Federale overkoepelende Autoriteit Persoonsgegevens van Duitsland grijpt in bij naambordjes affaire

De hoogste Duitse commissaris voor gegevensbescherming, Andrea Voßhoff, heeft resoluut ingegrepen in de naambordjes discussie die in Duitsland en Oostenrijk al ruim een week voor vette koppen in de media zorgt.

Commissaris Voßhoff adviseert alle ondernemers, instellingen en verenigingen om bij AVG-maatregelen die uitgebreide impact hebben vooraf contact op te nemen met de Autoriteit Persoonsgegevens en advies te vragen.

De hoogste Duitse toezichthouder doet overduidelijk een poging om in de nabije toekomst onnodige imagoschade voor de Europese privacywet te voorkomen. Daarover verderop in dit artikel meer.

Discussie naambordjes beeindigd

Voßhoff maakt in ieder geval klip en klaar duidelijk dat de AVG discussie over naambordjes beeindigd kan worden. De naambordjes op centrale belborden in de hal van flatgebouwen en appartementencomplexen vallen definitief niet onder de Algemene Verordening Gegevensbescherming.

Verhuurders hoeven niets te doen. Dus ook geen toestemming vragen, zoals de toezichthouder in Thüringen adviseerde.

Voßhoff schrijft dat in een verklaring op de website van de federale Duitse toezichthouder BfDI.

Andrea Astrid Voßhoff (geboren 31 juli 1958 in de Duitse plaats Haren (Ems), district Meppen, vlakbij Ter Apel) is een Duits politicus (CDU). Ze was lid van de Duitse Bondsdag van 1998 tot 2013 en is sinds 4 februari 2014 federaal commissaris voor gegevensbescherming en vrijheid van informatie (BfDI). Bron: Wikipedia.

De Europese betekenis van de AVG-naambordjes discussie in Duitsland en Oostenrijk

De Algemene Verordening Gegevensbescherming (AVG) is een Europese privacywet.

De privacyregels zouden sinds 25 mei 2018 in heel Europa identiek moeten zijn.

Maar zo eenvoudig is het in de praktijk niet. De regels kunnen op verschillende manieren worden uitgelegd. Er ontbreekt bovendien nog jurisprudentie over de jonge wet.

Verwarring, onrust en ophef die niet goed is voor de AVG

Dat zorgt voor verwarring, onrust en ophef die niet goed is voor de Algemene Verordening Gegevensbescherming en de diverse toezichthouders in Europa.

De AVG naambordjesdiscussie in Duitsland en Oostenrijk is daar een goed voorbeeld van. De discussie begon in Oostenrijk en sloeg al snel over naar Duitsland.

Waar ging het ook alweer over?

Een huurder in Wenen diende bij de gemeentelijkwoningcorporatie een klacht in omdat zijn naam op het centrale belbord in de hal van een flat was aangebracht. De huurder zag dit als een schending van de Algemene Verordening Gegevensbescherming (AVG).

De huurder kreeg gelijk van de gemeentelijke Functionaris Gegevensbescherming. Vervolgens besloot de woningcorporatie om 200.000 naambordjes in alle gemeentelijke gebouwen in Wenen verwijderen.

Tegenstrijdige AVG adviezen

De zaak zorgde voor grote ophef in Oostenrijk en al snel ook in Duitsland. Diverse privacydeskundigen en toezichthouders gaven in de media tegenstrijdige adviezen af. De verwarring over de interpretatie van de AVG was groot.

De Autoriteit Persoonsgegevens van de Duitse deelstaat Beieren reageerde hevig geirriteerd over de ophef en sprak van een moedwillige poging van tegenstanders van de privacywet om de AVG met onzin in diskrediet te brengen.

Zijn collega in de Duitse deelstaat Thüringen liet in een officiele persverklaring echter weten dat de verhuirders wel schriftelijk toestemming voor de naambordjes moesten vragen bij de huurders.

Wie heeft er gelijk?

Twee toezichthouders die geacht worden de Algemene Verordening Gegevensbescherming als geen ander te kennen geven verschillende adviezen over dezelfde regels.

In Duitsland zijn er 18 toezichthouders. Iedere deelstaat heeft een eigen Autoriteit Persoonsgegevens.

Daarnaast is er nog een overkoepelende federale Autoriteit Persoonsgegevens. Deze hoogste Duitse commissaris voor gegevensbescherming, Andrea Voßhoff, heeft nu resoluut ingegrepen.

Voßhoff geeft op de website van de Duitse federale toezichthouder DfBI gedetailleerd uitleg waarom de AVG bij de belborden niet van toepassing is:

Geen automatische verwerking

“Het plaatsen van naambordjes op centrale belborden is op zich geen geautomatiseerde verwerking, noch een feitelijke of beoogde opslag in bestandssystemen. In zoverre is het toepassingsgebied van het AVG krachtens artikel 2, lid 1, van de AVG in het algemeen niet eens opengesteld voor dergelijke zaken.”

