U bent hier: Home > Privacyrecht > Privacytoezichthouder verlangt steeds meer inspanningen rond privacy compliance
Privacytoezichthouder verlangt steeds meer inspanningen rond privacy compliance

Privacytoezichthouder verlangt steeds meer inspanningen rond privacy compliance

Het College Bescherming Persoonsgegevens (CBP) heeft op 11 mei 2011 zijn jaarverslag 2010 gepresenteerd. Uit het verslag volgt dat het CBP het steeds belangrijker vindt dat bedrijven en instellingen zelfstandig hun verantwoordelijkheid nemen om door middel van eigen beleid ervoor te zorgen dat gehandeld wordt in overeenstemming met de Wet bescherming persoonsgegevens (WBP). In het jaarverslag staan ook de prioriteiten voor 2011 vermeld.

Mogelijk toekomstige verantwoordingsbeginsel nu al steeds meer zichtbaar

Op 13 juli 2010 kwamen de gezamenlijke Europese privacytoezichthouders met een opinie die bepleitte dat bij de herziening van het privacyrecht een verantwoordingsbeginsel zou moeten worden geintroduceerd (zie ook de presentatie van ons privacyseminar van 7 april 2011). Met andere woorden: volgens de privacytoezichthouders, waaronder het CBP, zouden bedrijven en instellingen door middel van een goed beleid moeten kunnen verantwoorden dat de verwerkingen van persoonsgegevens die zij uitvoeren in overeenstemming met de wet zijn. Een dergelijke verplichting staat op dit moment (nog) niet in de wet.

Het jaarverslag van het CBP laat echter bij herhaling zien dat het college het nu al van belang vindt dat bedrijven en instellingen kunnen laten zien dat ze voldoen aan de wet en dat het van belang is dat de organisatie een adequaat privacybeleid hanteert. Zo benadrukt het CBP dat “bedrijven en overheden nu aan zet zijn (…) en moeten kunnen aantonen dat zij de persoonsgegevens van hun klanten en van de burgers zorgvuldig en volgens de regels van de wet verzamelen en gebruiken” (pagina 6) en dat het ook aan hen is om aantoonbaar “goede informatie” aan de betrokkenen te verstrekken (pagina 12). Ook merkt het CBP op dat het handhavend heeft opgetreden bij een instelling die “geen beveiligingsplan [heeft] opgesteld en evenmin beveiligingsmaatregelen aantoonbaar [heeft] vastgelegd” (pagina 15), bij een bedrijf dat niet beschikte “over een verantwoord beleid voor bewaartermijnen” (pagina 17) en bij ziekenhuizen die geen “adequate risicoanalyse” hebben uitgevoerd (pagina 19). Kennelijk is het CBP van mening dat het niet hebben van een beveiligingsplan of beleid over bewaartermijnen of het niet maken van risicoanalyses een schending van de WBP vormt.

Deze opvatting van het CBP verbaast me niet. Tijdens ons privacyseminar van 7 april 2011 hebben we er op gewezen dat op dit moment een organisatie om te kunnen voldoen aan de wet de facto wel een privacybeleid moet hebben (zie ook sheet 16 van de presentatie). Wanneer met de herziening van de privacyrichtlijn inderdaad een verantwoordingsbeginsel wordt geintroduceerd, zal vermoedelijk vooral duidelijker worden hoe ver een dergelijk beleid dan moet strekken en wat er in dat kader precies van organisaties verwacht kan worden.

Prioriteiten van het CBP voor 2011

Het CBP kondigt in het jaarverslag ook enkele aandachtspunten aan voor het komende jaar. Het valt daarbij op dat het CBP zwaar hecht aan transparantie en vereist dat de nodige moeite wordt gedaan om daadwerkelijk aan de betrokkene duidelijk te maken wat er met zijn persoonsgegevens gebeurt: “Naarmate de complexiteit van gegevensverwerkingen toeneemt, wordt het belangrijker dat informatie de burger daadwerkelijk duidelijkheid biedt. Bedrijven mogen niet lichtvaardig aannemen dat de burger toestemming heeft gegeven voor een bepaalde gegevensverwerking. Zij hebben de plicht de burger conform de wettelijke eisen te informeren over de verwerking van zijn persoonsgegevens.“.

Dat wordt vervolgens uitgewerkt in de volgende aandachtspunten voor 2011 in de private sector:

  • Verwerking van locatiegegevens
  • Derdenverstrekking en profilering (aandacht voor het automatisch online volgen van mensen)
  • Risicovol internationaal transport van gevoelige (waaronder medische) gegevens
  • Ruime aandacht voor datalekken. Het CBP heeft veel signalen ontvangen dat bedrijven het niet zo nauw nemen met de beveiliging van persoonsgegevens.
  • Burgervolgsystemen in de sociale zekerheid, meer specifiek de grote risico’s die uitgan van het kopppelen van allerlei bestanden.
  • ov-chipkaart, meer specifiek het gebruik van die gegevens voor marketingdoeleinden.
  • Identificatie en verificatie van persoonsgegevens, meer specifiek het opstellen van richtsnoeren over het maken van kopieen van identificatiepapieren.

De aandachtsgebieden voor de publieke sector zijn:

  • Onderwijs en beveiliging: onderzoek naar verwerking van (gevoelige) gegevens op het intranet van scholen.
  • Gebruik en verstrekking kentekengegevens en controle door de rdw: onderzoek naar het verstrekken van gegevens uit het kentekenregister aan advocatuur, gerechtsdeurwaarders
    en stichtingen rechtsbijstand.
  • Verwerking van politiegegevens: onderzoek naar de verwerking van politiegegevens.
  • Audit Wet politiegegevens (Wpg): onderzoek naar het nakomen van de auditverplichting.
  • LinkedIn
  • Facebook
  • Twitter
  • Google Plus
  • del.icio.us
  • email
  • PDF
  • Print
Naar boven scrollen