Vergroot contrast

AP controleert banken en verzekeraars op FG-verplichting

De Autoriteit Persoonsgegevens (AP) controleert 45 banken en 93 verzekeraars op de verplichting uit de privacywetgeving om een functionaris voor de gegevensbescherming (FG) aan te stellen en de contactgegevens van de FG bekend te maken. Uit een eerste controle bleek dat 6 banken en 9 verzekeraars nog geen FG hebben aangemeld bij de AP. Zij moeten alsnog hun FG aanmelden of er een aanwijzen. Daarnaast heeft de AP gecontroleerd of banken en verzekeraars de directe contactgegevens van hun FG hebben gepubliceerd op hun website. Dit liet bij 7 banken en 14 verzekeraars nog te wensen over. De organisaties moeten dit aanpassen.

Sinds de invoering van de Algemene verordening gegevensbescherming (AVG) controleert de AP onder meer steekproefsgewijs of vereisten uit de privacywetgeving worden nageleefd. Zo controleerde de AP eerder overheidsorganisaties, ziekenhuizen en zorgverzekeraars op FG’s en deed de AP een steekproef bij grote private organisaties om te onderzoeken of zij een register voor verwerkingsactiviteiten bijhouden.

Aanmelden FG

Sinds 25 mei 2018 geldt de nieuwe Europese privacywetgeving, de AVG. Onderdeel hiervan is dat sommige organisaties, zoals banken en verzekeraars, die op grote schaal de persoonsgegevens van hun klanten observeren en/of op grote schaal bijzondere persoonsgegevens verwerken, een FG moeten aanstellen. Deze houdt binnen de organisatie toezicht op de naleving van de AVG. De AP controleert in dit onderzoek 45 banken en 93 verzekeraars (geen zorgverzekeraars) die in Nederland zijn opgericht. Uit een eerste controle bleek dat 6 banken en 9 verzekeraars nog geen FG hebben aangemeld bij de AP. Hebben zij al wel een FG maar deze alleen nog niet aangemeld bij de AP, dan krijgen ze hier alsnog 2 weken de tijd voor. Als blijkt dat de organisatie nog geen FG heeft aangesteld dan moeten zij van de AP deze overtreding beëindigen en alsnog binnen 4 weken een FG aanwijzen.

Banken en verzekeraars verwerken veel persoonsgegevens van hun klanten, zoals identificatiegegevens, financiële gegevens, transactiegegevens en medische gegevens. De FG’s vervullen daarom bij deze organisaties een belangrijke functie om hun gegevens te beschermen en om de privacywetgeving na te leven. De FG kan vanuit een onafhankelijke positie adviseren over hoe de privacywetgeving moet worden toegepast in zijn organisatie.

Communiceren contactgegevens

Privacy-issues moeten snel en in vertrouwen gemeld kunnen worden bij de FG. Het moet daarom voor iedereen die dat wil makkelijk zijn om contact op te nemen met de FG zonder dat daar iemand tussen zit. Het is verplicht een direct telefoonnummer, e-mailadres, postadres en/of direct aanmeldformulier te vermelden waarmee de FG te bereiken is. De naam van de FG is niet noodzakelijk. Bij 7 banken en 14 verzekeraars was de manier waarop de contactgegevens van de FG worden gepubliceerd ontoereikend. Zij moeten dit binnen 2 weken aanpassen.

Gerelateerd nieuws