Aandachtspunten AVG volgens het jaarverslag van de Autoriteit Persoonsgegevens

Vier boetes, twee keer een last onder dwangsom, drie keer een berisping en twee keer een enkelvoudige last. Dat zijn de straffen die de Autoriteit Persoonsgegevens (AP) in 2019 heeft opgelegd aan bedrijven die zich niet aan de AVG hielden. Overtredingen werden gemaakt in het kader van toegang tot medische dossiers, verkoop van ledengegevens en onzorgvuldige verwerking van persoonsgegevens. We kunnen dus rustig concluderen dat de AVG in het jaar 2019 niet geheel foutloos werd nageleefd. Wat zijn de aandachtspunten om te zorgen dat we ons aan de AVG houden? 

Toegang tot persoonsgegevens 

Een fout die nog te vaak wordt gemaakt is dat te veel mensen toegang hebben tot de persoonsgegevens van patiënten en cliënten van een onderneming of instantie. Uit een onderzoek in het Haga Ziekenhuis in Den Haag is gebleken dat tientallen medewerkers van het ziekenhuis onnodig het medisch dossier van Samantha de Jong, beter bekend als Barbie, konden inzien. Het ziekenhuis kreeg daarom een boete opgelegd van €460.000. 

Iedereen moet erop kunnen vertrouwen dat zijn of haar persoonsgegevens voldoende beschermd worden. Zo moeten organisaties die persoonsgegevens verzamelen vooraf nadenken over de beveiliging hiervan, dit moet namelijk geschieden door een moderne techniek. Ondernemers moeten hiervoor passende maatregelen nemen. 

In de wetgeving staat niet specifiek vermeld hoeveel mensen er toegang mogen hebben tot de persoonsgegevens van klanten of cliënten. Wel is het de bedoeling om de toegang te beperken tot enkel de personen die deze gegevens daadwerkelijk nodig hebben voor de uitvoering van de overeenkomst.

Onzorgvuldige verwerking persoonsgegevens

De AP heeft daarnaast een last onder dwangsom opgelegd aan twee zorgverzekeraars: VGZ en Menzis. Beide zorgverzekeraars waren onzorgvuldig bij de verwerking van medische gegevens. Het is belangrijk om te zorgen voor een goede bescherming van de persoonsgegevens van betrokkenen. Hiervoor dien je eerst te bepalen hoe je de gegevens verwerkt. Wij helpen je op weg met de volgende vragen die je jezelf kunt stellen: 

  • Waar binnen de onderneming verwerk je de persoonsgegevens?
  • Met welk doel verwerk je de persoonsgegevens?
  • Heb je een geldige juridische grondslag voor de verwerking van de persoonsgegevens?
  • Hoe lang mag en wil je de persoonsgegevens bewaren?
  • Wie heeft toegang tot deze gegevens?

Zorgvuldige bescherming

Vervolgens kun je de antwoorden van bovenstaande vragen intern in een verwerkingsregister zetten. Zo kun je overzicht houden van wat er met welke persoonsgegevens gebeurt. Zorg dan wel dat dit verwerkingsregister actueel blijft. Vergeet bovenstaande gegevens ook niet uitgebreid te beschrijven in een privacyverklaring die te allen tijde inzichtelijk moet zijn voor betrokkenen. Meer weten? Je leest hier meer over het opstellen van een privacyverklaring onder de AVG.

Maar het enkel opstellen van deze benodigde documenten is niet genoeg. Het is ook van groot belang om te zorgen voor een daadwerkelijk zorgvuldige verwerking van de persoonsgegevens, zoals je dat in de documenten hebt uitgeschreven. We geven je ook hiervoor een aantal tips mee: 

  • Stel een functionaris persoonsgegevens aan indien nodig, dit is het geval bij: overheden en publieke organisaties en organisaties die vanuit hun kernactiviteiten op grote schaal individuen of bijzondere persoonsgegevens volgen; 
  • Beveilig de persoonsgegevens;
  • Maak afspraken met de verwerkers van persoonsgegevens. Dit doe je in verwerkersovereenkomsten;
  • Meld een datalek volgens jouw protocol datalekken;
  • Informeer de betrokken personen in een privacyverklaring;
  • Informeer je personeel over de AVG.

Zodra jij deze zaken goed hebt geregeld en naleeft, zul jij de persoonsgegevens zorgvuldig beschermen.

Doorverkopen van persoonsgegevens

Een andere veelvuldig geconstateerde fout is dat persoonsgegevens vaak worden doorverkocht aan sponsoren, zo blijkt uit het rapport. Zo krijgen consumenten ongevraagd reclamepost of aanbiedingen. Verkoop van persoonsgegevens zonder toestemming is verboden, waardoor de tennisbond KNLTB een boete van €525.000 kreeg opgelegd. 

In beginsel zijn er zes juridische grondslagen waardoor een organisatie persoonsgegevens mag verwerken en doorgeven aan een derde partij:

  • Toestemming van de betrokken persoon;
  • Uitvoeren van een overeenkomst; 
  • Wettelijke verplichting; 
  • Vitaal belang;
  • Uitvoering van een publiekrechtelijke taak;
  • Gerechtvaardigd belang binnen de organisatie. 

Verkoop van persoonsgegevens voor het maken van reclame van de sponsor valt niet onder een juridische grondslag voor het doorgeven van gegevens. Het is dus van belang om te weten wanneer je gegevens mag doorgeven aan een derde partij zonder de regels uit de AVG te overtreden.

Aandachtspunten AVG 

Om in lijn te handelen met de AVG adviseren wij om een goed overzicht te hebben van de persoonsgegevens en de verwerking hiervan. Heb je hulp nodig bij de implementatie van de AVG? Neem dan contact met ons op.  

Selene van Ee

Selene van Ee (2000) is een gedreven student HBO-Rechten aan de Hogeschool Leiden. Momenteel zit zij in het tweede jaar van de opleiding, waar zij dagelijks bezig is met het kennismaken met de rechtsgebieden. Met veel enthousiasme deelt zij graag haar kennis over het recht door te schrijven voor Ladylawyer.nl
Scroll naar top