Wie zegt dat de AP niet of nauwelijks aan handhaving doet, heeft het mis

8 oktober 2018

De Autoriteit Persoonsgegevens (verder te noemen: ‘AP’) heeft in augustus 2018 een dwangsom ingevorderd van € 48.000 bij InsingerGilissen, voorheen bekend als Theodoor Gilissen Bankiers (TGB).

Een klant van TGB deed in 2016 bij TGB een verzoek om inzage te krijgen in wat de bank over hem wist. Dat verzoek baseerde de klant op artikel 35 van de Wet bescherming persoonsgegevens. De klant wilde een overzicht krijgen van zijn persoonsgegevens, hoe de bank daaraan kwam en met wie ze werden gedeeld. Ook vroeg de klant inzage in chatberichten, die hij had gewisseld met zijn accountmanager bij TGB in een chatroom voor beleggers.

Toen TGB niet aan het verzoek om inzage wilde voldoen, diende zijn advocaat op 11 augustus 2016 een handhavingsverzoek in bij de AP. Vrij vlot daarna, op 7 september 2016 besloot de AP aanvankelijk dat verzoek niet te honoreren. De bankklant ging daartegen in bezwaar. Een hoorzitting en veel correspondentie verder achtte de AP het bezwaar gegrond. Enkele maanden later en nog meer correspondentie verder gaf de AP TGB twee maanden de tijd om de gevraagde gegevens alsnog te verstrekken. Deze termijn zou op 11 juli 2017 verstrijken. Zij legde TGB daarbij een last onder dwangsom op die er op neer kwam dat elke week dat TGB niet binnen de gestelde termijn aan die verplichting zou voldoen, zij een dwangsom van 12.000 euro zou moeten betalen met een maximum van 60.000 euro.

Op 7 juli 2017 zond TGB “ter uitvoering van de last” een e-mail met bijlagen aan de klant, die terstond meende dat het hem toegestuurde overzicht niet volledig was. Op 10 augustus 2017 volgde een onderzoek op het kantoor van TGB uitgevoerd door medewerkers van de AP. Bij het onderzoek ter plaatse heeft TGB verklaard dat KBL (aandeelhouder van TGB) een forensisch onderzoek heeft uitgevoerd naar de klant. Dat onderzoek was niet aan de klant verstrekt, omdat TGB, naar eigen zeggen, dat forensische rapport niet meer had. Zij had het rapport aan haar advocaat gegeven. De AP bepaalde echter dat die omstandigheid niet meebracht dat TGB niet langer de in het rapport staande persoonsgegevens van de bankklant verwerkte. De advocaat, aldus de AP, trad op namens TGB en wordt daarmee met TGB vereenzelvigd.

TGB heeft de klant uiteindelijk op 14 augustus 2017 de ontbrekende stukken en een bijgewerkt overzicht gestuurd. Incluis de termijnverlenging van één week ziet de AP aanleiding over de periode 12 juli 2017 - 14 augustus 2017 een dwangsom van EUR 48.000 op te leggen. De klant heeft volgens de AP bezwaar gemaakt tegen de hoogte van het ingevorderde bedrag en is daarna in beroep gegaan tegen het afwijzende besluit van de instantie. Let wel: de AP, niet de individuele klant heeft recht op de boete.

De AP observeert: De privacywet geeft iedereen privacyrechten. Zoals het recht om in te zien welke persoonsgegevens een organisatie van je heeft. Die rechten zijn onder de AVG uitgebreid met het recht op dataportabiliteit (het recht om je gegevens mee te nemen) en het recht op vergetelheid (het recht dat organisaties je persoonsgegevens moeten wissen als je erom vraagt. Die rechten kun je zelf uitoefenen, door een organisatie op deze rechten te wijzen. Sinds 25 mei zijn die rechten versterkt: iedereen kan nu ook een privacyklacht indienen bij de AP.

Tot welke gevolgen in termen van energie, kosten en mankracht een klacht over schending van privacy vanwege een niet-ingewilligd verzoek leidt, illustreert bovenstaande casus bepaald. Het aloude adagium “voorkomen is beter….” doet ook in privacy-land opgeld.  Waarom de klant tegen de hoogte van het ingevorderde bedrag in beroep is gegaan, is niet duidelijk. Het verhaal krijgt mogelijk nog een staartje, wordt dus vervolgd!