In het laatste deel van deze blogreeks gaan wij in op de bevoegdheden van de toezichthouder(s). Ieder land heeft een eigen privacy toezichthouder. In Nederland is dat de Autoriteit Persoonsgegevens (AP). Dat de AP handhavend kan optreden, weten de meeste mensen wel. Maar welke bevoegdheden heeft de AP nog meer en hoe ziet de samenwerking met andere privacy toezichthouders eruit? Je leest het in deze blog.
Bevoegdheden van de AP
De AP heeft ten eerste een voorlichtingstaak. Dat houdt in dat de AP het privacy bewustzijn bij de Nederlandse bevolking moet vergroten en dat de AP bewustzijn bij verwerkingsverantwoordelijken en verwerkers moet creëren over hun verplichting(en) onder de AVG. Dit doet de AP bijvoorbeeld door beleidsdocumentatie te publiceren. De AP heeft daarnaast diverse andere bevoegdheden. Hieronder lichten wij er een aantal toe.
˃ Behandeling van klachten van betrokkenen
Eén van de privacyrechten die een betrokkene heeft, is het indienen van een klacht bij de toezichthouder als de betrokkene meent dat een verwerking van zijn of haar persoonsgegevens inbreuk maakt op de AVG. De AP neemt deze klachten in Nederland in behandeling.
˃ Voorafgaande raadpleging
Als een verwerkingsverantwoordelijke een Data Protection Impact Assessment (DPIA) heeft uitgevoerd waarbij (na het nemen van maatregelen) een restrisico voor de betrokkenen overblijft, dan moet de verwerkingsverantwoordelijke de voorgenomen verwerking voorleggen aan de AP. Dit heet een voorafgaande raadpleging. Bij een voorafgaande raadpleging kijkt de AP of de voorgenomen verwerking voldoet aan de eisen uit de AVG, en beoordeelt de AP de risico’s van de verwerking. Er zijn drie uitkomsten mogelijk:
1. De AP geeft een positief advies waarin de maatregelen of veranderingen zijn opgenomen die doorgevoerd moeten worden om te zorgen dat de voorgenomen verwerking geen inbreuk maakt op de AVG. Als deze doorgevoerd zijn, mag met de verwerking worden gestart.
2. De AP geeft een negatief advies als een inbreuk op de AVG niet kan worden voorkomen, zelfs niet met extra waarborgen of maatregelen. De verwerking mag niet worden gestart.
3. Geen advies nodig: Er is geen advies van de AP nodig, bijvoorbeeld als blijkt dat de risico's toch voldoende zijn afgedekt. De verwerking mag dan direct worden gestart.
Als er sprake is van grensoverschrijdende verwerking, dan behandelt de AP de voorafgaande raadpleging alleen als het de leidende toezichthouder is (waarover later meer). Is een andere, Europese toezichthouder leidend? Dan stuurt de AP de aanvraag door.
˃ Vergunning bij verwerken en delen van strafrechtelijke gegevens
Het verwerken van strafrechtelijke gegevens is aan strenge eisen gebonden. Als een organisatie geen beroep kan doen op een uitzondering uit art. 32 of 33 UAVG, dan moet de AP een vergunning verlenen voor deze verwerking. Voorafgaand aan de vergunningsaanvraag moet de organisatie een DPIA uitvoeren en een protocol opstellen waarin is opgenomen hoe en waarom de strafrechtelijke persoonsgegevens worden verwerkt. Als er sprake is van een restrisico na de uitvoering van de DPIA, dan moet de organisatie de AP voorafgaand raadplegen. De AP houdt een register met verleende en afgewezen vergunningen bij. De AP neemt ook deel aan het toezicht op Europol, Eurojust en Europese informatiesystemen (bijvoorbeeld het Douane Informatiesysteem (DIS)), waar strafrechtelijke gegevens worden uitgewisseld.
˃ Advisering gedragscode en AVG-certificaten
De AP speelt ook een rol bij de initiële goedkeuring van gedragscodes en AVG-certificaten. Verder dient de wijziging of verlenging van een eerder goedgekeurde gedragscode aan de AP te worden voorgelegd ter goedkeuring.
