AVG Uitgediept #14: Handhaving en sancties
Onze blogreeks AVG Uitgediept sluiten we af met een bijdrage over de handhaving van de AVG en sancties op overtreding ervan. In de periode tot de inwerkingtreding van de AVG heeft er veel nadruk gelegen op de mogelijkheid dat hoge boetes zullen worden uitgedeeld als bedrijven en instellingen niet voldoen aan de vereisten die gelden op basis van de AVG. Het is op zich ook juist dat onder de AVG boetes tot € 20 miljoen of 4% van de wereldwijde jaaromzet als sancties op overtreding kunnen worden opgelegd. Dit zijn echter wel de hoogst mogelijke boetes die de nationale autoriteiten kunnen opleggen en de kans dat een gemiddelde onderneming direct wordt geconfronteerd met dergelijke boetes is niet groot. Er is dus meer onder de zon dan enkel die hoge boetes als we kijken naar de taken en bevoegdheden van en handhaving door de AVG, waaronder het opleggen van sancties.
Wie handhaaft?
De Autoriteit Persoonsgegevens (AP) is de instantie die in Nederland toezicht houdt op de naleving van de AVG. In de AVG zijn de taken van de AP hiervoor opgenomen. Art. 57 AVG noemt in dit verband onder meer:
- Monitoren en handhaven van de verordening;
- Bevordering bij het brede publiek de bekendheid met en het inzicht in de risico’s, regels, waarborgen en rechten in verband met de verwerking;
- Advies verlenen aan parlement, regering en andere instellingen en organen over wetgevingsinitiatieven en bestuursmaatregelen in verband met bescherming van grondrechten natuurlijke personen ten aanzien van de verwerking;
- Informeren van verwerkingsverantwoordelijken en verwerkers over hun verplichtingen uit hoofde van de verordening;
- Informatie verstrekking aan betrokkenen over rechten uit hoofde van de verordening;
- Behandeling van klachten;
- Samenwerken met andere toezichthoudende autoriteiten; en
- Bijhouden interne registers van inbreuken op de verordening;
Etc.
Naast de meer algemene taken heeft de autoriteit verschillende bevoegdheden uit hoofde van de AVG. Art. 58 AVG noemt in dit kader onder meer:
- Verwerkingsverantwoordelijke en verwerker gelasten informatie te verstrekken ter uitvoering van de taken van de AP;
- Verwerkingsverantwoordelijke en verwerker informeren over een beweerde inbreuk op de verordening;
- Toegang verkrijgen tot persoonsgegevens en informatie, alsmede bedrijfsruimten van de verwerkingsverantwoordelijke en verwerker;
Waar bestaat de handhaving uit?
Hier is duidelijk waar te nemen dat de AP een controlerende- en opsporingsbevoegdheid heeft om inbreuk op de AVG vast te stellen en hier vervolgens ook actie op te nemen. De AP kan in dit verband corrigerende maatregelen treffen, waaronder het geven van een waarschuwing of berisping, de verwerkingsverantwoordelijke en verwerker gelasten de verzoeken van de betrokkenen in te willigen, gelasten dat de verwerking in overeenstemming met de AVG wordt gebracht, het opleggen van een tijdelijk of definitief verwerkingsverbod en het opleggen van een administratieve geldboete. De geldboete kan naast of in plaats van andere hiervoor genoemde sancties worden opgelegd.
Bij het besluit of een administratieve geldboete moet worden opgelegd en hoe hoog de boete dient te zijn, zal de AP rekening moeten houden met verschillende factoren. Te noemen zijn de ernst, aard en duur van de inbreuk, of de inbreuk naar haar aard opzettelijk of nalatig was, welke technische en organisatorische maatregelen zijn getroffen, eerdere relevante inbreuken, welke categorieën van persoonsgegevens zijn getroffen, etc.
Van belang is voorts dat de Algemene wet bestuursrecht (Awb) van toepassing is en regels geeft voor de procedures die voortvloeien uit de besluiten en maatregelen die de AP neemt. Zo is het opleggen van een administratieve boete door de AP een besluit waar bezwaar en beroep in het kader van de Awb open staat.
Rechtsbescherming bij AVG-handelingen
Overigens, een besluit van een overheidsorgaan op een verzoek van een betrokkene (bijvoorbeeld een verzoek tot inzage in de verwerkte persoonsgegevens) is eveneens te beschouwen als een besluit in de zin van de Awb (met het gevaar van misbruik). Indien een dergelijk besluit wordt genomen door een instelling of onderneming die geen overheidsorgaan is, kan de betrokkenen de burgerlijke rechter benaderen als hij zich in de reactie op zijn verzoek niet kan vinden. Als alternatief is voor alle betrokkenen ook mogelijk zich te wenden tot de AP om te bemiddelen of te adviseren in het geschil dat met de verwerkingsverantwoordelijke of verwerker is ontstaan. Ook kan dan een beroep worden gedaan op de geschillenbeslechting als bedoeld in art. 40 van de AVG.
Handhaving? Bestuursrechtelijke kennis vereist!
Handhaving van de AVG en het treffen van sancties door de AP, zijn onderworpen aan diverse regels. Het opleggen van een boete van € 20 miljoen bij een eerste en relatief beperkte inbreuk op de AVG zal niet erg waarschijnlijk zijn. Toch bestaat de verwachting dat de AP de AVG actief zal handhaven. Alle betrokkenen zijn zich ervan bewust dat de AP het druk zal krijgen, maar de politiek lijkt zich eerder uit te spreken voor meer middelen dan meer terughoudendheid bij de handhaving. Al lijkt de teneur ook te zijn dat vooral handhavend moet worden opgetreden bij bewuste schending van rechten en acht men de voorlichtende taak van de AP ook van groot belang.
Hoe dat ook zij, als handhavend wordt opgetreden (of het voornemen daartoe wordt geuit) is het raadzaam bestuursrechtelijk advies in te winnen hoe hier op moet worden gereageerd. De termijnen die de Awb bijvoorbeeld voor het instellen van bezwaar en beroep stelt, zijn relatief kort (6 weken). Ten Holter Noordam advocaten kan u hier uitstekend bij assisteren. Aarzel dan ook niet om de privacy advocaten van Ten Holter Noordam te raadplegen, indien uw organisatie met maatregelen van de zijde van de AP wordt geconfronteerd.