Blog: De eerste honderd dagen van de AVG

Volgens de Amerikanen geven de eerste honderd dagen van een Amerikaanse president een duidelijk beeld van het verloop van zijn presidentschap. Geldt dit ook voor de Algemene Verordening Gegevensbescherming (AVG)? Vandaag zijn de eerste honderd dagen van de AVG voorbij. Wat is er in de afgelopen periode op het gebied van privacy en gegevensbescherming gebeurd?

Artikel bewaren

U heeft een account nodig om artikelen in uw profiel op te slaan

Login of Maak een account aan
Tahir Bodha en Sanne Koster, Marxman Advocaten

De Autoriteit Persoonsgegevens (AP) heeft vanaf de inwerkingtreding van de AVG bedrijven, consumenten en overheidsinstellingen geïnformeerd over de verplichtingen en rechten onder de AVG en meer algemene, praktische zaken. Zo gaf de AP bijvoorbeeld uitleg aan zorgaanbieders over grootschalige gegevensverwerking in de zorg. Ook kwamen er waarschuwingen over oplichters die zich voordoen als AP-ambtenaren en bedrijven ertoe bewegen ‘boetes’ aan hen te betalen. De AP waarschuwde bovendien voor misleidende AVG-keurmerken: een AVG-keurmerk is er (nog) niet.

Van 25 mei 2018 tot eind juni zijn er ruim zeshonderd klachten ingediend, waarvan de AP vierhonderd heeft geanalyseerd. Het grootste deel van de klachten ging over het (niet) verwijderd krijgen van persoonsgegevens, het niet (mogen) inzien van en de ongewenste verstrekking van persoonsgegevens aan derden. Het merendeel van de klachten was gericht tegen bedrijven.

Controle door de AP

De AP heeft inmiddels bij ruim 400 overheidsinstellingen, 91 ziekenhuizen en 33 zorginstellingen gecontroleerd of zij een functionaris voor de gegevensbescherming hebben aangemeld. Daarnaast is de AP gestart met een verkennend onderzoek om te achterhalen hoe goed grote organisaties binnen de private sector de nieuwe privacywetgeving naleven, waaronder het hebben en bijhouden van een verwerkingsregister. Facebook heeft haar privacybeleid aangepast, maar de AP heeft nog steeds vragen over het aangepaste privacybeleid, de rechtmatigheid van de verwerking van persoonsgegevens en het nieuwe privacykeuzemenu van Facebook. Bij de Belastingdienst is geconstateerd dat zij geen wettelijke basis heeft voor het verwerken van het bsn-nummer van zelfstandigen met een eenmanszaak; het bsn-nummer maakt deel uit van het btw-identificatienummer van die zelfstandigen. De Belastingdienst moet deze overtreding zo snel mogelijk beëindigen. Doet zij dat niet, dan kan de AP handhavende maatregelen treffen.

Ondanks dat nog veel bedrijven en overheidsinstellingen niet voldoen aan de nieuwe privacywetgeving en deze wetgeving op (veel) onderdelen binnen de organisatie moeten implementeren, heeft de AP nog geen (bestuurlijke) boetes opgelegd. Wel heeft de AP aan een bank een dwangsom opgelegd en ingevorderd vanwege het niet volledig gehoor geven aan een verzoek van een betrokkene om inzage van zijn persoonsgegevens.

Uitspraken op de grond van de AVG

In de rechtspraak zijn slechts enkele uitspraken geweest op grond van de AVG. De meest noemenswaardige uitspraken voor de zorgsector betreffen die van de Rechtbank Midden-Nederland en de Rechtbank Oost-Brabant.

Personeelsdossier

De Rechtbank Midden-Nederland liet zich uit over de vraag of en in hoeverre een personeelsdossier dat niet geautomatiseerd wordt verwerkt, onder de AVG valt. De rechter oordeelde dat een dergelijk personeelsdossier als bestand in de zin van de AVG kan worden gekwalificeerd, als het een samenhangend geheel is van persoonsgegevens en die persoonsgegevens in dat geheel systematisch toegankelijk zijn. Een samenhangend (‘structureel’) geheel houdt in dat de gegevensverwerking of de verzameling op grond van één kenmerk een onderlinge samenhang vertoont. De rechter oordeelde dat ook voor zover een personeelsdossier niet geautomatiseerd wordt verwerkt, het meerdere kenmerken bevat die zodanig met elkaar samenhangen dat al die gegevens naar betrokkene te herleiden zijn. Kortom, een dergelijk personeelsdossier is volgens de rechter aan te merken als bestand volgens de AVG.

Vernietiging persoonsgegevens

Voor de Rechtbank Oost-Brabant ging het om een verzoek tot vernietiging van persoonsgegevens. De AVG vermeldt dat in een aantal gevallen de betrokkene het recht heeft om de verwerkingsverantwoordelijke te verzoeken zijn persoonsgegevens zonder onredelijke vertraging te verwijderen. Een uitzondering op dit recht van betrokkene wordt gemaakt als de verwerking van zijn persoonsgegevens nodig is voor het instellen, uitoefenen of onderbouwen van een rechtsvordering. In deze zaak werden de persoonsgegevens van betrokkene door de gemeente gebruikt als mogelijk bewijsmiddel in een procedure tussen de gemeente en betrokkene. Naar het oordeel van de rechter moet deze verwerking door de gemeente worden gezien als het onderbouwen van een rechtsvordering. De uitzondering op het recht van betrokkene op verwijdering van zijn persoonsgegeven is dus hier van toepassing.

De AVG in de toekomst

De AP neemt haar taak als toezichthouder serieus en de rechtspraak begint invulling te geven aan de feitelijke toepassing van de AVG. Dit zal in de loop der tijd allemaal meer worden. In de praktijk zien wij echter dat de ‘AVG-hectiek’ is gaan liggen. Op de radio horen wij veel minder reclames over de AVG en bedrijven hebben hun marketingmachine weer gericht op andere onderwerpen, maar de AVG en de AP zijn hier om te blijven. Ons advies aan u is om te zorgen dat de implementatie van de privacywetgeving volledig en goed gebeurt. Een goed begin is het halve werk, maar half werk is voor de AP onvoldoende.

Tahir Bodha (bodha@marxman.nl) is advocaat Intellectueel Eigendom, Privacy, Dataprotectie & ICT. Sanne Koster (koster@marxman.nl) is partner Ondernemingsrecht – Marxman Advocaten.

Geef je reactie

Om te kunnen reageren moet u ingelogd zijn. Heeft u nog geen account, maak dan hieronder een account aan. Lees ook de spelregels.