De Autoriteit Persoonsgegevens (AP) is de Nederlandse toezichthouder als het gaat om de bescherming van persoonsgegevens. Bij wet is deze aangesteld als zogenaamd zelfstandig bestuursorgaan.
De taken van de Autoriteit Persoonsgegevens zijn terug te vinden in de Algemene Verordening Gegevensbescherming (AVG). Dit is het Europese juridische kader dat geldt voor alle landen van de Europese Unie. De AVG werd van kracht op 25 mei 2018.
Vroeger was de AP de autoriteit over gegevensbescherming volgens de Wet bescherming persoonsgegevens. Die wet is met de komst van de AVG vervallen.
In dit artikel lees je alles wat je als ondernemer wilt weten over de Autoriteit Persoonsgegevens. Vooral de taken en bevoegdheden komen aan bod. Ook vind je terug wat de toezichthouder mag doen bij overtreding van de AVG.
De belangrijkste taak van de Autoriteit Persoonsgegevens
De belangrijkste taak van de Autoriteit Persoonsgegevens is het beoordelen of bedrijven en overige organisaties de AVG naleven. Dat geldt niet alleen voor commerciële organisaties, maar ook voor bijvoorbeeld overheidsinstanties. Minder bekend is dat de AP ook toezicht houdt op de naleving van de Wet politiegegevens en de Wet gemeentelijke basisadministratie persoonsgegevens. En van alle andere wettelijke regelingen waarin sprake is van het verwerken van persoonsgegevens.
Tot 2016 heette de Autoriteit Persoonsgegevens het College bescherming persoonsgegevens. Sinds de naamswijziging mag de toezichthouder boetes opleggen. Dat mag als een organisatie de privacyregels uit de AVG (en eerder de Wbp) overtreedt.
Het verwerken van persoonsgegevens
Persoonsgegevens zijn al die gegevens waarmee een persoon te identificeren is. Het gaat daarbij niet alleen om iemands naam en adresgegevens, maar ook bijvoorbeeld telefoonnummers en IP-adressen.
Het verwerken van persoonsgegevens draait om alle handelingen die je kan uitvoeren met persoonsgegevens. Denk aan het opslaan, registreren, bewerken, kopiëren, wijzigen, aanvullen en wissen van persoonlijke data.
Volgens de AVG mag een bedrijf of organisatie alleen persoonsgegevens verwerken als dat aantoonbaar noodzakelijk is. Ook moet het zijn toegestaan. Er zijn ook bijzondere persoonsgegevens. Dat soort gegevens zijn gevoelig en krijgen daardoor extra bescherming onder de AVG. Het gaat bijvoorbeeld om etnische, religieuze of biometrische persoonsgegevens. Andere soorten bijzondere persoonsgegevens zijn die waaruit politieke opvattingen, iemands gezondheidssituatie, seksuele gerichtheid of lidmaatschap van een vakvereniging blijken.
Het uitgangspunt is dat het verwerken van bijzondere persoonsgegevens verboden is. Er zijn uitzonderingen. Die staan in de AVG. Een voorbeeld is de uitdrukkelijke toestemming van de betrokkene. Je moet je kunnen beroepen op in elk geval één van de tien uitzonderingen. En één van de grondslagen voor het verwerken van niet-bijzondere persoonsgegevens.
Het bewaren van persoonsgegevens
In een digitaal of papieren dossier staat informatie over een persoon. Soms zelfs veel informatie. Denk aan een medisch dossier of de salarisadministratie. Het is verplicht voor een organisatie om bepaalde persoonsgegevens gedurende een periode te bewaren. Dat is namelijk nodig voor een deugdelijke administratie.
Tegelijkertijd mag het bewaren van persoonsgegevens niet onbeperkt. Je mag deze alleen bewaren zolang dat noodzakelijk is.
In de AVG staan geen precieze bewaartermijnen voor persoonsgegevens. Kortom: bedrijven bepalen zelf hoe lang zij persoonsgegevens bewaren. Als organisatie kijk je daarbij naar:
- de tijd dat je de persoonsgegevens nodig hebt;
- voor het doel waarvoor je ze hebt verzameld of gebruikt.
Andere wetten geven soms wél concrete bewaartermijnen. Belastingwetgeving bijvoorbeeld. Zorg dus dat je je daar goed over laat informeren.
Het vernietigen van persoonsgegevens
Als de (wettelijke) bewaartermijn van persoonsgegevens voorbij is, dan moet je de gegevens vernietigen. Dat geldt ook als de persoonsgegevens niet meer noodzakelijk zijn.
Het archiveren van persoonsgegevens
In de Archiefwet staat een bewaarplicht voor overheden. Die is er voor sommige informatie. De bewaarplicht geldt ook voor informatie met persoonsgegevens. De overheidsinstanties moeten zich hierbij aan de AVG houden.
Maatregelen bij niet-naleving van de AVG
De Autoriteit Persoonsgegevens kan bedrijven en organisaties ertoe dwingen om zich aan de eisen van de AVG te houden. Gebeurt dat niet, dan heeft de AP verschillende bevoegdheden. Zo mag de toezichthouder geven of opleggen:
- een boete;
- een last onder dwangsom;
- een verwerkingsverbod;
- een berisping; en
- een waarschuwing.
