Particuliere handhaving gaat het helemaal worden onder de AVG

De Autoriteit Persoonsgegevens heeft te maken met bestuursruzies en ervaren personeelsleden verlaten de organisatie op een moment dat de privacywaakhond juist hard aan de slag moet door de invoering van de AVG. Dat las ik bij Tweakers en achter de betaalmuur van het Financieele Dagblad. En in andere media las ik dat meneer Schrems (de killer van de Safe Harbor) rechtszaken begonnen is tegen Google, Facebook, Instagram en WhatsApp wegens overtreding van de AVG. Daar werd ik erg blij van, want ik zie weinig heil meer in bestuursrechtelijke handhaving van privacywetgeving. U kunt zich mijn teleurstelling dan ook voorstellen toen ik las dat dat het ging om handhavingsverzoeken bij vier Europese privacy-autoriteiten. Maar toch.

Het rommelt al een tijdje bij de Autoriteit Persoonsgegevens, het FD artikel verraste me vooral door de uitgebreide roddels over voorzitter Aleid Wolfsen. Maar dat de toezichthouder nu weinig proactief handhaaft (terwijl er al sinds 2016 boetes op alles onder de Wbp staan) zal voor niemand nieuws zijn.

Meer algemeen vraag ik me al geruime tijd af of dit überhaupt wel de beste manier is om de AVG te gaan handhaven. Een toezichthouder kan naar zijn aard alleen enkele gevallen bestrijden, tenzij er natuurlijk vele honderden mensen werken. Maar dan nog – de ACM en de AFM/DNB zijn hele grote jongens, toch lees ik niet wekelijks over handhaving en boetes.

Persoonlijk zie ik meer in handhaving in de breedte: veel handhaving, niet perse de grote gevallen maar vooral volume draaien. Ik zou bijvoorbeeld de angst voor de AVG al veel groter worden als ieder bedrijf in Nederland een brief krijgt “graag uw register binnen drie werkdagen uploaden naar” en iedereen 1000 euro boete die dat niet doet, of daarin geen trefwoorden voor personeel, klanten en nieuwsbrief in opgenomen heeft. Pakkans is immers een veel praktischer factor waar mensen op letten, veel meer dan de straf als je gepakt wordt.

Toezichthouders zijn echter naar hun aard meer gefocust op de grote overtredingen. Logisch wel, omdat die natuurlijk ook veel grover zijn en meer impact hebben. De koppeling van Facebook en WhatsApp is natuurlijk een veel grotere overtreding dan het niet hebben van een register bij een kapper (hoewel beiden tot miljoenenboetes kunnen leiden). Dus ik snap wel dat men eerder daar achteraan gaat.

De actie van Schrems, althans wat ik dacht dat zijn actie was, zou dan ook veel effectiever kunnen lijken in de praktijk. Zoek als belangenorganisatie relevante overtredingen en dien namens de getroffen categorie betrokkenen een collectieve claim in. Dat kan namelijk expliciet onder de AVG (artikel 80), zij het met de beperking dat men dan geen schadevergoeding namens betrokkenen mag eisen. Dat laatste is wat jammer, maar een stevige uitspraak (met dwangsom) dat iets moet stoppen kan in de praktijk ook al heel wat opleveren. En misschien weten meelezende advocaten nog trucs om het schadevergoedingsverbod te omzeilen?

Gezien het belang van privacy zie ik dan ook meer heil in dit soort handhaving-in-het-klein dan in de grote bestuurlijke route. De enige uitdaging blijft dan hoe dit te financieren, want zeker zonder schadevergoeding moet je wel erg principieel zijn om je hiervoor in te zetten.

Arnoud

18 reacties

  1. zij het met de beperking dat men dan geen schadevergoeding namens betrokkenen mag eisen

    Hoezo niet? In Artikel 80 lid 1 AVG staat toch “[…] opdracht te geven de klacht namens hem in te dienen, namens hem de in artikelen 77, 78 en 79 bedoelde rechten uit te oefenen en namens hem het in artikel 82 bedoelde recht op schadevergoeding uit te oefenen, indien het lidstatelijke recht daarin voorziet.“.

    Aangezien we in Nederland aleen wildgroei aan claimstichtingen en zelfs een aparte Code voor deze stichtingen, dus het lijkt me dat ergens in het Nederlandse recht een mogelijkheid zit voor dergelijke constructies. En zou dat er in Nederland niet zijn, dan vermoed ik dat er ergens wel een lidstaat is waar dit wel kan (anders zou deze tekst geen waarde hebben).

    Het opvallende is ook dat als je de overwegingen leest, er bij overweging 142 wordt aangegeven “[…] Voor deze organen, organisaties of verenigingen [zonder winstoogmerk, die overeenkomstig het recht van een lidstaat zijn opgericht, die statutaire doelstellingen hebben die in het publieke belang zijn en die actief zijn op het gebied van de bescherming van persoonsgegevens] kan worden bepaald dat zij niet het recht hebben om namens een betrokkene een vergoeding te eisen buiten de machtiging door de betrokkene om”. A contrario mag je dus MET machtiging WEL een vergoeding namens de betrokkene eisen.

    P.S. Gezien het gebruik van de term “lidstatelijke recht” in overweging 25, ben ik in de overtuiging dat “lidstatelijke recht” gaat over al het lidstatelijke recht, niet alleen de uitvoeringswet.

