Het uur U voorbij: …: De AVG in de praktijk

17 oktober, 2018

Er is de voorbije maanden veel gezegd en geschreven over de datum van 25 mei 2018, de datum waarop alles anders zou worden. Vanaf die datum zou het afgelopen zijn en zou iedere onrechtmatige verwerking van persoonsgegevens aangepakt gaan worden. Die partij die nog ontoelaatbaar om zou gaan met persoonsgegevens zou een boete van maximaal 4% van de wereldwijde jaaromzet riskeren.
Juristen wachtten kritisch af: zou de AP ook daadwerkelijk gaan handhaven? En zo ja, aan wie zou de eerste sanctie opgelegd worden? Op 9 augustus 2018 maakte de AP melding van de eerste geïncasseerde dwangsom…

Een korte inleiding

Het moet worden toegegeven, het blijkt uiteindelijk te gaan om een zaak die al in 2017 heeft gespeeld en die dus nog op basis van de Wet Bescherming Persoonsgegevens (“Wbp”) is beoordeeld. Het ziet er naar uit dat de toezichthoudende autoriteit (Autoriteit Persoonsgegevens, hierna: “AP”) pas op 9 augustus 2018 melding heeft gemaakt van deze betaalde dwangsom[1], omdat de partij aan wie de dwangsom was opgelegd daartegen nog tevergeefs een procedure heeft gevoerd.

Een en ander neemt niet weg dat de zaak aantoont dat de AP serieus werk maakt van de rechten van betrokkenen en optreedt wanneer een betrokkene een klacht indient dat zijn/haar rechten zijn geschonden.

Waar ging het om?

Theodoor Gilissen Bankiers (“TGB”) (tegenwoordig: InsingerGilissenBankiers) verleende effectendiensten aan een klant. Deze klant heeft in 2016 aan TGB het verzoek gedaan om inzage te krijgen in de eigen persoonsgegevens die TGB van de klant had verwerkt.

De klant had bij TGB gevraagd om:

  • een overzicht van de op de klant betrekking hebbende persoonsgegevens die door TGB worden verwerkt;
  • een afschrift van chatberichten, gewisseld tussen klant en zijn accountmanager bij TGB in een chatroom voor beleggers;
  • een afschrift van een interne instructie van het hoofd van de Interne Audit Dienst van TGB over de te maken afspraken met de klant.

Nadat TGB het verzoek had afgewezen heeft de klant de AP verzocht om handhavend op te treden. Uiteindelijk heeft de AP het handhavingsverzoek toegewezen en aan TGB kenbaar gemaakt dat zij voornemens was een last onder dwangsom op te leggen.

De last (“de Last”) hield in dat TGB de volgende gegevens aan de klant diende te verstrekken:

(1) een volledig overzicht in begrijpelijke vorm van de betrokkene betreffende persoonsgegevens;

(2) een omschrijving van het doel of de doeleinden van de verwerking;

(3) de categorieën van gegevens waarop de verwerking betrekking heeft;

(4) de ontvangers of categorieën van ontvangers alsmede

(5) de beschikbare informatie over de herkomst van de gegevens.

 

Bezwaren TGB tegen voorgenomen Last

TGB heeft vervolgens zienswijze naar voren gebracht tegen de voorgenomen Last. De belangrijkste bezwaren van TGB kwamen op het volgende neer:

  • TGB meende dat het verzoek van de klant een misbruik van het inzagerecht opleverde, omdat er in een eerdere civiele procedure al tevergeefs was geprobeerd inzage te krijgen in de documenten die TGB hield in het kader van het dossier van de klant;
  • TGB meende dat het inzagerecht niet zover strekt dat interne analyses en vastlegging van beraadslagingen zouden moeten worden overgelegd;
  • Tot slot heeft TGB betoogd dat voldoen aan het verzoek een onevenredige inspanning van TGB zou vergen.

Alle drie de bezwaren heeft de AP gemotiveerd afgewezen.

De AP heeft duidelijk gemaakt dat zij als toezichthouder niet is gebonden aan rechterlijke uitspraken over zelfde onderwerpen, zolang die uitspraken zien op procedures tussen betrokkenen (de persoon van wie persoonsgegevens worden verwerkt) en verwerkingsverantwoordelijken (de verwerkende partij). De AP is in die procedures immers geen partij.

De AP heeft daar aan toegevoegd dat zij als toezichthouder is aangewezen als bevoegd bestuursorgaan dat toezicht houdt op de verwerking van persoonsgegevens. In geval dat de AP overtredingen ontdekt, dient zij handhavend op te treden. Daar komt nog bij dat het privacy-recht een gedifferentieerd systeem van handhaving kent, waarin de civielrechtelijke en bestuursrechtelijke weg naast elkaar bestaan.

In deze procedure is nog eens duidelijk gemaakt dat een betrokkene die een beroep doet op zijn inzagerecht, de opgevraagde en verkregen informatie (die hoofdzakelijk wordt gegeven om de betrokkene in de gelegenheid te stellen deze te controleren) ook mag gebruiken voor andere doeleinden, bijvoorbeeld in een te starten gerechtelijke procedure over een ander onderwerp. Dit leidt niet snel tot de conclusie dat met het verzoek een misbruik van het inzagerecht wordt gemaakt.

TGB heeft betoogd dat het inzagerecht niet ziet op alle soorten documenten die zij bij haar bedrijfsvoering heeft gebruikt.

In reactie hierop heeft de AP benadrukt dat in de WBP werd bepaald dat, als er persoonsgegevens worden verwerkt, de verantwoordelijke gehouden is – op verzoek – de hiervoor onder de Last opgesomde gegevens te verstrekken.

