image

AP controleert of overheidsinstanties Data Protection Officer hebben

vrijdag 1 juni 2018, 15:33 door Redactie, 10 reacties

De Autoriteit Persoonsgegevens heeft bij 400 overheidsorganisaties gecontroleerd of ze een Data Protection Officer, ook wel functionaris voor de gegevensbescherming genoemd, hebben aangemeld. Uit de controle blijkt dat minder dan 4 procent mogelijk nog geen functionaris heeft aangemeld.

De toezichthouder heeft deze organisaties laten weten dat ze voor 11 juni van dit jaar moeten laten weten wie hun Data Protection Officer (DPO) is, anders kan er een sanctie worden opgelegd. De DPO is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de Algemene verordening gegevensbescherming (AVG). Overheidsinstanties en publieke organisaties zijn sinds de invoering van de AVG altijd verplicht om een Data Protection Officer aan te stellen, ongeacht het type gegevens dat ze verwerken.

De verplichting om een DPO aan te stellen geldt ook voor organisaties die vanuit hun kernactiviteiten op grote schaal individuen volgen. Als laatste geldt de verplichting voor organisaties die op grote schaal bijzondere persoonsgegevens verwerken en dit een kernactiviteit is. Organisaties hebben ook de keuze om vrijwillig een Data Protection Officer aan te stellen.

Volgens Wilbert Tomesen, vicevoorzitter van de AP, vervullen DPO's een belangrijke functie om persoonsgegevens te beschermen en de privacywetgeving binnen de organisatie na te leven. "Hij is als het ware de interne privacytoezichthouder; hij fungeert als de oren en ogen ter plaatse", aldus Tomesen. De komende maanden gaat de Autoriteit Persoonsgegevens ook in de private sector controleren of bedrijven waar dit op van toepassing is een Data Protection Officer hebben aangesteld.

Reacties (10)
01-06-2018, 20:07 door karma4 - Bijgewerkt: 01-06-2018, 20:16
Eerder hier op security.nl: Het ap is alle aanmeldingen voor fg's kwijt en vraagt om de aanmelding voor de fg opnieuw te doen.
Het kwijtraken van namen van personen als fg functionaris is ook een datalek. Heet het ap dat wel gemeld bij het ap en welke actie is er op ondernomen?

https://www.security.nl/posting/556723/Organisaties+moeten+FG+aanmelden+bij+Autoriteit+Persoonsgegevens
02-06-2018, 07:20 door Anoniem
Door karma4: Eerder hier op security.nl: Het ap is alle aanmeldingen voor fg's kwijt en vraagt om de aanmelding voor de fg opnieuw te doen.
Het kwijtraken van namen van personen als fg functionaris is ook een datalek. Heet het ap dat wel gemeld bij het ap en welke actie is er op ondernomen?

https://www.security.nl/posting/556723/Organisaties+moeten+FG+aanmelden+bij+Autoriteit+Persoonsgegevens
Dat ze opnieuw een aanmelding vroegen klopt, maar dat ze gegevens kwijt waren niet. Oudere aanmeldingen vervielen omdat het AVG andere eisen stelt aan het aanstellen en aanmelden van een FG dan de Wbp deed. De informatie die ze hadden was daardoor incompleet.

Als ze gegevens waren kwijtgeraakt was het inderdaad een datalek geweest, maar ze waren ze niet kwijt en dus is het geen datalek.
02-06-2018, 07:46 door Anoniem
Heel goed punt Karma4!


AP is een wassen neus, een Ivoren Toren, een schijn-maatregel.
Die heel veel belastinggeld krijgt en steeds meer wil hebben.

99,8% van de meldingen aan AP wordt NIET in behandeling genomen.
Er wordt niet eens naar gekeken.. om te bepalen of het kwa ernst direct in behandeling genomen zou moeten worden. Waaronder heel veel zware overtredingen door overheidsinstellingen, onderwijsinstellingen en medische organisaties.

