Nieuwsbrief Oktober 2024

Wil jij deze nieuwsbrief voortaan per mail ontvangen? Meld je dan nu aan via deze link.

De afgelopen week kwam het onderwerp privacy prominent in het nieuws langs. Zo zag de politie de aandacht op zich gevestigd vanwege een datalek van contactgegevens van medewerkers. Daarnaast besteden we aandacht aan een langverwachte uitspraak van het Hof van Justitie van de EU, die antwoord gaf op de vraag of een commercieel belang in de context van de AVG gezien kan worden als een rechtmatig belang. Ook besloot de Autoriteit Persoonsgegevens om een update te delen over het geïntensiveerde toezicht bij de gemeente Eindhoven. Dat en veel meer, lees je terug in deze oktober editie van onze nieuwsbrief.

Veel leesplezier!

Team Lumen Group

Lumen Group Event – 20 november 2024
Ieder zijn eigen privacy (hoofd)rol

Welke privacy rollen, taken en verantwoordelijkheden zijn er in jouw organisatie? Is iedereen zich daar ook bewust van, en in staat om zijn of haar verantwoordelijkheden na te komen? Bij deze en andere vragen staan wij op 20 november vanaf 16.30 stil op het Lumen Group kantoor nabij Utrecht. Tijdens het  event leggen we de nadruk op het creëren van een open dialoog om samen knelpunten te identificeren die jouw organisatie kunnen belemmeren in het realiseren van beweging en verandering. 

Door middel van een interactief element brengen we een organisatiestructuur helder in kaart. Deze visualisatie helpt jou om inzichtelijk te krijgen waar de communicatiestromen vastlopen en waar afdelingen effectiever kunnen samenwerken. 

Aansluitend op het event zorgen wij voor een hapje en een drankje, waarna we de avond rond 20.30 zullen afsluiten. Wij heten jou en je collega’s graag van harte welkom bij ons op locatie. Ontdek waar verbetering mogelijk is en geef jouw organisatie een AVG-boost! 

Een volledige uitnodiging voor het event volgt binnenkort!

 

Datalek bij de politie: hackers maken zakelijke contactgegevens van politiemedewerkers buit

Bij een computerinbraak zijn eind september de zakelijke contactgegevens buitgemaakt van alle huidige politiemedewerkers. Nadat hackers zich toegang tot het systeem van de politie wisten te verschaffen, konden zij de Outlook-visitekaartjes van alle medewerkers bemachtigen. Vroeger konden medewerkers die visitekaartjes zelf aanpassen, waardoor mogelijk ook privénummers zijn betrokken bij het datalek.

Op de website van de politie komt mondjesmaat informatie over de oorzaak van het lek naar buiten: “De politie is door de inlichtingendiensten geïnformeerd dat het zeer waarschijnlijk om een ‘statelijke actor’ gaat, met andere woorden: een ander land of daders in opdracht van een ander land. Op basis van de informatie van de inlichtingendiensten heeft de politie meteen forse beveiligingsmaatregelen ingezet tegen deze aanval.  Om de daders niet wijzer te maken en verder onderzoek niet te schaden, kan op dit moment niet meer verteld worden.”

De medewerkers van de politie worden voortdurend geïnformeerd over de (gevolgen van) de hack met onder andere een liveblog, nieuwsbrieven en per mail. Ook is een telefonisch meldpunt ingesteld waar zij terechtkunnen met al hun vragen.

HvJ EU zet streep door uitleg AP gerechtvaardigd belang: ook commercieel belang kan een rechtmatig belang zijn

In 2019 legde de AP een boete op aan de KNLTB voor het delen van ledengegevens met sponsors, omdat dit volgens de AP in strijd was met de AVG. De KNLTB stelde echter dat zij een gerechtvaardigd belang had bij het aanbieden van kortingen en promoties aan haar leden via commerciële partners.

Na een aantal jaren van juridisch gesteggel, kwam de vraag of een commercieel belang ook een gerechtvaardigd belang kan zijn bij het Hof van Justitie van de Europese Unie te liggen.

De strikte interpretatie van de AP, die alleen wettelijke of maatschappelijke belangen accepteerde als gerechtvaardigd belang, werd hiermee verworpen. Dit oordeel schept ruimte voor bedrijven om onder bepaalde omstandigheden persoonsgegevens te verwerken zonder expliciete toestemming, mits de belangen van betrokkenen voldoende worden beschermd en hun verwachtingen in acht worden genomen. Het is nu aan de rechtbank Amsterdam om met deze uitleg op zak te beoordelen of de KNLTB in de context van de verkoop voldeed aan alle vereisten van de grondslag van gerechtvaardigd belang.

De hele uitspraak van het Hof vind je via onderstaande button.

