Een jaar AVG: Test uw privacykennis!
Inmiddels is de Algemene verordening gegevensbescherming (AVG) een jaar van toepassing. Veel organisaties zijn hiermee voortvarend aan de slag gegaan. Helaas gaan zij hiermee vaak toch nog wel de mist in, met name door onvoldoende kennis. Nieuwsgierig hoe het met uw privacy kennis staat? Doe dan nu de Privacy Test.
Deze test is gepubliceerd als redactioneel in het tijdschrift Privacy & Informatie. De antwoorden met een toelichting staan onder aan het artikel.
Test uw privacykennis!
1. Wanneer is de AVG in werking getreden?
A. 25 mei 2018
B. 24 mei 2016
C. 25 mei 2016
2. Welke stelling is juist?
A. Een leasemaatschappij verwerkt persoonsgegevens in opdracht van een klant, de werkgever, en is daarom een verwerker van persoonsgegevens van de werknemers van de klant.
B. Een afvalverwerkingsbedrijf dat papieren documenten vernietigt, verwerkt geen persoonsgegevens.
C. Een IT-leverancier is nooit een verwerkingsverantwoordelijke van klantgegevens.
3. Welk antwoord past bij de volgende drie stellingen?
i. Het is goed om in het verwerkingsregister de locatie van de persoonsgegevens op te nemen.
ii. Zowel de verwerkingsverantwoordelijke als verwerker moet een verwerkingsregister bijhouden.
iii. Als u minder dan 250 werknemers in dienst heeft, hoeft u geen verwerkingsregister bij te houden,
tenzij de verwerking bijvoorbeeld niet incidenteel is.
A. Alleen stelling (ii) is juist.
B. Stellingen (ii) en (iii) zijn juist.
C. Alle stellingen zijn juist.
D. Alle stellingen zijn onjuist.
4. Wanneer is het aanwijzen van een Functionaris voor de Gegevensbescherming verplicht?
A. Als uw organisatie persoonsgegevens van meer dan 5000 personen verwerkt.
B. Als de verwerking van de persoonsgegevens wordt verricht door een overheidsorgaan.
C. Als uw organisatie minimaal 250 werknemers heeft.
5. Binnen welke termijn is melding van een datalek aan de Autoriteit Persoonsgegevens verplicht?
A. Zonder onredelijke vertraging en, indien mogelijk, uiterlijk 72 uur, nadat de verwerker kennis heeft genomen van het datalek.
B. Zonder onredelijke vertraging, en, indien mogelijk, uiterlijk 72, nadat de verwerkingsverantwoordelijke kennis heeft genomen van het datalek.
C. Onverwijld.
6. Welke van onderstaande gebeurtenissen kwalificeert als datalek? Meerdere antwoorden zijn mogelijk.
A. Een werknemer laat zijn laptop achter in de trein.
B. Een vuilniszak met cliëntdossiers wordt geopend door een toevallige passant.
C. U stuurt een e-mail naar de verkeerde persoon.
7. Indien een betrokkene inzage verzoekt in zijn persoonsgegevens, welke stelling is dan juist?
A. U moet in dat geval ook altijd kopieën van de documenten mee verstrekken.
B. U moet de betrokkene altijd eerst verzoeken om zich te identificeren door een kopie van een paspoort te verlangen.
C. U hoeft niet aan een inzageverzoek te voldoen als u daarmee de rechten van anderen schendt.
8. In welke situatie is een DPIA verplicht?
A. Als u voor uzelf een zwarte lijst gaat aanleggen van klanten die slecht betaalgedrag vertonen.
B. Als u een camera plaatst die alleen uw voortuin filmt, omdat er geregeld bij u in de buurt wordt ingebroken.
C. Als u grootschalig en/of systematisch cameratoezicht inzet om diefstal en fraude door uw werknemers te bestrijden.
9. Welke van onderstaande beweringen is onjuist? Meerdere antwoorden zijn mogelijk.
A. Een eenmaal gegeven toestemming kan niet worden ingetrokken, als sprake is van het verwerken van persoonsgegevens voor journalistieke doeleinden.
