Blogs

Zit u als FG op de juiste stoel(en)?

Beslissing Belgische privacy autoriteit (GBA / zaaknummer 18/2020):
Dubbelfunctie FG leidt tot boete van € 50.000,-. Wat betekent dit voor de positie als FG?

 

Zit u als FG op de juiste stoel(en)?

Zit u als FG op de juiste stoel(en)?

Naar aanleiding van een concreet datalek, heeft de GBA een uitleg gegeven over de positie van de FG. Indien deze meerdere rollen of functies vervult is het goed om je af te vragen of deze rollen en functies niet leiden tot een probleem m.b.t. de positie van de FG conform de regels van de AVG.

In dit blog wordt ingegaan op de functies en taken van de FG: belangenconflict.

  1. Onderzoek GBA en overtreding artikel 38 lid 6 AVG: belangenconflict.

Als onderdeel van het onderzoek heeft de GBA de naleving door de verwerkingsverantwoordelijke van de verplichtingen onder de AVG beoordeeld. Eén van de onderdelen van dit onderzoek betrof de positie van de FG in het kader van artikel 38 lid 6 AVG. Dit artikellid luidt als volgt:

Art. 38 lid 6 AVG: ‘De functionaris voor gegevensbescherming kan andere taken en plichten vervullen. De verwerkingsverantwoordelijke of de verwerker zorgt ervoor dat deze taken of plichten niet tot een belangenconflict leiden.

In de onderneming van de verweerder vervulde de FG tevens de functie/rol van Hoofd voor compliance, risk management en interne audit.

De GBA stelt vast dat de verantwoordelijkheid voor elk van deze drie departementen onmiskenbaar inhoudt dat die persoon in die hoedanigheid de doelstellingen van en de middelen voor de verwerking van persoonsgegevens binnen deze drie departementen bepaalt en dus verantwoordelijk is voor de gegevensverwerkingsprocessen die vallen onder het domein compliance, risk management en interne audit.

De Richtlijnen van de WP29 leggen uit dat de functionaris voor gegevensbescherming binnen de organisatie geen functie kan bekleden waarbij hij of zij de doelstellingen van en de middelen voor de verwerking van persoonsgegevens moet bepalen. Dit is aldus een wezenlijk belangenconflict. De rol van verantwoordelijke van een departement valt aldus niet te rijmen met de functie van functionaris voor gegevensbescherming die zijn taken onafhankelijk moet kunnen uitvoeren. Bovendien kan het cumuleren van deze functies ertoe leiden dat de geheimhouding en vertrouwelijkheid jegens personeelsleden overeenkomstig artikel 38 lid 5 AVG in onvoldoende mate kan worden gegarandeerd. De GBA is van oordeel dat de inbreuk op artikel 38 lid 6 AVG is bewezen.

De GBA gaat over tot het opleggen van een 1. Corrigerende maatregel: namelijk het in overeenstemming brengen van de verwerking met artikel 38 lid 6 AVG en 2. Administratieve geldboete van € 50.000,-. De GBA overweegt hierbij dat er geen sprake is van een opzettelijke inbreuk. Wel kan van een onderneming als die van verweerder worden verwacht dat deze vanaf 25 mei 2018 in overeenstemming met de AVG handelt, hetgeen niet is gebeurd.

  1. Wat kunnen we (nog meer) leren van deze beslissing?

Allereerst is het belangrijk dat de FG onafhankelijk is en geen instructies ontvangt over de wijze waarop hij zijn functie als FG uitvoert.

Tevens wordt duidelijk dat de FG naar behoren en tijdig moet worden betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens. Door ervoor te zorgen dat de FG in een vroeg stadium wordt betrokken wordt de naleving van de AVG mogelijk gemaakt.