SURF/BDO publiceren Security- en privacy-awarenessmeting 2024:

Kennis over cybersecurity groeit, maar praktijk blijft achter

Hoewel de kennis over cybersecurity in Nederland toeneemt, blijkt de toepassing in de praktijk achter te blijven. Dit volgt uit de security- en privacy-awarenessmeting die SURF en BDO onlangs naar buiten brachten. Instellingen zijn zich meer bewust zijn van digitale dreigingen en ontwikkelen beleid om deze te bestrijden, toch blijft de implementatie van deze maatregelen vaak achter. Vooral in de onderwijs- en onderzoekssectoren zijn er uitdagingen rondom de adoptie van cybersecurity-oplossingen.

Om deze kloof te dichten, is een sterke focus op praktische vaardigheden en effectieve uitvoering van beleid nodig. Organisaties worden aangemoedigd om niet alleen te investeren in kennis, maar ook in de middelen en processen die nodig zijn om cybersecuritymaatregelen consequent toe te passen.

AP geeft update over geïntensiveerd toezicht gemeente Eindhoven

Sinds maart 2023 staat de gemeente Eindhoven onder geïntensiveerd toezicht van de Autoriteit Persoonsgegevens (AP). Inmiddels constateert de AP progressie op verschillende indicatoren. De gemeente stelde namelijk een datalekkenprotocol vast, werkte aan het beter borgen van de rol en positie van de FG, en er wordt gewerkt aan vrijwel alle indicatoren. Door deze ontwikkelingen groeit de gemeente van volwassenheidsniveau 2,4 in het najaar van 2023, naar een 2,7 in het voorjaar van 2024 (op basis van de CIP selfassessment).
 
Als de gemeente Eindhoven deze lijn van progressie en ontwikkelingen weet door te zetten, en de door haar gestelde doelen weet te bereiken, dan zal de AP het geïntensiveerd toezicht per 1 maart 2025 beëindigen. De gemeente zal uiterlijk 15 januari 2025 de volgende rapportage bij de AP moeten aanleveren.

Privacytrends en -ontwikkelingen overheid in kaart gebracht

De overheid worstelt nog altijd om volledig te voldoen aan alle privacyregels. Er zijn wel stappen gezet om de AVG beter na te leven, maar dit is nog niet genoeg. Bescherming van persoonsgegevens is een grondrecht. Toch ziet de Autoriteit Persoonsgegevens (AP) dat er bijvoorbeeld gemeenten zijn die dit grondrecht te makkelijk terzijde schuiven in de strijd tegen (georganiseerde) criminaliteit.

Verder gaat de AP er onder meer op in dat nog veel winst is te behalen wat betreft kennis van privacywet- en regelgeving, vooral bij bestuurders. Ook constateert de AP overheidsorganisaties soms bewust over de grenzen van de wet. In andere gevallen kunnen bestuurders zich juist te veel geremd voelen omdat zij de AVG onterecht als een belemmering zien.

Tot slot bespreekt de AP de ontwikkeling van de positie van de FG, die in sommige gevallen onder druk staat. Gebrek aan capaciteit/geld of het niet tijdig of volledig betrekken van de FG kan diens functioneren in de weg staan. Wordt de FG wel betrokken, dan volgt de overheid hun adviezen soms niet op zonder dat hier een gedegen motivatie onder ligt.

Vragen?

Mocht je naar aanleiding van dit nieuwsbericht nog een vraag hebben, stel deze dan door te mailen naar info@lumengroup.nl of te bellen naar 030 – 889 65 75. Wij helpen je graag verder.

Even Voorstellen: Karien Bos

Achtergrond en interesses
Ik ben Karien, en sinds de oprichting van Lumen Group in 2017 vervul ik de rol van Managing Director. Daarnaast ben ik de bedenker van onze merknaam, Lumen Group. Lumen staat voor het brengen van licht en verlichting, en ‘Group’ benadrukt dat we dit samen doen. Samen met onze collega’s én samen met onze opdrachtgevers.

Mijn passie ligt bij risicomanagement en compliance vraagstukken. Ik ga dan ook graag met onze relaties in gesprek om te kijken hoe we hen kunnen helpen de wet- en regelgeving overzichtelijker te maken. Dit doe ik vanuit mijn directiefunctie bij Lumen Group, maar ook vanuit mijn rol bij BrightStone Group, specialist op het gebied van Finance, Risk, Data en Compliance.

De wereld digitaliseert in rap tempo, en ik ben enorm geïnteresseerd in data. Data biedt veel kansen en mogelijkheden, maar brengt ook uitdagingen met zich mee. Privacy en informatiebeveiliging worden hierdoor steeds belangrijker.

Over mijn privéleven vertel ik niet veel, want ik hecht erg aan mijn eigen privacy. 😊

Huidige functie bij Lumen Group
Binnen Lumen Group ben ik directielid en gesprekspartner voor onze klanten als het gaat om vraagstukken rond wet- en regelgeving, zoals de AVG en alles wat daarbij komt kijken.

