Short Reads

FAQ: Hoe is de bestuurlijke handhaving van de Algemene verordening gegevensbescherming (AVG) vormgegeven?

FAQ: Hoe is de bestuurlijke handhaving van de Algemene verordening ge

FAQ: Hoe is de bestuurlijke handhaving van de Algemene verordening gegevensbescherming (AVG) vormgegeven?

09.05.2018

Op 25 mei 2018 treedt de Algemene verordening gegevensbescherming ("AVG") in werking. De verordening heeft rechtstreekse werking in het Nederlandse rechtssysteem. Het gevolg daarvan is dat de Nederlandse privacywaakhond, de Autoriteit Persoonsgegevens, een scala handhavingsinstrumenten op grond van de AVG kan inzetten om naleving van de privacywetgeving te bevorderen.

Thans behandelt de Eerste Kamer de Uitvoeringswet Algemene verordening gegevensbescherming ("UAVG"). Beoogd wordt om de UAVG op 25 mei 2018 in werking te laten treden. De UAVG geeft nadere uitvoering aan de AVG die op sommige aspecten aan lidstaten ruimte laat om bepaalde aspecten nader te regelen. De UAVG bevat in aanvulling op en ter uitvoering van de AVG onder meer een aantal belangrijke voorschriften die zien op handhaving. Als gevolg van de inwerkingtreding van de AVG en de UAVG is de Wet bescherming persoonsgegevens ("Wbp") niet meer van toepassing. In deze FAQ zullen wij een aantal vragen die in de praktijk spelen over bestuurlijke handhaving onder de AVG en UAVG nader bespreken.

Welke instantie is in Nederland bevoegd tot handhaving van de AVG?

De AVG bepaalt dat iedere lidstaat van de Europese Unie één of meer toezichthouders moet oprichten, die belast zijn met het toezicht op de  Verordening (artikel 51, eerste lid, AVG). In Nederland is dit de Autoriteit Persoonsgegevens (artikel 6, tweede lid, UAVG).

Welke handhavingsinstrumenten heeft de Autoriteit Persoonsgegevens op grond van de AVG en UAVG?

De AVG vergroot en verzwaart het arsenaal aan handhavingsinstrumenten dat de Autoriteit Persoonsgegevens thans op grond van de Wbp heeft. De AVG biedt de toezichthouder de mogelijkheid om zogeheten 'corrigerende maatregelen' (artikel 58, tweede lid, AVG) op te leggen. Daarnaast biedt de UAVG de Autoriteit Persoonsgegevens ook de mogelijkheid tot oplegging van een last onder bestuursdwang of een last onder dwangsom (artikel 16 UAVG).

Onder 'corrigerende maatregelen' in de AVG vallen onder meer:

  • waarschuwing
  • berisping
  • administratieve geldboete, oftewel een bestuurlijke boete
  • tijdelijke of definitieve verwerkingsbeperking (waaronder een verwerkingsverbod)
  • intrekking van certificaten
  • opschorting van gegevensstromen naar een ontvanger in een derde land.

De UAVG 'vertaalt' de term 'corrigerende maatregelen' met uitzondering van de waarschuwing als 'bestuurlijke sancties' in de zin van de Algemene wet bestuursrecht (artikel 14, vierde lid, UAVG). Dat betekent dus dat de bepalingen uit de Awb die zien op de bestuurlijke sancties ook van toepassing zijn op de desbetreffende corrigerende sancties in de AVG. Daarbij kan  bijvoorbeeld gedacht worden aan de cumulatie van corrigerende sancties (artikel 5:6 Awb) en dat deze sancties preventief kunnen worden opgelegd (artikel 5:7 Awb).

Is de Autoriteit Persoonsgegevens verplicht om handhavend op te treden?

De (U)AVG verplicht de Autoriteit Persoonsgegevens niet om handhavend op te treden. Bovendien verplicht deze wetgeving de Autoriteit niet om voor een bepaald handhavingsinstrument (bijvoorbeeld een boete of last onder dwangsom) te kiezen. Het gaat om discretionaire bevoegdheden die de toezichthouder ruimte laten om zelf handhavingsbeleid te bepalen en in dat kader prioriteiten te kiezen.

