Feedback

Zoekresultaat - inzien document

ECLI:NL:RBGEL:2020:622

Instantie
Rechtbank Gelderland
Datum uitspraak
04-02-2020
Datum publicatie
05-02-2020
Zaaknummer
AWB - 19 _ 3510
Rechtsgebieden
Bestuursprocesrecht
Bijzondere kenmerken
Eerste aanleg - meervoudig
Inhoudsindicatie

Verzoek om handhaving tegen overtredingen van de NS van de Algemene verordening gegevensbescherming (AVG). Er zijn drie overtredingen gesteld:

a. verplichte identificatie/legitimatie bij inleveren anonieme chipkaart voor uitbetaling van het daarop aanwezige saldo;

b. poging tot misleiding van eiser als klant dat identificatie verplicht zou zijn bij de aanschaf van vervoersbewijzen aan de stationsbalie voor alle internationale treinreizen binnen de EU;

c. het in rekening brengen van servicekosten bij het opladen/opwaarderen van anonieme OV-chipkaart met behulp van contant geld.

De rechtbank komt tot de conclusie dat NS de AVG niet heeft overtreden. Het beroep is ongegrond.

Vindplaatsen
Rechtspraak.nl
Verrijkte uitspraak

Uitspraak

RECHTBANK GELDERLAND

Zittingsplaats Arnhem

Bestuursrecht

zaaknummer: AWB 19/3510

uitspraak van de meervoudige kamer van 4 februari 2020

in de zaak tussen

[Naam A] , te [woonplaats A] , eiser,

en

de Autoriteit Persoonsgegevens, verweerder.

(gemachtigden: mr. J.M.A. Koster en mr. W. van Steenbergen).

Als derde-partij heeft aan het geding deelgenomen: NS Groep N.V., te Utrecht.

(gemachtigde: mr. A. Nijhoff)

Procesverloop

Bij besluit van 12 november 2018 heeft verweerder een verzoek van eiser afgewezen om handhavend op te treden op te treden tegen de NS.

Bij besluit van 12 juni 2019 (het bestreden besluit) heeft verweerder het bezwaar van eiser ongegrond verklaard.

Eiser heeft tegen het bestreden besluit beroep ingesteld.

Verweerder heeft een verweerschrift ingediend.

Derde-partij heeft een schriftelijke uiteenzetting gegeven.

Het onderzoek op de zitting heeft plaatsgevonden op 16 december 2019. Eiser is verschenen. Verweerder is vertegenwoordigd door haar gemachtigden. Derde-partij is vertegenwoordigd door haar gemachtigde en [Naam B] .

Overwegingen

Waarom honoreert de rechtbank het verzoek van eiser om aanhouding van de zaak niet?

1. Eiser heeft verzocht om zijn zaak aan te houden in afwachting van het antwoord op prejudiciële vragen van het Grondwettelijk Hof van België en in afwachting van de uitspraak op het hoger beroep bij de Afdeling bestuursrechtspraak van de Raad van State (de Afdeling) in een eerder door hem gevoerde vergelijkbare zaak.

1.1.

De rechtbank ziet daartoe geen aanleiding. Het Grondwettelijk Hof van België heeft in zijn uitspraak van 17 oktober 2019 (arrest nr. 135/2019) prejudiciële vragen gesteld aan het Hof van Justitie van de Europese Unie. Deze vragen hebben betrekking op de nationale (Belgische) wet van 25 december 2016 betreffende de verwerking van passagiersgegevens. Bij deze wet zijn de richtlijnen (EU) 2016/681 van het Europees Parlement en de Raad van 27 april 2016, 2004/82/EG van de Raad van 29 april 2004 en 2010/65/EU van het Europees Parlement en de Raad van 20 oktober 2010 omgezet in (nationale) wetgeving. Richtlijn 2004/82/EG heeft tot doel de grenscontroles te verbeteren en de illegale immigratie te bestrijden en ziet op het beroepsmatige vervoer van personen door de lucht. Richtlijn 2010/65 heeft ten doel de administratieve procedures die van toepassing zijn op het zeevervoer te vereenvoudigen en te harmoniseren. Bij richtlijn 2016/681 worden voorschriften vastgesteld inzake de doorgifte door luchtvaartmaatschappijen van persoonsgegevens van passagiers (Passenger Name Record-PNR) van vluchten met als doel terroristische misdrijven en ernstige criminaliteit te voorkomen, op te sporen, te onderzoeken en te vervolgen.

