Nederlandse Autoriteit Persoonsgegevens wil niet zeggen hoeveel onderzoeken er lopen. Pas in januari eerste evaluatie AVG

Een half jaar na de invoering van de Algemene Verordening Gegevensbescherming (AVG) heeft de Autoriteit Persoonsgegevens (AP) ruim 7.000 klachten en ongeveer 10.000 telefonische vragen behandeld. Er lopen onderzoeken naar mogelijke overtredingen, maar hoeveel dat zijn wil de toezichthouder nog niet zeggen.

Online burgerrechtenorganisatie Bits of Freedom zegt in dagblad Trouw dat bedrijven nog niet altijd goed omgaan met verzoeken van mensen om inzage in de gegevens die er over hen worden bewaard.

“Een bedrijf als KPN wil bijvoorbeeld dat zo’n verzoek per post wordt gedaan, terwijl ze wel online diensten aanbieden en ook online data verzamelen. Volgens de AVG mogen er geen onnodige drempels worden opgeworpen”, zegt David Korteweg van Bits of Freedom.

Interpretatie AVG

Toch vindt Korteweg het te vroeg om dus maar te concluderen dat de privacy niet is verbeterd het afgelopen half jaar. “Veel gaat afhangen van hoe de toezichthouders handhaven en hoe de wet geïnterpreteerd gaat worden.”

In Portugal, Duitsland en Groot-Brittannie zijn ondertussen de eerste boetes opgelegd. De toezichthouders van deze landen geven aan tempo te willen maken. Ze hebben aangekondigd voor het einde van dit jaar meerdere boetes te zullen opleggen.

In verschillende landen zijn inmiddels klachten ingediend tegen grote bedrijven. Eentje die volgens Korteweg gevolgen kan hebben voor een hele branche, is die van de organisatie Privacy International tegen een aantal grote online datahandelaren.

De Nederlandse AP zegt momenteel druk bezig te zijn met het analyseren van alle klachten en tips die in Nederland binnenkwamen. Ze kijkt of bepaalde knelpunten naar voren komen, die als eerste aandacht verdienen.

De Tweede Kamer heeft ondertussen in een motie om een eerste officiële evaluatie van de privacywet gevraagd. Volgens het ministerie van justitie en veiligheid komt die Nederlandse evaluatie pas in januari 2019.

De Nederlandse AP laat in Trouw wel al doorschemeren dat de torenhoge boetes die op basis van de AVG kunnen worden opgelegd voorlopig nog niet aan de orde zijn. “
Volgens de nieuwe wet kunnen er boetes worden uitgedeeld, maar zover hoeft het niet altijd te komen, stelt een woordvoerder van de AP in de krant.

Nederlandse malware hunter ontdekt vlak voor verkiezingen in Beieren datalek in Magento webshop regeringspartij CSU

De webshop van de Beierse politieke partij CSU blijkt voor de verkiezingen in de Duitse deelstaat gehackt te zijn. Het datalek werd ontdekt door de onafhankelijke Nederlandse privacy consultant en malware hunter Willem de Groot.

De CSU verloor bij de verkiezingen afgelopen zondag fors. En naar nu blijkt liggen daarnaast ook nog de klantgegevens van alle mensen die sinds 5 oktober CSU-fanartikelen en verkiezingsmateriaal in de webshop van de partij kochten op straat.

De CSU-webshop is momenteel niet meer bereikbaar.

Politiek gemotiveerde hack?

Op dit moment is het niet duidelijk of de aanval politiek gemotiveerd was. Maar dat zou kunnen, omdat de hackers enkel contactgegevens van de klanten van een politieke partij hebben buitgemaakt. De politieke voorkeur van deze klanten ligt dan voor bijna honderd procent voor de hand.

Politieke voorkeur valt onder hogere risicoklasse in AVG

De politieke voorkeur van mensen valt net als medische gegevens en etnische afkomst binnen de AVG onder de categorie bijzondere persoonsgegevens. Dit is een hogere risicocategorie die bij aantoonbaar nalatig handelen tot hogere boetes kan leiden.

 

De Nederlandse privacyspecialist Willem de Groot legt op zijn website en op Twitter uit dat de hackers waarschijnlijk gebruik hebben gemaakt van een ongepatchte kwetsbaarheid in de webshopsoftware of een zwak beheerderswachtwoord.

In dat geval is er duidelijk sprake van nalatigheid bij de CSU.

Webshop CSU is gebouwd met Magento software

De webshop van de CSU is gebouwd met de wereldwijd veel gebruikte webwinkelsoftware Magento.

Volgens De Groot zijn de cybercriminelen op 5 oktober in de webshop binnengedrongen met een Javascriptvirus.

 

De schadelijke JavaScript-code zou de gegevens van de kopers tijdens het betalingsproces hebben onderschept.

Hackers wisten dat ze alleen contactgegevens konden buitmaken

Omdat de CSU online shop alleen gebruik maakt van externe betalingsdienstaanbieders zoals Amazon en PayPal, moet het voor de aanvallers van meet af aan duidelijk zijn geweest dat zij via de door hen gekozen aanvalsroute geen toegang hadden tot de betalingsgegevens zelf.

De hackers konden op deze manier alleen namen en postadressen onderscheppen.

De Groot zegt aan de andere kant dat Magento webshops momenteel vaak worden gehackt.

Wereldwijd 40.000 Magento shops geinfecteerd met Magecart

“Het gaat niet alleen om de Duitse coalitiepartij”, schrijft De Groot op zijn website. Magento websites worden wereldwijd met grote regelmaat op dezelfde manier gehackt. “Ik heb vorige week de 40.000ste gecompromitteerde winkel geteld. De modus operandi is algemeen bekend als “Magecart”.”

Ook de Magentowebshops van grote ondernemingen als British Airways, Ticketmaster en ABS-CBN zijn volgens De Groot op dezelfde manier gehackt.

Facebookaccounts 50 miljoen gebruikers gehackt. Facebook loopt risico op megaboete van 1,4 miljard Euro

Facebook maakte vorige week vrijdag openbaar dat op de dinsdag van die week de accounts van bijna 50 miljoen Facebook-gebruikers waren gehackt. Dat datalek levert Facebook mogelijk een megaboete van 1,4 miljard Euro op.

Sinds de Algemene Verordening Gegevensbescherming (AVG) van kracht is weten veel mensen dat er miljoenen Euro aan boetes kunnen worden opgelegd als de regels worden overtreden.

