nieuwsbrief

nieuwsbrief

Nieuwsbrief, 21 november 2019

De privacywet (AVG): Wat wordt er van u verwacht? En deelt de Autoriteit Persoonsgegevens al boetes uit? 
Het is 1 ½ jaar geleden dat de privacywet (de AVG) is ingevoerd. Een aantal van u heeft voor 25 mei 2018 alle nodige stappen gezet om uw organisatie privacy compliant te maken. Een groot aantal is aardig op weg, en een aantal moet nog beginnen. Net als de rest van Nederland:-)!

In deze nieuwsbrief bespreken wij het volgende:

  • Wat wordt er na 25 mei 2018 nog van u verwacht?
  • Wat is de focus van de privacywaakhond: de Autoriteit Persoonsgegevens (de AP)?
  • De eerste boete is inmiddels opgelegd door de AP en ook de eerste schadevergoedingen zijn toegekend door de rechtbank. Wat deden de beboete organisaties fout en wat kunnen we hiervan leren?
  • Twee actuele zaken waar de privacy in het gedrang kwam (VodafoneZiggo/DutchFilmworks & SyRI).
  • Hoe staat het met datalekken in Nederland?
  • De controversiële uitleg van de AP over de grondslag ‘gerechtvaardigd belang’ uit de AVG.

Tot slot brengen wij de privacybewustzijn training onder uw aandacht.

Wat wordt er van u verwacht?
De uitdaging is dat u aan de slag gaat of blijft! En voor iedereen: voldoen aan de AVG is ‘work in progress’. Uw organisatie verandert immers continu: er komen nieuwe leveranciers bij, u gaat werken met nieuwe software, of u gaat meer of andere persoonsgegevens verwerken door aanpassing van uw diensten. Wat betekent dat?

Dat betekent dat u continu in de gaten moet houden of uw interne en externe privacybeleid nog klopt, of uw verwerkingsregister up to date is, of u nieuwe verwerkersovereenkomsten moet sluiten, etc. En als u nog een leeg datalekkenregister heeft, kunt u zich achter de oren krabben. Is het echt zo dat niemand eens een e-mail met persoonsgegevens naar een verkeerd adres heeft gestuurd?

Maak onderdeel van uw beleid dat u op geregelde tijden uw privacybeleid controleert en zonodig updatet.

Heeft u uw medewerkers al meegenomen in uw privacybeleid? Bijvoorbeeld door het geven van privacybewustzijn trainingen. Dit hoort bij uw informatieplicht.

Focusgebied AP en boete

Drie focusgebieden
De Autoriteit Persoonsgegevens (AP) heeft recentelijk bekendgemaakt dat zij in haar toezicht de komende jaren nadruk zal leggen op drie focusgebieden: datahandel, digitale overheid en artificiële intelligentie en algoritmes. Houdt u zich hier niet mee bezig dan betekent dat overigens niet dat u achterover kunt leunen…

De eerste boete onder de AVG, 18 juni 2019, Hagaziekenhuis
Eén van de taken van de AP is uiteraard handhaving van de AVG. De eerste organisatie die een boete kreeg onder de AVG is het Hagaziekenhuis. Het ziekenhuis had de interne beveiliging van patiëntendossiers niet op orde.

Tientallen medewerkers hadden toegang tot het medische dossier van BN’er Samantha de Jong (bekend als ‘Barbie’), terwijl zij niet daadwerkelijk betrokken waren bij haar behandeling. Het hierop volgende onderzoek door de AP wees uit dat het ziekenhuis ten eerste de logbestanden had moeten monitoren en had moeten controleren op onbevoegde inzage van patiëntendossiers. Ten tweede had het ziekenhuis gebruik moeten maken van tweefactor-authenticatie voor een goede beveiliging van de dossiers (zoals het ook in het eigen autorisatiebeleid stond). Vanwege deze onzorgvuldige omgang met patiëntengegevens heeft het Hagaziekenhuis een boete opgelegd gekregen van € 460.000,-.

De eerste schadevergoedingen onder de AVG
Rechtbank Overijssel, 28 mei 2019
Onder de AVG kunt u een schadevergoeding vragen wanneer uw persoonsgegevens niet correct verwerkt zijn. Dit is gedaan door een man die bij meerdere gemeenten zogeheten ‘Wob-verzoeken’ had ingediend, waaronder bij de gemeente Deventer. De gemeente Deventer had in een e-mail aan tientallen overheidsinstanties meerdere persoonsgegevens van de man gedeeld, waaronder zijn NAW-gegevens en geslacht.

