Op 25 mei 2018 treedt de Algemene verordening gegevensbescherming (AVG) in werking. De verordening heeft rechtstreekse werking in het Nederlandse rechtssysteem. Het gevolg daarvan is dat de Nederlandse privacywaakhond, de Autoriteit Persoonsgegevens, een scala handhavingsinstrumenten op grond van de AVG kan inzetten om naleving van de privacywetgeving te bevorderen. Thans behandelt de Eerste Kamer de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG). Beoogd wordt om de UAVG op 25 mei 2018 in werking te laten treden. De UAVG geeft nadere uitvoering aan de AVG die op sommige aspecten aan lidstaten ruimte laat om bepaalde aspecten nader te regelen. De UAVG bevat in aanvulling op en ter uitvoering van de AVG onder meer een aantal belangrijke voorschriften die zien op handhaving. Als gevolg van de inwerkingtreding van de AVG en de UAVG is de Wet bescherming persoonsgegevens (Wbp) niet meer van toepassing. In deze FAQ zullen wij een aantal vragen die in de praktijk spelen over bestuurlijke handhaving onder de AVG en UAVG nader bespreken.
Welke instantie is in Nederland bevoegd tot handhaving van de AVG?
De AVG bepaalt dat iedere lidstaat van de Europese Unie één of meer toezichthouders moet oprichten, die belast zijn met het toezicht op de Verordening (artikel 51, eerste lid, AVG). In Nederland is dit de Autoriteit Persoonsgegevens (artikel 6, tweede lid, UAVG).
Welke handhavingsinstrumenten heeft de Autoriteit Persoonsgegevens op grond van de AVG en UAVG?
De AVG vergroot en verzwaart het arsenaal aan handhavingsinstrumenten dat de Autoriteit Persoonsgegevens thans op grond van de Wbp heeft. De AVG biedt de toezichthouder de mogelijkheid om zogeheten ‘corrigerende maatregelen’ (artikel 58, tweede lid, AVG) op te leggen. Daarnaast biedt de UAVG de Autoriteit Persoonsgegevens ook de mogelijkheid tot oplegging van een last onder bestuursdwang of een last onder dwangsom (artikel 16 UAVG).
Onder ‘corrigerende maatregelen’ in de AVG vallen onder meer:
- waarschuwing
- berisping
- administratieve geldboete, oftewel een bestuurlijke boete
- tijdelijke of definitieve verwerkingsbeperking (waaronder een verwerkingsverbod)
- intrekking van certificaten
- opschorting van gegevensstromen naar een ontvanger in een derde land.
De UAVG ‘vertaalt’ de term ‘corrigerende maatregelen’ met uitzondering van de waarschuwing als ‘bestuurlijke sancties’ in de zin van de Algemene wet bestuursrecht (artikel 14, vierde lid, UAVG). Dat betekent dus dat de bepalingen uit de Awb die zien op de bestuurlijke sancties ook van toepassing zijn op de desbetreffende corrigerende sancties in de AVG. Daarbij kan bijvoorbeeld gedacht worden aan de cumulatie van corrigerende sancties (artikel 5:6 Awb) en dat deze sancties preventief kunnen worden opgelegd (artikel 5:7 Awb).
Is de Autoriteit Persoonsgegevens verplicht om handhavend op te treden?
De (U)AVG verplicht de Autoriteit Persoonsgegevens niet om handhavend op te treden. Bovendien verplicht deze wetgeving de Autoriteit niet om voor een bepaald handhavingsinstrument (bijvoorbeeld een boete of last onder dwangsom) te kiezen. Het gaat om discretionaire bevoegdheden die de toezichthouder ruimte laten om zelf handhavingsbeleid te bepalen en in dat kader prioriteiten te kiezen.
Het zou vanwege de rechtszekerheid van betrokken partijen goed zijn wanneer de Autoriteit Persoonsgegevens in beleidsregels duidelijk maakt onder welke omstandigheden zij handhavend zal optreden en in welke gevallen zij van een bepaald instrument gebruik zal maken.
Hoe hoog zijn de boetes die de Autoriteit Persoonsgegevens maximaal kan opleggen?