Bij Facebook wordt een potentieel boetebedrag van 1,4 miljard Euro genoemd. Waar komt dat bedrag vandaan? Heeft Facebook nu een megaprobleem?

Datalekprocedure Facebook

De AVG eist onder meer dat bedrijven hacks en lekken binnen 72 melden bij een Europese toezichthouder. Zo niet, dan kan een boete van maximaal 2 procent van de wereldwijde omzet van het bedrijf worden opgelegd.

Grote vraag is dan of Facebook de hack volgens de regels van een datalekprocedure binnen de verplichte 72 uur bij een Europese privacywaakhond heeft gemeld.

Wall Street Journal

Volgens de Wall Street Journal heeft Facebook tijdig een datalekprocedure gestart. Daarmee lijkt een eerste hoge boete in het kader van de Europese privacywet AVG afgeslagen.

Facebook melde de hack die naar eigen zeggen dinsdag werd ontdekt donderdag bij de Ierse Data Protection Commission (DPC), schrijft The Wall Street Journal.

Het Europese hoofdkantoor van Facebook staat in Ierland, en dus worden alle Europese privacyzaken van Facebook in principe door de Ierse autoriteit persoonsgegevens DPC afgehandeld.

Boete tot 1,4 miljard euro

Toch kan Facebook mogelijk een nog hogere boete krijgen. Bedrijven die volgens de toezichthouder niet genoeg hebben gedaan om de privacy van gebruikers te waarborgen, kunnen boete krijgen van 20 miljoen dollar of 4 procent van jaaromzet waarbij het hoogste bedrag telt. In het geval van Facebook zou de maximumboete op 1,4 miljard euro komen.

Een anonieme Europese privacyadvocaat zegt tegen The Wall Street Journal dat de eis om een lek binnen 72 uur te melden “iedereen op scherp zet”, en zorgt dat bedrijven hacks eerder openbaar maken. De Ierse DPC klaagt dat Facebook niet meer details heeft gegeven rond de recente hack, en heeft het bedrijf vragen gesteld.

Facebook heeft risico van datalek nog niet duidelijk gemaakt

De toezichthouder is “bezorgd over het feit dat dit lek dinsdag ontdekt is en miljoenen gebruikers aangaat, zonder dat Facebook de aard van het lek en het risico voor gebruikers duidelijk kan maken”.

Facebook zegt de zaak te onderzoeken, en de vragen van de toezichthouder zo snel mogelijk te beantwoorden.

Facebook loopt extra risico op megaboete vanwege voorbeeldfunctie

Experts zeggen tegen The Wall Street Journal dat de Europese privacywaakhonden mogelijk een voorbeeld zullen maken van Facebook, omdat het bedrijf met zijn miljarden gebruikers en miljardenomzet een voorbeeldfunctie heeft voor andere bedrijven.

Daar komt bij dat de Europese Commissie vorige week bekend heeft gemaakt dat er een groot onafhankelijk onderzoek naar het privacybeleid van grote bedrijven als Facebook is gestart. Dat onderzoek staat los van het aactuele datalek bij Facebook.

Bovendien werd vorige week onthuld dat Facebook oneigenlijk telefoonnummers van contacten van gebruikers verwerkt voor commerciele doeleinden. Ook als die contacten geen gebruik maken van Facebook.

En tenslotte waarschuwde Whatsapp oprichter Brian Acton in een interview met het tijdschrift Forbes dat Facebook doelbewust gebruikers misleidt. Hij stapte om die reden op bij Facebook.

Organisaties snappen maar weinig van de juridische termen die gebruikt worden in de AVG. Privacywet ‘best ingewikkeld’ volgens Aleid Wolfsen

Wanneer ben je “verantwoordelijke” en wanneer ben je “verwerker”? Organisaties snappen maar weinig van de juridische termen die gebruikt worden in de Algemene Verordening Gegevensbescherming (AVG). Gevolg? Bedrijven gaan massaal de fout in en overtreden daardoor de wet.

De nieuwe privacywet AVG wordt, ruim honderd dagen na invoering, massaal geschonden. “Bedrijven hebben goede bedoelingen maar raken in de war van de ingewikkelde juridische termen”, vertelt Saida Nhass senior consultant bij risicoadviseur AON bij de radionieuwszender BNR.

Volgens Nhass ontstaat er vooral verwarring over de termen ‘verwerker’ en ‘verantwoordelijke’ over de persoonsgegevens. “Veel bedrijven kennen zichzelf een verkeerde rol toe waardoor zij de wet schenden.”

Zelfs juristen gaan regelmatig de fout in met de AVG, meldde BNR op 17 september al.

AVG is volgens Aleid Wolfsen best ingewikkeld

Voorzitter Aleid Wolfsen van de Autoriteit Persoonsgegevens zegt dat er veel telefoontjes binnenkomen bij zijn organisatie over de terminologie binnen de AVG. “Die is ingewikkeld. Dat geef ik wel toe.”

De AP weet volgens Wolfsen niet hoeveel bedrijven de boel al op orde hebben. “We zijn nu bezig met onderzoeken naar de boekhouding voor de AVG (verwerkingsregister).”

Autoriteit Persoonsgegevens heeft al diverse malen met forse boetes gedreigd

De AP heeft volgens Wolfsen inmiddels bij diverse organisaties al gedreigd met forse boetes van in de tonnen als ze niet op korte termijn voldoen aan de AVG.

Het gaat niet alleen fout in Nederland. Ook in de rest van de EU worstelen organisaties met de nieuwe Europese privacyregels.

De Britse toezichthouder ICO meldt op zijn Twitteraccount dat er sinds de invoering van de wet op 25 mei 2018 wekelijks telefonisch 500 datalekmeldingen worden gedaan, waarvan een derde onnodig blijkt te zijn.

Risicoadviseur Nhass van AON pleit er bij BNR voor dat de Europese toezichthouders samen op gaan trekken om de wet duidelijker uit te leggen.

Wolfsen erkent dat de wet soms wat vaag en te algemeen is. Er wordt volgens hem op Europees niveau gewerkt aan verduidelijking. De Europese toezichthouders komen regelmatig bij elkaar om nieuwe toelichtingen op de wet uit te werken, zogenaamde guidelines (richtlijnen).

