13 september 2017

De Avg uitgelegd deel 7: de Autoriteit Persoonsgegevens

De Avg uitgelegd deel 7: de Autoriteit Persoonsgegevens

In deze serie besteden we aandacht aan een aantal grote veranderingen op privacy-gebied waarmee ICT-bedrijven geconfronteerd gaan worden. Reden van deze veranderingen zijn de nieuwe Europese privacy-regels uit de GDPR (General Data Protection Regulation); de Algemene verordening gegevensbescherming (Avg). Per 25 mei 2018 moet je bedrijfsvoering op de Avg aangepast zijn. In dit zevende deel van de serie over de Avg gaan we nader in op de rol van de toezichthouder, de Autoriteit Persoonsgegevens (AP), voor wie er misschien nog wel het meest verandert.

Wat verandert er voor de AP zelf?

Het takenpakket van de AP zoals opgesomd in artikel 57 van de Avg omvat maar liefst 20 taken voor de AP. Belangrijke veranderingen voor de AP zelf zijn met name:

  • Dat zij meer en op een andere manier klachten moet behandelen dan nu; als een betrokkene een klacht indient bij de AP moet de AP bijvoorbeeld duidelijk en binnen een bepaalde termijn aan de betrokkenen laten weten wat er met zijn klacht gedaan wordt;
  • Dat de AP naast het klassieke ambtshalve onderzoek, ook surveillance en systeemtoezicht moet gaan toepassen;
  • Dat er een uitgebreide Europese samenwerking komt.

Over de omvangrijke organisatorische maatregelen die dat voor de AP meebrengt, is recent een lijvig rapport met aanbevelingen geschreven.

Daar waar de taken met name grote implicaties hebben voor de AP zelf, gebeurt er ook het één en ander op het punt van de bevoegdheden van de AP. De AP wordt met recht een autoriteit. Vooruitlopend op de Avg kreeg het College bescherming persoonsgegevens in 2016 al de wettelijke ‘roepnaam’ “Autoriteit Persoonsgegevens” en werden de boetebevoegdheden uitgebreid. Met de komst van de Avg wordt “Autoriteit Persoonsgegevens” ook de officiële naam van de AP.

Ook inhoudelijk krijgt de AP nóg meer de status van een autoriteit. Artikel 58 van de Avg geeft de AP maar liefst 26 bevoegdheden, waaronder een grotere boetebevoegdheid.

Welke boetes mag de AP straks gaan opleggen?

De boetebevoegdheid was in Nederland in 2016 al uitgebreid naar € 500.000,- of in bepaalde gevallen € 820.000,-. Met de komst van de Avg gaan de maximale boetes voor schending van regels uit de Avg omhoog naar € 10 miljoen of (als dat laatste meer is) 2% van de totale wereldwijde jaaromzet in het voorgaande boekjaar. Voor bepaalde schendingen of het niet opvolgen van bevelen kunnen de boetes zelfs oplopen tot het dubbele daarvan.

Nieuw is de boetebevoegdheid dus niet, maar de bedragen zijn wel hoger. Geen reden tot paniek,  maar wel een stok achter de deur om werk te maken van privacy compliance.

Welke bevoegdheden krijgt de AP nog meer?

De AP heeft naast een corrigerende bevoegdheid straks ook een uitgebreidere onderzoeksbevoegdheid. Zo kan zij een bevel geven tot het verstrekken van relevante informatie en kan zij ook bedrijfsruimten betreden (à la de Autoriteit Consument en Markt of Autoriteit Financiële Markten) om informatie te halen en bijvoorbeeld certificeringen te controleren.

Naast boetes heeft de AP straks de volgende corrigerende maatregelen om uit te kiezen:

  • Waarschuwen (bij een waarschijnlijke inbreuk)
  • Berispen
  • Gelasten of bevelen. Bijvoorbeeld tot het voldoen aan een verzoek van de betrokkene, het corrigeren van gegevens, een tijdelijke stop op gegevensuitwisseling naar het buitenland of het compliant maken van de verwerking, maar bijvoorbeeld ook om een datalek aan de betrokkenen te melden.
  • Opleggen van een verwerkingsbeperking of zelfs verwerkingsverbod, al dan niet tijdelijk
  • (Doen) intrekken of weigeren van certificering

Daarnaast krijgt de AP diverse autorisatie en advies bevoegdheden, bijvoorbeeld in het kader van de PIA, certificeringen, standaardbepalingen, goedkeuringen en toestemmingen.

