Column


IT-jurist Peter van Schelven over...

Privacy, security & dwangsommen

De Autoriteit Persoonsgegevens, de landelijke waakhond op het gebied van privacy, heeft het aan de stok met de gemeente Arnhem. Tot voor kort hadden inwoners van deze gemeente een afvalpas nodig om ondergrondse containers te kunnen openen voor het wegbrengen van restafval. De afvalpas koppelde – kort gezegd – adresgegevens aan stortgegevens van de burger.

Een verontruste burger uit Arnhem meende dat deze praktijk de toets van het privacyrecht niet kon doorstaan en stapte daarom naar de Autoriteit Persoonsgegevens (AP) met het verzoek handhavend op te treden. Nadat de toezichthouder dit verzoek aanvankelijk niet had gehonoreerd, oordeelde de rechtbank Gelderland dat die weigerachtige opstelling van de AP niet deugde. De kwestie, waarin de AP dus pijnlijk bakzeil haalde bij de rechter, kwam uitgebreid in het nieuws.

Last onder dwangsom
Feitelijk resulteerde dit alles er uiteindelijk in dat onlangs - begin augustus - de AP aan de gemeente Arnhem een zogeheten ‘last onder dwangsom’ heeft opgelegd. De Arnhemse kwestie lijkt mij een mooie aanleiding om in deze bijdrage voor SecurityVandaag eens stil te staan bij de vraag wat een last onder dwangsom in het privacyrecht nou eigenlijk is.

Het belang van dit juridische instrument wordt naar mijn indruk door velen onderschat. In gesprekken die ik met ondernemers over het privacyrecht voer, proef ik vooral angst voor de geldboetes die de toezichthouder kan opleggen. Over de forse financiële gevolgen die een bestuurlijke last onder dwangsom kan hebben wordt niet of nauwelijks nagedacht. Ten onrechte!

Dus: wat is een last onder dwangsom? Wanneer een bedrijf, organisatie of een overheidsinstantie de Wet bescherming persoonsgegevens (Wbp) schendt, dan is de AP gerechtigd te bepalen dat, hoe en op welke termijn een einde aan de illegale situatie moet worden gemaakt.

Herstelmaatregelen
In een last die in voorkomend geval wordt opgelegd, wordt concreet aangeven welke herstelmaatregelen de overtreder moet treffen. Zo heeft de toezichthouder in de Arnhemse kwestie beslist dat de gemeente ervoor moet zorgen dat de ondergrondse containers zonder afvalpas geopend kunnen worden. Aan die eis heeft de gemeente inmiddels voldaan.

Een tweede maatregel die werd geëist, is de verplichting om de in de geheugens van de cardreaders van de ondergrondse containers reeds opgeslagen persoonsgegevens ‘onomkeerbaar’ te wissen. Het terugdraaien van de illegale praktijk van Arnhem is daarmee de kern van de opgelegde last.

Het is goed om voor ogen te houden dat een last onder dwangsom niet alleen kan worden gegeven bij feitelijke overtreding van de Wbp, maar ook bij een dreigende overtreding. In dat laatste geval is de last een preventiemiddel dat de AP in handen heeft.

Security verbeteren
Een breed scala aan maatregelen kan als last worden opgelegd. Denk bijvoorbeeld aan instructies om de technische security te verbeteren, het aanpassen van privacystatements op websites en het versterken van de communicatie met de burgers van wie persoonsgegevens verwerkt worden. Zo heeft Google in het verleden een last opgelegd gekregen om bepaalde data op servers in de Verenigde Staten te vernietigen, harddisks met data in depot te houden zolang een onderzoek van de toezichthouder loopt en om bepaalde hashwaarden aan de toezichthouder te verstrekken.

Er kan aan bedrijven en organisaties soms zelfs de last worden opgelegd om een extern securitybureau in te schakelen om te toetsen of onterecht opgeslagen data definitief en onherstelbaar vernietigd zijn. Een spelregel waar de AP zich wel aan moet houden is dat een last niet onnodig zwaar mag zijn, maar dat is een tamelijk rekkelijk begrip.

Stok achter de deur
Wordt aan een opgelegde last niet of niet tijdig voldaan, dan is de overtreder in beginsel een bedrag verschuldigd, een zogeheten dwangsom. Het maximaal verschuldigde bedrag is op voorhand in de last genoemd en vormt in wezen een stok achter de deur. In de Arnhemse kwestie is dat slechts € 50.000, maar in andere kwesties kan het bedrag veel meer oplopen.

Een dwangsom lijkt op een boete, maar juridisch gezien is het dat niet. Dit is niet onbelangrijk, want tot op zekere hoogte zijn boetes wegens schending van de privacywetgeving verzekerbaar, maar voor dwangsommen geldt dat niet. Moet je een dwangsom betalen, dan zit je dus zelf op de financiële blaren. Het spreekt daarnaast voor zich dat aan de uitvoering van een herstelmaatregel op zich ook al forse nadelige financiële gevolgen kunnen kleven. Ook dat is het probleem van de overtreder zelf.

AVG
In de Algemene Verordening Gegevensbescherming, de Europese privacywetgeving waaraan bedrijven, overheden en organisaties op 25 mei 2018 moeten voldoen, staat niets over de last onder dwangsom als mogelijke sanctie. Het ligt echter in de lijn der verwachting dat dat gat alsnog gaat worden opgevuld in de aanvullende Nederlandse privacywetgeving, die momenteel in de maak is.

Het blijft dus oppassen geblazen. Besef: de toezichthouder kan dieper in uw organisatie ingrijpen dan u wellicht vermoedt.


IT-jurist Mr. Peter van Schelven, BIJ PETER – Wet & Recht, laat wekelijks zijn licht schijnen over een opmerkelijke uitspraak of wetgeving binnen het IT-recht. Heeft u een concrete vraag voor Peter? Dan kunt u mailen naar peter.van.schelven@gmail.com. 


Kijk hier voor de eerdere bijdragen van Peter van Schelven:

Lees meer over