Het jaarverslag 2017 van de Autoriteit Persoonsgegevens (AP) is afgelopen maand gepubliceerd. Hierin wordt een overzicht gegeven van wat er in het jaar 2017 binnen de organisatie van de AP is gebeurd. Wat valt er op, en welke organisaties zijn op de vingers getikt?
De AP constateert dat er in de maatschappij meer aandacht is voor het onderwerp privacy. Niet alleen is er aandacht voor de Algemene Verordening Gegevensbescherming (AVG), maar ook voor de incidenten rondom Facebook, medische dossiers en cameratoezicht in sauna’s.
Het jaar 2017 stond voor de AP in het teken van het doen van onderzoek. Er was met name aandacht voor de verwerking van bijzondere persoonsgegevens. Volgens de AP worden bijzondere persoonsgegevens steeds vaker verwerkt, bijvoorbeeld omdat ze steeds vaker onderdeel uitmaken van big data. Bedrijven en overheden verzamelen, analyseren en gebruiken grote hoeveelheden gegevens. Dit was voor de AP reden om te focussen op handhaving van het verbod om bijzondere persoonsgegevens te verwerken.
BSN in BTW-nummers
De AP deed onderzoek naar de verwerking van het Burgerservicenummer (BSN) in BTW-identificatienummers van zzp’ers. Niet alleen verwerkt de belastingdienst deze gegevens op grote schaal, ook zijn zzp’ers verplicht het identificatienummer aan hun (potentiële) klanten bekend te maken. Dergelijke nummers moeten bijvoorbeeld op websites en facturen worden vermeld. Hierdoor is het BSN van een zzp’er kenbaar voor eenieder, en ligt identiteitsfraude op de loer.
De AP voert al sinds vorig jaar juni onderzoek naar het gebruik van het BSN in BTW-identificatienummers. Het is de vraag of de AP zal constateren dat er sprake is van onrechtmatige privacyschending.
Airbnb
In 2017 werd het populaire Airbnb door de AP op de vingers getikt. Op aandringen van de Nederlandse en de Ierse AP stopte Airbnb met het verwerken van het BSN van haar bezoekers. Inmiddels verwijdert Airbnb automatisch het BSN uit alle digitale kopieën van identiteitsbewijzen, en zijn alle eerder verzamelde BSN’s vernietigd.
UWV
De AP stelde eind 2017 vast dat het UWV de wet overtrad bij de beveiliging van het online werkgeversportaal en bij verzuimbeheer. In het werkgeversportaal kunnen werkgevers en arbodiensten ziekteverzuimgegevens van werknemers invoeren en bekijken. Het portaal bleek echter onvoldoende beveiligd te zijn. Het UWV is verplicht om het portaal te beveiligen met een “meerfactorauthenticicatie”. Dit betekent dat de gebruiker zich op minimaal twee manieren moet authentiseren om toegang te krijgen.
Wat bleek? UWV-medewerkers die ziekmeldingen behandelden waren daarvoor niet bevoegd. De medewerkers vroegen aan werknemers die zich meldden gegevens over hun gezondheid om de uitkeringsclaim te kunnen beoordelen. Dat mag echter alleen onder de verantwoordelijkheid van een arts. Dat was bij het UWV niet het geval.
Capaciteit van de AP schiet tekort
Hoe staat de AP er in het jaar 2018 voor? De AP krijgt dit jaar te maken met een aantal ingrijpende veranderingen. Dit komt door de nieuwe taken en bevoegdheden die de AP erbij krijgt, bijvoorbeeld op het gebied van Europese samenwerking en de behandeling van klachten van burgers.
Uit onderzoek volgt dat de capaciteit van de AP 2,5 keer groter zou moeten zijn dan momenteel het geval is om effectief toezicht te kunnen (blijven) houden. In lijn met het onderzoek heeft de AP gereorganiseerd, en heeft zij inmiddels een grotere omvang. Of de capaciteit voldoende is toegenomen zal moeten blijken, zeker nu de AVG recent in werking is getreden.
Afsluiting
Heeft u vragen over de verwerking van persoonsgegevens? Neem dan contact op met een van de advocaten van team Privacy, zij zijn u graag van dienst.
Juni 2018
