Vier boetes, twee keer een last onder dwangsom, drie keer een berisping en twee keer een enkelvoudige last. Dat zijn de straffen die de Autoriteit Persoonsgegevens (AP) in 2019 heeft opgelegd aan bedrijven die zich niet aan de AVG hielden. Overtredingen werden gemaakt in het kader van toegang tot medische dossiers, verkoop van ledengegevens en onzorgvuldige verwerking van persoonsgegevens. We kunnen dus rustig concluderen dat de AVG in het jaar 2019 niet geheel foutloos werd nageleefd. Wat zijn de aandachtspunten om te zorgen dat we ons aan de AVG houden?
Toegang tot persoonsgegevens
Een fout die nog te vaak wordt gemaakt is dat te veel mensen toegang hebben tot de persoonsgegevens van patiënten en cliënten van een onderneming of instantie. Uit een onderzoek in het Haga Ziekenhuis in Den Haag is gebleken dat tientallen medewerkers van het ziekenhuis onnodig het medisch dossier van Samantha de Jong, beter bekend als Barbie, konden inzien. Het ziekenhuis kreeg daarom een boete opgelegd van €460.000.
Iedereen moet erop kunnen vertrouwen dat zijn of haar persoonsgegevens voldoende beschermd worden. Zo moeten organisaties die persoonsgegevens verzamelen vooraf nadenken over de beveiliging hiervan, dit moet namelijk geschieden door een moderne techniek. Ondernemers moeten hiervoor passende maatregelen nemen.
In de wetgeving staat niet specifiek vermeld hoeveel mensen er toegang mogen hebben tot de persoonsgegevens van klanten of cliënten. Wel is het de bedoeling om de toegang te beperken tot enkel de personen die deze gegevens daadwerkelijk nodig hebben voor de uitvoering van de overeenkomst.
Onzorgvuldige verwerking persoonsgegevens
De AP heeft daarnaast een last onder dwangsom opgelegd aan twee zorgverzekeraars: VGZ en Menzis. Beide zorgverzekeraars waren onzorgvuldig bij de verwerking van medische gegevens. Het is belangrijk om te zorgen voor een goede bescherming van de persoonsgegevens van betrokkenen. Hiervoor dien je eerst te bepalen hoe je de gegevens verwerkt. Wij helpen je op weg met de volgende vragen die je jezelf kunt stellen:
- Waar binnen de onderneming verwerk je de persoonsgegevens?
- Met welk doel verwerk je de persoonsgegevens?
- Heb je een geldige juridische grondslag voor de verwerking van de persoonsgegevens?
- Hoe lang mag en wil je de persoonsgegevens bewaren?
- Wie heeft toegang tot deze gegevens?
Zorgvuldige bescherming
Vervolgens kun je de antwoorden van bovenstaande vragen intern in een verwerkingsregister zetten. Zo kun je overzicht houden van wat er met welke persoonsgegevens gebeurt. Zorg dan wel dat dit verwerkingsregister actueel blijft. Vergeet bovenstaande gegevens ook niet uitgebreid te beschrijven in een privacyverklaring die te allen tijde inzichtelijk moet zijn voor betrokkenen. Meer weten? Je leest hier meer over het opstellen van een privacyverklaring onder de AVG.
Maar het enkel opstellen van deze benodigde documenten is niet genoeg. Het is ook van groot belang om te zorgen voor een daadwerkelijk zorgvuldige verwerking van de persoonsgegevens, zoals je dat in de documenten hebt uitgeschreven. We geven je ook hiervoor een aantal tips mee:
- Stel een functionaris persoonsgegevens aan indien nodig, dit is het geval bij: overheden en publieke organisaties en organisaties die vanuit hun kernactiviteiten op grote schaal individuen of bijzondere persoonsgegevens volgen;
- Beveilig de persoonsgegevens;
- Maak afspraken met de verwerkers van persoonsgegevens. Dit doe je in verwerkersovereenkomsten;
- Meld een datalek volgens jouw protocol datalekken;
- Informeer de betrokken personen in een privacyverklaring;
- Informeer je personeel over de AVG.
Zodra jij deze zaken goed hebt geregeld en naleeft, zul jij de persoonsgegevens zorgvuldig beschermen.
Doorverkopen van persoonsgegevens
Een andere veelvuldig geconstateerde fout is dat persoonsgegevens vaak worden doorverkocht aan sponsoren, zo blijkt uit het rapport. Zo krijgen consumenten ongevraagd reclamepost of aanbiedingen. Verkoop van persoonsgegevens zonder toestemming is verboden, waardoor de tennisbond KNLTB een boete van €525.000 kreeg opgelegd.
In beginsel zijn er zes juridische grondslagen waardoor een organisatie persoonsgegevens mag verwerken en doorgeven aan een derde partij:
- Toestemming van de betrokken persoon;
- Uitvoeren van een overeenkomst;
- Wettelijke verplichting;
- Vitaal belang;
- Uitvoering van een publiekrechtelijke taak;
- Gerechtvaardigd belang binnen de organisatie.
Verkoop van persoonsgegevens voor het maken van reclame van de sponsor valt niet onder een juridische grondslag voor het doorgeven van gegevens. Het is dus van belang om te weten wanneer je gegevens mag doorgeven aan een derde partij zonder de regels uit de AVG te overtreden.
Aandachtspunten AVG
Om in lijn te handelen met de AVG adviseren wij om een goed overzicht te hebben van de persoonsgegevens en de verwerking hiervan. Heb je hulp nodig bij de implementatie van de AVG? Neem dan contact met ons op.
![[🥳 Birthday reflections] Oh, what a year
Van #verkeerdgemanifesteerd naar een human design opleiding (en tweede bedrijf), van alleen naar samen, van Lady Lawyer naar Área Gris, van Amsterdam naar Valencia en van losse passies naar REset.
Van hoofd naar gevoel.
Het afgelopen jaar was, op z’n zachts gezegd, uitdagend. De drukte van de gewone werkzaamheden, de passie die ik half kwijt was. Het inwerken van een medewerker, het loslaten van controle. Een verhuizing naar het buitenland, en alle onzekerheid die daarbij komt kijken. Het loslaten van alles waar ik 5 jaar aan had gewerkt, om alles from scratch opnieuw op te bouwen.
Stress, onzekerheid, angst. Het is allemaal in veelvoud aan bod gekomen. Het was een mega investering: in tijd, energie én kosten.
Maar ik wist dat het de juiste keuzes waren. Investeringen die me veel meer zouden opbrengen. Meer voldoening.
Ik heb zoveel diepere lagen van mezelf mogen ontdekken. Nieuwe passies. Nieuwe kwaliteiten.
En nu ik m’n nieuwe rollen zelf steeds meer durf te omarmen, begint alles op z’n plek te vallen. Een zonnige plek that is. ☀️
Dankbaar voor alle lessen die ik het afgelopen levensjaar heb mogen leren. En ONWIJS VEEL ZIN in alles wat het komende jaar komen gaat.
33, I’m ready to celebrate ME 🎈](https://legal.areagris.nl/wp-content/uploads/sb-instagram-feed-images/337910603_748276956833216_2850995684144230315_nfull.jpg)
