Uitspraak
RECHTBANK GELDERLAND
Zittingsplaats Arnhem
Bestuursrecht
zaaknummer: ARN 20/4082
uitspraak van de meervoudige kamer van
in de zaak tussen
[eiser] , uit [woonplaats] , eiser
(gemachtigde: mr. Y. Moszkowicz),
en
de Autoriteit Persoonsgegevens, de AP
(gemachtigde: mr. T.N. Sanders).
Als derde-partijen nemen aan de zaak deel: [derde-partij] en [derde-partij] , derde-partijen.
(gemachtigde: mr. T. Gillhaus).
Inleiding
1. In deze uitspraak beoordeelt de rechtbank het beroep van eiser tegen de afwijzing van zijn verzoek [derde-partij] handhavend op te treden tegen derde-partijen. Met de primaire beslissing van 25 juli 2019 heeft de AP dit verzoek afgewezen. Met het bestreden besluit van 17 juni 2020 op het bezwaar van eiser is de AP bij de afwijzing van het verzoek gebleven.
1.1.
De AP heeft op het beroep gereageerd met een verweerschrift.
1.2.
Derde-partijen hebben een reactie ingediend.
1.3.
De rechtbank heeft het beroep op 31 augustus 2023 op zitting behandeld. Hieraan hebben deelgenomen: eiser (via een online beeldverbinding), de gemachtigde van eiser, vergezeld door mr. L. Gofers, de gemachtigde van de AP, mr. M. Egberts, [derde-partij] en
[derde-partij] namens het [derde-partij] , mr. M.P. Ketting, mr. R. van der Wal en mr. S. Sibbald namens de [derde-partij] , en de gemachtigde van de derde-partijen.
Totstandkoming van de besluitvorming
Achtergrond
2. Eiser was (via de holding ‘ [holding] ) bestuurder en enig aandeelhouder van de bedrijven ‘ [BV] ’ en ‘ [BV] ’ ( [BV] ). [BV] verkocht zogenaamde Pretty Good Privacy telefoons (PGP-telefoons). Met dergelijke telefoons konden versleutelde e-mailberichten en notities worden opgesteld, verstuurd en ontvangen. De inhoud van de telefoons kon op afstand worden gewist. Communicatie van en naar de telefoons en het beheer van de telefoons verliep via servers. Deze servers werden gehost door een in Canada gevestigd bedrijf.
2.1.
Op 8 april 2016 heeft de officier van justitie in vier strafrechtelijke onderzoeken een rechtshulpverzoek ingediend bij de Canadese autoriteiten en gevraagd [derde-partij] gegevens op de servers in Canada, die bij [BV] in gebruik waren, veilig te stellen. Eiser en [BV] waren op dat moment verdachten in één van deze vier onderzoeken (het onderzoek [naam] ).
2.2.
De Canadese politie heeft kopieën gemaakt van alle gegevens op de servers die [BV] gebruikte (de [BV] -data). Op 13 september 2016 heeft het Superior Court of Justice in Toronto beslist dat de [BV] -data aan Nederland mochten worden verstrekt onder de voorwaarden dat Nederland de gegevens niet aan andere landen ter beschikking stelt en dat het ter beschikking stellen van de gegevens voor andere dan de in het rechtshulpverzoek genoemde vier onderzoeken alleen kan plaatsvinden na voorafgaande toestemming van een Nederlandse rechter.
2.3.
In oktober 2016 heeft Nederland de [BV] -data ontvangen. Bij analyse van de data bleken deze 3,7 miljoen berichten en notities te bevatten. Daarnaast bevatte de server de private sleutels van de gebruikers, zodat de berichten en notities konden worden ontsleuteld en kennis kon worden genomen van de inhoud daarvan. Voor de ontsleuteling en verdere analyse van de data heeft de politie gebruik gemaakt van de door het Nederlands Forensisch Instituut (NFI) ontwikkelde forensische zoekmachine Hansken. Hansken is in staat [derde-partij] snel en efficiënt te zoeken in grote hoeveelheden data. In de vier strafrechtelijke onderzoeken waarin het rechtshulpverzoek was gedaan, zijn de data aan de hand van zoektermen doorzocht en zijn per onderzoek zogenoemde subsets samengesteld. Daarnaast zijn de [BV] -data, na de door de Canadese rechter vereiste voorafgaande toestemming van een Nederlandse rechter, ook ter beschikking gesteld voor verwerking in andere strafrechtelijke onderzoeken.