Waarom lees ik steeds het woord ‘certificering’?

Eén van de taken die de AP krijgt, is het bevorderen van de invoering van certificeringsmechanismen, gegevensbeschermingszegels en -merktekens. Het uitgangspunt bij systeemtoezicht is dat de ondertoezichtgestelde organisaties zelf verantwoordelijk zijn voor het naleven en bewaken van de geldende normen. Certificeringen kunnen daarbij helpen. Erkende Avg-certificeringen zijn er op dit moment niet. De nadruk die de Avg legt op het ontwikkelen van certificeringen en systeemtoezicht past erg bij de Avg, met bijvoorbeeld ook de grotere nadruk op accountability, het zelf hebben van een Functionaris voor de Gegevensbescherming, et cetera. Brancheorganisaties zouden hier een rol bij kunnen spelen en Nederland ICT verdiept zich in de rol die zij kan spelen voor haar leden.

Wat betekent de Europese samenwerking van de AP voor mij?

Wanneer je als bedrijf in meerdere Europese landen actief bent op het gebied van de verwerking van persoonsgegevens, dan is het tot op heden zo dat je per land van doen hebt met de lokale toezichthouder. De Avg probeert hieraan een eind te maken met de ‘one-stop-shop’. One-stop-shop houdt in dat de bedrijven voortaan met slechts één (leidende) privacy-toezichthouder zaken hoeven te doen: de lead supervisory authority.

Hoe werkt zo’n one-stop-shop?

De hoofdregel is dat de toezichthouder van de EU-lidstaat waar de hoofdvestiging van een organisatie gevestigd is, de leidende toezichthouder is. De leidende toezichthouder stemt zijn optreden af met privacy-toezichthouders in de andere EU-landen waar de gegevensverwerking impact heeft. De leidende toezichthouder coördineert de activiteiten, betrekt de andere toezichthouders bij de zaak en legt conceptbeslissingen aan hen voor. In hoeverre dit daadwerkelijk het geval gaat zijn, zal de toekomst moeten uitwijzen. Nederland ICT heeft ervoor gepleit dat deze one-stop-shop geen papieren tijger zal blijken te zijn.

Voor de toepassing van de one-stop-shop-regel en het bepalen van de leidende toezichthouder, hebben de Europese privacy-toezichthouders een handleiding gepubliceerd. Antwoorden op de meest gestelde vragen over grensoverschrijdende gegevensverwerkingen en de leidende toezichthouder zijn te vinden op de website van de AP.

Wat als ik nog vragen heb?

Via de Helpdesk Juridisch geven onze juristen onder meer advies en ondersteuning bij vraagstukken op het gebied van privacy. Nederland ICT organiseert ook verschillende workshops en bijeenkomsten. Leden van Nederland ICT kunnen kosteloos deelnemen. Ben je nog geen lid en wil je ook profiteren van deze en vele andere mogelijkheden van het lidmaatschap? Bekijk de voordelen!

Wil je regelmatig een update ontvangen met nieuws, publicaties en andere informatie over de Avg? Meld je dan aan voor onze Avg nieuwsbrief.

mm
Helpdesk Juridisch We helpen je graag met juridische vragen. Neem contact op via: jurhelp@nederlandict.nl (0348) 49 36 36

Gerelateerd

Definitief groen licht voor Digital Trust Center

Met de publicatie van de miljoenennota is duidelijk geworden dat het kabinet gehoor geeft aan de oproep van Nederland ICT om meer aandacht te besteden aan cybersecurity voor het MKB. Het ministerie van Economische Zaken maakt in 2018 € 2,5 mln vrij voor het opzetten van een Digital Trust Center (DTC) om MKB-bedrijven in staat te stellen hun eigen cybersecurity te organiseren.