  2. Ik vermoed dat dit de eerste stap is van Schrems. Waarom veel geld in een rechtzaak steken als je een toezichthouder zover kan krijgen in actie te komen. Ik heb dara persoonlijk niet zoveel vertrouwen in en verwacht eigenlijk dat hij straks bot vangt en alsnog zelf naar de rechter stapt.

  3. Arnoud, je schrijft

    ‘de angst voor de AVG al veel groter worden als ieder bedrijf in Nederland een brief krijgt “graag uw register binnen drie werkdagen uploaden naar” en iedereen 1000 euro boete die dat niet doet’

    Is dat dan de bedoeling? Angst maken? Een afcheckformuliertjescultuur creeren? Dat lijkt me toch niet? Een gedragsverandering is nodig.

  4. Ik denk/fantaseer maar even mee. Nu is de algemene gedachte: laat maar zitten, want klagen heeft toch geen zin. Maar als iedereen die kan aantonen dat een bedrijf in de fout gaat met zijn persoonsgegevens (bijvoorbeeld door die zonder expliciete toestemming toch door te spelen naar een derde) de mogelijkheid zou krijgen om op eenvoudige wijze per overtreding € 50,- te claimen, dan zou het snel afgelopen zijn met het misbruik rond persoonsgegevens. Iedereen die een centje wil bijverdienen spit dan wel de privacyverklaringen door van bedrijven waarmee hij te maken krijgt en dan is het zo afgelopen met die misbruikonzin. Allemaal Hollanders, dus die kans laten we niet liggen.

    1. Dat zou inderdaad een goede optie zijn. Maar dan moeten de kosten van een rechtzaak om dat geld te krijgen er wel onder liggen. Dus 50 euro vergoeding na een rechtzaak van 5000 euro schiet niet op. Als dan 1% van de bedrijven niet betaald levert het nog niets op. De vergoeding moet daarom al gauw in ieder geval 2x de griffie en andere verplichte kosten zijn. Voor zover een advocaat niet verplicht is hoeft dat van mij ook niet te zitten in de standaard vergoeding (buiten een onkostenvergoeding voor de redelijke en onderbouwde kosten van de rechtzaak).

  5. Hoe ik als buitenstaander inzicht krijg in de verwerkingen, dat gaat het probleem worden. De gebruikelijke verwerkingen kan iedereen bedenken, maar er zijn er al voldoende die niet begrepen worden. Zo is het aanmaken van webaccounts een verwerking al staat er (nog) niets in. Het gaat bij zo’n webaccount ook om de stappen die de inhoud beschikbaar maken en de vereiste informatie / instemming in relatie tot het risico op identiteitsfraude. Vooralsnog is mijn ervaring dat banken en verzekeraars nogal actief waren juist in de weken voor de 25e en dat bereikbaarheid en bereidheid tot informeren sterk te wensen overlaat

    1. of zijn toestemming niet kan weigeren of intrekken zonder nadelige gevolgen.

      Het niet kunnen lezen van een artikel op AD.nl is een nadelig gevolg? Ik denk hierbij aan een website van een gemeente waar je een klacht wilt indienen en cookies moet accepteren.

  6. Ik zou bijvoorbeeld de angst voor de AVG al veel groter worden als ieder bedrijf in Nederland een brief krijgt “graag uw register binnen drie werkdagen uploaden naar” en iedereen 1000 euro boete die dat niet doet, of daarin geen trefwoorden voor personeel, klanten en nieuwsbrief in opgenomen heeft.

    Oops! Maar ik héb helemaal geen personeel en ook nog nooit een nieuwsbrief uitgebracht of verstuurd. En dan zou ik onder dit scenario toch al meteen 1000 euro boete te pakken hebben? Onrecht!

  7. Ik lees uit Artikel 80 juist:

    en namens hem het in artikel 82 bedoelde recht op schadevergoeding uit te oefenen, indien het lidstatelijke recht daarin voorziet.
    Dus dan mag die organisatie toch juist wél namens betrokkenen schadevergoeding eisen? Of voorziet het Nederlands recht daar niet in en mag het daarom niet?

    1. Er staat: zo’n organisatie mag het doen áls het nationale recht zegt dat het mag. In Nederland staat in de wet (art. 3:305a BW) dat het niet mag. Dus mag zo’n organisatie het in Nederland niet. Er ligt overigens een wetsvoorstel om dit wel toe te staan. Discussie is dan in hoeverre je een claimcultuur krijgt (tienduizend stichtingen met inhalige advocaten).

        1. Allemaal die stichtingen hebben toch geen rechtszaken gestart omdat de betroffen bedrijven zich niet aan de AVG hielden. Dat gaat allemaal om andere dingen, bv. verkeerd voorgestelde kans op het winnen van een prijs in een loterij.

          1. In Nederland staat in de wet (art. 3:305a BW) dat het niet mag.

            Hieruit begrijp ik dat het iets NL breed is, niet AVG specifiek (dat verbod), waardoor ik de lijn met de claimstichtingen niet snap.

            1. Er zijn volgens mij meer landen (al weet ik even niet welke uit m’n hoofd) die een schadevergoedingsverbod bij een massaclaim hebben. Daarom zegt de AVG “dit kan alleen als het nationale recht het toestaat”.

              Die claimstichtingen werken met machtigingen volgens mij, dan procedeert de stichting dus namens jou en namens mij, in plaats van namens zichzelf opkomend voor een achterban.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.