Voorts mag er bij de rol en positie van de FG geen sprake zijn van een belangenconflict. De FG mag dus niet het doel en de middelen bepalen van de gegevensverwerking. De WP29 (EDPB) geeft daarnaast in de richtsnoeren aan dat functies als (algemeen) directeur, directeur operaties, financieel directeur, medisch directeur, hoofd marketing, hoofd HRM of hoofd ICT, maar ook lagere functies binnen de organisatiestructuur, voorzover deze personen doelen en middelen van de verwerking bepalen, onverenigbaar zijn met die van FG.

  1. Interne of externe FG benoemen?

Om een belangenconflict te voorkomen kan een verwerkingsverantwoordelijke natuurlijk ook een externe FG benoemen.

Ook hier geldt dat er geen sprake mag zijn van een belangenconflict. Dit zal over het algemeen minder snel het geval zijn als bij een interne FG.

Het uitblijven van een belangenconflict hangt nauw samen met het vereiste om autonoom (‘onafhankelijk’) te handelen.

Daarenboven kan een belangenconflict zich bijvoorbeeld ook voordoen wanneer aan een externe functionaris voor gegevensbescherming wordt gevraagd om de verwerkingsverantwoordelijke of de verwerker te vertegenwoordigen in de rechtbank bij rechtszaken over problemen met de gegevensbescherming. Het verenigen van de functie van FG en advocaat ligt dus niet voor de hand.

  1. Welke afwegingen moet een verwerkingsverantwoordelijke maken bij de positie van de FG?

Afhankelijk van de activiteiten, de grootte en de structuur van de organisatie kan het voor verwerkingsverantwoordelijken of verwerkers een goede praktijk zijn om:

  • de posities te identificeren die incompatibel kunnen zijn met de functie van FG;
  • interne regels daartoe op te stellen om belangenconflicten te vermijden (bijvoorbeeld een 'FG Statuut, of FG Charter’);
  • een meer algemene uitleg over belangenconflicten op te nemen;
  • te verklaren dat de FG geen belangenconflict heeft in zijn functie als FG;
  • in het huisreglement van de organisatie waarborgen op te nemen en ervoor te zorgen dat de vacature voor de positie van FG of de dienstverleningsovereenkomst voldoende gepreciseerd en gedetailleerd is om belangenconflicten te vermijden. In dit verband moeten we rekening houden met het feit dat belangenconflicten diverse vormen kunnen aannemen, afhankelijk van het feit of de FG intern of extern is gerekruteerd.
Over de noodzaak om aantoonbaar te voldoen aan de AVG

Over de noodzaak om aantoonbaar te voldoen aan de AVG

Beslissing Belgische privacy autoriteit (GBA / zaaknummer 18/2020): Verantwoordingsplicht en AVG. Wat betekent dit voor beveiligingsincidenten?

Dat een datalek kan leiden tot een onderzoek van de toezichthoudende autoriteit wisten we al. In de beslissing geeft de toezichthouder inzicht in de reikwijdte van de ‘verantwoordingsplicht’.

Naar aanleiding van een concreet datalek, heeft de GBA een uitleg gegeven over de verantwoordingsplicht (art. 5 lid 2 en art. 24 AVG). Overigens is het goed te vermelden dat de GBA van oordeel is dat verweerder deze verantwoordingsplicht niet heeft overtreden.

Het ging in dit onderzoek over de vraag of verweerder zijn register van ‘inbreuken’ (lees: register van beveiligingsincidenten – en mogelijke meldplichtige datalekken) op orde had en of het risico voor de betrokkene goed is beoordeeld.

De GBA geeft hierover onder meer het volgende aan.

De verantwoordingsplicht van artikel 5 lid 2 AVG is niet beperkt tot de beginselen van artikel 5 lid 1 AVG, maar heeft (ook) betrekking op de andere bepalingen van de AVG, waaronder bijvoorbeeld artikel 33 en 34 AVG (beveiligingsincidenten en melding aan de autoriteit en/of betrokkene). De GBA merkt op dat dit voortvloeit ‘uit de nauwe samenhang tussen enerzijds artikel 5 lid 2 en anderzijds de verplichtingen voor de verwerkingsverantwoordelijke die voortvloeien uit artikel 24 AVG’.

