Selecteer een pagina

FG’s ziekenhuizen krijgen tips van Autoriteit Persoonsgegevens (AP) om nog beter te functioneren

Functionarissen voor de gegevensbescherming (FG’s) in ziekenhuizen zijn volgens de Autoriteit Gegevensbescherming (AP) goed op weg om zich een volwaardige positie te verwerven.

“De FG’s opereren goed en geven een goede invulling aan de taken die zij hebben op grond van de privacywetgeving”, meldt de AP. “Wel kunnen voornamelijk kleinere ziekenhuizen zich nog verbeteren door meer schriftelijke waarborgen door te voeren.”

Deze conclusie trekt de Autoriteit Persoonsgegevens (AP) na een verkennend onderzoek naar het functioneren van FG’s in elf ziekenhuizen.

Monique Verdier, bestuurslid bij de AP: “Als de functie van een FG goed ingebed is in een organisatie, kan dat iets zeggen over hoe goed een organisatie de privacywet naleeft. Voor de AP is een goed functionerende FG waardevol: hij of zij helpt ons om adequaat toezicht te houden.”

Aanbevelingen voor een effectieve FG

Op basis van het verkennend onderzoek komt de AP met aanbevelingen voor de raden van bestuur en aanbevelingen voor de FG’s. De AP heeft het onderzoek verricht binnen elf ziekenhuizen, maar de bevindingen zijn relevant voor de hele ziekenhuisbranche en daarbuiten.

Aanbevelingen aan de raden van bestuur:

  1. Werk regels en richtlijnen uit over de positie van de FG’s in een intern privacybeleid. Maak duidelijk wat de taken, werkzaamheden en bevoegdheden van de FG zijn en hoe de functie is afgebakend.
  2. Zorg ervoor dat FG’s voldoende middelen krijgen om hun werk goed te kunnen doen. Laat aan de organisatie zien dat het werk van FG’s belangrijk is en gedragen wordt door de raad van bestuur.
  3. Zoek zelf actief contact met de FG. Laat dit niet uitsluitend over aan een manager of secretaris.

Aanbevelingen aan FG’s:

  1. Houd een goede balans tussen de adviserende en de toezichthoudende rol.  Vervul niet alleen een adviserende rol, besteed meer aandacht aan de toezichthoudende rol. 
  2. Voorkom conflicten tussen de adviserende en de toezichthoudende rol. Maak binnen de organisatie duidelijk welke rol je wanneer inneemt.
  3. Maak duidelijke interne afspraken over de verdeling van verantwoordelijkheden en de rol van de FG, bijvoorbeeld bij een datalek.
  4. Wees zichtbaar. Zoek als FG het contact met de werkvloer en ga het gesprek aan.
  5. Leer van elkaar. Zoek contact en wissel ervaring en kennis uit met andere FG’s in de regio of bij andere zorgaanbieders in het land. Veel FG’s hebben te maken met dezelfde problematiek. Onderling contact voorkomt dat ze het wiel opnieuw moeten uitvinden.

6 banken en 9 verzekeraars voldoen nog niet aan Algemene Verordening Gegevensbescherming (AVG)

6 Nederlandse banken en 9 verzekeraars voldoen volgens de Autoriteit Persoonsgegevens (AP) nog niet aan de Algemene Verordening Gegevensbescherming (AVG). Dat blijkt uit een controle bij 45 banken en 93 verzekeraars.

Sinds de invoering van de nieuwe Europese privacywetgeving op 25 mei 2018 controleert de Autoriteit Persoonsgegevens bij diverse branches of alle regels wel worden nageleefd. Zo controleerde de toezichthouder eerder overheidsorganisaties, ziekenhuizen en zorgverzekeraars. Ook vond er een steekproef plaats bij grote private organisaties.

Volgens de AP hebben 6 Nederlandse banken en 9 verzekeraars nog geen Functionaris Gegevensbescherming (FG) aangesteld. Daartoe zijn zij volgens de AVG evenwel verplicht. Deze FG moet ook officieel aangemeld worden bij de AP.