Eén van de vragen van het Grondwettelijk Hof van België betreft de vraag of artikel 23 van de AVG van toepassing is op (deze) nationale wetgeving. Voor het overige hebben de vragen betrekking op richtlijn (EU) 2016/681.

De antwoorden van het Europese Hof op de gestelde vragen zijn naar het oordeel van de rechtbank niet van invloed op het beroep van eiser in deze zaak. De genoemde richtlijnen zijn niet aan de orde en de AVG is in deze zaak rechtstreeks toegepast en niet via nationale wetgeving.

1.2.

Er is ook geen aanleiding om de uitspraak van de Afdeling in het hoger beroep van eiser tegen de uitspraak van deze rechtbank van 5 september 2019 in de zaken AWB 18/546 en 18/14871 af te wachten. Het handhavingsverzoek waar deze zaak over gaat, ziet grotendeels op andere onderwerpen dan waar de uitspraak van 5 september 2019 op ziet.

Waar gaat deze uitspraak over?

2. In deze uitspraak beoordeelt de rechtbank de weigering van verweerder om handhavend op te treden op te treden tegen de NS op grond van de Verordening (EU) 2016/679 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (Algemene Verordening Gegevensbescherming; AVG). Het gaat daarbij om 3 gestelde overtredingen van de NS:

I. verplichte identificatie/legitimatie bij inleveren anonieme chipkaart voor uitbetaling van het daarop aanwezige saldo;

II. poging tot misleiding van eiser als klant dat identificatie verplicht zou zijn bij de aanschaf van vervoersbewijzen aan de stationsbalie voor alle internationale treinreizen binnen de EU;

III. het in rekening brengen van servicekosten bij het opladen/opwaarderen van anonieme OV-chipkaart met behulp van contant geld.

2.1.

Voor de relevante wet- en regelgeving verwijst de rechtbank naar de bijlage. Deze bijlage maakt deel uit van de uitspraak.

Waaraan toetst de rechtbank het besluit van verweerder?

3. Eiser heeft een verzoek ingediend op grond van artikel 58 van de AVG. Op grond van dit artikel kan verweerder – voordat hij overgaat tot handhavend optreden – op verzoek een onderzoek instellen naar de wijze waarop ten aanzien van gegevensverwerking toepassing wordt gegeven aan de AVG. Dat heeft verweerder ook in dit geval gedaan.

Verweerder heeft beleidsregels voor dergelijke onderzoeken, die zijn beschreven in de ‘Beleidsregels prioritering klachtenonderzoek AP’.2 In artikel 2 van deze beleidsregels staat dat verweerder eerst op basis van de inhoud van de klacht beoordeelt of het gaat om een verwerking van persoonsgegevens die de klager betreft en of er al dan niet sprake is van een overtreding van de AVG. Blijkt uit die eerste beoordeling dat geen sprake is van een overtreding, dan wijst verweerder het verzoek om handhaving af of beëindigt de behandeling van de klacht, zo staat in de toelichting. Het verzoek van eiser is na de eerste beoordeling afgewezen, onder verwijzing naar deze beleidsregels.

Naar het oordeel van de rechtbank is dit beleid niet onredelijk. Verder heeft verweerder terecht het verzoek getoetst aan deze beleidsregels. De beleidsregels voorzien niet in overgangsrecht en hebben dus onmiddellijke werking. Dat eiser zijn verzoek heeft ingediend voor de inwerkingtreding van de beleidsregels, is dus niet van belang.

De rechtbank beoordeelt of verweerder op grond van dit onderzoek heeft kunnen concluderen dat de NS de AVG niet overtreedt. Is dat inderdaad niet het geval, dan is verweerder niet bevoegd handhavend tegen de NS op te treden.

Heeft verweerder de identificatie bij uitbetaling saldo van een niet op naam gestelde OV-chipkaart voldoende onderzocht?

