21
Apr
2017

Wat zijn de taken en bevoegdheden van de Autoriteit Persoonsgegevens?

Onlangs gaf de voorzitter van de Autoriteit Persoonsgegevens in een krantenartikel aan, dat er mogelijk torenhoge boetes worden uitgedeeld aan bedrijven, die slordig omgaan met persoonsgegevens, ook indien er geen sprake is van grove schuld. Wat zijn eigenlijk de taken en bevoegdheden van de Autoriteit Persoonsgegevens?

Algemene Verordening Gegevensbescherming

In mei 2018 zal de Algemene Verordening Gegevensbescherming (AVG) van toepassing zijn in de EU-lidstaten. In deze verordening worden ook de taken en bevoegdheden van de toezichthoudende autoriteit vastgelegd. De AP moet er aan bijdragen dat de AVG consequent wordt toegepast in de EU. Er zijn overigens ook EU-lidstaten, die meerdere toezichthoudende autoriteiten hebben, Nederland heeft er maar één: de Autoriteit Persoonsgegevens (AP).

Taken Autoriteit Persoonsgegevens

Volgens artikel 57 van de AVG verricht de toezichthoudende autoriteit op haar grondgebied de volgende taken:

  • zij monitort en handhaaft de toepassing van deze verordening;
  • zij bevordert bij het brede publiek de bekendheid met en het inzicht in de risico's, regels, waarborgen en rechten in verband met de verwerking, hierbij extra aandacht voor activiteiten gericht op kinderen;
  • zij adviseert de nationale overheid inzake wet- en regelgeving met betrekking tot de bescherming van de rechten en vrijheden van natuurlijke personen op het gebied van verwerking;
  • zij maakt verantwoordelijken en verwerkers beter bekend met hun verplichtingen op basis van de AVG;
  • zij verstrekt, indien gewenst, informatie aan betrokkenen over de uitoefening van hun rechten (bijvoorbeeld recht op inzage of wijziging);
  • zij behandelt klachten van betrokkenen, en faciliteert de klachtindiening (voor betrokkenen en Functionarissen Gegevensbescherming verricht de AP haar taken kosteloos, tenzij de verzoeken ongegrond of buitensporig zijn);
  • zij werkt samen met andere toezichthoudende autoriteiten;
  • zij verricht onderzoek naar de toepassing van de AVG;
  • zij volgt de relevante ontwikkelingen voor zover deze impact hebben op de bescherming van persoonsgegevens;
  • zij stelt standaardcontractbepalingen (standard contractual clauses) vast;
  • zij stelt een lijst op met betrekking tot eisen voor een gegevensbeschermingseffectbeoordeling (Data Protection Impact Assessment (DPIA);
  • zij verstrekt advies wanneer uit een DPIA blijkt dat er sprake is van een hoog risico bij een verwerking;
  • zij bevordert de opstelling van gedragscodes, de invoering van certificeringsmechanismen, gegevensbeschermingszegels en –merkteken, en kan criteria goed keuren;
  • zij kan een periodieke toetsing doen van afgegeven certificeringen;
  • zij zorgt voor de criteria voor de accreditatie van organen voor het toezicht op gedragscodes en voor een certificeringsorganen;
  • zij geeft toestemming voor bepaalde contractuele bepalingen;
  • zij keurt bindende bedrijfsvoorschriften (binding corporate rules) goed;
  • zij levert een bijdrage aan de activiteit van het Comité;
  • zij houdt interne registers bij van inbreuken op de AVG en getroffen maatregelen;
  • zij verricht alle andere taken, die verband houden met de bescherming van persoonsgegevens.

Bevoegdheden Autoriteit Persoonsgegevens 

Onderzoek

Volgens artikel 58 van de AVG heeft de toezichthoudende autoriteit alle volgende onderzoeksbevoegdheden om:

  • de verantwoordelijke, de verwerker en, in voorkomend geval, de vertegenwoordiger van de verantwoordelijke of van verwerker te gelasten alle voor de uitvoering van haar taken vereiste informatie te verstrekken;
  • onderzoeken te verrichten in de vorm van gegevensbeschermingscontroles;
  • een toetsing te verrichten van de afgegeven certificeringen;
  • de verantwoordelijke of de verwerker in kennis te stellen van een beweerde inbreuk op deze verordening;
  • van de verwerkingsverantwoordelijke en de verwerker toegang te verkrijgen tot alle persoonsgegevens en alle informatie die noodzakelijk is voor de uitvoering van haar taken; en
  • toegang te verkrijgen tot alle bedrijfsruimten van de verantwoordelijke en de verwerker, daaronder begrepen tot alle uitrustingen en middelen voor gegevensverwerking, in overeenstemming met het uniale of lidstatelijke procesrecht.

Corrigerende maatregelen

Daarnaast heeft de toezichthoudende autoriteit alle volgende bevoegdheden tot het nemen van corrigerende maatregelen:

  • de verantwoordelijke of de verwerker waarschuwen dat met de voorgenomen verwerkingen waarschijnlijk inbreuk op bepalingen van de AVG wordt gemaakt;
  • de verantwoordelijke of de verwerker berispen wanneer met verwerkingen inbreuk op bepalingen van de AVG is gemaakt;
  • de verantwoordelijke of de verwerker gelasten de verzoeken van de betrokkene tot uitoefening van zijn rechten uit hoofde van de AVG in te willigen;
  • de verantwoordelijke of de verwerker gelasten, waar passend, op een nader bepaalde manier en binnen een nader bepaalde termijn, verwerkingen in overeenstemming te brengen met de bepalingen van de AVG;
  • de verantwoordelijke gelasten een inbreuk in verband met persoonsgegevens aan de betrokkene mee te delen;
  • een tijdelijke of definitieve verwerkingsbeperking, waaronder een verwerkingsverbod, opleggen;
  • het rectificeren of wissen van persoonsgegevens of het beperken van verwerking gelasten, alsmede de kennisgeving van dergelijke handelingen aan ontvangers aan wie de persoonsgegevens zijn verstrekt;
  • een certificering intrekken of het certificeringsorgaan gelasten een certificering in te trekken, of het certificeringsorgaan te gelasten geen certificering af te geven indien niet langer aan de certificeringsvereisten wordt voldaan;
  • naargelang de omstandigheden van elke zaak, naast of in plaats van de in dit lid bedoelde maatregelen, een administratieve geldboete opleggen;
  • de opschorting van gegevensstromen naar een ontvanger in een derde land of naar een internationale organisatie gelasten.

10-stappenplan Autoriteit Persoonsgegevens

Zoals hierboven blijkt heeft de AP ook een taak om het brede publiek bekend te maken met de regels met betrekking tot bescherming van persoonsgegevens. Ter voorbereiding van de AVG, heeft de AP een 10-stappenplan gepubliceerd, welke u hier kunt lezen. Indien u vragen heeft bij de toepassing van dit 10-stappenplan, neemt u dan gerust contact met ons op. Ook kunnen wij u helpen, indien u met de AP wilt of moet communiceren.