Het verzoek
3. Op 14 mei 2018, aangevuld op 13 juli 2018, 18 september 2018 en 19 februari 2019, heeft eiser een klacht ingediend bij de AP. Volgens eiser hebben de [derde-partij] en het [derde-partij] bij de verkrijging en de (verdere) verwerking van de [BV] -data (die gegevens van eiser bevatten) diverse bepalingen uit de toepasselijke wet- en regelgeving overtreden. Eiser heeft de AP verzocht [derde-partij] dit te onderzoeken en [derde-partij] handhavend op te treden.
De besluitvorming
4. De AP heeft beslist op de klacht en het verzoek [derde-partij] handhavend op te treden afgewezen. De AP heeft hieraan ten grondslag gelegd dat zij globaal (bureau)onderzoek heeft gedaan en op grond daarvan heeft geconcludeerd dat niet aannemelijk is dat een overtreding door de [derde-partij] en het [derde-partij] van de Wet politiegegevens (Wpg) en de Wet justitiële en strafvorderlijke gegevens (Wjsg) heeft plaatsgevonden.
De beoordeling door de rechtbank
5. Namens derde-partijen is betoogd dat het beroep van eiser deels niet-ontvankelijk moet worden verklaard. De rechtbank beantwoordt daarom eerst de vragen of het beroep van eiser ontvankelijk is en of de AP het bezwaar van eiser terecht ontvankelijk heeft geacht. Als deze vragen bevestigend worden beantwoord, beoordeelt de rechtbank het bestreden besluit inhoudelijk aan de hand van de door eiser aangevoerde beroepsgronden.
5.1.
De voor de beoordeling van belang zijnde wet- en regelgeving is opgenomen in de bijlage bij deze uitspraak.
De ontvankelijkheid van het beroep
Kan eiser beroep instellen tegen het bestreden besluit?
6. Op grond van artikel 8:1 van de Algemene wet bestuursrecht (Awb) kan een belanghebbende beroep instellen tegen een besluit. In de artikelen 1:2 en 1:3 van de Awb is bepaald wat onder ‘belanghebbende’ en ‘besluit’ wordt verstaan. Een belanghebbende is degene wiens belang rechtstreeks bij een besluit is betrokken. Een besluit is een schriftelijke beslissing van een bestuursorgaan, inhoudende een publiekrechtelijke rechtshandeling.
6.1.
Volgens vaste rechtspraak [1] van de Afdeling bestuursrechtspraak van de Raad van State (de Afdeling) is een beslissing op een bezwaarschrift als bedoeld in de Awb als zodanig een publiekrechtelijke rechtshandeling en is deze zonder meer aan te merken als een besluit in de zin van artikel 1:3, eerste lid, van de Awb. Dit betekent dat het bestreden besluit een voor beroep vatbaar besluit is.
6.2.
Vervolgens volgt uit eveneens vaste rechtspraak [2] van de Afdeling dat alleen degene die een voldoende objectief en actueel, eigen en persoonlijk belang heeft dat rechtstreeks is betrokken is bij het bestreden besluit, belanghebbende is als bedoeld in artikel 1:2, eerste lid, van de Awb. De rechtbank is van oordeel dat eiser belanghebbende is, omdat het bestreden besluit (mede) aan hem is gericht en (mede) ziet op zijn bezwaar.
6.3.
Het voorgaande betekent dat eiser beroep kan instellen tegen het bestreden besluit.
Heeft eiser procesbelang?
7. Procesbelang is het belang dat een belanghebbende heeft bij de uitkomst van een procedure. Daarbij gaat het erom of het doel dat de belanghebbende voor ogen staat, met het rechtsmiddel kan worden bereikt en voor de belanghebbende van feitelijke betekenis is. In beginsel heeft een belanghebbende die opkomt tegen een besluit, belang bij een beoordeling van zijn bezwaar of beroep, tenzij vast komt te staan dat ieder belang bij de procedure ontbreekt of is komen te vervallen. [3]
7.1.
Niet in geschil is dat de [BV] -data gegevens van eiser bevatten. Op zitting is gebleken dat de [BV] -data nog steeds worden verwerkt in andere strafrechtelijke onderzoeken (waarin eiser geen verdachte is) en dat de mogelijkheid bestaat dat bij het - aan de hand van zoektermen - doorzoeken van deze data, gegevens van eiser worden gevonden en terechtkomen in de betreffende strafrechtelijke dossiers. Eiser wil dat zijn gegevens worden vernietigd of afgeschermd, zodat dit niet meer kan gebeuren. Gelet hierop is de rechtbank van oordeel dat eiser belang heeft bij een uitspraak van de rechtbank over het bestreden besluit.