De man vroeg de gemeente hem te informeren over het doel hiervan, en verzocht om een volledige lijst met de ontvangers van zijn gegevens. De gemeente voldeed maar beperkt aan het verzoek, en zond hem niet de lijst met ontvangers van zijn gegevens. De rechtbank concludeerde dat de gemeente hiermee in de fout ging. De man had naar het oordeel van de rechtbank een terechte claim tot vergoeding van zijn immateriële schade omdat hij in zijn persoon is aangetast wegens ‘verlies van zijn persoonsgegevens’. De schade wordt naar billijkheid vastgesteld op € 500,-. Dit lijkt een laag bedrag, maar stel dat grote aantallen personen tegelijkertijd eenzelfde schadevergoeding claimen dan kan de gemeente flink in de buidel tasten.

Rechtbank Amsterdam, 2 september 2019  
Op 2 september 2019 is een tweede schadevergoeding toegewezen. Het ging weer om een overheidsinstelling: het UWV. Het betrof een langdurig zieke werkneemster, die in november 2017 bij een nieuwe werkgever in dienst is getreden, zonder het ziekte-verleden te (hoeven) melden. In het najaar van 2018 verstuurde het UWV abusievelijk een (attenderings)brief aan de nieuwe werkgever waarin onder meer melding werd gemaakt van het ziekteverleden van werkneemster (bijzondere persoonsgegevens).

Aangezien de werkneemster geen toestemming had verleend voor het delen van deze persoonsgegevens, was zij ‘de controle over de gegevens verloren’. Dit heeft bij de werkneemster tot toegenomen gevoelens van angst en stress geleid. Aangezien het begrip ‘schade’ onder de AVG ruim moet worden uitgelegd, moet (aldus de rechtbank) ook deze schade voor vergoeding in aanmerking komen. Een schadevergoeding van €250,- wordt in deze zaak als passend en billijk geacht.

Twee actuele zaken en andere privacy ontwikkelingen

Verstrekking van NAW-gegevens door VodafoneZiggo in strijd met privacybelangen gebruikers
Het Arnhemse Gerechtshof heeft op 5 november 2019 uitspraak gedaan in de zaak tussen Dutch Filmworks en VodafoneZiggo. De filmdistributeur Dutch Filmworks eiste de NAW-gegevens van 377 illegale downloaders van de film ‘The Hitman’s Bodyguard’, op basis van de IP-adressen die zij op een andere manier had weten te verwerven. Met gebruik van de NAW-gegevens wilde Dutch Filmworks de downloaders kunnen benaderen. Het plan was om de downloaders tot betaling te dwingen (€ 150,- p.p.) wegens gemiste opbrengsten, en wanneer deze downloaders niet zouden betalen naar de rechter te stappen.

Het Arnhemse Hof bepaalde echter (net als de rechter in eerste aanleg) dat Dutch Filmworks ‘te onduidelijk’ is over wat zij precies van plan is met de gegevens. Dat brengt volgens de rechter mee dat de privacybescherming van de klanten van VodafoneZiggo in deze zaak zwaarder weegt dan het belang van Dutch Filmworks. Hieruit valt af te leiden dat wanneer een vergelijkbare organisatie in het vervolg een transparanter, duidelijker soortgelijk verzoek bij de rechter indient, de uitkomst zomaar de andere kant op zou kunnen vallen.

Zitting in de zaak tegen SyRI
Op 29 oktober 2019 heeft de zitting plaatsgevonden in de zaak van een groep maatschappelijke organisaties (eisers) tegen het Systeem Risico Indicatie (SyRI). SyRI gebruikt een soort sleepnetmethode waarbij op grote schaal persoonsgegevens uit overheidsdatabases worden gehaald. Vervolgens worden die gegevens geanalyseerd door middel van algoritmes, waarvan de werking voor de burgers geheim moet blijven (indien die werking bekend zou zijn, zou het frauderen immers weer een stuk makkelijker kunnen worden). Indien de resultaten uit deze analyse in een individueel geval leiden tot het oordeel dat er een risico (op één van de relevante soorten van fraude) bestaat, dan wordt de burger opgenomen in het Register Risicomeldingen, alléén in te zien door overheidsinstanties. 

