Privacybescherming 2017: de agenda van de toezichthouder

0

Eind januari publiceerde de Autoriteit Persoonsgegevens (hierna: AP) haar agenda voor 2017. Er is niet veel aandacht aan besteed. Wellicht omdat er ook niet zoveel nieuws in staat: de AP zet vooral in op voorlichting. Enigszins te begrijpen is dat wel. In mei 2018 wordt de nieuwe Europese Algemene Verordening Gegevensverwerking van toepassing[1]. Daarmee veranderen veel regels voor de verwerking van persoonsgegevens. Zo moeten zorgorganisaties en overheden bijvoorbeeld een Functionaris Gegevensbescherming benoemen. Verder wijzigen de huidige eisen aan ‘toestemming’ als grondslag voor gegevensverwerking. Hoewel Europese verordeningen rechtstreeks werking hebben in Nederland, hebben meerdere bepalingen een concretisering nodig. Dat gebeurt voor een deel via een implementatiewet. Er valt dus veel voor te lichten over privacybescherming.

Thema’s Privacybescherming

Naast voorlichting over (en implementatie van) de Europese Verordening kiest de AP in 2017 voor de thema’s Profiling, Bijzondere persoonsgegevens en Beveiliging van persoonsgegevens. Over elk thema een kort woord.

Net als in 2016 kiest de AP voor het thema Profiling. De aandacht gaat vooral naar het nakomen van de regels over transparantie. Bij Profiling maken organisaties profielen van mensen door verschillende gegevens te combineren. En met behulp van big data analyses kan dat steeds geavanceerder en zijn de (mogelijke) gevolgen steeds groter. Daarom is transparantie belangrijk. Te denken valt aan de informatie die een organisatie moet verschaffen over de verwerking van persoonsgegevens. Voor welk doel doet hij dat en met wie wisselt hij deze gegevens uit?

De AP kiest al meerdere jaren voor het thema Bijzondere persoonsgegevens. Dit zijn bijvoorbeeld gezondheidsgegevens. Dergelijke persoonsgegevens mag je niet verwerken, tenzij er een uitzondering is. Zo mag een arts gezondheidsgegevens voor de behandeling gebruiken (verwerken).  Het blijkt dat veel organisaties – ondanks het verbod – bijzondere persoonsgegevens verwerken.

De keuze voor het thema Beveiliging van persoonsgegevens is niet onlogisch. Vorig jaar ging namelijk de wet Meldplicht datalekken gelden. Deze wet definieert een datalek als een inbreuk op de beveiliging van persoonsgegevens en verplicht organisaties om ernstige datalekken te melden[2]. De AP houdt toezicht op de naleving.  Naast de aandacht voor datalekken, ligt de focus bij de beveiliging van persoonsgegevens, vooral bij klantportalen.

Tot slot, als gezegd, de agenda bevat niet veel nieuws en de thema’s zijn niet onlogisch. Toch zou het voor privacybescherming goed zijn als de AP ons eens verrast. Bijvoorbeeld door te handhaven. Sinds 2016 heeft de AP meer mogelijkheden daarvoor omdat bijvoorbeeld boetebevoegdheden flink zijn uitgebreid. Dat is onder meer gebeurd om een antwoord te hebben op de toegenomen mogelijkheden voor gegevensverwerking en de complexiteit daarvan (bijvoorbeeld: verknoping van gegevensstromen). Ook handhaven zou daarom niet onlogisch zijn. Er is voldoende onderzoek gedaan waaruit blijkt dat naleving van regels wordt bevorderd door een intelligente combinatie van voorlichting en handhaving. Ook een goed gekozen handhavingsactie draagt bij aan de missie van de AP, te staan voor het grondrecht op bescherming van persoonsgegevens.

Benieuwd wat 2017 ons brengt!

[1]  Hij is al van kracht sinds mei 2016.

[2] Tot 15 december 2016 werden 5.500 datalekken gemeld. Jacob Kohnstamm, voormalig voorzitter van de Autoriteit Persoonsgegevens, voorspelde eind 2015 een jaarlijkse melding van 60.000 datalekken. Onduidelijk is of dit lage aantal positief (er zijn blijkbaar veel minder datalekken) of negatief is (er wordt niet gemeld).

Deel via:

Over de AUTEUR

Monique Ravoo

Adviseur en Interim Manager
(Juridisch) advies en implementatie. Juridische zorg op maat voor organisaties in de zorg- of welzijnsector.

Reageren is niet mogelijk.