Ook heeft de toezichthouder uitgezocht of financiële instellingen de directe contactgegevens van die functionarissen wel op hun website hebben gepubliceerd, zoals is vereist. Dit liet bij zeven banken en veertien verzekeraars nog te wensen over.

Banken en verzekeraars verwerken veel persoonsgegevens van hun klanten, zoals identificatiegegevens, financiële data en transactie- en medische gegevens. De functionaris in kwestie is daarom erg belangrijk.

 

Autoriteit Persoonsgegevens is 5 maanden na start AVG nog opvallend rustig. Stilte voor de storm?

Ruim vijf maanden nadat de Algemene Verordening Gegevensbescherming (AVG) op 25 mei 2018 van kracht is geworden horen we nog steeds opvallend weinig van de Nederlandse Autoriteit Persoonsgegevens (AP). In Duitsland kondigen verschillende toezichthouders inmiddels meerdere boetes aan. Is de rust bij de AP de stilte voor de AVG storm in Nederland?

Uit diverse onderzoeken blijkt dat de meerderheid van de Nederlandse organisaties nog niet voldoet aan de privacywet. Tot dusver zien we dat nog niet terug in de mededelingen die de Autoriteit Persoonsgegevens doet op zijn website.

Nederlandse AP voornamelijk nog gericht op overheid

Tot op heden focust de Nederlandse AP zich nog vrijwel uitsluitend op de overheid en de zorg.

De AP maakte deze week bijvoorbeeld bekend een dwangsom van 150.000 Euro per maand aan het UWV te hebben opgelegd. Het UWV voldoet niet aan beveiligingseisen die voortvloeien uit de Algemene Verordening Gegevensbescherming (AVG). In augustus werd de politie aangepakt en tegen de belastingdienst loopt ook een onderzoek.


Elders in Europa lijken de nationale en regionale toezichthouders veel actiever te zijn dan de Nederlandse Autoriteit Persoonsgegevens. In Portugal en Groot-Brittannie zijn inmiddels de eerste boetes uitgedeeld.

AVG boeteprocedures

De Duitse krant Handelsblatt publiceerde deze week een uitgebreid artikel over maatregelen en boeteprocedures die de diverse toezichthouders in de Duitse deelstaten in gang hebben gezet. De inventarisatie zou een beeld kunnen geven wat Nederlandse organisaties kunnen gaan verwachten van de Autoriteit Persoonsgegevens.

Stefan Brink is voorzitter van de Autoriteit Persoonsgegevens van de Duitse deelstaat Baden-Württemberg. Hij kondigt in het Handelsblatt aan nog dit jaar “aanzienlijke” boetes te zullen opleggen wegens overtredingen van de Algemene Verordening Gegevensbescherming. Als voorbeeld noemt hij schending van de AVG door illegale videobewaking.

Autoriteit Persoonsgegevens Hamburg

Toezichthouder Johannes Caspar van de Autoriteit Persoonsgegevens in de Duitse deelstaat Hamburg zegt inmiddels twee boeteprocedures in gang te hebben gebracht. Ook zegt hij inmiddels diverse waarschuwingen te hebben gegeven. Bijvoorbeeld voor onrechtmatige reclame via e-mail. En voor overtredingen van de AVG door diverse verhuurders die ontoelaatbaar veel gegevens van potentiële huurders vragen.

Caspar zegt dat er op veel gebieden waarschijnlijk sprake is van een hoog niveau van niet-naleving van de regels van de AVG. “Sinds 25 mei 2018 hebben we 1870 klachten ontvangen, tegen 870 klachten in 2017.”

Autoriteit Persoonsgegevens Noordrijn-Westfalen

Helga Block, commissaris voor gegevensbescherming in de Duitse deelstaat Noordrijn-Westfalen, heeft inmiddels de eerste boetebeschikkingen uitgedeeld. “In het bijzonder ging het hier om gevallen waarin wij niet desgevraagd tijdig informatie hebben ontvangen van verantwoordelijke personen”, zegt Block in het Handelsblatt.

