Wat is de Autoriteit Persoonsgegevens?

Waar nodig adviseert, corrigeert en beboet de Autoriteit Persoonsgegevens wanneer organisaties over de schreef gaan als het gaat om de Privacywetgeving.

Lees meer
Autoriteit Persoonsgegevens

Iedere organisatie moet zich in Nederland houden aan de privacywetgeving. Daarin staat onder andere aan welke spelregels bedrijven en overheden zich moeten houden wanneer ze privacygevoelige informatie verwerken. De Autoriteit Persoonsgegevens (AP) houdt toezicht hierop. Deze door de overheid aangestelde, onafhankelijk instituut controleert bedrijven en overheden op de correcte toepassing van de privacywetgeving. Waar nodig adviseert, corrigeert en beboet de Autoriteit Persoonsgegevens wanneer organisaties over de schreef gaan. Het is daarmee de ‘privacy-waakhond’ van Nederland die de privacy van burgers beschermt.

Onderzoek naar overtredingen

Een van de belangrijkste taken van de Autoriteit Persoonsgegevens is controle op de privacywetgeving. Het orgaan controleert bedrijven en overheden middels een onderzoek of zij zich aan de gestelde spelregels in de geldende privacywetgeving houden. Zo’n onderzoek kan het doen uit eigen beweging, als zij aanwijzingen heeft dat een organisatie mogelijk de regels overtreedt.

De Autoriteit Persoonsgegevens gaat bij vermoedelijke overtredingen niet altijd direct tot controle over. Het kan ook een minder zwaar middel toepassen, door middel van het sturen van een brief. Dat noemen we een ‘ambtelijke interventie’. In zo’n brief wordt opgeroepen om de overtreding te stoppen.

Hoe gaat een onderzoek van Autoriteit Persoonsgegevens in zijn werk?

Wanneer de Autoriteit Persoonsgegevens een overtreding vermoedt, zal het schriftelijk de nodige informatie opvragen bij de verantwoordelijke. Aan de hand van die informatie beslist het orgaan of een onderzoek ter plaatse noodzakelijk is. Zo’n onderzoek ter plaatse kan een beter beeld geven van de exacte situatie. Zo’n onderzoek kan zowel aangekondigd als onaangekondigd plaatsvinden.

Wat doet de Autoriteit Persoonsgegevens met de uitkomsten van zo’n onderzoek?

De Autoriteit Persoonsgegevens stelt aan het hand van het onderzoek de bevindingen op in een voorlopig rapport. De onderzochte organisatie kan hierop reageren, waarna een definitief rapport volgt. Een dergelijk definitief rapport is in principe openbaar te raadplegen, tenzij de onderzochte organisatie bezwaar heeft aangetekend tegen openbaring van bepaalde delen. De onderzochte organisatie moet daarvoor wel goede redenen kunnen aanvoeren.

Wat doet de Autoriteit Persoonsgegevens wanneer een overtreding is geconstateerd?

Blijkt uit het rapport dat een organisatie inderdaad de privacywetgeving overtreedt, dan kan zij hen op de vingers tikken. Dat kan in de vorm van bijvoorbeeld een bindend advies. De Autoriteit Persoonsgegevens kan in zo’n advies diverse maatregelen verplicht stellen, zoals een betere cybersecurity of het invoeren van een scherper afgebakend privacybeleid. Organisaties moeten in een gesteld tijdsbestek ‘de boel op orde’ brengen. Gebeurt dat niet, dan kan de Autoriteit Persoonsgegevens een forse boete opleggen.

Uitvoeren van voorafgaand onderzoek

Soms nemen verwerkingen van persoonsgegevens grote risico’s met zich mee. Denk bijvoorbeeld aan het verwerken van gegevens uit een strafrechtelijk onderzoek. Of het gebruik van een BSN-nummer voor een ander doel dan geformuleerd door de overheid.

In zo’n geval kan de Autoriteit Persoonsgegevens besluiten om vooraf onderzoek te doen, voordat de verwerking plaatsvindt. De Autoriteit Persoonsgegevens onderzoekt dan of de organisatie de privacywetgeving voldoende in acht heeft genomen en de betrokkenen geen onnodige risico’s lopen. Organisaties kunnen zelf het initiatief nemen voor het laten uitvoeren van zo’n onderzoek. Dat gebeurt op het moment dat zij de verwerking melden bij de Autoriteit Persoonsgegevens.

Wat is de relatie tussen de meldplicht datalekken en de Autoriteit Persoonsgegevens?