Iemand stuurt je een e-mailbericht met in de cc diverse e-mailadressen. Is dat een datalek?

Dit bericht is ook verzonden naar Jantje, Pietje en Klaasje en de chef. De namen en e-mailadressen staan in de cc van het mailbericht. Herkenbaar.

Tot 25 mei 2018 vonden we het soms irritant als we mail kregen met een lange lijst adressen in de cc, maar we wisten niet anders. Iedereen deed het bijna.

Klantenlijst concurrent in de schoot geworpen

En soms was het ook best praktisch. Je kreeg klantenlijsten van concurrenten als het ware in de schoot geworpen. Daar kon je soms wel iets mee. Dat was misschien niet netjes, maar het gebeurde wel…

Na 25 mei veranderde de Algemene Verordening Gegevensbescherming (AVG) de wereld, denken we.

De AVG is niet nieuw. De regels bestonden al

Opeens mag er heel veel niet meer. Vrezen we. Maar in werkelijkheid bestonden deze regels al. En ze konden ook worden gehandhaafd. Met hoge boetes.

Het cc-vak in mailberichten was altijd al een risicogebied. Het cc-veld levert datalekken op.

Wanneer is iets een datalek?

Heel simpel gezegd is iets een datalek als de informatie bij een persoon terecht komt die deze informatie niet zou mogen hebben.

Als je nu nog mailberichten met een riks van andere namen en mailadressen in de cc ontvangt zou je moeten weten dat de afzender een groot probleem heeft (gecreeerd).

Jouw mailadres is onrechtmatig gedeeld

Jouw mailadres is ongevraagd gedeeld met mensen die jij mogelijk niet kent of die wat jou betreft niet hoeven te weten dat jij ook op de hoogte bent. Jij – en anderen in de maillijst – hebben daar geen toestemming voor gegeven.

Degene die de mail naar cc-adressen heeft verzonden heeft een datalek gecreeerd. Er zijn zonder toestemming, zonder grondslag, contactgegevens gedeeld met derden.

De fout wordt waarschijnlijk gezien als een zware overtreding van de Algemene Verordening Gegevensbescherming (AVG). Dat kan de veroorzaker duur komen te staan.

Waarschijnlijk een zware overtreding? Dat is dus nog niet zeker…

Nee, er is nog steeds weinig duidelijk over de manier waarop de Autoriteit Persoonsgegevens overtredingen van de AVG beoordeelt.

Dat betekent niet organisaties zich voorlopig nog niet druk hoeven te maken over fout gebruik van het cc-veld door hun medewerkers.

Schelden op de AVG lijkt logisch, maar is onterecht

Ook voor de AVG mocht het cc-veld al niet zonder grondslag gebruikt worden. En er was ook al een boetelijst vastgesteld.

Het verwerken van gegevens zonder grondslag of het hergebruiken voor niet toegestane doelen viel onder de oude privacywetgeving in de categorieën middel of zwaar.

120.000 Euro boete

De boete lag in beginsel op zijn minst op 120.000 euro, de ondergrens van de bandbreedte van categorie twee (middel). De omvang van de inbreuk weegt mee, dus hoe meer adressen hoe hoger de boete.

Boetelijst Autoriteit Persoonsgegevens (AP)

De Autoriteit Persoonsgegevens heeft voor de AVG nog geen boetelijst gepublieerd. Helaas. Niemand weet waar hij aan toe is.

Maar het ligt in de lijn van de verwachtingen dat de boetes zeker niet lager zullen worden dan onder de oude privacywetgeving.

Hoe voorkom je het risico op een boete? Mag je helemaal geen cc gebruiken?

De eerste logische maatregel die je kunt treffen is voortaan het cc-vak standaard niet meer te gebruiken. Dan loop je zeker geen risico.

Het cc-veld zou dus net zo goed kunnen worden afgeschaft, kun je denken. Misschien gaat dat ook nog wel gebeuren.

CC is soms best praktisch

Er zijn mensen die het praktisch vinden om binnen de eigen organisatie in de mail wel duidelijk te vermelden naar wie het bericht ook is gestuurd. Bijvoorbeeld bij uitnodigingen voor managementoverleg. In dat geval is het geen probleem om het cc-vak te gebruiken.

Je moet oppassen met externe mailadressen. Zodra er een extern adres bij komt kun je beter bcc gebruiken.

Je mag van de AVG niet zonder grondslag persoonsgegevens van derden gebruiken. Wat betekent dat?

Een verwerking zonder grondslag wil zeggen, je doet iets met persoonsgegevens maar je treedt buiten de gegeven toestemming of je kunt geen rechtvaardiging geven onder je dringend eigen belang of onder een overeenkomst die je hebt.

Door het cc-veld te gebruiken in plaats van bcc, het vakje dat de adressen van anderen onzichtbaar maakt, valt daar onder.

Hoe ga je ermee om als een persoon (al dan niet vanuit een organisatie) een mailtje stuurt met verschillende e-mailadressen in de cc? Is dit een datalek?

Officieel gezien is dit een datalek. Als je er op de juiste manier mee om wilt gaan, moet dit in beginsel gemeld worden bij de Autoriteit Persoonsgegevens. En je moet het zeker vermelden in je verwerkingsregister als een incident.

Gelet op de enorme boetebedragen waarmee gedreigd wordt hebben veel organisaties waarschijnlijk de neiging om het cc-datalek niet te melden. Die reactie lijkt logisch, maar is niet slim.

Bewust niet melden datalek is vergelijkbaar met doorrijden na een ongeval

De Autoriteit Gegevensbescherming zou het bij ontdekking vergelijkbaar kunnen opvatten als doorrijden na een ongeval. De straf zal dan zeker hoger uitpakken, omdat je je doelbewust niet aan de wet hebt gehouden.

De kans dat je een boete krijgt als je netjes volgens de AVG-regels een datalekmelding doet is juist kleiner. Waarschijnlijk blijft het bij een berisping als je kunt aantonen dat je maatregelen hebt getroffen.

Leg de e-mailetiquette uit

Bijvoorbeeld door een mail aan het personeel te sturen met uitleg over e-mailetiquette op basis van de AVG of door een AVG Awareness training te organiseren. PrivacyZone kan daarbij helpen.

In de mail aan het personeel over e-mailetiquette kun je overigens een link naar dit artikel van PrivacyZone plaatsen.

