AP start steekproef ter controle naleving privacyregels door grote organisaties

De Nederlandse privacywaakhond, de Autoriteit Persoonsgegevens, is begonnen met een verkennend onderzoek waarbij de organisatie kijkt in hoeverre grote organisaties de nieuwe algemene verordening gegevensbescherming naleven.

Het gaat specifiek om een willekeurige steekproef van dertig niet nader genoemde grote organisaties uit tien verschillende private sectoren. Bij hen wordt gecontroleerd of ze een register van verwerkingsactiviteiten bijhouden en of het juiste informatie bevat. Als dat het geval is, beschouwt de privacywaakhond dit als een eerste indicatie dat de organisatie de privacyregels uit de AVG serieus neemt. Het is nog niet duidelijk wanneer het onderzoek moet zijn afgerond.

De Autoriteit Persoonsgegevens zegt niet om welke organisaties het gaat, maar wel dat de organisaties verspreid zijn over heel Nederland. Het gaat om organisaties uit tien sectoren: industrie en metaal, waterleidingbedrijven, bouw, handel, horeca, reisorganisaties, communicatie, financiële dienstverlening, zakelijke dienstverlening en zorg.

Als onderdeel van de op 25 mei ingevoerde regels van de Europese privacywetgeving moeten organisaties in bepaalde gevallen een register bijhouden en daarin verwerkingen van persoonsgegevens registreren. In dat register moet onder andere informatie over de persoonsgegevens staan en het doel waarvoor de gegevens worden verwerkt.

Zo'n register is verplicht voor elke organisatie met meer dan 250 medewerkers. Kleinere organisaties zijn hiertoe echter ook verplicht als ze structureel gegevens verwerken of gegevens verwerken met een hoog risico voor de rechten van de betrokken personen. Ook als een kleine organisatie gegevens over iemands godsdienst of gezondheid verwerkt, zogeheten bijzondere persoonsgegevens, is dit register verplicht.

IT-banen

Reacties (50)

Arnoud Engelfriet 17 juli 2018 14:29

Goede actie wel. Persoonlijk had ik álle bedrijven die bij de KVK staan, aangeschreven met "vrwerkt u persoonsgegevens, en zo ja graag een kopie van uw register uploaden naar". En dan daaruit de steekproef doen. Zo wordt het toezicht voor alle ondernemers ineens heel direct en persoonlijk, maar hoef je toch niet iedereen te controleren.

Bonus: wie ja zegt op de eerste vraag maar geen register uploadt, krijgt per kerende brief een boete van 5000 euro. En met een béétje nadenken over leuke heuristieken (KVK zegt >0 man personeel, maar geen registervermelding "Personeel") kun je volgens mij aardig wat simpele boetes opleggen.

MittaM @Arnoud Engelfriet • 17 juli 2018 19:09

Laat nou net de KvK 1 van de grootste schenders zijn, die ook nog eens grof geld verdienen aan het verhandelen van onze persoonsgegevens.

En gezien de overheid nou niet bepaald een goed track record heeft, lijkt het me zeer onverstandig dat we dit digitaal oplossen. De vraag stellen is wellicht prima het uploaden lijkt me toch een flink risico.

Men_o @Arnoud Engelfriet • 17 juli 2018 16:05

Zo'n kopie van het register uploaden gaat alleen in tegen de principes van de AVG zelf.

Bijvoorbeeld onder regels voor een verwerker: "Je mag alleen andere verwerkers inschakelen als de verwerkingsverantwoordelijke je daar vooraf toestemming voor gegeven heeft."
Dit is in veel gevallen lastig. Daarnaast breek je vooral het "privacy by design" principe. Men wil met deze wet juist onnodige verzameling en verwerking van data voorkomen.

Gillonde @Men_o • 17 juli 2018 16:24

De inhoud van zo'n register is kort door de bocht:

"Ik verwerk leeftijden van mijn klanten omdat ik graag verjaardagsmails wil sturen en ik denk dat ik dat mag omdat het belangrijk is voor m'n bedrijfsvoering."

Dat register zelf bevat toch geen persoonsgegevens?

kzin

@Gillonde • 17 juli 2018 17:57

Uit het artikel:
"Bij hen wordt gecontroleerd of ze een register van verwerkingsactiviteiten bijhouden en of het juiste informatie bevat."

