10 april 2019

Wat als een bank zich niet aan de AVG houdt?

Categorie: Privacyrecht

Vanaf 25 mei 2018 geldt de Wet bescherming persoonsgegevens (“Wbp”) niet meer. Wat geldt dan wel? Per die datum treedt de Algemene verordening gegevensbescherming, oftewel de AVG, in werking. Deze privacywetgeving geldt in de Europese Unie. In het Engels wordt de AVG General Data Protection Regulation (“GDPR”) genoemd.

Ook banken krijgen te maken met deze nieuwe privacywetgeving en dienen zich daaraan te houden. Banken verzamelen en gebruiken veel persoonsgegevens. Met name banken bewaren en gebruiken gevoelige gegevens zoals een burgerservicenummer (BSN) en andere financiële gegevens van hun klanten. Banken zijn immers verplicht om hun klanten te identificeren door middel van het overleggen van een identiteitsbewijs. Van dit identiteitsbewijs wordt een kopie gemaakt en in het dossier bewaard. Op die manier kan de bank aantonen dat zij aan haar wettelijke (onder meer Wwft) verplichting heeft voldaan. Daarnaast maken banken gebruik van het BSN om gegevens met de Belastingdienst uit te wisselen. Ook kan u denken aan het geval waarin iemand een foute betaalopdracht heeft uitgevoerd en dit geld wilt terug hebben. Onder bepaalde omstandigheden kan de bank de NAW-gegevens van de ontvangende partij doorgeven aan haar klant (de opdrachtgever van de bank).

In een artikel uit het Financieel Dagblad van 10 april 2018 blijkt dat banken vaker NAW-gegevens aan hun zakelijke klanten doorgeven. Met het doorgeven van deze NAW-gegevens willen banken per 1 januari 2019 stoppen. Er blijkt door zakelijke klanten veel misbruik te worden gemaakt van de aan hen doorgestuurde NAW-gegevens. In het zojuist genoemde artikel komt naar voren dat Rabobank de NAW-gegevens van haar klant – een donateur van het Rode Kruis – had doorgestuurd aan het Rode Kruis die de donateur vervolgens nogmaals verzocht een donatie te doen. Het Rode Kruis heeft erkend dat dit niet had gemogen. Het is oneigenlijk gebruik van persoonsgegevens voor welke de donateur in ieder geval geen toestemming had gegeven.

De AVG is streng en indien er inbreuk wordt gemaakt op een bepaling uit de AVG, kunnen er zware sancties worden opgelegd.

Maatregelen en sancties toezichthouder persoonsgegevens

Op grond van de AVG heeft de toezichthoudende autoriteit van de desbetreffende lidstaat een aantal bevoegdheden die zijn onder te verdelen in 1) onderzoeksmaatregelen, 2) corrigerende maatregelen, en 3) autorisatie- en adviesbevoegdheden. Iedere bevoegdheid moet met name passend, noodzakelijk en evenredig zijn met het oog op naleving van de AVG en bij iedere case moet rekening worden gehouden met de omstandigheden van het individuele geval, het recht van iedere persoon te eerbiedigen om voor het opleggen van maatregelen te worden gehoord en overbodige kosten e.a. moeten worden vermeden. Ook moet de toezichthoudende autoriteit van de lidstaat de door haar opgelegde maatregel duidelijk, schriftelijk en ondubbelzinnig weergeven waarbij uiteraard moet worden vermeld wanneer de maatregel wordt opgelegd, waarom de maatregel wordt opgelegd én moet worden aangegeven bij welke (rechterlijke) instantie in bezwaar/beroep kan worden gegaan.

In het navolgende werk ik de verschillende bevoegdheden nader uit.

Waar bestaan de onderzoeksbevoegdheden uit?

Op grond van artikel 58 lid 1 AVG heeft de desbetreffende toezichthouder de navolgende onderzoeksbevoegdheden:

i) het verplichten om informatie te verstrekken;

ii) onderzoeken te verrichten in de vorm van gegevensbeschermingscontroles;

iii) het verrichten van een toetsing naar de certificaten als vermeld in artikel 42 AVG;

iv) het kennis stellen van de verwerkingsverantwoordelijke van een inbreuk op de AVG;

v) het verkrijgen van toegang tot terreinen (waaronder bedrijfsruimten).