Je hoeft met die mail natuurlijk niet te wachten tot het is misgegaan. Wie verstandig is houdt het personeel regelmatig op de hoogte met voor hen en klanten relevante aandachtspunten over privacybeleid binnen je organisatie.

PrivacyZone kan helpen bij het opstellen van een interne of externe AVG Communicatie Strategie voor jouw organisatie

De AVG verlangt van organisaties dat ze kunnen aantonen voortdurend consequent beleidsmatig met privacybeleid bezig te zijn.

Hoe groot is de pakkans?

Veel organisaties denken dat de pakkans klein is en denken dat het risico daarom verwaarloosbaar is.

De Autoriteit Persoonsgegevens heeft te weinig menskracht om proactief te gaan controleren. Dat klopt deels.

AP moet iedere klacht behandelen

Maar wat dan vergeten wordt is dat de Autoriteit Persoonsgegevens op basis van de AVG verplicht is om binnen 30 dagen iedere klacht in behandeling te nemen en bij het constateren van een overtreding dan ook op te treden.

Op dit moment merken we daar misschien nog niet veel van, maar dat zou de bekende stilte voor de storm kunnen zijn. We leggen uit waarom.

Steeds meer mensen zijn op de hoogte van de rechten en plichten die ze dankzij de AVG hebben. Rechten en plichten die voor iedereen gelden.

Iedereen kan aangifte tegen jou doen

Iedereen kan nu op basis van de AVG een organisatie aansprakelijk stellen als de regels niet nageleefd worden.

Het risico om gepakt te worden komt dus niet noodzakelijk rechtstreeks van de Autoriteit Persoonsgegevens. Iedereen kan de vinger op de zere plek leggen.

• Er zijn mensen die streng in de leer zijn en vinden dat iedereen zich aan de wet moet houden. Alleen daarom dienen zij een klacht in bij de Aitoriteit Persoonsgegevens.

• Er kunnen concurrenten zijn die denken er baat bij te hebben om jouw organisatie aan te geven bij de Autoriteit Persoonsgegevens.

• Er kunnen consumentenorganisaties zijn die bij de Autoriteit Persoonsgegevens over jouw organisatie aan de bel trekken.

Neem geen risico.

Pas je privacybeleid aan. De AVG is een feit. Zal niet meer verdwijnen. Heeft voordelen en nadelen. En ach, als je de cc niet meer gebruikt heb je al een van de grootste risico’s op een datalek onder controle.

AVG Recht op inzage persoonsgegevens. Handleiding waarmee u een hoge boete zoals Theodoor Gilissen kunt voorkomen

Vermogensbeheerder Theodoor Gilissen moest de Autoriteit Persoonsgegevens (AP) 48.000 Euro boete betalen omdat het bedrijf weigerde slechts een van zijn klanten inzicht te geven in zijn persoonsgegevens. Deze klant diende een klacht in. Door de informatie niet te delen overtrad de private bank privacyregelgeving.

De hoge boete is een wake-up call voor alle organisaties die nog geen privacybeleid voor de Algemene Verordening Gegevensbescherming (AVG) hebben ontwikkeld. Iedereen die dacht dat in het gedoogland Nederland het wel mee zou vallen met de boetes is nu gewaarschuwd.

De Autoriteit Persoonsgegevens heeft gedetailleerd onderbouwd waarom Theodoor Gilissen de hoge boete kreeg.

 

Privacyverklaring en cookiebanner

Veel bedrijven denken dat ze aan de AVG voldoen als zij hun website maar op orde hebben. Ze hebben snel een privacyverklaring gekopieerd van een ander bedrijf en soms een cookiebanner geplaatst. En dat was het dan.

De boete die vermogensbeheerder Theodoor Gilissen kreeg maakt duidelijk dat er toch wel iets meer moet gebeuren. En dat laconieke reacties duur kunnen uitpakken.

Hoe zit het eigenlijk met het recht op inzage binnen de AVG?

 

Wat moeten organisaties doen om te voorkomen dat zij net zo’n hoge boete als Theodoor Gilissen krijgen?

Dat leggen we in dit artikel uit.

De Algemene verordening gegevensbescherming geeft mensen meer zeggenschap over hun persoonsgegevens. Ze hebben het recht om te vragen welke gegevens een organisatie van hen heeft. Ze mogen ook vragen deze gegevens in te zien. In de AVG (artikel 15) staat dit recht beschreven als ‘recht op inzage’.

  • Personen hebben recht op toegang tot hun persoonsgegevens.
  • Particulieren kunnen een verzoek om toegang tot een onderwerp mondeling of schriftelijk indienen.
  • Een organisatie heeft een maand de tijd om op een verzoek te reageren.
  • Er mogen in de meeste omstandigheden geen kosten in rekening worden gebracht voor het afhandelen van een verzoek.

Laten we eerst eens kijken hoe ver uw organisatie is. Hoe staat het met de voorbereiding van uw organisatie op verzoeken die mensen in kunnen dienen op basis van het recht op inzage?

Een checklist: hoeveel vinkjes kunt u zetten?

☐ Wij weten hoe we een verzoek om inzage in persoonsgegevens kunnen herkennen en begrijpen wanneer het toegangsrecht van toepassing is.

☐ Wij hebben een beleid voor het registreren van mondelinge verzoeken om inzage die wij ontvangen.

☐ Wij begrijpen wanneer wij een verzoek om inzage kunnen weigeren en zijn ons bewust van de informatie die wij aan individuen moeten verstrekken wanneer wij dit doen.

☐ Wij begrijpen de aard van de aanvullende informatie die wij moeten verstrekken naar aanleiding van een verzoek om inzage van persoonsgegevens.

☐ We beschikken over processen om ervoor te zorgen dat we zonder onnodige vertraging en binnen een maand na ontvangst reageren op een verzoek om toegang tot een verzoek om inzage van persoonsgegevens.

☐ Wij zijn ons bewust van de omstandigheden waarin wij de termijn voor het beantwoorden van een verzoek om inzage van persoonsgegevens kunnen verlengen.

☐ We begrijpen dat er bijzondere nadruk wordt gelegd op het gebruik van duidelijke en duidelijke taal als we informatie bekendmaken aan een kind.

☐ We begrijpen wat we in overweging moeten nemen als een verzoek informatie over anderen bevat.

Wat is het recht op inzage?

