Short Reads

FAQ: Hoe is de bestuurlijke handhaving van de Algemene verordening gegevensbescherming (AVG) vormgegeven?

FAQ: Hoe is de bestuurlijke handhaving van de Algemene verordening ge

FAQ: Hoe is de bestuurlijke handhaving van de Algemene verordening gegevensbescherming (AVG) vormgegeven?

09.05.2018

Op 25 mei 2018 treedt de Algemene verordening gegevensbescherming ("AVG") in werking. De verordening heeft rechtstreekse werking in het Nederlandse rechtssysteem. Het gevolg daarvan is dat de Nederlandse privacywaakhond, de Autoriteit Persoonsgegevens, een scala handhavingsinstrumenten op grond van de AVG kan inzetten om naleving van de privacywetgeving te bevorderen.

Thans behandelt de Eerste Kamer de Uitvoeringswet Algemene verordening gegevensbescherming ("UAVG"). Beoogd wordt om de UAVG op 25 mei 2018 in werking te laten treden. De UAVG geeft nadere uitvoering aan de AVG die op sommige aspecten aan lidstaten ruimte laat om bepaalde aspecten nader te regelen. De UAVG bevat in aanvulling op en ter uitvoering van de AVG onder meer een aantal belangrijke voorschriften die zien op handhaving. Als gevolg van de inwerkingtreding van de AVG en de UAVG is de Wet bescherming persoonsgegevens ("Wbp") niet meer van toepassing. In deze FAQ zullen wij een aantal vragen die in de praktijk spelen over bestuurlijke handhaving onder de AVG en UAVG nader bespreken.

Welke instantie is in Nederland bevoegd tot handhaving van de AVG?

De AVG bepaalt dat iedere lidstaat van de Europese Unie één of meer toezichthouders moet oprichten, die belast zijn met het toezicht op de  Verordening (artikel 51, eerste lid, AVG). In Nederland is dit de Autoriteit Persoonsgegevens (artikel 6, tweede lid, UAVG).

Welke handhavingsinstrumenten heeft de Autoriteit Persoonsgegevens op grond van de AVG en UAVG?

De AVG vergroot en verzwaart het arsenaal aan handhavingsinstrumenten dat de Autoriteit Persoonsgegevens thans op grond van de Wbp heeft. De AVG biedt de toezichthouder de mogelijkheid om zogeheten 'corrigerende maatregelen' (artikel 58, tweede lid, AVG) op te leggen. Daarnaast biedt de UAVG de Autoriteit Persoonsgegevens ook de mogelijkheid tot oplegging van een last onder bestuursdwang of een last onder dwangsom (artikel 16 UAVG).

Onder 'corrigerende maatregelen' in de AVG vallen onder meer:

  • waarschuwing
  • berisping
  • administratieve geldboete, oftewel een bestuurlijke boete
  • tijdelijke of definitieve verwerkingsbeperking (waaronder een verwerkingsverbod)
  • intrekking van certificaten
  • opschorting van gegevensstromen naar een ontvanger in een derde land.

De UAVG 'vertaalt' de term 'corrigerende maatregelen' met uitzondering van de waarschuwing als 'bestuurlijke sancties' in de zin van de Algemene wet bestuursrecht (artikel 14, vierde lid, UAVG). Dat betekent dus dat de bepalingen uit de Awb die zien op de bestuurlijke sancties ook van toepassing zijn op de desbetreffende corrigerende sancties in de AVG. Daarbij kan  bijvoorbeeld gedacht worden aan de cumulatie van corrigerende sancties (artikel 5:6 Awb) en dat deze sancties preventief kunnen worden opgelegd (artikel 5:7 Awb).

Is de Autoriteit Persoonsgegevens verplicht om handhavend op te treden?

De (U)AVG verplicht de Autoriteit Persoonsgegevens niet om handhavend op te treden. Bovendien verplicht deze wetgeving de Autoriteit niet om voor een bepaald handhavingsinstrument (bijvoorbeeld een boete of last onder dwangsom) te kiezen. Het gaat om discretionaire bevoegdheden die de toezichthouder ruimte laten om zelf handhavingsbeleid te bepalen en in dat kader prioriteiten te kiezen.

Het zou vanwege de rechtszekerheid van betrokken partijen goed zijn wanneer de Autoriteit Persoonsgegevens in beleidsregels duidelijk maakt  onder welke omstandigheden zij handhavend zal optreden en in welke gevallen zij van een bepaald instrument gebruik zal maken.

Hoe hoog zijn de boetes die de Autoriteit Persoonsgegevens maximaal kan opleggen?

