28 januari 2021

Europese Dag van de Privacy

Categorie: Privacyrecht

Inmiddels is de AVG ruim 1,5 jaar van toepassing en sinds de invoering hiervan gaat er bijna geen dag voorbij zonder ‘privacy-gerelateerd’ nieuws.

Hoewel inhoudelijk de regels met betrekking tot het verwerken van persoonsgegevens eigenlijk maar weinig zijn veranderd met de invoering van de AVG, is de maatschappelijke aandacht hiervoor erg gestegen. Niet in de laatste plaats om de enorme boetes die de Autoriteit Persoonsgegeven kan uitdelen.

Handhaving door de Autoriteit Persoonsgegevens

De Autoriteit Persoonsgegevens (AP) heeft inmiddels meerdere boetes uitgedeeld aan bedrijven en instelling die zich niet houden aan de privacy wetgeving. Sinds de invoering van de meldplicht datalekken in 2016 blijft het aantal meldingen van de AP stijgen.

De AP heeft zich het afgelopen jaar voornamelijk gericht op de zorgsector, maar ook het UWV en de Belastingdienst zijn tot de orde geroepen en hebben verbetermaatregelen moeten treffen. De verwachting is dat dat dergelijke klachtenprocedures steeds vaker zullen gaan voorkomen.

Persoonsgegevens en de Brexit

Onderdeel van de Brexit-deal is geweest dat in de eerste 4 maanden van 2021 de doorgifte van persoonsgegevens nog op dezelfde manier mag plaatsvinden als voorheen. Dit geldt alleen als het Verenigd Koninkrijk (VK) in deze periode de regels voor de bescherming van persoonsgegevens niet verandert. Dit betekent dat ook daar de Europese privacywetgeving nog steeds van toepassing is.

Wat er na deze vier maanden gaat gebeuren zal het afhangen van de relatie tussen de EU en het VK. En onder welke voorwaarden de overdracht van persoonsgegevens zal plaatsvinden. Als het VK besluit om niet of slechts gedeeltelijk de AVG op te nemen, is het aan de Europese Commissie om te bepalen (middels een zogenaamd adequaatheidsbesluit) of de gegevensbescherming voldoende bescherming biedt voor de overdracht van persoonsgegevens.

Dit betekent dat vanaf 1 mei 2021 (of mogelijk vanaf 1 juli 2021, als de overgangsperiode wordt verlengd) voor wat betreft de overdracht van persoonsgegevens naar het VK, men zich moet houden aan de AVG-privacyregels die gelden voor doorgifte van persoonsgegevens naar ‘derde landen’.

Datalek GGD

Afgelopen maandag bleek dat er grootschalig is gehandeld in miljoenen persoonsgegevens van mensen die contact hebben gehad met de GGD. Deze gegevens zijn afkomstig uit de twee belangrijkste coronasystemen die door de GGD worden gebruikt. De gegevens van iedereen die via het callcenter, de coronatestsite of de huisarts een afspraak maakt voor een coronatest, worden opgenomen in het systeem.

Het gaat om een datalek van adresgegevens, telefoonnummers en Burgerservicenummers. Criminelen hebben veel geld over voor dit soort privégegevens. De gegevens zouden tegen betaling zijn aangeboden door twee medewerkers van het landelijke nummer voor coronatest-afspraken, waardoor de gegevens in verkeerde handen zijn gekomen. De medewerkers zijn inmiddels aangehouden voor diefstal.

De AP heeft direct opheldering van de GGD geëist en heeft de GGD laten weten dat zij mensen goed moeten informeren over de diefstal, onder meer via de website en door een informatielijn open te stellen.

Privacy een hot-topic

Naar verwachting blijft privacy en data de komende tijd een hot-topic. Bewustwording van uw gegevensverwerking is dan ook essentieel.