Bovenstaande checklist roept bij organisaties die zich nog niet in de AVG verdiept hebben ongetwijfeld vragen op. Vele vragen waar we in dit artikel op in zullen gaan.

  • Wat is het recht op inzage?
  • Waar heeft een persoon recht op?
  • Hoe herkennen we een verzoek om inzage?
  • Moeten we een speciaal formulier op onze site plaatsen waarmee mensen om inzage van hun persoonsgegevens kunnen vragen?
  • Hoe moeten we de persoonsgegevens verstrekken?
  • Moeten we de inhoud van de informatie die we naar het individu sturen ook uitleggen?
  • Kunnen we kosten in rekening brengen
  • Hoe lang moeten we hieraan voldoen
  • Kunnen we de antwoordtermijn op een verzoek om inzage van persoonsgegevens verlengen?
  • Mogen we een individu om ID vragen
  • Hoe zit het met verzoeken om grote hoeveelheden persoonsgegevens?
  • Hoe zit het met verzoeken die namens anderen worden gedaan?
  • Hoe zit het met verzoeken om informatie over kinderen?
  • Wat moeten we doen als de gegevens ook informatie over anderen bevatten?
  • Als we externe verwerkers gebruiken, betekent dit dan dat ze te maken zouden kunnen krijgen met alle verzoeken om inzage tot een onderwerp dat ons aangaat?
  • Kunnen we weigeren een verzoek in te willigen?
  • Wat moeten we doen als we een verzoek weigeren in te willigen?
  • Kan ik van een persoon verlangen dat hij of zij een verzoek om toegang tot een onderwerp indient?
  • Wat is het recht op toegang?

Het recht op inzage geeft personen het recht een kopie van hun persoonsgegevens en andere aanvullende informatie te verkrijgen. Het helpt mensen om te begrijpen hoe en waarom u hun gegevens gebruikt en bij controle of u het wettig doet.

Waar heeft een persoon recht op?

Personen hebben het recht om van u het volgende te verkrijgen:

  • de bevestiging dat u hun persoonsgegevens verwerkt
  • een kopie van hun persoonsgegevens
  • andere aanvullende informatie – dit komt grotendeels overeen met de informatie die u in een privacyverklaring moet verstrekken

Persoonlijke gegevens andere mensen

Iemand heeft alleen recht op zijn eigen persoonlijke gegevens, en niet op informatie met betrekking tot andere mensen (tenzij de informatie ook over hen gaat of zij namens iemand handelen).

Daarom is het belangrijk dat u vaststelt of de gevraagde informatie onder de definitie van persoonsgegevens valt. U moet rekening houden met:

  • de doeleinden van de verwerking
  • de betrokken categorieën persoonsgegevens
  • de ontvangers of categorieën ontvangers aan wie de persoonsgegevens worden verstrekt
  • de bewaartermijn voor de persoonsgegevens of, indien dit niet mogelijk is, de criteria aan de hand waarvan wordt bepaald hoe lang de gegevens bewaard worden
  • het recht om te verzoeken om rectificatie, uitwissing of beperking of om bezwaar te maken tegen een dergelijke verwerking
  • het recht om een klacht in te dienen bij het Autoriteit Persoonsgegevens of een andere toezichthoudende autoriteit
  • informatie over de bron van de gegevens, indien deze niet rechtstreeks van de betrokkene is verkregen
  • het bestaan van geautomatiseerde besluitvorming (met inbegrip van profilering)
  • de waarborgen die de organisatie biedt wanneer persoonsgegevens doorgegeven worden aan een derde land of een internationale organisatie

Het kan zijn dat veel van deze informatie al in de privacyverklaring op de website staat. Dat zou volgens de AVG ook het geval moeten zijn.

  • Hoe herkennen we een verzoek om inzage?

De AVG geeft niet aan hoe een geldig verzoek moet worden ingediend. Daarom kan een persoon een verzoek zowel mondeling of schriftelijk indienen. En een verzoek kan binnen iedere afdeling of bij iedere medewerker in de organisatie binnenkomen. Ook via social media.

Een organisatie mag indieners niet verplichten verzoeken in te dienen bij een specifieke persoon of contactpersoon. Hoe overzichtelijk en praktisch dat ook zou zijn.

Een verzoek hoeft niet de zinsnede “verzoek om toegang voor de betrokkene” of artikel 15 van de AVG te bevatten, zolang maar duidelijk is dat de betrokkene om zijn eigen persoonsgegevens vraagt.

Dit is een uitdaging bij veel organisaties, omdat elke medewerker een geldig verzoek kan ontvangen. Hoe zorgt u er dan voor dat dit verzoek ook meteen wordt doorgegeven naar de juiste medewerker en dat die dat ook binnen de wettelijke termijn van 1 maand kan afhandelen?

Zeker grotere bedrijven zullen hier beleid en afspraken met hun personeel over moeten maken.

Organisaties hebben de wettelijke verantwoordelijkheid om vast te stellen dat een persoon een verzoek heeft ingediend en dit verzoek dienovereenkomstig te behandelen.

Daarom is het voor organisaties ook belangrijk om privacybeleid te ontwikkelen en al het personeel awareness trainingen te laten geven.

Het is verstandig om een interne of externe privacy manager aan te stellen die hiervoor verantwoordelijk wordt. PrivacyZone kan daarbij helpen.

Het is van groot belang om in kaart te brengen welke medewerkers regelmatig in contact komen met personen en dus moeten weten hoe ze een verzoek om inzage kunnen herkennen en hoe ze daarmee om moeten gaan.

Daarnaast is het verstandig om beleid te hebben voor het vastleggen van de details van de verzoeken die u ontvangt, met name die welke telefonisch of persoonlijk worden gedaan.

U kunt dan bij de aanvrager nagaan of u hun verzoek hebt begrepen, omdat dit latere geschillen over hoe u het verzoek hebt geïnterpreteerd, kan helpen voorkomen.

We raden ook aan een logboek bij te houden van mondelinge verzoeken.

  • Moeten we een speciaal formulier op onze site plaatsen waarmee mensen om inzage van hun persoonsgegevens kunnen vragen?

Standaardformulieren kunnen het zowel voor de organisatie als voor de aanvrager gemakkelijker maken.

Voor een organisatie is het eenvoudiger om een verzoek om inzage herkennen. En voor de aanvrager om alle gegevens door te geven die u nodig bent om de gewenste informatie binnen de organisatie te vinden.

