Een belangrijk deel van de privacyklachten bij de Autoriteit Persoonsgegevens gaat over het ongewenst doorgeven van persoonsgegevens aan derden. Ook dienen burgers een klacht als er meer gegevens worden opgevraagd dan noodzakelijk. Zakelijke dienstverleners (41 procent), de IT-sector (12 procent) en de overheid (10 procent) komen er het slechtst vanaf. Daarna volgen financiële instellingen en zorginstellingen met elk 9 procent.
Inwerkingtreding AVG
De rapportage van de Autoriteit Persoonsgegevens hangt samen de inwerkingtreding van de AVG. Iedereen die dat wil, kan sinds 25 mei een privacyklacht indienen. De eerste halfjaarlijkse rapportage van de AP geeft inzicht in de klachten die zijn ontvangen sinds die datum en de manier waarop de klachten zijn behandeld.
Recht op verwijdering
De meeste klachten (32 procent) gaan over een schending van een privacyrecht. Dit betreft onder meer het recht op inzage en het recht op verwijdering. Mensen krijgen bijvoorbeeld geen inzage in hun gegevens als ze daarom vragen. Of soms ondervinden ze drempels als ze persoonsgegevens verwijderd willen hebben. Veel organisaties vragen bijvoorbeeld om een kopie van een identiteitsbewijs voordat zij gegevens willen verwijderen. Omdat dit in veel gevallen niet mag, heeft de AP via de website de voorlichting hierover uitgebreid.
De AP heeft verschillende mogelijkheden om een klacht te behandelen. De toezichthouder bekijkt per klacht wat de meest effectieve manier is om de overtreding te beëindigen. De AP heeft zich in het eerste half jaar primair gericht op het beëindigen van de mogelijke overtreding. Dit gebeurt door voorlichting aan organisaties en door te sturen op herstelmaatregelen. In meer dan een derde van de gevallen trad de AP op tegen een overtreding door een brief met normuitleg, bemiddeling of een ‘normoverdragend gesprek’.
AVG en grootschalige verwerking
Daarnaast heeft de AP duidelijkheid verstrekt over de al langer levende vraag wat precies wordt verstaan onder ‘grootschalige verwerking van persoonsgegevens’. De AVG bevat namelijk extra verplichtingen voor zorgorganisaties die op grote schaal dergelijke gegevens verwerken. Deze organisaties moeten onder meer een Functionaris voor de Gegevensbescherming (FG) aanstellen en in bepaalde gevallen een Data Protection Impact Assessment (DPIA) doen.
De AP heeft nu bekendgemaakt dat verwerking van persoonsgegevens door ziekenhuizen, huisartsenposten en zorggroepen altijd als grootschalig wordt beschouwd. Voor alle overige zorgaanbieders geldt dat zij grootschalig persoonsgegevens verwerken als zij van meer dan 10.000 patiënten gegevens verwerken in één informatiesysteem. Met deze uitleg hoopt de AP nu voor alle sectoren binnen de zorg de vragen te hebben weggenomen.