Taken en bevoegdheden van de AP

De taken en bevoegdheden van de Autoriteit Persoonsgegevens (AP) zijn vastgelegd in de wet. Een taak is bijvoorbeeld toezicht houden. Een bevoegdheid is bijvoorbeeld onderzoek doen.

Bekijk ook het overzicht van opgelegde en gepubliceerde boetes en andere sancties en het register van berispingen.

Taken staan in de AVG en UAVG

De taken en bevoegdheden van de Autoriteit Persoonsgegevens (AP) staan in de Algemene verordening gegevensbescherming (AVG) en zijn verder uitgewerkt in de Uitvoeringswet AVG (UAVG).

In de AVG staat dat elke lidstaat van de Europese Unie (EU) een privacyautoriteit moet hebben die onafhankelijk toezicht houdt op het gebruik van persoonsgegevens. In Nederland is dat de AP.

Taken van de AP

De taken van de AP zijn:

• toezicht;
• advisering;
• voorlichting, informatieverstrekking & verantwoording;
• internationale taken.

Toezicht

De AP houdt toezicht op de naleving van de privacywetgeving. Onder dit toezicht vallen deze activiteiten:

• Klachten en tips behandelen over de naleving van de AVG (artikel 77 AVG).
• Uit eigen beweging onderzoek doen naar mogelijke overtredingen van de wet
  (artikel 55 AVG en artikel 58 AVG).
• Handhavend optreden als de AP tijdens het onderzoek overtredingen constateert
  (artikel 58, lid 2 AVG, artikel 83 AVG en artikel 84 AVG). Bijvoorbeeld door een boete op te leggen. 
• Interveniëren. Het is niet altijd nodig om direct een officieel onderzoek te starten. De AP kan ook eerst een gesprek met een organisatie voeren of een brief sturen. Zo'n interventie kan al genoeg zijn om de overtreding te doen stoppen.
• Bemiddelen bij geschillen met een verwerkingsverantwoordelijke (artikel 36 UAVG).
• Voorafgaande raadplegingen uitvoeren  bij verwerkingen van persoonsgegevens waaraan hoge risico’s zijn verbonden (artikel 36, lid 1 AVG).
• Gedragscodes toetsen (artikel 40 AVG).
• Mechanismen voor certificering verbeteren, zodat verwerkingsverantwoordelijken en verwerkers kunnen aantonen dat zij zich aan de AVG houden.

Algoritmetoezicht

De AP is in 2023 van start gegaan met nieuwe, coördinerende taken die een impuls moeten geven aan het toezicht op de ontwikkeling en het gebruik van algoritmes.

Daarmee wordt invulling gegeven aan de bredere maatschappelijke opgave om het gebruik van algoritmes beter te controleren, discriminatie en willekeur tegen te gaan en transparantie te bevorderen.

Zie verder: Algoritmetoezicht.

Klachtafhandeling

Mensen kunnen bij de AP een klacht of tip indienen over de verwerking van hun persoonsgegevens door een bepaalde organisatie (artikel 77 AVG). Ook organisaties of verenigingen die de belangen van betrokkenen behartigen, kunnen namens hen een klacht indienen (artikel 80 AVG).

De AP onderzoekt dan de inhoud van de klacht, in de mate waarin dat gepast is. Volgens de AVG is de AP namelijk niet verplicht om elke klacht even uitgebreid te onderzoeken. De AP laat degene die de klacht heeft ingediend binnen 3 maanden weten wat de vooruitgang en het resultaat van het onderzoek zijn.

Advisering

De AP adviseert over nieuwe wet- en regelgeving die betrekking heeft op verwerking van persoonsgegevens (artikel 36, vierde lid AVG). De overheid is verplicht om de AP hierover om advies te vragen. De AP kan ook op eigen initiatief adviseren over wetgeving.

Wilt u weten wanneer u de AP om advies moet vragen? En hoe het proces vervolgens verloopt? Kijk dan bij: Voor de overheid: wetgevingsadvisering.

Voorlichting, informatieverstrekking en verantwoording

Voorlichting geven is een van de wettelijke taken van de AP. Het Informatie- en Meldpunt Privacy van de AP staat dagelijks mensen en organisaties te woord die privacyvragen hebben. Verder geeft de AP voorlichting over de AVG via onder meer de website, contacten met de pers en sociale media. Ook zijn we regelmatig aanwezig op evenementen.

Daarnaast doen we aan normuitleg, waarbij we organisaties helderheid bieden over wat er in de wet staat en hoe zij dit moeten toepassen.

Jaarlijks verantwoorden we onze werkzaamheden met een jaarverslag. Hierin geven we aan wat we in een jaar hebben gedaan en hoe we ons budget hebben ingezet.

Internationale taken

De AVG is een Europese wet. Andere EU-lidstaten hebben ook een privacytoezichthouder. Als AP werken we samen met die andere toezichthouders in de European Data Protection Board (EDPB). De EDPB behandelt internationale klachten en datalekken en doet onderzoek.

Binnen de EDPB ondersteunen de toezichthouders elkaar bijvoorbeeld door:

• Mee te werken als betrokken toezichthouder aan een onderzoek van de leidende toezichthouder (artikel 60 AVG).
• Een andere toezichthouder te helpen als die dat vraagt (‘wederzijdse bijstand’, artikel 61 AVG).
• Deel te nemen aan gezamenlijke werkzaamheden (artikel 62 AVG).
• Deel te nemen aan het coherentiemechanisme. Dit zorgt ervoor dat de AVG in de gehele EU consequent wordt toegepast. Soms werkt de EDPB hiervoor ook samen met de Europese Commissie (artikel 63 AVG, artikel 64 AVG en artikel 65 AVG).
• Samen toezicht te houden op Europol, Eurojust en EOM en Europese informatiesystemen.

De AP moet zich houden aan de Awb

De AP moet zich bij het uitvoeren van deze taken houden aan de bepalingen van de Algemene wet bestuursrecht. Dat betekent onder meer dat:
 

• tegen besluiten van de AP bezwaar kan worden gemaakt en beroep kan worden aangetekend bij de bestuursrechter;
• de Wet open overheid (Woo) van toepassing is;
• een klacht over de AP kan worden ingediend bij de Nationale ombudsman;
• de AP als bestuursorgaan gebonden is aan de algemene beginselen van behoorlijk bestuur.