4. Eiser voert aan dat verweerder de werkwijze van de NS bij de uitbetaling van het saldo op een anonieme OV-chipkaart onvoldoende heeft onderzocht. De NS eist van mensen die een anonieme OV-chipkaart inleveren, dat zij zich legitimeren. Volgens het beleid van de NS worden hierbij geen persoonsgegevens verwerkt maar verweerder heeft niet onderzocht of de NS zich feitelijk aan dit beleid houdt. Als er sprake zou zijn van gestolen anonieme kaarten levert dit een aanwijzing op dat er toch persoonsgegevens worden verwerkt. Want zonder persoonsgegevens kan de NS niet nagaan of sprake is van een gestolen kaart. Ook is volgens eiser uitlezing van de Chip-ID op de kaart niet noodzakelijk.

Verder weigert verweerder de contractuele bepalingen van de NS te toetsen aan de AVG. Eiser heeft geen contract met Trans Link Systems (TLS) afgesloten. Eiser wil dat verweerder wordt opgedragen de feitelijke doelstellingen en het feitelijk handelen, inclusief technische (IT-) systemen, van de NS te onderzoeken.

4.1.

Verweerder heeft naar aanleiding van de klacht van eiser aan de NS vragen gesteld. Uit de brief van de NS van 26 september 2018 volgt dat de NS geen persoonsgegevens van het identiteitsbewijs van klanten verwerkt die een niet op naam gestelde OV-chipkaart inleveren. Daarbij heeft de NS verwezen naar het handboek voor zijn werknemers, waarin onder “Saldo op de OV-chipkaart” het volgende staat:

“Een klant met een OV-chipkaart met een maximum bedrag van € 30,00 kan restitutie ontvangen onder de volgende voorwaarden:

  • -

    Er staat geen restitutie voor een andere OV-chipkaart in bestelling in dezelfde order;

  • -

    Na restitutie is het kaartsaldo altijd nul. Alleen het gehele saldo kan worden gerestitueerd. De klant moet zich legitimeren (paspoort, identiteitsbewijs of rijbewijs). Het is niet toegestaan om persoonsgegevens van deze klant te noteren.”

4.2.

Verweerder heeft in redelijkheid geen aanleiding hoeven zien om nader onderzoek te doen. Immers, uit het door verweerder ingestelde onderzoek blijkt dat het geen beleid van de NS is om persoonsgegevens te noteren. Het handboek voor de werknemers brengt de NS regelmatig bij cursussen en opleidingen onder de aandacht van de werknemers. Recentelijk hebben werknemers hierover nog een mail ontvangen, aldus de NS op de zitting. Verder heeft de NS toegelicht dat hun computersysteem het niet toelaat om persoonsgegevens op te nemen bij de inlevering van een niet op naam gestelde OV-chipkaart. Op grond hiervan heeft verweerder kunnen concluderen dat de NS met dit beleid voldoende adequaat handelt en geen persoonsgegevens noteert van de getoonde legitimatie. Eiser heeft zijn stelling dat de werknemers van de NS geïnstrueerd zijn om feitelijk anders te handelen, ook niet nader onderbouwd.

Bij de terugbetaling van het saldo van een niet op naam gestelde OV-chipkaart boven een maximum van € 30,00 worden wel persoonsgegevens verwerkt. Daarbij is niet de NS maar TLS de verwerkingsverantwoordelijke. Aangezien er geen handhavingsverzoek bij verweerder is ingediend voor TLS, zijn terugbetalingen door TLS in deze zaak niet aan de orde. De stelling van eiser dat het bedrag van € 30,00 willekeurig is gekozen, maakt dit niet anders. Deze beroepsgrond slaagt niet.

Heeft verweerder de werkwijze bij het kopen van een internationaal treinticket voldoende onderzocht?

