De Autoriteit Persoonsgegevens: Agenda 2017

Afgelopen zaterdag was het Data Protection Day: een mooi moment voor toezichthouders om vooruit te blikken. De Autoriteit Persoonsgegevens (AP) publiceerde vrijdag haar agenda met speerpunten voor 2017. Voor organisaties die druk bezig zijn met het treffen van voorbereidingen voor de nieuwe privacywetgeving is het handig om te weten waar de AP zich op richt. Considerati zet in deze blog de belangrijkste punten, zoals EU-wetgeving, profiling, bijzondere persoonsgegevens en beveiliging van persoonsgegevens, voor u op een rijtje. 

Nieuwe EU-wetgeving

Allereerst, gaat de AP de voorlichting en advisering over de nieuwe EU-wetgeving in 2017 intensiveren. Vanaf mei 2018 is de Algemene Verordening Gegevensbescherming van toepassing, de verplichtingen voor organisaties veranderen op een aantal punten. Organisaties zijn bijvoorbeeld in bepaalde situaties verplicht een privacy impact assessment (PIA) uit te voeren en een Data Protection Officer (DPO) aan te stellen. Considerati biedt ondersteuning bij het uitvoeren van een PIA en biedt daarnaast de DPO opleiding aan.

Profiling

Ten tweede, pleit de AP voor transparantie bij profiling. Profiling houdt in dat organisaties profielen opstellen van personen op basis waarvan zij hen verschillend kunnen behandelen. Doordat profiling vaak onzichtbaar gebeurt kunnen betrokkenen hier vaak geen of weinig invloed op uitoefenen. Het wordt daarnaast steeds makkelijker om persoonsgegevens te verzamelen en er ontstaan steeds meer knooppunten waar partijen persoonsgegevens uitwisselen. De AP stelt dat organisaties betrokkenen moeten informeren over de gegevens die zij verzamelen en wat zij vervolgens met die gegevens doen.   

Bijzondere persoonsgegevens

Als derde punt staan de bijzondere persoonsgegevens op de agenda. Denk hierbij aan gevoelige gegevens over gezondheid, godsdienst en politieke voorkeur. In principe geldt er een verbod op de verwerking van deze gegevens, tenzij daar een wettelijke uitzondering voor is. De AP signaleert de trend dat bijzondere persoonsgegevens steeds vaker onderdeel worden van Big Data-toepassingen. Daarom focust de AP op de naleving van het verbod op de bijzondere persoonsgegevens.

Beveiliging persoonsgegevens

Tenslotte staat de beveiliging van persoonsgegevens hoog op de agenda. De AP constateert dat er steeds meer klantportalen zijn. Deze portalen kunnen privacyrisico’s met zich meebrengen. Het is van belang dat organisaties dit soort portalen goed beveiligen en alleen toegang verlenen tot gegevens door middel van tweefactorauthenticatie. Daarnaast zijn organisaties sinds 2016 verplicht om ernstige datalekken te melden. De AP houdt toezicht op de naleving van de meldplicht en heeft deze taak in 2017 hoog op de agenda staan. Daarnaast blijft de AP zich richten op situaties waarin de beveiliging van persoonsgegevens overduidelijk niet op orde is.

Zoals uit voorgaande blijkt richt de AP zich dit jaar op vier hoofdpunten. Naast de voorlichting over de EU-wetgeving, transparantie bij profiling, naleving op het verbod op de verwerking van bijzondere persoonsgegevens en de beveiliging van persoonsgegevens kan de AP in actie komen bij actuele onderwerpen die in het nieuws zijn of waarover veel tips binnenkomen.

Wilt u meer informatie over de agenda van de toezichthouder of over de nieuwe privacywetgeving? Neem dan vrijblijvend contact met ons op!

Jules van Stralendorff Legal Consultant

Meer weten over dit onderwerp?

vanstralendorff@considerati.com +31 (0) 641551655