Werkwijze Autoriteit Persoonsgegevens

De Autoriteit Persoonsgegevens, de toezichthouder op privacygebied, is een bestuursorgaan. Een voordeel hiervan is dat een deel van de handelwijze van deze autoriteit ("AP") volgens vaste regels verloopt en inzichtelijk is. De bestuursrechtelijke beginselen als "gelijkheid" en "zorgvuldigheid" zijn immers van toepassing.

Hieronder vindt u meer informatie over het onderzoek, de zienswijze, de publicatie van een onderzoek en de handhaving (boetes). Klik op de onderwerpen voor meer info.

  • Het onderzoek: aanleiding
    Soms start de AP direct een onderzoek. Meestal gaat hier alternatieve interventie aan vooraf. Of te wel de AP gaat het gesprek aan of stuurt een brief. U kunt dus ook gebeld worden door een medewerker van de AP. De informatie die u dan geeft, wordt ook in het onderzoek gebruikt.

    De AP kan ambtshalve een onderzoek starten of naar aanleiding van een melding of signalering. Uit recente uitspraken van de medewerkers van de AP blijkt dat er ook een onderzoek kan worden gestart naar aanleiding van een melding over datalekken.

    De AP start niet zomaar een onderzoek, er moet wel voldoende aanleiding zijn. Dit blijkt uit de Beleidsregels handhaving die te vinden zijn op de website van de AP. Een van de criteria om tot handhaving over te gaan is dat het onderwerp moet vallen binnen de jaarlijkse aandachtspunten die de AP bekend heeft gemaakt. Op de jaaragenda van 2017 staan:
    • Implemenatie van de AVG
    • Big data en profiling
    • Bijzondere persoonsgegevens
    • Beveiliging
  • Het onderzoek: gang van zaken
    Een onderzoek kan op ieder moment worden gestart door de AP. De duur en de omvang van ieder onderzoek zijn verschillend. Wel heeft elk onderzoek tot nu toe vaste onderdelen (zie volgende onderwerp).

    De AP heeft diverse wettelijke bevoegdheden die bij het uitvoeren van een onderzoek kunnen worden ingezet:
    • Onaangekondigd een onderzoek ter plaatse uitvoeren;
    • Het vragen om inlichtingen;
    • Het vorderen van inzage in zakelijke gegevens;
    • Het onderzoeken van kasten en vervoermiddelen;
    • Onder voorwaarden mag een woning worden betreden zonder toestemming.

    Iedereen is verplicht om mee te werken aan een onderzoek.

    Nu de AP ook een boetebevoegdheid heeft gekregen, zijn de spelregels wel veranderd. De bovenstaande bevoegdheden zijn echter gebleven.
  • Het onderzoek: vaste onderdelen
    Tot nu toe is het onderzoek door de AP altijd volgens een vaste indeling verlopen:
    • Onderzoek: in deze fase wordt informatie verzameld;
    • Voorlopige bevindingen: de AP maakt een soort concept rapport waarin staat omschreven wat de feiten, bevindingen en het voorlopig oordeel is. Dit concept rapport wordt aan u toegestuurd;
    • Zienswijze: u krijgt 2 tot 4 weken de tijd om te reageren op de voorlopige bevindingen. Dit kan mondeling of schriftelijk. Meestal gebeurt dit schriftelijk. U kunt ook aangeven welke delen van het concept rapport bedrijfsvertrouwelijk zijn en niet mogen worden gepubliceerd;
    • Definitieve bevindingen: de AP stuurt u het definitieve onderzoeksrapport. Hierin staat ook een reactie op uw zienswijze;
    • Publicatie: Onderzoeksrapporten worden gepubliceerd. De AP hecht hier zeer veel belang aan. Het komt zelden tot nooit voor dat een onderzoek niet wordt gepubliceerd.
    • Handhaving: De AP had al een handhavingsbevoegdheid en kon bijvoorbeeld een last onder dwangsom opleggen. Nieuw is nu de algemene boetebevoegdheid.

    De duur en de omvang van ieder onderzoek is verschillend.
  • De zienswijze
    Een vast onderdeel van een onderzoek door de AP is de zienswijze. Dit komt neer op het beginsel van "hoor en wederhoor". U (uw bedrijf) wordt in de gelegenheid gesteld om uw standpunt kenbaar te maken. Dit kan schriftelijk of mondeling. Schriftelijk heeft de voorkeur.