Bij onderzoeksbevoegdheden die toegang bieden tot terreinen moet ervoor worden gezorgd dat de specifieke voorschriften van het desbetreffende lidstatelijke procesrecht worden nageleefd (waaronder de verplichte toestemming van de rechter alvorens de toegang tot terreinen te nemen).

Welke corrigerende maatregelen en sancties zijn er?

Op grond van artikel 58 lid 2 AVG heeft de lidstatelijke toezichthouder de volgende sanctie-/corrigerende mogelijkheden:

i) het verstrekken van een waarschuwing aan de verwerkingsverantwoordelijke;

ii) het berispen van de verwerkingsverantwoordelijke;

iii) het verplichten van de verwerkingsverantwoordelijke om de verzoeken van de betrokkene in te willigen;

iv) het verplichten van de verwerkingsverantwoordelijke om binnen een bepaalde termijn de verwerking van persoonsgegevens in overeenstemming te brengen met de AVG;

v) het gelasten van de verwerkingsverantwoordelijke om de betrokkenen kenbaar te maken dat er een inbreuk is gemaakt op de verwerking van zijn of haar persoonsgegevens;

vi) het opleggen van een tijdelijke of definitieve verwerkingsbeperking dan wel een verwerkingsverbod aan de verwerkingsverantwoordelijke;

vii) het rectificeren of verwijderen van persoonsgegevens van de betrokkenen;

viii) het intrekken van een certificaat en (of) certificaten;

ix) het opleggen van een administratieve geldboete;

x) het opschorten van gegevensstromen naar een ontvanger in een derde land en (of) internationale organisatie.

Zoals de AVG voorschrijft dienen alle op te leggen sancties niet alleen evenredig te zijn, maar ook doeltreffend en afschrikkend. De maatregelen genoemd onder i), viii) en x) kunnen gelijktijdig met het opleggen van een administratieve geldboete worden opgelegd. De hoogte van een dergelijke boete wordt bepaald naar gelang de omstandigheden van het geval. Omstandigheden die relevant zijn, zijn onder meer de aard, ernst en duur van de inbreuk, de opzettelijke of nalatige aard van de inbreuk, de genomen maatregelen door de verwerkingsverantwoordelijke, de mate waarin de verwerkingsverantwoordelijke verantwoordelijk is gezien de technische en organisatorische maatregelen die zijn uitgevoerd, eerdere (relevante) inbreuken van de AVG, de mate waarin de toezichthouder heeft geholpen met het verhelpen van de inbreuk, en alle andere mogelijk relevante omstandigheden.

Hoe hoog kan de bestuurlijke geldboete bij overtreding AVG belopen?

De hoogte van de boete hangt af van welke inbreuk er is gemaakt door de verwerkingsverantwoordelijke. Er is een aantal mogelijkheden:

  • Het is ofwel een bedrag van maximaal € 10.000.000 en voor ondernemingen tot 2% van de totale wereldwijde jaaromzet in het voorgaande boekjaar bij overtredingen met betrekking tot de voorwaarden voor toestemming van kinderen (artikel 8), de verwerking waarvoor de identificatie niet is vereist (artikel 11), 25 tot en met 39, 42, certificeringsorganen (artikel 43) en 41 lid 4; ofwel
  • een bedrag van maximaal € 20.000.000 en voor ondernemingen tot 4% van de totale wereldwijde jaaromzet in het voorgaande boekjaar bij overtredingen met betrekking tot de beginselen inzake verwerking van persoonsgegevens (artikel 5), de rechtmatigheid van de verwerking (artikel 6), de voorwaarden voor de toestemming (artikel 7) en verwerking van bijzondere categorieën van persoonsgegevens (artikel 9), 12 tot en met 22, 44 tot en met 49 en nog een aantal andere.

Welke autorisatie- en adviesbevoegdheden zijn er onder de AVG?

Op grond van artikel 58 lid 3 AVG heeft de lidstatelijke toezichthouder de volgende autorisatie- en adviesbevoegdheden:

i) het verstrekken van advies aan de verwerkingsverantwoordelijke;

ii) het verstrekken van advies aan het nationale parlement, regering, andere instellingen, et cetera;

iii) het verstrekken van toestemming voor de verwerking van persoonsgegevens;

iv) het verstrekken van goedkeuring aan ontwerpgedragscodes;

v) en nog een aantal andere bevoegdheden.

Vragen en (of) opmerkingen naar aanleiding van de blog? Neem vrijblijvend contact op met Blenheim.