Privacy & security: is 10.000 de magische grens?

Op 25 mei 2018 is de Algemene Verordening Gegevensbescherming (‘AVG’) definitief van toepassing geworden. Dat maakte 2018 een belangrijk jaar voor de Autoriteit Persoonsgegevens (“AP”). De AP heeft er door de AVG namelijk nieuwe taken bij gekregen, zoals het geven van voorlichting. Met dit laatste is de AP voortvarend aan de slag gegaan. Zo zijn er diverse nieuwsberichten op haar website verschenen waarin begrippen en bepalingen uit de AVG nader zijn toegelicht. Opvallend was dat het getal 10.000 regelmatig terugkeerde in deze nieuwsberichten. Is dit getal de magische grens?

10.000 klachten 

Ten eerste heeft de AP laten weten dat in het tweede halfjaar van 2018 bijna 10.000 mensen een privacy klacht hebben ingediend. Op grond van de AVG kan iedereen die vermoedt dat zijn of haar persoonsgegevens onrechtmatig worden verwerkt een privacy klacht indienen bij de AP. De klachten van het afgelopen halfjaar zijn voornamelijk gericht op schending van privacy rechten van betrokkenen (32%). Zo krijgen mensen bijvoorbeeld geen inzage in hun persoonsgegevens of ondervinden zij problemen bij het laten verwijderen van hun persoonsgegevens. Andere klachten gaan over het uitvragen van meer gegevens dan noodzakelijk (15%) en het ongewenst doorgeven van persoonsgegevens aan derden (12%). De sectoren waar het meest over is geklaagd zijn zakelijke dienstverleners (41%), de IT-sector (12%) en de overheid (10%). Zij worden op de voet gevolgd door de financiële instellingen en zorginstellingen. Bij zakelijke dienstverleners en de IT-sector gingen de klachten vooral over de schending van privacy rechten. Bij de overheid waren de klachten voornamelijk gericht op de manier van gegevensverwerking.

10.000 datalekken

Dat men de weg naar de AP inmiddels weet te vinden, blijkt ook uit het aantal datalekken dat is gemeld. De AP heeft op 29 maart 2018 namelijk gerapporteerd dat er in 2017 maar liefst 10.000 datalekken zijn gemeld. Dat betekent dat het aantal meldingen met 70% is toegenomen ten opzichte van 2016, in welk jaar in Nederland ook al een meldplicht datalekken gold. De meeste meldingen kwamen van organisaties uit de sectoren zorg en welzijn (3105 meldingen), openbaar bestuur (2000 meldingen) en financiële dienstverlening (1984 meldingen). De meest gelekte gegevens zijn NAW-gegevens, geslacht, geboortedatum en BSN. Bijna de helft van de gemelde datalekken betreft het versturen van persoonsgegevens aan een verkeerde ontvanger. Dat betekent waarschijnlijk dat veruit de meeste datalekken menselijke fouten zijn. Het is dan ook verstandig om hierover voorlichting te geven binnen uw organisatie, bijvoorbeeld door een draaiboek datalekken beschikbaar te stellen aan uw werknemers.

10.000 gegevens in één systeem

Ten derde heeft de AP afgelopen jaar het begrip “grootschalig” voor zorgaanbieders verder verduidelijkt. Dit bericht is een aanvulling op een eerder nieuwsbericht van de AP, waarin het begrip voor een deel van de zorgsector werd uitgelegd. De verwerking van persoonsgegevens door ziekenhuizen, huisartsenposten en zorggroepen is volgens de AP altijd grootschalig, ongeacht het aantal patiënten. Voor overige zorgaanbieders geldt dat de verwerking grootschalig is wanneer in één informatiesysteem gegevens van meer dan 10.000 patiënten worden verwerkt.

Het is van belang om te weten wat er onder grootschaligheid wordt verstaan, omdat de AVG een aantal verplichtingen oplegt aan organisaties die op grote schaal bijzondere persoonsgegevens verwerken. Zo zijn deze organisaties verplicht om een functionaris voor de gegevensbescherming aan te stellen en in sommige gevallen om voorafgaand aan de gegevensverwerking een data protection impact assessment uit te voeren.