Op grond van de Algemene Verordening Gegevensbescherming (AVG) heeft iedere betrokkene het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens (AP) indien hij van mening is dat de verwerking van persoonsgegevens die hem betreffende inbreuk maakt op de AVG. De AP is gehouden om deze klachten te behandelen. Omdat de middelen van de AP beperkt zijn, heeft zij op 1 oktober jl. beleidsregels gepubliceerd omtrent de prioritering bij deze klachtenonderzoeken.
Klachtrecht betrokkene
De AP is belast met het behandelen van klachten van betrokkenen inzake inbreukmakende verwerkingen van persoonsgegevens. Zij is verplicht de inhoud van een klacht te onderzoeken in de mate waarin dat gepast is. Ook moet de AP de klager in kennis stellen van de voortgang en het resultaat van het onderzoek. Hieruit volgt dat de AP een inhoudelijke reactie zal moeten geven op de desbetreffende klacht. Het onderzoek dat naar aanleiding van een klacht wordt uitgevoerd, gaat niet verder dan in het specifieke geval passend is. De AP kan bij de behandeling een afweging maken ten aanzien van de mate van intensiteit van het onderzoek dat op een klacht volgt. De AP voert daarom een prioriteringsbeleid.
Prioriteringscriteria
De AP ontvangt veel klachten en verzoeken om tot handhaving over te gaan. Omdat de middelen van de AP beperkt zijn en het toezichtveld veelomvattend is, zal zij niet altijd een nader onderzoek uit kunnen voeren. Daarom toetst de AP in situaties waarin mogelijk sprake is van een overtreding, maar waarvoor nader onderzoek nodig is om de overtreding vast te stellen, eerst aan de door haar vastgestelde criteria. Dit zijn:
1. Hoe schadelijk is de vermeende overtreding voor de betrokkene(n)?; Wat is de aard van de persoonsgegevens, de aard van de overtreding (ernstig/minder ernstig, incidenteel/ structureel) en de schadelijkheid?;
2. Wat is de omvang en de bredere maatschappelijke betekenis van een eventueel optreden van de AP?; De AP kijkt naar de kring van betrokkenen (Zijn enkelen of velen getroffen en in welke mate? Is sprake van een grensoverschrijdend karakter?). Relevant is of er sprake is van een ‘aandachtspunt’, zoals jaarlijks door de AP bekend gemaakt in het Toezichtskader. De aandachtspunten zijn kort gezegd: verwerking van persoonsgegevens door overheden en in de zorg, handel in persoonsgegevens, niet-gemelde datalekken en datalekken die veroorzaakt zijn door ernstige tekortkomingen in de beveiliging;
3. In hoeverre is de AP in staat doeltreffend en doelmatig op te treden?; Hierbij gaat het om de beschikbare mankracht en financiële middelen van de AP. Daarbij houdt de AP rekening met het aantal signalen, klachten en verzoeken om handhaving die aanleiding zijn voor nader onderzoek. De AP geeft aan dat zij naast haar wettelijke handhavingsinstrumenten ook informele interventies kan doen, zoals bijvoorbeeld een telefonische confrontatie, een norm overdragend gesprek of een (openbare) waarschuwingsbrief.
Als een klacht op meerdere criteria hoog scoort, is er mogelijk eerder aanleiding voor een nader onderzoek door de AP. Als een klacht op één criterium laag scoort kan dat anderzijds aanleiding zijn om nader onderzoek achterwege te laten. Daar staat tegenover dat in geval van bijzondere omstandigheden ook nader onderzoek kan worden gestart bij een lage score op alle criteria. Er is geen sprake van cumulatieve prioriteringscriteria.
Meer weten?
Neem gerust vrijblijvend contact op met ons team Privacy indien u vragen heeft.
Neem contact op