De AVG biedt de Autoriteit Persoonsgegevens de bevoegdheid om hoge boetes op te leggen wegens specifieke inbreuken op de AVG. Artikel 83 AVG voorziet in de sanctionering met boetes in twee categorieën overtredingen:

Type overtreding

Maximale boete

Overtreding van bepalingen die zien op o.a. verwerking  van persoonsgegevens, medewerkingsplicht, beveiliging van de verwerking, melding datalek, aanwijzing functionaris gegevensbescherming (art. 83, vierde lid, AVG)

€ 10.000.000

of 2% van de wereldwijde jaaromzet, in het geval deze hoger is dan de boete.

Overtreding van bepalingen over o.a. niet naleven van bevel AP, verwerking van bepaalde persoonsgegevens, doorgiften van persoonsgegevens, overdraagbaarheid van gegevens, recht op gegevenswisseling/rectificatie  (art. 83, vijfde en zesde lid, AVG)

€ 20.000.000

of 4% van de wereldwijde jaaromzet, in het geval deze hoger is dan de boete.

 

Of de Autoriteit Persoonsgegevens daadwerkelijk maximale boetes zal gaan opleggen, is de vraag. Het gaat daarbij om maatwerk. De hoogte van de boete zal in elk geval afhangen van verschillende omstandigheden, zoals de aanwezigheid van opzet, het zijn van first offender, het behaalde financieel voordeel etc. (artikel 83, tweede lid, AVG). Ook het evenredigheidsvereiste speelt daarbij een belangrijke rol (artikel 3:4 lid 2 en artikel 3:46 Awb).

Wie kan worden geconfronteerd met handhaving?

De Autoriteit Persoonsgegevens kan handhavend optreden tegen degene tot wie de normen zich in de AVG richten. Dat zijn de 'verwerkingsverantwoordelijke' (artikel 4, zevende lid, AVG), de 'verwerker' (artikel 4, achtste lid, AVG), en de 'vertegenwoordiger van de niet in de Unie gevestigde verwerkingsverantwoordelijke of verwerker' (artikel 4, zeventiende lid, AVG). Dat betekent dat elke onderneming, overheidsinstelling of natuurlijk persoon normadressaat van de AVG kan zijn en dus met handhaving kan worden geconfronteerd.

Welke bestuursrechtelijke rechtsbescherming staat open tegen sancties van de Autoriteit Persoonsgegevens?

Een belanghebbende kan zich tegen een door de Autoriteit Persoonsgegevens opgelegde bestuurlijke sanctie verweren. Alvorens een sanctie wordt opgelegd, wordt eerst een ontwerpbesluit opgesteld waartegen een zienswijze mogelijk is. Wordt een sanctie opgelegd, dan kan daartegen een bezwaarschrift bij de Autoriteit Persoonsgegevens worden ingediend. Tegen het besluit op bezwaar van de Autoriteit Persoonsgegevens staat beroep bij de rechtbank open in eerste aanleg en hoger beroep bij de Afdeling bestuursrechtspraak van de Raad van State. Is sprake van een spoedeisende situatie dan kan een voorlopige voorziening hangende bezwaar, beroep en hoger beroep bij de bestuursrechter worden ingediend. De bestuursrechter kan daarbij prejudiciële vragen stellen aan het HvJ EU. Na afronding van de nationale procedure kan de vraag naar de rechtmatigheid van de sanctie onder het EVRM aan het EHRM worden voorgelegd.

Schort de indiening van bezwaar of beroep de werking van een bestuurlijke sanctie op?

Nee, tenzij het gaat om een bestuurlijke boete. Net als onder de Wbp gaat de UAVG er vanuit dat het indienen van een bezwaarschrift bij de Autoriteit Persoonsgegevens en een beroepschrift bij de rechtbank tegen de opgelegde bestuurlijke boete schorsende werking heeft. De bestaande regeling in de Wbp is daarmee in de UAVG gehandhaafd. Dat betekent dat de boete in afwachting van de procedure bij de Autoriteit Persoonsgegevens en in beroep bij de rechtbank niet behoeft te worden betaald (artikel 38 UAVG). Voor andere bestuurlijke sancties, zoals de berisping of het verwerkingsverbod, geldt geen schorsende werking; daarvoor zou eventueel een voorlopige voorziening uitkomst kunnen bieden.

Zal de Autoriteit Persoonsgegevens na 25 mei 2018 meteen boetes uitdelen?