Organisaties moeten verplicht een melding doen bij een ernstig datalek. Zij doen dit bij het meldloket datalekken van de Autoriteit Persoonsgegevens. Zij bepalen vervolgens welke vervolgstappen nodig zijn.

Heeft de Autoriteit Persoonsgegevens naast controlerende en handhavende taken en bevoegdheden ook nog andere taken?
Jazeker. Een belangrijke taak van de Autoriteit Persoonsgegevens is het uitbrengen van advies over de privacywetgeving richting de overheid. Ook heeft het een informerende functie richting de samenleving. Zo informeert het bedrijven en overheden over hoe zij het beste de privacywetgeving kunnen toepassen.

Ik verwerk persoonsgegevens. Moet ik dat melden bij de Autoriteit Persoonsgegevens?

Onder de AVG / GDPR is het niet meer nodig om verwerkingen proactief te melden. Wel moet een organisatie zelf alle verwerkingen registeren in een verwerkingsregister. Dit register moet het op verzoek kunnen tonen.

Verandert de rol van de Autoriteit Persoonsgegevens als de AVG/GDPR van kracht gaat?

In principe niet. Het orgaan blijft de handhavende instantie van de privacywetgeving in Nederland, ook al zijn de richtsnoeren voor die privacywetgeving op Europees niveau bepaald.

Wat is dataminimalisatie?

De AVG / GDPR kent een regelmatig terugkerend begrip: dataminimalisatie. Dit houdt in dat je als organisatie niet meer gegevens mag verzamelen dat strikt noodzakelijk voor het beoogde doel. Of zoals in de wettekst officieel gesproken wordt: Dataminimalisatie houdt in dat bij het verzamelen en verwerken van persoonsgegevens niet meer gegevens mogen worden gebruikt dan nodig is om het doel waarvoor ze gebruikt zullen worden te bereiken.

Lees meer
Wat is recht op vergetelheid?

Wat is recht op vergetelheid?

In de AVG / GDPR is in Artikel 17 een belangrijk nieuw recht voor betrokkenen opgenomen: het recht op vergetelheid. Dit geeft betrokkenen het recht op verwijdering van al zijn of haar persoonsgegevens. Dit is een van de manieren waarop de EU haar burgers meer controle en zeggenschap wil geven over hun privacygevoelige data.

Wat is privacy by design?

Wat is privacy by design?

Privacy by design wil zeggen dat je tijdens de ontwikkeling van een product of dienst zo goed mogelijk rekening houdt met de privacy van de gebruiker. In het Nederlands wordt dit principe ook wel aangeduid met ‘Gegevensbescherming door ontwerp en door standaardinstellingen’.

YourSafetynet Q&A (YourSafetynet geeft antwoord)

De ontwikkelingen rondom dataprivacy, IT-beleid, de privacywetgeving en aanverwante onderwerpen gaan razendsnel en er worden veel nieuwe termen geïntroduceerd. Onze Q&A geeft inzicht in deze nieuwe terminologieën.

Op Weg Naar De GDPR - Whitepaper YourSafetynet

Whitepaper:
Op weg naar de GDPR

Inmiddels is de nieuwe privacywetgeving AVG een feit. Wat moet je weten? Wat moet je regelen? Onze uitgebreide whitepaper vertelt je alles.

Aanmelden nieuwsbrief

Blogs en artikelen over dataprivacy, IT-beleid, de privacywetgeving en aanverwante onderwerpen. Blijf up-to-date en laat je niet verrassen.

Je bent succesvol aangemeld voor onze nieuwsbrief!

YourSafetynet Folder

De 4 pijlers van YourSafetynet

Voldoen aan de AVG duur, tijdrovend en ingewikkeld? Niet met YourSafetynet. Onze totaaloplossing maakt jouw organisatie 100% AVG-proof. Zonder ingewikkeld gedoe. Download de 4 pijlers van YourSafeynet.

Bedankt voor je aanvraag. Check je e-mail... ook de SPAM-box. Binnen een paar minuten ontvang je een bericht.

YourSafteynet eBook

Jouw website 100% AVG-proof

De nieuwe Europese privacywetgeving heeft grote gevolgen voor je website. In dit eBook laten we zien hoe je privacy-issues voorkomt en jouw site 100% in lijn brengt met de AVG/GDPR. Eenvoudig en stap-voor-stap.

Bedankt voor je aanvraag. Check je e-mail... ook de SPAM-box. Binnen een paar minuten ontvang je een bericht.

Share This