Autoriteit Persoonsgegevens

De Autoriteit Persoonsgegevens (“AP”) is een zelfstandig bestuursorgaan. De AP is toezichthouder in het kader van de Wet bescherming persoonsgegevens en de AVG. Zij houdt toezicht op de naleving van de privacywet- en regelgeving.

Organisatie

De Autoriteit Persoonsgegevens bestaat uit een college met daaronder een directeur. Voorzitter van het college is Aleid Wolfsen en Wilbert Tomesen is vicevoorzitter. De huidige directeur van de AP is Bas den Hollander (a.i.).

Bij de AP werken momenteel zo’n 80 mensen, maar wordt waarschijnlijk uitgebreid om te kunnen voldoen aan alle werkzaamheden in het kader van de AVG. Het toezicht vanuit de AP is opgedeeld in “Toezicht Publieke sector” en ” Toezicht Private sector”.

Toezicht Private sector ziet onder meer op ondernemingen, handel, dienstverbanden, financiële diensten en ICT.

Toezicht Publieke sector ziet op zorginstellingen, gemeentes, politie, onderwijs, etc.

Taken en bevoegdheden Autoriteit Persoonsgegevens

De AP heeft een aantal taken gekregen in de Wbp en de AVG (art. 57 en 58 AVG). De volgende taken en werkzaamheden worden benoemd:

  • opstellen van (privacy)beleid;
  • creëren van awareness rondom de AVG;
  • opleggen van sancties bij overtredingen van de Wbp of AVG;
  • adviseren over de verwerking van persoonsgegevens;
  • afhandelen van klachten (art. 60 Wbp);
  • goedkeuren van Binding Corporate Rules.

Naast de bovenstaande taken, heeft de AP ook een aantal bevoegdheden gekregen:

  • organisaties een waarschuwing geven;
  • bindend aanwijzing geven bij de verwerking van persoonsgegevens;
  • opschorten of verbieden van een verwerking van persoonsgegevens;
  • certificering intrekken;
  • gedragscodes toetsen (art. 25 Wbp)
  • een bedrijf verplichten om een datalek te melden aan betrokkenen;
  • uitdelen van boetes aan bedrijven en overheidsinstellingen (tot 20 miljoen euro of 4% van de wereldwijde jaaromzet);

Meldplicht datalekken

Naast alle taken en bevoegdheden is de Autoriteit Persoonsgegevens ook het bestuursorgaan waar organisaties datalekken moeten melden. Sinds 2016 is de meldplicht datalekken opgenomen in de Wbp (art. 34a Wbp). Per 25 mei 2018 zal de meldplicht in de AVG (art. 33 AVG) van toepassing zijn.

Dit betekent dat na het constateren van een datalek, de verantwoordelijke binnen 72 uren de Autoriteit Persoonsgegevens moet inlichten. Een melding kan achterwege gelaten worden indien de inbreuk vermoedelijk geen risico oplevert voor de rechten en vrijheden van de betrokkenen (natuurlijke personen).

Indien een melding niet binnen 72 uren plaatsvindt, zal de verantwoordelijke dit motiveren bij de melding.

Autoriteiten in het buitenland

Een overzicht van alle buitenlandse autoriteiten vindt u hier.