70% bedrijven heeft geheugen en weggegooide harddiscs IT-apparatuur niet gewist en overtreedt dus de AVG

70% van de bedrijven in Groot-Brittannie heeft geen officieel proces of protocol heeft voor het weggooien van verouderde IT-apparatuur. De verwachting is dat de cijfers representatief zijn voor de rest van Europa.

De bedrijven blijken de gegevens van apparatuur en gegevensdragers die zij in de twee maanden na de invoering van de AVG hebben verwijderd, niet te hebben gewist. Dat is volgens de Algemene Verordening Gegevensbescherming (AVG) wel verplicht.

Bovendien geeft 66% van de werknemers toe dat ze niet eens zouden weten wie ze in hun bedrijf moeten benaderen om oude of onbruikbare apparatuur op de juiste manier af te voeren.

Dat blijkt uit een enquête onder 1.002 Britse werknemers met een volledige of deeltijdse baan, uitgevoerd door Probrand.co.uk.

Probrand is een marktplaats voor business IT in het Verenigd Koninkrijk, met IT-producten, managed IT-services en IT-oplossingen.

Vooral transportsector overtreedt de AVG

Vooral transportbedrijven – waarvan er veel zullen beschikken over klant- en klantadressen en contactinformatie over hun systemen – gaan slordig om met IT-apparatuur die verwijderd wordt, blijkt uit het onderzoek.

Bedrijven in de verkoop en marketing (62%) – waarvan velen ook toegang zullen hebben tot openbare gegevens – waren de op één na meest schuldig aan deze situatie.

Top 10 bedrijfstakken die AVG overtreden

De top 10 industrieën die het meest schuldig zijn aan het niet wissen van het geheugen van IT-apparatuur voordat deze wordt verwijderd:

  • Vervoer – 72%
  • Verkoop en marketing – 62%
  • Productie – 59%
  • Nutsbedrijven – 58%
  • Detailhandel – 57%
  • Onderwijs – 54%
  • Vrije tijd en reizen – 49%
  • Gezondheidszorg en gastvrijheid – 45%
  • Handelaren / administratie – 44%
  • Voorlichting en communicatie – 39%

Verbazingwekkend dat bedrijven zelfs eenvoudig AVG beleid niet op orde hebben

“Gezien de hoeveelheid publiciteit rond de privacywet is het aantoonbaar onmogelijk dat bedrijven nog steeds niet op de hoogte zijn van de regels. Het is dus verbazingwekkend om te ontdekken hoeveel bedrijven er niet in slagen om een aantal van de eenvoudigste praktijken op het gebied van gegevensbescherming te implementeren en te volgen”, zegt Matt Royle, marketingdirecteur bij Probrand.co.uk.

De boetes in verband met een AVG-overtreding kunnen oplopen tot miljoenen. Daarnaast dreigen reputatieschade, minder klantenvertrouwen en minder loyaliteit voor bedrijven die als gevolg van nalatigheid tegen de lamp lopen vanwege een datalek of een controle door de Autoriteit Persoonsgegevens (AP).

Meer AVG awareness nodig. Bedrijven moeten verwijderingsbeleid ontwikkelen

“Gezien deze bevindingen is het duidelijk dat er meer moet worden gedaan om ervoor te zorgen dat alle bedrijven over een verwijderingsprocedure beschikken om te voorkomen dat er per ongeluk gevoelige gegevens uitlekken”, zegt Matt Royle.

Alle persoonsgegevens van leerlingen komen onder één nieuwe wettelijke regeling.

De gegevens van leerlingen kunnen gemakkelijker en flexibeler gebruikt worden door het ministerie, onderwijsinstellingen, gemeente en mogelijke andere belanghebbenden. De Tweede Kamer is hier mee akkoord gegaan.

Alle gegevens in de bestaande leerlingregistratiesystemen komen met dit wetsvoorstel (toelichting) van minister Van Engelshoven (D66) onder één wettelijke regeling te vallen.

Het gaat om de gegevens van het basisregister onderwijs (BRON), het meldingsregister relatief verzuim, het diplomaregister en het register vrijstellingen en vervangende leerplicht.

Al deze gegevens worden door Dienst Uitvoering Onderwijs (DUO) beheerd.

De gegevens worden in principe alleen juridisch samengevoegd.

Technische worden de registratiessystemen met dit wetsvoorstel niet veranderd.

Door het samenbrengen van de gegevens van leerlingen in één wet ontstaat volgens de minister meer overzicht over welke gegevens beschikbaar zijn en kunnen gegevens eenvoudiger worden hergebruikt.

