Privacyregelgeving wordt gehandhaafd!

Regelmatig hoorden we dat de soep niet zo heet gegeten zou worden met het toezicht op de bescherming van privacy. Nu zien we toch echt dat toezichthouders dwangsommen en boetes gaan uitdelen. Belangrijkste boodschap: Zorg dat je zaken op orde zijn met duidelijke protocollen en getrainde medewerkers om zorgvuldig om te gaan met persoonsgegevens. Alleen dan kunnen we onze verantwoordelijkheid nemen. In dit artikel lichten we onze boodschap toe met twee casussen.

Casus 1: Afwikkeling verzoek om informatie van een betrokkene

Op 9 augustus 2018 heeft de Autoriteit Persoonsgegevens (AP) het besluit genomen om een last onder dwangsom in te vorderen bij de Theodoor Gilissen Bank N.V. (TBG). De bank had  niet voldaan aan een verzoek van een persoon om hem een overzicht te verstrekken van de gegevens die de bank van hem verwerkt, van het doel waarvoor die gegevens worden verwerkt, wie de ontvangers van die gegevens waren en wat de herkomst van die gegevens was. Deze procedure is gevoerd onder de oude Wet bescherming persoonsgegevens, maar zeker ook van belang onder het huidige recht van de Algemene Verordening Gegevensbescherming (AVG).

TBG: “Betrokkene maakte misbruik van recht om inzageverzoek”

In de procedure die hierover is gevoerd, heeft TBG zich op het standpunt gesteld dat de betreffende verzoeker misbruik van recht maakte met zijn inzageverzoek. Hij wilde volgens TBG de gegevens namelijk niet gebruiken om te controleren of de verwerking juist en rechtmatig was, maar omdat hij deze informatie wilde gebruiken in een procedure in het kader van een aansprakelijkheidsstelling van de bank. TBG heeft daarom geen gevolg gegeven aan het verzoek om inzage.

De Autoriteit Persoonsgegevens (AP) dacht hier echter anders over. De verzoeker maakte volgens de AP geen misbruik van zijn inzagerecht en TBG werd verplicht om alle gevraagde informatie te verstrekken. Hierbij geeft de AP aan dat de betrokkene recht heeft op informatie ten aanzien van de over hem verwerkte persoonsgegevens, zoals de bank die zelf over hem bewaart/verwerkt. Het is volgens de AP daarbij niet aan TGB om te beoordelen of die informatie van belang is voor de betrokkene of niet.

Conclusie: Zorg ervoor dat een verzoek om inzage zodanig kan worden opgevolgd dat de betrokkene de gegevens krijgt, die door de organisatie over hem worden verwerkt. Inclusief met wie die gegevens zijn gedeeld, zodat hij werkelijk inzage krijgt in wat er wordt verwerkt en voor welk doel.

Weigering inzageverzoek van betrokkene

Overigens kan een verzoek van een betrokkene om inzage in zijn gegevens onder de AVG enkel worden geweigerd, indien zo’n verzoek kennelijk ongegrond of buitensporig is. Als verwerkingsverantwoordelijke zal de organisatie dit duidelijk moeten kunnen onderbouwen. Op het moment dat het verzoek wordt afgewezen, zal de betrokkene met die afwijzing ook geïnformeerd moeten worden over zijn recht om een klacht in te dienen bij de AP en dat hij een beroep bij de rechter kan instellen.

Uitkomst voor TBG: Het niet voldoen aan het inzageverzoek kostte TBG uiteindelijk € 48.000,-!

Casus 2: Het niet op orde hebben van beveiligingsmaatregelen

Een andere interessante zaak speelde in Engeland. De Engelse autoriteit, the Information Commissioner’s Office (ICO) heeft op 3 oktober 2018 aan Heathrow Airport een boete opgelegd van £ 96.000,-, vanwege een kwijtgeraakte USB-stick waar (gevoelige) gegevens van medewerkers van de luchthaven op stonden.

Informatiebeveiliging en privacy stonden onvoldoende hoog op de agenda

Waarom is deze uitspraak zo relevant? Uit deze uitspraak valt te lezen dat op zich het kwijtraken van de USB-stick niet de hoofdreden van deze boete was. Het ging erom dat Heathrow Airport haar beveiligingsmaatregelen en de awareness van haar medewerkers niet op orde had.

Het komt erop neer dat Heathrow Airport onvoldoende beveiligingsmaatregelen had genomen om dit incident te voorkomen. De data stonden onversleuteld op de USB-stick en er waren geen technische maatregelen genomen om het downloaden van dit soort informatie op USB-sticks onmogelijk te maken. Daarbij bestond er bij Heathrow Airport weliswaar een vorm van informatiebeveiligingsbeleid, maar er werden geen of onvoldoende maatregelen genomen om erop toe te zien dat dit ook door de medewerkers werd nageleefd. Informatiebeveiliging en privacy stonden onvoldoende hoog op de agenda van de organisatie.

Tot slot tilde de ICO er zeer zwaar aan dat slechts twee procent van alle medewerkers bij Heathrow Airport een awareness training hadden gevolgd! Een dergelijk laag percentage was ICO nog niet eerder tegengekomen.

Conclusie: Informatiebeveiligingsincidenten en datalekken komen voor in organisaties. Dit zal niet tot een boete van de toezichthoudende autoriteit leiden, mits

– de organisatie een passend informatiebeveiligings- en privacybeleid heeft;

– de organisatie zorgt voor duidelijke monitoring van dit beleid en zodoende maatregelen heeft genomen om ervoor te zorgen dat dit beleid ook adequaat wordt uitgevoerd;

– de medewerkers in de organisatie goed getraind zijn om veilig met persoonsgegevens te werken.

Wil je weten hoe je op een goede manier om gaat met verzoeken van betrokkenen, ook als zo’n verzoek misschien niet heel erg gelegen komt? Of hoe je zorgt voor een passend privacybeleid bij jouw organisatie dat werkt met medewerkers die goed weten wat wel en niet kan? Neem gerust contact met ons op voor een vrijblijvende kennismaking!

Contact opnemen

Marieke van Dijk

Legal Counsel en Privacy Officer 

Marieke van Dijk

Business Line Manager Legal | Legal Counsel

©2018 Cure4 |

Werken bij Cure4 | Disclaimer | Privacy Statement | Over Cure4 | Aanmelden Nieuwsbrief
Contact