GDPR Update - GDPR in the Netherlands: one year after (Dutch)

Dentons
Contact

Dentons

De AVGB in Nederland: één jaar later

Inleiding

Het is één jaar geleden dat de AVGB van toepassing werd.

In de aanloop naar 25 mei 2018, was er veel te doen omtrent de implementatie van de nieuwe privacywetgeving. De afkorting ‘AVGB’, de datum van 25 mei 2018 en het vooruitzicht van bestuurlijke boetes oplopend tot €20 miljoen kregen veel media-aandacht. Dit leidde tot een zekere mate van onrust binnen veel organisaties, van wereldwijd opererende ondernemingen tot lokale sportverenigingen.

Een groot deel van de onrust had te maken met de eventuele handhaving door de toezichthouders. Organisaties leken het meest te vrezen voor bestuurlijke boetes en het risico op negatieve publiciteit. Deze vrees voor boetes werd versterkt door het feit dat de Autoriteit Persoonsgegevens (de AP) (en andere Europese toezichthouders) opvallend stil waren over hun voorgenomen handhavingsactiviteiten.

Sinds 25 mei 2018, is de AP echter transparanter geworden over haar toezichts- en handhavingsstrategie. Niet alleen op papier, maar ook in de praktijk.

In deze bijdrage gaan wij kort in op de handhavingsactiviteiten van de AP in het afgelopen jaar.

Toezichtkader Autoriteit Persoonsgegevens 2018-2019

Op dezelfde dag dat de AVGB van toepassing werd, publiceerde de AP haar Toezichtkader voor 2018-2019. Hierin zette zij haar ambities, kernwaarden en toezichtdoelen uiteen.

Voor de periode 2018-2019 heeft de AP zichzelf de volgende drie doelen gesteld:

  1. het bevorderen van de naleving van de AVGB;
  2. het controleren van de naleving van de AVGB; en
  3. het risicogericht toezicht.

Het eerste doel (het bevorderen van de naleving van de AVGB) is volgens de AP het belangrijkste doel van het toezicht in 2018-2019. Om naleving van de AVGB te bevorderen, vindt de AP het onder andere nodig om begeleiding te bieden ten aanzien van de interpretatie en implementatie van de AVGB. Voorbeelden van dergelijke begeleiding in het afgelopen jaar, zijn het organiseren van een seminar voor Functionarissen Gegevensbescherming (FG’s), en het verstrekken van praktisch advies op haar website bijvoorbeeld over het opstellen en implementeren van privacy-beleid en het documenteren van datalekken.

Wat de AP betreft, draagt het opvolgen van klachten van betrokkenen ook bij aan het bevorderen van de naleving van de AVGB. De AP richt zich vooral op terugkerende klachten. Tegen het einde van 2018 had de AP al bijna 11.000 klachten ontvangen, een stuk meer dan zij verwachtte. Betrokkenen klaagden vooral dat ze hun rechten niet of slechts moeizaam konden uitoefenen, en dat zij (tele)marketingcommunicatie ontvingen van bedrijven aan wie zij hun gegevens niet zouden hebben verstrekt.

Betrokkenen richten hun klachten over gegevensverwerking vaak eerst aan de organisatie zelf, in plaats van zich direct tot de AP te wenden. Het is onze ervaring dat de AP er waarde aan hecht dat organisaties de klachten van betrokkenen serieus nemen en hierop met zorg reageren. Communicatie met de betrokkene kan eventueel in een later stadium door de AP in een (informeel) onderzoek worden betrokken. De AP waardeert een actieve en coöperatieve houding van de verwerkingsverantwoordelijke.

Met het tweede doel (het controleren van de naleving), richt de AP zich in het bijzonder op het accountability-beginsel: organisaties moeten kunnen aantonen dat ze aan de vereisten van de AVGB voldoen. Hoewel het op orde hebben van de juiste documenten niet betekent dat een organisatie voldoet aan de AVGB, meent de AP dat dit wel een goede indicatie is of er serieus werk is gemaakt van de implementatie van de AVGB en dat de organisatie heeft nagedacht over belangrijke aspecten van de AVGB.

Om vast te stellen of organisaties voldoen aan het accountability-beginsel, heeft de AP steekproefsgewijs steeds een aantal organisaties verzocht om bepaalde informatie te verstrekken. Zo heeft de AP bij verschillende overheidsorganisaties en zorginstellingen gecontroleerd op de verplichting om een FG aan te stellen. Daarnaast heeft de AP bij een aantal grote ondernemingen in verschillende private sectoren onderzoek gedaan naar of deze ondernemingen een verwerkingsregister bijhielden en verwerkingsovereenkomsten waren aangegaan met hun verwerkers. Later heeft de AP ook nog een verkennend onderzoek gedaan naar het bestaan van privacy-beleid binnen onder andere politieke partijen, en het bestaan van adequate datalekkenregisters bij overheidsorganisaties. Stelde de AP vast dat een organisatie niet of niet naar behoren de opgevraagde informatie kon overleggen, dan kreeg de organisatie in kwestie de gelegenheid om dit binnen een door de AP bepaalde termijn te verhelpen.