Daarnaast treedt Block op tegen het onrechtmatig gebruik van dashcams in auto’s.

Autoriteit Persoonsgegevens Berlijn

In Berlijn staan ook al sancties op stapel. “De eerste boetes onder de nieuwe wet kunnen tegen het einde van het jaar worden verwacht”, vertelt woordvoerster Dalia Kues van de gegevensbeschermingsautoriteit in Berlijn aan het Handelsblatt. Ze legt meteen uit waarom het even duurt voordat het handhavingsbeid van de toezichthouder zichtbaar wordt.

Strenge procedures vertragen handhaving door Autoriteit Persoonsgegevens

“Dergelijke procedures vereisen een uitgebreid en diepgaand onderzoek en doorlopen strenge formele procedurele stappen, waardoor het langer duurt om ze af te ronden”, zegt Kues.

Dat geldt uiteraard ook voor de Nederlandse Autoriteit Persoonsgegevens.

Bij de Autoriteit Persoonsgegevens in Berlijn
komen bijzonder veel klachten binnen over bedrijven die niet voldoen aan het recht op inzage, correctie of verwijdering. Ook komen er veel klachten binnen over SPAM-mail, cookies en ondeugdelijke privacyverklaringen op websites.

Twaalf keer zoveel datalekken

Het aantal datalekken dat sinds 25 mei in Berlijn is gemeld is inmiddels maar liefst twaalf keer zo hoog als in 2017. Er zijn inmiddels 2157 klachten geregistreerd. Een verviervoudiging ten opzichte van 2017.

Veel apps voldoen niet aan de nieuwe privacyregels

Toezichthouder Block van Noordrijn-Westfalen (NRW) merkt ook op dat gegevensbescherming door de nieuwe regels in toenemende mate een probleem aan het worden is bij bedrijven en overheden. “Dit is waarschijnlijk niet in de laatste plaats te wijten aan de toegenomen sanctiemogelijkheden. Met name veel kleinere organisaties zijn zich nu pas bewust geworden van de verplichtingen die ze eigenlijk al hadden onder de oude wet.”

De gegevensbeschermingsautoriteit in NRW heeft tot nu toe zo’n 9000 klachten en vragen geregistreerd. Dat is nu al aanzienlijk meer dan in heel 2017.

Vooral kleine organisaties, freelancers en verenigingen vragen advies bij Autoriteit Persoonsgegevens

Volgens de Berlijnse woordvoerster Kues vragen met name kleine bedrijven, freelancers en verenigingen die zich geen juridisch advies van advocaten of adviesbureaus kunnen veroorloven om advies bij de Autoriteit Persoonsgegevens in Berlijn. “Ze hebben heel vaak betrekking op het ontwerp van websites, vragen over de verplichting van een Functionaris Gegevensbescherming (FG) en verwerkingsovereenkomsten”, aldus Kues.

Personeelstekort bij Autoriteit Persoonsgegevens

De Duitse toezichthouders kunnen door de vele vragen en klachten het werk nauwelijks nog aan. Door gebrek aan personeel blijven veel zaken langer dan zou moeten liggen, melden de toezichthouders in Berlijn en Hamburg. In Noordrijn-Westfalen heeft de toezichthouder inmiddels twintig medewerkers erbij gekregen. Maar dat aantal is nog niet genoeg. Er staan nog diverse vacatures open.

Wat kunnen we leren van de ‘onzinnige’ AVG naambordjes discussie in Duitsland en Oostenrijk?

“Paniekzaaierij door oproerkraaiers die de Europese privacywet in diskrediet willen brengen.” Snoeiharde kritiek van de Autoriteit Persoonsgegevens van de Duitse deelstaat Beieren naar aanleiding van de ophef over een vermeend AVG-verbod op naambordjes in flats en appartementencomplexen. Is die kritiek terecht?

Of is de Europese privacywetgeving gewoon te complex?

Wat kunnen we leren van de discussie in Oostenrijk en Duitsland?

