Stel je voor: je zit lekker aan je koffie, je bedrijf draait goed, en ineens staat er een brief van de Autoriteit Persoonsgegevens (AP) op de mat. Of erger: er belt iemand van de AP op.
▶Inhoudsopgave
Je hartslag gaat direct omhoog. Wat nu? De AP, oftewel de Autoriteit Persoonsgegevens, is de toezichthouder in Nederland die erop let dat bedrijven zorgvuldig omgaan met persoonsgegevens.
Ze zijn streng, ze zijn onafhankelijk en ze hebben flink wat bevoegdheden. In dit artikel leg ik je uit hoe zo’n onderzoek eigenlijk start, welke signalen de AP gebruikt en wat jij kunt verwachten wanneer ze besluiten dat jij aan de beurt bent.
Hoe weet de AP eigenlijk dat je bestaat?
De AP zit niet stiekem achter je computer te kijken, maar ze hebben wel veel verschillende informatiebronnen. Ten eerste is er de verplichte meldplicht bij datalekken.
Als er iets misgaat bij jouw bedrijf – bijvoorbeeld een lek in je systeem of een verloren laptop met klantgegevens – dan moet je dat melden bij de AP.
Dat is vaak het startpunt van een onderzoek. Als je te laat meldt of als het lek groot is, trekt de AP direct aan de bel. Een andere belangrijke bron zijn klachten van burgers.
Als iemand vindt dat zijn of haar privacyrechten worden geschonden – denk aan onterecht gebruik van foto’s, verkeerde gegevens in een database of een bedrijf dat maar niet wil reageren op een verzoek om gegevens te verwijderen – dan kan die persoon een klacht indienen bij de AP. De AP bekijkt deze klachten serieus en soms leiden ze tot een volledig onderzoek. Ook anonieme tips en signalen uit de media spelen een rol. Als er in de krant staat dat een bedrijf mogelijk persoonsgegevens lekt of misbruikt, dan kijkt de AP daar vaak naar.
Tot slot is er nog de Europese samenwerking. De AP werkt samen met andere Europese privacytoezichthouders, zoals de Ierse toezichthouder (die vaak betrokken is bij grote techbedrijven).
Als er een Europees onderzoek loopt naar een bedrijf dat ook in Nederland actief is, kan de AP hier ook actief worden.
De signalen dat een onderzoek start
De AP start niet zomaar overal een onderzoek. Er zijn bepaalde signalen die ze belangrijk vinden.
Een groot datalek is een duidelijk signaal. Als er gegevens van duizenden mensen op straat liggen, dan is de kans groot dat de AP ingrijpt. Maar ook kleinere lekken kunnen onderzoek uitlokken, vooral als het gaat om gevoelige gegevens zoals medische gegevens of financiële informatie.
Een ander signaal is een klacht die breder speelt. Als tien mensen klagen over hetzelfde bedrijf, dan is dat een sterke aanwijzing dat er iets structureel mis is.
De AP kijkt ook naar de ernst van de klacht. Een klacht over een onduidelijke privacyverklaring is serieus, maar een klacht over een verkeerd gebruik van biometrische gegevens (zoals gezichtsherkenning) is nog serieuzer.
De AP houdt ook rekening met de grootte van het bedrijf. Grote bedrijven met veel persoonsgegevens lopen meer risico op een onderzoek dan kleine bedrijven. Maar dat betekent niet dat kleine bedrijven veilig zijn. Zeker als ze werken met gevoelige gegevens, kunnen ze ook in de picture komen.
Hoe start het onderzoek precies?
Als de AP besluit om een onderzoek te starten, gebeurt dat meestal in verschillende fasen. Eerst is er een voorbereidende fase.
De AP verzamelt informatie, bekijkt klachten en bepaalt of er voldoende aanleiding is voor een formeel onderzoek.
In deze fase kan de AP ook contact opnemen met het bedrijf om meer informatie te vragen, zonder dat het direct een formeel onderzoek is. Als er voldoende aanleiding is, start de AP een formeel onderzoek. Je krijgt dan een officiële brief of e-mail waarin staat dat je onderzocht wordt.
In die brief staat wat de AP precies wil weten en welke documenten of informatie je moet aanleveren. De AP heeft wettelijke bevoegdheden om informatie op te vragen, waarbij soms ook de rol van de EDPB relevant kan zijn.
Ze kunnen documenten, e-mails en systemen inzien. Als je niet meewerkt, kunnen ze dwangmaatregelen opleggen, zoals boetes. Tijdens het onderzoek kan de AP ook interviews houden met medewerkers of leidinggevenden. Ze kunnen systemen laten doorzoeken en data-analyses uitvoeren.
