Op 25 mei 2018 vervangt de Algemene Verordening Gegevensbescherming (AVG) de huidige privacywetgeving. Het is belangrijk om goed op de hoogte te zijn van de risico’s bij overtreding van de AVG. Wanneer de AVG in het nieuws komt, wordt vaak gesproken over de hoge boetes die opgelegd kunnen worden. Maar hoe zit dat nou precies met de boetes (deel 1)? En welke stappen kan een betrokkene zelf zetten bij overtreding van de nieuwe privacywet AVG (deel 2)?
Een getroffen individu heeft een aantal tools in handen om op te treden tegen een schending van zijn rechten onder de AVG. Een betrokkene kan bijvoorbeeld getroffen worden als zijn persoonsgegevens op straat komen te liggen. Zeker wanneer het gaat om gevoelige informatie, zoals een medisch dossier, kan dit een grote inbreuk zijn op het privéleven van de persoon met alle gevolgen van dien. Denk ook aan de situatie dat geen gehoor wordt gegeven aan het verzoek om de registratie in een (openbaar) incidentenregister te verwijderen, terwijl de persoonsgegevens hierin ten onrechte zijn opgenomen.
De betrokkene kan allereerst een klacht indienen bij de toezichthouder van de lidstaat waar hij woont of werkt of waar de inbreuk heeft plaatsgevonden. In Nederland is dit de Autoriteit Persoonsgegevens (AP).
Wanneer de klacht door de toezichthouder niet in behandeling wordt genomen, de betrokkene niet tijdig hoort hoe de behandeling van de klacht verloopt of wanneer de betrokkene het niet eens is met het besluit van de toezichthouder, dan kan de betrokkene naar de rechter stappen. De AVG vereist namelijk dat besluiten van toezichthouders kunnen worden getoetst door een onafhankelijke rechter. In Nederland betekent dit dat de rechter marginaal zal toetsen of de AP in redelijkheid het besluit had kunnen nemen. Ook kan bij de rechtbank een verzoek tot handhaving ingediend worden als de klacht niet opgepakt wordt.
De betrokkene kan daarnaast ook een gerechtelijke procedure starten tegen de verwerkingsverantwoordelijke en de verwerker wanneer zijn rechten zijn geschonden.
De verwerkingsverantwoordelijke is de partij die het doel en de middelen van de verwerking van de persoonsgegevens bepaalt, bijvoorbeeld een bedrijf dat bepaalt dat de naam- en contactgegevens van het personeel en de klanten geregistreerd moeten worden. De verwerker is de partij die de persoonsgegevens verwerkt in opdracht van de verwerkingsverantwoordelijke, bijvoorbeeld een externe salarisadministrateur of een ICT-dienstverlener die een online CRM-systeem levert en beheert om de klantgegevens in op te slaan en bij te werken.
Dat ook de verwerker aangesproken kan worden is nieuw onder de AVG. Als de verwerkingsverantwoordelijke of de verwerker een beslissing genomen heeft over de rechten van de betrokkene (bijvoorbeeld over het recht op inzage, het recht op gegevenswissing en het recht op dataportabiliteit) en hij het daarmee niet eens is, dan kan hij tegen dit besluit beroep instellen. De rechter zal dan een beslissing nemen. Er kan bijvoorbeeld een verwerkingsverbod opgelegd worden of geoordeeld worden dat de betrokkene wél zijn recht mag uitoefenen.
Als de betrokkene schade heeft geleden als gevolg van overtreding van de AVG, dan kan via de rechter een schadevergoeding gevorderd worden van de verwerkingsverantwoordelijke en/of de verwerker. Als geen sprake is van vermogensschade, dan dient de betrokkene een ‘billijke vergoeding’ te ontvangen. Hoe hoog deze billijke vergoeding wordt, zal nog moeten blijken. Deze schadeclaim staat los van de administratieve geldboete die de toezichthouder kan opleggen.
Tot slot voorziet de AVG in de mogelijkheid om – met uitzondering van de schadevergoedingsvordering – een collectieve actie te starten. De getroffen betrokkenen kunnen dan een organisatie machtigen die privacy tot doelstelling heeft om namens hen op te treden tegen de overtreding.
Los van de vraag of een klacht terecht is of niet, zitten veel organisaties niet te wachten op negatieve publiciteit over de manier waarop zij met persoonsgegevens omgaan. Reputatieschade ligt op de loer en dit is voor veel bedrijven riskant. Ons advies is dan ook om goed voorbereid te zijn op de komst van de AVG om zo (onnodige) procedures, schadeclaims en reputatieschade te voorkomen.
ICTRecht Academy verzorgt een basis– en verdiepingscursus privacywetgeving waarmee u gedegen privacykennis opbouwt en uw organisatie kunt adviseren (als bijv. functionaris gegevensbescherming) en voorbereiden op de nieuwe privacywet. Voor deze cursussen is geen juridische voorkennis nodig. Volgt u beide cursussen dan krijgt u het handboek AVG gratis. Heeft u een juridische achtergrond dan vindt u hier onze privacytrainingen. Heeft u privacyadvies of privacydocumenten nodig? Wij staan voor u klaar!
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.