De AP laat van zich horen

maandag, 22 mei 2017

Afgelopen week kwam de Autoriteit Persoonsgegevens (‘AP’) met verschillende nieuwsberichten naar buiten. In deze blog staan we stil bij enkele high lights daaruit.

Jaarverslag AP gepubliceerd en eerste kwartaalcijfers datalekken

Het jaarverslag van de AP werd op 18 mei 2017 gepresenteerd.

In 2016 heeft de AP zich onder meer op de thema’s beveiliging, internet & telecom en gezondheid. In 2016 ging bij het onderwerp beveiliging verreweg de meeste aandacht van de AP  naar de meldplicht datalekken. De AP ontving in 2016, het eerste jaar van de meldplicht, bijna 5700 meldingen van datalekken. Ruim 100 organisaties kregen een waarschuwing van de AP. In enkele andere tientallen gevallen startte de AP een diepgaander onderzoek.

Op 12 mei jl. bracht de AP naar buiten dat er in het eerste kwartaal ruim 2300 datalekken zijn gemeld. Een forse stijging t.o.v. het jaar ervoor. Dit hoeft overigens niet te betekenen dat er ook meer datalekken geweest zijn. Ook het bewustzijn rondom datalekken kan er aan hebben bijgedragen dat meer datalekken zijn gemeld. De meeste datalekken werden gemeld vanuit de sectoren gezondheid en welzijn (27%), financiële dienstverlening (21%) en openbaar bestuur (20%). De AP startte in het eerste kwartaal van dit jaar 135 onderzoeken naar beveiliging en datalekken. Dit gaat ook om mogelijke datalekken bij organisaties die deze niet hebben gemeld. Een deel van de onderzoeken loopt nog in het tweede kwartaal.

Het merendeel van de onderzochte organisaties kwam er af met een waarschuwing. Over het algemeen leidde dat tot beëindiging van de overtreding. Er zijn in het eerste kwartaal van 2017 (nog) geen boetes uitgedeeld.

De AVG: het aftellen begint

Met de komst van de Algemene Verordening Gegevensbescherming (AVG) op 25 mei 2018 heeft de AP woensdag 24 mei a.s. (donderdag 25 mei is een nationale feestdag) een telefonisch vragenuur opengesteld voor een ieder die vragen heeft over de AVG en de voorbereiding daarop. Een heel telefoonteam zit standby (inclusief voorzitter Aleid Wolfsen). Een ludieke actie van de AP, en zonder meer een bewonderingswaardig initiatief maar het is twijfelachtig of de beantwoording van de vragen ook voldoende concreet zal zijn. Niet alleen zullen een aantal zaken in de praktijk nader uitgekristalliseerd moeten worden maar ook zal de AP toekomstig handhaver de handen vrij moeten hebben om indien nodig ook te kunnen sanctioneren. Alleen al om die reden zullen bij de beantwoording van vragen de nodige voorbehouden gemaakt worden.

‘Right to be forgotten’

Een laatste punt dat wat ons betreft signalering verdient is het op 11 mei jl. gepubliceerde overzicht waarin de AP is gevraagd om te helpen zoekresultaten op hun naam te laten verwijderen uit een zoekmachine.

Heeft de bemiddeling door de AP niet het gewenste resultaat voor de betrokkene, dan kan hij de rechter vragen om de zoekmachine op te dragen specifieke zoekresultaten te verwijderen. De rechter heeft zich inmiddels ook al verschillende keren uitgelaten of een verwijderingsverzoek al dan niet terecht is afgewezen. In het door de AP gepubliceerde overzicht wordt deze jurisprudentie kort en bondig samengevat waarbij de AP ook aandacht heeft voor internationale ontwikkelingen in dit kader. Zonder meer een lezenswaardig overzicht dat hier kort signalering verdiend.

Meer weten? Neem vrijblijvend contact op met de Praktijkgroep Privacy of met Silvia Vinken (s.vinken@banning.nl).