Onderzoek en handhaving door de AP
De AP kan op eigen initiatief of naar aanleiding van een klacht van een betrokkene (verkennend) onderzoek doen naar een bepaalde sector, maar ook gerichte onderzoeken naar een of meer organisaties. Als een organisatie de AVG niet naleeft, kan de AP corrigerende maatregelen treffen. De AP moet hierbij wel de Algemene wet bestuursrecht (Awb) in acht nemen.
˃ Onderzoeksbevoegdheden
De AP heeft op grond van art. 58 AVG diverse bevoegdheden ter bevordering van het uitvoeren van onderzoeken. Zo mag de AP een verwerkingsverantwoordelijke of verwerker bevelen bepaalde informatie te verstrekken of zich toegang tot kantoorpanden of computers verschaffen waar de persoonsgegevens opgeslagen staan.
˃ Last onder dwangsom en boetes
De AP kan een organisatie die de AVG overtreedt een corrigerende maatregel, zoals een last onder dwangsom of een boete opleggen (art. 83 AVG). Een boete bedraagt maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet, welke van de twee hoger is, en kan dus fors oplopen. De AP neemt daarbij Guidelines on the application and setting of administrative fines en Guidelines on the calculation of administrative fines under the GDPR van de Europese toezichthouder in acht, aangevuld met de AP Boetebeleidsregels 2023. De sinds de inwerkingtreding van de AVG in 2018 door de AP opgelegde sancties (“Besluiten”) worden op de AP-website gepubliceerd, wat afschrikwekkend kan werken. Een organisatie kan tegen een besluit bezwaar maken en daarna eventueel beroep instellen bij de rechtbank.
˃ Overige bevoegdheden
Verder kan de AP een organisatie verbieden (bepaalde categorieën van) persoonsgegevens (tijdelijk) te verwerken (een zogeheten ‘verwerkingsverbod’), een berisping (ook wel een ‘normoverdragende brief’ genoemd) geven of een formele waarschuwing voor een voorgenomen verwerking geven. De AP kan een organisatie ook opdragen om bijvoorbeeld een betrokkene in te lichten over een overtreding. De AP heeft binnen de kaders van de wetgeving dus veel mogelijkheden om te handhaven.
(Internationale) samenwerking met andere toezichthouders
De AP werkt samen met andere toezichthouders binnen en buiten de EU. Hieronder wordt nader ingegaan op de samenwerking met de andere Europese toezichthouders, maar de AP heeft bijvoorbeeld ook een samenwerkingsovereenkomst met de Canadese Office of the Privacy Commissioner.
˃ Eenloketmechanisme
Wanneer er sprake is van een grensoverschrijdende verwerking is de toezichthouder van de EU-lidstaat waar de organisatie gevestigd is in beginsel de ‘leidende toezichthouder’. De toezichthouders van de EU-lidstaten waar de gegevensverwerking impact op heeft, zijn de ‘betrokken toezichthouders’. De leidende toezichthouder werkt samen en stemt af met de betrokken toezichthouder(s). Een organisatie heeft door dit ‘eenloketmechanisme’ in beginsel maar te maken met één toezichthouder.
Hoofdstuk VII van de AVG gaat in op de samenwerking tussen deze toezichthouders. Zo moeten toezichthouders uit verschillende lidstaten wederzijdse bijstand verlenen bij voorafgaande raadpleging, inspecties en onderzoeken. De EDPB heeft Guidelines gepubliceerd ter nadere invulling van de samenwerking tussen de leidende en betrokken toezichthouders (art. 60 AVG).
˃ European Data Protection Board (EDPB)
De nationale privacy toezichthouders (en dus ook de AP) zijn lid van de Europese toezichthouder, de EDPB. Dit is een onafhankelijk orgaan waarin alle nationale toezichthouders en de European Data Protection Supervisor (EDPS) samenwerken. De EDPB zorgt ervoor dat de AVG (en de Richtlijn gegevensbescherming bij rechtshandhaving) consequent wordt toegepast in de EU. De EDPB kan in dat kader adviezen (bijvoorbeeld in het kader van binding corporate rules), besluiten en beleidsdocumentatie (zoals opinies en guidelines) publiceren.
