Boetes van de Autoriteit Persoonsgegevens met opzet of nalatigheid als voorwaarde?

Het Hof van Justitie van de Europese Unie (hierna: het Hof) heeft 5 december jl. in een persverklaring gesteld dat een boete alleen opgelegd kan worden wanneer de verwerkingsverantwoordelijke op de hoogte is van de onrechtmatige aard van zijn of haar handelen waarbij het zowel kan gaan om opzettelijk handelen als nalaten.[1] Echter, voor overheidsorganisaties en natuurlijke personen die niet namens een bedrijf handelen weegt de Autoriteit Persoonsgegevens (hierna: AP) deze factoren op dit moment enkel mee bij het bepalen van een verhoging of verlaging van de basisboete (dus achteraf),[2] en niet vooraf om te bepalen of de boete überhaupt opgelegd mag worden.[3]

In sommige gevallen komt de toetsing op de opzettelijke of nalatige aard van de inbreuk zelfs helemaal niet aan bod. Bijvoorbeeld in het geval van de boete van 2 november jl., waarbij de AP een boete van €30.000 oplegde aan de gemeente Voorschoten vanwege het te lang bewaren van ‘stortgegevens’ van huishoudens en het gebrekkig informeren van de betrokkenen over deze verwerking van persoonsgegevens.[4] De gemeente Voorschoten verwijst in haar zienswijze naar een eerder besluit, waarbij de AP in een volgens de gemeente vergelijkbare zaak geen boete oplegt aan de gemeente Arnhem.[5] De AP oordeelt over de vergelijking met het eerdere besluit het volgende:

“Onder het oude regime kon voor de door het Arnhemse college overtreden bepalingen geen boete worden opgelegd zonder dat eerst een bindende aanwijzing was gegeven. Dat uitgangspunt leed slechts uitzondering indien de overtreding opzettelijk was gepleegd of het gevolg was van ernstig verwijtbare nalatigheid. Aan het Arnhemse college was niet eerder een bindende aanwijzing gegeven en evenmin was sprake van opzet of ernstige nalatigheid. Alleen al om die reden kon in die zaak geen boete worden opgelegd. Door het van toepassing worden van de AVG op 25 mei 2018 kunnen de in dit besluit geconstateerde overtredingen wél direct worden beboet.”[6]

Hiermee impliceert de AP dus géén toets vooraf van de opzettelijke of ernstig nalatige aard van de inbreuk voor het opleggen van een boete.[7] Vervolgens gaat de AP ook bij de afweging of de basisboete omhoog of omlaag moet worden bijgesteld, voorbij aan de toetsing van de opzettelijke of nalatige aard van de inbreuk.[8] Hierdoor lijkt het huidige boetebeleid van de AP tegenstrijdig te zijn met de nieuwe uitleg van het Hof over de toets vóóraf. Zullen boetes voortaan wél onder voorwaarde van opzet of nalatigheid plaatsvinden?

[1] Judgments of the Court in Cases C-683/21 | Nacionalinis visuomenės sveikatos centras and C-807/21 | Deutsche Wohnen.

[2] Artikel 7 en 8 (b) Boetebeleidsregels Autoriteit Persoonsgegevens 2023.

[3] Zoals artikel 83 lid 2(b) AVG wel voorschrijft.

[4] Boetebesluit Autoriteit Persoonsgegevens 2 november 2023, §4.5.

[5] Boetebesluit Autoriteit Persoonsgegevens 2 november 2023, §4.1.

[6] Boetebesluit Autoriteit Persoonsgegevens 2 november 2023, §4.3. Gemeente Voorschoten stelt: “Ook daar ging het om het te lang bewaren van persoonsgegevens in het kader van de uitvoering van het afvalbeleid. In die zaak heeft de AP een last onder dwangsom opgelegd om de overtreding te beëindigen.”

