Cameratoezicht regels uitgebreid in AVG-programma

In het AVG-programma is onder stap 6 extra informatie toegevoegd. Deze is automatisch en gratis ter beschikking van alle AVG-programma deelnemers. 

Het gebruik van camera’s is toegestaan onder bepaalde voorwaarden. Om bezoekers, personeel en eigendommen te beschermen maken steeds vaker winkels, de horeca en sportclubs gebruik van cameratoezicht. De inbreuk op de privacy van klanten en werknemers is daarbij echter wel aanwezig. Een camera in een toilet, paskamer of kleedkamer kan uiteraard niet omdat je dan mensen in beeld gaat brengen. Er mag alleen gebruik van camera’s gemaakt worden als er aan een aantal voorwaarden is voldaan:

-Gerechtvaardigd belang, bijvoorbeeld om diefstal tegengaan of om klanten en werknemers beschermen.

-Noodzaak cameratoezicht, kan de ondernemer het doel niet op een andere manier bereiken of is er geen andere mogelijkheid, die minder ingrijpend is voor de privacy?

-Privacytoets, de belangen van de klanten en de werknemers moeten worden afgewogen tegen het eigen belang.
-Rechten klanten en werknemers moeten weten dat er cameratoezicht is voordat hij/zij naar binnen gaat. Er moeten bijvoorbeeld bordjes hangen.

-Grootschalig gebruik, wordt er grootschalig en/of systematisch cameratoezicht ingezet (vaak bij grote organisaties) om diefstal en fraude door werknemers te bestrijden? Dan moet de werkgever een Data Protection Impact Assessment (DPIA) uitvoeren. 

Persoonsgegevens gelekt bij GGD en doorverkocht

Vele Nederlanders zijn, vlak nadat ze een coronatest hadden laten afnemen, door een onbekend nummer gebeld. Criminelen hebben de privégegevens bij het datalek in de IT-systemen van de GGD buitgemaakt. 

In de guidelines is een lijst vermeld met veel voorkomende soorten datalekken. Denk aan ransomware-aanvallen en zoekgeraakte of gestolen apparatuur. Per categorie staat aangegeven welke maatregelen een organisatie van tevoren had moeten nemen. En welke maatregelen de organisatie na het incident moet nemen.
Zo is per type datalek aangegeven hoe organisaties de risico’s van een bepaald type datalek het best kunnen beoordelen. Verder staat er wanneer een organisatie de toezichthouder op de hoogte moet brengen. En wanneer je de betrokken personen moet informeren.

De guidelines zijn nog niet ingevoerd. We houden je op de hoogte via onze nieuwsbrief. 

Autoriteit Persoonsgegevens (AP) op de schop

Letterlijk op het moment dat wij deze nieuwbrief schrijven is er het Kamerdebat over het GGD lek. En het is duidelijk. Er zijn veel dingen misgegaan. Zeker bij de GGD. Ongehoord. 

En ook AP moet op de schop. De organisatie doet te weinig. Moet duidelijk groeien in capaciteit. Er worden harde woorden gesproken in het debat. Er lijkt een Kamermeerderheid te zijn voor een motie om AP van 180 FTE naar ruim 450 FTE te laten groeien vanaf 2022. We zullen zien of dat allemaal zo gaat uitkomen.

Vele vinden dat AP best meer kan en moet doen. AP geeft telkens aan geen budget te hebben voor alles wat men wil en moet doen. Maar er is eigenlijk geen keuze. AP moet groeien want privacy is daarvoor veel te belangrijk. Het feit dat gewone Nederlanders zwaar worden gedupeerd door organisaties die hun AVG niet op orde hebben is onacceptabel. Daarover is een meerderheid het eens. Wij verwachten dus dat er meer budget gaat komen en dat AP meer de rol gaat pakken die het moet hebben. Namelijk die van privacy waakhond. 

Europese datalek guidelines

De nieuwe guidelines over datalekmeldingen zijn door de European Data Protection Board (EDPB) vastgesteld.  

Doel van deze guidelines is om organisaties te helpen bij de maatregelen die ze moeten nemen bij een datalek. In de guidelines is een lijst vermeld met veel voorkomende soorten datalekken. Denk aan ransomware-aanvallen en zoekgeraakte of gestolen apparatuur. Per categorie staat aangegeven welke maatregelen een organisatie van tevoren had moeten nemen. En welke maatregelen de organisatie na het incident moet nemen.
Zo is per type datalek aangegeven hoe organisaties de risico’s van een bepaald type datalek het best kunnen beoordelen. Verder staat er wanneer een organisatie de toezichthouder op de hoogte moet brengen. En wanneer je de betrokken personen moet informeren.

De guidelines zijn nog niet ingevoerd. We houden je op de hoogte via onze nieuwsbrief. 

Bron: AVG voor verenigingen (https://avgverenigingen.nl/)