De AVG biedt de Autoriteit Persoonsgegevens de bevoegdheid om hoge boetes op te leggen wegens specifieke inbreuken op de AVG. Artikel 83 AVG voorziet in de sanctionering met boetes in twee categorieën overtredingen:
Type overtreding |
Maximale boete |
Overtreding van bepalingen die zien op o.a. verwerking van persoonsgegevens, medewerkingsplicht, beveiliging van de verwerking, melding datalek, aanwijzing functionaris gegevensbescherming (art. 83, vierde lid, AVG) |
€ 10.000.000 of 2% van de wereldwijde jaaromzet, in het geval deze hoger is dan de boete. |
Overtreding van bepalingen over o.a. niet naleven van bevel AP, verwerking van bepaalde persoonsgegevens, doorgiften van persoonsgegevens, overdraagbaarheid van gegevens, recht op gegevenswisseling/rectificatie art. 83, vijfde en zesde lid, AVG) |
€ 20.000.000 of 4% van de wereldwijde jaaromzet, in het geval deze hoger is dan de boete. |
Of de Autoriteit Persoonsgegevens daadwerkelijk maximale boetes zal gaan opleggen, is de vraag. Het gaat daarbij om maatwerk. De hoogte van de boete zal in elk geval afhangen van verschillende omstandigheden, zoals de aanwezigheid van opzet, het zijn van first offender, het behaalde financieel voordeel etc. (artikel 83, tweede lid, AVG). Ook het evenredigheidsvereiste speelt daarbij een belangrijke rol (artikel 3:4 lid 2 en artikel 3:46 Awb).
Wie kan worden geconfronteerd met handhaving?
De Autoriteit Persoonsgegevens kan handhavend optreden tegen degene tot wie de normen zich in de AVG richten. Dat zijn de ‘verwerkingsverantwoordelijke’ (artikel 4, zevende lid, AVG), de ‘verwerker’ (artikel 4, achtste lid, AVG), en de ‘vertegenwoordiger van de niet in de Unie gevestigde verwerkingsverantwoordelijke of verwerker’ (artikel 4, zeventiende lid, AVG). Dat betekent dat elke onderneming, overheidsinstelling of natuurlijk persoon normadressaat van de AVG kan zijn en dus met handhaving kan worden geconfronteerd.
Welke bestuursrechtelijke rechtsbescherming staat open tegen sancties van de Autoriteit Persoonsgegevens?
Een belanghebbende kan zich tegen een door de Autoriteit Persoonsgegevens opgelegde bestuurlijke sanctie verweren. Alvorens een sanctie wordt opgelegd, wordt eerst een ontwerpbesluit opgesteld waartegen een zienswijze mogelijk is. Wordt een sanctie opgelegd, dan kan daartegen een bezwaarschrift bij de Autoriteit Persoonsgegevens worden ingediend. Tegen het besluit op bezwaar van de Autoriteit Persoonsgegevens staat beroep bij de rechtbank open in eerste aanleg en hoger beroep bij de Afdeling bestuursrechtspraak van de Raad van State. Is sprake van een spoedeisende situatie dan kan een voorlopige voorziening hangende bezwaar, beroep en hoger beroep bij de bestuursrechter worden ingediend. De bestuursrechter kan daarbij prejudiciële vragen stellen aan het HvJ EU. Na afronding van de nationale procedure kan de vraag naar de rechtmatigheid van de sanctie onder het EVRM aan het EHRM worden voorgelegd.
Schort de indiening van bezwaar of beroep de werking van een bestuurlijke sanctie op?
Nee, tenzij het gaat om een bestuurlijke boete. Net als onder de Wbp gaat de UAVG ervan uit dat het indienen van een bezwaarschrift bij de Autoriteit Persoonsgegevens en een beroepschrift bij de rechtbank tegen de opgelegde bestuurlijke boete schorsende werking heeft. De bestaande regeling in de Wbp is daarmee in de UAVG gehandhaafd. Dat betekent dat de boete in afwachting van de procedure bij de Autoriteit Persoonsgegevens en in beroep bij de rechtbank niet behoeft te worden betaald (artikel 38 UAVG). Voor andere bestuurlijke sancties, zoals de berisping of het verwerkingsverbod, geldt geen schorsende werking; daarvoor zou eventueel een voorlopige voorziening uitkomst kunnen bieden.
Zal de Autoriteit Persoonsgegevens na 25 mei 2018 meteen boetes uitdelen?
Minister Dekker van Rechtsbescherming heeft op 8 maart 2018 in een debat met de Tweede Kamer gezegd dat de Autoriteit Persoonsgegevens niet direct boetes zal gaan uitdelen als op 25 mei 2018 de nieuwe privacyregels in werking treden. Dat zal voor bedrijven, overheden en instellingen mogelijk een opluchting zijn. Volgens Dekker zal de Autoriteit Persoonsgegevens zich de eerste maanden vooral richten op voorlichting. Echter, de Autoriteit Persoonsgegevens is onafhankelijk toezichthouder dus afgewacht moet worden hoe deze opmerking in de praktijk zal uitwerken.
Datum: 7 mei 2018
Auteurs: Christien Saris & Steven Bastiaans