5. Eiser voert aan dat medewerkers van de servicebalie van de NS structureel naar persoonsgegevens vragen bij de aankoop van een internationaal treinticket. Volgens eiser heeft de NS dit ook niet ontkend. Het is aan verweerder om overtredingen waarbij wordt afgeweken van het papieren beleid, te onderzoeken. Dit geldt ook voor overtredingen door het callcenter van de NS.
Op de zitting heeft eiser toegelicht dat zijn verzoek om handhaving op dit punt ziet op alle internationale reizen die de NS aan de stationsbalie verkoopt, niet alleen de kaartjes waarvoor de NS als verwerkingsverantwoordelijke kan worden aangemerkt, maar ook de kaartjes waarbij de NS alleen als verwerker voor een buitenlandse maatschappij optreedt.

5.1.

Dit laatste onderdeel van het verzoek acht de rechtbank te onbepaald en onvoldoende concreet. Een verzoek om handhaving (klacht) op grond van de AVG kan alleen worden ingediend als sprake is van verwerking van persoonsgegevens van eiser zelf als betrokkene in de zin van de AVG en als belanghebbende in de zin van de Algemene wet bestuursrecht (Awb). Daarvan is ten aanzien van de NS als verwerker voor een buitenlandse maatschappij geen sprake, omdat eiser niet een internationaal treinticket heeft gekocht voor een reis waarbij de NS als verwerker is opgetreden. Wel heeft eiser een internationaal treinticket gekocht voor een reis naar een door hem genoemde plaats in Duitsland, waarbij de NS verwerkingsverantwoordelijke is. Daarom heeft verweerder het verzoek terecht beperkt tot de NS als verwerkingsverantwoordelijke voor dit door eiser gekochte treinticket; verweerder heeft het handhavingsverzoek niet ruimer hoeven opvatten.

5.2

Indien een reiziger bij een servicebalie van de NS een internationaal treinticket koopt waarvoor de NS verwerkingsverantwoordelijke is, is hij niet verplicht persoonsgegevens af te staan. Dit blijkt uit het in de brief van de NS van 26 september 2018 aangehaalde handboek. Daarin staat: “Baliemedewerkers lichten de (potentiële) klanten voor over de mogelijkheid om serviceberichten te ontvangen in geval van bijvoorbeeld vertragingen, wijzigingen, stakingen of calamiteiten” en: “De klant kan dus optioneel zijn persoonsgegevens aan de NS verstrekken enkel en alleen om serviceberichten met voornoemd karakter te ontvangen” en: “Voorts is van belang om te benadrukken dat dit een additionele optie is voor de klant, met andere woorden het is nog steeds mogelijk om een internationaal vervoerbewijs aan te schaffen door een (potentiele) klant zonder dat hij serviceberichten van NS ontvangt en dus persoonsgegevens aan NS verstrekt.”

Verweerder heeft uit deze brief mogen afleiden dat de NS bij de verkoop van internationale treintickets niet in strijd met de AVG handelt. Eiser heeft een internationaal treinticket kunnen kopen zonder verstrekking van zijn persoonsgegevens. Dat daarbij een baliemedewerker volgens eiser mogelijk niet volledig volgens het Handboek van de NS heeft gehandeld, maakt niet dat verweerder daarin, gelet op zijn prioriteringsbeleid, aanleiding had moeten zien om nader onderzoek te verrichten.
De stelling van eiser dat het callcenter persoonsgegevens van hem heeft verwerkt, heeft eiser niet onderbouwd. Deze beroepsgrond slaagt niet.

Heeft verweerder de servicekosten bij opladen niet op naam gestelde OV-chipkaart met contant geld voldoende onderzocht?

6. Eiser stelt dat de anonieme OV-chipkaart niet anoniem is. Ook als de anonieme OV-chipkaart wel anoniem zou zijn, dan is een privacy-vriendelijk gebruik onredelijk bezwarend omdat een inwoner van Arnhem alleen op het station Arnhem Centraal bij een kaartautomaat met contant geld kan opladen. Dat is slechts één locatie en daar kan alleen met muntgeld betaald worden. Opladen bij de servicebalie met papiergeld kost € 0,50 extra. De reizigers die anoniem willen reizen moeten hogere kosten betalen dan de reizigers die berusten in het verlies van hun privacy. De extra servicekosten zijn discriminerend.