Ontwikkelingsdoelen bij Lumen
Bij ons draait alles om het ontzorgen van onze klanten. Ons team van ervaren privacy consultants werkt voortdurend aan het verbeteren van onze diensten. Ze houden de ontwikkelingen op het gebied van normenkaders goed in de gaten en passen onze werkwijze regelmatig aan op basis van de nieuwste inzichten. Het vakgebied is immers altijd in beweging. We zijn al een tijd marktleider op het gebied van FG-diensten en hebben ons aanbod uitgebreid met PO-diensten, advies en tijdelijke ondersteuning bij datalekken of boetes. In de komende jaren willen we onze huidige én nieuwe diensten verder ontwikkelen.

Gewenste superkracht op de werkvloer
Bij ons staat samenwerken centraal. We geloven dat je alleen samen succesvol kunt zijn. We maken gebruik van elkaars krachten en vullen elkaar aan. Onze kernwaarden – kwaliteit, kennis en karakter – komen tot uiting in alles wat we doen.

Favoriete boek/film/serie
Ik ben niet zo’n tv-kijker, maar ik geniet wel van tv on demand, vooral van documentaires. Wat boeken betreft, heb ik eigenlijk geen echte favoriet.

Even voorstellen Bart Scheffers

Mijn naam is Bart Scheffers, van origine een Brabantse Bedrijfskundige maar sinds midden jaren 90 woonachtig in Utrecht. Vanuit kwaliteitsmanagement, procesanalyse en -ontwerp ben ik sinds 2018 fulltime werkzaam als zelfstandig privacy consultant. Mijn missie is om privacy op een werkbare wijze te borgen in de processen van een organisatie, zodat deze tijdens het werk onbewust de privacy van betrokkenen respecteert. Ik ben van nature breed geïnteresseerd, misschien zelfs een tikkie nieuwsgierig hoe organisaties functioneren, hoe processen en systemen zijn ingericht en vooral hoe mensen met elkaar samenwerken. Zo wordt privacy toch weer een bedrijfskundig verhaal.

Ik heb in diverse organisaties gewerkt als privacy consultant en Privacy Officer (PO), met name binnen de rijksoverheid en financiële instellingen. Daarnaast ook voor gemeentes en onderwijsinstellingen. Al deze ervaring zet ik graag in als Functionaris Gegevensbescherming (FG) voor relaties van de Lumen Group. Ik heb gemerkt dat mijn diverse kennis en praktijkervaring hen echt verder kan helpen. Mijn insteek is om met hen te zoeken naar effectieve en pragmatische oplossingen voor knelpunten in het privacy-werkveld. Ik vind het erg mooi om te zien dat relaties in eerste instantie schrikken van het woord DPIA maar als ik hen help door met hen het proces te schetsen, worden bijna als vanzelf de onderliggende privacy risico’s zichtbaar en liggen de maatregelen voor het oprapen. Zo hebben we in een korte tijd met veel plezier een goed resultaat neergezet, iets waar ik trots op ben!

Nu wordt het echt interessant, mijn privéleven! Ik ben nog net geboren in 1968, woonachtig in Vleuten en hertrouwd. Ik heb drie zonen, een stiefzoon en stiefdochter. Soms is het full house als iedereen er is, op andere momenten zijn we heerlijk met z’n tweetjes, ook fijn. In mijn vrije tijd leer ik tennissen en gitaar spelen en zing ik in popkoor N♬tgeval (Nootgeval), waar ik in 2024 ook aan het bestuur ben toegevoegd. Verder geniet ik graag van cultuur en natuur om de hoek, in Utrecht of Nederland. Ook bezoek ik al rondtrekkend graag authentieke plaatsen elders in de wereld, zoals Turkije, Egypte, Maleisië, Australië, Vancouver Island en Madagaskar. Ik ben ook graag actief bezig; Ooit heb ik de fietstocht gereden naar Santiago de Compostella, in 2023 heb ik met een vriend rondom de Mont Blanc gewandeld. Van een andere orde was ook in 2023 de Garbage Run, een mooi avontuur om met 350 barrels van Luxemburg naar Portugal te rijden. Ik kan echt genieten van cabaret en haal te pas en onpas diverse passages graag aan!

Ik vind het belangrijk om bewust te leven en er ook van te genieten. In het werk vind ik het ook belangrijk dat we op een leuke manier met elkaar samenwerken en een goed resultaat neer zetten. Het hoeft niet in één keer goed te zijn, soms is een eerste kleine stap in de goede richting al een hele prestatie! 

Even voorstellen Rosemarije Loos

Kun je ons iets vertellen over je achtergrond en interesses?
Ik leef op dit moment mijn 35e levensjaar en heb een zoon van 9. Samen met mijn 2 katten woon ik tussen de Veluwe en de Utrechtse Heuvelrug. Ik ben dus ook vaak buiten te vinden, in mijn tuin of in de bossen/heide. Ik heb in totaal 10 jaar in Zuid-Frankrijk gewoond en 7 maanden in Zwitserland. Buiten werktijd kun je me vinden in mijn atelier, waar ik schilder op doek. Expressionisme en het terug laten komen van metaforen zijn kenmerkend voor mijn werk. Ik lees graag en bezoek regelmatig steden en musea.