Waarom heeft niemand de Autoriteit Persoonsgegevens om uitleg gevraagd?

Allereerst is het opmerkelijk dat klaarblijkelijk vrijwel niemand tot op heden de toezichthouders in Oostenrijk en Duitsland gevraagd heeft om duidelijkheid te verschaffen naar aanleiding van de onduidelijkheid over de uitleg van de privavyregels ten aanzien van naambordjes.

Wie op Google zoekt op Klingelschild DSGVO ziet dat alle grote Duitse mediasites op het verhaal gedoken zijn. Slechts een enkele site vroeg commentaar aan een toezichthouder.

Kritiek Beierse autoriteit op media en privacybelangenorganisatie slecht onderbouwd

Voorzitter Thomas Kranig van de Beierse autoriteit doet voorkomen alsof de discussie in gang is gezet door tegenstanders van de privacywet en de media. Door mensen die op een rel uit waren om de AVG belachelijk te maken.

Maar die veronderstelling klopt niet.

Hoe begon de naambordjesdiscussie?

De discussie kwam in Wenen op gang naar aanleiding van een klacht van één huurder bij de gemeentelijke woningcorporatie Wiener Wohnen.

De corporatie heeft vervolgens de Magistratsabteilung 63, de afdeling die in Wenen verantwoordelijk is voor gegevensbescherming, geraadpleegd. De Functionaris Gegevensbescherming van deze afdeling kwam vervolgens zelf tot de conclusie dat de combinatie van achternaam en deurnummer daadwerkelijk inbreuk maakt op de Europese privacywetgeving.

Functionaris Gegevensbescherming zet als eerste verkeerde stap

De kwestie is dus niet aangezwengeld door oproerkraaiers. Een Functionaris Gegevensbescherming, iemand die alles van de privacywet zou moeten weten, trok op basis van de wettekst de conclusie dat er sprake was van inbreuk op de AVG.

Logisch besluit wonkngcorporatie om alle naambordjes te verwijderen

Vervolgens kan de Weense woningcorporatie niet anders dan te besluiten om verregaande maatregelen te treffen. Bij overtreding van de regels is het management immers aansprakelijk als de Autoriteit Persoonsgegevens van Oostenrijk een onderzoek instelt naar aanleiding van een klacht van een huurder, waar niets mee gedaan is.

Zeker als blijkt dat er een advies van de FG ligt om 220.000 naambordjes te verwijderen.

Nog steeds geen sprake van stemmingmakerij

Tot zover is er dus nog steeds geen sprake van bewuste stemmingmakerij om de AVG in diskrediet te brengen.

Pas als 220.000 huurders in Wenen een brief krijgen van de woningcorporatie duikt de media er bovenop. Logisch, want het betreft een opmerkelijk besluit met verregaande gevolgen. En dat op basis van een nieuwe wet die veel mensen onzeker maakt. Mede vanwege de hoge boetes die opgelegd kunnen worden.

Geen journalist die Autoriteit Gegevensbescherming om een reactie heeft gevraagd

Wat vervolgens opvalt is dat er geen journalist in Oostenrijk op het idee gekomen is om de Autoriteit Persoonsgegevens om een reactie te vragen.

Dat verwijt valt overigens ook de Functionaris Gegevensbescherming te maken.

Rol privacybelangenorganisatie

De media vroegen wel om een reactie bij ARGE Daten. Een organisatie die zich in Oostenrijk bezighoudt met de privacyrechten van burgers.

Volgens ARGE Daten was het besluit van Wiener Wohnen om alle naambordjes te verwijderen de “enige wettelijk conforme procedure”.

ARGE Daten roept vervolgens huurders op om een klacht in te dienen bij de Autoriteit Persoonsgegevens in Wenen.

Als de Beierse toezichthouder zich kwaad maakt over stemmingmakerij over de Europese privacywet dan zou ARAG Daten daar de aanleiding voor kunnen zijn.