6.1

Zoals de rechtbank heeft overwogen in haar hiervoor genoemde uitspraak van 5 september 2019 worden bij een niet op naam gestelde OV-chipkaart aan de hand van het unieke pasnummer van de kaart weliswaar reisgegevens verwerkt, maar worden bij het met contant geld kopen of opladen van een OV-chipkaart geen betaalgegevens bekend die aan de gebruiker van de kaart kunnen worden gekoppeld. Ook heeft de rechtbank het in die uitspraak niet onevenredig bezwarend geacht dat hiervoor muntgeld moet worden gespaard, of dat tegen een licht hogere prijs (€ 0,50) met bankbiljetten saldo kan worden geladen bij een NS-balie. Daarbij leidt het in rekening brengen van servicekosten niet tot discriminatie voor reizigers die met een niet op naam gestelde OV-chipkaart willen reizen, omdat de baliemedewerkers van de NS extra handelingen moeten verrichten en deze servicekosten bij het opladen van een persoonlijke OV-chipkaart ook in rekening worden gebracht. Het aantal automaten waar contant kan worden opgeladen is weliswaar beperkt, maar leidt niet tot de conclusie dat sprake is van mogelijke overtreding van de AVG. Verweerder heeft hiernaar dan ook geen nader onderzoek hoeven doen. Deze beroepsgrond slaagt niet.

Overige beroepsgronden. Conclusie

7. Eiser heeft nog meer beroepsgronden aangevoerd. Daaruit spreekt met name de vrees van eiser dat in toenemende mate sprake zal zijn van een samenleving waarin de privacy van de burger onder druk komt te staan. Deze gronden zien echter niet direct op het bestreden besluit en kunnen daarom niet afdoen aan de rechtmatigheid daarvan. Ook de overige beroepsgronden doen daaraan niet af.

8. Omdat de beroepsgronden niet slagen is het beroep ongegrond. Voor een proceskostenveroordeling bestaat geen aanleiding.

Beslissing

De rechtbank verklaart het beroep ongegrond.

Deze uitspraak is gedaan door mr. J.H. van Breda, voorzitter, mr. W.P.C.G. Derksen en

mr. S.E.M. Lichtenberg, rechters, in tegenwoordigheid van mr. M.G. Smeenk, griffier.

De beslissing is in het openbaar uitgesproken op: 4 februari 2020

griffier

voorzitter

Afschrift verzonden aan partijen op:

Rechtsmiddel

Tegen deze uitspraak kan binnen zes weken na de dag van verzending daarvan hoger beroep worden ingesteld bij de Afdeling bestuursrechtspraak van de Raad van State. Als hoger beroep is ingesteld, kan bij de voorzieningenrechter van de hogerberoepsrechter worden verzocht om het treffen van een voorlopige voorziening of om het opheffen of wijzigen van een bij deze uitspraak getroffen voorlopige voorziening.

Bijlage

AVG

Artikel 4

Definities

Voor de toepassing van deze verordening wordt verstaan onder:

1) „persoonsgegevens”: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;

2) „verwerking”: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;

5) „pseudonimisering”: het verwerken van persoonsgegevens op zodanige wijze dat de persoonsgegevens niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt, mits deze aanvullende gegevens apart worden bewaard en technische en organisatorische maatregelen worden genomen om ervoor te zorgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden gekoppeld;

7) „verwerkingsverantwoordelijke”: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen voor deze verwerking in het Unierecht of het lidstatelijke recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen;

Artikel 5

Beginselen inzake verwerking van persoonsgegevens

1. Persoonsgegevens moeten:

a. a) worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is („rechtmatigheid, behoorlijkheid en transparantie”);

b) voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt; de verdere verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden wordt overeenkomstig artikel 89, lid 1, niet als onverenigbaar met de oorspronkelijke doeleinden beschouwd („doelbinding”);

c) toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt („minimale gegevensverwerking”);

(…)

f) door het nemen van passende technische of organisatorische maatregelen op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging („integriteit en vertrouwelijkheid”).