De gegevens worden onder andere gebruikt door het ministerie en de onderwijsinstellingen maar ook door gemeente voor het handhaven van de leerplicht en bijvoorbeeld als onderdeel van het bieden van (jeugd)zorg aan haar inwoners.

Glijdende schaal

Volgens de minister verandert er voor de privacy van leerlingen en studenten nauwelijks iets, omdat de systemen alleen juridisch worden samengevoegd.

Aan de andere kant dient de minister dit wetsvoorstel juist in om de gegevens beter toegankelijk te maken zodat ze eenvoudiger kunnen worden gebruikt.

De Autoriteit Persoonsgegevens oordeelt (pdf) dat er wel degelijk impact op de privacy kan zijn.

De toezichthouder constateert dat het bij elkaar brengen van gegevens in één wettelijke regeling tot “een completer beeld van de onderwijsdeelnemers” leidt dat daardoor “juist een grotere inbreuk op de persoonlijke levenssfeer kan opleveren”.

Ook zijn de de wetsartikelen over het gebruik van gegevens volgens de autoriteit onnodig ruim geformuleerd.

De toezichthouder vreest een glijdende schaal doordat “de kans toeneemt dat de persoonsgegevens voor andere doelen zullen worden gebruikt dan oorspronkelijk was bedoeld”.

De bundeling van de registerwetgeving heeft volgens de Autoriteit Gegevensbescherming naar verwachting de volgende effecten:

 

Ten eerste wordt meegenomen de beschikbaarstelling van diplomagegevens van het erkende niet bekostigde voortgezet onderwijs (VO), middelbaar beroepsonderwijs (MBO), voortgezet algemeen volwassenonderwijs (VAVO) en hoger onderwijs (HO).

In het diplomaregister zijn de diplomagegevens van het bekostigde onderwijs al opgenomen.

Voor het bekostigde en niet bekostigde onderwijs gelden dezelfde overwegingen voor het beschikbaar stellen van diplomagegevens vanuit het register:

  • bijdrage aan fraudebestrijding; helderheid over wat erkende diploma’s zijn
  • lastenverlichting voor (toekomstige) diplomabezitters, onderwijsinstellingen, alsmede indirect voor potentiële werkgevers en overheidsinstanties
  • voorziening voor de diplomabezitter (bewijs behaalde diploma) in geval van verlies of diefstel van een diploma.

Het tweede andere onderwerp dat wordt meegenomen in het wetsvoorstel is de uitbreiding van de gegevenslevering uit het basisregistratie personen (BRP) aan onderwijsinstellingen in het VO, MBO en VAVO met de geboorteplaats van de onderwijsdeelnemer, ten behoeve van de vermelding op het diploma.

De gegevens ‘naam’ en ‘geboortedatum’ worden momenteel al door de Dienst Uitvoering Onderwijs (DUO) aan de onderwijsinstelling geleverd.

Minister bepaalt

In het wetsvoorstel is de mogelijkheid opgenomen dat de minister zelfstandig bepaalt welke gegevens verzameld mogen worden en met wie die gedeeld mogen worden.

Tot op heden zijn de gegevens die verzameld worden wettelijk vastgelegd en kan dat niet zomaar worden aangepast.

Ook wie toegang tot de gegevens heeft is wettelijk verankerd.

Met deze nieuwe wet kan de minister dat op elk moment zelfstandig aanpassen als zij dat nodig acht.

Wel heeft de Tweede Kamer vandaag ook twee wijzigingen van SP en GroenLinks aangenomen waarmee wordt voorgeschreven dat de minister de Tweede Kamer vier weken van te voren over aanpassingen op de hoogte moet brengen.

Het gaat dan om aanpassingen met betrekking tot welke gegevens worden gedeeld en met welke derde partijen dat gebeurt.

De Kamer kan dan in die vier weken eventueel nog in actie komen.

Over eventuele wijzigingen in welke gegevens worden verzameld, hoeft de Kamer niet van te voren te worden geïnformeerd.

Het wetsvoorstel gaat nu naar de Eerste Kamer.

AVG levert problemen op bij leerlingenvervoer in Groningen en Drenthe? Onzin! Nergens voor nodig

5500 leerlingen in de provincie Groningen maken dagelijks gebruik van leerlingenvervoer om op school te komen. Maandag zaten diverse ouders en kinderen tevergeefs op het schoolbusje te wachten. Het busje kwam niet. Oorzaak?

