Autoriteit Persoonsgegevens

Nederlands toezichthouder

De Autoriteit Persoonsgegevens (AP) is de Nederlandse gegevensbeschermingsautoriteit en het zelfstandig bestuursorgaan dat in Nederland bij wet als toezichthouder is aangesteld voor het toezicht op het verwerken van persoonsgegevens. De organisatie houdt zich dus bezig met privacy. De taken van de AP vloeien voort uit de Europese Algemene verordening gegevensbescherming (AVG). Dit was voorheen de Privacyrichtlijn 95/46/EG. De Uitvoeringswet Algemene verordening gegevensbescherming (UAVG) heeft de Wet bescherming persoonsgegevens vervangen en de AP aangesteld als toezichthouder. Alle lidstaten van de Europese Unie hebben een eigen instantie, soortgelijk aan de AP.

Autoriteit Persoonsgegevens
Geschiedenis
Opgericht 1989[1]
Structuur
Voorzitter Aleid Wolfsen[2]
Werkgebied Nederland
Hoofdkantoor Hoge Nieuwstraat 8, Den Haag[3]
Doel De Autoriteit Persoonsgegevens houdt toezicht op de naleving van de wettelijke regels voor bescherming van persoonsgegevens en adviseert over nieuwe regelgeving.[4]
Aantal werknemers 180[5] (2021)
Media
Website autoriteitpersoonsgegevens.nl
Portaal  Portaalicoon   Mens & maatschappij

Wettelijke taak

bewerken

De Autoriteit Persoonsgegevens heeft als wettelijke taak te beoordelen of personen en organisaties de AVG naleven. Daarbij controleert de AP ook de overheid. Daarnaast ziet de AP toe op naleving van de Wet politiegegevens, de Wet gemeentelijke basisadministratie persoonsgegevens en alle andere wettelijke regelingen waarin sprake is van het verwerken van persoonsgegevens.

Naamswijzigingen

bewerken

De organisatie heette tot 2016 het College bescherming persoonsgegevens (CBP). Dit college volgde in 2001 de Registratiekamer op. Met de naamswijziging per 1 januari 2016 kreeg het orgaan onder meer de bevoegdheid om boetes op te leggen bij overtredingen van de Wet bescherming persoonsgegevens (Wbp). Deze wijzigingen waren een gevolg van ingrijpende aanpassingen in die wet.[6] De naamswijziging van 2016 geldt overigens alleen 'in het maatschappelijk verkeer', zo bepaalt artikel 51 van de Wbp. Dat artikel geeft 'College bescherming persoonsgegevens' nog steeds als formele naam aan.[7] Na de invoering van de AVG is middels de UAVG de oude Wbp komen te vervallen en is Autoriteit Persoonsgegevens de officiële naam van de toezichthouder.[8]

Toezicht op naleving Wet bescherming persoonsgegevens

bewerken

In het kort komt de Wet bescherming persoonsgegevens erop neer dat een organisatie slechts persoonsgegevens mag verwerken die voor de organisatie aantoonbaar noodzakelijk zijn en waar geen expliciet verbod voor bestaat. Voorbeelden van persoonsgegevens waarvan op het verwerken ervan in beginsel een expliciet verbod bestaat zijn medische, seksuele, politieke gegevens en gegevens over het lidmaatschap van een vakbond. Voor overheden betekent de term 'aantoonbaar noodzakelijk' dat er een wettelijke grondslag moet zijn voor het verwerken van deze gegevens.

Persoonsgegevens zijn alle gegevens die op welke wijze dan ook zijn te koppelen aan een geïdentificeerde of identificeerbare persoon, die bovendien nog in leven moet zijn. Ook telefoonnummers en IP-adressen kunnen persoonsgegevens zijn, zelfs als er niets anders vastgelegd wordt.[9]

Bijzonder aan de Wet bescherming persoonsgegevens is dat niet wordt uitgegaan van het 'eigenaarschap', maar van het gebruik ervan, het 'verwerken'.[10] Met 'verwerken' worden alle handelingen, van registreren en opslaan van de gegevens, tot bewerken, kopiëren, wijzigen, aanvullen en wissen bedoelt. Als partij A de adresbestanden van B gebruikt voor het versturen van bijvoorbeeld spam, dan valt partij A onder de regels van deze wet.

De toezichthoudende functies houden in dat de Autoriteit Persoonsgegevens bedrijven en overheden kan dwingen om zich aan de eisen van de AVG te houden. Hiervoor kan de AP dwangsommen opleggen.[11] Verder heeft de AP een openbaar register van gegevensverwerkingen als deze afwijken van de gebruikelijke verwerkingen. Voor het niet registreren van niet vrijgestelde verwerkingen kan de AP een bestuurlijke boete opleggen. In alle gevallen heeft de rechter echter het laatste woord.

Daarnaast heeft de AP de taak om de ministers en de Tweede Kamer gevraagd en ongevraagd te adviseren over wetsvoorstellen, in het licht van de AVG of andere van toepassing zijnde wetten.

De verplichting tot het melden van datalekken door verantwoordelijken en bewerkers aan de Autoriteit Persoonsgegevens wordt geregeld doordat per 1 januari 2016 aanvullende bepalingen opgenomen zijn in de Wbp.[12]

Vanaf 25 mei 2018 trad de AVG-wetgeving in werking. Deze wetgeving verving de Wbp, waardoor de Wbp-wetgeving niet meer geldt. Dat betekent niet dat er geen meldplicht voor datalekken meer bestaat. Deze is namelijk overgenomen in de AVG.[13]

De eerste leden van het College bescherming persoonsgegevens waren Peter Hustinx (voorzitter), Ulco van de Pol en Jan Willem Broekema (beiden vicevoorzitter). Hustinx en Van de Pol waren bij de oprichting van het CBP afkomstig uit de Registratiekamer. Broekema was afkomstig uit het bedrijfsleven. Hustinx werd later de privacy-toezichthouder op de lichamen van de Europese Unie. Van de Pol werd ombudsman van de gemeente Amsterdam.[14] Broekema werd programmamanager bij de elektronische overheid (OSOSS). Eind 2004 werd Jacob Kohnstamm, oud-politicus, voorzitter van het CBP, later aangevuld met mevrouw J. Beuving en mevrouw M.W. McLaggan-van Roon. De voorzitter wordt bij koninklijk besluit benoemd voor een periode van zes jaar, de twee leden voor vier jaar. Op 1 augustus 2016 werd Kohnstam opgevolgd door Aleid Wolfsen.[15]

Zie ook

bewerken
bewerken