    Gebruik deze mogelijkheid altijd! Doe dit echter wel zorgvuldig. Uit de diverse gepubliceerde onderzoeken is onder andere gebleken dat:
    • De AP niet heel gevoelig is voor argumenten waarmee een geconstateerde overtreding wordt bestreden. Of te wel, als de AP een overtreding heeft geconstateerd, dan is daar al over nagedacht en zal dit standpunt niet snel wijzigen;
    • De AP niet schroomt om uw argumenten om te draaien en als bevestiging voor de eigen constateringen te gebruiken;
    • Het voor uw reputatie management wel effectief kan zijn om een zorgvuldige zienswijze op te stellen, uw klanten hebben ook toegang tot het gepubliceerde onderzoeksrapport (waarin uw zienswijze is verwerkt);
    • Indien u in uw zienswijze aangeeft dat u bepaalde aanpassingen heeft doorgevoerd zodat u niet meer in overtreding bent, dit direct wordt beoordeeld door de AP in de definitieve bevindingen. Het kan dan zomaar zijn dat in het definitieve onderzoeksrapport komt te staan dat er geen sprake meer is van een overtreding.

    TIP: Maak gebruik van de mogelijkheid om een zienswijze in te dienen. Kijk of het mogelijk is om aanpassingen door te voeren of maatregelen te treffen waardoor de overtreding die in de voorlopige bevindingen staat, wordt weggenomen. Hiermee creƫert u de kans dat in het definitieve rapport komt te staan dat er geen overtreding is.
  • De publicatie
    Het definitieve onderzoeksrapport, de definitieve bevindingen, worden openbaar gemaakt. Het rapport wordt gepubliceerd op de website van de AP. Vaak wordt er ook een apart stukje bij de actualiteiten geplaatst waarin een samenvatting wordt gegeven van het onderzoek (soort perspublicatie).

    In al deze stukken staat hoe dan ook uw bedrijfsnaam. Bedrijfsgevoelige informatie is onleesbaar gemaakt, indien u dit heeft aangegeven in de zienswijze.

    Het tegenhouden van een publicatie is lastig, wellicht zelfs onmogelijk. De AP heeft een openbaarmakingsbeleid en Beleidsregels actieve openbaarmaking. Het is wel mogelijk om in een voorlopige voorziening aan de rechter te vragen of hij de AP wil verbieden om het definitieve rapport te publiceren. De AP geeft u 10 dagen de tijd om deze gang naar de rechter te maken doordat er 10 dagen wordt gewacht met publiceren te rekenen vanaf de dag van het aan u versturen van het definitieve rapport.
  • Handhaving (o.a. boete, dwangsom)
    Een vast onderdeel van het onderzoek met een nieuwe inhoud is de handhaving. Het besluit tot handhaving wordt binnen de Autoriteit Persoonsgegevens ("AP") door een andere afdeling genomen dan de afdeling die het onderzoek heeft uitgevoerd.

    De AP kan sinds 1 januari 2016:
    1. Een last onder dwangsom opleggen. Dit betekent dat uitvoering moet worden gegeven aan een last - bijvoorbeeld "pas de beveiliging aan" - en indien dit niet tijdig gebeurt er een dwangsom (boete) moet worden betaald (deze bevoegdheid had de AP al);
    2. bestuurlijke boete opleggen voor nagenoeg iedere overtreding van de Wbp. De maximale boete is Euro 820.000,00 of 10% van de jaaromzet (tot 1 januari 2016 alleen voor het overtreden van de verplichting om de verwerking van gegevens te melden, de melding waarmee u een registratienummer krijgt en op juist die overtreding staat nu geen boete meer);
    3. Een bindende aanwijzing geven. In de praktijk zal de AP dit eerst doen voordat een boete wordt opgelegd;
    4. strafrechtelijk sanctioneren bij overtreding van de meldplicht of van het verbod om gegevens buiten Europa te verstrekken;
    5. Een boete opleggen aan de "medepleger" of "functioneel dader".

    Hoe de AP om zal gaan met de boetebevoegdheid moet nog blijken. In 2016 zijn geen directe boetes opgelegd. In 2016 is driemaal een last onder dwangsom opgelegd (Bluetrace, Abrona, Facebook), hetgeen niet heeft geleid tot een verplichting tot betaling van de dwangsom. In 2017 is een last onder dwangsom opgelegd aan de gemeente Arnhem.

    Vanaf 25 mei 2018 gaan de boetebedragen fors omhoog (maximaal 20 miljoen of 4% van de wereldwijde jaaromzet). De AP mag dan de AVG handhaven. Deze boetes kunnen ook voor de overtreding van nagenoeg alle verplichtingen uit de AVG worden opgelegd. Hieronder vindt u een de Guidelines van de Artikel 29 Werkgroep waarin wordt uitgelegd hoe de AP een boete kan bepalen.

    Hieronder vindt u een overzicht van de verplichtingen die nu onder de Wet bescherming persoonsgegevens beboetbaar zijn.

    Download: Overzicht van privacyboetes.pdf WG29 Guidelines voor boetes onder de AVG.pdf

Meer informatie over uw specifieke situatie? Wij helpen u graag verder