De Autoriteit Persoonsgegevens in 2017

De Autoriteit Persoonsgegevens (AP) heeft op 27 januari jl. haar toezichtsagenda voor 2017 gepresenteerd. 2017 is een bijzonder jaar, dat voor zowel de AP als bedrijven en overheden in het teken staat van voorbereidingen op nieuwe Europese privacywetgeving. Zoals eerder aangekondigd zal vanaf 25 mei 2018 de Algemene Verordening Gegevensbescherming (AVG) de huidige Wet bescherming persoonsgegevens (Wbp) vervangen. Naast het geven van voorlichting en advies over de AVG en de veranderingen die uit de verordening zullen voortvloeien, besteedt de AP dit jaar bijzondere aandacht aan de thema’s profiling, de verwerking van bijzondere persoonsgegevens en de beveiliging van persoonsgegevens.

Nieuwe Europese privacywetgeving

De inwerkingtreding van de AVG zal een aantal nieuwe verplichtingen voor organisaties in het leven roepen waarover wij eerder een nieuwsbericht schreven. Voor de praktijk is onder meer van belang dat bepaalde organisaties documentatie moeten gaan bijhouden over verwerkingen van persoonsgegevens. Ook zullen organisaties in bepaalde gevallen verplicht worden een functionaris voor de gegevensbescherming (FG) aan te stellen en in sommige situaties een privacy impact assessment (PIA) uit te voeren. De AP intensiveert in 2017 de voorlichting en advisering over deze en andere veranderingen die de AVG met zich zal meebrengen.

Profiling

Het profileren van personen op basis van combinaties van verschillende persoonsgegevens vindt steeds vaker plaats. Organisaties koppelen op grote schaal gegevens en zijn hierdoor in staat conclusies te trekken over mensen. Denk bijvoorbeeld aan profielen die (advertentie)bedrijven creëren op basis van internetgedrag. De AP legt dit jaar binnen het thema profiling de focus op transparantie. Profilering vindt immers veelal plaats buiten het gezichtsveld van betrokkenen en heeft voor hen vaak onbekende gevolgen.

Bijzondere persoonsgegevens

De Wbp en de AVG kennen een categorie gegevens die als ‘bijzondere’ persoonsgegevens wordt aangeduid. Hieronder vallen bijvoorbeeld gegevens over gezondheid, ras, godsdienst, politieke voorkeur en strafrechtelijke gegevens. Als uitgangspunt geldt dat verwerking van bijzondere persoonsgegevens verboden is, tenzij de verwerking op grond van een wettelijke uitzondering is toegestaan. De AP heeft gesignaleerd dat bijzondere persoonsgegevens steeds vaker op grote schaal worden verwerkt. In 2017 focust de AP op naleving van het verbod op de verwerking van bijzondere persoonsgegevens en is zij extra alert op de juiste toepassing van de wettelijke waarborgen bij uitzonderingen op dit verbod. In een recent onderzoek naar het alcohol- en drugscontrolebeleid van een organisatie komt mooi naar voren hoe de AP optreedt tegen de verwerking van bijzondere, in dit geval medische en strafrechtelijke gegevens.

Beveiligen van persoonsgegevens

Naast bovengenoemde thema’s richt de AP zich in 2017 op situaties waarin de beveiliging van persoonsgegevens niet op orde is. Een goed voorbeeld hiervan is het recente optreden van de AP richting 24 interactieve stemhulpen voor de verkiezingen van 15 maart jl. Met name wanneer gegevens een gevoelig karakter hebben, zoals gegevens over politieke voorkeur, worden hogere eisen gesteld aan de maatregelen die organisaties dienen te nemen om de gegevens te beschermen. Wilt u meer weten over de speerpunten van de AP in 2017 en welke eventuele gevolgen de toezichtsagenda van de AP voor uw organisatie heeft, neem dan contact op met het IT- en privacy team van Ploum.