Maaaar, heel af en toe laat AP wel even iets van zich horen in de media over dat ze iets gedaan hebben, en snel daarna weer een bericht dat ze weer meer geld "nodig hebben".

De zogenaamde AP 'specialisten' / "Senior inspecteurs" , blijken zelf zich niet eens aan de privacy bescherming beginselen te Willen houden. En krijgen de titel "Senior" als ze vriendjes zijn met management, ipv dat ze gedegen inhoudelijke vakkennis hebben. En management weert actief gedegen/gedreven kandidaten tijdens sollicitatie rondes, omdat men liever meelopers onder zich wil, ivm de structurele interne misstanden.
# nl.linkedin.com/in/floort
* Enz.

AP verzwijgt hun eigen data lekken en intrusion security incidenten van de afgelopen jaren.
AP weigert om enige vorm van nodige terugkoppeling te geven aan melders, en doet niet aan WOB transparantie.


AP management speelt veel liever hun interne machtspelletjes voor eigen zakkenvullerij carriere, dan zich daadwerkelijk bezig te houden met het opgedragen mandaat.. Er heerst dus een sterke Belangenverstrengelingen cultuur.
# www.nu.nl/internet/5282510/leegloop-bij-autoriteit-persoonsgegevens-zorgt-problemen.html


En er is geen enkele verantwoordelijke minister die laat zien dat er nog enige vorm van Leiderschap aanwezig binnen de overheid.
Men rommelt allemaal maar wat voor zich uit met oogkleppen op, en zit de tijd uit op/ten kosten van de samenleving, om vervolgen een inkomen te ontvangen door bij verschillende organisaties als "Lid Raad van Bestuur/Toezicht" of een of ander wassen-neus management functie.

? Hoe kan men het spelletje in Denhaag nog serieus nemen als burger, als "Integriteit" geen waarde meer heeft aldaar. En we ondertussen het fundament van deze samenleving steeds verder zien afbrokkelen !???
02-06-2018, 09:10 door Anoniem
Door Anoniem: 99,8% van de meldingen aan AP wordt NIET in behandeling genomen.
[...]
Maaaar, heel af en toe laat AP wel even iets van zich horen in de media over dat ze iets gedaan hebben, en snel daarna weer een bericht dat ze weer meer geld "nodig hebben".
Heb je door dat die twee dingen volkomen met elkaar kloppen? Als je niet genoeg geld hebt om alles af te handelen dan kan je niet alles afhandelen.
03-06-2018, 06:55 door karma4 - Bijgewerkt: 03-06-2018, 07:05
Door Anoniem: ....
Heb je door dat die twee dingen volkomen met elkaar kloppen? Als je niet genoeg geld hebt om alles af te handelen dan kan je niet alles afhandelen.
Het heeft niets met geld te maken maar veel meer gebrek in inzicht van de gevolgen.
In de de wbp heeft het AP gesteld dat iedereen zijn verwerking rond persoonsgegevens moest aanmelden. Dit werd als succesvol verlopen afgemeld. Onder de GDPR moet iedereen zelf een eigen document hebben welke persoonsgegevens verwerkt worden. Dat is veel lichter en toch raakt een ieder in paniek of heeft het niet klaar.
Als dat laatste waar is dan heeft het AP eerder verzaakt.
Als het laatste niet waar is waarom is er dan die paniek rond de GDPR.

Ik hoor trouwens in de reactie van 07:46 een ondertoon die aangeeft iets meer gezien te hebben wat er bij het AP gdbeurt dan gewoonlijk naar buiten komt.
03-06-2018, 07:01 door karma4 - Bijgewerkt: 03-06-2018, 07:25
Door Anoniem: ....
Als ze gegevens waren kwijtgeraakt was het inderdaad een datalek geweest, maar ze waren ze niet kwijt en dus is het geen datalek.
Als ze de gegevens niet kwijt waren geweest hadden ze om een aanvulling horen te vragen. Niet disproportioneel meer persoonsgegevens gaan vragen met het verleggen van de administratie uitdaging.

