Hoe groot is de pakkans voor organisaties die zich niet aan de Algemene Verordening Gegevensbescherming (AVG) houden eigenlijk?

Hoe controleren Europese toezichthouders de naleving van wet- en regelgeving die ondernemers en consumenten moeten beschermen tegen schimmige gevaarlijke praktijken van malafide of onprofessionele organisaties?

Veel Nederlandse ondernemers denken dat het risico op een forse boete wegens het niet naleven van de privacywet klein is. Ze beseffen zich niet dat de Autoriteit Gegevensbescherming samen kan werken met andere Europese toezichthouders. En dan gaat het niet alleen om privacywetgeving. Zij kunnen – sterker moeten – sinds 17 januari 2018 op basis van de Europese CPC-verordening regelmatig hun krachten bundelen.

Welke toezichthouders werken samen?

Het betreft dan toezichthouders zoals de Autoriteit Persoonsgegevens (AP), Autoriteit Consument en Markt (ACM) en de Autoriteit Financiële Markten (AFM).

De CPC-verordening voorziet onder meer in de internationale samenwerking tussen toezichthoudende autoriteiten, een mystery shopping bevoegdheid van toezichthouders en het gelasten van tussenpersonen om te assisteren bij het beschermen van consumentenrechten.

Toezichthouders mogen undercover opereren

De toezichthouders mogen zich undercover registreren om te controleren of een dienst zich aan de regels houdt.

Op basis van de verordening kunnen autoriteiten binnen de Europese Unie elkaar om bijstand verzoeken bij een inbreuk op consumentenrechten.

De aangezochte autoriteit is in beginsel verplicht tot medewerking. Ze kunnen gemotiveerd weigeren, bijvoorbeeld wanneer er al maatregelen getroffen zijn of als de aangezochte autoriteit concludeert dat er geen inbreuk plaatsvindt.

De Europese Commissie bemiddelt als de verschillende autoriteiten het oneens zijn.

Bij wijdverbreide inbreuken in minimaal drie lidstaten kunnen de betrokken autoriteiten een gecoördineerde actie beginnen.

Zoals bijvoorbeeld sinds donderdag 26 september 2018 gebeurt. Grote internetbedrijven als Amazon, Facebook, Ebay, Google en Microsoft worden op verzoek van de Europese Commissie nauwlettend gevolgd door onafhankelijke Europese privacydeskundigen. 

Verder introduceert de verordening zogenaamde ‘sweeps’: gezamenlijke acties van toezichthouders van alle lidstaten om de naleving van consumentenrechten te controleren en inbreuken op te sporen.

Uitlokking is niet toegestaan

Omdat effectief toezicht in veel situaties niet mogelijk is wanneer de identiteit van de toezichthouder bekend is, schrijft de verordening voor dat de bevoegde toezichthouder mag opereren onder een fictieve identiteit. Daarmee mag hij een overeenkomst aangaan of een oriënterend gesprek met een handelaar, maar uiteraard zonder uitlokking.

Gebruik van een fictieve identiteit moet noodzakelijk en proportioneel zijn, zowel ten aanzien van de zwaarte van de vermoede overtreding als de mogelijkheden om alternatieve toezichtsbevoegdheden in te zetten.

Werkwijze is sinds 2015 al legitiem

Ondanks dat nu wordt voorzien in een wettelijke grondslag voor toezichthouders, volgt uit jurisprudentie dat dit middel reeds wordt toegepast.

Het College van Beroep voor het bedrijfsleven heeft in haar uitspraak van 8 juli 2015 aangaande het beroep van twee bedrijven tegen de ACM geoordeeld dat vanwege de doeltreffendheid van het onderzoek naar de naleving het anoniem opereren in beginsel toelaatbaar is.

Bescherming comsuntenbelangen

De verordening heeft als doel dat dat autoriteiten in de digitale omgeving snel en doeltreffend een einde kunnen maken aan inbreuken op regels ter bescherming van consumentenbelangen.

Dit geldt met name wanneer een handelaar zijn identiteit verbergt of zich elders binnen de Unie of in een derde land vestigt om aan handhaving te ontkomen.

Bijvoorbeeld partijen die illegaal financiële producten aanbieden via het internet slagen erin om hun negotie voort te zetten door informatieverzoeken en andere acties van de AFM botweg te negeren; zoals verstrekkers van (flits)kredieten die zich vanuit andere lidstaten op Nederlandse consumenten richten.

Malafide bedrijven direct aanpakken

Ook via aanbieders van communicatiediensten, zoals hosting- en/of domeinnaamaanbieder kunnen toezichthouders malafide aanbieders indirect op de korrel nemen.

Met een zogenaamde zelfstandige last, zoals het laten verwijderen van digitale inhoud of een verplichte waarschuwing aan consumenten tonen, kunnen via hostingproviders ernstige inbreuken worden voorkomen, beperkt of beëindigd.

Er is daarbij wel toestemming nodig van de rechter-commissaris in Rotterdam voordat een toezichthouder over kan gaan tot het opleggen van zo’n zelfstandige last.

Deze rechter-commissaris gaat in principe over het strafrecht, maar kan middels deze taakbedeling ‘expertise opbouwen’ over het bestuursrecht en voor de bevoegde autoriteiten fungeren als vast aanspreekpunt.

Wees de eerste die dit bericht deelt

Aanmelden PrivacyZone Nieuwsbrief

Met een gratis abonnement op de PrivacyZone Nieuwsbrief voldoet u aan een van de eisen van de Europese privacywet GDPR / AVG. Wij houden u wekelijks op de hoogte met nieuws, jurisprudentie en advies. U wordt geacht deze ontwikkelingen actief te volgen en indien noodzakelijk gepaste maatregelen te treffen.

Bedankt voor uw aanmelding voor de PrivacyZone Nieuwsbrief.