Short Reads

FAQ: Hoe is de bestuurlijke handhaving van de Algemene verordening gegevensbescherming (AVG) vormgegeven?

FAQ: Hoe is de bestuurlijke handhaving van de Algemene verordening ge

FAQ: Hoe is de bestuurlijke handhaving van de Algemene verordening gegevensbescherming (AVG) vormgegeven?

09.05.2018

Op 25 mei 2018 treedt de Algemene verordening gegevensbescherming ("AVG") in werking. De verordening heeft rechtstreekse werking in het Nederlandse rechtssysteem. Het gevolg daarvan is dat de Nederlandse privacywaakhond, de Autoriteit Persoonsgegevens, een scala handhavingsinstrumenten op grond van de AVG kan inzetten om naleving van de privacywetgeving te bevorderen.

Thans behandelt de Eerste Kamer de Uitvoeringswet Algemene verordening gegevensbescherming ("UAVG"). Beoogd wordt om de UAVG op 25 mei 2018 in werking te laten treden. De UAVG geeft nadere uitvoering aan de AVG die op sommige aspecten aan lidstaten ruimte laat om bepaalde aspecten nader te regelen. De UAVG bevat in aanvulling op en ter uitvoering van de AVG onder meer een aantal belangrijke voorschriften die zien op handhaving. Als gevolg van de inwerkingtreding van de AVG en de UAVG is de Wet bescherming persoonsgegevens ("Wbp") niet meer van toepassing. In deze FAQ zullen wij een aantal vragen die in de praktijk spelen over bestuurlijke handhaving onder de AVG en UAVG nader bespreken.

Welke instantie is in Nederland bevoegd tot handhaving van de AVG?

De AVG bepaalt dat iedere lidstaat van de Europese Unie één of meer toezichthouders moet oprichten, die belast zijn met het toezicht op de  Verordening (artikel 51, eerste lid, AVG). In Nederland is dit de Autoriteit Persoonsgegevens (artikel 6, tweede lid, UAVG).

Welke handhavingsinstrumenten heeft de Autoriteit Persoonsgegevens op grond van de AVG en UAVG?

De AVG vergroot en verzwaart het arsenaal aan handhavingsinstrumenten dat de Autoriteit Persoonsgegevens thans op grond van de Wbp heeft. De AVG biedt de toezichthouder de mogelijkheid om zogeheten 'corrigerende maatregelen' (artikel 58, tweede lid, AVG) op te leggen. Daarnaast biedt de UAVG de Autoriteit Persoonsgegevens ook de mogelijkheid tot oplegging van een last onder bestuursdwang of een last onder dwangsom (artikel 16 UAVG).

Onder 'corrigerende maatregelen' in de AVG vallen onder meer:

  • waarschuwing
  • berisping
  • administratieve geldboete, oftewel een bestuurlijke boete
  • tijdelijke of definitieve verwerkingsbeperking (waaronder een verwerkingsverbod)
  • intrekking van certificaten
  • opschorting van gegevensstromen naar een ontvanger in een derde land.

De UAVG 'vertaalt' de term 'corrigerende maatregelen' met uitzondering van de waarschuwing als 'bestuurlijke sancties' in de zin van de Algemene wet bestuursrecht (artikel 14, vierde lid, UAVG). Dat betekent dus dat de bepalingen uit de Awb die zien op de bestuurlijke sancties ook van toepassing zijn op de desbetreffende corrigerende sancties in de AVG. Daarbij kan  bijvoorbeeld gedacht worden aan de cumulatie van corrigerende sancties (artikel 5:6 Awb) en dat deze sancties preventief kunnen worden opgelegd (artikel 5:7 Awb).

Is de Autoriteit Persoonsgegevens verplicht om handhavend op te treden?

De (U)AVG verplicht de Autoriteit Persoonsgegevens niet om handhavend op te treden. Bovendien verplicht deze wetgeving de Autoriteit niet om voor een bepaald handhavingsinstrument (bijvoorbeeld een boete of last onder dwangsom) te kiezen. Het gaat om discretionaire bevoegdheden die de toezichthouder ruimte laten om zelf handhavingsbeleid te bepalen en in dat kader prioriteiten te kiezen.

