Alle gemeenten moeten een privacyfunctionaris hebben

De Autoriteit Persoonsgegevens (AP) heeft van ruim 400 overheidsorganisaties gecontroleerd of zij een functionaris voor de gegevensbescherming (FG) hebben aangemeld. Dat is massaal gebeurd. Uit deze controle blijkt dat minder dan 4% mogelijk nog geen functionaris heeft aangemeld. Deze organisaties heeft de AP aangeschreven. Zij moeten voor 11 juni 2018 laten weten wie hun FG is. Als zij dit nalaten kan de AP een sanctie opleggen.

©Autoriteit Persoonsgegevens, Jaarverslag 2017

Oktober vorig jaar waarschuwde de Autoriteit Persoonsgegevens meerdere gemeenten over de publicatie van privacygevoelige gegevens via TenderNed. De AP had op 7 juli 2018 tips ontvangen over publicatie van (bijzondere) persoonsgegevens van kinderen met een zorgvraag of beperkingen op de aanbestedingswebsite TenderNed. Het ging om namen, adresgegevens, telefoonnummers, geboortedata en schoollocaties, maar ook om heel gevoelige gegevens, zoals een aanduiding van de beperking(en) van de kinderen.

De AP benadrukte vervolgens in een brief aan de VNG dat het verwerken – dus ook het publiceren – van persoonsgegevens noodzakelijk moet zijn voor het doel waarvoor ze worden gebruikt, in dit geval de aanbesteding. De vraag moet altijd zijn of het doel niet kan worden bereikt met minder gegevens of dat er een andere, minder ingrijpende manier is om hetzelfde doel te bereiken. Bijvoorbeeld door alleen niet-herleidbare gegevens te verwerken.

De FG moet nu intern toezicht houden op eventuele privacyschendingen en risico’s. Dat is verplicht met de op 25 mei 2018 geldende privacywetgeving, de Algemene verordening gegevensbescherming (AVG). Het aanstellen van een FG is verplicht voor:

  • alle overheden en publieke organisaties,
  • organisaties die als kerntaak hebben het stelselmatig en op grote schaal personen observeren en
  • organisaties die als kerntaak hebben het op grote schaal verwerken van bijzondere persoonsgegevens. Bijzondere persoonsgegevens zijn bijvoorbeeld gegevens over iemands gezondheid, ras, politieke opvatting, geloofsovertuiging of strafrechtelijke verleden.

Wilbert Tomesen, vicevoorzitter van de AP: ‘Het is positief dat zoveel overheidsorganisaties al een FG hebben aangemeld. Het geeft er blijk van dat ze zorgvuldig willen omgaan met de bescherming van persoonsgegevens. We zijn met de controle op deze verplichting begonnen bij de overheid. De komende maanden zullen we ook in de private sector dergelijke controles gaan uitvoeren.’

De FG’s vervullen binnen organisaties een belangrijke functie om de persoonsgegevens van mensen te beschermen en om de privacywetgeving na te leven. Tomesen: ‘De FG kan vanuit een onafhankelijke positie adviseren over hoe de privacywetgeving moet worden toegepast in zijn organisatie. Hij is als het ware de interne privacytoezichthouder; hij fungeert als de oren en ogen ter plaatse. Voor ons is de FG een belangrijk aanspreekpunt.’

Organisaties die een ernstig datalek hebben, moeten dit melden bij de Autoriteit Persoonsgegevens (AP) en soms ook aan de mensen van wie de gelekte gegevens zijn. De meldplicht datalekken heeft tot doel het beveiligingsniveau te verhogen en de zelfredzaamheid van mensen te vergroten. Krijgen mensen een melding dat hun gegevens zijn gelekt, dan kunnen zij snel in actie komen, bijvoorbeeld door een wachtwoord te wijzigen.

Bron: Autoriteit Persoonsgegevens, 1 juni 2018

redactie Auteur

Geef een reactie