Het meest waarschijnlijke is dat men een conversie scenario niet in wilde gaan en gewoon een nieuw systeem heeft neergezet. Vrijwel elke overheidsinstelling die zo met zijn data omspringt wordt een faal verweten.

Wat bevreemdend is is dat het AP pas vorige week heeft aangegeven wat zij (zonder EU afstemming) als massale verwerking ziet.
https://www.security.nl/posting/564080/AP+verklaart+wat+grootschalige+gegevensverwerking+in+de+zorg+is
04-06-2018, 11:32 door PJW9779 - Bijgewerkt: 04-06-2018, 11:43
Maak het met z'n allen nou niet zo ingewikkeld. Het gaat er hier om dat de AP begonnen is met handhaven.

En - zoals ik vorig jaar al stelde - door simpelweg te checken of overheidsorganisaties de voor hen verplichte FG wel hebben aangesteld (art. 37 lid 1 AVG) én aangemeld bij de DPA (art. 37 lid 7 AVG). Dat laatste diende vóór 25 mei jl. te gebeuren via gebruik van een webformulier.
De AP heeft ruimschoots duidelijk gemaakt dat alle FG-aanmeldingen die niet met het webformulier zijn gedaan, per 25 mei 2018 zouden komen te vervallen (https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-europese-privacywetgeving/functionaris-voor-de-gegevensbescherming-fg).

Je zou je beter kunnen afvragen wat die '400 overheidsorganisaties' zijn.
Want ik tel 380 gemeenten, 12 provincies, 12 ministeries. Dat is al 404.
Dan zijn er nog 319 ziekenhuizen, 23 waterschappen, 2475 onderwijs-RWT's, en niet te vergeten Trans Link Systems van onze OV-chipcard.
De AP-site zélf meldt overigens "ruim 400 overheidsorganisaties", en "alle gemeenten, provincies, waterschappen, ministeries en een aantal zelfstandige bestuursorganen".
Dat "minder dan 4% mogelijk nog geen functionaris heeft aangemeld" komt mij wat ongeloofwaardig voor gelet op eerdere berichtgevingen en het aantal FG-vactures dat nog open staat.

Daarnaast is er nog het KvK-register waaruit ook hier opnieuw heel eenvoudig een selectie van groot-bedrijven zoals AH kan worden afgedraaid tegen het FG-register. Merkwaardig en jammer dat dat niet gebeurd is.

Nogmaals : als de AP íets heeft laten liggen dan is het dat ze 2 jaar geleden hard hadden moeten roepen dat direct na 25 mei 2018 deze FG-controle zou worden uitgevoerd, met evt. sancties als gevolg.
Dan waren er eerder en meer FG's aangesteld, en was de AVG daardoor een stuk vlotter en beter geïmplementeerd.

Zoals meestal : het is niet ingewikkeld, het wordt ingewikkeld gemáákt.
04-06-2018, 18:39 door karma4 - Bijgewerkt: 04-06-2018, 18:42
Door PJW9779: Maak het met z'n allen nou niet zo ingewikkeld. .....
Nogmaals : als de AP íets heeft laten liggen dan is het dat ze 2 jaar geleden hard hadden moeten roepen dat direct na 25 mei 2018 deze FG-controle zou worden uitgevoerd, met evt. sancties als gevolg.
Dan waren er eerder en meer FG's aangesteld, en was de AVG daardoor een stuk vlotter en beter geïmplementeerd.

Zoals meestal : het is niet ingewikkeld, het wordt ingewikkeld gemáákt.
Natuurlijk heb je gelijk dat het niet zo ingewikkeld gemáákt hoeft te worden.
Twee jaar geleden werd de GDPR al van kracht dus al die tijd om alles administratief op orde te krijgen en dan gast het AP Zelf op het laatst moeilijk doen met administratie, daar doen we dus wel moeilijk over.
Goed voorbeeld geven hoort bij het toezicht.
04-06-2018, 22:17 door Anoniem
Karma4. Ik hoor trouwens in de reactie van 07:46 een ondertoon die aangeeft iets meer gezien te hebben wat er bij het AP gdbeurt dan gewoonlijk naar buiten komt.

