Vergroot contrast

Onderzoek en handhaving

De Autoriteit Persoonsgegevens (AP) kan uit eigen beweging een onderzoek doen naar de naleving van de privacywetgeving. Dit heet ambtshalve onderzoek. De AP kan zo’n onderzoek bijvoorbeeld starten vanwege actuele gebeurtenissen of tips die de AP ontvangt over mogelijke overtredingen van de wet. Daarnaast kan de AP op verzoek van belanghebbenden (zoals burgers of belangenorganisaties) een onderzoek instellen.

De AP heeft de bevoegdheid om onderzoek te doen op grond van artikel 60 van de Wet bescherming persoonsgegevens.

Criteria onderzoek

De AP hanteert een aantal criteria om te bepalen of er voldoende aanleiding is om onderzoek te doen. Deze criteria heeft de AP (voorheen: het CBP) vastgelegd in de Beleidsregels handhaving door het CBP. Het moet gaan om:

  • ernstige overtredingen;
  • die structureel van aard zijn;
  • die veel mensen treffen;
  • waarbij de AP door de inzet van handhavingsinstrumenten effectief verschil kan maken;
  • die vallen binnen de (jaarlijkse) aandachtspunten die de AP bekend heeft gemaakt.

Alternatieve interventies

Direct een ambtshalve onderzoek opstarten is niet altijd nodig. Soms voert de AP eerst een gesprek met een organisatie die de wet mogelijk overtreedt. Of stuurt de AP deze organisatie een brief. Dit noemen we alternatieve interventies. Zo’n alternatieve interventie kan al genoeg zijn om de overtreding te laten beëindigen.

Onderzoeksaanpak

Besluit de AP een ambtshalve onderzoek te starten, dan bepaalt de AP per situatie de aanpak en diepgang van het onderzoek. Dit kan uiteenlopen van een brief met het verzoek om informatie tot een onderzoek op locatie bij de onderzochte partij(en). Ook een steekproef op meerdere plaatsen in een sector is mogelijk.

Onderzoeksprocedure

In grote lijnen verloopt een onderzoek van de AP als volgt:

  1. onderzoek;
  2. voorlopige bevindingen;
  3. zienswijze;
  4. definitieve bevindingen;
  5. openbaarmaking;
  6. handhaving.

Onderzoek

In deze fase verzamelt de AP alle benodigde informatie om te kunnen beoordelen of sprake is van een overtreding van de wet. De AP vraagt bijvoorbeeld schriftelijk gegevens op bij de onderzochte partij(en) (hierna ‘de verantwoordelijke’ genoemd).

Onderzoek ter plaatse

De AP kan besluiten om onderzoek uit te voeren op locatie bij de verantwoordelijke om een goed beeld te krijgen van de feitelijke situatie. Dit heet onderzoek ter plaatse. Het onderzoek kan zowel aangekondigd als onaangekondigd plaatsvinden.

Voorlopige bevindingen

Nadat het feitenonderzoek is afgesloten, stelt de AP zogeheten voorlopige bevindingen op. Hierin geeft de AP een:

  • beschrijving van de relevante feiten;
  • analyse van de betrokken wet- en regelgeving en jurisprudentie;
  • voorlopig oordeel over de al dan niet geconstateerde overtreding(en).

Vervolgens verstuurt de AP de voorlopige bevindingen aan de verantwoordelijke. Voordat de AP het uiteindelijke onderzoeksresultaat - definitieve bevindingen genoemd - vaststelt en publiceert, krijgt de verantwoordelijke de mogelijkheid inhoudelijk te reageren op de voorlopige bevindingen. Deze reactie heet een zienswijze.

Zienswijze

De verantwoordelijke krijgt, afhankelijk van de omvang van het onderzoek, 2 tot 4 weken de tijd om een zienswijze te formuleren. In de zienswijze kan de verantwoordelijke zijn mening geven over het onderzoek en het oordeel van de AP en hier eventueel argumenten tegenin brengen.

Bedrijfsvertrouwelijkheid

In de zienswijze kan de verantwoordelijke ook aangeven welke gegevens in de voorlopige bevindingen bedrijfsvertrouwelijk zijn (op grond van artikel 10 en 11 van de Wet openbaarheid van bestuur) en dus niet voor publicatie in aanmerking komen.

Definitieve bevindingen

Na ontvangst van de zienswijze van de verantwoordelijke stelt de AP definitieve bevindingen vast. Die vormen het uiteindelijke onderzoeksrapport.

De zienswijze kan reden zijn voor de AP om de voorlopige bevindingen aan te passen of om een inhoudelijke weerlegging te geven van de argumenten uit de zienswijze.

Wanneer de verantwoordelijke niet (op tijd) een zienswijze heeft ingediend, maakt de AP de voorlopige bevindingen rechtstreeks definitief.

Openbaarmaking

De AP stuurt de definitieve bevindingen per aangetekende post naar de verantwoordelijke. Hierbij geeft de AP aan of de AP de definitieve bevindingen zal publiceren en zo ja, welke minimale wachttijd de AP daarbij in acht neemt.

De vuistregel voor openbaarmaking is dat de AP in principe alle definitieve bevindingen publiceert, tenzij er zwaarwegende redenen zijn om dit niet te doen. Zie de Beleidsregels openbaarmaking door de Autoriteit Persoonsgegevens voor meer informatie over het openbaarmakingsbeleid van de AP.

Voorlopige voorziening

Is de verantwoordelijke het niet eens met het besluit van de AP om de definitieve bevindingen te publiceren? Dan kan hij een zogeheten voorlopige voorziening vragen aan de rechter. Om de verantwoordelijke daartoe in de gelegenheid te stellen, hanteert de AP een wachttijd van minimaal 10 kalenderdagen tussen het versturen en publiceren van de definitieve bevindingen.

De AP stuurt voorafgaand aan publicatie van de definitieve bevindingen de verantwoordelijke de tekst toe van het nieuws- of persbericht over het onderzoek. In beginsel doet de AP dit op de dag vóór publicatie.

Openbare onderzoeksrapporten

De openbare onderzoeksrapporten van de AP zijn te vinden onder Onderzoeken.

Handhaving

Heeft de AP tijdens het onderzoek overtredingen geconstateerd die voortduren, dan kan de AP handhavend optreden. De AP nodigt de verantwoordelijke dan eerst uit voor een hoorzitting om zijn zienswijze op de definitieve bevindingen te geven.

Vervolgens kan de AP besluiten maatregelen te treffen om beëindiging van de overtredingen af te dwingen. De AP kan hiertoe bestuursdwang toepassen of een last onder dwangsom opleggen. Deze bevoegdheid heeft de AP op grond van artikel 65 e.v. van de Wet bescherming persoonsgegevens.

Boete

Vanaf 1 januari 2016 heeft de AP ook de bevoegdheid om bestuurlijke boetes op te leggen. Is een overtreding van de Wbp opzettelijk gepleegd of het gevolg van ernstig verwijtbare nalatigheid? Dan kan de AP direct een boete opleggen. In andere gevallen moet de AP eerst een zogeheten bindende aanwijzing geven.

De maximale boete voor overtreding van de Wbp is € 820.000. Per 1 juli 2016 kan de AP een boete van maximaal 900.000 euro opleggen aan een telecombedrijf dat een datalek niet meldt aan de AP

De boetebeleidsregels Autoriteit Persoonsgegevens laten zien hoe de AP de hoogte van een boete bepaalt.