De GBA refereert voor wat betreft beveiligingsincidenten aan de Richtsnoeren van de WP29 (Rev01). Dit betekent voor de verantwoordingsplicht aangaande beveiligingsincidenten ofwel ‘inbreuken’ het volgende:

  1. Alle inbreuken moeten worden gedocumenteerd, voorzien van:
    1. De feiten/bijzonderheden omtrent de inbreuk.
    2. De oorzaken van de inbreuk, wat er zich heeft afgespeeld en de betrokken persoonsgegevens.
    3. De gevolgen van de inbreuk.
    4. De genomen corrigerende maatregelen.
    5. Tevens moet de motivering voor de besluiten van de verwerkingsverantwoordelijke naar aanleiding van de inbreuk worden gedocumenteerd. Dit betekent vastlegging van de redenen om wel/niet te melden. De vraag die hierbij moet worden beantwoord is of de inbreuk wel/geen risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Indien de verwerkingsverantwoordelijke van mening is dat een inbreuk ‘waarschijnlijk geen risico inhoudt’ voor de betrokkene(n), dient hij dit te kunnen bewijzen.
  2. Dit geldt voor inbreuken die wel en niet gemeld worden aan de autoriteit.
  3. Derhalve moet een verwerkingsverantwoordelijke een intern register van beveiligingsincidenten bijhouden. De toezichthoudende autoriteit kan verzoeken om inzage van dit register.
  4. Voorts moet de verwerkingsverantwoordelijke beschikken over een meldprocedure.
  5. Tot slot dienen medewerkers bekend te zijn met deze procedure en moeten zij weten hoe zij op inbreuken moeten reageren.

Wat betekent deze beslissing?

De GBA maakt nog eens duidelijk dat een verwerkingsverantwoordelijke de wijze waarop hij voldoet aan de verplichtingen van de AVG aantoonbaar moet kunnen maken. Dit betekent dus dat de verwerkingsverantwoordelijke, voor alle verplichte onderdelen van de AVG die van toepassing zijn, beleid, procedures of gedragsregels beschikbaar moet hebben en moet hebben gecommuniceerd. Tevens moeten registers worden bijgehouden en afwegingen en beslissingen dienen te zijn gedocumenteerd, zodat zo nodig bewijs kan worden geleverd aan de autoriteit.

Het verband tussen artikel 5 lid 2 en artikel 24 AVG maakt vervolgens duidelijk dat de verwerkingsverantwoordelijke ook een verbetercyclus (PDCA-cyclus) moet inregelen, door alle verplichtingen periodiek te evalueren en indien nodig te verbeteren en te actualiseren.

Hulp nodig?

Voor het aantoonbaar maken van uw Privacybeleid kunt u altijd contact opnemen met de privacy specialisten van PrivacyPeople. Ook kan een Privacy Management Systeem (zoals EasyPrivacy® van www.privacyteam.nl) u helpen bij het aantoonbaar op orde krijgen van alle verplichtingen (download brochure).

 

Over nut en noodzaak van een DPIA en goede adviezen

Over nut en noodzaak van een DPIA en goede adviezen

Autoriteit Persoonsgegevens legt boete op van € 725.000,-.

De Autoriteit Persoonsgegevens (AP) heeft een bedrijf, waarvan zij de naam (nog) niet bekend heeft gemaakt, een boete opgelegd van 725.000 euro voor het onrechtmatig afnemen van vingerafdrukken van haar medewerkers en het gebruik van vingerscans.

Je kent waarschijnlijk wel van dit soort bedrijven. Best groot, volop in beweging en aan het ondernemen. Voortdurend op zoek naar nieuwe mogelijkheden om processen te verbeteren, strakker te sturen en het liefst de winst optimaliseren. Bij een goed idee is tegenspraak lastig, of wordt niet gevraagd omdat het gewoonweg niet geregeld is. Dus; bij een ogenschijnlijk goed idee wordt gelijk overgegaan tot actie! Geen raadpleging van het personeel, of OR: dat is alleen maar lastig. Werknemers informeren? Nou, die zullen toch ook wel begrijpen dat invoeren van vingerscans gewoon handig is? En, als iemand het er niet mee eens is dan moet die maar even dispensatie vragen bij de directeur. Dus: ‘gaan met die banaan’.