“Zelfs als de AVG van toepassing zou zijn, zou artikel 6, lid 1, onder f), van de AVG (afweging van belangen) als rechtsgrondslag kunnen worden beschouwd naast de toestemming. In bijzondere gevallen zou de huurder dan het recht hebben om op grond van artikel 21 AVG bezwaar te maken tegen de verwerking. De AVG biedt verschillende rechtsgrondslagen voor gegevensverwerking, die ook moeten worden gebruikt.”

Hoe zit het met digitale naamborden?

Einde discussie over de naambordjes dus?
Nee, toch noch niet helemaal. Hoe zit het met Digitale naamborden?

Als er persoonlijke gegevens (bijv. voornaam, achternaam) op een elektronisch scherm worden weergegeven, is dit elektronische gegevensverwerking en is dit onderworpen aan de AVG.

Medisch datalek. Fout met persoonsgegevens van 900 hartpatiënten Utrechts Medisch Centrum. Wat kunnen we leren van de media-aandacht, reacties van patiënten en gevolgen voor imago

Het Utrechts Medisch Centrum (UMC) heeft persoonsgegevens van 900 hartpatiënten per post naar verkeerde adressen verstuurd. zijn patiënten, meldt het ANP. Het betreft een deels vooringevulde vragenlijst die twee keer per jaar naar de patiënten wordt gestuurd. Volgens het UMC ligt de fout ’bij de drukker’.

Op de vragenlijst staan naam, adres, postcode, woonplaats, telefoonnummer, geboortedatum, e-mailadres, en huisartsgegevens van de patiënten die deelnemen aan een langlopend onderzoek naar de gevolgen van hartfalen al vooringevuld.

Volgens het UMC stonden er geen medische gegevens van patienten in de vragenlijst. Dat is een vreemde poging van het ziekenhuis om de impact van de datalek af te zwakken. Impliciet weet iedereen die de vragenlijst in handen krijgt namelijk dat deze vragenlijst alleen naar hartpatienten is gestuurd. Het betreft immers een onderzoek voor hartpatienten.

Datalekprocedure UMC

Het Utrechtse ziekenhuis zegt binnen 48 uur na het ontdekken van de fout een brief naar alle 900 hartpatienten te hebben gestuurd. Daar is het ziekenhuis op basis van de regels voor een datalekprocedure volgens de Algemene Verordening Gegevensbescherming (AVG) ook toe verplicht.

Na het ontdekken van een datalek moet er binnen 72 uur een datalekprocedure worden opgestart, waarbij de Autoriteit Persoonsgegevens en de personen of organisaties die betrokken zijn bij het datalek formeel moeten worden geinformeerd.

“Zo’n grote fout kun je niet met een excuusbriefje afdoen”

In De Telegraaf verwijten enkele betrokken hartpatienten dat het ziekenhuis zich er met de excuusbrief te gemakkelijk vanaf maakt. De journalist en de patienten weten duidelijk niet dat het ziekenhuis handelt op basis van wettelijke voorschriften. Die schrijven voor dat de betroffen partijen moeten worden geinformeerd over de oorzaak van het datalek en de maatregelen die worden getroffen.

Een woordvoerder van het UMC erkent de fout ruiterlijk. „In het productieproces van het orgaan dat dit regelt is inderdaad iets verkeerd gegaan, en dat is heel vervelend. We hebben binnen 48 uur na de eerste melding die excuusbrief laten versturen. Voor de zekerheid hebben we die aan de hele groep van zo’n 900 personen gestuurd.”

Het UMC had bij de formele brief, die door de getroffen patienten als een goedkope excuusbrief wordt ervaren, beter ook uitleg kunnen geven over de AVG en een datalekprocedure kunnen meesturen om de patienten duidelijk te maken dat het ziekenhuis nu automatisch ook een onderzoek kan verwachten van de Autoriteit Persoonsgegevens.

Klacht indienen bij Autoriteit Persoonsgegevens

Eén van de patienten heeft inmiddels zijn grote onvrede schriftelijk kenbaar gemaakt aan het UMC, een voorwaarde om een klacht in te kunnen dienen bij de Autoriteit Persoonsgegevens (AP). Hij zegt zich bovendien bij het UMC Utrecht te laten uitschrijven voor het onderzoek.

Het UMC laat weten te hopen dat de patienten hun medewerking blijven geven aan het onderzoek, omdat het belangrijk is voor de toekomstige zorg voor hart- en vaatpatiënten.