Nieuws van bedrijven
Van Diepen Van der Kroef - Welke handhavingsbevoegdheden heeft de Autoriteit Persoonsgegevens?
De Autoriteit Persoonsgegevens is in Nederland verantwoordelijk voor de handhaving van de Algemene Verordening Gegevensbescherming (AVG).
Volgens de AVG moet ieder land in de Europese Unie een onafhankelijke toezichthouder aanstellen. In Nederland is dat de Autoriteit Persoonsgegevens. Die toezichthouder heeft diverse taken en bevoegdheden. Voor de meeste ondernemers is met name van belang welke handhavingsbevoegdheden de Autoriteit Persoonsgegevens heeft. Daar ga ik in dit blog op in.
De taak van de Autoriteit Persoonsgegevens
Artikel 57 AVG wijst een grote hoeveelheid taken toe aan de Autoriteit persoonsgegevens. Deze taken zijn te verdelen over drie categorieën:
- Informeren: De Autoriteit Persoonsgegevens moet het publiek en de overheid informeren over de AVG en de juiste toepassing daarvan. Zo heeft de Autoriteit Persoonsgegevens een adviesrecht voor nieuwe wetgeving en moet zij bewustzijn creëren.
- Accorderen: Volgens de AVG moet de nationale toezichthouder toestemming geven voor diverse handelingen. Zij stelt bijvoorbeeld standaardcontractbepalingen vast, accordeert gedragscodes en geeft advies over riskante verwerkingen.
- Handhaving: De Autoriteit Persoonsgegevens is belast met handhaving van de AVG. In dat kader voert zij onderzoeken uit en neemt naar aanleiding daarvan maatregelen. De toezichthouder moet ook klachten van behandelen en samenwerken met andere toezichthouders.
De Autoriteit Persoonsgegevens kan zelfstandig besluiten om te handhaven. Dat gebeurt bijvoorbeeld als zij signalen krijgt dat er iets mis is, bijvoorbeeld bij een datalek. Ook kan zij besluiten een bepaalde sector te onderzoeken. Daarnaast kan de Autoriteit Persoonsgegevens optreden naar aanleiding van een klacht door een betrokkene.
1. Onderzoeksbevoegdheden Autoriteit Persoonsgegevens
De Autoriteit Persoonsgegevens heeft vergaande bevoegdheden om onderzoek te verrichten. Meestal start een onderzoek met een inlichtingenverzoek gericht aan de verwerkingsverantwoordelijke of de bewerker. Het is verplicht alle gevraagde informatie te verstrekken. Een beroep op een geheimhoudingsplicht kan alleen met betrekking tot het onderzoek dat over een ander persoon gaat (Een advocaat kan zich dus wel op zijn geheimhoudingsplicht beroepen als informatie wordt verzocht in het kader van een onderzoek naar zijn cliënt, maar niet met betrekking tot een onderzoek naar de advocaat zelf). Daarnaast heeft de Autoriteit Persoonsgegevens het recht zonder toestemming alle ruimtes te betreden, ook woningen.
Niet voldoen aan de informatie- of medewerkingsplicht leiden tot een AVG boete van maximaal 20 miljoen euro. Meestal ziet de Autoriteit Persoonsgegevens dit echter als een boete verhogende omstandigheid voor het vergrijp waarnaar zij onderzoek verricht.
2. Waarschuwings- en berispingsbevoegdheden Autoriteit Persoonsgegevens
De Autoriteit Persoonsgegevens mag waarschuwingen en berispingen opleggen. Het verschil is dat een waarschuwing wordt gegeven voordat sprake is van een inbreuk en een berisping als de overtreding al heeft plaatsgevonden. Waarschuwingen en berispingen zijn het lichtste handhavingsmechanisme en mogen alleen gebruikt worden bij kleine overtredingen.
Waarschuwingen en berispingen hebben geen direct gevolg. Het negeren van een berisping kan wél een boete verhogende omstandigheid zijn bij recidive. Daarnaast leidt een berisping vaak tot negatieve publiciteit. Tot slot kan een berisping leiden tot schadeclaims van de betrokkenen.
3. Bevelen aan Verwerkersverantwoordelijken en bewerkers
De AVG biedt de mogelijkheid om verwerkersverantwoordelijken en bewerkers te bevelen conform de AVG te handelen. De Autoriteit Persoonsgegevens kan bijvoorbeeld een verantwoordelijke bevelen om de rechten van betrokkenen te respecteren, of een verwerkingsverbod opleggen. Ook kan de Autoriteit Persoonsgegevens een data transfer opschorten, een certificaat intrekken of gebieden om betrokkenen te informeren over een datalek.
Een bevel wordt vaak kracht bijgezet met een last onder dwangsom of een boete.