Conclusie
8. Gelet op wat is overwogen onder 6 tot en met 7.1 is het beroep van eiser ontvankelijk.
De ontvankelijkheid van het bezwaar
Is eiser belanghebbende bij de primaire beslissing?
9. Op grond van artikel 1:3, derde lid, van de Awb kan een verzoek tot handhaving alleen worden gekwalificeerd als een aanvraag, als degene die [derde-partij] handhaving verzoekt een belanghebbende is als bedoeld in artikel 1:2, eerste lid, Awb. Alleen als daarvan sprake is, is de beslissing van de AP op het verzoek van eiser een besluit (beschikking) waartegen bezwaar kan worden gemaakt.
9.1.
Naar het oordeel van de rechtbank is eiser belanghebbende. Zoals al is overwogen onder 7.1 bevatten de [BV] -data gegevens van eiser. Deze gegevens zijn verwerkt en de mogelijkheid bestaat dat deze gegevens verwerkt blijven worden. Zoals volgt uit wat hierna onder 11 wordt overwogen, heeft de AP de bevoegdheid [derde-partij] handhavend op te treden als de verwerking van de gegevens van eiser niet in overeenstemming is met de Wpg en/of de Wjsg. De rechtbank is daarom van oordeel dat eiser een rechtstreeks belang heeft bij een beslissing over al dan niet handhavend optreden.
9.2.
Het [derde-partij] en de [derde-partij] hebben betoogd dat het beroep van eiser niet-ontvankelijk moet worden verklaard voor zover het betreft de verwerking van Ennetcomdata die niet op eiser betrekking hebben en voor zover het gegevens betreft die onder het beroepsverschoningsrecht vallen, omdat hij daar geen rechtstreeks belang bij heeft.
De rechtbank volgt hen daarin niet. Nu eiser belanghebbende is bij de afwijzende beslissing van de AP op zijn verzoek [derde-partij] handhavend op te treden, ziet de rechtbank geen grond voor een dergelijke gedeeltelijke niet-ontvankelijkverklaring. Bij de beoordeling van de belanghebbendheid speelt de aard van de aangevoerde gronden namelijk geen rol.
Conclusie
10. Het voorgaande betekent dat de primaire beslissing een beschikking is in de zin van artikel 1:3, derde lid, van de Awb en dat de AP het bezwaar van eiser terecht ontvankelijk heeft geacht.
De inhoudelijke beoordeling van het bestreden besluit
De taak en bevoegdheid van de AP
11.1.
De rechtbank stelt vast dat de in voetnoot 4 genoemde artikelen zien op de verwerking van gegevens en niet op de verkrijging. Dit leidt tot de vraag of de beoordeling van de rechtmatigheid van de verkrijging van gegevens ook tot de taak van de AP behoort. De rechtbank is met eiser en de AP, en anders dan derde-partijen, van oordeel dat deze vraag bevestigend moet worden beantwoord en licht dit als volgt toe. In artikel 3, tweede lid, van de Wpg en artikel 3, derde lid, van de Wjsg staat dat politiegegevens en justitiële gegevens slechts worden verwerkt voor zover dit behoorlijk en rechtmatig is, en de gegevens rechtmatig zijn verkregen. De rechtbank begrijpt dit zo dat gegevens alleen mogen worden verwerkt als zij rechtmatig zijn verkregen. Dit betekent dat, [derde-partij] de rechtmatigheid van de verwerking te kunnen beoordelen, ook (en eerst) de rechtmatigheid van de verkrijging moet worden beoordeeld. De rechtbank leidt hieruit af dat het ook de taak van de AP is [derde-partij] de rechtmatigheid van de verkrijging van gegevens te beoordelen, en dat de AP de bevoegdheid heeft [derde-partij] , bij onrechtmatige verkrijging, handhavend op te treden.
De werkwijze van en de intensiteit van de beoordeling door de AP
12. De AP hanteert bij de beoordeling van handhavingsverzoeken een vaste werkwijze. In fase I wordt getoetst aan de formele eisen uit de Awb en aansluitend, als aan die formele eisen is voldaan, vindt een globaal (bureau)onderzoek plaats. In het globale (bureau)onderzoek wordt beoordeeld of uit de voorliggende informatie, dan wel uit de in deze fase opgevraagde informatie blijkt dat zich mogelijkerwijs een overtreding van de Wpg en/of de Wjsg of daaraan gerelateerde wet- en regelgeving voordoet of heeft voorgedaan. [6] Blijkt uit het globaal (bureau)onderzoek al afdoende dat geen sprake is van een overtreding, dan wordt het handhavingsverzoek afgewezen. Wanneer uit het globaal (bureau)onderzoek volgt dat het aannemelijk is dat zich een overtreding voordoet, dan is de AP op basis van de beginselplicht tot handhaving gehouden [derde-partij] handhavend op te treden. In dat geval gaat de AP direct over naar fase IV. Mocht uit het onderzoek volgen dat zich mogelijk een overtreding heeft voorgedaan, dan wordt het handhavingsverzoek in fase II getoetst aan de in artikel 2, derde lid, van de ‘Beleidsregels prioritering klachtenonderzoek AP’ [7] neergelegde prioriteringscriteria [derde-partij] te beoordelen of een uitgebreid onderzoek moet worden gedaan. In fase III wordt, als de toetsing in fase II daartoe aanleiding geeft, uitgebreid onderzoek verricht en in fase IV gaat de AP, als sprake is van een overtreding, over tot handhaving.