De nieuwe Algemene Verordening Gegevensbescherming, zegt directeur Jan Bos van Publiek Vervoer Groningen Drenthe, de overheidsinstelling die over het leerlingenvervoer gaat.

Alle leerling gegevens opnieuw invoeren

Dit schooljaar rijden er nieuwe vervoerders op sommige lijnen in Groningen en Drenthe. De nieuwe vervoerders mogen wegens de privacywet niet de gegevens gebruiken die bij de vorige vervoerder bekend waren. En dus moeten gegevens van 5.500 leerlingen in heel Groningen en Drenthe volgens Bos opnieuw worden ingevoerd.

“Wat een flauwekul”, reageert privacyspecialist Jeroen Terstegge op Twitter. “De Autoriteit Persoonsgegevens heeft al lang geleden (in casu bij inhuur arbodiensten) bepaald dat cliëntgegevens bij wisseling van aanbieder van de ene naar andere aanbieder mogen worden overgedragen. Gewoon art.6(1)(f)”

 

Bos baalt van de gevolgen van de wet, zegt hij tegen de Groninger regionale omroep RTV Noord. “Ik vind het heel vervelend. Op zich is het goed dat die wet er is, maar misschien schieten we soms ook wel wat door. Al kan ik dat voor deze zaak niet goed beoordelen. Maar we hebben er wel veel last van.”

Planning kan pas in zomervakantie beginnen

Op de vraag of Bos niet eerder had kunnen beginnen met het maken van de planningen, antwoordt hij dat de vervoerbedrijven daar in de zomervakantie mee beginnen. “Dan hebben de scholen de roosters doorgegeven. Maar je ziet dat er, op het moment dat je gaat plannen, dingen anders gaan dan verwacht. Zoals routes en schooltijden die anders uitpakken.”

Volgens de Autoriteit Persoonsgegevens hoeft de AVG in de basis geen drempel op te werpen voor goed leerlingenvervoer. Een woordvoerder zegt volgens RTV Noord “in dit specifieke geval niet aan te kunnen geven wat wel en niet kan, maar als er vragen zijn, raden we iedereen aan om hierover contact op te nemen.”

Volgend jaar moet het beter gaan

Op dit moment moet het leerlingenvervoer volgens Bos goed gaan. “En komende week gaan we met de vervoerders om tafel om te evalueren. Want volgend jaar moet het gewoon beter.”

Dat had volgens Terstegge dit jaar ook al gekund. “De regels onder de oude wet (de Wet bescherming persoonsgegevens, Wbp) waren niet anders.”

School in Assen heeft volgens Autoriteit Persoonsgegevens ten onrechte leerlingen verboden WhatsApp groep aan te maken

Een middelbare school in de Drentse provinciehoofdstad Assen heeft in verband met de Algemene Verordening Gegevensbescherming (AVG) leerlingen verboden om een WhatsApp-groep aan te maken met en voor klasgenoten.

Volgens de Autoriteit Persoonsgegevens, die toeziet op naleving van de privacywet, is dat niet nodig.

De school denkt de privacy van de leerlingen te moeten beschermen.

“Daarover waren wij verrast”, zegt Pauline Gras van de Autoriteit Persoonsgegevens op vragen van de Groningse regionale omroep RTV Noord.

“Staat niet in de wet dat het niet mag”

“Dat kunnen we niet plaatsen. Het staat niet in de wet dat het niet mag. Wat we wel zien is dat scholen heel voorzichtig zijn geworden. En daardoor soms misschien té rigoureus in wat ze allemaal verbieden of tegenhouden. Een appgroep kan juist heel functioneel zijn en bijdragen aan goed onderwijs.”

Volgens Gras is de wet niet te ingewikkeld, maar “passend bij de ingewikkelde maatschappij. Als je een goede reden hebt om persoonsgegevens aan te leveren, kan er heel veel.”

Klacht indienen

Scholen die de regels overtreden hoeven volgens Gras niet direct bang te zijn voor sancties, al is dat in tegenspraak met een uitlating die ze even later doet.

“Nogmaals: de achterliggende gedachte is beschermen”, zegt Gras. “Mocht een school iets doen dat niet de bedoeling is, dan kunnen ouders of leerlingen zelf bij de school aan de bel trekken. Kom je er niet uit, dan kan je bij ons een klacht indienen.”

Sinds de invoering van de wet is de Autoriteit Persoonsgegevens verplicht alle klachten op te pakken. “We kijken er zorgvuldig naar en doen dan een uitspraak.”