Daarbij denk ik eerder aan iets als: "Telefoonnummer van klant 123456 aangepast van xxxx naar yyyy" of "Adresgegevens van klant 123456 uit database opgehaald voor verzending pakket, adreslabel geprint"

djiwie @kzin • 17 juli 2018 19:11

Dat is een auditlog. Het register waar hier op gedoeld wordt is inderaad zoals @Gillonde beschreef.

Men_o @Gillonde • 18 juli 2018 10:23

Oke, ik heb dan het doel van het register verkeerd begrepen, al zie ik dan het punt er niet van. Alleen het hebben van een dergelijke lijst van soorten verwerkingen is al verplicht en kan de AP al opvragen. Het bedrijf waarbij ik werk heeft ook zo'n lijst. Het verteld heel veel over wat je precies doet als bedrijf en moet dat in een landelijk register? Daarnaast zegt het niet veel. Het is de vraag of wat men zegt te doen waar is, dat moet alsnog een controle uitwijzen.

Chrotenise @Men_o • 18 juli 2018 13:19

Je moet een register bijhouden met welke gegevens je waarom verwerkt - en vervolgens in een algemeen document beschrijven hoe je de gegevens die je verwerkt veilig houdt / verwijderd / compliant bent met AVG.

Mocht er een datalek optreden waardoor blijkt dat je gegevens hebt die je niet mag hebben (en je MOET een datalek melden anders heb je echt een probleem qua boete hoogte) dan kan de AP onderzoek gaan doen en besluiten dat je je niet aan de aan de AVG / je eigen afspraken gehouden hebt.

Anders @Arnoud Engelfriet • 17 juli 2018 18:17

Ik begrijp je insteek, Arnoud, maar je kunt al uittekenen wat dat in de praktijk zou betekenen. "Beste allemaal, willen jullie alle persoonsgegevens uit je systemen exporteren en mailen naar Pietje, die ze verzamelt en zal aanmelden bij de AP". En voila, per bedrijf gaan prompt tientallen, zo niet honderden nieuwe zipbestandjes tjokvol persoonsgegevens zwerven door mailboxen, cloudsystemen en harde schijven.

Arnoud Engelfriet @Anders • 18 juli 2018 10:41

Het verwerkingsregister is niet je database met persoonsgegevens?! In je register staat de documentatie van wát je doet met gegevens, niet de gegevens zelf. Die documentatie is wettelijk verplicht om te hebben, met name wat je doet, met welke gegevens, welke grondslag, hoe lang je ze bewaart en hoe je ze beveiligt. De AP is wettelijk bevoegd te allen tijde inzage in die documentatie te vorderen.

kodak

Autoriteit Persoonsgegevens
Privacy
algemene verordening gegevensbescherming

@Anders • 17 juli 2018 18:46

Met dit soort argumenten kan je ook stellen dat er geen nieuwe wet had moeten komen. Want kans dat bedrijven de wet gaan overtreden. En ondertussen veranderd er dan ook niets. Want niets zou zulke bedrijven tegen houden om wel aan de wet te voldoen. De kans dat bedrijven de wet blijven overtreden is meer geholpen bij zo breed mogelijk handhaven, niet bij zo min mogelijk handhaven.

kzin

@Arnoud Engelfriet • 17 juli 2018 17:47

Persoonlijk had ik álle bedrijven die bij de KVK staan, aangeschreven met "vrwerkt u persoonsgegevens, en zo ja graag een kopie van uw register uploaden naar"

Persoonlijk zou ik zeggen: elk bedrijf dat zomaar persoonsgegevens opstuurt een boete geven.
Wil men controleren? Prima, kom langs, de persoon moet zich legitimeren, mobiele telefoons of alles waarmee je foto's kunt maken afgeven. Na afloop wordt gecontroleerd of de notities geen persoonsgegevens bevatten.

Joolee @kzin • 18 juli 2018 08:33

Zo'n verwerkingsregister bevat geen persoonsgegevens. Enkel een overzicht van wat voor soort persoonsgegevens er verwerkt worden in jouw bedrijf, op welke manier, met welk toezicht en welke grondslag je daarvoor denkt te hebben.