12.1.
In het geval van eiser was ten tijde van het verzoek [derde-partij] handhaving en de besluitvorming door de AP sprake van een lopend strafrechtelijk onderzoek, dan wel een lopende strafrechtelijke procedure bij de rechtbank tegen eiser. Op zitting heeft de gemachtigde van eiser desgevraagd toegelicht dat tegen het vonnis van de meervoudige kamer van de rechtbank Rotterdam van 21 september 2021 [8] hoger beroep is ingesteld en dat dit nog aanhangig is. In deze strafrechtelijke procedure lag en ligt onder meer ter beoordeling voor of de [BV] -data rechtmatig zijn verkregen en verwerkt, en als bewijs mag worden gebruikt. Volgens de AP moet worden voorkomen dat het toezicht door de AP op de verkrijging en verwerking van politie- en strafvorderlijke gegevens, en de beoordeling door de strafrechter van de rechtmatigheid van de verkrijging en verwerking van diezelfde gegevens elkaar doorkruisen. Het primaat ligt bij de strafrechter en daarom beoordeelt de AP de rechtmatigheid van de verkrijging en verwerking van de [BV] -data slechts terughoudend. Dit houdt in dat zij volstaat met globaal bureauonderzoek en dat, alleen wanneer hieruit volgt dat aannemelijk is dat sprake is van een overtreding, tot handhaving zal worden overgegaan. In alle andere gevallen wordt het verzoek direct, zonder nader onderzoek, afgewezen.
12.2.
De rechtbank volgt de AP in haar onder 12.1 weergegeven standpunt. De rechtbank verwijst in dit verband naar de toelichting [9] op artikel 51h van de Wjsg, waarin staat dat enkel in gevallen waarin duidelijk is dat toezicht door de AP op geen enkele wijze van invloed kan zijn op de rechterlijke oordeelsvorming in de strafzaak die bij een gerecht in behandeling is, er bevoegdheid bestaat [derde-partij] toezicht uit te oefenen op de verwerking van gerechtelijke strafgegevens door de gerechten, bedoeld in artikel 2 van de Wet op de rechterlijke organisatie in het kader van de uitoefening van hun rechterlijke taken. Hoewel deze toelichting niet ziet op het uitoefenen van toezicht op het verkrijgen en verwerken van gegevens door de [derde-partij] en het [derde-partij] , leidt de rechtbank hieruit af dat de wetgever niet wenst dat het toezicht van de AP (mogelijk) invloed kan hebben op de gerechtelijke oordeelsvorming in lopende strafzaken.
12.3.
Gelet op het voorgaande acht de rechtbank de door de AP gehanteerde werkwijze en de terughoudende beoordeling van de rechtmatigheid van de verkrijging en verwerking van de [BV] -data niet onredelijk of anderszins onjuist.
Het globaal bureauonderzoek
13. In het globaal bureauonderzoek heeft de AP het verzoek, in overleg met eiser, gepreciseerd en aan de hand daarvan vragen gesteld aan de [derde-partij] en het [derde-partij] . Verder heeft de AP openbare stukken geraadpleegd. Op zitting heeft de AP desgevraagd toegelicht dat zij de website van het NFI [10] en een instructiefilmpje [11] over Hansken heeft bekeken. Ook heeft zij de in het onderhavige procesdossier opgenomen stukken uit het strafdossier van eiser geraadpleegd, en vonnissen van strafrechters in zaken waarin eiser geen verdachte was maar waarin de [BV] -data wel een rol speelden. Anders dan eiser, is de rechtbank van oordeel dat het globaal bureauonderzoek hiermee zorgvuldig is geweest.
