Gestolen creditcardgegevens. Klachten over een bedrijf met een Engels hoofdkantoor. In de workshop Bestuursrecht op de SSR-themadag 28 September werden de gevolgen van de AVG voor de bestuursrechter gesproken. Ook de handhaving van de nieuwe wetgeving door de Autoriteit Persoonsgegevens kwam aan bod. Workshopleider Rob Widdershoven blikt terug. “Privacy-schendingen houden zich niet aan landsgrenzen.”
“Onze workshop was een interactief gesprek met de groep om problemen in kaart te brengen en oplossingen te bedenken”, aldus hoogleraar Europees Bestuursrecht Rob Widdershoven. In het bestuursrecht leidt de toepassing van de AVG simpel grofweg tot twee type zaken, vertelt hij. Of een burger spant een zaak aan tegen een bestuursorgaan omdat dit persoonlijke gegevens verwerkt zonder zijn toestemming. Of een bepaalde partij dient een klacht indient bij toezichthouder Autoriteit Persoonsgegevens. “In dat laatste geval zijn er diverse opties: als de klacht gegrond is, kan de toezichthouder besluiten tot een boete tot drie procent van de wereldwijde omzet van een bedrijf. Maar er kan ook een dwangsom of berisping volgen.”
Datalek bij verkoop vliegtickets
Een herkenbare casus die werd besproken in de workshop was een datalek bij een online platform voor de verkoop van vliegtickets. Als de creditcardgegevens van de klant worden gestolen, wat kan de Autoriteit Persoonsgegevens dan doen? “Wanneer het datalek geen grote impact heeft omdat er geen fraudeleus handelen volgt, dan zou de Autoriteit ervoor kunnen kiezen om na een kort onderzoek geen maatregelen te nemen”, legt Widdershoven uit. “Dat is een kwestie van prioritering. De Autoriteit kan, net als andere toezichthouders zoals de ACM, niet op elke klacht ingaan.” Als het belang groot genoeg is, wordt de klacht wel in behandeling genomen. “Bijvoorbeeld omdat andere klanten van het platform wel last kunnen hebben van dit soort datalekken.” Vervolgens zijn diverse sancties mogelijk, zoals een preventieve waarschuwing, een last tot dwangsom, of een hoge boete. “Deze sancties zullen vaker voorkomen en kunnen forser zijn omdat door de AVG de governance tamelijk is aangescherpt.”
Grensoverschrijdende klachten
Widdershoven en medeworkshopleider Violet Mantel, hoofd afdeling Beroep van de Autoriteit Persoonsgegevens gingen ook in op de toegenomen grensoverschrijdende werking van de privacywetgeving. “Stel een online platform werkt vanuit Engeland in heel Europa, dat levert klachten op uit vele landen. Hoe werkt dat? De toezichthouder uit het land waar de hoofdvestiging van het bedrijf ligt, is hierin leidend, in dit geval Engeland. De Engelse toezichthouder neemt het onderzoek over van zijn zusterinstantie uit het land waar de klacht is ingediend, ze werken daarna nog wel samen. Dat kan ertoe leiden dat in Engeland beslist wordt dat de klacht ongegrond is, maar dat deze afwijzing via de Autoriteit Persoonsgegevens wordt gecommuniceerd aan de klagers in Nederland.” Best ingewikkeld en ook even wennen, benadrukt Widdershoven. “Stel dat de Engelse toezichthouder een sanctie oplegt en de Nederlandse klager vindt die te laag, waar ga je dan in beroep? In Engeland? En heeft de rol van de Nederlandse bestuursrechter nog een rol?”
Schending in Rusland
Veel vragen en dilemma’s kortom, ook vanuit de zaal. “Veel vragen van deelnemers waren heel praktisch, zoals: hoeveel klachten worden er ingediend, hoe werken regelgeving en toezicht in Engeland?” Dat internationale aspect klinkt exotisch, maar gaat volgens Van Widdershoven frequent voorkomen. “Privacy-schendingen zullen digitaal zijn en digitale middelen houden zich niet aan landsgrenzen. Dit soort zaken gaan gebeuren, waarbij het nog ingewikkelder wordt als de schending in Rusland heeft plaatsgevonden.” Genoeg stof voor gesprek en discussie, en alle reden dus voor het organiseren van de themadag. “Ik ben blij dat SSR dit heeft gedaan. Hopelijk hebben we veel vragen beantwoord.”
Een algemeen verslag van de themadag Privacy leest u hier.