image

Autoriteit Persoonsgegevens verduidelijkt rol functionaris gegevensbescherming

maandag 28 juni 2021, 10:41 door Redactie, 7 reacties

De functionaris gegevensbescherming (FG) houdt binnen zijn of haar organisatie toezicht op de toepassing en naleving van de Algemene verordening gegevensbescherming (AVG), maar in de praktijk blijkt dat FG’s niet of te laat betrokken worden bij plannen over gegevensverwerking, niet de juiste documentatie ontvangen of onvoldoende tijd krijgen om te kunnen doen wat er van hen wordt verwacht, aldus de Autoriteit Persoonsgegevens (AP).

De privacytoezichthouder is daarom met een nieuw document gekomen waarin het concrete uitgangspunten benoemt voor de rollen, processen en verantwoordelijkheden van de FG en de organisaties waarin ze opereren (pdf). "De invulling van het interne toezicht is lang niet bij alle organisaties goed genoeg geregeld. Hierdoor lopen burgers, patiënten en klanten het risico dat gegevens niet goed beschermd worden", zo laat de AP weten.

Zo moeten organisaties hun FG in een vroeg stadium betrekken, moet de FG goed zichtbaar zijn binnen de organisatie en direct, zonder tussenkomst van anderen, benaderbaar en aanspreekbaar zijn. Ook voor personen van buiten de organisatie. Verder moeten organisaties faciliteren dat de FG kan ingrijpen bij privacyproblemen en moet de onafhankelijke positie van de FG zijn gewaarborgd.

Overheidsinstanties en publieke organisaties zijn sinds de invoering van de AVG altijd verplicht om een FG aan te stellen, ongeacht het type gegevens dat ze verwerken. Daarnaast geldt de verplichting om een FG aan te stellen voor organisaties die vanuit hun kernactiviteiten op grote schaal individuen volgen en voor organisaties die als kernactiviteit op grote schaal bijzondere persoonsgegevens verwerken.

"Door FG’s op de goede manier te positioneren, kunnen zij een nog grotere rol spelen bij het voorkomen én oplossen van privacyproblemen", zegt Katja Mur, bestuurslid van de AP.

Image

Reacties (7)
28-06-2021, 13:30 door Anoniem
"Door FG’s op de goede manier te positioneren, kunnen zij een nog grotere rol spelen bij het voorkomen én oplossen van privacyproblemen", zegt Katja Mur, bestuurslid van de AP."
De FG bij de NS lijkt anders meer voor om nog grote privacyproblemen te ontwikkelen. Totaal niet voor reden vatbaar, maar goed dat is al decennia lang 'n algeheel probleem bij de klantenservice van de NS.
NS wil eerst meer persoonsgegevens van mij verzamelen dan dat ze al in bezit hebben, voordat ze mijn gegevens willen verwijderen. Bij NS zijn ze heilig overtuigd dat dit logisch en de bedoeling van de AVG is.
NS vindt dat ze niet zomaar gegevens mogen verwijderen zonder vast te stellen wie het echt is (zijn genoeg andere oplossingen voor). Maar het onnodig zonder reden opslaan van gegevens vinden ze helemaal prima, dat is dan weer makkelijk om spam (NS heeft bevestigd dat het spam betrof) te versturen.
Tenenkrommend, klacht indienen bij de AP is helaas compleet zinloos. Kun je 'n jaar wachten op een standaard antwoord en wel al jouw persoonsgegevens moeten verstrekken, die dan met de NS gedeeld worden, die weer jaren onnodig bewaard worden.
Privacy in Nederland en naleving van de AVG, het blijft zeer lastig, en mevrouw Mur van de AP heeft ook al geen idee wat speelt in de samenleving betreffende AVG.
28-06-2021, 15:28 door Anoniem
Klacht indienen bij de AP is inderdaad zinloos, want die schrijft zelf voor dat je wel moet vast stellen dat de persoon die vraagt zijn gegevens te verwijderen ook daadwerkelijk is wie hij/zij claimed dat hij is.