Wat motiveert jou om te werken in het privacy vakgebied?
Het vertalen van abstracte wet- en regelgeving en lange beleidsstukken naar heldere, werkbare instructies en plannen die passen bij de corebusiness, is iets waar ik goed in ben en energie van krijg. Daarbij kijk ik naar wat kan, mag en hoe, door een balans te vinden tussen organisatiewaarden, ISO-normen, wet- en regelgeving en het niet (onnodig) moeilijker maken dan het is, maar juist vereenvoudigen.

Wat ga jij betekenen voor de klanten van Lumen Group?
Verdiepen, verbinden, versterken en elkaars ’taal’ leren begrijpen. Zowel mijn Lumen-collega’s als klanten kunnen rekenen op een pragmatische denker die sterk is in het analyseren van gegevens en processen. Vervolgens plaats ik deze in de juiste context, en filter ik scherp om tot doelgerichte resultaten en actiepunten te komen.

Daarnaast gaan creativiteit, (wettelijke) kaders en taaie materie absoluut perfect samen. Mijn drijfveer hierin is mensen aan het denken zetten en in beweging brengen op een luchtige en ludieke manier zonder de urgentie van efficiënte gegevensbescherming te verliezen.

Waar word jij verder nog blij van?
Investeren in het verbreden en updaten van mijn eigen kennis en kunde staan bij mij hoog in het vaandel. Nieuwe kennis vergaar ik door het volgen van Webinars, trainingen, het bijwonen van conferenties en het lezen van boeken over zeer uiteenlopende onderwerpen (filosofisch, bedrijf strategisch, psychologisch, juridisch, etc.). Daarnaast hou ik van een goed gesprek, open-minded, met ruimte voor dialoog.

Even voorstellen: Gerhard van der Haar

Achtergrond en Interesses
Ik ben 53 jaar oud en kom uit Eelderwolde, een klein dorpje onder de rook van Groningen. Ik ben geboren in Amersfoort, opgegroeid in Assen, heb gestudeerd in Groningen en ben daarna in het noorden van het land blijven hangen. Met een financiële achtergrond heb ik ruim 23 jaar gewerkt in de incasso- en deurwaardersbranche. In mijn laatste functie was ik verantwoordelijk voor risk & compliance en was ik functionaris gegevensbescherming (FG), toen nog onder de Wet bescherming persoonsgegevens. In 2018 ben ik als zzp’er gestart en bedien ik diverse organisaties als FG.

Ik ben getrouwd en heb vier zonen, waarvan er nog twee thuis wonen. Ik heb een passie voor koken, waarbij de Indische keuken mijn favoriet is.

Huidige Functie bij Lumen Group
Ik werk als senior privacy consultant en houd me bezig met het adviseren van klanten op het gebied van de Algemene Verordening Gegevensbescherming (AVG) en alles wat daarmee samenhangt.

Ontwikkelingsdoelen bij Lumen
Als zzp’er werk ik solistisch en deel ik mijn kennis en ervaring met mijn opdrachtgevers. Bij Lumen werken we met een team van privacy professionals die allemaal een andere achtergrond hebben. We zijn niet alleen elkaars back-up, maar leren ook veel van elkaar. Dit draagt bij aan een optimale dienstverlening aan onze klanten en aan onze eigen ontwikkeling. Daarnaast is privacy een prachtig vakgebied dat volop in beweging is, waardoor we de taak hebben om onze kennis up-to-date te houden en mee te bewegen met de ontwikkelingen

Gewenste Superkracht op de Werkvloer
Ach ja, superkracht, daar geloof ik niet zo in. Als we allemaal gewoon onszelf (kunnen) zijn, behulpzaam en respectvol, dan is dat voor mij waardevoller dan een superkracht.

Favoriete Boek/Film/TV-serie
Mijn favoriete film is Mississippi Burning, die ik heel indrukwekkend vind. Daarnaast vind ik Crimson Tide een goede film en ben ik ook wel fan van Hunted.

Hoe gemeentelijke DPIA’s bijdragen aan privacy by design

Persoonsgegevens verwerken brengt risico’s mee. Zeker bij gemeenten, waar vanuit verschillende taken en bevoegdheden de noodzaak bestaat om (gevoelige of bijzondere) gegevens van burgers te verwerken. Een efficiënte manier om risico’s te beperken is het inrichten van processen en systemen volgens het principe van privacy by design: het organisatorisch en technisch stimuleren van zorgvuldige omgang met persoonsgegevens.[1] Dit doe je door vooraf bepaalde ontwerpstrategieën te doorlopen, bij het ontwerpen van systemen, applicaties, processen, beleid en producten. Hierbij komen bijvoorbeeld dataminimalisatie en transparantie aan bod.

Eén van de manieren waarop invulling wordt gegeven aan privacy by design is het uitvoeren van Data Protection Impact Assessments (DPIA’s). Dit is een inventarisatie en analyse van de risico’s van een verwerking, die voor verwerkingen met een hoog risico verplicht is. Omdat het uitvoeren van een DPIA in de praktijk geregeld uitdagingen met zich mee brengt, zetten we een aantal aandachtspunten op een rij over de verplichting om DPIA’s uit te voeren, welke hulpmiddelen er voor gemeenten zijn en hoe een DPIA bijdraagt aan het privacy by design principe.