B. Het recht op gegevenswissing is een absoluut recht.
C. Het verwerken van gezondheidsgegevens mag alleen met uitdrukkelijke toestemming.
10. Wat is de maximale boete indien ten onrechte geen verwerkersovereenkomst is gesloten?
A. € 20 miljoen of 4% van de wereldwijde jaaromzet van een onderneming.
B. € 10 miljoen of 2% van de wereldwijde jaaromzet van een onderneming.
C. € 5 miljoen of 1% van de wereldwijde jaaromzet van een onderneming.
Antwoorden Privacy Test
1. Antwoord B is correct. Dit gaat vaak fout. De AVG is op 4 mei 2016 in het Publicatieblad van de Europese Unie verschenen. Artikel 99 lid 1 AVG bepaalt dat de AVG in werking is getreden op de twintigste dag na bekendmaking in het Publicatieblad. Daarmee is de AVG al in werking getreden op 24 mei 2016, en niet pas op 25 mei 2018. Op 25 mei 2018 is de AVG, na een overgangstijd van twee jaar, van toepassing geworden. Dit houdt in dat de AVG vanaf dat moment ook kon worden gehandhaafd.
2. Antwoord B is correct. Indien een afvalverwerkingsbedrijf papier vernietigt, is er geen sprake van een geautomatiseerd systeem van verwerkingen, en is evenmin sprake van een bestand. Antwoord A is onjuist, omdat een leasemaatschappij een verwerkingsverantwoordelijke is. Antwoord C is ook onjuist, omdat een IT-leverancier óók een verwerkingsverantwoordelijke kan
zijn indien de IT-leverancierde persoonsgegevens voor eigen doeleinden verwerkt.
3. Antwoord C is correct. Stelling (i) volgt uit de aanbevelingen van de Autoriteit Persoonsgegevens naar aanleiding van haar verkennend onderzoek naar de naleving van artikel 30 AVG. Stelling (ii): zie artikel 30 lid 1 en 2 die de registerplicht oplegt aan respectievelijk de verwerkingsverantwoordelijke ende verwerker. Stelling (iii): zie overweging 13 en artikel 30 lid 5 AVG voor de uitzondering
van de registerplicht voor kleine, middelgrote en micro-ondernemingen, alsmede artikel 2a UAVG.
4. Antwoord B is correct. Zie artikel 37 lid 1 sub a AVG. De andere twee antwoorden komen uit voorstellen, maar die zijn niet overgenomen in de definitieve tekst van de AVG.
5. Antwoord B is correct. Zie artikel 33 lid 1 AVG voor de meldplicht van een inbreuk van persoonsgegevens aan de Autoriteit Persoonsgegevens (en artikel 6 UAVG voor de aanwijzing van de Autoriteit Persoonsgegevens als de toezichthoudende autoriteit).
6. Antwoorden A, B en C zijn alledrie correct. Een datalek is niet alleen het vrijkomen (lekken) van persoonsgegevens, maar ook de onrechtmatige verstrekking of wijziging van gegevens en het verlies van (toegang tot) of vernietiging van persoonsgegevens. In geval van antwoord A is er onder andere sprake van verlies van (toegang tot) persoonsgegevens. In geval van B is er sprake van ongeoorloofde toegang en raadpleging van persoonsgegevens, en ingeval van C is sprake van ongeoorloofde verstrekking van persoonsgegevens. Zie artikel 4 lid 12 AVG (definitie van inbreuk in verband met persoonsgegevens) en richtsnoeren van Artikel 29-werkgroep (WP250rev.01).