De rechtszaak is aangespannen omdat het volgens de eisers onduidelijk is welke gegevens worden gebruikt, wat hiermee gebeurt, wat de gevolgen zijn van opneming in het Register Risicomeldingen, etc. Volgens eisers betekent het voorgaande (onder meer) een ondermijning van de vertrouwensrelatie die zou moeten gelden tussen de overheid en haar burgers. We horen nog hoe de rechter hierover denkt, de uitspraak is op 29 januari 2020.

Meldplicht datalekken: overzicht eerste helft 2019
Organisaties zijn verplicht een datalek te melden aan de AP, tenzij het onwaarschijnlijk is dat het lek een risico zal opleveren voor de personen waarvan de gegevens zijn gelekt. In het recente overzicht van de AP wordt uitgebreide informatie gegeven over onder andere de hoeveelheid datalekken, sectoren waarin de datalekken plaatsvinden en de aard van de datalekken.

Het aantal datalekmeldingen van januari – juni 2019 is 11.906. Indien de tweede helft van het jaar zich in gelijke tred voortbeweegt, betekent dit een stijging van het aantal meldingen van ongeveer 14% ten opzichte van 2018. De meeste meldingen komen (opnieuw) uit de zorgsector (31%), waarna de financiële sector (20%) en het openbaar bestuur (19%) volgen. Het meest voorkomende soort datalek is het versturen (of afgeven) van persoonsgegevens aan de verkeerde ontvanger (63%), bijvoorbeeld door het versturen van een e-mail met persoonsgegevens aan het verkeerde e-mailadres. Zorg er daarom voor dat u voor verzending van uw e-mail altijd dubbelcheckt of u de juiste ontvanger(s) heeft ingevoerd.

Uitleg ‘gerechtvaardigd belang’ 
Elke verwerking van persoonsgegevens moet op één van de grondslagen in de AVG kunnen worden gebaseerd. Een van die grondslagen is dat de verwerking ‘noodzakelijk is voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke (of een derde)’. Op 1 november 2019 heeft de AP een omstreden uitleg gegeven over de betekenis van deze grondslag.

Opvallend is dat de AP van mening is dat direct marketing niet onder deze grondslag valt. “Wat ook niet als gerechtvaardigd belang kwalificeert, is bijvoorbeeld: het enkel dienen van zuiver commerciële belangen, winstmaximalisatie,” (etc..)  Dit staat lijnrecht tegenover de toelichting bij de AVG zelf. Daar staat dat de verwerking van persoonsgegevens ten behoeve van direct marketing kan worden beschouwd als uitgevoerd met het oog op een gerechtvaardigd belang. De uitleg van de AP heeft dus tot gevolg dat u geen persoonsgegevens meer kunt verwerken ten behoeve van direct marketing op deze grondslag. Dan blijft de grondslag voorafgaande toestemming over. Dit kan volgens ons niet de bedoeling zijn. We zijn benieuwd wat u hiervan vindt. Laat het ons weten!

Privacybewustzijn trainingen 
Om het belang van het nakomen van de privacywet onder de aandacht van uw medewerkers te brengen en te houden moet u uw medewerkers goed geïnformeerd houden. Een één à twee keer per jaar te geven privacybewustzijn training is hier zeer geschikt voor. Wij geven deze trainingen regelmatig. Op een informele en interactieve wijze, afgesloten met een quiz, en natuurlijk een mooie prijs te winnen. Interesse? Neem contact op met Ruby Nefkens: nefkens@vandersteenhoven.nl.

Vragen?

Heeft u vragen naar aanleiding van deze nieuwsbrief? Neem gerust contact met ons op. Wij helpen u graag.

Met vriendelijke groet,

Het privacy team
Ruby Nefkens, Hylke Klasens en Joep Looze

Van der Steenhoven advocaten N.V.
Herengracht 582 (1017 CJ) Amsterdam
tel: +31 (0) 20 607 79 79
www.vandersteenhoven.nl, nefkens@vandersteenhoven.nl

Aan de samenstelling en inhoud van deze nieuwsbrief is de meeste zorg besteed. Van der Steenhoven advocaten N.V. aanvaardt geen verantwoordelijkheid ten aanzien van op basis van deze nieuwsbrief genomen beslissingen, tenzij zij vooraf in concrete gevallen is geraadpleegd.

 

Wilt u de nieuwsbrief ook ontvangen?


  meld u dan hier aan