Bovenstaande schets hoeft niet de waarheid te zijn, maar de boetebeschikking lezende kom ik wel tot dit beeld. Een leverancier, die ISO gecertificeerd is, kon dit systeem wel even invoeren. Tevens beschikt de leverancier over de kennis van het systeem, dus dan zal het wel goed zijn. Het aardige is ook dat als verweer wordt opgevoerd dat de leverancier niet heeft gewaarschuwd dat er mogelijk privacy issues spelen. Gewoon lekker makkelijk de schuld bij een ander leggen. Zie de passage:

Volgens [VERTROUWELIJK] heeft deze leverancier op geen enkel moment gewezen op mogelijke strijd met (toekomstige) privacyregelgeving en vertrouwde zij erop dat deze professionele partij [VERTROUWELIJK] op de hoogte zou brengen bij veranderingen. De AP is van oordeel dat deze omstandigheid [VERTROUWELIJK] niet disculpeert.

De AP legt een boete op omdat artikel 9 lid 1 AVG, het verwerken van bijzondere persoonsgegevens, is overtreden. Dat mag namelijk niet en is verboden, tenzij de wet aangeeft dat dit wel is toegestaan. De AP geeft goed aan waarom dit niet mag. Zo is onder andere te lezen:

De verwerking van biometrische gegevens zou verder toegestaan kunnen zijn indien dit noodzakelijk is voor authenticatie of beveiligingsdoeleinden. Daarvoor moet er een afweging worden gemaakt of identificatie door middel van biometrie noodzakelijk en proportioneel is voor authenticatie of beveiligingsdoeleinden. De AP is van oordeel dat het verwerken van biometrische gegevens in het kader van (het tegengaan van misbruik bij) tijdsregistratie, aanwezigheidscontrole en bevoegd gebruik van apparatuur bij [VERTROUWELIJK] niet noodzakelijk en proportioneel is. Voor de werkzaamheden bij [VERTROUWELIJK], [VERTROUWELIJK], is de noodzaak van de beveiliging niet zodanig hoog dat werknemers met biometrie toegang moeten kunnen krijgen en daartoe deze gegevens worden vastgelegd om de toegangscontrole uit te oefenen. Daarnaast kunnen andere minder ingrijpende manieren, dit ook bewerkstelligen. [VERTROUWELIJK] kan zich wat betreft de verwerking van vingerafdrukken daarom niet beroepen op de uitzonderingsmogelijkheid van artikel 9, lid 2, onder g, AVG in samenhang met artikel 29 UAVG.

Waarna de AP overgaat tot het opleggen van de boete.

Wat gaat hier (nog meer) mis?

In feite is dit een mooi voorbeeld van een bedrijf dat ‘niet compliant is’, zich daar waarschijnlijk zelf onvoldoende van bewust is (of bewust het risico neemt….) én zich niet goed laat adviseren en bovendien niet weet wat de regels zijn (dat weet ik niet zeker, maar wat ik wel zeker weet is dat als al adviezen zijn gegeven, deze niet zijn opgevolgd).

Nut en noodzaak van een DPIA

Een interne of externe privacy adviseur had, ook in 2017, geweten dat je voorafgaand aan een nieuwe verwerking een afweging moet maken of je een PIA (Privacy Impact Assessment) moet uitvoeren. Deze is sinds 25 mei 2018 in de AVG opgenomen in artikel 35: de DPIA (Data Privacy Impact Assessment). Indien er sprake is van een ‘hoog risico’ verwerking, moet je voorafgaand aan de verwerking van persoonsgegevens een DPIA uitvoeren. Met een DPIA wordt onderzocht en vastgelegd wat de risico’s zijn van de verwerking voor de privacy van de betrokkenen en welke beheersmaatregelen passend zijn voor die risico’s. Zo kun je aantoonbar maken dat je aan de AVG voldoet.

