De Algemene verordening gegevensbescherming (AVG) is inmiddels ruim een jaar van kracht. Het privacyrecht blijft in ontwikkeling. Tijd voor een overzicht. In dit artikel staan de volgende onderwerpen centraal: Aanpassing van de boetebeleidsregels Aansluiting bij Nederlands rechtsbestel voor toekenning van schadevergoeding Standaard verwerkersovereenkomst voor gemeenten Kwaliteit van datalekregisters bij overheidsorganisaties
De Autoriteit Persoonsgegevens (AP) kan boetes opleggen bij overtredingen van de AVG. Om inzicht te gegeven in de manier waarop de AP de hoogte van de boete berekent, heeft de AP haar beleid aangepast. Het huidige beleid is neergelegd in de Beleidsregels Autoriteit Persoonsgegevens 2019. Het oude beleid had betrekking op regelgeving voorafgaand aan de AVG. In de aangepaste beleidsregels is voor elk wettelijk boetemaximum een onderscheid gemaakt tussen 3 of 4 verschillende boetecategorieën. De boetecategorieën zijn ingegeven door de zwaarte, de ernst van de geschonden norm en de verhouding tot de andere normen in het gegevensbeschermingsrecht.
Per boetecategorie is een basisboete bepaald. Deze basisboete kan naar boven of naar beneden worden bijgesteld. Daarbij is een aantal factoren van belang. Te denken valt aan de aard, ernst en duur van de overtreding, maar ook de verwijtbaarheid van de overtreder, financiële omstandigheden en de vraag of sprake is van recidive.
Op grond van artikel 82 van de AVG heeft eenieder die materiële of immateriële schade heeft geleden als gevolg van een inbreuk op de AVG recht om van de verwerkingsverantwoordelijke of de verwerker schadevergoeding te ontvangen voor de geleden schade. De Rechtbank Overijssel oordeelde recentelijk over de toekenning van schadevergoeding vanwege het verspreiden van persoonsgegevens door de gemeente Deventer.
Voorafgaand aan de uitspraak over de toekenning van de schadevergoeding werd al een procedure gevoerd over de toezending van persoonsgegevens aan andere bestuursorganen zonder de vereiste toestemming. In die zaak werd de gemeente door eiser op basis van artikel 35 van de toenmalige Wet bescherming persoonsgegevens verzocht om een begrijpelijk en volledig overzicht van de verwerking van zijn persoonsgegevens (het huidige artikel 15 van de AVG). Eiser had geconstateerd dat andere bestuursorganen middels e-mail kennis hadden genomen van zijn persoonsgegevens en maakte bezwaar tegen het besluit waarbij aan het verzoek van eiser werd voldaan. Het besluit werd wegens onrechtmatigheid door de rechtbank vernietigd.
Over de toekenning van de schadevergoeding oordeelde de rechtbank dat voor de toekenning van schadevergoeding aansluiting mag en moet worden gezocht bij het Nederlandse rechtsbestel. De schadevergoedingstitel van de Algemene wet bestuursrecht (Titel 8.4) en de rechtspraak bieden voldoende grondslag voor de bestuursrechter om te beslissen op het schadeverzoek. De rechtbank oordeelde dat als gevolg van dat onrechtmatige besluit sprake was van aantasting in persoon wegens verlies van controle over zijn persoonsgegevens. Op grond van artikel 82 van de AVG en artikel 6:106 van het BW heeft de eiser recht op een naar billijkheid vast te stellen schadevergoeding. Een schadevergoeding van € 500,- acht de rechtbank billijk nu door de verspreiding van zijn persoonsgegevens sprake is geweest van een schending van zijn privacy.
Vanaf 1 januari 2020 hanteren gemeenten één uniforme set aan afspraken over de verwerking van persoonsgegevens. Begin juni hebben gemeenten namelijk ingestemd met het standaard verklaren van een gemeentelijke verwerkersovereenkomst. Het doel van de Standaard Verwerkersovereenkomst Gemeenten is gericht op het vereenvoudigen van het proces om tot afspraken te komen over het verwerken van persoonsgegevens. Op basis van de AVG zijn gemeenten in de rol van verwerkingsverantwoordelijke immers verplicht een verwerkingsovereenkomst af te sluiten met alle opdrachtnemers die namens hen persoonsgegevens verwerken (verwerkers).
Volgens een door de VNG uitgevoerde inventarisatie is bij veel gemeenten het maken van sluitende afspraken een moeizaam proces. De standaard verwerkersovereenkomst beoogt het proces van totstandkoming van zo'n verwerkersovereenkomst te vereenvoudigen. Bovendien is het gebruik van een standaard kosten- en tijdbesparend en weten marktpartijen exact waar ze aan toe zijn wanneer ze persoonsgegeven voor of namens gemeente verwerken.
De AVG verplicht organisaties tot het bijhouden van alle inbreuken in verband met persoonsgegevens. Met andere woorden: organisaties zijn verplicht tot het bijhouden van een datalekregister. In maart van dit jaar heeft de AP onderzoek uitgevoerd onder 26 uiteenlopende overheidsorganisatie om te verkennen op welke wijze organisaties invulling geven aan deze verplichting. Uit de datalekregisters is af te leiden welke inbreuken het meest voorkomend zijn. Het gaat dan om inbreuken als i) het niet bij de juiste persoon aankomen van post, fax of 'digitale' post, ii) onbedoelde of onrechtmatige inzage van persoonsgegevens intern of extern, en iii) het verlies van documenten of informatiedragers zoals telefoons, laptops of tablets.
Naar aanleiding van het onderzoek concludeert de AP dat de kwaliteit van datalekregisters bij overheidsorganisaties flink uiteenloopt. Reden voor de AP om 10 praktische tips te geven voor een betere registratie van datalekken. Daarbij legt de AP onder andere de nadruk op het duidelijk en volledig omschrijven van de incidenten, de gevolgen en de corrigerende maatregelen en het voorkomen van versnippering van registraties. Ook acht de AP het van belang om een expliciet onderscheid te maken tussen corrigerende en preventieve maatregelen. Verder wijst de AP ook op het vermelden van betrokkenheid van de functionaris voor gegevensbescherming (FG) en het vermelden of het datalek is gemeld bij de AP en bij andere betrokkenen.
Moet u een privacybeleid opstellen? Lees hier het artikel met tips voor het opstellen van een privacybeleid!
Heeft u vragen over dit artikel of andere vragen over privacyrecht, neemt u dan contact op met Anke van de Laar of Lizzy Augustinus.
Advocaat & Partner