De Autoriteit Persoonsgegevens en de boetebevoegdheid

Valegis Advocaten telt met u af naar 25 mei 2018. Hierbij deel 6 in een reeks blogs over de nieuwe privacywetgeving.

De Autoriteit Persoonsgegevens en de boetebevoegdheid | Valegis AdvocatenDe Autoriteit Persoonsgegevens en de boetebevoegdheid

In Nederland is de Autoriteit Persoonsgegevens de organisatie die belast is met het toezicht op de toepassing en naleving van de Wet bescherming persoonsgegevens (Wbp). Op 25 mei 2018 zal de Algemene Verordening Gegevensbescherming (AVG) de Wbp vervangen. Met de komst van deze verordening zullen de reeds bestaande bevoegdheden van de Autoriteit versterkt worden.

Bevoegdheden Autoriteit Persoonsgegevens onder de AVG

Welke bevoegdheden zal de Autoriteit hebben zodra de AVG van toepassing is?

  1. Onderzoeksbevoegdheden, waaronder de bevoegdheid om informatie op te eisen bij de verantwoordelijke en de verwerker, controles te verrichten, afgegeven certificeringen te toetsen en toegang te verkrijgen tot alle bedrijfsruimten van de verantwoordelijke én de verwerker.
  2. De bevoegdheid tot het nemen van corrigerende maatregelen, bijvoorbeeld door de overtreder te waarschuwen of te berispen of door verwerkingen stop te zetten.
  1. Autorisatie- en adviesbevoegdheden, wat bijvoorbeeld inhoudt dat de Autoriteit certificeringen afgeeft of gedragscodes goedkeurt.

Boetebevoegdheid

De bevoegdheid die het meest in het nieuws is, is de boetebevoegdheid van de Autoriteit. De Autoriteit is met de komst van de AVG naast bovengenoemde bevoegdheden bevoegd administratieve boetes op te leggen tot wel 20 miljoen euro of 4% van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit laatste cijfer hoger is.

Let wel, dit is een maximumbedrag. Hoewel de boetes een afschrikwekkend effect moeten hebben en dus niet te laag mogen zijn, moeten ze wel evenredig zijn. De Autoriteit zal voor de vraag of een boete moet worden opgelegd en hoe hoog deze moet zijn dus rekening houden met de omstandigheden van het geval. Zo zal een kleine onderneming die slechts van een handjevol personen de gegevens verwerkt en waarbij deze personen door de incidentele overtreding nauwelijks geraakt zijn, niet even zwaar worden beboet als een groot bedrijf dat voortdurend overtredingen begaat en waarbij veel mensen getroffen zijn.

Inspecties door de Autoriteit Persoonsgegevens

De Autoriteit kan zelf besluiten onderzoek in te stellen naar de naleving van de privacywetgeving (ambtshalve onderzoek). Dit gebeurt veelal naar aanleiding van actuele gebeurtenissen of op basis van tips die de Autoriteit ontvangt. Momenteel ontvangt de Autoriteit ongeveer 8000 tips per jaar[1] en dat zouden er met de komst van de AVG weleens veel meer kunnen worden. Daarnaast kan de Autoriteit onderzoek instellen op verzoek van belanghebbenden.

Wat gebeurt er nu precies wanneer de Autoriteit besluit onderzoek te doen naar uw organisatie? Allereerst zal de Autoriteit een onderzoek ter plaatse instellen of schriftelijke vragen stellen aan uw organisatie. Hierna volgt een rapport met voorlopige bevindingen. Als organisatie kunt u vervolgens uw zienswijze geven en in het geval van een vermeende overtreding raden wij u ook sterk aan dit te doen. In de zienswijze kunt u de Autoriteit immers uitleggen waarom u gekozen hebt voor de bepaalde handelswijze en waarom naar uw mening geen sprake is van een overtreding.

Na de zienswijze legt de Autoriteit haar definitieve bevindingen vast in het onderzoeksrapport. Dit onderzoeksrapport zal openbaar gemaakt worden. Wel is het mogelijk een voorlopige voorziening aan de rechtbank te vragen om publicatie tegen te gaan.

U bent verplicht mee te werken aan het onderzoek door de Autoriteit en u zult op verzoek alle vereiste gegevens moeten verstrekken. Het feit dat u niet hebt meegewerkt aan het onderzoek zal in de regel leiden tot een hogere boete. Daarnaast kan de Autoriteit een last onder bestuursdwang opleggen indien u niet volledig meewerkt aan het onderzoek.

Tips

  • Werk volledig mee aan het onderzoek, maar zorg ervoor dat alleen medewerkers met kennis van zaken de Autoriteit inhoudelijk te woord staan. Een eenmaal afgelegde verklaring kan immers moeilijk ontkracht worden.
  • Handel proactief: maak direct de schending ongedaan of toon aan waarom geen sprake is van een schending.

Hebt u nog vragen over dit onderwerp? Het privacyrecht team van Valegis Advocaten staat altijd voor u klaar.

Dit artikel is geschreven door Andrea de Ruijter.

 

 

 

 

 


[1] https://www.autoriteitpersoonsgegevens.nl/nl/over-privacy/het-werk-van-de-autoriteit-persoonsgegevens/jaaroverzichten-tips

DE GEGEVENSBESCHERMINGSEFFECTBEOORDELING (DPIA) IN DE PRAKTIJK | Valegis AdvocatenHet register van verwerkingsactiviteiten; noodzaak én nut. | Valegis