Het zou vanwege de rechtszekerheid van betrokken partijen goed zijn wanneer de Autoriteit Persoonsgegevens in beleidsregels duidelijk maakt  onder welke omstandigheden zij handhavend zal optreden en in welke gevallen zij van een bepaald instrument gebruik zal maken.

Hoe hoog zijn de boetes die de Autoriteit Persoonsgegevens maximaal kan opleggen?

De AVG biedt de Autoriteit Persoonsgegevens de bevoegdheid om hoge boetes op te leggen wegens specifieke inbreuken op de AVG. Artikel 83 AVG voorziet in de sanctionering met boetes in twee categorieën overtredingen:

Type overtreding

Maximale boete

Overtreding van bepalingen die zien op o.a. verwerking  van persoonsgegevens, medewerkingsplicht, beveiliging van de verwerking, melding datalek, aanwijzing functionaris gegevensbescherming (art. 83, vierde lid, AVG)

€ 10.000.000

of 2% van de wereldwijde jaaromzet, in het geval deze hoger is dan de boete.

Overtreding van bepalingen over o.a. niet naleven van bevel AP, verwerking van bepaalde persoonsgegevens, doorgiften van persoonsgegevens, overdraagbaarheid van gegevens, recht op gegevenswisseling/rectificatie  (art. 83, vijfde en zesde lid, AVG)

€ 20.000.000

of 4% van de wereldwijde jaaromzet, in het geval deze hoger is dan de boete.

 

Of de Autoriteit Persoonsgegevens daadwerkelijk maximale boetes zal gaan opleggen, is de vraag. Het gaat daarbij om maatwerk. De hoogte van de boete zal in elk geval afhangen van verschillende omstandigheden, zoals de aanwezigheid van opzet, het zijn van first offender, het behaalde financieel voordeel etc. (artikel 83, tweede lid, AVG). Ook het evenredigheidsvereiste speelt daarbij een belangrijke rol (artikel 3:4 lid 2 en artikel 3:46 Awb).

Wie kan worden geconfronteerd met handhaving?

De Autoriteit Persoonsgegevens kan handhavend optreden tegen degene tot wie de normen zich in de AVG richten. Dat zijn de 'verwerkingsverantwoordelijke' (artikel 4, zevende lid, AVG), de 'verwerker' (artikel 4, achtste lid, AVG), en de 'vertegenwoordiger van de niet in de Unie gevestigde verwerkingsverantwoordelijke of verwerker' (artikel 4, zeventiende lid, AVG). Dat betekent dat elke onderneming, overheidsinstelling of natuurlijk persoon normadressaat van de AVG kan zijn en dus met handhaving kan worden geconfronteerd.

Welke bestuursrechtelijke rechtsbescherming staat open tegen sancties van de Autoriteit Persoonsgegevens?

Een belanghebbende kan zich tegen een door de Autoriteit Persoonsgegevens opgelegde bestuurlijke sanctie verweren. Alvorens een sanctie wordt opgelegd, wordt eerst een ontwerpbesluit opgesteld waartegen een zienswijze mogelijk is. Wordt een sanctie opgelegd, dan kan daartegen een bezwaarschrift bij de Autoriteit Persoonsgegevens worden ingediend. Tegen het besluit op bezwaar van de Autoriteit Persoonsgegevens staat beroep bij de rechtbank open in eerste aanleg en hoger beroep bij de Afdeling bestuursrechtspraak van de Raad van State. Is sprake van een spoedeisende situatie dan kan een voorlopige voorziening hangende bezwaar, beroep en hoger beroep bij de bestuursrechter worden ingediend. De bestuursrechter kan daarbij prejudiciële vragen stellen aan het HvJ EU. Na afronding van de nationale procedure kan de vraag naar de rechtmatigheid van de sanctie onder het EVRM aan het EHRM worden voorgelegd.

Schort de indiening van bezwaar of beroep de werking van een bestuurlijke sanctie op?