De AVG raadt organisaties aan “te voorzien in middelen om verzoeken elektronisch in te dienen, met name wanneer persoonsgegevens langs elektronische weg worden verwerkt”.

Met een standaardformulier waarmee het recht op inzage kan worden uitgeoefend komt u dus tegemoet aan de AVG.

Echter, zelfs als u over een formulier beschikt, dient u er rekening mee te houden dat een verzoek om toegang tot een onderwerp geldig is als het op enigerlei wijze wordt ingediend, zodat u nog steeds moet voldoen aan verzoeken die u ontvangt in een brief, een standaard e-mail of mondeling.

U kunt personen uitnodigen of stimuleren om een formulier te gebruiken, maar u moet wel duidelijk maken dat dit niet verplicht is en dat u dit niet mag gebruiken om de antwoordtermijn van een maand te verlengen.

 

  • Hoe moeten we de gegevens aan individuen verstrekken?

Als een persoon een verzoek elektronisch indient, moet u de informatie in een algemeen gebruikt elektronisch formaat verstrekken, tenzij de persoon anders verzoekt.

De AVG bevat een aanbeveling voor organisaties om, waar mogelijk, mensen zelf via elektronische systemen toegang te geven tot hun eigen persoonsgegevens. Mensen zouden bijvoorbeeld online kunnen inloggen in een persoonlijk overzicht. Dit geldt overigens niet alleen voor externe verzoeken, maar ook voor interne verzoeken van medewerkers.

Sommige bedrijven hebben bijvoorbeeld al een systeem waarmee medewerkers in hun eigen personeelsdossier kunnen kijken en zelf wijzigingen kunnen aanbrengen.

Dit zal niet voor alle organisaties geschikt zijn, maar er zijn enkele sectoren waar dit goed zou kunnen werken.

Het verlenen van toegang op afstand mag echter geen negatieve gevolgen hebben voor de rechten en vrijheden van anderen – met inbegrip van handelsgeheimen of intellectuele eigendom.

  • We hebben een verzoek om inzage ontvangen, maar moeten de gegevens aanpassen voordat we het antwoord kunnen versturen. Mogen we de “oude” versie versturen?

 

Wij zijn van mening dat een verzoek om toegang tot een onderwerp betrekking heeft op de gegevens die werden bewaard op het moment dat het verzoek werd ontvangen.

Echter, in veel gevallen kan routinematig gebruik van de gegevens leiden tot het wijzigen of zelfs verwijderen van de gegevens tijdens de behandeling van het verzoek.

Het zou dus redelijk zijn dat u informatie verstrekt waarover u beschikt wanneer u een antwoord verstuurt, zelfs als dit verschilt van de informatie waarover u beschikte toen u het verzoek ontving.

Maar het is niet acceptabel om de gegevens aan te passen of te verwijderen als u dat anders niet zou hebben gedaan.

Het is ook strafbaar om wijzigingen aan te brengen met de bedoeling openbaarmaking ervan te voorkomen.

  • Moeten we de inhoud van de informatie die we naar het individu sturen uitleggen?

De AVG vereist dat de informatie die u aan een individu verstrekt, beknopt, transparant, begrijpelijk en gemakkelijk toegankelijk is, in duidelijke en eenvoudige bewoordingen. Dit is met name van belang wanneer de informatie tot een kind is gericht.

Op het meest basale niveau betekent dit dat de aanvullende informatie die u in antwoord op een verzoek verstrekt begrijpelijk moet zijn voor de gemiddelde persoon (of het gemiddelde kind).

Voorbeeld 1

Een persoon vraagt om zijn persoonlijke gegevens. Bij het voorbereiden van de reactie merkt u dat veel ervan gecodeerd is. Bijvoorbeeld, het bijwonen van een bepaalde trainingssessie wordt gelogd als “A”, terwijl het niet bijwonen van een gelijkaardig evenement wordt gelogd als “M”. Bovendien bestaat een deel van de informatie uit moeilijk leesbare handgeschreven notities.

Zonder toegang tot uw sleutel of index om deze informatie uit te leggen, zou het voor iedereen buiten uw organisatie onmogelijk zijn om deze te begrijpen.

In dit geval moet u de betekenis van de gecodeerde informatie uitleggen. Hoewel dit een goede gewoonte is, hoeft u de slecht geschreven aantekeningen niet te ontcijferen, aangezien de GDPR niet vereist dat u informatie leesbaar maakt.

Voorbeeld 2

U krijgt een verzoek voor toegang tot een onderwerp van iemand die vrij slecht Nederlands of Engels spreekt. U stuurt een antwoord en zij vragen u om de informatie die u hen heeft gestuurd te vertalen. U bent niet verplicht om dit te doen, zelfs niet als de persoon die het ontvangt niet alles kan begrijpen omdat het kan worden begrepen door de gemiddelde persoon. Het is echter een goede gewoonte om individuen te helpen de informatie die u over hen bewaart te begrijpen.

  • Mogen we kosten in rekening brengen?

In de meeste gevallen kunt u geen kosten in rekening brengen om te voldoen aan een verzoek om toegang tot een onderwerp.

Zoals hierboven echter al is opgemerkt, kunt u alleen bij een kennelijk ongegrond of overdreven verzoek een “redelijke vergoeding” in rekening brengen voor de administratieve kosten om aan het verzoek te voldoen.

U kunt ook een redelijke vergoeding in rekening brengen als een individu na een verzoek meer kopieën van zijn gegevens aanvraagt.

U moet de vergoeding baseren op de administratieve kosten van het verstrekken van meer kopieën.

  • Binnen welke termijn moeten we  aan een verzoek om inzage voldoen?

U moet zonder onnodige vertraging en uiterlijk binnen een maand na ontvangst reageren op het verzoek om toegang tot het onderwerp.

U moet de termijn berekenen vanaf de dag nadat u het verzoek hebt ontvangen (of de dag erna nu een werkdag is of niet) tot de overeenkomstige kalenderdatum in de volgende maand.

Voorbeeld 3

Een organisatie ontvangt een verzoek op 3 september. De termijn gaat in op de volgende dag (4 september). Dit geeft de organisatie tot 4 oktober de tijd om aan het verzoek te voldoen.

Als dit niet mogelijk is omdat de volgende maand korter is (en er is geen overeenkomstige kalenderdatum), is de datum voor antwoord de laatste dag van de volgende maand.