De verkrijging en (verdere) verwerking van de [BV] -data
14. Eiser betoogt dat de [derde-partij] en het [derde-partij] de [BV] -data onrechtmatig hebben verkregen en verwerkt, omdat sprake is van schending van het recht op privacy en persoonsgegevensbescherming. Verder bestaat het risico dat de data die op hem betrekking hebben steeds opnieuw gebruikt zullen worden in allerlei strafrechtelijke onderzoeken. In die procedures is eiser geen verdachte en kan hij zich niet tot de strafrechter wenden. Volgens eiser moet de AP als onafhankelijke instantie de rechtmatigheid van de verkrijging en (verdere) verwerking van deze data zelfstandig beoordelen en toetsen aan nationale en Europese bepalingen over het recht op privacy en persoonsgegevensbescherming. De AP kan daarom niet volstaan met de enkele verwijzing naar de beslissing van de Canadese rechter van 13 september 2016. De Canadese rechter heeft niets overwogen over de juridische wijze waarop het [derde-partij] de Canadese justitiële autoriteiten heeft bewogen de data te kopiëren. Het rechtshulpverzoek is door geen enkele rechter getoetst aan Nederlandse en Europese regelgeving. Het [derde-partij] heeft dit omzeild door een onjuiste bevoegdheid aan het rechtshulpverzoek ten grondslag te leggen en heeft de Canadese autoriteiten hiermee bewust misleid. De AP kan volgens eiser ook niet volstaan met de verwijzing naar vonnissen van Nederlandse strafrechters in andere zaken dan die van eiser waarin de verkrijging en verwerking van de [BV] -data een rol speelde. Een strafrechter kan namelijk alleen gevolgen aan een onrechtmatigheid verbinden voor de in die betreffende strafzaak terecht staande verdachte, en in die vonnissen zijn de belangen van eiser dan ook niet meegenomen. Bovendien ziet de strafrechter niet alle [BV] -data in, maar alleen de voor de betreffende zaak samengestelde subdataset.
14.1.
De rechtbank stelt voorop dat uit wat is overwogen onder 12.1 tot en met 12.3 volgt dat de AP de rechtmatigheid van de verkrijging en (verdere) verwerking van de [BV] -data terughoudend heeft mogen beoordelen en heeft mogen volstaan met een globaal bureauonderzoek.
14.2.
Uit dit onderzoek is gebleken dat de Canadese rechter heeft beslist dat de [BV] -data mochten worden verstrekt in de vier in het rechtshulpverzoek genoemde strafrechtelijke onderzoeken, waaronder het onderzoek [naam] , waarin eiser als verdachte was aangemerkt. Verder is gebleken dat Nederlandse strafrechters in vonnissen in andere dan de vier in het rechtshulpverzoek genoemde strafrechtelijke onderzoeken, en waarin eiser geen verdachte was, waaronder Tandem II, hebben geoordeeld dat de verkrijging en verwerking van de [BV] -data rechtmatig was. [12]
14.3.
Naar het oordeel van de rechtbank heeft de AP op grond hiervan mogen concluderen dat niet aannemelijk is dat de [BV] -data onrechtmatig zijn verkregen en (verder) verwerkt. Het betoog van eiser maakt dit oordeel niet anders, en slaagt dus niet. Wat eiser aanvoert vraagt namelijk [derde-partij] een indringender beoordeling dan waartoe de AP gehouden was.
De (technische) juistheid van de [BV] -data
15. Eiser betoogt dat hij inzage heeft gehad in een deel van de [BV] -data en dat daaruit is gebleken dat regelmatig sprake was van technische problemen en hacks met betrekking tot de data op de servers, die gevolgen kunnen hebben gehad voor de juistheid van de data. Omdat er geen waarborgen en controlemechanismen zijn [derde-partij] de (technische) juistheid van de [BV] -data te controleren, betekent dit dat onduidelijk is of er onjuistheden schuilen in de [BV] -data. Gelet hierop was de AP gehouden [derde-partij] nader onderzoek te doen, of handhavend op te treden wegens overtreding van artikel 4 van de Wpg en artikel 3 van de Wjsg.
15.1.
Hoewel het in beginsel aan het bevoegd gezag is [derde-partij] naar aanleiding van een verzoek [derde-partij] handhaving onderzoek te doen naar de gestelde overtreding, kan in bijzondere situaties van de verzoeker [derde-partij] handhaving een begin van bewijs van de gestelde overtreding worden gevergd alvorens een verplichting tot (nader) onderzoek voor het bevoegd gezag ontstaat. [13] De rechtbank is van oordeel dat, gelet op de lopende strafrechtelijke procedure waarin de juistheid van de gegevens in de [BV] -data ook ter beoordeling voorligt, zich in deze zaak zo’n bijzondere situatie voordoet.