[7] Met de passage “Alleen al om die reden” suggereert de AP dat er nog meer redenen zouden zijn, maar deze worden inhoudelijk niet aangedragen. Bovendien concludeert de AP vervolgens dat zij geen aanleiding ziet om nu van een boete af te zien, in de enkele omstandigheid dat in het verleden geen bestuurlijke boete kon worden opgelegd vanwege het toen geldende boeteregime.

[8] Boetebesluit Autoriteit Persoonsgegevens 2 november 2023, §4.5.

Even voorstellen: Maxim Scholma

Lumen Group groeit en daarom stellen we je hierbij graag voor aan Maxim Scholma. Hij is deze maand als Werkstudent gestart bij Lumen Group. We stelden hem wat vragen.

Kun je ons iets vertellen over je achtergrond en interesses?

Ik ben 23 jaar oud, kom uit Alphen aan den Rijn en studeer Bedrijfskunde in Rotterdam. Verder wisten al mijn collega’s al voordat ik mijn contract getekend had, dat ik groot fan ben van padel. Ik heb het eigenlijk nergens anders over. Als ik niet op de padelbaan te vinden ben, dan speel ik graag gitaar. Ik speel zowel akoestisch als elektrisch met de focus op rock- en popmuziek. Mijn enthousiasme voor muziek deel ik graag met mijn twee broers. Samen luisteren we regelmatig met z’n drieën naar elkaars favorieten.

Wat is je huidige functie bij Lumen Group en wat houdt deze precies in?

Vanuit mijn studie Bedrijfskunde ben ik op zoek gegaan naar een baan en zodoende ben ik als werkstudent bij Lumen Group begonnen. Als werkstudent heb ik niet één specifieke taak. Ik help overal een beetje mee. Ik werk fulltime, dus ik ondersteun het team waar nodig is. Onder aan de streep levert dat voor mij een gevarieerde baan op waar ik veel van leer.

Waarin hoop jij je te ontwikkelen in je periode bij Lumen?

Het belangrijkste voor mij is momenteel om praktijkervaring op te doen. Mijn studie is voornamelijk veel theorie. De periode bij Lumen Group wil ik gebruiken om de koppeling tussen de theorie en de praktijk te maken. Verder zijn er geen specifieke vaardigheden die ik kan benoemen. Wél wil ik me in algemene zin ontwikkelen en zo veel mogelijk van alle bedrijfsonderdelen zien.

Als je een superkracht zou kunnen hebben op de werkvloer, welke zou je dan kiezen?

Volgens mij red ik me aardig zonder superkracht. Al lijkt vliegen me niet verkeerd, scheelt een hoop reistijd en dan kan ik naar de 9e verdieping zonder op de lift te moeten wachten.

Wat is je favoriete boek/film/Tv-serie en waarom?

Ik kan niet echt een expliciete nummer 1 aanwijzen. Als ik iets kijk, dan doe ik dat vaak met mijn jongere broertje. Toen we beiden nog op de basisschool zaten, hadden we thuis een dvd van Harry Potter die in het Nederlands nagesynchroniseerd was. Er is denk ik niks anders wat we zo vaak gekeken hebben. Destijds hadden we ook geen alternatief, want de ondertiteling ging te snel voor ons. Inmiddels kunnen we de ondertiteling wel volgen, maar toch weigeren we om de film in het Engels te kijken. Dus we hebben het niet over de beste film ooit, maar wel een film waar ik altijd met plezier naar kijk. Op mijn 23e al jeugdsentiment, het kantoorleven is denk ik echt begonnen…

4 tips voor het leerlingdossier vanuit privacy perspectief

Welke persoonsgegevens zet je wel en juist niet in het leerlingdossier en hoe ga je zorgvuldig om met deze informatie, in lijn met de Algemene verordening Gegevensbescherming (AVG)?

