Privacy Nieuws
De Autoriteit Persoonsgegevens (AP) heeft een verkennend onderzoek gedaan naar de manier waarop de verwerkingsregisters van dertig grote organisaties uit tien private sectoren worden bijgehouden. Hoe wordt er bijvoorbeeld omgegaan met bewaartermijnen? Op basis van dat onderzoek geeft de AP nu 5 concrete aanwijzingen. Blijkbaar was dat nodig.
Het oneindig bewaren van persoonsgegevens zonder enige motivering mag volgens de AVG niet. Daarom beveelt de Autoriteit Persoonsgegevens in de aanwijzingen nu specifiek aan dat organisaties in hun register van verwerkingen benoemen hoe lang zij persoonsgegevens willen bewaren.
“De kwaliteit van het register van verwerkingen is voor de AP een goede peilstok. Voldoet dat register? Dan geeft dat een indruk hoe een organisatie de nieuwe Europese privacyregels naleeft”, zegt voorzitter Aleid Wolfsen van de Autoriteit Persoonsgegevens.
Vijf concrete aanbevelingen
Op basis van het verkennend onderzoek naar de registers van verwerkingen komt de AP met vijf concrete aanbevelingen:
- Benoem hoe lang en met welk doel je persoonsgegevens wil bewaren. Onder de Europese privacywetgeving is het niet toegestaan persoonsgegevens langer te bewaren dan noodzakelijk is voor het doel waarmee ze verzameld zijn. Ook moeten organisaties kunnen motiveren waarom ze deze gegevens verzamelen.
- Neem de contactgegevens van de verwerkingsverantwoordelijke op in het register.
- Zorg voor een overzichtelijk bestand van alle verwerkingen van persoonsgegevens waarin gebruikers eenvoudig kunnen navigeren.
- Geef duidelijk aan op welke locatie of in welk bestand persoonsgegevens bewaard worden en neem deze locaties of bestanden op in het register. Deze informatie is relevant als mensen een verzoek om inzage of verwijdering indienen.
- Maak duidelijk welk doel bij welke verwerking hoort. Alleen een opsomming van de verwerkingen per afdeling in combinatie met een opsomming van de diverse doeleinden van de verwerkingen is niet voldoende.
Over het register van verwerkingen
De AP heeft veel informatie over het register van verwerkingen op de website staan. De informatie en de vragen en antwoorden staan hier: https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-europese-privacywetgeving/verantwoordingsplicht.
PrivacyZone helpt bij het opzetten van een verwerkingsregister
Heeft jouw organisatie, jouw bedrijf, al een verwerkingsregister ingericht? Twijfel je of dat op de juiste manier is gebeurd? Neem geen risico. PrivacyZone kan professionele begeleiding bieden. Samen met onze partners kunnen we iedere organisatie op maat bedienen. Neem contact met ons op: 06-31995740.
Privacy Nieuws
Uit het onderzoek van KPMG onder ruim 1.000 Nederlanders van vijftien jaar of ouder blijkt dat meer dan de zestig procent van hen van plan is om na 25 mei gebruik te gaan maken van het recht om bij bedrijven en instanties persoonlijke dossiers op te vragen.
51 procent van de ondervraagde Nederlanders gaf volgens KPN aan van plan te zijn om organisaties met informatie- en privacyverzoeken te gaan bestoken.
Van mensen die op de hoogte zijn van de nieuwe verordening, zegt 51% gebruik te gaan maken van het recht op vergetelheid, wil 60% gebruik maken van het recht op inzage, zal 56% het recht op overdraagbaarheid willen claimen en wil 59% het recht op rectificatie eisen.
Nederlanders maken zich vooral zorgen om de wijze waarop wordt omgegaan met hun medische gegevens.
70% van de ondervraagde mensen heeft twijfels over het gebruik van dit soort persoonlijke informatie, vooral in het elektronisch patiëntendossier (EPD).
Koos Wolters, privacyexpert van KPMG en betrokken bij het onderzoek zegt dat 90% van het publiek nog nooit het eigen EPD heeft ingezien.
Veel mensen zetten bovendien vraagtekens bij de veiligheid van hun gegevens bij de huisarts. Minder dan de helft van de Nederlanders denkt dat medische gegevens die worden bewaard door de huisarts of dokter goed beschermd zijn.” Het beloven dus drukke tijden te worden voor zorginstellingen.
Een andere groep die naar verwachting met veel informatie- en privacyverzoeken vanuit burgers te maken zal krijgen, wordt gevormd door de banken. Zij beheren namelijk grote hoeveelheden data van consumenten, waaronder veel persoonlijke en vaak gevoelige informatie.
Wolters: “Bedrijven en instanties kunnen hun borst natmaken en zullen alle zeilen bij moeten zetten om aan alle eisen te voldoen.” Dat scenario wordt alleen maar waarschijnlijker gezien de risico’s waarmee deze organisaties te maken krijgen, zoals cybersecurityrisico’s.
Slechts 20 procent kent de AVG
Hoe dan ook, momenteel is nog ‘slechts’ 20% van de Nederlanders op de hoogte van de AVG-wetgeving. Als dat zo blijft dan is dat goed nieuws voor veel organisaties, aangezien de volumes vanuit burgers behapbaar kunnen blijven.
Het bewustzijn en de kennis rondom de AVG zal naar verwachting de komende periode alleen maar meer gaan toenemen, waardoor toekomstige verzoeken vanuit consumenten nog behoorlijk kunnen gaan stijgen.
Een goede voorbereiding op de aankomende werklast na invoering van de AVG lijkt voor organisaties dus onontbeerlijk, zeker ook omdat hun reputatie onder consumenten op het spel kan komen te staan als ze er niet goed mee omgaan. In een tijd van social media, kunnen klachten over organisaties soms razendsnel viral gaan.
Als dat inzicht niet voldoende is, dan kunnen de hoge boetes die vanaf 25 mei gelden voor organisaties die zich niet houden aan de nieuwe privacyregels, voor veel organisaties een belangrijke stimulans zijn om de AVG serieus te nemen. Bedrijven die zich niet aan de wet houden kunnen een boete van 4 procent van hun jaaromzet krijgen tot een maximum van 20 miljoen Euro per geconstateerde overtreding.
