blog

    Een kijkje in de handhavingskeuken van de Autoriteit Persoonsgegevens

    Monique Hennekens
    Monique HennekensPublicatiedatum: 25 oktober 2016
    Een kijkje in de handhavingskeuken van de Autoriteit Persoonsgegevens

    De Autoriteit persoonsgegevens heeft onder meer als taak om toezicht te houden op de naleving van de wettelijke regels over privacy, zoals de Wet bescherming persoonsgegevens (Wbp). De Autoriteit Persoonsgegevens kan ook handhavend optreden. Naast een last onder dwangsom kan zij sinds 1 januari 2016 ook boetes opleggen oplopend tot € 820.000 of zelfs 10% van de jaaromzet. Hoe bepaalt de Autoriteit Persoonsgegevens of zij zal handhaven of niet? 

    Kans op een onderzoek

    Vaak krijg ik de vraag hoe groot de kans is dat de Autoriteit Persoonsgegevens (AP) een onderzoek zal doen binnen de organisatie of handhavend zal optreden. Omdat niet altijd de directe aanleiding van een onderzoek wordt gepubliceerd is dit soms lastig in te schatten. Maar in een uitspraak van de Raad van State van 19 oktober 2016 wordt een tipje van de sluier opgelicht. In deze zaak gaat het over de vraag of de AP handhavend had moeten optreden tegen een curator die persoonsgegevens van een adviseur in een faillissementsverslag had opgenomen die op zijn website was gepubliceerd. Zie over deze uitspraak deze blog.

    De AP geeft in die zaak aan dat ieder handhavingsverzoek één of meer achtereenvolgende fases doorloopt. Een handhavingsverzoek kan door ieder natuurlijk persoon worden ingediend. Dit betekent dat als iemand vindt dat jouw organisatie ten onrechte persoonsgegevens van hem of haar heeft verwerkt, hij of zij een handhavingsverzoek kan doen bij de AP. Dergelijke verzoeken komen steeds vaker voor, ook vanwege alle aandacht voor privacy in de media, zoals bijvoorbeeld de privacyweken van NPO 3

    Fases van een handhavingsverzoek

    De fases bij een handhavingsverzoek zijn:

    I. de toets of het verzoek aan de formele eisen voldoet en een globaal bureauonderzoek om te beoordelen of zich een mogelijke overtreding van de Wbp heeft voorgedaan;

    II. de toets of aan de criteria van artikel 4.1 van de Beleidsregels Handhaving is voldaan:

    •  ernstige overtreding; 
    •  structurele overtreding;
    •  overtreding die veel mensen treffen;
    •  overtreding waarbij de AP door de inzet van handhavingsinstrumenten effectief verschil kan maken;
    •  overtreding die valt binnen de (jaarlijkse) aandachtspunten van de AP.

    Als aan één van deze criteria is voldaan zal de AP een uitgebreid onderzoek uitvoeren.

    III. Uitvoeren uitgebreid onderzoek;

    IV. Handhavend optreden aan de hand van de boetebeleidsregels.

    Tevens heeft de AP aan de Raad van State weergegeven dat zij in de fases I tot en met III ook zogenaamde informele interventies verricht, zoals telefonische confrontaties, waarschuwingsbrieven of normoverdragende gesprekken met de organisatie waar het verzoek op ziet.

    Als de AP besluit om niet tot handhaving over te gaan kan de verzoeker daartegen in bezwaar gaan en daarna in beroep bij de rechtbank en vervolgens bij de Raad van State, zoals in deze zaak was gebeurd. 

    Één tip voldoende?

    Eén klager kan dus aanleiding geven tot handhaving door de AP. Mensen kunnen de AP ook een tip geven met een klacht over de verwerking van persoonsgegevens door een organisatie. De AP ontvangt zo’n 7.000 tips per jaar. Uit de jaaroverzichten van tips blijkt dat de meeste tips gaan over het gebruik van identiteitsbewijzen, burgerservicenummers (BSN) en cameratoezicht. 

    Ga daarom zorgvuldig om met klachten of verzoeken van personen die betrekking hebben op de verwerking van hun persoonsgegevens! Heb je te maken met een klacht hierover of een andere vraag over privacy, neem dan contact op met Monique Hennekens.