Enkel wanneer met een overzicht niet kan worden voldaan aan de doelstelling van het inzagerecht, kan de betrokkene aanspraak maken op een afschrift van stukken.

In het onderhavige geval had TGB nog niet eens een overzicht verstrekt, waarmee de AP niet kon toekomen aan de vraag of de klant ook recht had op afgifte van door hem verzochte chatberichten.

Tot slot heeft TGB nog een poging gedaan onder haar verplichting uit te komen door te betogen dat het voor haar een onredelijke inspanning en administratieve last zou vergen om aan het verzoek te voldoen en dat om die reden de klant geen recht op inzage toekwam.

Ook met dit verweer heeft de AP korte metten gemaakt en dit afgewezen.

De conclusie was dan ook dat TGB in overtreding was, nu zij niet aan het verzoek om inzage had voldaan.

 

Besluit tot opleggen Last

Op basis van de haar toekomende bevoegdheid heeft de AP vervolgens een last onder dwangsom opgelegd inhoudende dat bij het niet voldoen aan de Last binnen de gestelde termijn TGB een dwangsom zou verbeuren van € 12.000,- voor iedere week dat de Last niet (geheel) zou worden uitgevoerd, tot een maximum van € 60.000,-.

Gezien de opmerkingen van TGB t.a.v. de onredelijke inspanning heeft de AP een begunstigingstermijn aan de last verbonden van 2 maanden, eindigend op 11 juli 2017.

Besluit tot invordering en bezwaar daartegen

Het is vervolgens interessant om ook nog aandacht te besteden aan het daaropvolgende besluit tot invordering en het voornemen tot publicatie.[2]

Allereerst verdient aandacht het feit dat de AP, nadat TGB op 7 juli 2017 een (gedeeltelijk) overzicht aan de klant ter beschikking had gesteld, een onderzoek ter plaatse heeft uitgevoerd op het kantoor van TGB.

Mede naar aanleiding van de resultaten van dat onderzoek heeft de AP geconcludeerd dat het ter beschikking gestelde overzicht nog niet volledig was.

Het was immers gebleken dat de verwerking van persoonsgegevens in 2 documenten niet was vastgelegd in het overzicht. De precieze inhoud van deze documenten heeft de AP, omwille van de vertrouwelijkheid ervan, niet vermeld. Wel wordt duidelijk dat deze documenten melding maakten van uitwisseling van persoonsgegevens van de klant, door TGB met een derde partij. Aangezien het doel van de bewuste verwerking niet in het ter beschikking gestelde overzicht werd opgenomen en de betrokken derde niet als ontvanger in het overzicht werd genoemd, heeft de AP vastgesteld dat TGB niet aan de opgelegde last heeft voldaan.

Ook de verwerking van persoonsgegevens in een 2e rapport ontbrak in het overzicht, zo had de klant aan de AP laten weten. Het verweer van TGB hierop was dat zij niet over het rapport beschikte op het moment dat het overzicht werd gemaakt en dat zij hoe dan ook niet meer in het bezit was van dat rapport, nu zij het aan haar advocaat had verstrekt.

De AP heeft vastgesteld dat ook in dit rapport persoonsgegevens van de klant waren verwerkt. Het enkele gegeven dat er al eerder met TGB over dit rapport was gesproken had aanleiding moeten zijn om het mee te nemen in het overzicht. Evenmin kon TGB zich verschuilen achter het argument dat het rapport niet meer in haar bezit was, maar bij haar advocaat lag. Aangezien de advocaat voor TGB optrad werd deze in het kader van de privacy-verplichtingen met TGB vereenzelvigd. Ook met het bezitten van dit rapport werden derhalve persoonsgegevens verwerkt, waarvan de verwerkingen in het overzicht hadden moeten zijn opgenomen.

Met het niet opnemen van deze verwerking had TGB niet volledig voldaan aan de opgelegde Last.

TGB heeft later met het verstrekken van een aanvullend overzicht alsnog voldaan aan de opgelegde last onder dwangsom, maar wel nadat er inmiddels dwangsommen waren verbeurd. Uiteindelijk is de AP tot het besluit gekomen dat TGB een dwangsom had verbeurd van € 48.000,–.

Conclusie

Uit de beschreven procedure blijkt dat de AP tegenwoordig aardig de tanden laat zien en – meer dan voorheen – bereid en in staat is om te handhaven als organisaties de privacy-rechten van betrokkenen, zoals het recht op inzage, niet naleven.

De AP heeft daarbij meerdere instrumenten, waaronder het uitvoeren van onderzoek bij de betrokken organisatie.

Ook kan niet onvermeld blijven dat organisaties zich er niet achter kunnen verschuilen, documenten waarin zij persoonsgegevens hebben verwerkt, aan hun advocaat te verstrekken. Deze belangenbehartiger van de organisatie wordt in dit kader immers door de AP met de betrokken verwerkingsverantwoordelijke vereenzelvigd.

Deze bijdrage is geschreven door oud-medewerker mr. Ruben Veenhuysen (sectie ondernemingsrecht, specialisatie IE- en Privacyrecht).

[1] https://autoriteitpersoonsgegevens.nl/nl/nieuws/tgb-betaalt-dwangsom-na-niet-voldoen-aan-inzageverzoek

[2] https://autoriteitpersoonsgege…

Geschreven door

Was dit artikel nuttig?

Wij bespreken graag uw persoonlijke situatie tijdens een vrijblijvende kennismaking met een voor uw situatie relevante specialist.

Een van onze adviseurs neemt binnen uiterlijk één werkdag contact met u op om samen een afspraak in te plannen