Rechtszaken met betrekking tot privacy komen steeds vaker voor. Dat is ook logisch, omdat persoonsgegevens een steeds belangrijkere waarde vertegenwoordigen in onze samenleving. Daarbij geldt ook dat bedrijven en organisaties steeds meer verplichtingen krijgen op grond van privacyrecht. Betrokkenen krijgen steeds meer rechten voor de bescherming van hun persoonsgegevens. Wij zien geregeld conflicten over gebruik van databanken, verwijdering van zoekresultaten, of het opvragen van NAW-gegevens. Bovendien lijkt de Autoriteit Persoonsgegevens steeds actiever toezicht te houden op naleving van de privacywetgeving. Soms lijkt dat niet altijd terecht, en kan de discussie met de toezichthouder worden aangegaan. Conflicten met de Autoriteit Persoonsgegevens starten vaak met een brief of telefoontje van de Autoriteit Persoonsgegevens. Het is dan verstandig om hier zorgvuldig op te reageren.
Waarom verzoekt de Autoriteit Persoonsgegevens om inlichtingen?
De Autoriteit Persoonsgegevens kan ieder bedrijf of organisatie een brief sturen waarin zij om inlichtingen verzoekt. Vaak stelt de Autoriteit Persoonsgegevens in zo’n brief een aantal concrete vragen over de verwerking van persoonsgegevens. Deze belangstelling is niet vaak louter informatief. De Autoriteit Persoonsgegevens treedt namelijk vaak op naar aanleiding van een ontvangen signaal, of naar aanleiding van eigen onderzoek. De brief zal in zo’n geval rechtstreeks aan u zijn gestuurd. De Autoriteit Persoonsgegevens kan u dan om inlichtingen verzoeken over het gebruik van gegevens door uw onderneming of organisatie. Ook kan het gegevens betreffen die niet door (of voor) uzelf worden verwerkt, maar door (of voor) een andere partij. U speelt in dat geval wel een rol in de verwerking van persoonsgegevens, en de Autoriteit Persoonsgegevens is dan benieuwd naar uw inlichtingen.
Het kan ook zo zijn dat de Autoriteit Persoonsgegevens de aandacht van de gehele branche probeert te vragen – in dat geval stuurt zij een brandbrief aan alle (of veel) ondernemingen in die branche om een bepaald onderwerp onder de aandacht te brengen. De branche wordt dan vaak op bepaalde verplichtingen gewezen. Niet geheel verrassend zal de Autoriteit Persoonsgegevens dan de zorg hebben dat deze verplichtingen niet (door iedereen) worden nageleefd. U doet er goed aan om altijd zorgvuldig om te gaan met het eventueel geven van inlichtingen aan de Autoriteit persoonsgegevens. Hoewel de Autoriteit Persoonsgegevens een onderzoek kan sluiten of opschorten, kan ze in een later stadium op dat standpunt terugkomen en uw inlichtingen daarbij betrekken.
Soms vindt de Autoriteit Persoonsgegevens dat u eerst onderzoek van uw gegevensverwerking had moeten aanvragen, alvorens daarmee te beginnen, maar dat u dat niet heeft gedaan. Het kan dan voorkomen dat de Autoriteit Persoonsgegevens in haar brief mededeelt dat u direct moet stoppen met de gegevensverwerking. In zo’n geval dient u met spoed contact op te nemen met een privacyspecialist.
Hoe moet u reageren op een brief van de Autoriteit Persoonsgegevens?
De reactie op een brief van de Autoriteit Persoonsgegeven moet zeer zorgvuldig zijn geformuleerd. De Autoriteit Persoonsgegevens kan naar aanleiding van de reactie verdere maatregelen treffen, waardoor uw bedrijfsvoering of organisatie in gevaar kan komen. Omdat u een termijn gesteld krijgt om te reageren (in principe zes weken) doet u er goed aan om direct contact op te nemen met een privacyexpert, zoals een privacyadvocaat of privacyjurist van LAWFOX. Deze privacyspecialist kan de inhoud van de brief met u bespreken, en de gegevensverwerking toetsen aan de privacywetgeving. Aan de hand daarvan kan de strategie worden bepaald. Misschien dat u de discussie aan moet gaan met de Autoriteit Persoonsgegevens, of dat u de verwerking van persoonsgegevens moet aanpassen. In ieder geval kunt u vervolgens samen met uw privacyexpert een schriftelijke reactie opstellen.
Hoe verder?
Na het verzamelen van informatie kan de Autoriteit Persoonsgegevens verder onderzoek doen. Dat betekent dat de Autoriteit Persoonsgegevens haar “voorlopige bevindingen” kenbaar maakt. Dit rapport wordt u dan in concept toegestuurd. Gelukkig heeft u ook daarop de kans om te reageren. Doe dat! En bij voorkeur schriftelijk met behulp van een privacyadvocaat! U kunt daarbij ook aangeven welke onderdelen vertrouwelijk zijn en niet gepubliceerd mogen worden. Vervolgens zal de Autoriteit Persoonsgegevens het onderzoeksrapport finaliseren. De onderzoeksresultaten worden bijna altijd gepubliceerd. Aan de hand van de onderzoeksresultaten kan de Autoriteit Persoonsgegevens bepalen of zij een last onder dwangsom wil opleggen, of bijvoorbeeld een boete. U begrijpt dat een hoop narigheid al kan worden bespaard door in een vroeg stadium eventuele bezwaren van de Autoriteit Persoonsgegevens kritisch te laten bekijken, en de toezichthouder van een zorgvuldige reactie te voorzien.
Deze bijdrage is geschreven door Wouter Dammers (1985), internetadvocaat, lawpreneur en oprichter van LAWFOX. Hij is gespecialiseerd in IT-recht, privacyrecht en auteursrechtelijke en octrooirechtelijke vraagstukken met betrekking tot software. Wouter procedeert op regelmatige basis op het gebied van het internetrecht, zowel voor de rechtbank, het gerechtshof als via arbitrage.
Deze bijdrage verscheen eerder op https://www.lawfox.nl en is met toestemming van de auteur overgenomen.