100 dagen AVG: wat levert het op?
De eerste 100 dagen van de AVG zijn inmiddels voorbij. Wat is er de afgelopen periode gebeurd op het gebied van privacy en gegevensbescherming? Tahir Bodha en Sanne Koster van Marxman Advocaten geven een overzicht.
Eerst even een algemeen beeld: waar is de Autoriteit Persoonsgegevens (AP) de afgelopen maanden zoal mee bezig geweest in hun rol als toezichthouder? Vanaf de inwerkingtreding informeerde de AP bedrijven, consumenten en overheidsinstellingen over de verplichtingen en rechten onder de AVG en meer algemene, praktische zaken.
Pas op voor het 'AVG-keurmerk'!
Ook kwamen er waarschuwingen over oplichters die zich voordoen als AP-ambtenaren en bedrijven ertoe bewegen ‘boetes’ aan hen te betalen. De AP waarschuwde bovendien voor misleidende AVG-keurmerken: een AVG-keurmerk is er namelijk (nog) niet.
Vanaf 25 mei 2018 tot eind juni zijn er ruim 600 klachten ingediend, waarvan de AP er 400 heeft geanalyseerd. Het grootste deel van de klachten ging over het (niet) verwijderd krijgen van persoonsgegevens, het niet (mogen) inzien van en de ongewenste verstrekking van persoonsgegevens aan derde. Het merendeel van de klachten was gericht tegen bedrijven.
De AP heeft inmiddels bij ruim 400 overheidsinstellingen, 91 ziekenhuizen en 33 zorginstellingen gecontroleerd of zij een functionaris voor de gegevensbescherming hebben aangemeld. Ook deed zij onderzoek naar misstanden met camera's in sauna's.
Waar blijven de boetes?
Daarnaast is de AP gestart met een verkennend onderzoek om te achterhalen hoe goed grote organisaties binnen de private sector de nieuwe privacywetgeving naleven. Met name het hebben en bijhouden van een verwerkingsregister was van belang. Dat leidde er bijvoorbeeld toe dat Facebook het privacybeleid aanpaste, en De Belastingdienst een tik op de vingers kreeg vanwege de privacy rondom BSn-nummers.
Boetes zijn vooralsnog niet opgelegd. Wel legde de AP aan een bank een dwangsom op (en vorderde die in) vanwege het niet volledig gehoor geven aan een verzoek van een betrokkene om inzage van zijn persoonsgegevens.
AVG en het geautomatiseerde personeelsdossier
In de rechtspraak zijn slechts enkele uitspraken geweest op grond van de AVG. De meest relevante uitspraak voor HR gaat over de automatisering van het personeelsdossier. Rechtbank Midden-Nederland liet zich namelijk uit over de vraag of en in hoeverre een personeelsdossier dat niet geautomatiseerd wordt verwerkt, onder de AVG valt.
De rechter oordeelde dat een dergelijk personeelsdossier als bestand in de zin van de AVG kan worden gekwalificeerd, als het een samenhangend geheel is van persoonsgegevens en die persoonsgegevens in dat geheel systematisch toegankelijk zijn. Samenhangend (‘structureel’) geheel betekent dat de gegevensverwerking of de verzameling op grond van één kenmerk een onderlinge samenhang vertoont.
De rechter oordeelde dat ook voor zover een personeelsdossier niet geautomatiseerd wordt verwerkt, het meerdere kenmerken bevat die zodanig met elkaar samenhangen dat al die gegevens naar de betrokkene te herleiden zijn. Kortom: een dergelijk personeelsdossier is volgens de rechter dus aan te merken als bestand volgens de AVG.
Wat brengt de toekomst?
Vanaf de inwerkingtreding van de AVG zijn er veel ontwikkelingen gaande. De AP neemt haar taak als toezichthouder serieus en de rechtspraak begint invulling te geven aan de feitelijke toepassing van de AVG. Dit zal in de loop der tijd allemaal meer worden. In de praktijk zien wij echter dat de ‘AVG hectiek’ is gaan liggen. Maar: de AVG en de AP blijven. Een advies aan ondernemers: zorg dat de implementatie van de privacywetgeving volledig en goed gebeurt. Een goed begin is het halve werk, maar half werk is voor de AP onvoldoende.
Over de auteurs: Tahir Bodha is advocaat Intellectueel Eigendom, Privacy, Dataprotectie & ICT bij Marxman Advocaten. Sanne Koster is partner Ondernemingsrecht bij Marxman Advocaten.