Nogal vanzelfsprekend wat mij betreft.
28-06-2021, 19:16 door karma4
Door Anoniem: ....Tenenkrommend, klacht indienen bij de AP is helaas compleet zinloos. Kun je 'n jaar wachten op een standaard antwoord en wel al jouw persoonsgegevens moeten verstrekken, die dan met de NS gedeeld worden, die weer jaren onnodig bewaard worden.
Privacy in Nederland en naleving van de AVG, het blijft zeer lastig, en mevrouw Mur van de AP heeft ook al geen idee wat speelt in de samenleving betreffende AVG.
Tja, breng ik niets tegenin. (eens)
29-06-2021, 14:22 door Anoniem
Voor wat betreft de FG, die is in dienst van het bedrijf en wie betaalt bepaalt.
30-06-2021, 18:37 door Anoniem
Door Anoniem: Voor wat betreft de FG, die is in dienst van het bedrijf en wie betaalt bepaalt.

De officiële taak van de AP is om als toezichthouder en handhaver de privacy te beschermen.

De echte taak van de AP is om de bevolking in slaap te sussen door te doen alsof er best wel wat toezicht en handhaving plaatsvindt.

***

De officiële taak van een FG is om te zorgen dat een organisatie goed omgaat met persoonsgegevens

Dit wordt dan onjuist vertaald als: de taak van een FG is om te zorgen dat een organisatie voldoet aan privacy-regelgeving. (Als we aan de regeltjes voldoen, dan is het goed.)

De echte taak van een FG is om de organisatie te helpen waar mogelijk privacy-regelgeving legaal te omzeilen, zodra dat voordeel (bv. financiële besparingen) oplevert.

***

Hoe Nederlandse functionarissen omgaan met privacy-eisen, is vergelijkbaar met hoe ze omgaan met milieu-eisen. Je doet alsof. Er is zowel bij katholieken als bij calvinisten een lange geschiedenis van schijnheiligheid. Met de secularisering is die schijnheiligheid gewoon meegeseculariseerd.

***

Het nieuwe document van de AP moet daarom worden opgevat als een handleiding die duidelijk maakt hoe organisaties de schijn beter kunnen ophouden. Nuttig voor privacy-schenders! Maar niet voor burgers die het slachtoffer worden van privacy-schendingen. Die krijgen het nu nog moeilijker.

***

Alles staat of valt met de bereidheid van de AP om echt te handhaven. Die bereidheid is er tot op heden niet. Daarom moeten alle documenten van de AP tussen de regels gelezen worden. Daar staat de boodschap: "Maak het ons makkelijk om niet te handhaven."
05-07-2021, 16:02 door Anoniem
Door Anoniem: Klacht indienen bij de AP is inderdaad zinloos, want die schrijft zelf voor dat je wel moet vast stellen dat de persoon die vraagt zijn gegevens te verwijderen ook daadwerkelijk is wie hij/zij claimed dat hij is.

Nogal vanzelfsprekend wat mij betreft.

Ik als voormalig 2e lijns servicedeskmedewerker van een grote OpCo kan je met zekerheid zeggen dat authenticatie via telefoon zo simpel te omzeilen is (of voor de gek te houden) dat het mij echt niet veel moeite gaat kosten om je een extra abonnement aan te naaien of al je spullen af te sluiten. Enige dat je nodig hebt is naam, adres, geboortedatum en nummer.

Identiteitsdiefstal is niet voor niets een hot item tegenwoordig. Geen goede authenticatie door bedrijven bij contactmomenten met klanten zet dit op scherp en daar wordt hier zeer correct ook op gewezen.
05-07-2021, 19:37 door Anoniem
Door Anoniem:
Door Anoniem: Klacht indienen bij de AP is inderdaad zinloos, want die schrijft zelf voor dat je wel moet vast stellen dat de persoon die vraagt zijn gegevens te verwijderen ook daadwerkelijk is wie hij/zij claimed dat hij is.

Nogal vanzelfsprekend wat mij betreft.

Ik als voormalig 2e lijns servicedeskmedewerker van een grote OpCo kan je met zekerheid zeggen dat authenticatie via telefoon zo simpel te omzeilen is (of voor de gek te houden) dat het mij echt niet veel moeite gaat kosten om je een extra abonnement aan te naaien of al je spullen af te sluiten. Enige dat je nodig hebt is naam, adres, geboortedatum en nummer.

Identiteitsdiefstal is niet voor niets een hot item tegenwoordig. Geen goede authenticatie door bedrijven bij contactmomenten met klanten zet dit op scherp en daar wordt hier zeer correct ook op gewezen.

Wat is een OpCo?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.