0xygen500 @Arnoud Engelfriet • 17 juli 2018 15:55

Misschien kunnen ze beginnen bij Belastingdienst.

YangWenli @0xygen500 • 17 juli 2018 18:12

De belastingdienst heeft een duidelijke reden om persoonsgegevens te vergaren. En naar mijn weten delen ze die gegevens niet met commerciële bedrijven.

Overigens vind ik wel dat mensen een opt out zouden moeten hebben door hun Nederlands staatsburgerschap op te geven maar helaas zijn er internationale verdragen die het verbieden om statenloos te zijn.

Endless_Death @YangWenli • 17 juli 2018 18:28

Als je ambtshalve uitgeschreven bent in NL krijgt/verzamelt de belastingsdienst niets meer van je. Bron ervaring.

djiwie @YangWenli • 17 juli 2018 19:08

Ze hebben inderdaad een duidelijke reden, maar dat neemt niet weg dat ze een verwerkingsoverzicht moeten hebben en die gegevens moeten beveiligen. En dat zijn dingen die de AP kan controleren.

Blokker_1999

Privacy

@YangWenli • 17 juli 2018 20:29

En waarom zou iemand die statenloos is maar wel in NL woont en werkt vrijgesteld moeten zijn van belastingen? Er zijn duidelijke afspraken over wie een aangifte moet doen en wie niet. Als je wereldreiziger wordt, de landen waar je naartoe gaat goed uitkiest en nergens lang genoeg blijft dan kan je perfect door het leven zonder een belastingaangifte te moeten doen.

0xygen500 @YangWenli • 17 juli 2018 21:01

Volgens mij is de belastingdienst een grote databak voor veel andere overheidsorganen.

IceEyz @Arnoud Engelfriet • 17 juli 2018 15:18

Nou, gegeven de mogelijke inhoud van een verwerkingsregister lijkt het me erg onwenselijk als we opeens centraal alle verwerkingsregisters van alle bedrijven in Nederland op één plek opslaan. Hoezo een aantrekkelijk doelwit voor iemand die op zoek is naar matig beveiligde gegevens.

Horstenator @Arnoud Engelfriet • 18 juli 2018 12:04

Boetes opleggen terwijl de wetgeving zo vaag is dat je er een cursus voor nodig hebt lijkt me niet de juiste weg.

Waarom stelt de AP niet een template beschikbaar voor elke kleine onderneming met personeel?

Iedereen verwerkt immers per slot salarissen en klantcontacten, dat is niet spannend en dus vooral een bureaucratische formaliteit.

MSalters @Arnoud Engelfriet • 18 juli 2018 12:18

Goede actie wel. Persoonlijk had ik álle bedrijven die bij de KVK staan, aangeschreven met "vrwerkt u persoonsgegevens, en zo ja graag een kopie van uw register uploaden naar".

Ik denk dat zo'n verzoek niet lang stand zou houden.

Politiek had er gekozen kunnen worden voor de verplichting om zo'n register pro-actief te delen met de AP. Daarvoor is expliciet niet gekozen. Bedrijven mogen dat register zelf beheren en hoeven dat alleen op verzoek te delen. De AP mag niet alsnog zo'n algemene verplichting opleggen door álle bedrijven een verzoek te sturen.

Arnoud Engelfriet @MSalters • 18 juli 2018 12:25

Sterk argument. De AVG eist geen reden voor de AP om het verzoek te doen, maar inderdaad verander je zo het verzoek wel in een ongevraagde exhibitieplicht. Dus dan moet er toch iets van een steekproef of een inhoudelijk criterium zijn, bijvoorbeeld een specifieke categorie verwerkingen.

adje123 17 juli 2018 13:56

haha, waarom alleen de private sector? Nee nou ook ffkes overheidsinstellingen mee...., laat zelf ook even zien dat je goed bezig bent!

anboni @adje123 • 17 juli 2018 14:06

Zoals nieuws: Autoriteit Persoonsgegevens onderzoekt verwerking bsn in btw-nummers ... bedoel je?

adje123 @anboni • 17 juli 2018 14:09

Dit is wat anders, kijken of AVG enigszins goed geimplementeerd is, is iets anders dan bekijken of een actie toegestaan is.

t link @adje123 • 17 juli 2018 14:50

wat je zegt raakt kant noch wal. onder de AVG zijn bepaalde acties niet toegestaan, dat is wat het AP hier deed, een actie die niet toegestaan is onder de AVG corrigeren. De AVG is niet goed geimplementeerd als er acties uitgevoerd worden die niet toegestaan zijn onder de AVG.

