Autoriteit Persoonsgegevens

De tanden van de Autoriteit Persoonsgegevens

Na de inwerkingtreding van de Algemene Verordening Gegevensbescherming (“AVG”) is het de vraag wat de Autoriteit Persoonsgegevens (“AP”) met al haar nieuwe (boete)bevoegdheden gaat doen. Laat zij haar tanden zien of ligt haar focus de eerste tijd nog op voorlichting en advies?

Augustus 2018: invordering van € 48.000 wegens niet voldoen aan inzageverzoek
Dat laatste lijkt vooralsnog het geval te zijn. Maar, op de website van de AP viel op 9 augustus jongstleden wel ineens te lezen dat zij recentelijk een dwangsom van maar liefst bijna € 50.000 heeft ingevorderd bij een bank, omdat die geen gehoor gaf aan een verzoek van een klant om inzage te krijgen in zijn persoonsgegevens. Deze zaak is in de media wel aangehaald als dé eerste AVG-boetezaak, maar dat is niet helemaal juist. Deze zaak is namelijk opgestart in de periode vóór de inwerkingtreding van de AVG. Daarnaast is de dwangsom ook niet direct geïnd, maar werd in eerste instantie volstaan met een last onder dwangsom (dit is een preventiemiddel om een onrechtmatige situatie te beëindigen). Deze zaak laat echter wel zien dat de AP langzamerhand daadwerkelijk gaat handhaven wanneer een organisatie het echt te bont maakt.

De concrete kwestie van het inzageverzoek
Er ligt een interessante casus aan deze inzagekwestie ten grondslag. Het ging om het volgende. De klant vroeg de bank om een overzicht van de op hem betrekking hebbende persoonsgegevens die door de bank worden verwerkt. Ook wilde hij een afschrift van de chatberichten, gewisseld tussen hem en zijn accountmanager bij de bank. Tenslotte verzocht hij om een afschrift van een interne instructie van de interne auditdienst van de bank over de met hem te maken afspraken.

Het verzoek werd door de bank afgewezen. De klant heeft vervolgens de AP verzocht om handhavend op te treden. Die heeft dat verzoek aanvankelijk afgewezen, maar later -in de bezwaarfase- dat besluit toch herroepen.

De reden voor de bank om niet te willen voldoen aan het inzageverzoek was gelegen in haar stelling dat de klant met zijn verzoek misbruik zou maken van zijn inzagerecht. De reden daarvoor was dat het verzoek van de klant niet zou voldoen aan de doelstellingen van de toenmalige Wet bescherming persoonsgegevens (“Wbp”, de voorloper van de AVG). Het was, aldus de bank, niet aannemelijk dat de klant zich van de juistheid van de verwerking van zijn persoonsgegevens wilde vergewissen, maar dat hij de beschikking wilde krijgen over interne documenten. Anders gezegd: de klant gelooft wel dat zijn gegevens correct zijn vastgelegd en hij weet ook heel goed welke gegevens er van hem worden verwerkt, maar hij is op zoek naar bepaalde documenten. Via deze weg zou de klant de strenge regels van artikel 843a Wetboek van Rechtsvordering (“Rv”) proberen te omzeilen.

Oordeel rechtbank
Over deze kwestie had tussen de partijen ook al een procedure bij de rechtbank gespeeld, waarin de rechtbank Den Haag had geoordeeld dat er inderdaad sprake was van misbruik van recht door de klant, omdat zijn verzoek niet in lijn was met de doelstelling van de Wbp. De bank betoogt uiteraard dat de AP aan dit oordeel is gebonden.

AP volgt rechtbank niet
De AP denkt hier heel anders over en geeft aan dat zij niet is gebonden aan de vaststelling van de rechtbank, omdat zij zelf bij die procedure geen partij was. De AP vindt ook niet dat zij zich gezien het vonnis terughoudend moet opstellen, omdat zij het in deze bevoegde bestuursorgaan is dat toezicht houdt op de verwerking van persoonsgegevens en in die hoedanigheid een eigen verantwoordelijkheid heeft. De AP geeft aan dat zij hooguit vanuit het oogpunt van zorgvuldigheid met het vonnis rekening zal houden.

De AP overweegt verder dat het feit dat verzoeker misschien tevens een ander doel heeft met zijn inzageverzoek dan het controleren of zijn persoonsgegevens kloppen – namelijk gebruik van de verkregen documenten in een civielrechtelijke procedure tegen de bank om bijvoorbeeld schadevergoeding te vorderen – er niet aan in de weg staat dat terecht een verzoekt tot inzage wordt gedaan.

De AP concludeert aldus dat de Wbp door de weigering aan het inzageverzoek te voldoen, is overtreden en legt aan de bank de last op om aan de klant de gevraagde gegevens te verstrekken, op straffe van een dwangsom van € 12.000 voor iedere week dat de last niet of niet geheel is uitgevoerd, tot een maximum van € 60.000.

De bank kwam vervolgens met enkele stukken over de brug, maar nog steeds niet met álle relevante documenten. Dit leidde tot het oordeel van de AP dat de bank de dwangsommen verbeurde. De bank voldeed 4 weken later alsnog volledig aan de last en gaf een volledig overzicht, maar de AP handhaafde alsnog de verbeurde dwangsommen over de tussenliggende 4 weken. De vordering werd uit handen gegeven aan het centraal justitieel incassobureau.

En nu: bibberende knieën?
Is dit iets om heel zenuwachtig van te worden? Dat hoeft zeker niet per se; de AP lijkt er ook in deze zaak niet op uit om direct forse dwangsommen (of zelfs boetes) op te leggen. Dat blijkt alleen al uit de omstandigheid dat er geen boete werd opgelegd, maar dat werd volstaan met een last onder dwangsom. De bank kreeg dus een tweede kans om alsnog aan het verzoek te voldoen en geen dwangsommen te verbeuren. Had de bank wel op tijd gedaan wat de AP wilde, dan waren de dwangsommen niet verbeurd.

Te bont kan een organisatie het echter ook niet maken; de AP laat hier wel zien dat zij haar bevoegdheden inzet wanneer nodig en ook dat zij zich volledig onafhankelijk van de rechter opstelt. Onder de AVG zijn met name de boetebevoegdheden natuurlijk fors uitgebreid, zodat dit iets is waar organisaties daadwerkelijk rekening mee moeten houden.

Heeft u vragen omtrent het voorgaande of wilt u hierover nader met ons van gedachten wisselen dan vernemen wij dat graag. Ons team met privacy specialisten staat klaar om u te woord te staan.

Mocht u nog vragen hebben dan kunt u contact opnemen met onze privacy specialisten Kim de Bonth en Anne Coenders. Zij staan ook klaar om naar uw bedrijf toe te komen om een Privacyscan af te nemen. Door middel van deze Privacyscan krijgt u precies inzichtelijk welke bedrijfsonderdelen aan de AVG-wetgeving voldoen. Naar aanleiding van de resultaten van de privacyscan voorzien onze privacyspecialisten u van een op maat gemaakt advies.

< Vorige

Volgende >

Spring naar toolbar