Taken en bevoegdheden van de AP

De taken en bevoegdheden van de Autoriteit Persoonsgegevens (AP) zijn vastgelegd in de wet. Taken van de AP zijn onder meer toezicht houden en voorlichting geven. Een bevoegdheid van de AP is bijvoorbeeld onderzoek doen. Of een sanctie opleggen, zoals een boete.

Vastgelegd in de wet

De taken en bevoegdheden van de AP zijn vastgelegd in deze wetten:

• het Handvest van de grondrechten van de Europese Unie;
• de Europese Algemene verordening gegevensbescherming (AVG);
• de Nederlandse Uitvoeringswet AVG (UAVG);
• de Europese Richtlijn gegevensbescherming bij rechtshandhaving (RGR).

De belangrijkste regels voor de omgang met persoonsgegevens in Nederland zijn vastgelegd in de AVG en de RGR. Deze wetten gelden niet alleen in Nederland, maar in de hele EER. 

Elke EER-land moet:

• Op een aantal punten onder de AVG zelf nog wetgeving maken. In Nederland is dit voor een belangrijk deel gebeurd in de UAVG.
• De RGR omzetten in eigen nationale wetgeving. In Nederland is de RGR geïmplementeerd in onder meer de Wet politiegegevens (Wpg), de Wet justitiële en strafvorderlijke gegevens (Wjsg), het Wetboek van Strafvordering en de Politiewet. 

De taken en bevoegdheden van de AP die in de AVG en de RGR staan, zijn in de UAVG, Wpg en Wjsg verder uitgewerkt.

Onafhankelijk toezicht

In zowel het Handvest, de AVG als de RGR staat dat elk EER-land een onafhankelijke autoriteit moet hebben die toezicht houdt op het verwerken van persoonsgegevens. Dat is de AP in Nederland.

Taken van de AP

De taken van de AP zijn:

• toezicht;
• toetsing en advisering;
• voorlichting, informatieverstrekking en verantwoording;
• internationale taken.

Toezicht

De AP houdt toezicht op de naleving van de privacywetgeving. Onder dit toezicht vallen deze activiteiten:

• Klachten en tips behandelen over de naleving van de AVG en de RGR.
• Uit eigen beweging onderzoek doen naar mogelijke overtredingen van de privacywetgeving.
• Handhavend optreden als de AP tijdens het onderzoek overtredingen constateert. Bijvoorbeeld door een boete op te leggen.
• Interveniëren. Het is niet altijd nodig om direct een officieel onderzoek te starten. De AP kan ook eerst een gesprek met een organisatie voeren of een brief sturen. Zo'n interventie kan al genoeg zijn om de overtreding te doen stoppen.
• Bemiddelen bij geschillen met een verwerkingsverantwoordelijke.
• Voorafgaande raadplegingen uitvoeren bij verwerkingen van persoonsgegevens waaraan hoge risico’s zijn verbonden.
• Gedragscodes toetsen.
• Mechanismen voor certificering verbeteren, zodat verwerkingsverantwoordelijken en verwerkers kunnen aantonen dat zij zich aan de AVG houden.

Algoritmetoezicht

De AP is sinds 2023 coördinerend toezichthouder op algoritmes en AI die risico’s met zich meebrengen voor fundamentele waarden en grondrechten. De AP draagt hiermee bij aan een betere beheersing van algoritmes en AI in Nederland.

Klachten en tips behandelen

Mensen kunnen een klacht of tip indienen bij de AP als zij vermoeden dat een bepaalde organisatie zich niet aan de privacywetgeving houdt. Ook organisaties of verenigingen die de belangen van betrokkenen behartigen, kunnen namens hen een klacht indienen. Een klacht indienen kan zowel op grond van de AVG als de RGR.

De AP onderzoekt de inhoud van de klacht, in de mate waarin dat gepast is. De AP is verplicht om alle klachten met de nodige voortvarendheid en zorgvuldigheid te onderzoeken. De AP laat diegene die de klacht heeft ingediend binnen 3 maanden weten wat de voortgang en het resultaat van het onderzoek zijn. Lees meer: Behandeling van klachten door de AP.

Toetsing en advisering

De AP toetst nieuwe wet- en regelgeving die betrekking heeft op verwerking van persoonsgegevens. De wetgever is verplicht om de AP om een toets te vragen. De AP kan ook op eigen initiatief advies geven over wetgeving. 

Wilt u weten wanneer u de AP om een toets moet vragen? En hoe het proces vervolgens verloopt? Kijk dan bij: Voor de overheid: wetgevingstoetsing.

Voorlichting, informatieverstrekking en verantwoording

Voorlichting geven is een van de wettelijke taken van de AP. Het Informatie- en Meldpunt Privacy van de AP staat dagelijks mensen en organisaties te woord die privacyvragen hebben.

Verder geeft de AP voorlichting over de AVG en de RGR via onder meer de AP-website, contacten met de pers en sociale media. Ook zijn we regelmatig aanwezig op evenementen.

Jaarlijks verantwoorden we onze werkzaamheden met een jaarverslag. Hierin geven we aan wat we in een jaar hebben gedaan en hoe we ons budget hebben ingezet.

Internationale taken

De AVG is een Europese verordening en de RGR is een Europese richtlijn. Andere EER-landen hebben ook een privacytoezichthouder. Als AP werken we samen met die andere toezichthouders in de European Data Protection Board (EDPB). 

Taken van de EDPB zijn onder meer onderzoek doen en uitleg over de toepassing van de AVG en de RGR publiceren, bijvoorbeeld in de vorm van guidelines.

Binnen de EDPB ondersteunen de toezichthouders elkaar bijvoorbeeld door:

• Mee te werken als betrokken toezichthouder aan een onderzoek van de leidende toezichthouder.
• Een andere toezichthouder te helpen als die dat vraagt (‘wederzijdse bijstand’).
• Er samen voor te zorgen dat de AVG en de RGR in de gehele EER consequent worden toegepast. Soms werkt de EDPB hiervoor ook samen met de Europese Commissie.
• Samen te werken bij het toezicht op autoriteiten die zijn belast met rechtshandhaving (waaronder politie en justitie) en grensbewaking: toezicht op Europol, Eurojust en EOM en op Europese informatiesystemen.

De AP moet zich houden aan de Awb

De AP moet zich bij het uitvoeren van deze taken houden aan de bepalingen van de Algemene wet bestuursrecht. Dat betekent onder meer dat:

• tegen besluiten van de AP bezwaar kan worden gemaakt en beroep kan worden aangetekend bij de bestuursrechter;
• de Wet open overheid (Woo) van toepassing is;
• een klacht over de AP kan worden ingediend bij de Nationale ombudsman;
• de AP zich als bestuursorgaan moet houden aan de algemene beginselen van behoorlijk bestuur.