Het onderzoek kan enkele maanden duren, afhankelijk van de complexiteit. De AP communiceert tijdens het onderzoek meestal weinig, omdat ze onafhankelijk willen blijven.
Pas aan het einde van het onderzoek krijg je een rapport met de bevindingen.
Wanneer ben jij aan de beurt?
Je bent aan de beurt als de AP besluit dat jouw bedrijf onderzocht moet worden. Dat gebeurt niet zomaar.
De AP kijkt naar risico’s en prioriteiten. Ze hebben een strategisch toezichtsprogramma waarin ze bepalen welke sectoren en thema’s ze belangrijk vinden. Op dit moment leggen ze veel nadruk op de zorg, de financiële sector, de overheid en de kinderopvang.
Als je in die sectoren werkt, is de kans op een onderzoek groter.
Ook bedrijven die werken met kunstmatige intelligentie (AI) of algoritmen komen vaker in beeld. De AP vindt het belangrijk dat AI transparant en eerlijk is. Als je AI gebruikt voor beslissingen over mensen (zoals sollicitanten of klanten), dan loop je extra risico. Je bent ook aan de beurt als je eerder problemen hebt gehad.
Als je al een keer bent beboet of gewaarschuwd, dan houdt de AP je in de gaten. Ze verwachten dat je verbeteringen doorvoert.
Als je dat niet doet, kan een nieuw onderzoek starten. Een andere reden is een groot datalek. Als er gegevens van veel mensen zijn gelekt, ben je direct aan de beurt. De AP onderzoekt dan of je voldoende maatregelen had genomen en of je het lek goed hebt afgehandeld.
Wat kun je verwachten als je aan de beurt bent?
Als je aan de beurt bent, begint het proces met een brief of telefoontje van de AP.
Je krijgt uitleg over het onderzoek en wat er van je verwacht wordt. Het is belangrijk om serieus te reageren en niet te paniekeren.
De AP is geen vijand, maar een toezichthouder die wil dat je je aan de regels houdt. Je moet informatie aanleveren, documenten tonen en soms systemen openstellen. Zorg dat je je juridische adviseur of privacy officer inschakelt. Die kunnen je helpen met de voorbereiding en de communicatie over een klacht bij de AP.
Het onderzoek kan uitmonden in een rapport met bevindingen. Als er overtredingen zijn, kan de AP een boete opleggen of een last onder dwangsom, waarbij soms verzachtende omstandigheden de boete kunnen verlagen.
Een boete kan oplopen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet, afhankelijk van wat het hoogst is. Dat is serieus geld, dus het is belangrijk om het serieus te nemen. Soms kan het onderzoek ook leiden tot een aanbeveling of een waarschuwing.
De AP kan adviseren om bepaalde praktijken te veranderen. Als je daaraan voldoet, kan het daarbij blijven.
Hoe blijf je uit de picture van de AP?
De beste manier om een onderzoek te voorkomen, is door je privacyregels goed na te leven. Zorg dat je een goede privacyverklaring hebt die duidelijk is en up-to-date.
Vraag toestemming voor het verwerken van persoonsgegevens en bewaar niet langer dan nodig. Voer een datalekprocedure uit en oefen deze regelmatig. Als er een lek is, meld het direct bij de AP en bij de betrokkenen.
Wees transparant en eerlijk. Investeer in beveiliging.
Gebruik sterke wachtwoorden, versleutel data en zorg dat medewerkers getraind zijn. Voer een privacy impact assessment uit als je nieuwe projecten start met persoonsgegevens. Hou je kennis bij. De regels veranderen, dus volg trainingen en lees updates van de AP. Door alert te blijven, verklein je de kans op een onderzoek en ben je beter voorbereid als het toch gebeurt.
Conclusie
De AP start een onderzoek op basis van signalen zoals datalekken, klachten, tips of Europese samenwerking.
Het proces verloopt in fasen, van voorbereiding tot formeel onderzoek. Je bent aan de beurt als er risico’s zijn of als je eerder problemen had.
Als je onderzocht wordt, blijf rustig, schakel hulp in en werk mee. Door je privacyregels goed na te leven, verklein je de kans op een onderzoek en blijf je uit de picture. De AP wil niet je bedrijf platleggen, maar zorgen dat je zorgvuldig omgaat met persoonsgegevens. Dat is goed voor je klanten en voor je bedrijf.