de wijze waarop De Scheidingsplanner persoonsgegevens verwerkt. Daarnaast moet De Scheidingsplanner cliënten voorzien van informatie omtrent de verwerkingsdoeleinden, de verwerkingsgrondslag, de bewaartermijnen, de privacyrechten van betrokkenen en het klachtrecht van de betrokkene bij de AP. Uit het onderzoek is gebleken dat De Scheidingsplanner nog onvoldoende invulling geeft aan deze informatieplicht. Zo worden cliënten niet geïnformeerd over de privacyrechten en worden de verwerkingsdoeleinden veelal veralgemeniseerd, terwijl dit specifiek aangegeven dient te worden. Cliënten worden bij de sluiting van het dossier pas geïnformeerd over de bewaartermijn die De Scheidingsplanner hanteert, terwijl cliënten in het kader van de AVG deze informatie dienen te ontvangen nog voordat hun persoonsgegevens verzameld worden. Ook over het klachtrecht bij de AP worden cliënten niet geïnformeerd.
5. De Scheidingsplanner heeft nog geen privacyreglement of ander beleidsdocument dat het voor cliënten inzichtelijk maakt op welke wijze De Scheidingsplanner met persoonsgegevens omgaat. Er kan dus geconcludeerd worden dat De Scheidingsplanner nog onvoldoende handelt in overeenstemming met de informatieplicht en het transparantiebeginsel van de AVG.
6. Binnen De Scheidingsplanner heeft meerdere malen een datalek plaatsgevonden, niet geheel duidelijk is hoe vaak dit exact heeft plaatsgevonden. Uit het onderzoek is echter wel gebleken dat het in alle gevallen ging om persoonsgegevens van zeer gevoelige aard. De Scheidingsplanner is verschillend omgegaan met deze datalekken, zo is het datalek niet in alle gevallen gemeld richting de betrokkene(n) en is er nooit een melding gemaakt richting de AP. Uit het onderzoek is gebleken dat een datalek met betrekking tot persoonsgegevens van gevoelige aard altijd een melding aan de AP en betrokkene(n) verlangt. De Scheidingsplanner geeft in dit kader nog onvoldoende invulling aan de meldplicht datalekken.
7. Met de komst van de AVG worden twee privacy beginsels geïntroduceerd. Op basis van de beginselen ‘privacy by default & privacy by design’ moet De Scheidingsplanner tijdens het ontwikkelen van informatiesystemen al rekening houden met de bescherming van persoonsgegevens (privacy by design). Daarnaast dienen de standaardinstellingen een minimale inbreuk op de privacy van cliënten te hebben, waarbij een veronderstelde toestemming niet langer gewenst is (privacy by default). Uit het onderzoek blijkt dat De Scheidingsplanner deze beginselen nog onvoldoende in acht neemt. In de algemene voorwaarden wordt bijvoorbeeld verondersteld dat cliënten toestemming geven aan De Scheidingsplanner om hun naam te uiten naar derden, terwijl dit in het kader van deze beginselen niet gewenst is.
8. Het initiatief tot dit onderzoek en de inhoudelijke resultaten daarvan hebben gedurende dit onderzoek als ook in de toekomst geleid tot een aanscherping van het werkproces van De Scheidingsplanner, teneinde in de zeer nabije toekomst voldoende invulling te kunnen geven aan de normen en voorwaarden van de AVG.
48
11.2.
Aanbevelingen
Passende technische en organisatorische maatregelen
Om te voldoen aan het treffen van passende maatregelen in het kader van de AVG, wordt aanbevolen om te werken met wachtwoordbescherming. Een voorbeeld hiervan is het programma: OnePassword. Op deze manier hoeven de medewerkers slechts één wachtwoord te gebruiken om in te loggen en toegang te krijgen tot alle programma’s en persoonsgegevens. De wachtwoorden zijn met een programma als OnePassword beveiligd en afgeschermd.175 Tevens wordt aanbevolen om de digitale beveiligingsrisico’s regelmatig in kaart te brengen, zodat er bijtijds maatregelen getroffen kunnen worden. In dit kader wordt aanbevolen om regelmatig een rapport op te vragen bij het IT-synergie, het bedrijf dat in opdracht van De Scheidingsplanner zorgdraagt voor de beveiliging van de digitale omgeving. Met betrekking tot de organisatorische maatregelen, wordt aanbevolen om alle kasten en ruimtes waar zich persoonsgegevens bevinden, af te sluiten. In het draaiboek worden de bovenstaande maatregelen nader toegelicht.176
Registerplicht
Daar waar De Scheidingsplanner nog onvoldoende voorbereidende maatregelen heeft getroffen om per 25 mei aan de registerplicht van de AVG te voldoen, wordt aanbevolen om hier zo spoedig mogelijk een document voor op te stellen. Tevens wordt aanbevolen om dit register voor alle medewerkers digitaal ter beschikking te stellen, zodat het register gemakkelijk kan worden bijgewerkt. In het draaiboek wordt toegelicht welke informatie het register moet bevatten,177 aanbevolen wordt om aan de hand van het draaiboek het register op te stellen.
Transparantiebeginsel & Informatieplicht
In het kader van de AVG is het verplicht om cliënten te informeren voordat er persoonsgegevens worden verzameld. Om aan deze informatieplicht te voldoen, wordt aanbevolen om cliënten een folder te overhandigen met informatie omtrent de eerder benoemde onderwerpen. De Scheidingsplanner kan deze folder bijvoorbeeld verstrekken tijdens het intakegesprek. In het draaiboek wordt een voorbeeld van een dergelijke informatiefolder gegeven.178
Om te voldoen aan het transparantiebeginsel wordt aanbevolen om gebruik te maken van de website van De Scheidingsplanner. Zo kan er bijvoorbeeld een privacystatement op de website worden geplaatst. Dit kan cliënten op een toegankelijke manier voorzien van informatie omtrent de wijze waarop De Scheidingsplanner met persoonsgegevens omgaat. In het draaiboek wordt een voorbeeld gegeven van een privacystatement dat in overeenstemming is met de normen en voorwaarden van de AVG.179
175 OnePassword > security. Geraadpleegd op 26 mei 2018 via, www.1password.com 176 Bijlage 12: Draaiboek (beroepsproduct) P.18.
177 Bijlage 12: Draaiboek (beroepsproduct) P. 21. 178 Bijlage 12: Draaiboek (beroepsproduct) P.7. 179 Bijlage 12: Draaiboek (beroepsproduct) P.15.