Wat is een DPIA en wanneer deze verplicht?
Een DPIA bestaat op hoofdlijnen uit de beschrijving van een proces waarbinnen persoonsgegevens worden verwerkt, een beoordeling van de noodzaak en proportionaliteit van die verwerking, een inventarisatie van de risico’s voor de gegevens van betrokkenen binnen dit proces en het vastleggen van beheersmaatregelen die de risico’s verkleinen.

Een DPIA moet verplicht worden uitgevoerd wanneer een verwerking, gelet op de aard, omvang, context en doeleinden, waarschijnlijk een (hoog) risico inhoudt voor de rechten en vrijheden natuurlijke personen. [2] De Autoriteit Persoonsgegevens (AP) stelde een lijst met 17 soorten verwerkingen op waarbij een DPIA in ieder geval verplicht is. Bijvoorbeeld bij het inzetten van cameratoezicht, of wanneer bijzondere of gevoelige gegevens worden gedeeld binnen een samenwerkingsverband tussen gemeenten en andere publieke of private partijen.

Maakt jouw gemeente stelselmatig gebruik van cameratoezicht, en is er (nog) geen DPIA uitgevoerd op dit proces? Dan voldoe je niet aan de AVG, en dat kan leiden tot een boete. Zo legde de AP eerder een boete van €50.000 op aan de gemeente Rotterdam, vanwege het niet uitvoeren van een DPIA bij de inzet van mobiele camera-auto’s.

Hoe draagt een DPIA (het best) bij aan privacy by design
Het bepalen van een moment om te starten met een DPIA kan lastig zijn. Wanneer een systeem nog niet is ingericht, zijn vaak nog niet alle vragen over de technische en praktische werking ervan te beantwoorden. Toch is de fase van inrichting van een systeem of proces juist een geschikt moment om invloed op de werking ervan uit te oefenen.

Het is daarom aan te raden om een DPIA zo vroeg mogelijk in het proces van een nieuwe verwerking uit te voeren. Zo wordt een proces vanaf de start volgens de uitgangspunten van de AVG ingericht, en dus ook volgens het principe van privacy by design.

Is een proces of systeem al in gebruik, zonder dat er een DPIA op uitgevoerd is (waar dit wel zou moeten)? Start dan zo spoedig mogelijk met de DPIA.

Hulpmiddelen bij de uitvoering van een DPIA
Het uitvoeren van een DPIA kan een complexe en tijdrovende procedure zijn. Gelukkig zijn er hulpmiddelen beschikbaar, die gemeenten ondersteunen bij het doorlopen van deze procedure.

Wij zetten de belangrijkste hulpmiddelen op een rij:

Raadpleeg de FG
Vanuit de AVG is het verplicht om advies van de Functionaris Gegevensbescherming in te winnen, bij het opstellen van de DPIA. De FG kan op voorhand adviseren over de noodzaak tot het uitvoeren van een DPIA, voorzien in tussentijds advies over de uitvoering en meedenken over waarborgen om privacyrisico’s te beperken.

Pre-scan DPIA
Het Centrum voor Informatiebeveiliging en Privacybescherming (CIP) stelde in opdracht van het Ministerie van Binnenlandse Zaken een Pre-scan DPIA op. Deze scan helpt bij het afwegen of DPIA noodzakelijk is.

(Rapportage)model DPIA Rijksdienst
In september 2023 lanceerde het CIP het Model DPIA Rijksdienst 3.0, dat samen met Rapportagemodel DPIA Rijksdienst kan worden gebruikt voor de uitvoering van een volledige DPIA. De modellen begeleiden bij het uitvoeren van een DPIA, en helpen om een DPIA op een efficiënte, correcte én volledige wijze tot stand te laten komen.

Collectieve DPIA’s
De Informatiebeveiligingsdienst (IBD) en de Vereniging van Nederlandse gemeenten (VNG) voeren voor gemeenten collectieve DPIA’s uit. Dat zijn DPIA’s die gelden voor een groep van gemeenten of alle gemeenten.[3] Hoewel de collectieve DPIA’s vaak nog toegespitst moeten worden op de specifieke situatie per gemeente, is met de basis die er ligt het grootste werk uit handen genomen.

Vragen?
Heb je nog vragen naar aanleiding van deze blog? Neem dan vrijblijvend contact met ons op om over dit onderwerp te sparren. Met een team van specialisten staan we klaar om gemeentes te helpen met deskundig advies en ondersteuning op het gebied van privacy en informatiebeveiliging, zo ook bij het uitvoeren van of ondersteunen bij DPIA’s.

Wij zijn bereikbaar per e-mail op info@lumengroup.nl of via het telefoonnummer 030 – 889 65 75.

[1] Art. 25 AVG

[2] Art. 35 lid 1 AVG

[3] Zo zijn er DPIA’s gepubliceerd voor verwerkingen binnen de Omgevingswet/Digitaal Stelsel Omgevingswet, de Wet verplichte ggz  en voor Whatsapp for business.

