blog

    AVG & AP (deel 6): wees voorbereid op onderzoek door de AP

    AVG & AP (deel 6): wees voorbereid op onderzoek door de AP

    Stel, er staan ineens drie ambtenaren van de Autoriteit Persoonsgegevens (AP) op de stoep om een onderzoek uit te voeren binnen jouw organisatie. Welke bevoegdheden heeft de AP en waar kun je op letten? Dat lees je in deze blog.

    De volgende onderwerpen komen aan bod:

    • Onderzoek door de Autoriteit Persoonsgegevens
    • Bevoegdheden van de Autoriteit Persoonsgegevens
    • Let op: verplichting tot medewerking
    • Begrenzing onderzoeksbevoegdheden
    • Wees voorbereid op een bezoek: wat kun je regelen?

    Dit is deel 6 van onze blogreeks: ‘AVG & AP: 8 ontwikkelingen en actualiteiten’.

    Onderzoek door de Autoriteit Persoonsgegevens

    Onderzoeksbevoegdheden

    De onderzoeksbevoegdheden van de AP zijn te vinden in de Algemene Verordening Gegevensbescherming (AVG), de Nederlandse uitvoeringswet bij de AVG (UAVG) en de Algemene wet bestuursrecht (Awb).

    De AP kan op allerlei manieren informatie opvragen, bijvoorbeeld per brief, e-mail of telefonisch. Ook kan de AP bij een organisatie aangeven dat zij vindt dat sprake is van een vermeende inbreuk op de AVG. Verder kan de AP volgens de AVG zogenoemde ‘gegevensbeschermingscontroles’ uitvoeren. Wat hieronder precies wordt verstaan zal nog moeten blijken. Ook kan de AP zaken en vervoermiddelen onderzoeken en monsters nemen.

    Een onderzoek van de AP kan zien op handhaving, maar ook voor andere doeleinden kan zij onderzoek uitvoeren. Bijvoorbeeld als zij aanbevelingen of informatie over een bepaald onderwerp wil verstrekken. Lees bijvoorbeeld over de onderzoeken die ik in een eerdere blogpost heb besproken.

    De AP gebruikt daarnaast andere instrumenten om toe te zien op naleving van de AVG. Zo kan zij een organisatie uitnodigen voor het verstrekken van inlichtingen. Ook stuurt de AP regelmatig brieven aan brancheorganisaties met haar standpunt en advies ten aanzien van een specifiek onderwerp (zoals de brief die de AP in 2017 aan de VNG stuurde over het openbaar maken van stukken).

    Bevoegdheden van de Autoriteit Persoonsgegevens

    Stel, de AP staat op de stoep, dan zijn de belangrijkste bevoegdheden:

    Vorderen van inlichtingen en vorderen van inzage in zakelijke gegevens of bescheiden

    De AP heeft bevoegdheid om personen binnen je organisatie te vragen om inlichtingen te geven over de wijze waarop de organisatie omgaat met persoonsgegevens. De AP kan ook toegang verkrijgen tot computers of andere devices (zoals tablets en telefoons) waarmee persoonsgegevens worden verwerkt. De AP kan ook kopieën van stukken opvragen. Denk bijvoorbeeld aan het verwerkingsregister, het datalekkenregister en de informatie die je aan betrokkenen verstrekt.

    Bevoegdheid tot binnentreden (zonder toestemming)

    De AP heeft de bevoegdheid om bedrijfsruimten en woningen te betreden zonder toestemming. Deze bevoegdheid is niet grenzeloos: de AP dient zich bij deze vergaande bevoegdheid namelijk te houden aan de Algemene wet op het binnentreden.

    Dit betekent onder andere dat de AP een machtiging moet hebben van de rechter-commissaris en een verslag moet maken van het binnentreden. Als ze een woning binnen willen treden, moet de specifieke ambtenaar ook nog een uitdrukkelijke en bijzondere volmacht hebben van de AP. Als de ambtenaren aangeven van deze bevoegdheid gebruik te maken, zullen ze deze dus moeten kunnen tonen.

    Let op: verplichting tot medewerking

    Iedere organisatie is verplicht om medewerking te verlenen als de AP gebruik maakt van haar onderzoeksbevoegdheden. Als de AP toegang gelast tot persoonsgegevens, informatie of bedrijfsruimten en je leeft dit niet na, dan bepaalt de AVG dat dit met maximaal € 20.000.000 beboet kan worden.

    De AP heeft boetebeleidsregels vastgesteld waaruit blijkt op welke wijze de AP de hoogte van een boete berekent. Lees daarover ook de vorige blogpost uit deze reeks van mijn collega Monique Hennekens.

    De boete op het niet naleven van een last van de AP valt in de zwaarste categorie. Gelet op de beleidsregels van de AP komt dat neer op een boete tussen € 450.000 en € 1.000.000!

    Begrenzing onderzoeksbevoegdheden

    Het uitoefenen van de onderzoeksbevoegdheden wordt begrensd door een aantal verplichtingen voor de AP. Dit zijn de voornaamste verplichtingen:

    Proportionaliteit

    Een belangrijke beperking voor de uitoefening van haar bevoegdheden is dat de AP altijd de proportionaliteit in acht dient te nemen. Dat wil zeggen dat zij slechts gebruik mag maken van haar onderzoeksbevoegdheden voor zover dat noodzakelijk is om toezicht te kunnen houden op de naleving van de AVG en UAVG.