Nee, tenzij het gaat om een bestuurlijke boete. Net als onder de Wbp gaat de UAVG er vanuit dat het indienen van een bezwaarschrift bij de Autoriteit Persoonsgegevens en een beroepschrift bij de rechtbank tegen de opgelegde bestuurlijke boete schorsende werking heeft. De bestaande regeling in de Wbp is daarmee in de UAVG gehandhaafd. Dat betekent dat de boete in afwachting van de procedure bij de Autoriteit Persoonsgegevens en in beroep bij de rechtbank niet behoeft te worden betaald (artikel 38 UAVG). Voor andere bestuurlijke sancties, zoals de berisping of het verwerkingsverbod, geldt geen schorsende werking; daarvoor zou eventueel een voorlopige voorziening uitkomst kunnen bieden.

Zal de Autoriteit Persoonsgegevens na 25 mei 2018 meteen boetes uitdelen?

Minister Dekker van Rechtsbescherming heeft op 8 maart 2018 in een debat met de Tweede Kamer gezegd dat de Autoriteit Persoonsgegevens niet direct boetes zal gaan uitdelen als op 25 mei 2018 de nieuwe privacyregels in werking treden. Dat zal voor bedrijven, overheden en instellingen mogelijk een opluchting zijn. Volgens Dekker zal de Autoriteit Persoonsgegevens zich de eerste maanden vooral richten op voorlichting. Echter, de Autoriteit Persoonsgegevens is onafhankelijk toezichthouder dus afgewacht moet worden hoe deze opmerking in de praktijk zal uitwerken.

Team

Related news

27.03.2020 BE law
Bijzondere volmachten in tijden van crisis: wat kan en wat niet?

Short Reads - In haar advies van 25 maart 2020 analyseert de afdeling Wetgeving van de Raad van State het wetsvoorstel van 21 maart 2020 tot bijzondere machtiging aan de Koning om maatregelen te nemen in de strijd tegen de verspreiding van het coronavirus COVID-19. Het advies brengt de algemene beginselen inzake bijzondere machten in herinnering en plaatst daarnaast enkele kritische kanttekeningen bij het wetsvoorstel zelf. Voor liefhebbers van het grondwettelijk recht vormt het advies van de afdeling Wetgeving daarom een welgekomen afleiding in tijden van lockdown. 

Read more

26.03.2020 BE law
​I am suffering significant financial losses as a result of the spread of the corona virus. Is there a possibility of State aid?

Short Reads - COVID-19 brings certain questions to centre stage regarding State aid. In this short read, Peter Wytinck, Sophie Van Besien and Michèle de Clerck discuss the possibility of State aid in case of significant financial losses as a result of the spread of the corona virus.

Read more

22.03.2020 BE law
Les fenêtres (vues et jours) dans l’ère du nouveau Code civil. Que faut-il retenir ?

Articles - La loi portant création d'un Code civil a été promulguée le 13 avril 2019 et publiée le 14 mai 2019 au Moniteur belge. La loi portant le livre 3 « Les biens » du Code civil a, quant à elle, été promulguée le 4 février 2020 et vient d’être publiée ce 17 mars 2020. Ce livre 3 entrera en vigueur le 1er septembre 2021. Que prévoit-il en matière de vues et de jours ? Voici un bref aperçu.

Read more

19.03.2020 NL law
Nederland ‘op slot gooien’ vanwege corona: wie is daartoe bevoegd?

Short Reads - ‘Het coronavirus houdt ons land in de greep’. Dit waren de eerste woorden van premier Rutte toen hij maandag 16 maart 2020 Nederland toesprak over de coronacrisis. In de strijd tegen (de verdere verspreiding van) het coronavirus kiest het kabinet er momenteel voor om het virus maximaal te controleren. Maximaal controleren betekent maatregelen nemen om de piek in het aantal besmettingen af te vlakken en dit aantal te verspreiden over een langere periode.

Read more

This website uses cookies. Some of these cookies are essential for the technical functioning of our website and you cannot disable these cookies if you want to read our website. We also use functional cookies to ensure the website functions properly and analytical cookies to personalise content and to analyse our traffic. You can either accept or refuse these functional and analytical cookies.

Privacy – en cookieverklaring