[Reactie gewijzigd door t link op 30 juli 2024 11:48]

Soldaatje @adje123 • 17 juli 2018 14:30

Dat zullen ze wel doen hoor, (semi)overheids-organisaties zijn behoorlijk zelfstandig over het algemeen.
Ze leggen elkaar zelfs boetes op, dat is vestzak-broekzak qua geld natuurlijk maar het toont wel aan waar het goed gaat en waar niet.

totaalgeenhard 17 juli 2018 13:55

Gemeente, KvK en belastingdienst...... please.

Anoniem: 224360 @totaalgeenhard • 17 juli 2018 13:57

Private sector is geen publieke sector....

adje123 @Anoniem: 224360 • 17 juli 2018 14:01

Bedankt voor de opheldering.... maar dat is ook niet zijn punt! Het zijn juist de private sector bedrijven die hard hebben gewerkt om AVG op tijd te implementeren om torenhoge boetes te voorkomen. Over de publieke sector hoor ik tot nu toe alleen slechte geluiden als het over AVG gaat. Neem tenminste 5 publieke sector organisaties waarvan het vermoeden beataat dat ze het wel op orde hebben en toets dat dan!

Anoniem: 224360 @adje123 • 17 juli 2018 14:03

Dan ga je uit van de aanname dat de publieke sector niet onder de loep ligt en die aanname is fout kan ik je melden.
Het heeft ook weinig van doen met dit artikel en is weinig relevant.
Beetje jammeren dat er nog veel mis is met andere zaken als een artikel de focus legt op een specifiek thema vind ik altijd een beetje zonde. Het 'hullie ook' argument kan ik nooit veel mee.

adje123 @Anoniem: 224360 • 17 juli 2018 14:08

Waarom ga jij ervan uit dat ik ergens vanuit ga? Consumenten zijn niet enkel geintereseerd in hoe de private sector met hun gegevens omgaat maar ook de publieke. Het was fijn geweest als ACM in deze ook een aantal publieke sector organisaties had meegenomen, al is het alleen om de schijn te ontwijken dat het ze enkel om de private sector gaat. Daarnaast hoef je niks met het huilie huilie argument te doen want die is er ook niet, of ben jij zo'n persoon die mensen als "huilie huilie" aanmerkt als hun kritiek je niet aanstaat?

Anoniem: 224360 @adje123 • 17 juli 2018 14:14

Leer lezen, er staat 'hullie ook', dat heeft niks met huilen te maken.
De ACM heeft hier ook niks mee te maken, je bedoelt de AP waarschijnlijk.
En nogmaals je gaat ervan uit dat de AP de publieke sector organisaties niet meeneemt, omdat ze hier niet vernoemd worden.......

braaibander @Anoniem: 224360 • 17 juli 2018 16:57

Iets met "forgive him for he know not what he does"?
Mensen buiten de Brabant (of sommige Belgische provincies misschien) weten waarschijnlijk niet dat "hullie ook" naar "jullie ook" vertaald

h.van.dijk @braaibander • 17 juli 2018 19:26

Hullie is derde persoon. "Hullie ook" is (informeel) "hun ook" of (standaardtaal) "zij ook", niet "jullie ook".

kodak

Autoriteit Persoonsgegevens
Privacy
algemene verordening gegevensbescherming

@adje123 • 17 juli 2018 15:42

Dan kan je die twee beweringen vast hard maken. Het feit dat over de private sector nieuws verschijnt dat ze daar hard gewerkt hebben zegt niets over de implementatie. En omgekeerd, negatieve berichten over een paar publieke bedrijven (je maakt het zelf nu algemener) zeggen op zich niets over de sector in brede zin.