Boetes van de Autoriteit Persoonsgegevens met opzet of nalatigheid als voorwaarde?

Het Hof van Justitie van de Europese Unie (hierna: het Hof) heeft 5 december jl. in een persverklaring gesteld dat een boete alleen opgelegd kan worden wanneer de verwerkingsverantwoordelijke op de hoogte is van de onrechtmatige aard van zijn of haar handelen waarbij het zowel kan gaan om opzettelijk handelen als nalaten.[1] Echter, voor overheidsorganisaties en natuurlijke personen die niet namens een bedrijf handelen weegt de Autoriteit Persoonsgegevens (hierna: AP) deze factoren op dit moment enkel mee bij het bepalen van een verhoging of verlaging van de basisboete (dus achteraf),[2] en niet vooraf om te bepalen of de boete überhaupt opgelegd mag worden.[3]

In sommige gevallen komt de toetsing op de opzettelijke of nalatige aard van de inbreuk zelfs helemaal niet aan bod. Bijvoorbeeld in het geval van de boete van 2 november jl., waarbij de AP een boete van €30.000 oplegde aan de gemeente Voorschoten vanwege het te lang bewaren van ‘stortgegevens’ van huishoudens en het gebrekkig informeren van de betrokkenen over deze verwerking van persoonsgegevens.[4] De gemeente Voorschoten verwijst in haar zienswijze naar een eerder besluit, waarbij de AP in een volgens de gemeente vergelijkbare zaak geen boete oplegt aan de gemeente Arnhem.[5] De AP oordeelt over de vergelijking met het eerdere besluit het volgende:

“Onder het oude regime kon voor de door het Arnhemse college overtreden bepalingen geen boete worden opgelegd zonder dat eerst een bindende aanwijzing was gegeven. Dat uitgangspunt leed slechts uitzondering indien de overtreding opzettelijk was gepleegd of het gevolg was van ernstig verwijtbare nalatigheid. Aan het Arnhemse college was niet eerder een bindende aanwijzing gegeven en evenmin was sprake van opzet of ernstige nalatigheid. Alleen al om die reden kon in die zaak geen boete worden opgelegd. Door het van toepassing worden van de AVG op 25 mei 2018 kunnen de in dit besluit geconstateerde overtredingen wél direct worden beboet.”[6]

Hiermee impliceert de AP dus géén toets vooraf van de opzettelijke of ernstig nalatige aard van de inbreuk voor het opleggen van een boete.[7] Vervolgens gaat de AP ook bij de afweging of de basisboete omhoog of omlaag moet worden bijgesteld, voorbij aan de toetsing van de opzettelijke of nalatige aard van de inbreuk.[8] Hierdoor lijkt het huidige boetebeleid van de AP tegenstrijdig te zijn met de nieuwe uitleg van het Hof over de toets vóóraf. Zullen boetes voortaan wél onder voorwaarde van opzet of nalatigheid plaatsvinden?

[1] Judgments of the Court in Cases C-683/21 | Nacionalinis visuomenės sveikatos centras and C-807/21 | Deutsche Wohnen.

[2] Artikel 7 en 8 (b) Boetebeleidsregels Autoriteit Persoonsgegevens 2023.

[3] Zoals artikel 83 lid 2(b) AVG wel voorschrijft.

[4] Boetebesluit Autoriteit Persoonsgegevens 2 november 2023, §4.5.

[5] Boetebesluit Autoriteit Persoonsgegevens 2 november 2023, §4.1.

[6] Boetebesluit Autoriteit Persoonsgegevens 2 november 2023, §4.3. Gemeente Voorschoten stelt: “Ook daar ging het om het te lang bewaren van persoonsgegevens in het kader van de uitvoering van het afvalbeleid. In die zaak heeft de AP een last onder dwangsom opgelegd om de overtreding te beëindigen.”

[7] Met de passage “Alleen al om die reden” suggereert de AP dat er nog meer redenen zouden zijn, maar deze worden inhoudelijk niet aangedragen. Bovendien concludeert de AP vervolgens dat zij geen aanleiding ziet om nu van een boete af te zien, in de enkele omstandigheid dat in het verleden geen bestuurlijke boete kon worden opgelegd vanwege het toen geldende boeteregime.

[8] Boetebesluit Autoriteit Persoonsgegevens 2 november 2023, §4.5.

Even voorstellen: Maxim Scholma

Lumen Group groeit en daarom stellen we je hierbij graag voor aan Maxim Scholma. Hij is deze maand als Werkstudent gestart bij Lumen Group. We stelden hem wat vragen.

Kun je ons iets vertellen over je achtergrond en interesses?

