AP voert verkennend onderzoek uit naar naleving AVG

vr 20 juli 2018 - 07:00
MobileIron-Cordaan
Privacy
Nieuws

De Autoriteit Persoonsgegevens (AP) is een verkennend onderzoek begonnen om te achterhalen hoe goed grote organisaties de nieuwe Europese privacyregels naleven. Bij een willekeurige steekproef van 30 grote organisaties uit tien private sectoren – waaronder de zorg - onderzoekt de AP of zij een register van verwerkingsactiviteiten bijhouden.

De AP kijkt bij de AVG check onder meer naar of een organisatie een register van verwerkingen heeft en zo ja, of het de de juiste informatie bevat. Is dat het geval, dan beschouwt de AP dat als een belangrijke eerste stap waarmee een organisatie laat zien dat zij de privacyregels serieus neemt. De AP voert de steekproef uit bij tien sectoren: industrie en metaal, waterleidingbedrijf, bouw, handel, horeca, reisorganisatie, communicatie, financiële dienstverlening, zakelijke dienstverlening en zorg. De organisaties zitten verspreid over Nederland. Het is niet bekend bij welke organisaties de steekproeven gehouden worden.

Verplichtingen in kader AVG

Sinds 25 mei 2018 geldt de nieuwe Europese privacywetgeving, de Algemene verordening gegevensbescherming (AVG). Onderdeel hiervan is dat organisaties in sommige situaties een register van verwerkingen moeten hebben. Het register van verwerkingsactiviteiten bevat informatie over de persoonsgegevens die organisaties verwerken en het doel waarvoor zij de persoonsgegevens verwerken. Andere verplichtingen kunnen het aanstellen van een functionaris gegevensbescherming (FB) zijn of het uitvoeren van een DPIA (data protection impact assessment). Organisaties die grootschalig gegevens zoals over gezondheid verwerken, hebben meer verplichtingen dan kleinere partijen. Ziekenhuizen vallen hieronder, maar het was lange tijd niet duidelijk of dit ook geldt voor apotheken of huisartsen. De AP heeft geprobeerd hier meer duidelijkheid in te scheppen door aan te geven dat 10.000 patiënten een ondergrens is . Desondanks hebben brancheorganisaties LHV (huisartsen) en KNMP (openbare apotheken) om meer duidelijkheid gevraagd.

Register verplicht bij gezondheidsgegevens

Organisaties zijn verplicht het verwerkingsregister te verstrekken als de AP hen daar om vraagt. Het register is verplicht voor alle organisaties met meer dan 250 medewerkers. Kleinere organisaties (in de zorg dus vaak afzonderlijke huisartsen en apotheken, en zorgverleners zoals fysiotherapeuten) moeten een register van verwerkingen hebben als zij voldoen aan minimaal één van de volgende criteria:
  • Zij verwerken structureel gegevens, bijvoorbeeld gegevens over hun werknemers.
  • Zij verwerken gegevens met een hoog risico voor de rechten en vrijheden van betrokken personen.
  • Zij verwerken bijzondere persoonsgegevens, zoals gegevens over godsdienst of gezondheid.
De AP meldde in juni dat er in de maand na de invoering van de AVG in totaal 600 klachten zijn binnen gekomen over een vermeende overtreding van de AVG. Ongeveer een derde ging over dat het lastig was om bepaalde persoonsgegevens te laten verwijderen.