7. Antwoord C is correct. Artikel 15 AVG regelt het inzagerecht. In artikel 41 lid 1 sub i UAVG staat dat een verwerkingsverantwoordelijke een beroep op het inzagerecht buiten toepassing kan laten, voor zover zulks noodzakelijk enevenredig is ter waarborging van ondermeer de rechten en vrijheden van anderen. Zie voor stelling A artikel 15 lid 3 AVG dat spreekt over ‘een kopie van persoonsgegevens’ en niet over een kopie van documenten. Uit rechtspraak volgt dat de betrokkene inbeginsel geen aanspraak kan maken op kopieën van documenten waarop de gegevens zijn vastgelegd, voor zover aan de met het inzagerecht nagestreefde doelstelling volledig kan worden voldaan door een andere vorm van verstrekking. Zie voor stelling B artikel 11 en 12 lid 6 AVG. Voordat een verwerkingsverantwoordelijke voldoet aan een inzageverzoek moet hij de identiteit van de verzoeker vaststellen, maar dat betekent niet dat hij een kopie van een paspoort moet verlangen.
8. Antwoord C is correct. Artikel 35 AVG regelt de DPIA. De Autoriteit Persoonsgegevens heeft daarnaast een lijst met voorbeelden opgesteld van soorten verwerkingen waarvoor het uitvoeren van een DPIA verplicht is vóórdat een organisatie met verwerken mag beginnen. Op deze voorbeeldenlijst staat ondermeer ook de grootschalige en/of stelselmatige controle van werknemers door middel van cameratoezicht (antwoord C), en zie verder ook de Q&A van de Autoriteit Persoonsgegevens over ‘Controle van werknemers’. Antwoord A: de zwarte lijst staat op ook op de DPIA-voorbeeldenlijst van de Autoriteit Persoonsgegevens, maar in het voorbeeld dat de Autoriteit Persoonsgegevens geeft, gaat het om het delen van de zwarte lijst met derden. Antwoord B: alleen als sprake zou zijn van grootschalige verwerkingen en/of stelselmatige monitoring van openbaar toegankelijkeruimten met behulp van camera’s, zou ook een DPIA verplicht zijn. Dat geldt niet voor de situatie dat alleen de eigen voortuin wordt gefilmd.
9. Antwoorden B en C zijn correct. Zie voor antwoord A artikel 43 UAVG. Daarin staan de uitzonderingen die van toepassing zijn op het verwerken van persoonsgegevens voor journalistieke doeleinden. Een van de uitzonderingen is dat de mogelijkheid tot het intrekken van toestemming is uitgesloten indien de gegevens worden verwerkt voor journalistieke doeleinden. Antwoord B: het recht op gegevenswissing (recht op vergetelheid) is geen absoluut recht. Zie hiervoor artikel 17 AVG en artikel 41 UAVG, voor de beperkingen op dit recht vane betrokkene. Antwoord C: zie voor het mogen verwerken van gezondheidsgegevens de algemene en bijzondere uitzonderingsgronden opgenomen in artikel 9 AVG, alsmede artikel 22 en 30 UAVG, waarvan de uitdrukkelijke toestemming behoort tot een van de algemene uitzonderingsgronden voor het mogen verwerken van bijzondere persoonsgegevens, zoals gezondheidsgegevens.
10. Antwoord B is correct. De boete voor het ten onrechte niet sluiten van een verwerkersovereenkomst (artikel 28 AVG) staat in artikel 83 lid 4 sub a AVG (€10 miljoen of 2% van de totale wereldwijde jaaromzet van een onderneming in het voorafgaande boekjaar). Uit de boetebeleidsregels van de AP van19 februari 2019 (zoals gepubliceerd inhet Staatsblad van 14 maart 2019, nr. 14586) blijkt dat de AP hier zelf de volgende invulling aan heeft gegeven: de boete voor het niet sluiten van een compliant verwerkersovereenkomst, kent een basisboete van €310.000, en een boetebandbreedte tussen €120.000 en €500.000.
Meer informatie
Heeft u vragen over AVG? Neem dan contact op met Elisabeth Thole.