Boete
De hoogte van een boete bij inbreuk op de AVG is beperkt. Dit is maximaal twintig miljoen euro of vier procent van de wereldwijde jaaromzet van een bedrijf of organisatie. Er zijn richtlijnen om de hoogte van de boete te bepalen, zowel Europeesrechtelijk als nationaal. Die laatste soort is neergelegd in de zogenaamde Boetebeleidsregels Autoriteit Persoonsgegevens 2019. Onder meer de aard, ernst en duur van de overtreding spelen mee.
Last onder dwangsom
Bij een last onder dwangsom betaalt een bedrijf alleen een dwangsom als het bedrijf niet stopt met de overtreding.
Verwerkingsverbod
Bij een door de Autoriteit Persoonsgegevens opgelegd verwerkingsverbod mag een bedrijf bepaalde persoonsgegevens niet verwerken.
Berisping
Bij een berisping zegt de Autoriteit Persoonsgegevens dat een bedrijf in overtreding is. Ook keurt de toezichthouder de inbreuk af. De AP deelt dus geen boete uit. Ook een andere financiële prikkel, zoals bij de last onder dwangsom, ontbreekt. Het zal daarom meestal gaan om een kleine overtreding zonder opzet.
Waarschuwing
Is een bedrijf van plan om in strijd met de AVG persoonsgegevens te verwerken? Dan kan de toezichthouder een waarschuwing geven.
Overige taken en bevoegdheden van de AP
De Autoriteit Persoonsgegevens heeft meer taken en bevoegdheden naast boetes en andere waarschuwende of bestraffende maatregelen opleggen. Er is een openbaar register dat de AP bijhoudt. Hierin staan verwerkingen van persoonsgegevens die afwijken van de gebruikelijke verwerkingen.
Ook adviseert de toezichthouder de ministers en de Tweede Kamer. Dat gaat over wetsvoorstellen die met privacy en persoonsgegevens te maken hebben. Het advies is zowel gevraagd als ongevraagd.
De AP vormt daarnaast het meldpunt voor datalekken. Verwerkingsverantwoordelijken en bewerkers zijn verplicht om dit te doen.
Meldplicht datalekken bij AP
Een meldplicht datalekken betekent dat bedrijven en overheidsinstanties een ernstig datalek meteen moeten melden. Die melding doe je in ieder geval bij de AP. Daarna moeten organisaties soms de betrokkenen op de hoogte stellen. Dat zijn de personen van wie de persoonsgegevens zijn gelekt.
Wat is een datalek
Een datalek houdt in dat derden toegang hebben tot persoonsgegevens. Andere voorbeelden zijn de wijziging, vernietiging of het vrijkomen van persoonsgegevens bij een organisatie. Dat gebeurt tegen de bedoeling van deze organisatie in.
De manier van een datalek melden bij de Autoriteit Persoonsgegevens
Een bedrijf of andere organisatie gebruikt het meldformulier datalekken bij een datalek. Op de website van de Autoriteit Persoonsgegevens is dit formulier te vinden. Daar vind je ook de privacyverklaring datalek melden. In die verklaring staat hoe de AP omgaat met de gelekte persoonsgegevens.
Het voorbereiden van een melding
In de Vragenlijst meldformulier datalekken van de Autoriteit Persoonsgegevens zie je de vragen die bij het melden van een datalek gesteld worden. Dit kan je als bedrijf gebruiken als voorbereiding op het invullen van het online formulier. Handig om alvast de benodigde informatie op te zoeken.
Ook is de vragenlijst een nuttig hulpmiddel om een stappenplan op te stellen. Met dat plan is het makkelijker om een eventuele datalek zo snel en volledig mogelijk te melden.
Probeer AVG-Programma 30 dagen gratis
Wil je eenvoudig voldoen aan de AVG regels? AVG-Programma helpt je te doen wat nodig is.
- toets je organisatie en neem noodzakelijke maatregelen
- maak gebruik van alle juridische documenten
- behaal het AVG OK-vignet en laat zien dat je privacy serieus neemt
Ontdek zelf hoe het werkt. Maak een gratis proefaccount aan.
Veelgestelde vragen over de Autoriteit Persoonsgegevens
De Autoriteit Persoonsgegevens (AP) is de onafhankelijke toezichthouder voor privacy in Nederland. Als ondernemer moet je de regels van de AP volgen om de privacy van persoonsgegevens te waarborgen en boetes te voorkomen.
De Autoriteit Persoonsgegevens heeft verschillende taken. Zo houdt ze toezicht op de naleving van de privacywetgeving. Ook geeft ze advies en informatie en behandelt ze klachten. Bovendien mag de AP boetes opleggen bij overtredingen van de AVG.
Als je een datalek ontdekt, moet je dit direct melden bij de Autoriteit Persoonsgegevens. Zorg er ook voor dat je de betrokken personen informeert over het datalek en mogelijke gevolgen. En neem maatregelen om verdere schade te voorkomen.