Artikel 6

Rechtmatigheid van de verwerking

1. De verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaan:

a (...)

b) de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen;

c. (…)

Artikel 25

Gegevensbescherming door ontwerp en door standaardinstellingen

1. Rekening houdend met de stand van de techniek, de uitvoeringskosten, en de aard, de omvang, de context en het doel van de verwerking alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van natuurlijke personen welke aan de verwerking zijn verbonden, treft de verwerkingsverantwoordelijke, zowel bij de bepaling van de verwerkingsmiddelen als bij de verwerking zelf, passende technische en organisatorische maatregelen, zoals pseudonimisering, die zijn opgesteld met als doel de gegevensbeschermingsbeginselen, zoals minimale gegevensverwerking, op een doeltreffende manier uit te voeren en de nodige waarborgen in de verwerking in te bouwen ter naleving van de voorschriften van deze verordening en ter bescherming van de rechten van de betrokkenen.

Artikel 57

Taken

1. Onverminderd andere uit hoofde van deze verordening vastgestelde taken, verricht elke toezichthoudende autoriteit op haar grondgebied de volgende taken:

f) zij behandelt klachten van betrokkenen, of van organen, organisaties of verenigingen overeenkomstig artikel 80, onderzoekt de inhoud van de klacht in de mate waarin dat gepast is en stelt de klager binnen een redelijke termijn in kennis van de vooruitgang en het resultaat van het onderzoek, met name indien verder onderzoek of coördinatie met een andere toezichthoudende autoriteit noodzakelijk is;

Artikel 58

Bevoegdheden

1. Elk toezichthoudende autoriteit heeft alle volgende onderzoeksbevoegdheden om:

b) onderzoeken te verrichten in de vorm van gegevensbeschermingscontroles;

Artikel 77

Recht om klacht in te dienen bij een toezichthoudende autoriteit

1. Onverminderd andere mogelijkheden van administratief beroep of een voorziening in rechte, heeft iedere betrokkene het recht een klacht in te dienen bij een toezichthoudende autoriteit, met name in de lidstaat waar hij gewoonlijk verblijft, hij zijn werkplek heeft of waar de beweerde inbreuk is begaan, indien hij van mening is dat de verwerking van hem betreffende persoonsgegevens inbreuk maakt op deze verordening.

Uitvoeringswet Algemene verordening gegevensbescherming

Artikel 6. Oprichting en aanwijzing als toezichthoudende autoriteit

1. Er is een Autoriteit persoonsgegevens. De Autoriteit persoonsgegevens bezit rechtspersoonlijkheid.

2. De Autoriteit persoonsgegevens is de toezichthoudende autoriteit, bedoeld in artikel 51, eerste lid, van de verordening.

3. Onverminderd artikel 57 van de verordening, heeft de Autoriteit persoonsgegevens tot taak toe te zien op de verwerking van persoonsgegevens overeenkomstig het bij en krachtens de verordening of de wet bepaalde.

Artikel 16. Last onder bestuursdwang

1. De Autoriteit persoonsgegevens kan een last onder bestuursdwang opleggen ter handhaving van de bij of krachtens de verordening of deze wet gestelde verplichtingen.

Beleidsregels prioritering klachtenonderzoek AP

Artikel 2

1. De AP onderzoekt de inhoud van een klacht in de mate waarin dat gepast is.

2. De AP beoordeelt eerst op basis van de inhoud van de klacht of het gaat om een verwerking van persoonsgegevens die de klager betreft en of er al dan niet sprake is van een overtreding van de AVG.

3. Indien uit de eerste beoordeling volgt dat mogelijk sprake is van een overtreding, maar deze nog niet kan worden vastgesteld, maakt de AP een afweging of er aanleiding is voor een nader onderzoek. Daarbij hanteert de AP de volgende, niet cumulatieve, factoren:

a. a) De mate waarin de betrokkene wordt geraakt door de vermeende overtreding;

b) De bredere maatschappelijke betekenis van een eventueel optreden van de AP, mede bezien vanuit de aandachtspunten die de AP op periodieke basis bekend maakt;

c) De mate waarin de AP in staat is doeltreffend en doelmatig op te treden.

1 ECLI:NL:RBGEL:2019:4014.

2 Besluit van de Autoriteit Persoonsgegevens van 20 september 2018, houdende de vaststelling van beleidsregels met betrekking tot de prioritering van klachtenonderzoek, Stcr. Nr. 54287.