Het derde doel van de AP is het risicogerichte toezicht op de naleving van de AVGB. Hierbij richt de AP zich op verwerkingsactiviteiten die grote risico’s met zich meebrengen, bijvoorbeeld gezien de aard van de verwerkte gegevens, of vanwege het soort of het aantal betrokkenen. De AP focust zich daarom met name op de verwerking van persoonsgegevens door de overheid, gezondheidsinstellingen en bedrijven die handelen in persoonsgegevens. Ook organisaties die veel financiële gegevens verwerken krijgen aandacht.

Dit alles blijkt uit de eerste onderzoeken die de AP heeft ingesteld. Enkele voorbeelden van deze onderzoeken zijn:

  • een onderzoek bij de Koninklijke Nederlandse Lawn Tennis Bond (de KNLTB), die wordt beticht van het doorverkopen van persoonsgegevens aan sponsoren. Leden van de KNLTB hebben schijnbaar meerdere klachten ingediend bij de AP tegen deze praktijken;
  • een onderzoek bij de Belastingdienst, die ervan wordt beticht op onrechtmatige wijze bijzondere persoonsgegevens te verwerken, waaronder nationaliteit, in het kader van de onderzoeken van de Belastingdienst naar fraude met kinderopvangtoeslag; en
  • een onderzoek naar verschillende websites met betrekking tot het plaatsen van cookies en het verkrijgen van toestemming.

Boetebeleidsregels Autoriteit Persoonsgegevens

In maart 2019 publiceerde de AP haar herziene beleidsregels met betrekking tot het bepalen van de hoogte van bestuurlijke boetes voor overtredingen van de AVGB en de Uitvoeringswet AVGB (de Boetebeleidsregels).

Kortgezegd, heeft de AP in de Boetebeleidsregels vier categorieën van bestuurlijke boetes vastgesteld. Elke boetecategorie is gekoppeld aan een bepaalde financiële bandbreedte die de AP passend en geboden acht. Elke boetecategorie heeft een minimum- en maximum. Binnen de bandbreedte heeft de AP een basisboete vastgesteld. Dit is het startbedrag van waaruit de AP verder rekent. De boetes kunnen binnen de boetebandbreedte worden verlaagd of verhoogd aan de hand van de in de Boetebeleidsregels bepaalde factoren. Deze factoren sluiten aan bij de algemene voorwaarden voor het opleggen van administratieve geldboetes zoals neergelegd in artikel 83 AVGB. 

Categorie Boetebandbreedte (EUR) Basisboete (EUR)
 I  0 - 200,000  100,000
 II  120,000 - 500,000  310,000
 III  300,000 - 750,000   525,000
 IV  450,000 - 1,000,000  725,000

De AVGB-artikelen zijn ingedeeld in deze vier boetecategorieën. De boetes van categorie IV omvatten bijvoorbeeld de niet-naleving van artikel 9 AVGB (het verbod op de verwerking van bijzondere categorieën van persoonsgegevens) en de niet-naleving van artikel 22 AVGB (het recht van de betrokkene om niet onderworpen te worden aan individuele geautomatiseerde besluitvorming).

De boetes die de AP heeft vastgesteld in de Boetebeleidsregels zijn vergeleken met de maximumboetes onder de AVGB relatief laag. De AP is echter bevoegd om hogere boetes op te leggen, indien de AP van oordeel is dat de in de Boetebeleidsregels vastgestelde boete niet passend is.

Afsluitende opmerkingen

De zichtbaarheid van de AP is de afgelopen maanden aanzienlijk toegenomen en het lijkt erop dat de AP – hoewel er nog steeds sprake is van capaciteitsproblemen – langzaam maar zeker op stoom komt.

Als we het Toezichtkader Autoriteit Persoonsgegevens 2018-2019 vergelijken met de toezicht- en handhavingsactiviteiten van de AP in de praktijk, kunnen we concluderen dat het toezichtkader 2018-2019 betrouwbare inzichten biedt in de toezichtactiviteiten van de AP. Desalniettemin, blijft de AP bevoegd om handhavingsacties te ondernemen die buiten het Toezichtkader vallen.

In 2018 richtte de AP zich vooral op de implementatie van en advisering over de AVGB. Haar doel was om organisaties te helpen en te begeleiden bij de snelle juridische veranderingen op het gebied van privacy. Volgens haar eigen verklaringen, bevindt de AP zicht momenteel in een overgangsfase waarin zij zich ontwikkelt van slechts een waarschuwende autoriteit naar ook een handhavende autoriteit die doorpakt waar nodig.

Wij zijn benieuwd hoe deze handhavingsactiviteiten de komende tijd verder vorm krijgen

DISCLAIMER: Because of the generality of this update, the information provided herein may not be applicable in all situations and should not be acted upon without specific legal advice based on particular situations.

© Dentons | Attorney Advertising

Written by:

Dentons
Contact
more
less

Dentons on:

Reporters on Deadline

"My best business intelligence, in one easy email…"

Your first step to building a free, personalized, morning email brief covering pertinent authors and topics on JD Supra:
*By using the service, you signify your acceptance of JD Supra's Privacy Policy.
Custom Email Digest
- hide
- hide

This website uses cookies to improve user experience, track anonymous site usage, store authorization tokens and permit sharing on social media networks. By continuing to browse this website you accept the use of cookies. Click here to read more about how we use cookies.