten en meer verantwoordelijkheden voor organisaties. Op 29 juni 2018 had de AP al ruim 600 klachten binnengekregen en de teller staat inmiddels op 10.000. De AP heeft in dat kader vanaf 1 oktober 2018 nieuwe beleidsregels waarin zij toelicht hoe zij bij het behandelen van klachten haar onderzoekscapaciteit inzet.
De AVG heeft ook nieuwe regels en verplichtingen geïntroduceerd. Zo zijn de regels met betrekking tot profilering en geautomatiseerde besluitvorming aangescherpt, is de meldplicht datalekken onder de AVG net even anders en complexer, en kunnen organisaties verplicht zijn om een privacy impact assessment uit te voeren. En de aandacht voor gegevensbescherming is er: in 2017 zijn 10.000 datalekken gemeld bij de AP. Dit is een stijging van ruim 70% vergeleken met het jaar daarvoor.
Daarnaast zijn sommige organisaties, zoals gemeenten, verplicht om een functionaris gegevensbescherming (FG) aan te stellen. Het belang is wel te merken, nu de AP al halverwege het jaar is begonnen met het controleren van de aanwezigheid van FG’s. De resultaten ten aanzien van de FG in de zorg en overheid zijn kort daarna gepubliceerd. Ook organisaties die op grote schaal bijzondere persoonsgegevens verwerken moeten een FG aanstellen. Om dit te verduidelijken heeft de AP uitleg gegeven over de FG in de zorg en wat moet worden verstaan onder het op “grote schaal” verwerken van bijzondere persoonsgegevens.
Ook nieuw is dat organisaties onder de AVG verplicht zijn om een register bij te houden van verwerkingsactiviteiten en deze op verzoek aan de AP moeten verstrekken voor het toezicht op de verwerkingsactiviteiten. De AP is al begonnen met het controleren van dergelijke registers bij 30 organisaties
Verder heeft de AP nadere uitleg gegeven over de privacyregels ten aanzien van het observeren van mensen via camera’s in billboards en heeft de AP naar aanleiding van een onderzoek geconcludeerd dat de Belastingdienst geen wettelijke grondslag heeft om het BSN te gebruiken in btw-identificatienummers. Vanaf 1 januari 2020 is het de Belastingdienst verboden om het BSN nog langer te verwerken.
De AP heeft dit jaar ook dwangsommen (let op, geen boetes) opgelegd aan Theodoor Gilissen Bankiers, voor het niet voldoen aan een inzageverzoek en aan het UWV voor het onvoldoende beveiligen van persoonsgegevens. Aan Uber heeft de AP wel een boete opgelegd voor het niet melden van een datalek,
Verder….
Volgens de Centrale Raad van Beroep mag de Dienst Uitvoering Onderwijs (“DUO”) reisgegevens van studenten inzien om na te gaan of studenten terecht gebruikmaken van de beurs voor uitwonende studenten. De Britse rechter heeft geoordeeld dat de aftapwet illegaal is. De Afdeling Bestuursrechtspraak vindt dat het professionele leven van een sekswerker moet worden aangemerkt als bijzonder persoonsgegeven. De Reclame Code Commissie heeft een klacht afgewezen tegen een op (ex-)kankerpatiënten gerichte advertentie op Facebook op basis van ‘likes’ en/of klikgedrag. En, tot slot, heeft de rechter geoordeeld dat een werknemer op grond van de AVG recht heeft op inzage in zijn personeelsdossier.