Hoe weet je nu of er sprake is van een hoog risico verwerking?

Dat is niet altijd even eenvoudig vast te stellen, en veronderstelt enige kennis van de AVG.

Voor het bepalen of je een DPIA moet uitvoeren toets je de voorgenomen verwerking achtereenvolgens aan:

Stap 1: De tekst van artikel 35 lid 3 AVG.

Stap 2: De lijst van de AP van soorten verwerkingen waarvoor een DPIA verplicht is.

Stap 3: De negen criteria van de WP29 in de WP29 Richtlijnen voor DPIA’s.    

Tot slot moet je altijd zelfstandig beoordelen en motiveren of er (geen) sprake is van een hoog risico verwerking. Verdere verdieping van de DPIA laat ik voor nu even achterwege. Dit is de hoofdlijn.

De uitkomst kan zijn: ‘ja, DPIA uitvoeren’, of ‘neen, dat is niet nodig’.

Om dit te bepalen moet je voorafgaand aan elke verwerking van persoonsgegevens nagaan en vastleggen of een DPIA al dan niet nodig is. Echt waar? Ja, echt waar!

Het bedrijf dat de boete opgelegd heeft gekregen, had via deze afweging eenvoudig kunnen vaststellen dat een DPIA nodig is, en had er dan vanzelf achter gekomen dat goede argumenten nodig zijn om de noodzakelijkheid van het gebruik van biometrische (bijzondere) persoonsgegevens te onderbouwen en een goede afweging te maken op het gebied van proportionaliteit en subsidiariteit.

Is deze situatie wellicht te herkennen?

Dan is het aan te raden bij een voorgenomen verwerking van persoonsgegevens altijd een specialist te raadplegen.

Dat kan natuurlijk via de specialisten van PrivacyPeople en voor DPIA’s bent u daar ook aan het goede adres.

Binnenkort verschijnt met een mede auteur, Francis Joung, een praktisch boek over DPIA’s. Klik hier voor meer informatie.Het boek kopen en vooral toepassen kan al snel € 725.000 schelen.

Mr. Sander van de Molen CIPP/E - PrivacyPeople

Zweedse toezichthouder legt boete op aan school.

Zweedse toezichthouder legt boete op aan school.

De Zweedse autoriteit voor gegevensbescherming (Datainspektionen) heeft een onderzoek uitgevoerd naar een openbare school. Dit na berichten in de media te hebben ontvangen dat het schoolbestuur, in een pilot situatie voor 22 leerlingen gedurende drie weken, gezichtsherkenningstechnologie had gebruikt om de aanwezigheid van leerlingen vast te stellen.

De school gebruikte de gezichtsherkenningssoftware via een camerasysteem. De bedoeling was om na een geslaagde pilot dit als systeem in te zetten voor de hele school. De school had uitgerekend dat dit een forse besparing zou opleveren. Immers: het klasseboek hoeft niet meer gebruikt te worden. Dat zou 10 minuten per lesuur besparen. In totaal 17.280 uren per jaar.

Ondanks dat voor de pilot de expliciete toestemming was verkregen en de deelname aan de pilot niet verplicht was, heeft de Zweedse toezichthouder een boete opgelegd van SEK 200.000 (= € 18.500,-).

Dit is best opmerkelijk en streng: immers het gaat om een pilot, er namen slechts een gering aantal leerlingen aan de pilot deel, er was toestemming verkregen en de duur was kort.

Waarom een boete?

De reden voor het opleggen van de boete is dat de school géén DPIA (een gegevensbeschermingseffectbeoordeling, oftewel een uitgebreid risicoassessment) heeft uitgevoerd, en de toezichthouder niet voorafgaand aan de pilot heeft geraadpleegd.

