Overheid en Not for profit
De Algemene verordening gegevensbescherming (AVG) geldt niet alleen voor ondernemingen. Ook de overheid en not-for-profit instellingen moeten zich aan de AVG houden.
Overheid
Een groot verschil tussen overheid en bedrijfsleven is dat de grondslag voor verwerking van persoonsgegevens bij overheidsinstellingen meestal in de wet of in een op de wet gebaseerde regeling staat. De overheid verzamelt en verwerkt grote hoeveelheden persoonsgegevens en is verplicht daar zorgvuldig mee om te gaan. Om die reden heeft de Autoriteit Persoonsgegevens de naleving van de AVG door de overheid als een van de toezichtprioriteiten voor de periode 2018-2019 aangemerkt.
De overheid dient er op toe te zien of er wel een grondslag voor verwerking van persoonsgegevens is en daar kan het mis gaan.
Belastingdienst verplicht zzp’ers ten onrechte tot gebruik van een btw-identificatienummer waarin het BSN is opgenomen
In juli 2018 maakte de Autoriteit Persoonsgegevens bekend dat hij aan de Belastingdienst heeft opgedragen het gebruik te beëindigen van het burgerservicenummer (BSN) in het btw-identificatienummer van zelfstandigen met een eenmanszaak. Reden is dat de grondslag voor verwerking ontbreekt en dat de Belastingdienst door deze verplichting aan zzp’ers op te leggen, hen onnodig risico bezorgt.
Lees verder
Gemeenten verzamelen teveel persoonsgegevens bij uitvoering Wmo en Jeugdwet
De Autoriteit Persoonsgegevens bekritiseerde de activiteiten van gemeenten op het gebied van Wmo en jeugdzorg. De Autoriteit maakte bekend dat de gemeenten zonder grondslag gevoelige persoonsgegevens verzamelden. De gemeenten werden gemaand hun gedrag aan te passen.
Lees verder
Op het gebied van cybersecurity kan het bij de overheid ook mis gaan, zoals de navolgende voorbeelden leren.
UWV moet beveiliging werkgeversportaal verbeteren
Op 30 oktober jl. kondigde de Autoriteit Persoonsgegevens aan dat aan het Uitvoeringsinstituut Werknemersverzekeringen (UWV) een last onder dwangsom is opgelegd. De last houdt in dat de UWV het beveiligingsniveau van het werkgeversportaal op voldoende niveau moet brengen. Als de UWV niet aan die last voldoet, verbeurt het UWV een dwangsom van 150.000 euro per maand met een maximum van 900.000 euro.
Lees verder
Nationale Politie moet politiegegevens beter beschermen
Ook de politie moet zich aan de AVG houden. Op 20 september 2018 maakte de Autoriteit Persoonsgegevens bekend dat de politie onvoldoende heeft geregeld dat persoonsgegevens op ‘need-to-know’ basis toegankelijk zijn voor medewerkers. De Autoriteit heeft de last opgelegd dat de politie beter moet controleren wie bepaalde gegevens gebruikt of inziet, zodat onbevoegden niet aan de haal kunnen gaan met bepaalde informatie. Deze last is door de politie niet nagekomen, zodat een dwangsom verschuldigd is geworden.
Lees verder
Not-for-profit
Binnen de not-for-profit zijn vele organisaties die grote hoeveelheden persoonsgegevens verwerken.
Dergelijke organisaties zijn onder meer te vinden in de zorg en in het onderwijs. Zie over de zorg en het onderwijs een aparte pagina/rubriek op deze site. Voor deze sectoren geldt dat daarin zowel overheidsorganisaties als private ondernemingen actief zijn.
De not-for-profit sector omvat een ruime groep organisaties, waarvan sommige gesubsidieerd zijn (zoals musea en culturele instellingen). Er zijn ook organisaties die functioneren op basis van privaat geld, donaties en lidmaatschapsbijdragen.
Voor de not-for-profit geldt de AVG en dat betekent dat iedere not-for-profit organisatie zichzelf de vraag moet stellen of er een grondslag is voor de verwerking van persoonsgegevens.
Stichting Museumkaart
Stichting Museumkaart is een stichting die wordt gefinancieerd door de mensen die een museumkaart aanschaffen. Deze stichting zal moeten toetsen of er een grondslag is in de AVG voor de door hen gevraagde persoonsgegevens.
In de privacystatement die wij in november 2018 lazen staat dat de stichting de bezoeken aan musea registreert, omdat het museum een vergoeding ontvangt gebaseerd op het aantal museumkaart bezoekers.
Het is daarbij natuurlijk de vraag of het nodig is dat die museumbezoeken per kaart worden gepersonaliseerd. De vergoeding voor het museum kan ten slotte ook worden vastgesteld, zonder dat bekend is welke museumkaarthouders het museum bezocht hebben.
De stichting van dit voorbeeld is in november 2018 in het nieuws gekomen, omdat de Belastingdienst wilde weten of een bepaalde belastingplichtige in een bepaalde periode in Nederland musea heeft bezocht met zijn/haar museumkaart. Hoewel Stichting Museumkaart bezwaar maakte, veroordeelde de kort geding rechter in Den Haag de stichting tot verstrekking van de gegevens.
Stichting Museumkaart moet gegevens over het museumbezoek van een van haar kaarthouders aan de Belastingdienst overhandigen. De kortgedingrechter oordeelt dat het belang van het privé houden van de gegevens moet wijken voor het algemeen belang van een correcte belastingheffing.
Het betreft hier geen ‘fishing expedition’ maar een verzoek inzake een specifieke kaarthouder.
Meer informatie in het vonnis.
