De AVGB in Nederland: één jaar later
Inleiding
Het is één jaar geleden dat de AVGB van toepassing werd.
In de aanloop naar 25 mei 2018, was er veel te doen omtrent de implementatie van de nieuwe privacywetgeving. De afkorting 'AVGB', de datum van 25 mei 2018 en het vooruitzicht van bestuurlijke boetes oplopend tot €20 miljoen kregen veel media-aandacht. Dit leidde tot een zekere mate van onrust binnen veel organisaties, van wereldwijd opererende ondernemingen tot lokale sportverenigingen.
Een groot deel van de onrust had te maken met de eventuele handhaving door de toezichthouders. Organisaties leken het meest te vrezen voor bestuurlijke boetes en het risico op negatieve publiciteit. Deze vrees voor boetes werd versterkt door het feit dat de Autoriteit Persoonsgegevens (de AP) (en andere Europese toezichthouders) opvallend stil waren over hun voorgenomen handhavingsactiviteiten.
Sinds 25 mei 2018, is de AP echter transparanter geworden over haar toezichts- en handhavingsstrategie. Niet alleen op papier, maar ook in de praktijk.
In deze bijdrage gaan wij kort in op de handhavingsactiviteiten van de AP in het afgelopen jaar.
Toezichtkader Autoriteit Persoonsgegevens 2018-2019
Op dezelfde dag dat de AVGB van toepassing werd, publiceerde de AP haar Toezichtkader voor 2018-2019. Hierin zette zij haar ambities, kernwaarden en toezichtdoelen uiteen.
Voor de periode 2018-2019 heeft de AP zichzelf de volgende drie doelen gesteld:
- het bevorderen van de naleving van de AVGB;
- het controleren van de naleving van de AVGB; en
- het risicogericht toezicht.
Het eerste doel (het bevorderen van de naleving van de AVGB) is volgens de AP het belangrijkste doel van het toezicht in 2018-2019. Om naleving van de AVGB te bevorderen, vindt de AP het onder andere nodig om begeleiding te bieden ten aanzien van de interpretatie en implementatie van de AVGB. Voorbeelden van dergelijke begeleiding in het afgelopen jaar, zijn het organiseren van een seminar voor Functionarissen Gegevensbescherming (FG's), en het verstrekken van praktisch advies op haar website bijvoorbeeld over het opstellen en implementeren van privacy-beleid en het documenteren van datalekken.
Wat de AP betreft, draagt het opvolgen van klachten van betrokkenen ook bij aan het bevorderen van de naleving van de AVGB. De AP richt zich vooral op terugkerende klachten. Tegen het einde van 2018 had de AP al bijna 11.000 klachten ontvangen, een stuk meer dan zij verwachtte. Betrokkenen klaagden vooral dat ze hun rechten niet of slechts moeizaam konden uitoefenen, en dat zij (tele)marketingcommunicatie ontvingen van bedrijven aan wie zij hun gegevens niet zouden hebben verstrekt.
Betrokkenen richten hun klachten over gegevensverwerking vaak eerst aan de organisatie zelf, in plaats van zich direct tot de AP te wenden. Het is onze ervaring dat de AP er waarde aan hecht dat organisaties de klachten van betrokkenen serieus nemen en hierop met zorg reageren. Communicatie met de betrokkene kan eventueel in een later stadium door de AP in een (informeel) onderzoek worden betrokken. De AP waardeert een actieve en coöperatieve houding van de verwerkingsverantwoordelijke.
Met het tweede doel (het controleren van de naleving), richt de AP zich in het bijzonder op het accountability-beginsel: organisaties moeten kunnen aantonen dat ze aan de vereisten van de AVGB voldoen. Hoewel het op orde hebben van de juiste documenten niet betekent dat een organisatie voldoet aan de AVGB, meent de AP dat dit wel een goede indicatie is of er serieus werk is gemaakt van de implementatie van de AVGB en dat de organisatie heeft nagedacht over belangrijke aspecten van de AVGB.
Om vast te stellen of organisaties voldoen aan het accountability-beginsel, heeft de AP steekproefsgewijs steeds een aantal organisaties verzocht om bepaalde informatie te verstrekken. Zo heeft de AP bij verschillende overheidsorganisaties en zorginstellingen gecontroleerd op de verplichting om een FG aan te stellen. Daarnaast heeft de AP bij een aantal grote ondernemingen in verschillende private sectoren onderzoek gedaan naar of deze ondernemingen een verwerkingsregister bijhielden en verwerkingsovereenkomsten waren aangegaan met hun verwerkers. Later heeft de AP ook nog een verkennend onderzoek gedaan naar het bestaan van privacy-beleid binnen onder andere politieke partijen, en het bestaan van adequate datalekkenregisters bij overheidsorganisaties. Stelde de AP vast dat een organisatie niet of niet naar behoren de opgevraagde informatie kon overleggen, dan kreeg de organisatie in kwestie de gelegenheid om dit binnen een door de AP bepaalde termijn te verhelpen.
Het derde doel van de AP is het risicogerichte toezicht op de naleving van de AVGB. Hierbij richt de AP zich op verwerkingsactiviteiten die grote risico's met zich meebrengen, bijvoorbeeld gezien de aard van de verwerkte gegevens, of vanwege het soort of het aantal betrokkenen. De AP focust zich daarom met name op de verwerking van persoonsgegevens door de overheid, gezondheidsinstellingen en bedrijven die handelen in persoonsgegevens. Ook organisaties die veel financiële gegevens verwerken krijgen aandacht.
Dit alles blijkt uit de eerste onderzoeken die de AP heeft ingesteld. Enkele voorbeelden van deze onderzoeken zijn:
- een onderzoek bij de Koninklijke Nederlandse Lawn Tennis Bond (de KNLTB), die wordt beticht van het doorverkopen van persoonsgegevens aan sponsoren. Leden van de KNLTB hebben schijnbaar meerdere klachten ingediend bij de AP tegen deze praktijken;
- een onderzoek bij de Belastingdienst, die ervan wordt beticht op onrechtmatige wijze bijzondere persoonsgegevens te verwerken, waaronder nationaliteit, in het kader van de onderzoeken van de Belastingdienst naar fraude met kinderopvangtoeslag; en
- een onderzoek naar verschillende websites met betrekking tot het plaatsen van cookies en het verkrijgen van toestemming.
Boetebeleidsregels Autoriteit Persoonsgegevens
In maart 2019 publiceerde de AP haar herziene beleidsregels met betrekking tot het bepalen van de hoogte van bestuurlijke boetes voor overtredingen van de AVGB en de Uitvoeringswet AVGB (de Boetebeleidsregels).
Kortgezegd, heeft de AP in de Boetebeleidsregels vier categorieën van bestuurlijke boetes vastgesteld. Elke boetecategorie is gekoppeld aan een bepaalde financiële bandbreedte die de AP passend en geboden acht. Elke boetecategorie heeft een minimum- en maximum. Binnen de bandbreedte heeft de AP een basisboete vastgesteld. Dit is het startbedrag van waaruit de AP verder rekent. De boetes kunnen binnen de boetebandbreedte worden verlaagd of verhoogd aan de hand van de in de Boetebeleidsregels bepaalde factoren. Deze factoren sluiten aan bij de algemene voorwaarden voor het opleggen van administratieve geldboetes zoals neergelegd in artikel 83 AVGB.
| Categorie | Boetebandbreedte (EUR) | Basisboete (EUR) |
|---|---|---|
| I | 0 - 200,000 | 100,000 |
| II | 120,000 - 500,000 | 310,000 |
| III | 300,000 - 750,000 | 525,000 |
| IV | 450,000 - 1,000,000 | 725,000 |
De AVGB-artikelen zijn ingedeeld in deze vier boetecategorieën. De boetes van categorie IV omvatten bijvoorbeeld de niet-naleving van artikel 9 AVGB (het verbod op de verwerking van bijzondere categorieën van persoonsgegevens) en de niet-naleving van artikel 22 AVGB (het recht van de betrokkene om niet onderworpen te worden aan individuele geautomatiseerde besluitvorming).
De boetes die de AP heeft vastgesteld in de Boetebeleidsregels zijn vergeleken met de maximumboetes onder de AVGB relatief laag. De AP is echter bevoegd om hogere boetes op te leggen, indien de AP van oordeel is dat de in de Boetebeleidsregels vastgestelde boete niet passend is.
Afsluitende opmerkingen
De zichtbaarheid van de AP is de afgelopen maanden aanzienlijk toegenomen en het lijkt erop dat de AP – hoewel er nog steeds sprake is van capaciteitsproblemen – langzaam maar zeker op stoom komt.
Als we het Toezichtkader Autoriteit Persoonsgegevens 2018-2019 vergelijken met de toezicht- en handhavingsactiviteiten van de AP in de praktijk, kunnen we concluderen dat het toezichtkader 2018-2019 betrouwbare inzichten biedt in de toezichtactiviteiten van de AP. Desalniettemin, blijft de AP bevoegd om handhavingsacties te ondernemen die buiten het Toezichtkader vallen.
In 2018 richtte de AP zich vooral op de implementatie van en advisering over de AVGB. Haar doel was om organisaties te helpen en te begeleiden bij de snelle juridische veranderingen op het gebied van privacy. Volgens haar eigen verklaringen, bevindt de AP zicht momenteel in een overgangsfase waarin zij zich ontwikkelt van slechts een waarschuwende autoriteit naar ook een handhavende autoriteit die doorpakt waar nodig.
Wij zijn benieuwd hoe deze handhavingsactiviteiten de komende tijd verder vorm krijgen.
Dentons is the world's first polycentric global law firm. A top 20 firm on the Acritas 2015 Global Elite Brand Index, the Firm is committed to challenging the status quo in delivering consistent and uncompromising quality and value in new and inventive ways. Driven to provide clients a competitive edge, and connected to the communities where its clients want to do business, Dentons knows that understanding local cultures is crucial to successfully completing a deal, resolving a dispute or solving a business challenge. Now the world's largest law firm, Dentons' global team builds agile, tailored solutions to meet the local, national and global needs of private and public clients of any size in more than 125 locations serving 50-plus countries. www.dentons.com.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