De toezichthouder vindt dat de school de AVG op drie manieren heeft overtreden:

  1. overtreding van het proportionaliteitsbeginsel: het doel (controleren van de aanwezigheid) kan ook worden gerealiseerd op een wijze die minder inbreuk maakt op de privacy;
  2. het verwerken van bijzondere persoonsgegevens zonder dat daar een wettelijke grondslag voor is;
  3. overtreding van artikel 35 AVG, door geen DPIA uit te voeren voorafgaand aan het verwerken van de persoonsgegevens.

Inzet van biometrische gegevens heeft de aandacht van de EU

Het inzetten van biometrische gegevens is binnen de EU een issue.

De Europese Commissie (EC) wil strenge regels opstellen voor het gebruik van technologie voor gezichtsherkenning. De EC wil het toenemende gebruik van gezichtsherkenning door bedrijven en overheden gaan beperken. De regels moeten EU-burgers duidelijk omschreven rechten geven over het gebruik van gegevens die door gezichtsherkenning zijn verkregen. Daarnaast krijgen burgers het recht om te weten wanneer en waarvoor die gegevens worden gebruikt.

Het initiatief van de EC volgt na ophef over ongereguleerd gebruik van gezichtsherkenning. De inzet van de technologie in Britse winkelcentra gaf eerder aanleiding tot een onderzoek van de Britse privacy toezichthouder (ICO). De boete oplegging door de Zweedse toezichthouder aan de school speelt ook een rol. 

Inzoomen op de overtreding van artikel 35 AVG: de DPIA

De school in kwestie had wel een soort van risicoassessment uitgevoerd, maar geen volledige DPIA. De toezichthouder vond het uitgevoerde risicoassessment onvoldoende om de risico’s op het gebied van de ‘rechten en vrijheden van betrokkenen’ te kunnen beoordelen. Daarbij is er geen afweging gemaakt of de maatregel (gezichtsherkenning) wel proportioneel is ten opzichte van het doel (controleren van de aanwezigheid). Op deze manier heeft de school geen invulling gegeven aan de verplichtingen van artikel 35 AVG.

Wat voor boetes staan er in Nederland op het niet uitvoeren van een DPIA?

De Autoriteit Persoonsgegevens heeft in haar Boetebeleidsregels van 19 februari 2019 het niet uitvoeren van een DPIA voorafgaand aan een verwerking de categorie II gegeven.

Dit betekent dat de Basisboete € 310.000,- bedraagt voor een overtreding. Deze kan naar boven of naar beneden worden bijgesteld op basis van de specifieke feiten en omstandigheden.

Wat kunnen we hiervan leren?

Veel organisaties zijn bezig met het implementeren van de verplichtingen vanuit de AVG. Maar weinig organisaties voeren een DPIA uit voorafgaand aan een nieuwe verwerking van persoonsgegevens.

Op basis van het voorgaande weet je nu dat je een groot risico loopt.

Stel je bijvoorbeeld de vraag: is er binnen jouw organisatie bijvoorbeeld voorafgaand aan het implementeren van Microsoft Windows of Office 365 een DPIA uitgevoerd?

Als het antwoord ‘nee’ is, dan moet je je realiseren dat de DPIA toch écht verplicht is voorafgaand aan verwerkingen van persoonsgegevens waarbij waarschijnlijk een hoog risico voor de rechten en vrijheden van betrokkenen optreedt.

Zorg dus voor een DPIA beleid en proces en een sjabloon voor een rapportage.

En meer dan dat: voer het ook uit.

Het uitvoeren van een DPIA is overigens niet altijd even eenvoudig, vooral omdat er een combinatie van technische, juridische, en organisatorische kennis vereist is. Kijk bijvoorbeeld maar naar de uitgebreide DPIA die de Rijksoverheid heeft uit laten voeren naar de producten van Microsoft. Dit levert rapporten op van soms meer dan 100 pagina’s. Hieruit blijkt dat er grote risico’s zijn verbonden aan het werken met Office Online en de mobiele Apps.

Disclaimer          Algemene voorwaarden          Privacy Statement