Het zou vanwege de rechtszekerheid van betrokken partijen goed zijn wanneer de Autoriteit Persoonsgegevens in beleidsregels duidelijk maakt  onder welke omstandigheden zij handhavend zal optreden en in welke gevallen zij van een bepaald instrument gebruik zal maken.

Hoe hoog zijn de boetes die de Autoriteit Persoonsgegevens maximaal kan opleggen?

De AVG biedt de Autoriteit Persoonsgegevens de bevoegdheid om hoge boetes op te leggen wegens specifieke inbreuken op de AVG. Artikel 83 AVG voorziet in de sanctionering met boetes in twee categorieën overtredingen:

Type overtreding

Maximale boete

Overtreding van bepalingen die zien op o.a. verwerking  van persoonsgegevens, medewerkingsplicht, beveiliging van de verwerking, melding datalek, aanwijzing functionaris gegevensbescherming (art. 83, vierde lid, AVG)

€ 10.000.000

of 2% van de wereldwijde jaaromzet, in het geval deze hoger is dan de boete.

Overtreding van bepalingen over o.a. niet naleven van bevel AP, verwerking van bepaalde persoonsgegevens, doorgiften van persoonsgegevens, overdraagbaarheid van gegevens, recht op gegevenswisseling/rectificatie  (art. 83, vijfde en zesde lid, AVG)

€ 20.000.000

of 4% van de wereldwijde jaaromzet, in het geval deze hoger is dan de boete.

 

Of de Autoriteit Persoonsgegevens daadwerkelijk maximale boetes zal gaan opleggen, is de vraag. Het gaat daarbij om maatwerk. De hoogte van de boete zal in elk geval afhangen van verschillende omstandigheden, zoals de aanwezigheid van opzet, het zijn van first offender, het behaalde financieel voordeel etc. (artikel 83, tweede lid, AVG). Ook het evenredigheidsvereiste speelt daarbij een belangrijke rol (artikel 3:4 lid 2 en artikel 3:46 Awb).

Wie kan worden geconfronteerd met handhaving?

De Autoriteit Persoonsgegevens kan handhavend optreden tegen degene tot wie de normen zich in de AVG richten. Dat zijn de 'verwerkingsverantwoordelijke' (artikel 4, zevende lid, AVG), de 'verwerker' (artikel 4, achtste lid, AVG), en de 'vertegenwoordiger van de niet in de Unie gevestigde verwerkingsverantwoordelijke of verwerker' (artikel 4, zeventiende lid, AVG). Dat betekent dat elke onderneming, overheidsinstelling of natuurlijk persoon normadressaat van de AVG kan zijn en dus met handhaving kan worden geconfronteerd.

Welke bestuursrechtelijke rechtsbescherming staat open tegen sancties van de Autoriteit Persoonsgegevens?

Een belanghebbende kan zich tegen een door de Autoriteit Persoonsgegevens opgelegde bestuurlijke sanctie verweren. Alvorens een sanctie wordt opgelegd, wordt eerst een ontwerpbesluit opgesteld waartegen een zienswijze mogelijk is. Wordt een sanctie opgelegd, dan kan daartegen een bezwaarschrift bij de Autoriteit Persoonsgegevens worden ingediend. Tegen het besluit op bezwaar van de Autoriteit Persoonsgegevens staat beroep bij de rechtbank open in eerste aanleg en hoger beroep bij de Afdeling bestuursrechtspraak van de Raad van State. Is sprake van een spoedeisende situatie dan kan een voorlopige voorziening hangende bezwaar, beroep en hoger beroep bij de bestuursrechter worden ingediend. De bestuursrechter kan daarbij prejudiciële vragen stellen aan het HvJ EU. Na afronding van de nationale procedure kan de vraag naar de rechtmatigheid van de sanctie onder het EVRM aan het EHRM worden voorgelegd.

Schort de indiening van bezwaar of beroep de werking van een bestuurlijke sanctie op?

Nee, tenzij het gaat om een bestuurlijke boete. Net als onder de Wbp gaat de UAVG er vanuit dat het indienen van een bezwaarschrift bij de Autoriteit Persoonsgegevens en een beroepschrift bij de rechtbank tegen de opgelegde bestuurlijke boete schorsende werking heeft. De bestaande regeling in de Wbp is daarmee in de UAVG gehandhaafd. Dat betekent dat de boete in afwachting van de procedure bij de Autoriteit Persoonsgegevens en in beroep bij de rechtbank niet behoeft te worden betaald (artikel 38 UAVG). Voor andere bestuurlijke sancties, zoals de berisping of het verwerkingsverbod, geldt geen schorsende werking; daarvoor zou eventueel een voorlopige voorziening uitkomst kunnen bieden.