Ik ben 23 jaar oud, kom uit Alphen aan den Rijn en studeer Bedrijfskunde in Rotterdam. Verder wisten al mijn collega’s al voordat ik mijn contract getekend had, dat ik groot fan ben van padel. Ik heb het eigenlijk nergens anders over. Als ik niet op de padelbaan te vinden ben, dan speel ik graag gitaar. Ik speel zowel akoestisch als elektrisch met de focus op rock- en popmuziek. Mijn enthousiasme voor muziek deel ik graag met mijn twee broers. Samen luisteren we regelmatig met z’n drieën naar elkaars favorieten.

Wat is je huidige functie bij Lumen Group en wat houdt deze precies in?

Vanuit mijn studie Bedrijfskunde ben ik op zoek gegaan naar een baan en zodoende ben ik als werkstudent bij Lumen Group begonnen. Als werkstudent heb ik niet één specifieke taak. Ik help overal een beetje mee. Ik werk fulltime, dus ik ondersteun het team waar nodig is. Onder aan de streep levert dat voor mij een gevarieerde baan op waar ik veel van leer.

Waarin hoop jij je te ontwikkelen in je periode bij Lumen?

Het belangrijkste voor mij is momenteel om praktijkervaring op te doen. Mijn studie is voornamelijk veel theorie. De periode bij Lumen Group wil ik gebruiken om de koppeling tussen de theorie en de praktijk te maken. Verder zijn er geen specifieke vaardigheden die ik kan benoemen. Wél wil ik me in algemene zin ontwikkelen en zo veel mogelijk van alle bedrijfsonderdelen zien.

Als je een superkracht zou kunnen hebben op de werkvloer, welke zou je dan kiezen?

Volgens mij red ik me aardig zonder superkracht. Al lijkt vliegen me niet verkeerd, scheelt een hoop reistijd en dan kan ik naar de 9e verdieping zonder op de lift te moeten wachten.

Wat is je favoriete boek/film/Tv-serie en waarom?

Ik kan niet echt een expliciete nummer 1 aanwijzen. Als ik iets kijk, dan doe ik dat vaak met mijn jongere broertje. Toen we beiden nog op de basisschool zaten, hadden we thuis een dvd van Harry Potter die in het Nederlands nagesynchroniseerd was. Er is denk ik niks anders wat we zo vaak gekeken hebben. Destijds hadden we ook geen alternatief, want de ondertiteling ging te snel voor ons. Inmiddels kunnen we de ondertiteling wel volgen, maar toch weigeren we om de film in het Engels te kijken. Dus we hebben het niet over de beste film ooit, maar wel een film waar ik altijd met plezier naar kijk. Op mijn 23e al jeugdsentiment, het kantoorleven is denk ik echt begonnen…

4 tips voor het leerlingdossier vanuit privacy perspectief

Welke persoonsgegevens zet je wel en juist niet in het leerlingdossier en hoe ga je zorgvuldig om met deze informatie, in lijn met de Algemene verordening Gegevensbescherming (AVG)?

Om de leerlingen onderwijs en begeleiding te geven, komen de meeste gegevens in het leerlingdossier in een LAS/LVS-systeem terecht, of in sommige gevallen nog in een papieren dossier. Het leerlingdossier is voor de onderwijsinstellingen enerzijds noodzakelijk om informatie over de onderwijskundige voortgang en administratieve zaken van een leerling in bij te houden en om aan de informatieplicht[1] richting ouders te voldoen. Aan de andere kant ligt overmatige vastlegging van gegevens op de loer, met mogelijk nadelige gevolgen voor de betrokken leerlingen, omdat gevoelige informatie over een leerling een stigmatiserende werking kan hebben. Dat risico speelt met name wanneer gegevens lekken en door onbevoegden worden ingezien. Daarnaast kan er ook een verkeerd beeld van een leerling worden geschetst als de gegevens niet accuraat, actueel of objectief zijn.[2] 

Daarom is het van belang dat scholen goed in beeld hebben welke informatie wel bestemd is voor het leerlingdossier, maar ook waarvoor het leerlingdossier juist níet is bedoeld en hoe hier zorgvuldig mee om te gaan. Lumen Group geeft hiervoor een aantal tips: 

Categorieën persoonsgegevens

Houd rekening met de door de Autoriteit Persoonsgegevens (AP) opgesomde categorieën van persoonsgegevens die het leerlingdossier kan bevatten. Let op: de AP wijst daarnaast op de mogelijke verplichting tot het uitvoeren van een DPIA, wanneer in het leerlingdossier gegevens met een hoog privacyrisico worden verwerkt.[3]

Relevantie

Weeg altijd af of informatie relevant is in het kader van de ontwikkeling van de leerling, dan wel administratief noodzakelijk of wettelijk verplicht is om vast te leggen.[4] Als de informatie geen van deze doelen dient, hoort het niet thuis in het leerlingdossier.