15.2.
Naar het oordeel van de rechtbank heeft de AP op grond van het globaal bureauonderzoek – en dan met name op grond van wat de strafrechter in overweging 7.3 van het eerdergenoemde vonnis in het onderzoek Tandem II heeft geoordeeld over de betrouwbaarheid van de [BV] -data – mogen concluderen dat niet aannemelijk is dat de [BV] -data (technische) onjuist zijn. Eiser heeft geen concrete voorbeelden van (mogelijke) onjuistheden gegeven en heeft dus geen begin van bewijs geleverd. Gelet hierop was de AP niet gehouden [derde-partij] nader onderzoek te doen. Het betoog van eiser slaagt niet.
Het gebruik van passende technische en organisatorische middelen
16. Eiser betoogt dat onvoldoende gebruik is gemaakt van passende technische en organisatorische middelen [derde-partij] de [BV] -data te beschermen, en dat daarom sprake is van overtreding van de artikelen 4a dan wel 6c van de Wpg en de artikelen 7 dan wel 7d van de Wjsg. Er is geen gebruik gemaakt van een tool [derde-partij] de (technische) betrouwbaarheid van de [BV] -data en de verwerking te controleren, en de wijze van verwerking in Hansken is niet technisch gecontroleerd. Verder worden geheimhoudersdata (berichtverkeer met geheimhouders, zoals advocaten) die deel uitmaken van de [BV] -data in strijd met het ‘Besluit bewaren en vernietigen niet-gevoegde stukken’ (het Besluit bewaren en vernietigen) niet vernietigd, maar ontoegankelijk gemaakt. Daarbij komt dat de gebruikte methode [derde-partij] gegevens en informatie van geheimhouders op te sporen door middel van 17 zoektermen onvoldoende is en dit tot gevolg heeft dat niet alle geheimhoudersdata ontoegankelijk zijn gemaakt.
16.1.
Zoals al is overwogen onder 15.1 mag van eiser een begin van bewijs van de gestelde overtreding worden gevraagd voordat een verplichting tot (nader) onderzoek voor de AP ontstaat.
16.2.
Naar het oordeel van de rechtbank heeft de AP op grond van het globaal bureauonderzoek mogen concluderen dat niet aannemelijk is dat onvoldoende gebruik is gemaakt van passende technische en organisatorische middelen. De rechtbank verwijst in dit verband allereerst naar wat is overwogen onder 15.2. Ten aanzien van de geheimhoudersdata heeft de AP – wat ook zij van de vraag of de geheimhoudersdata op grond van het Besluit bewaren en vernietigen hadden moeten worden vernietigd in plaats van ontoegankelijk gemaakt – onder verwijzing naar overweging 8.3 van het vonnis in het onderzoek Tandem II, mogen concluderen dat de wijze waarop de communicatie met geheimhouders is gefilterd, voldoende zorgvuldig is en dat van een structurele schending van het professioneel verschoningsrecht geen sprake is. Eiser heeft ook geen begin van bewijs van het tegendeel geleverd. Gelet hierop was de AP niet gehouden [derde-partij] nader onderzoek te doen. Het betoog van eiser slaagt niet.
De gegevensbeschermingseffectbeoordeling (DPIA)
17. Eiser betoogt dat de [derde-partij] en het [derde-partij] ten onrechte geen DPIA hebben uitgevoerd, en dat daarom sprake is van overtreding van artikel 4c van de Wpg en artikel 7b van de Wjsg.
Uit het op zitting overgelegde rapport [14] van het NFI volgt dat Hansken veel meer is dan een eenvoudige zoekmachine en moet worden beschouwd als een nieuwe technologie. Het is ontwikkeld volgens de zogeheten ‘agile’ ontwikkelmethode en dit betekent dat de functionaliteit van Hansken wordt aangepast aan nieuwe wensen en technische inzichten. Iedere drie weken is er een nieuwe versie van Hansken beschikbaar. Verder is volgens eiser steeds sprake van een nieuwe verwerking als in een nieuw onderzoek een nieuwe subdataset wordt gegenereerd. Hansken is dus in geen enkel opzicht vergelijkbaar met het handmatig doorzoeken van de data.
Volgens eiser is door het gebruik van Hansken sprake van een zodanig grootschalige en omvangrijke verwerking van [BV] -data, dat dit een hoog risico voor de rechten en vrijheden van personen oplevert. Alleen al de totale hoeveelheid aan [BV] -data die is verwerkt, ook ten aanzien van [BV] -gebruikers die niet in verband worden gebracht met enig strafbaar feit, levert een hoog risico voor de rechten en vrijheden van personen op.