Als de dood voor hoge boete

En die laatste uitleg is nou net de reden dat veel scholen het zekere voor het onzekere nemen. Bij twijfel niet doen. Want schoolbestuurders zijn als de dood dat hun school torenhoge boetes krijgt opgelegd vanwege een overtreding. En de bestuurders zijn ook nog eens hoofdelijk aansprakelijk.

Logisch dat die bestuurders geen risico willen nemen.

Waarom bestaat er geen AVG boetelijst?

Als de Autoriteit Persoonsgegevens verplicht is om klachten te beoordelen en een uitspraak te doen wil iedereen graag weten wat er dan verwacht kan worden.

Worden er eerst waarschuwingen uitgedeeld?

Of worden er meteen boetes opgelegd?

En hoe hoog zijn die boetes dan?

Niemand die het weet.

En er is nog geen jurisprudentie.

In heel Europa nog niet.

Wie een verkeersovertreding begaat kan de hoogte van een boete meteen aflezen in een overzicht van justitie.

Waarom is er niet zo’n lijst van de Autoriteit Persoonsgegevens die op basis van de AVG aan andere organisaties oplegt om zo transparant mogelijk te zijn?

Niemand hoeft bang te zijn?

Volgens de Autoriteit Persoonsgegevens kan er dus nog steeds veel en hoeft niemand bang te zijn.

Terwijl juist de onduidelijkheid en het gebrek aan jurisprudentie wel voor angst zorgt.

Wat betreft de onduidelijkheid over het gebruik van Whatsapp op scholen lijkt er nu dus wel duidelijkheid.

De Autoriteit zegt dat het mag.

In dit geval is dat ook logisch. De Whatsapp groepen worden aangemaakt door leerlingen. Niet door de school. Die had en heeft er dus niets over te zeggen.

Hoe zit het met bedrijfsmatige Whatsapp?

Maar hoe zit het dan als de Whatsappgroep wordt aangemaakt door de school zelf?

Of door een andere organisatie?

Whatsapp maakt automatisch gebruik van de contactenlijst op je telefoon. Contacten die misschien geen toestemming hebben gegeven om hun gegevens te delen met Whatsapp.

Jammer dat RTV Noord daar niet over heeft doorgevraagd.

Toch nog onduidelijkheid. PrivacyZone zal de Autoriteit Persoonsgegevens zelf maar eens om opheldering vragen.

“De deadline van 25 mei is onherroepelijk. Maar niet voor de bakker en de slager.”

Hoe kan het dat veel kleine ondernemers nog niet klaar zijn voor de privacywet die op 25 mei 2018 van start gaat? En is dat erg? Voorzitter Aleid Wolfsen van de Autoriteit Persoonsgegevens reageerde dinsdagochtend luchtig in de ontbijtshow Goedemorgen Nederland van omroep WNL.

“Ach een bakker is er om brood te bakken en een onderwijzer is er om les te geven”, aldus Wolfsen. “Die zijn niet iedere dag met privacy bezig. Aan de andere kant weten zij wel veel van hun klanten. Onderdeel van een goede dienstverlening is dat je daar zorgvuldig mee omgaat.”

Hebben kleine bedrijven zich niet goed voorbereid?

“Brancheverenigingen doen er veel aan. Grote bedrijven zijn vaak wel op tijd begonnen. Maar de kleine bedrijven hebben er wat later van gehoord. Die zijn nu wel druk bezig. Ik verwacht dat veel kleine bedrijven wel redelijk op tijd klaar zijn voor 25 mei. Want die deadline is onherroepelijk.”

Moeten kleine bedrijven bang zijn dat u meteen na 25 mei op de stoep staat?

“Nou nee, niet bij de slager en de bakker, kan ik u wel verklappen. Die moeten natuurlijk wel aan de wet voldoen. De wet is natuurlijk als eerste bedoeld voor grote bedrijven die niets anders doen dan handelen in data. Banken, zorginstellingen. Die verzamelen voornamelijk gevoelige gegevens. Gezondheidsgegevens. Dat is natuurlijk belangrijker dan gewone klantgegevens. Maar iedereen moet wel voldoen aan die wet. Neem nu bijvoorbeeld een kinderopvang. Dan denk je ‘wat weet de kinderopvang nou eigenlijk van mij?’ Maar die weet vaak iets over de financiele positie van de ouders. Over de gezondheid. Is er sprake van een echtscheiding. Zulke gegevens zul je toch goed moeten beveiligen.”