Wel zie ik een punt dat het krom is om alleen de private sector te controleren. Hoewel er veel meer private organisaties zijn hoort iedere organisatie zich aan de wet te houden, dus waarom niet in beide sectoren tegelijk deze steekproef?

swimba @totaalgeenhard • 17 juli 2018 13:57

Eens, "overheid" heeft een voorbeeld functie vind ik.
Toch komt het nog wel eens voor dat zij juist de grotere lekken hebben.

* Typ fout

[Reactie gewijzigd door swimba op 30 juli 2024 11:48]

totaalgeenhard @swimba • 17 juli 2018 14:06

In het verleden was het een eer om de kroon te mogen dienen.

Bij verzoek om organisatie te verlaten kreeg je een mooie "eervol" ontslag brief.

Tegenwoordig vermoed ik is overheid een samensmelting van generaties die andere perceptie van integriteit hebben.

Ja er is altijd sprake geweest van nepotisme maar waar je tegenwoordig over leest slaat alles.

Verder worden alleen "bijzondere mensen" afgeschermd bij gemeente/politie en belastingdienst en alleen bij gemeente heb je daar direct invloed op (Je kunt je adres afschermen) maar bij die andere twee niet.

Terwijl je als burger mag verwachten dat al jouw data op "need to know" basis ingekeken mag worden door iemand die daartoe bevoegd is en waarover achteraf verantwoording moet worden afgelegd en bij verzoek inzage van iemand die.niet.bevoegd is ergens een intensiteit onderzoek moet starten...... maar dan lezen ze dagelijks.over ontslagen ambtenaren.

DeFeCt @swimba • 17 juli 2018 16:12

/offtopic: de typefout staat er nog steeds

Het feit dat de AP zich nu richt op de private sector wil niet zeggen dat ze zich niet bezig houdt met de publieke sector, kijk alleen maar naar het BTW bommetje van vorige week.

[Reactie gewijzigd door DeFeCt op 30 juli 2024 11:48]

wizzfrizzle @DeFeCt • 17 juli 2018 16:54

Off topic: tyepfout?

rdfeij @totaalgeenhard • 17 juli 2018 14:03

De belastingdienst doen ze niet, die voldoen nu al niet omdat elke ZZP'er zijn BSN in zijn btw nummer verwerkt heeft zitten. Daar begint het grote probleem voor de belastingdienst al. Ze dienen dit voor 01-01-2019 opgelost te hebben... Ik geloof er niets van... Maar ze zullen zeker ook niet gaan controleren want dan kan de belastingdienst wel sluiten denk ik.

FreshMaker @totaalgeenhard • 17 juli 2018 14:24

Boete op hun omzet kan lucratief zijn.

Wie gaat die boete innen ... ja de overheidsinstantie ....
Iets met broekzak - vestzak ...

FreezeXJ @FreshMaker • 17 juli 2018 14:44

Nee want het is een hele andere organisatie. Dus daardoor gaat 1 organisatie (lees: directie) z'n targets gruwelijk missen, en zullen er dus een paar ambtenaren op het matje geroepen worden. Juist als het (onbegroot) geld kost zijn organisaties in staat om heeeeel veel te doen in korte tijd.

loki504 @totaalgeenhard • 17 juli 2018 18:46

Brein deelt alleen geen boetes uit. Maar schikt voor x bedrag met de persoon. Die kan je ook gewoon weigeren en wachten op een dagvaarding. Dit kan een consument die iemand dagvaard ook doen.

kwaza 17 juli 2018 19:04

Vergis ik mij, of staat er nu, toevallig sinds vandaag, voor het eerst een cookiewall op Tweakers?

djiwie @kwaza • 17 juli 2018 19:10

Die staat er al heel lang.

Origin64 17 juli 2018 23:07

Kunnen we tweakers hiervoor aanmelden? Ik vind dat het hier als tech site als een van de eerste goed geregeld zou moeten zijn en ik kan als ik mn cookies wis nog steeds geen opt out knop vinden.

Op dit item kan niet meer gereageerd worden.

AP start steekproef ter controle naleving privacyregels door grote organisaties

Lees meer

IT-banen

Reacties (50)

Sorteer op:

Weergave: