Welke handhavingsbevoegdheden heeft de Autoriteit Persoonsgegevens?

De Autoriteit Persoonsgegevens is in Nederland verantwoordelijk voor de handhaving van de Algemene Verordening Gegevensbescherming (AVG). Volgens de AVG moet ieder land in de Europese Unie een onafhankelijke toezichthouder aanstellen. In Nederland is dat de Autoriteit Persoonsgegevens. Die toezichthouder heeft diverse taken en bevoegdheden. Voor de meeste ondernemers is met name van belang welke handhavingsbevoegdheden de Autoriteit Persoonsgegevens heeft. Daar ga ik in dit blog op in.

Autoriteit Persoonsgegevens

De taak van de Autoriteit Persoonsgegevens

Artikel 57 AVG wijst een grote hoeveelheid taken toe aan de Autoriteit persoonsgegevens. Deze taken zijn te verdelen over drie categorieën:

  1. Informeren: De Autoriteit Persoonsgegevens moet het publiek en de overheid informeren over de AVG en de juiste toepassing daarvan. Zo heeft de Autoriteit Persoonsgegevens een adviesrecht voor nieuwe wetgeving en moet zij bewustzijn creëren.
  2. Accorderen: Volgens de AVG moet de nationale toezichthouder toestemming geven voor diverse handelingen. Zij stelt bijvoorbeeld standaardcontractbepalingen vast, accordeert gedragscodes en geeft advies over riskante verwerkingen.
  3. Handhaving: De Autoriteit Persoonsgegevens is belast met handhaving van de AVG. In dat kader voert zij onderzoeken uit en neemt naar aanleiding daarvan maatregelen. De toezichthouder moet ook klachten van behandelen en samenwerken met andere toezichthouders.

De Autoriteit Persoonsgegevens kan zelfstandig besluiten om te handhaven. Dat gebeurt bijvoorbeeld als zij signalen krijgt dat er iets mis is, bijvoorbeeld bij een datalek. Ook kan zij besluiten een bepaalde sector te onderzoeken. Daarnaast kan de Autoriteit Persoonsgegevens optreden naar aanleiding van een klacht door een betrokkene.

1. Onderzoeksbevoegdheden Autoriteit Persoonsgegevens

De Autoriteit Persoonsgegevens heeft vergaande bevoegdheden om onderzoek te verrichten. Meestal start een onderzoek met een inlichtingenverzoek gericht aan de verwerkingsverantwoordelijke of de bewerker. Het is verplicht alle gevraagde informatie te verstrekken. Een beroep op een geheimhoudingsplicht kan alleen met betrekking tot het onderzoek dat over een ander persoon gaat (Een advocaat kan zich dus wel op zijn geheimhoudingsplicht beroepen als informatie wordt verzocht in het kader van een onderzoek naar zijn cliënt, maar niet met betrekking tot een onderzoek naar de advocaat zelf). Daarnaast heeft de Autoriteit Persoonsgegevens het recht zonder toestemming alle ruimtes te betreden, ook woningen.

Niet voldoen aan de informatie- of medewerkingsplicht leiden tot een AVG boete van maximaal 20 miljoen euro. Meestal ziet de Autoriteit Persoonsgegevens dit echter als een boete verhogende omstandigheid voor het vergrijp waarnaar zij onderzoek verricht.

2. Waarschuwings- en berispingsbevoegdheden Autoriteit Persoonsgegevens

De Autoriteit Persoonsgegevens mag waarschuwingen en berispingen opleggen. Het verschil is dat een waarschuwing wordt gegeven voordat sprake is van een inbreuk en een berisping als de overtreding al heeft plaatsgevonden. Waarschuwingen en berispingen zijn het lichtste handhavingsmechanisme en mogen alleen gebruikt worden bij kleine overtredingen.

Waarschuwingen en berispingen hebben geen direct gevolg. Het negeren van een berisping kan wél een boete verhogende omstandigheid zijn bij recidive. Daarnaast leidt een berisping vaak tot negatieve publiciteit. Tot slot kan een berisping leiden tot schadeclaims van de betrokkenen.

3. Bevelen aan Verwerkersverantwoordelijken en bewerkers

De AVG biedt de mogelijkheid om verwerkersverantwoordelijken en bewerkers te bevelen conform de AVG te handelen. De Autoriteit Persoonsgegevens kan bijvoorbeeld een verantwoordelijke bevelen om de rechten van betrokkenen te respecteren, of een verwerkingsverbod opleggen. Ook kan de Autoriteit Persoonsgegevens een data transfer opschorten, een certificaat intrekken of gebieden om betrokkenen te informeren over een datalek.

Een bevel wordt vaak kracht bijgezet met een last onder dwangsom of een boete.

4. Last onder dwangsom of bestuursdwang door de Autoriteit Persoonsgegevens

De Autoriteit Persoonsgegevens is bevoegd een last onder dwangsom of een last onder bestuursdwang op te leggen. Een last onder dwangsom betekent dat de overtreder een dwangsom moet betalen indien hij niet binnen een bepaalde termijn voldoet aan een bevel. Meestal loopt de last onder dwangsom op per dag dat de overtreding voortduurt. De last onder dwangsom is dus een middel om een partij te dwingen een overtreding te herstellen. Een last onder bestuursdwang betekent dat de Autoriteit Persoonsgegevens zélf de overtreding herstelt op kosten van de overtreder. Er zijn niet veel situaties denkbaar waarin de Autoriteit Persoonsgegevens zélf een overtreding kan herstellen, dus het is onwaarschijnlijk dat de last onder bestuursdwang vaak zal worden toegepast.

5. AVG Boete

Tot slot heeft de Autoriteit Persoonsgegevens de bevoegdheid om een boete op te leggen. Die boete dient doeltreffend, evenredig en afschrikkend te zijn. Een boete kan maximaal 20 miljoen euro bedragen, of 4 % van de wereldwijde jaaromzet, als dat hoger is. Lees in dit artikel meer over de AVG boete.

Handhaving door de Autoriteit Persoonsgegevens in de praktijk

De Autoriteit moet altijd proportioneel optreden. Dat wil zeggen dat haar handhavingsinstrumenten altijd in verhouding moeten staan tot de overtreding en niet zwaarder mogen zijn dan noodzakelijk. Dat is ook terug te zien in de toepassing van de handhavingsbevoegdheden door de Autoriteit Persoonsgegevens cijfers. Ieder jaar ontvangt de Autoriteit Persoonsgegevens tussen de 20 en 30 duizend klachten en ongeveer evenveel datalekmeldingen. In ongeveer twee duizend gevallen stuurt de Autoriteit Persoonsgegevens een (informatie-)brief. Het aantal boetes en last onder dwangsom is ieder jaar op twee handen te tellen.

Handhaving is dus op dit moment nog redelijk schaars. Dat wil echter niet zeggen dat men de AVG zonder risico kan overtreden. In de eerste jaren trad de Autoriteit Persoonsgegevens vrijwel enkel op tegen zeer ernstige AVG overtredingen. De laatste jaren lijkt de Autoriteit Persoonsgegevens echter meer op te treden tegen lichtere overtredingen. Ook de Europese Unie dringt steeds meer aan op hardere handhaving. Bovendien kan het overtreden van de AVG leiden tot reputatierisico’s en schadeclaims.

Stephan Mulders is privacyrecht advocaat te Amsterdam. Heeft u vragen over de Autoriteit Persoonsgegevens en haar handhavingsbevoegdheden? Neem dan gerust contact op via s.mulders@vandiepen.com.