Minister Dekker van Rechtsbescherming heeft op 8 maart 2018 in een debat met de Tweede Kamer gezegd dat de Autoriteit Persoonsgegevens niet direct boetes zal gaan uitdelen als op 25 mei 2018 de nieuwe privacyregels in werking treden. Dat zal voor bedrijven, overheden en instellingen mogelijk een opluchting zijn. Volgens Dekker zal de Autoriteit Persoonsgegevens zich de eerste maanden vooral richten op voorlichting. Echter, de Autoriteit Persoonsgegevens is onafhankelijk toezichthouder dus afgewacht moet worden hoe deze opmerking in de praktijk zal uitwerken.

Team

Related news

15.10.2019 NL law
Een nieuwe uittredingsregeling voor gemeenschappelijke regelingen

Short Reads - Op 26 augustus 2019 is de internetconsultatie gestart van een wetsvoorstel dat de Wet gemeenschappelijke regelingen (Wgr) wijzigt. Het wetsvoorstel heeft als doel de democratische legitimiteit van gemeenschappelijke regelingen te versterken. In een eerder bericht gingen wij al in op eerdere initiatieven om de Wgr te wijzigen en op de in het wetsvoorstel voorgestelde maatregelen, waarbij zeggenschap over de begroting werd uitgelicht

Read more

11.10.2019 NL law
Symposium 'From Stint to Fipronil: a compensation fund for victims of energetic government intervention in crisis situations

Seminar - Stibbe is organising a symposium in Amsterdam on Thursday 7 November entitled 'From Stint to Fipronil: a compensation fund for victims of energetic government intervention in crisis situations'. During this symposium, Stibbe lawyer Tijn Kortmann and Prof. Pieter van Vollenhoven, alongside other experts,  will speak about the compensation fund which, according to van Vollenhoven, injured parties should be able to call upon if a decision by the government turns out to be too drastic.

Read more

15.10.2019 BE law
Avis du Maître architecte et organisation d’une réunion de projet. De nouvelles étapes préalables à la demande de permis d’urbanisme.

Articles - Une des nouveautés de la réforme du CoBAT adoptée le 30 novembre 2017, publiée au Moniteur belge le 20 avril 2018 et entrée en vigueur le 1er septembre 2019 (pour ce qui concerne les demandes de permis d’urbanisme) porte sur la création de deux nouvelles étapes préalables à l’introduction d’une demande de permis d’urbanisme : l’obtention de l’avis du Maître architecte, d’une part, et l’organisation d’une réunion de projet, d’autre part. 

Read more

08.10.2019 NL law
Annotatie bij ABRvS 26 juni 2019, waarin de Afdeling een vereniging als belanghebbende aanmerkt

Short Reads - Op 26 juni 2019 heeft de Afdeling twee uitspraken gedaan over de vraag of een vereniging die opkomt voor werknemers als belanghebbende als in artikel 1:2, derde lid, Awb kan worden aangemerkt. De Afdeling oordeelde dat medewerkers in beginsel niet als belanghebbende kunnen worden aangemerkt. Maar in tegenstelling tot de rechtbanken van Amsterdam en Limburg, oordeelde de Afdeling ook dat een uitzondering hierop kan worden gemaakt. 

Read more

14.10.2019 NL law
Kamerdebat over digitalisering van de overheid: aandacht voor bescherming burger vereist

Short Reads - Op 24 september 2019 zijn er vier moties in stemming gebracht én aangenomen door de Tweede Kamer. De moties hebben als gemeenschappelijke deler dat ze in het teken staan van de steeds groter wordende digitalisering bij de overheid. Het achterliggende doel van de moties is dat de burger voldoende beschermd moet worden tegen deze digitalisering.

Read more

08.10.2019 NL law
De Afdeling herhaalt haar jurisprudentie: bij een 'verdachte' rechtspersoon komt het zwijgrecht in beginsel alleen toe aan de bestuurders van die rechtspersoon

Articles - De uitspraak van 21 augustus 2019 (ECLI:NL:RVS:2019:2801) betreft werknemers van een asbestverwijderingsbedrijf die bezig zijn met werkzaamheden in een pand. Na een melding van het asbestverwijderingsbedrijf zelf, vindt een inspectie plaats. Na een gesprek met de werknemers constateert de inspecteur dat sloopwerkzaamheden worden verricht, terwijl er in het pand asbesthoudende materialen zijn die nog niet zijn verwijderd. Het bedrijf krijgt om die reden een boete op grond van artikel 4.48a lid 1 Arbobesluit.

Read more

Our website uses functional cookies for the functioning of the website and analytic cookies that enable us to generate aggregated visitor data. We also use other cookies, such as third party tracking cookies - please indicate whether you agree to the use of these other cookies:

Privacy – en cookieverklaring