17.1.
Uit de artikelen 4c van de Wpg en 7b van de Wjsg volgt dat wanneer een soort verwerking, in het bijzonder een verwerking waarbij nieuwe technologieën worden gebruikt, gelet op de aard, de omvang, de context of doelen ervan, waarschijnlijk een hoog risico voor de rechten en vrijheden van personen oplevert, de verwerkingsverantwoordelijke voorafgaande aan de verwerking een beoordeling uitvoert van het effect van de voorgenomen verwerkingsactiviteiten op de bescherming van persoonsgegevens.
17.2.
De rechtbank is – wat ook zij van de vraag of Hansken moet worden aangemerkt als een nieuwe technologie – van oordeel dat de AP zich op het standpunt heeft mogen stellen dat de [derde-partij] en het [derde-partij] geen DPIA hoefde uit te voeren, omdat de verwerking niet waarschijnlijk een hoog risico voor de rechten en vrijheden van personen oplevert. De AP heeft hierbij in aanmerking kunnen nemen dat verwerkingen op grond van de Wpg en de Wjsg altijd worden uitgevoerd in het kader van een opsporings- of onderzoekstaak en dat dergelijke verwerkingen, vanwege het doel en de mogelijke gevolgen van de uitkomst hiervan voor de betrokkenen, per definitie een 'gevoelige' component hebben. Een dergelijke verwerking betekent niet automatisch dat sprake is van een hoog risico op basis waarvan een DPIA is vereist. Verder heeft de AP van belang kunnen achten dat in dit geval sprake is van één bronbestand (de [BV] -server) dat met behulp van Hansken is doorzocht. Hansken maakt het mogelijk [derde-partij] de data snel en efficiënt te doorzoeken, maar er worden geen nieuwe data gegenereerd. Er worden geen andere vormen van verwerking toegepast dan wanneer de [BV] -data handmatig zou worden doorzocht. Hoewel de rechtbank begrijpt dat het handmatig doorzoeken van de [BV] -data, vanwege de omvang hiervan, zeer tijdrovend en daardoor in de praktijk zo goed als onmogelijk zou zijn, betekent de omstandigheid dat bij het doorzoeken van de data gebruik is gemaakt van een software toepassing [derde-partij] het zoeken te versnellen of te vergemakkelijken, niet dat sprake is van een verwerking die waarschijnlijk een hoog risico voor de rechten en vrijheden van personen oplevert. Het betoog van eiser slaagt niet.
Conclusie en gevolgen
18. De AP heeft voldoende zorgvuldig globaal bureauonderzoek gedaan en mocht zich op grond hiervan op het standpunt stellen dat niet aannemelijk is dat sprake is van een overtreding door de [derde-partij] en het [derde-partij] van de Wpg en/of de Wjsg. De AP heeft het verzoek [derde-partij] handhaving daarom terecht afgewezen. Het beroep is ongegrond. Dit betekent dat eiser geen gelijk krijgt en dat het bestreden besluit in stand blijft. Eiser krijgt geen vergoeding van zijn proceskosten en krijgt ook het griffierecht niet terug.
Beslissing
De rechtbank verklaart het beroep ongegrond.
Deze uitspraak is gedaan door mr. G.W.B. Heijmans, voorzitter, mr. G.H.W. Bodt en
mr. L.M. Koenraad, rechters, in aanwezigheid van mr. I.H. Verzijl-Stoop, griffier. De uitspraak is uitgesproken in het openbaar op
griffier
voorzitter
Een afschrift van deze uitspraak is verzonden aan partijen op:
Informatie over hoger beroep
Een partij die het niet eens is met deze uitspraak, kan een hogerberoepschrift sturen naar de Afdeling bestuursrechtspraak van de Raad van State waarin wordt uitgelegd waarom deze partij het niet eens is met deze uitspraak. Het hogerberoepschrift moet worden ingediend binnen zes weken na de dag waarop deze uitspraak is verzonden. Kan de indiener de behandeling van het hoger beroep niet afwachten, omdat de zaak spoed heeft, dan kan de indiener de voorzieningenrechter van de Afdeling bestuursrechtspraak van de Raad van State vragen [derde-partij] een voorlopige voorziening (een tijdelijke maatregel) te treffen.
Bijlage
Algemene wet bestuursrecht
Artikel 1:2
1. Onder belanghebbende wordt verstaan: degene wiens belang rechtstreeks bij een besluit is betrokken.
Artikel 1:3
1. Onder besluit wordt verstaan: een schriftelijke beslissing van een bestuursorgaan, inhoudende een publiekrechtelijke rechtshandeling.
