Hoe controleren toezichthouders naleving van privacy-, consumenten- en mededingingswetten? Door undercover te opereren en slimme samenwerking

Hoe groot is de pakkans voor organisaties die zich niet aan de Algemene Verordening Gegevensbescherming (AVG) houden eigenlijk?

Hoe controleren Europese toezichthouders de naleving van wet- en regelgeving die ondernemers en consumenten moeten beschermen tegen schimmige gevaarlijke praktijken van malafide of onprofessionele organisaties?

Veel Nederlandse ondernemers denken dat het risico op een forse boete wegens het niet naleven van de privacywet klein is. Ze beseffen zich niet dat de Autoriteit Gegevensbescherming samen kan werken met andere Europese toezichthouders. En dan gaat het niet alleen om privacywetgeving. Zij kunnen – sterker moeten – sinds 17 januari 2018 op basis van de Europese CPC-verordening regelmatig hun krachten bundelen.

Welke toezichthouders werken samen?

Het betreft dan toezichthouders zoals de Autoriteit Persoonsgegevens (AP), Autoriteit Consument en Markt (ACM) en de Autoriteit Financiële Markten (AFM).

De CPC-verordening voorziet onder meer in de internationale samenwerking tussen toezichthoudende autoriteiten, een mystery shopping bevoegdheid van toezichthouders en het gelasten van tussenpersonen om te assisteren bij het beschermen van consumentenrechten.

Toezichthouders mogen undercover opereren

De toezichthouders mogen zich undercover registreren om te controleren of een dienst zich aan de regels houdt.

Op basis van de verordening kunnen autoriteiten binnen de Europese Unie elkaar om bijstand verzoeken bij een inbreuk op consumentenrechten.

De aangezochte autoriteit is in beginsel verplicht tot medewerking. Ze kunnen gemotiveerd weigeren, bijvoorbeeld wanneer er al maatregelen getroffen zijn of als de aangezochte autoriteit concludeert dat er geen inbreuk plaatsvindt.

De Europese Commissie bemiddelt als de verschillende autoriteiten het oneens zijn.

Bij wijdverbreide inbreuken in minimaal drie lidstaten kunnen de betrokken autoriteiten een gecoördineerde actie beginnen.

Zoals bijvoorbeeld sinds donderdag 26 september 2018 gebeurt. Grote internetbedrijven als Amazon, Facebook, Ebay, Google en Microsoft worden op verzoek van de Europese Commissie nauwlettend gevolgd door onafhankelijke Europese privacydeskundigen. 

Verder introduceert de verordening zogenaamde ‘sweeps’: gezamenlijke acties van toezichthouders van alle lidstaten om de naleving van consumentenrechten te controleren en inbreuken op te sporen.

Uitlokking is niet toegestaan

Omdat effectief toezicht in veel situaties niet mogelijk is wanneer de identiteit van de toezichthouder bekend is, schrijft de verordening voor dat de bevoegde toezichthouder mag opereren onder een fictieve identiteit. Daarmee mag hij een overeenkomst aangaan of een oriënterend gesprek met een handelaar, maar uiteraard zonder uitlokking.

Gebruik van een fictieve identiteit moet noodzakelijk en proportioneel zijn, zowel ten aanzien van de zwaarte van de vermoede overtreding als de mogelijkheden om alternatieve toezichtsbevoegdheden in te zetten.

Werkwijze is sinds 2015 al legitiem

Ondanks dat nu wordt voorzien in een wettelijke grondslag voor toezichthouders, volgt uit jurisprudentie dat dit middel reeds wordt toegepast.

Het College van Beroep voor het bedrijfsleven heeft in haar uitspraak van 8 juli 2015 aangaande het beroep van twee bedrijven tegen de ACM geoordeeld dat vanwege de doeltreffendheid van het onderzoek naar de naleving het anoniem opereren in beginsel toelaatbaar is.

Bescherming comsuntenbelangen

De verordening heeft als doel dat dat autoriteiten in de digitale omgeving snel en doeltreffend een einde kunnen maken aan inbreuken op regels ter bescherming van consumentenbelangen.

Dit geldt met name wanneer een handelaar zijn identiteit verbergt of zich elders binnen de Unie of in een derde land vestigt om aan handhaving te ontkomen.

Bijvoorbeeld partijen die illegaal financiële producten aanbieden via het internet slagen erin om hun negotie voort te zetten door informatieverzoeken en andere acties van de AFM botweg te negeren; zoals verstrekkers van (flits)kredieten die zich vanuit andere lidstaten op Nederlandse consumenten richten.

Malafide bedrijven direct aanpakken

Ook via aanbieders van communicatiediensten, zoals hosting- en/of domeinnaamaanbieder kunnen toezichthouders malafide aanbieders indirect op de korrel nemen.

Met een zogenaamde zelfstandige last, zoals het laten verwijderen van digitale inhoud of een verplichte waarschuwing aan consumenten tonen, kunnen via hostingproviders ernstige inbreuken worden voorkomen, beperkt of beëindigd.

Er is daarbij wel toestemming nodig van de rechter-commissaris in Rotterdam voordat een toezichthouder over kan gaan tot het opleggen van zo’n zelfstandige last.

Deze rechter-commissaris gaat in principe over het strafrecht, maar kan middels deze taakbedeling ‘expertise opbouwen’ over het bestuursrecht en voor de bevoegde autoriteiten fungeren als vast aanspreekpunt.

Niet alleen de Autoriteit Persoonsgegevens legt hoge boetes op voor onjuiste algemene voorwaarden

Online ondernemers moeten bij het opstellen van de algemene voorwaarden voor hun website niet alleen rekening houden met de nieuwe privacywet AVG / GDPR, maar ook met andere regelgeving. Er zijn meerdere instanties die daar op toezien. Wie niet zorgvuldig aandacht besteedt aan de opzet van de algemene voorwaarden kan hoge boetes opgelegd krijgen.

Veel ondernemers denken dat het voorlopig nog wel mee zal vallen met de boetes die de Autoriteit Persoonsgegevens op zal leggen aan bedrijven die hun website niet op orde hebben. Zij vergeten echter dat er ook andere instanties zijn die momenteel al forse boetes opleggen aan bedrijven die hun zaken niet op orde hebben.

De Autoriteit Consument en Markt (ACM) heeft bijvoorbeeld in oktober 2016 Coolcat en vier andere webwinkels in de modebranche beboet voor in totaal EUR 590.000 omdat zij op hun websites consumenten onvoldoende informeerden over hun rechten wanneer zij binnen de bedenktijd van hun aankoop willen afzien.

De ACM was op de onjuiste informatie gewezen door consumentenorganisaties die op hun beurt weer waren ingeschakeld door consumenten.

De rechtbank in Rotterdam heeft op 19 april 2018 deze boetes bekrachtigd.

De uitspraak van de rechtbank en de hoge boetes leren dat het voor ondernemers raadzaam is om deskundige hulp in te schakelen om hun algemene voorwaarden mee door te nemen.

Het is onverstandig om snel de algemene voorwaarden van een concurrent te kopiëren. Vertrouw ook niet blindelings op degene die uw website heeft gebouwd. Dat kan voor u duur uitpakken. Schakel iemand in die deskundig advies kan geven op het gebied van de privacywetgeving en weet met welke andere wet- en regelgeving in  uw branche ook rekening gehouden moet worden.

Bovendien kunnen er ook copyrights op algemene voorwaarden van concurrenten liggen als die zijn gemaakt door deskundige bureaus of advocaten.