Wiki

De Autoriteit Persoonsgegevens (AP) is de Nederlandse gegevensbeschermingsautoriteit. De AP is aangesteld als toezichthouder op het verwerken van persoonsgegevens en ziet toe op de naleving van de privacywetgeving. Haar taken vloeien voort uit de Algemene Verordening Gegevensbescherming (AVG) die sinds 25 mei 2018 van kracht is.

Taken en bevoegdheden

De belangrijkste taak van de Autoriteit Persoonsgegevens is het controleren op de naleving van de privacywetgeving. Daarnaast heeft zij een informerende en adviserende functie. Zo mag de AP op grond van de AVG uit eigen beweging advies geven aan de regering over nieuwe wet- en regelgeving met betrekking tot de verwerking van persoonsgegevens.

Daarnaast mag de Autoriteit Persoonsgegevens op eigen initiatief onderzoek verrichten naar mogelijke overtredingen van de privacywet als zij aanwijzingen heeft dat er regels worden overtreden. Zo’n onderzoek kan zowel aangekondigd als onaangekondigd plaatsvinden. Na afronding van het onderzoek stelt de Autoriteit Persoonsgegevens een rapport op. De onderzochte organisatie krijgt vervolgens de kans te reageren op de bevindingen. Ten slotte stelt de AP een definitief rapport op. Dit rapport wordt openbaar beschikbaar gesteld tenzij de organisatie in kwestie hier gegronde bezwaren tegen heeft.

Corrigerende maatregelen

Als niet wordt voldaan aan de privacywetgeving kan de Autoriteit Persoonsgegevens een boete opleggen van maximaal 20 miljoen euro of 4% van de jaaromzet van een organisatie. Naast de boetebevoegdheid voorziet de AVG de Autoriteit Persoonsgegevens in de mogelijkheid om corrigerende maatregelen te treffen die erop gericht zijn een overtreding te beëindigen of de nadelige gevolgen ervan te herstellen. Zo heeft de AP de bevoegdheid om een last onder dwangsom op te leggen.

Bij vermoedelijke overtredingen van de privacywetgeving gaat de Autoriteit Persoonsgegevens niet altijd direct over tot controle. In sommige gevallen stuurt zij eerst een brief waarin de organisatie wordt opgeroepen de overtreding te stoppen.

Datalekken en de Autoriteit Persoonsgegevens

De Autoriteit Persoonsgegevens dwingt organisaties om goed na te denken over hoe zij persoonsgegevens bewerken en beschermen. Het is niet verplicht om verwerkingen proactief te melden. Wel bent u als organisatie verplicht om verantwoording af te leggen over uw gegevensverwerkingen als de AP hierom vraagt. Daarom is het belangrijk een verwerkingsregister bij te houden dat op verzoek getoond kan worden.

Organisaties die persoonsgegevens verwerken zijn verplicht datalekken te melden aan de AP indien er ernstige nadelige gevolgen zijn voor de bescherming van persoonsgegevens. Het datalek dient zo snel mogelijk te worden gemeld bij het meldloket datalekken. Lukt het niet om het datalek binnen 72 uur na de ontdekking te melden, dan zal er een verklaring gegeven moeten worden voor de vertraging. Hier vindt u meer informatie over het melden van een datalek.

Meer weten?

Lees meer over privacy wetgeving of de samenwerking van de AP en DNB bij het toezicht op PSD-instellingen.

Onze consultants beantwoorden graag uw vragen over het toezicht van de AP. Voor vragen of advies kunt u contact opnemen via onderstaande button.

Contact