Om de leerlingen onderwijs en begeleiding te geven, komen de meeste gegevens in het leerlingdossier in een LAS/LVS-systeem terecht, of in sommige gevallen nog in een papieren dossier. Het leerlingdossier is voor de onderwijsinstellingen enerzijds noodzakelijk om informatie over de onderwijskundige voortgang en administratieve zaken van een leerling in bij te houden en om aan de informatieplicht[1] richting ouders te voldoen. Aan de andere kant ligt overmatige vastlegging van gegevens op de loer, met mogelijk nadelige gevolgen voor de betrokken leerlingen, omdat gevoelige informatie over een leerling een stigmatiserende werking kan hebben. Dat risico speelt met name wanneer gegevens lekken en door onbevoegden worden ingezien. Daarnaast kan er ook een verkeerd beeld van een leerling worden geschetst als de gegevens niet accuraat, actueel of objectief zijn.[2] 

Daarom is het van belang dat scholen goed in beeld hebben welke informatie wel bestemd is voor het leerlingdossier, maar ook waarvoor het leerlingdossier juist níet is bedoeld en hoe hier zorgvuldig mee om te gaan. Lumen Group geeft hiervoor een aantal tips: 

Categorieën persoonsgegevens

Houd rekening met de door de Autoriteit Persoonsgegevens (AP) opgesomde categorieën van persoonsgegevens die het leerlingdossier kan bevatten. Let op: de AP wijst daarnaast op de mogelijke verplichting tot het uitvoeren van een DPIA, wanneer in het leerlingdossier gegevens met een hoog privacyrisico worden verwerkt.[3]

Relevantie

Weeg altijd af of informatie relevant is in het kader van de ontwikkeling van de leerling, dan wel administratief noodzakelijk of wettelijk verplicht is om vast te leggen.[4] Als de informatie geen van deze doelen dient, hoort het niet thuis in het leerlingdossier.

Objectiviteit

Het leerlingdossier is geen plek voor meningen over de leerling. Voorkom daarom subjectiviteit en houd het bij de feiten, bijvoorbeeld bij vastlegging van een incident op het schoolplein.[5]

Actualiteit

Sta periodiek stil bij de actualiteit van de gegevens in het leerlingdossier. Informatie die in het verleden is opgenomen kan verouderd zijn, waardoor het zijn actuele waarde verliest of zelfs feitelijk niet meer correct is. Houd tot slot de wettelijke bewaartermijn in het vizier; het uitgangspunt is dat je een dossier 2 jaar mag bewaren nadat de leerling van school is gegaan.[6]

Meer weten over de AVG aspecten van het leerlingdossier? Neem dan vrijblijvend contact op met een van onze collega’s! Dit kan per e-mail op fg@lumengroup.nl of telefonisch op 030 – 889 65 75.

 

[1] Op basis van artikel 2.97 Wet voortgezet onderwijs 2020.
[2] Naast de informatieplicht van de school, hebben ouders en leerlingen vanaf 16 jaar een aantal rechten vanuit hun rol als betrokkenen. Zo hebben zij onder andere recht op inzage (artikel 15 AVG) en recht op rectificatie en aanvulling (artikel 16 AVG)  van het leerlingdossier.
[3] SIVON voerde al verschillende generieke DPIA’s uit op de meest voorkomende LAS/LVS systemen. Deze moeten scholen wel nog naar hun eigen specifieke situatie beschrijven en aanvullen. De generieke DPIA’s van SIVON zijn hier te vinden.
[4] Bijvoorbeeld op basis van artikel 8 Wet register onderwijsdeelnemers, artikel 8.10 Wet voortgezet onderwijs 2020 en artikel 40b Wet op het primair onderwijs.
[5] Wanneer informatie over gevoelige situaties of gebeurtenissen worden vastgelegd, is het raadzaam om ouders/verzorgers en/of de leerling hiervan op de hoogte te stellen en eventueel in gesprek te gaan over de inhoud.
[6] Zoals bepaald door de AP.