ARAG Daten is geen tegenstander van AVG

Ware het niet dat de Beierse autoriteit praat over stemmingmakerij door tegenstanders van de AVG. ARAG Daten is een organisatie die opkomt voor privacybelangen. ARAG Daten heeft dus belang bij de privacywet. Is geen tegenstander.

Waar komt die stemmingmakerij dan vandaan?

De Beierse autoriteit geeft een uitstekende les privacywetgeving naar aanleiding van de discussie over de naambordjes. Uitleg die iedereen de regels erbij pakt lijkt te moeten kunnen begrijpen. Maar is dat werkelijk zo?

Privacydeskundigen leggen privacyregels anders uit dan Autoriteit Persoonsgegevens

De Functionaris Gegevensbescherming gaf een andere uitleg van dezelfde regels. En hij heeft er voor geleerd.

En hij was niet de enige privacydeskundige die een andere uitleg aan de regels gaf dan de Autoriteit Persoonsgegevens van Beieren.

Toegegeven, andere privacydeskundigen plaatsten vraagtekens bij het besluit van Wiener Wohnen, maar gaven vervolgens toch een andere duiding van de wet dan de Autoriteit Persoonsgegevens.

Max Schremms adviseert verhuurders onterecht om schriftelijk toestemming te vragen

Neem bijvoorbeeld Max Schrems. Hij heeft in heel Europa naam gemaakt met zijn kruistocht tegen Facebook. Schrems wijst er in een tweet op dat de ontmanteling van meer dan 200.000 naambordjes wellicht een wel erg overdreven maatregel is.

@Met alle liefde voor de #AVG“, tweet Schrems. „Maar waar u (al) de toestemming van de huurder heeft, hoeft u niet meer 220.000 naamplaatjes te verwijderen en opnieuw te plaatsen….. Een vragenlijst met een opt-in zou het waarschijnlijk gemakkelijker maken.“

 

Schrems adviseert als gerenomeerde privacydeskundige dus aan verhuurders om alle huurders schriftelijk om toestemming te vragen om hun naam op een centraal belbord in de hal van een flat te plaatsen.

Maar volgens de Autoriteit Persoonsgegevens hoeven verhuurders niets te doen

De Beierse Autoriteit Persoonsgegevens zegt daar niets over. Volgens de Beierse AP hoeven verhuurders niets te doen.

Duitse advocaat onderbouwt in blog aan de hand van diverse wetten dat naambordjes ook voor AVG al verboden zouden zijn

In Duitsland schreef advocaat Arno Lampmann van advocatenkantoor LHR in Keulen een uitvoerige blog over de naambordjes. Zijn opmerkelijke conclusie was dat de naambordjes ook zonder de AVG eigenlijk al in strijd zijn met andere wetten. Hij verwijst daarbij naar die wetten en haalt er vervolgens ook Max Schremms nog bij om zijn conclusie kracht bij te zetten.

Nog steeds geen spoor van oproerkraaiers die de Europese privacywet in diskrediet brengen.

 

Deskundigen die geacht mogen worden de privacywet te kennen en te kunnen duiden geven een hele andere uitleg aan de regels dan de Autoriteit Persoonsgegevens van Beieren. Opnieuw geen tegenstanders van de wet. Weer mensen die belang hebben bij de privacywetgeving.

Alle partijen, waaronder de Autoriteit Persoonsgegevens, moeten hand in eigen boesem steken

Het zou de Autoriteit Persoonsgegevens in Beieren, maar ook zijn collega’s in de rest van Europa, sieren om de hand in eigen boesem te steken. De AVG is blijkbaar zo onduidelijk dat zelfs deskundigen de regels anders uitleggen. Die complexiteit zorgt voor onrust en weerstand.

En de deskundigen en de media mogen anderzijds ook zichzelf verwijten maken.

Waarom heeft niemand de moeite genomen om de Autoriteit Persoonsgegevens om een reactie te vragen?

Iedere journalist hoort dat standaard te doen. En iedere FG en jurist die twijfelt over de uitleg van een regel ook.