Objectiviteit

Het leerlingdossier is geen plek voor meningen over de leerling. Voorkom daarom subjectiviteit en houd het bij de feiten, bijvoorbeeld bij vastlegging van een incident op het schoolplein.[5]

Actualiteit

Sta periodiek stil bij de actualiteit van de gegevens in het leerlingdossier. Informatie die in het verleden is opgenomen kan verouderd zijn, waardoor het zijn actuele waarde verliest of zelfs feitelijk niet meer correct is. Houd tot slot de wettelijke bewaartermijn in het vizier; het uitgangspunt is dat je een dossier 2 jaar mag bewaren nadat de leerling van school is gegaan.[6]

Meer weten over de AVG aspecten van het leerlingdossier? Neem dan vrijblijvend contact op met een van onze collega’s! Dit kan per e-mail op fg@lumengroup.nl of telefonisch op 030 – 889 65 75.

 

[1] Op basis van artikel 2.97 Wet voortgezet onderwijs 2020.
[2] Naast de informatieplicht van de school, hebben ouders en leerlingen vanaf 16 jaar een aantal rechten vanuit hun rol als betrokkenen. Zo hebben zij onder andere recht op inzage (artikel 15 AVG) en recht op rectificatie en aanvulling (artikel 16 AVG)  van het leerlingdossier.
[3] SIVON voerde al verschillende generieke DPIA’s uit op de meest voorkomende LAS/LVS systemen. Deze moeten scholen wel nog naar hun eigen specifieke situatie beschrijven en aanvullen. De generieke DPIA’s van SIVON zijn hier te vinden.
[4] Bijvoorbeeld op basis van artikel 8 Wet register onderwijsdeelnemers, artikel 8.10 Wet voortgezet onderwijs 2020 en artikel 40b Wet op het primair onderwijs.
[5] Wanneer informatie over gevoelige situaties of gebeurtenissen worden vastgelegd, is het raadzaam om ouders/verzorgers en/of de leerling hiervan op de hoogte te stellen en eventueel in gesprek te gaan over de inhoud.
[6] Zoals bepaald door de AP.

 

Het verwerkingsregister als kloppend hart

Een actueel, volledig en kloppend verwerkingsregister vormt het ‘kloppend’ hart van de privacy compliance van een gemeente.[1] De meeste verwerkingsregisters zijn met de komst van de AVG in 2018 opgezet en staan sindsdien minder onder de aandacht. Daarom hierbij een aantal tips op een rijtje om optimaal van het verwerkingsregister gebruik te kunnen (blijven) maken:

  1. Creëer betrokkenheid

Om de (bestaande) processen te kunnen (blijven) beheren en de juiste informatie te kunnen ontvangen, is er betrokkenheid nodig om dit aan te leveren. Breng in kaart welke (bestaande) projecten, initiatieven en implementaties van wet- en regelgeving een ‘privacycomponent’ bevatten, als deze nog niet in beeld zijn. Processen zijn dynamisch en staan niet op zichzelf. Ga daarom periodiek in gesprek met jouw collega’s op de andere afdelingen om te bespreken wat zij doen met persoonsgegevens. En indien mogelijk: geef proceseigenaren de lead om relevante wijzigingen in het verwerkingsregister door te voeren.

  1. Betrek inkoop erbij

Als dat nog niet gebeurt, pas dan bij het inkopen van diensten ‘aan de voorkant’ privacy by design toe door privacy tot een vast onderdeel van aanbestedings- en inkooptrajecten te maken. Hierdoor kan voorafgaand aan een mogelijk nieuwe persoonsgegevensverwerking nagedacht worden over mogelijke risico’s en de te nemen maatregelen.

  1. Periodieke ‘controls’

Plan een periodiek controle moment in, om de informatie in het verwerkingsregister te controleren. Zet hiervoor een procedure op aan de hand van bestaande werkwijzen, bijvoorbeeld door het een onderdeel te laten zijn van een (interne) audit of plan-do-check-act cyclus (PDCA). Deze PDCA-cyclus zorgt dat de nog benodigde en al gezette inspanningen worden belegd en dat actualiteiten meegenomen worden in bestaande processen. Loop hierbij (bestaande) verwerkersovereenkomsten na en neem eventuele beoordelingen van leveranciers mee. Doe ook een beroep op de afdeling ICT en/of chief information security officer (CISO) door samen te kijken waar er mogelijk nog kan worden geoptimaliseerd qua beveiliging en/of processen.

Op deze manier is het verwerkingsregister niet alleen meer een maatregel om compliant te zijn, maar zal het bijdragen om bepaalde processen juist te optimaliseren en de zwakke plekken in de beveiliging te identificeren.

 

Vragen?

Heb je nog vragen naar aanleiding van deze blog of wil je meer weten? Neem dan vrijblijvend contact met ons op om over dit onderwerp te sparren. Onze professionals ondersteunen organisaties met het opstellen, inrichten en actualiseren of reviewen van verwerkingsregisters. Wij zijn bereikbaar per e-mail op info@lumengroup.nl of via telefoonnummer 030 – 889 65 75.

[1] Gemeenten hebben op grond van artikel 30 AVG de verplichting een verwerkingsregister bij te houden. Onderdelen die daarin onder meer worden opgenomen zijn: wat de specifieke taak is voor een bepaalde verwerking, het doel, maar ook bijvoorbeeld de grondslagen en de naam van de functionaris gegevensbescherming (FG).