    Voorbeeld: stel dat de AP aangeeft onderzoek te doen naar de wijze waarop de organisatie omgaat met verzuimgegevens van werknemers. In dat geval is het niet noodzakelijk dat zij inzage van alle klant- en bedrijfsgegevens verkrijgt. Deze mag de AP dan ook niet vorderen. Doet de AP dat wel? Dan mag je de AP erop wijzen dat je moet kunnen volstaan met het verlenen van inzage in de registratiesystemen en documenten waarin de verzuimgegevens worden verwerkt.

    Zwijgrecht

    Als de AP een bevoegdheid uitoefent met het oog op het opleggen van een punitieve sanctie dient zij aan de organisatie mede te delen dat deze niet verplicht is tot antwoorden(ook wel de ‘cautie’ genoemd). Een voorbeeld van een punitieve sanctie is een boete.

    Als de AP op bezoek komt voor onderzoek, zal zij dit doen met het oog op het geven van een punitieve sanctie. Het zwijgrecht geldt dan, en de AP is verplicht om de cautie te geven. Mocht de AP de cautie niet geven, vraag dan specifiek naar het doel van het onderzoek.

    Let op! Het zwijgrecht geldt niet voor werknemers. In de praktijk betekent dit dat het zwijgrecht alleen geldt voor personen die namens de organisatie spreken (zoals bestuurders).

    Algemene beginselen van behoorlijk bestuur

    Ook moet de AP zich als toezichthouder houden aan de algemene beginselen van behoorlijk bestuur. Bij het uitvoeren van het onderzoek zijn belangrijke beginselen onder meer: het gelijkheidsbeginsel, het evenredigheidsbeginsel (zoals hiervoor al toegelicht), het motiveringsbeginsel en het verbod op misbruik van bevoegdheid. Zo zal de AP haar onderzoeksbevoegdheden volgens het gelijkheidsbeginsel op een consistente manier moeten inzetten.

    Wees voorbereid op een bezoek: wat kun je regelen?

    Om te voorkomen dat je onnodig veel prijsgeeft als de AP op de stoep staat, raad ik aan om het volgende te regelen:

    Crisisteam

    Vorm een crisisteam met in ieder geval medewerkers met kennis van de gegevensstromen, hoger leidinggevenden en een jurist en/of advocaat. Gelet op het zwijgrecht verdient het aanbeveling om in het crisisteam mensen te plaatsen die de organisatie mogen vertegenwoordigen.

    De taken en rolverdeling bij een bezoek van de AP moeten duidelijk zijn voor verschillende betrokken personen. Ook moeten zij op de hoogte zijn van de verplichtingen van de AP. Het is verstandig om dit vast te leggen in een interne regeling en deze binnen de organisatie te verspreiden via e-mail of intranet.

    Stappenplan voor de ontvangst

    Zorg dat er voor de medewerkers van de receptie een stappenplan klaar ligt om te gebruiken wanneer ambtenaren van de AP zich daar melden. Laat de ambtenaren zich bij binnenkomst legitimeren en begeleid ze naar een aparte ruimte. Neem direct contact op met de aangewezen verantwoordelijke(n) uit het crisisteam en de advocaat.

    Stel vragen aan de AP

    De persoon uit het crisisteam die de ambtenaren ontvangt zal ten eerste om een afschrift moeten vragen van het doel en de grondslag van het onderzoek. Aan de hand daarvan kun je namelijk beoordelen of het optreden van de AP proportioneel is. Tevens kun je dan de personen met kennis van zaken over het betreffende onderwerp oproepen.

    Het is verstandig om van tevoren al een vragenlijst op te stellen met vragen die in ieder geval aan de AP gesteld moeten worden. Daarin staat bijvoorbeeld dat je moet vragen naar het doel en grondslag van het onderzoek en de afbakening van het onderzoek.

    Wat te doen tijdens het onderzoek

    Gelet op de verplichting tot medewerking is het belangrijk om de ambtenaren medewerking te verlenen tijdens het onderzoek. Het is van belang dat je, eventueel bijgestaan door je advocaat, de ambtenaren ondersteunt in het onderzoek. Laat ze niet alleen door het gebouw lopen.

    Vraag de ambtenaren tijdens het onderzoek telkens om toe te lichten waarom zij bepaalde handelingen tijdens het bezoek noodzakelijk achten voor het onderzoek.

    Zorg voor verslaglegging van het bezoek: wie ondervragen ze, waartoe krijgen ze inzage, van welke documenten nemen zij kopieën mee. Dit is van belang om goed te kunnen beoordelen of zij binnen hun bevoegdheden blijven.

    Tot slot

    De AP heeft veel onderzoeksbevoegdheden, maar deze zijn niet onbegrensd. Het is daarom aan te raden om een duidelijk stappenplan te hebben voor als de AP langskomt.

    Meer weten?

    Mocht je vragen hebben over privacy, de Autoriteit Persoonsgegevens of de AVG, neem dan contact op met één van onze privacy specialisten Chantal Grouls, Liesbeth Woolschot, Marieke Thijssen of Monique Hennekens.

    Blogreeks ‘AVG & AP: 8 ontwikkelingen en actualiteiten’

    Dit is deel 5 van onze blogreeks: ‘AVG & AP: 8 ontwikkelingen en actualiteiten’. De volgende onderwerpen zullen in onze blogreeks aan bod komen: