Wat als de Autoriteit Persoonsgegevens langskomt?

Waarschijnlijk heeft jouw organisatie verschillende draaiboeken op de plank liggen voor eventuele calamiteiten. Daarin wordt voorgesorteerd op een bepaalde gebeurtenis waarvoor tot in detail is beschreven wat er gebeuren moet, welke middelen daarvoor nodig zijn en wie welke taken heeft.

Allemaal gerelateerd aan die specifieke gebeurtenis. Denk bijvoorbeeld aan brand, stroomuitval, uitval van de primaire computersystemen, aanval van een computerhacker, bedrijfshulpverlening, etc.Stel nu dat er zich ineens ambtenaren van de Autoriteit Persoonsgegevens (AP), de toezicht houdende autoriteit volgens artikel 51 AVG, melden voor informatie of inlichtingen of om een onderzoek te doen binnen jouw organisatie. Heb je daarvoor ook een draaiboek?  Zo niet, wat doe je dan als organisatie, hoe kan de AP iets onderzoeken, waar dien je aandacht voor te hebben en hoe ver gaan de bevoegdheden van de AP?

Waarvoor kan de AP zich melden?

Dat staat duidelijk beschreven in de Algemene Verordening Gegevensbescherming (AVG) in artikel 58. De AP heeft, onder andere, de bevoegdheid om:

• onderzoeken te verrichten naar aanleiding van bij haar binnengekomen tips of klachten;
• jouw organisatie te controleren op de geldigheid en naleving van certificeringen of normeringen waaraan jouw organisatie zegt te voldoen of gelijkwaardige procedures kent voor de bescherming van natuurlijke personen bij de verwerking van hun persoonsgegevens;
• jouw organisatie in kennis te stellen van een beweerde inbreuk op bepalingen van de AVG of Uitvoeringswet AVG (UAVG);
• jouw organisatie te gelasten alle informatie te verstrekken die nodig is voor de AP om haar taken uit te voeren;
• van jouw organisatie toegang te krijgen tot jullie middelen voor de gegevensverwerkingen.

Daarbij heeft de AP ook bevoegdheden tot het nemen van maatregelen. Zo kunnen ze jouw organisatie: 

• gelasten medewerking te geven en behulpzaam te zijn bij het uitoefenen van toegekende rechten aan betrokkenen volgens de AVG of UAVG;
• berispen wanneer met verwerkingen inbreuk op bepalingen van de AVG of UAVG is gemaakt;
• gelasten op een nader bepaalde manier en binnen een bepaalde termijn gedane verwerkingen in overeenstemming te brengen met bepalingen van de AVG of UAVG;
• een tijdelijk of definitief verwerkingsverbod op te leggen van persoonsgegevens voor een bepaald doel;
• een administratieve geldboete opleggen naast of in plaats van genoemde maatregelen
  
  

Hoe en waarom kan de AP zich melden?

Voor het uitvoeren van de bevoegdheden van de AP is informatie nodig. Die kan bij jouw organisatie op verschillende manieren worden opgevraagd, bijvoorbeeld telefonisch, per email of per brief.
De opgevraagde informatie kan worden gebruikt voor een onderzoek op handhaving naar aanleiding van door de AP ontvangen tips of klachten. Daarvoor kan je organisatie worden gevraagd bijvoorbeeld het verwerkingsregister, het datalekken- en incidentregister te verstrekken, of de informatie te geven die jouw organisatie verstrekt aan betrokkenen wanneer die verzoeken doen op basis van de aan hen toegekende rechten volgens de AVG.
Ook kan de AP informatie verzamelen voor het doen van aanbevelingen naar je organisatie of het verstrekken van informatie over een bepaald onderwerp. Daarnaast kan de AP op basis van de verzamelde informatie brieven sturen aan brancheorganisaties met haar standpunt of advies ten aanzien van specifieke onderwerpen.

Wat wordt er van jouw organisatie verwacht?

Ten eerste ben je  verplicht om medewerking te verlenen als de AP gebruik maakt van haar onderzoeksmogelijkheden. Wanneer je niet meewerkt als zorgorganisatie, riskeert je  organisatie een mogelijke boete. Indien de door de AP gelaste toegang tot persoonsgegevens, informatie of middelen voor de gegevensverwerkingen niet wordt nageleefd, kwalificeert jouw organisatie zich voor een mogelijk aanzienlijke boete. 
De AP heeft boetebeleidsregels vastgesteld waaruit blijkt hoe zo’n boete wordt berekend. De boete voor het niet naleven van een last van de AP valt in de zwaarste categorie. In artikel 83 AVG zijn de algemene voorwaarden vastgelegd voor het opleggen van administratieve boetes.

Waaraan moet de AP zich te houden?

De bevoegdheden binnen een onderzoek zijn niet onbegrensd. Zo moet de AP zich aan het proportionaliteitsbeginsel te houden waarbij de AP slechts van haar onderzoeksbevoegdheden gebruik mag maken voor zover dat noodzakelijk is voor het houden van toezicht op de naleving van de AVG.
Wanneer de AP een bevoegdheid tegen jouw organisatie uitoefent om uiteindelijk een bestuurlijke boete op gaan te leggen, dient vooraf te worden medegedeeld dat er geen verplichting tot antwoorden is. Ook moet de AP zich houden aan het beginsel dat onderbouwd moet zijn waarom de AP de bevoegdheid gebruikt en welke feiten er aan ten grondslag liggen. Dat gelijke gevallen op een gelijke wijze worden behandeld en dat er niet verder mag worden onderzocht dan nodig om het onderzoeksdoel te verwezenlijken.

Hoe kan aan zo’n verzoek van de AP gecontroleerd en efficiënt worden voldaan?

Wanneer de AP zich meldt, zou het niet zo hoeven te zijn dat er sprake is van het ontstaan van een crisissituatie binnen  jouw organisatie wanneer er volgens een bepaalde structuur wordt gedacht en gewerkt, het draaiboek dat in de eerste regels van dit artikel al naar voren kwam.
Bijvoorbeeld door de AVG en UAVG niet als een verzameling van respectievelijk 99 en 54 artikelen met regels te zien, maar als een verzameling van bepalingen over een aantal aandachtsgebieden.
Voor ieder aandachtsgebied moet dan beschreven en gedocumenteerd zijn wat en waarom is besloten wat voor maatregelen zijn genomen om te voldoen aan de AVG en UAVG.
Jouw organisatie kan dan, met behulp van  die documentatie per aandachtsgebied  aantonen hoe in de praktijk aan de genomen maatregelen wordt voldaan. Dit ben je  trouwens verplicht te doen volgens artikel 5 lid 2 AVG ( de zogenaamde ‘verantwoordingsplicht’).

Tenslotte, zie er op toe dat binnen jouw organisatie een procesplan bekend is bij de medewerkers waarin is opgenomen welke functionarissen taken zullen uitvoeren wanneer een verzoek van de AP wordt ontvangen. Better safe than sorry!