Als de overeenkomstige datum in een weekend of op een feestdag valt, hebt u tot de volgende werkdag de tijd om te reageren.

Dit betekent dat het exacte aantal dagen dat u aan een verzoek moet voldoen varieert, afhankelijk van de maand waarin het verzoek is gedaan.

Voorbeeld 4

Een organisatie ontvangt een verzoek op 30 maart. De termijn gaat in op de volgende dag (31 maart). Aangezien er geen overeenkomstige datum in april is, heeft de organisatie tot 30 april de tijd om aan de aanvraag te voldoen.

Als 30 april in een weekend valt of een feestdag is, heeft de organisatie tot het einde van de volgende werkdag de tijd om zich aan te passen.

Om praktische redenen kan het, indien een consistent aantal dagen vereist is (bv. voor operationele of systeemdoeleinden), nuttig zijn een periode van 28 dagen vast te stellen om ervoor te zorgen dat de naleving altijd binnen een kalendermaand plaatsvindt.

  • Mogen we de antwoordtermijn verlengen?

U kunt de antwoordtermijn met nog eens twee maanden verlengen als het een complex verzoek betreft of als u een aantal verzoeken van de betrokkene hebt ontvangen. U moet de betrokkene dan wel binnen een maand na ontvangst van zijn verzoek zeer goed gemotiveerd laten weten waarom de verlenging nodig is.

De Autoriteit Persoonsgegevens is van mening dat het onwaarschijnlijk is dat het redelijk is om de termijn te verlengen als:

  • de motivatie kennelijk ongegrond of buitensporig is
  • een vrijstelling van toepassing is
  • u een identiteitsbewijs verlangt voordat u het verzoek in overweging neemt
  • Mogen we om een identificatiebewijs vragen?

Als u twijfelt over de identiteit van de persoon die de aanvraag doet, kunt u om meer informatie vragen. Het is echter belangrijk dat u alleen informatie opvraagt die nodig is om te bevestigen wie ze zijn. De sleutel daartoe is evenredigheid.

U moet de persoon zo snel mogelijk laten weten dat u meer informatie van hem of haar nodig hebt om zijn of haar identiteit te bevestigen voordat u op zijn of haar verzoek reageert.

De termijn om op het verzoek te reageren begint te lopen vanaf het moment dat u de aanvullende informatie ontvangt.

  • Hoe zit het met verzoeken om grote hoeveelheden persoonsgegevens?

Als u een grote hoeveelheid informatie over een persoon verwerkt, kunt u hen om meer informatie vragen om hun verzoek te verduidelijken. U mag alleen vragen om informatie die u redelijkerwijs nodig hebt om de persoonlijke gegevens waarop het verzoek betrekking heeft te vinden.

U moet het individu zo snel mogelijk laten weten dat u meer informatie van hen nodig hebt voordat u op zijn verzoek reageert.

De termijn om op het verzoek te reageren begint te lopen vanaf het moment dat u de aanvullende informatie ontvangt.

Als iemand echter weigert om aanvullende informatie te verstrekken, moet u nog steeds proberen om aan zijn verzoek te voldoen, dat wil zeggen door het maken van redelijke zoekopdrachten naar de informatie waarop het verzoek betrekking heeft.

Hoe zit het met verzoeken die namens anderen worden gedaan?

 

De AVG belet niet dat een persoon een verzoek indient via een derde. Vaak zal dit een advocaat zijn die namens een cliënt optreedt, maar het kan ook gewoon zijn dat iemand zich prettig voelt als iemand anders voor hem of haar kan optreden.

In deze gevallen moet u ervan overtuigd zijn dat de derde die het verzoek indient gerechtigd is om namens het individu op te treden, maar het is de verantwoordelijkheid van de derde om het bewijs van deze gerechtigdheid te leveren.

Dit kan een schriftelijke volmacht zijn om het verzoek te doen of een meer algemene volmacht.

Voorbeeld 5

Een bank heeft een oudere klant die naar een bepaalde vestiging gaat om wekelijks een opname te maken van een van haar rekeningen. De laatste jaren wordt ze altijd begeleid door haar dochter die ook klant is van het filiaal.

De dochter doet namens haar moeder een verzoek om toegang voor een vertrouwenspersoon en legt uit dat haar moeder dit verzoek niet zelf kan doen omdat zij de ins en outs van gegevensbescherming niet begrijpt.

Aangezien de informatie waarover de bank beschikt meestal van financiële aard is, is zij terecht voorzichtig met het verstrekken van klantgegevens aan derden. Als de dochter een algemene volmacht zou hebben, zou de bank daar graag aan voldoen. Ze vragen de dochter of ze zo’n macht heeft, maar die heeft ze niet.

Aangezien het personeel van het bankfiliaal de dochter kent en enige kennis heeft van de relatie die zij met haar moeder heeft, zou het kunnen overwegen om aan het verzoek te voldoen door vrijwillige verstrekking van informatie. De bank is daartoe echter niet verplicht en het zou niet onredelijk zijn om een formele volmacht te eisen.

Als u denkt dat een persoon mogelijk niet begrijpt welke informatie zou worden onthuld aan een derde die namens hem een verzoek om toegang tot een onderwerp heeft ingediend, kunt u het antwoord rechtstreeks naar de persoon sturen in plaats van naar de derde.

De betrokkene kan er dan voor kiezen de informatie met de derde te delen nadat hij in de gelegenheid is gesteld deze te bekijken.

Er zijn gevallen waarin een individu niet de mentale capaciteit heeft om zijn eigen zaken te regelen.

Hoewel de AVG geen specifieke bepalingen bevat die een derde in staat stellen om namens een dergelijke persoon toegangsrechten uit te oefenen, is het redelijk aan te nemen dat een gevolmachtigde die bevoegd is om de eigendommen en zaken van een persoon te beheren, over het passende gezag zal beschikken.

Hetzelfde geldt voor een persoon die door een rechtbank is aangewezen om over dergelijke zaken te beslissen.

  • Hoe zit het met verzoeken om informatie over kinderen?

Zelfs als een kind te jong is om de implicaties van het omgangsrecht te begrijpen, is het nog steeds het recht van het kind en niet van iemand anders, zoals een ouder of voogd.

Het is dus het kind dat recht heeft op toegang tot de informatie die over hem of haar wordt bewaard, ook al worden deze rechten in het geval van jonge kinderen waarschijnlijk uitgeoefend door degenen die voor hen de ouderlijke verantwoordelijkheid dragen.