Hiermee is een einde gekomen aan de AVG-blogreeks. Als er andere privacyrechtelijke onderwerpen zijn waarover jij graag meer wilt weten, neem dan contact met ons op. Als jouw organisatie ondersteuning nodig heeft bij de uitvoering en nakoming van de vereisten uit de AVG, dan helpen onze specialisten graag. Er mag onder de AVG veel, als het maar goed is geregeld!
Juridisch advies is altijd maatwerk. Deze blog bevat algemene informatie. Hoewel het artikel met veel aandacht en zorgvuldigheid is geschreven, is het verstandig om in een voorkomend geval altijd deskundig juridisch advies in te winnen. (Lees onze disclaimer).
In de eerste blog hebben wij een aantal belangrijke begrippen besproken. Verder hebben wij de toepasselijkheid van de AVG en de belangrijkste rollen bij gegevensverwerking behandeld. In deze blog zoomen we in op de beginselen van de verwerking van persoonsgegevens en de rechtmatigheid daarvan. Kortom, waar moet je op letten als je gegevens gaat verwerken.
Lees verder
In de vorige blog hebben wij de verschillende beginselen en grondslagen van gegevensverwerking besproken. Heb je de beginselen goed toegepast en voor iedere verwerking de bijbehorende grondslag bepaald, dan wordt het tijd deze verwerkingen op te nemen in het verwerkingsregister van jouw organisatie.
Lees verder
In de vorige blog bespraken wij één van de onderdelen van goed privacymanagement, het verwerkingsregister. Het incidentenregister, een overzicht van alle inbreuken binnen een organisatie, is een ander essentieel onderdeel van privacymanagement. Dit overzicht is essentieel omdat iedere organisatie op enig moment te maken krijgt met zo’n inbreuk, ongeacht hoe goed de getroffen (beveiligings)maatregelen zijn. Het register helpt bij het voldoen aan de verantwoordingsplicht die geldt onder de AVG. Heb jij er al één opgesteld?
Lees verderAls organisatie ben je verplicht om aan betrokkenen, zoals klanten en medewerkers, te laten weten wat je met hun persoonsgegevens gaat doen en waarom. Dit recht op informatie wordt vaak vormgegeven door een privacyverklaring, bijvoorbeeld gepubliceerd op de website waar de gegevens verzameld worden of opgenomen in het personeelshandboek.
Lees verderHet recht op inzage Dit recht houdt in dat een betrokkene o.a. inzicht moet krijgen in de (soorten) persoonsgegevens die jouw organisatie (als verwerkingsverantwoordelijke) van diegene verwerkt, waarom deze worden verwerkt (de doeleinden) en aan wie deze worden verstrekt. De eerste ‘kopie’ van de persoonsgegevens die worden verwerkt, moet kosteloos verstrekt worden. Kopie betekent overigens niet dat automatisch afschriften verstrekt moeten worden van documenten waarin de persoonsgegevens verwerkt zijn; dat hangt van de omstandigheden af. Er bestaan diverse uitzonderingen op het inzagerecht, bijvoorbeeld bij de opsporing van strafbare feiten.
Lees verder.jpg)
Inmiddels hebben wij al diverse onderdelen uit de Algemene verordening gegevensbescherming (AVG) behandeld, zoals het incidentenregister en de privacyverklaring. Heb jij een blog in de AVG-reeks gemist? Je vindt alle blogs hier terug. Vandaag is de Data Protection Impact Assessment uit de AVG aan de beurt. Naast de AVG bevatten de Wet politiegegevens (Wpg) en de Wet justitiële en strafvorderlijke gegevens (Wjsg) een verplichting om een DPIA uit te voeren, maar dat laten wij buiten beschouwing.
Lees verder
Bijna aan het einde van deze blogreeks besteden wij aandacht aan een belangrijk onderwerp, de internationale doorgifte van persoonsgegevens. Waar moet je op letten indien je persoonsgegevens buiten Nederland wilt verwerken? Zoals met veel onderwerpen binnen het gegevensbeschermingsrecht mag er veel, zolang het maar goed wordt geregeld. In deze blog behandelen wij de verschillende manieren van het doorgeven van persoonsgegevens naar het buitenland en welke waarborgen daarbij (kunnen) komen kijken.
Lees verder