Mirjam Elferink 27 mei 2021

Een inlichtingenverzoek of ‘inval’ van de Autoriteit Persoonsgegevens. Wat te doen?

De AP heeft de bevoegdheid om onaangekondigd bedrijfsbezoeken uit te voeren. Dit kan zij doen naar aanleiding van ontvangen klachten over uw organisatie, maar ook uit eigen beweging. Dergelijke bezoeken hebben als doel dat de AP wil nagaan of de privacy wet- en regelgeving afdoende wordt nageleefd. Nu de AP ‘op stoom’ is gekomen, maakt zij regelmatig gebruik van haar bevoegdheden. Tijdens deze bezoeken zal informatie worden verzameld die later als basis kan dienen voor een mogelijk sanctiebesluit. Omdat deze bezoeken vrijwel altijd onaangekondigd plaatsvinden is het van groot belang om uw organisatie daarop voor te bereiden. Wat te doen bij een (onaangekondigd) onderzoek ter plaatse door de Autoriteit Persoonsgegevens (AP)?
Autoriteit persoonsgegevens 2

Bevoegdheden AP

De AP heeft op basis van de AVG de bevoegdheid om zich – zonder voorafgaande toestemming – toegang te verschaffen tot bedrijfsgebouwen, terreinen, voertuigen, etc. Datzelfde geldt voor de toegang tot alle uitrustingen en middelen voor de gegevensverwerkingen, zoals fysieke dossierkasten, bureaulades, digitale documenten, ICT-middelen, etc.

De AP kan daarnaast (de medewerkers van) uw organisatie gelasten om alle voor de uitvoering van het onderzoek door de AP vereiste informatie te verstrekken. De AP kan interviews afnemen, vragen stellen, en relevante documenten, bestanden, correspondentie, e-mails, etc. inzien. Alle gevorderde informatie dient door uw organisatie aan de AP te worden verschaft. De AP mag van al deze informatie kopieën maken of – indien ter plaatse kopiëren niet mogelijk is – deze voor kopiedoeleinden een korte periode meenemen. Correspondentie tussen uw organisatie en een advocaat; privé-documenten; documenten buiten het doel van het onderzoek en documenten van geheimhouders (bijv. medische dossiers) vallen daar niet onder. Een inval of een inspectie van de AP heeft een grote impact op uw organisatie.

Let er hierbij op dat uw organisatie alle medewerking dient te verlenen die de AP in het kader van haar onderzoeksbevoegdheden redelijkerwijs kan vorderen. Let wel: dat betekent andersom ook dat u alleen de informatie hoeft te verschaffen die relevant kan zijn voor het concrete onderzoek. Het niet verlenen van medewerking kan mogelijk beboet worden.

De AP dient de betrokken organisatie te informeren over het voorwerp en de reden van het onderzoek. U kunt vragen naar het doel van het onderzoek, de redenen van het onderzoek, op wie of wat het onderzoek betrekking heeft en of uw organisatie verplicht is om daaraan mee te werken. U kunt ook vragen naar waar en hoe het onderzoek zal worden uitgevoerd. Laat de medewerker van de AP zijn antwoorden bij voorkeur op schrift stellen.

Indien uw organisatie verplicht is om mee te werken aan het onderzoek door de AP, vraag dan op grond van welke wettelijke bepaling dat verplicht is. Geef uitdrukkelijk bij de AP aan dat uw organisatie alleen meewerkt voor zover de (medewerker van de) AP bevoegd is en dat van vrijwillige medewerking geen sprake is.

Stappenplan bij inval

Wat moet u doen als de AP bij uw organisatie een (onaangekondigd) onderzoek ter plaatse doet? Wij hebben daar een praktisch stappenplan voor ontwikkeld. Meer weten? Neem gerust contact met ons op.

Mirjam 1

Meer weten over dit onderwerp of een andere vraag?

meer over Mirjam Elferink mail Mirjam Elferink

Wij plaatsen functionele en analytische cookies. Eventueel kunnen derde partijen tracking cookies plaatsen. U dient daar dan eerst mee akkoord te gaan. Lees meer in onze Privacyverklaring