Voordat u reageert op een verzoek om toegang tot informatie over een kind, moet u overwegen of het kind volwassen genoeg is om hun rechten te begrijpen.

Als u er zeker van bent dat het kind zijn rechten begrijpt, moet u meestal rechtstreeks op het kind reageren.

U kunt de ouder echter toestaan om de rechten van het kind namens hen uit te oefenen als het kind dit toestaat of als duidelijk is dat dit in het belang van het kind is.

Van belang is dat het kind in staat is (in grote lijnen) te begrijpen wat het betekent om een verzoek om toegang tot een onderwerp in te dienen en hoe de informatie die het daardoor ontvangt te interpreteren.

Bij het overwegen van grensgevallen moet u onder andere rekening houden met:

  • de mate van rijpheid van het kind en zijn vermogen om dergelijke beslissingen te nemen
  • de aard van de persoonsgegevens
  • eventuele rechterlijke beslissingen in verband met de ouderlijke bevoegdheid of de ouderlijke verantwoordelijkheid
  • een eventuele geheimhoudingsplicht jegens het kind of de jongere
  • de eventuele gevolgen van het feit dat de personen die de ouderlijke verantwoordelijkheid dragen toegang hebben tot de informatie van het kind of de jongere. Dit is met name van belang als er beschuldigingen van misbruik of mishandeling zijn geuit
  • schade voor het kind of de jongere indien personen met ouderlijke verantwoordelijkheid geen toegang hebben tot deze informatie
  • de meningen van het kind of de jongere over de vraag of hun ouders toegang moeten hebben tot informatie over hen

 

  • Wat moeten we doen als de gegevens ook informatie over anderen bevatten?

Het beantwoorden van een verzoek om inzage in persoonsgegevens kan inhouden dat informatie wordt verstrekt die zowel betrekking heeft op de persoon die het verzoek indient als op een andere persoon.

U hoeft niet aan het verzoek te voldoen als het zou betekenen dat u informatie openbaar maakt over een andere persoon die aan de hand van die informatie kan worden geïdentificeerd, behalve als:

  • de andere persoon met de openbaarmaking heeft ingestemd
  • het redelijk is aan het verzoek te voldoen zonder de toestemming van de betrokkene

 

Om te bepalen of het redelijk is om de informatie bekend te maken, moet u rekening houden met alle relevante omstandigheden, met inbegrip van:

  • het type informatie dat u zou onthullen
  • elke geheimhoudingsplicht die u verschuldigd bent aan de andere persoon
  • alle stappen die u hebt ondernomen om toestemming te vragen aan de andere persoon
  • of de andere persoon in staat is toestemming te geven
  • elke uitdrukkelijke weigering van toestemming door de andere persoon.

 

Dus hoewel u soms in staat bent om informatie met betrekking tot een derde partij vrij te geven, moet u beslissen of het gepast is om dit in elk geval te doen.

Bij dit besluit zal een afweging moeten worden gemaakt tussen het recht op toegang van de betrokkene en de rechten van de andere persoon.

Als de andere persoon ermee instemt dat u de informatie over hen openbaar maakt, dan zou het onredelijk zijn om dit niet te doen.

Als er echter geen toestemming is, moet u beslissen of u de informatie toch openbaar wilt maken.

Voor alle duidelijkheid, u kunt niet weigeren om toegang te verlenen tot persoonlijke gegevens over een individu simpelweg omdat u die gegevens hebt verkregen van een derde partij.

De regels met betrekking tot gegevens van derden zijn alleen van toepassing op persoonsgegevens, waaronder zowel informatie over de persoon op wie het verzoek betrekking heeft als informatie over iemand anders.

  • Als we externe verwerkers gebruiken, betekent dit dan dat ze te maken zouden kunnen krijgen met alle verzoeken om inzage tot een onderwerp dat ons aangaat?

De verantwoordelijkheid voor het voldoen aan een verzoek om toegang tot een onderwerp ligt bij u als verantwoordelijke voor de verwerking. U moet ervoor zorgen dat u contractuele regelingen met verwerkers hebt getroffen om te garanderen dat verzoeken om toegang voor subjecten correct worden behandeld, ongeacht of ze naar u of naar de verwerker worden verzonden.

U kunt de termijn van een maand niet verlengen op grond van het feit dat u moet vertrouwen op een verwerker om de informatie te verstrekken die u nodig hebt om te reageren.

Zoals hierboven al is gezegd, kunt u de termijn alleen met twee maanden verlengen als het om een complex verzoek gaat of als u een aantal verzoeken van de betrokkene hebt ontvangen.

  • Kunnen we weigeren een verzoek in te willigen?

U kunt een verzoek om toegang tot een onderwerp weigeren als het kennelijk ongegrond of buitensporig is, rekening houdend met het feit of het verzoek een repetitief karakter heeft.

Als u van mening bent dat een verzoek kennelijk ongegrond of overdreven is, kunt u:

  • een “redelijke vergoeding” vragen voor de behandeling van het verzoek
  • weigeren het verzoek in behandeling te nemen

In beide gevallen moet u uw beslissing motiveren.

U dient de redelijke vergoeding te baseren op de administratieve kosten voor het inwilligen van het verzoek.

Als u besluit kosten in rekening te brengen, dient u onmiddellijk contact op te nemen met de betrokkene en hem of haar te informeren.

U hoeft niet te voldoen aan het verzoek totdat u de vergoeding hebt ontvangen.

  • Wat moeten we doen als we een verzoek weigeren in te willigen?

U moet de betrokkene zonder onnodige vertraging en binnen een maand na ontvangst van het verzoek op de hoogte brengen.

U moet de betrokkene informeren over:

  • de redenen waarom u geen actie onderneemt
  • hun recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens of een andere toezichthoudende autoriteit
  • de mogelijkheid om dit recht te doen gelden door middel van een beroep in rechte

 

U dient deze informatie ook te verstrekken als u om een redelijke vergoeding vraagt of als u aanvullende informatie nodig hebt om de persoon te identificeren.

Als u naar aanleiding van dit artikel vragen heeft of professionele ondersteuning wilt bij het ontwikkelen van privacybeleid voor uw organisatie kunt u contact opnemen met PrivacyZone: 06-31995740 of

info@privacyzone.nl

.