Zal de Autoriteit Persoonsgegevens na 25 mei 2018 meteen boetes uitdelen?

Minister Dekker van Rechtsbescherming heeft op 8 maart 2018 in een debat met de Tweede Kamer gezegd dat de Autoriteit Persoonsgegevens niet direct boetes zal gaan uitdelen als op 25 mei 2018 de nieuwe privacyregels in werking treden. Dat zal voor bedrijven, overheden en instellingen mogelijk een opluchting zijn. Volgens Dekker zal de Autoriteit Persoonsgegevens zich de eerste maanden vooral richten op voorlichting. Echter, de Autoriteit Persoonsgegevens is onafhankelijk toezichthouder dus afgewacht moet worden hoe deze opmerking in de praktijk zal uitwerken.

Team

Related news

13.05.2020 NL law
Een klein jaar na de PAS-uitspraken: wanneer zijn stikstofrelevante activiteiten toelaatbaar?

Short Reads - Ontwikkelingen in de rechtspraak hebben niet stil gestaan sinds de Afdeling bestuursrechtspraak van de Raad van State (‘Afdeling’) eind mei 2019 de bekende PAS-uitspraken deed. De Afdeling heeft in een aantal belangwekkende uitspraken enige lijnen uitgezet. In dit blogbericht zetten wij een aantal uitspraken op een rij. Daarbij richten wij ons op de vraag wanneer stikstofrelevante activiteiten na de PAS-uitspraken toelaatbaar zijn.

Read more

20.05.2020 NL law
Stibbe in Amsterdam answers questions from consumers, small business foundations and NGOs about the coronavirus [updated]

Inside Stibbe - In a special Q&A (in Dutch), lawyers from our Amsterdam office share their legal expertise and strive to provide answers to questions put to us by consumers, self-employed persons, enterprises large and small, foundations and NGOs as a result of the corona crisis.

Read more

13.05.2020 NL law
FAQ: bestuurlijk rechtsoordeel – de mogelijkheden tot bezwaar en beroep en de consequenties van een vernietiging

Short Reads - Op grond van de Algemene wet bestuursrecht (Awb) is het besluitbegrip bepalend voor de toegang tot de bestuursrechter. Handelingen van bestuursorganen die geen besluit zijn, kunnen niet aan de bestuursrechter worden voorgelegd. Denk bijvoorbeeld aan het handelen van de overheid als contractspartij of het handelen van de overheid dat slechts feitelijk van aard is.

Read more

14.05.2020 NL law
Wijziging NOW: voorafgaande instemming over openbaarmaking in NOW op gespannen voet met de Awb en de Wob

Short Reads - Op 2 april 2020 is de Tijdelijke noodmaatregel overbrugging voor behoud van werkgelegenheid (“NOW”) in werking getreden. De regeling is snel tot stand gekomen als maatregel tegen de nadelige gevolgen van de corona-crisis. In de praktijk bleek dat de regeling onvolkomenheden bevat en wijzigingen en aanvullingen nodig zijn. Op 4 mei 2020 is een regeling tot wijziging van de NOW gepubliceerd in de Staatscourant.

Read more

13.05.2020 NL law
Bij zeer locatiespecifieke omstandigheden doorbreekt de goede ruimtelijke ordening het exclusieve toetsingskader van titel 5.2 Wet milieubeheer voor luchtkwaliteit

Short Reads - Titel 5.2 Wm bepaalt dat bij het nemen van een groot aantal ruimtelijke ordeningsbesluiten en besluiten tot verlening van omgevingsvergunningen voor milieu de grenswaarden opgenomen in bijlage 2 Wm in acht moeten worden genomen. Afgevraagd kan dan worden of bij het nemen van ruimtelijke ordeningsbesluiten, zoals de vaststelling van een bestemmingsplan, de goede ruimtelijke ordening (waaronder het aanvaardbaar woon- en leefklimaat) een aanvullende toets kan vergen als dat besluit voldoet aan titel 5.2 Wm.

Read more