Aanleiding
De Europese Algemene verordening gegevensbescherming (AVG) beschikt over een modern toezichtsarrangement. Het doel van het arrangement is dat de Autoriteit Persoonsgegevens (AP) effectief en kostenefficiënt toezicht op de uitvoering van de wet uitoefent en dat de kosten voor toezicht zoveel als mogelijk neerslaan bij de verantwoordelijken (de bedrijven, instellingen en andere organisaties).
Wat is de kern van het arrangement?
Kern van het toezichtsarrangement wordt gevormd door de meldplicht datalekken (artikel 33 en 34 AVG). De verantwoordelijke kent alle beveiligingsincidenten in de keten van verwerken van persoonsgegevens, beoordeelt of een incident een inbreuk vormt op de persoonlijke levenssfeer van de betrokkene en zo ja, dan meldt de verantwoordelijke dit bij de AP en zo nodig bij de betrokkene zelf. Dit binnen een tijdbestek van 72 uur.
Wij zouden kunnen zeggen dat als een verwerkingsverantwoordelijke in de afgelopen 72 uur niets heeft gemeld dat de maatregelen van administratieve organisatie en interne controle adequaat en effectief zijn geweest (artikel 24 AVG).
In 2019 hebben betrokkenen 27.871 klachten bij de AP neergelegd. Een deel van de klachten betreft incidenten die een inbreuk vormen op de persoonlijke levenssfeer van de betrokkene. Hoe zou de AP haar handhaving effectief en kostenefficiënt kunnen uitvoeren?
Wat zijn de verwachtingen vanuit (privacy) compliance?
Vanuit een perspectief van compliance met de wet zou het volgende van de AP verwacht mogen worden:
- Nagaan of de klacht door de betrokkene reeds bij de verwerkingsverantwoordelijke is aangebracht, gedocumenteerd en geregistreerd.[1] Beoordelen van de afhandeling van de klacht door de verwerkingsverantwoordelijke waarbij verantwoordelijke nagaat of de klacht juist is en of het een incident betreft waar sprake is van een inbreuk op de persoonlijke levenssfeer van de betrokkene. Naarmate de betrokkene meer bewijs van de juistheid van de klacht kan overleggen wordt de positie van de verwerkersverantwoordelijke zwakker;
- Nagaan of het incident als een datalek is gemeld bij de AP en eventueel bij betrokkene die een klacht heeft voorgelegd;
- Contact opnemen met de functionaris voor gegevensbescherming (FG) en vragen de situatie uit te leggen. Wat is het beleid, wat is op het moment van de klacht het overzicht van verwerkingen, welke DPIA’s zijn met welke resultaten uitgevoerd, welke beveiligingsincidenten zijn geregistreerd en welke incidenten hebben geleid tot het melden van een datalek. De FG vormt een belangrijke schakel in het toezicht op het naleven van de wet door de verantwoordelijke en treedt op als contactpersoon naar de AP; en
- Vragen stellen aan de verantwoordelijke. Bij het stellen van vragen aan de verantwoordelijke maakt de AP vooral gebruik van het controlemiddel afloopcontrole. Dit wil zeggen dat als er geen registratie van een incident of melding van een datalek is gedaan maar dat er toch op het moment van het incident een inbreuk op de persoonlijke levenssfeer van de betrokkene heeft plaatsgevonden, de verwerkingsverantwoordelijke moet beargumenteren waarom de beheersingsmaatregelen toch effectief zijn geweest.
Naar aanleiding van klachten van betrokkenen werkt het toezichtsarrangement in de hand dat de bewijslast wordt omgedraaid. Het is niet de betrokkene of de toezichthouder die moet bewijzen dat de getroffen beheersingsmaatregel niet effectief is geweest maar de verwerkingsverantwoordelijke moet bewijzen dat de getroffen beheersingsmaatregel wel effectief functioneert.
Meer informatie
Heeft u vragen of heeft u behoefte aan een afspraak? Neem gerust contact met ons op via +31 0 (70) 392 22 09 of info@duthler.nl.
[1] Als een verwerkingsverantwoordelijke klachten van betrokkene niet of slecht toegankelijk registreert, geeft dat de AP een indruk van de volwassenheid van de organisatie ten aanzien van het beschermen van persoonsgegevens.