Floortje Terra is een schoolvoorbeeld van de onderdanen(ipv competentie) cultuur binnen AP.

Men moest 't niet wagen om overtredingen van WBP en ethiek binnen de eigen muren, ter discussie te stellen.

Motto van management: "eigen carriere eerst!" en "WBP handhaven, ergens onderaan".
# nl.linkedin.com/company/college-bescherming-persoonsgegevens-dutch-dpa-
"Alle 95 medewerkers op LinkedIn weergeven ?" die zich niets aantrekken van de privacy bescherming basis richtlijnen.

--
# autoriteitpersoonsgegevens.nl/nl/over-de-autoriteit-persoonsgegevens/organisatie/raad-van-advies
Vooral deze mensen achter de schermen hebben een en ander aan belangenverstrengelingen als motivatie voor keuzes die haaks staan op WBP/AVG. Ze ondermijnen de uitvoering van de wet, om zo hun eigen belangen te behartigen.
De Economie belangen gaan voor!! De big-brother big-data gekte van de overheid gaat voor!!


# AP zou met het huidige budget en aantal mensen prima de AVG kunnen handhaven, als men zou willen...
a) Is een questie van de krenten uit de meldingen pikken door middel van een eenvoudige contstante Triage.
b) Onderzoek kan binnen 2 a 3 weken gedaan en afgerond worden is gebleken. iPV maanden en maanden (bezigheids therapie op kosten van...)
c)Vervolgens die krenten uit de pap waarvan blijkt dat ze willens en wetens moedwillig De Wet Overtreden hebben, publiekelijk aan de schandpaal knopen. Elke maand weer een paar, tot dat de schrik er goed in zit, en men De Wet wel serieus gaat nemen.
d) Boetes niet in de eigen-zakken staatskas laten verdwijnen, maar gebruiken voor aanmoediging van privacy bescherming initiatieven en ontwikkelingen, om zo daadwerkelijk vooruitgang te kunnen gaan boeken.

Dan pas heb je een gezonde en ethish verantwoorde instelling die kan gaan functioneren zoals 't in de eigen publicaties beschreven is:
"Over ons
De Autoriteit Persoonsgegevens (AP) bevordert, bewaakt en houdt toezicht op de naleving van de Europese privacywetgeving.
Wij leven in een datagedreven wereld. Innovatieve producten en diensten bieden ongekende mogelijkheden en kansen. Maar ook nieuwe risico’s op overtredingen van ons grondrecht op privacy. "


? Waar onwil is, is geen weg...
05-06-2018, 11:58 door PJW9779
Door karma4:
Natuurlijk heb je gelijk dat het niet zo ingewikkeld gemáákt hoeft te worden.
Twee jaar geleden werd de GDPR al van kracht dus al die tijd om alles administratief op orde te krijgen en dan gast het AP Zelf op het laatst moeilijk doen met administratie, daar doen we dus wel moeilijk over.
Goed voorbeeld geven hoort bij het toezicht.

Zég ik toch? ;-)

Dat de AP de afgelopen 2 jaar grondig steken heeft laten vallen is - zoals voorspeld - voor allerlei opportunistische 'bestuurders' en 'managers' aanleiding om nú ikke-nie-begrijp te roepen en de schuld naar de AP te schuiven. VNG en VNO voorop.
De AVG is volstrekt helder over wie verantwoordelijk zijn. Dat daarnaast allerlei controlerende gremia zoals gemeenteraden en RvC's intussen hebben zitten snurken is alleszeggend.

Evengoed maar even afwachten wat de concrete resultaten zijn van deze 1e handhavingsronde.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.