Autoriteit Persoonsgegevens: bijna 10.000 klachten in half jaar tijd!

 

Sinds de invoering van de AVG (Algemene Verordening Gegevensbescherming) op 25 mei van dit jaar heeft de Autoriteit Persoonsgegevens bijna 10.000 klachten ontvangen. Dit meldde de Autoriteit Persoonsgegevens vorige week op haar website

Waar gaan de klachten over?

De meeste klachten gaan over het schenden van ‘grond’rechten die zijn opgenomen in de AVG. Met invoering van de AVG hebben personen waarvan persoonsgegevens worden verwerkt een aantal belangrijke rechten gekregen. Dit zijn bijvoorbeeld het recht van verwijdering, het recht op inzage en kopie, het recht op beperking en het informatierecht.

Organisaties hebben de verplichting om binnen een maand een verzoek in te willigen of in ieder geval binnen een maand te vermelden hoe lang het nog duurt voordat het verzoek wordt uitgevoerd. Ruim 32% van de klachten gaat hierover. Personen krijgen bijvoorbeeld geen inzage of er worden onredelijke drempels opgeworpen doordat de organisaties kosten in rekening brengen voor het inwilligen van een privacy-verzoek. Ook komt het voor dat het niet mogelijk is om beperkte persoonsgegevens af te geven als er geen duidelijke reden wordt gegeven. Bijvoorbeeld het verplicht moeten opgeven van geslacht of leeftijd als niet duidelijk is waarom dat nodig is.

Op een goede tweede plaats komen de klachten over het onrechtmatig verwerken van het BSN (15%). Het BSN mag alleen maar worden verwerkt als er een wettelijke grondslag is. Heel vaak is dat niet het geval en gebeurt dit alleen maar omdat dit een gewoonte is. Zo zien wij in onze praktijk weleens de ‘gewoonte’ dat het BSN op facturen wordt vermeld. Dit is meestal in strijd met de AVG.

Op de derde plaats (12%) staan de klachten over organisaties die persoonsgegevens doorgeven aan derden terwijl hiervoor niet vooraf over is geïnformeerd of toestemming over is verkregen indien dat nodig is. Denk hierbij ook aan de opslag van persoonsgegevens op servers die buiten de EU staan.

Gegevensverwerkingsbeleid: informatieverplichting AVG

Veel organisaties hebben ook nog geen duidelijk Gegevensverwerkingsbeleid, Gegevensbeveiligingsbeleid of Privacy Statement. Dit is wel verplicht. Met een dergelijk (liefst openbaar) document informeer je de betrokken personen o.a. over welke persoonsgegevens je verwerkt, waarom, met welk doel en hoe lang je ze bewaart (recht op informatie). Ook komt het regelmatig voor dat de organisatie wel voldoet aan de informatieverplichting, maar dat deze niet in helder leesbare en voor iedereen begrijpelijke taal is opgesteld. Het kan zijn dat een deel van de klachten daaruit ontstaat.

Hulp nodig bij het implementeren van de AVG?

Om onze klanten te helpen bij het implementeren van de AVG, hebben we een interessante training ontwikkeld. Tijdens de training geven we stap voor stap aan wat je als organisatie minimaal moet regelen om te voldoen aan de AVG. Op 17 januari 2019 wordt er bij ons op kantoor in Geldermalsen weer een training gegeven. Kom je ook? Klik hier voor meer informatie.