2. Onder beschikking wordt verstaan: een besluit dat niet van algemene strekking is, met inbegrip van de afwijzing van een aanvraag daarvan.
3. Onder aanvraag wordt verstaan: een verzoek van een belanghebbende, een besluit te nemen.
Artikel 8:1
Een belanghebbende kan tegen een besluit beroep instellen bij de bestuursrechter.
Wet politiegegevens
Artikel 1
a.
politiegegeven: elk persoonsgegeven dat wordt verwerkt in het kader van de uitvoering van de politietaak, bedoeld in de artikelen 3 en 4 van de Politiewet 2012;
politiegegeven: elk persoonsgegeven dat wordt verwerkt in het kader van de uitvoering van de politietaak, bedoeld in de artikelen 3 en 4 van de Politiewet 2012;
b.
persoonsgegeven:alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon;
persoonsgegeven:alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon;
c.
verwerken van politiegegevens: elke bewerking of elk geheel van bewerkingen met betrekking tot politiegegevens of een geheel van politiegegevens, al dan niet uitgevoerd op geautomatiseerde wijze, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, samenbrengen, met elkaar in verband brengen, afschermen of vernietigen van politiegegevens;
verwerken van politiegegevens: elke bewerking of elk geheel van bewerkingen met betrekking tot politiegegevens of een geheel van politiegegevens, al dan niet uitgevoerd op geautomatiseerde wijze, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, samenbrengen, met elkaar in verband brengen, afschermen of vernietigen van politiegegevens;
f.
verwerkingsverantwoordelijke: dit is bij:
verwerkingsverantwoordelijke: dit is bij:
1°. de politie: de korpschef, bedoeld in artikel 27 van de Politiewet 2012;
g.
betrokkene: degene op wie een politiegegeven betrekking heeft.
betrokkene: degene op wie een politiegegeven betrekking heeft.
Artikel 2
1. Deze wet is van toepassing op de verwerking van politiegegevens door een bevoegde autoriteit die in een bestand zijn opgenomen of die bestemd zijn daarin te worden opgenomen.
Artikel 3
1. Politiegegevens worden slechts verwerkt voor zover dit noodzakelijk is voor de bij of krachtens deze wet geformuleerde doeleinden.
2. Politiegegevens worden slechts verwerkt voor zover dit behoorlijk en rechtmatig is, de gegevens rechtmatig zijn verkregen en de gegevens, gelet op de doeleinden waarvoor zij worden verwerkt, toereikend, terzake dienend en niet bovenmatig zijn.
Artikel 4
1. De verwerkingsverantwoordelijke treft de nodige maatregelen opdat politiegegevens, gelet op de doeleinden waarvoor zij worden verwerkt, juist en nauwkeurig zijn. Hij zorgt voor het onverwijld vernietigen of rectificeren van politiegegevens als blijkt dat deze, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn. De bevoegde autoriteit controleert, voor zover praktisch uitvoerbaar, de kwaliteit van politiegegevens voordat de gegevens worden verstrekt. Voor zover mogelijk wordt bij de doorzending van politiegegevens de noodzakelijke informatie toegevoegd aan de hand waarvan de ontvangende bevoegde autoriteit de mate van juistheid, volledigheid en betrouwbaarheid van politiegegevens kan beoordelen, alsmede de mate waarin zij actueel zijn.
Artikel 4a
1. De verwerkingsverantwoordelijke en de verwerker treffen passende technische en organisatorische maatregelen om:
a. te waarborgen en te kunnen aantonen dat de verwerking van politiegegevens wordt verricht in overeenstemming met hetgeen bij of krachtens deze wet is bepaald;
b. het gegevensbeschermingsbeleid en de gegevensbeschermingsbeginselen op een doeltreffende manier uit te voeren respectievelijk toe te passen;
c. bij de bepaling van de verwerkingsmiddelen en de verwerking zelf de nodige waarborgen, zoals pseudonimisering, in de verwerking in te bouwen ter naleving van hetgeen bij of krachtens deze wet is bepaald en ter bescherming van de rechten van de betrokkenen.
Artikel 4b
1. De verwerkingsverantwoordelijke treft passende technische en organisatorische maatregelen om te waarborgen dat standaard:
a. alleen die politiegegevens worden verwerkt die noodzakelijk zijn voor elk specifiek doel van de verwerking; en
b. politiegegevens niet zonder tussenkomst van een natuurlijke persoon voor een onbeperkt aantal natuurlijke personen toegankelijk worden gemaakt.
Artikel 4c
1. Wanneer een soort verwerking, in het bijzonder een verwerking waarbij nieuwe technologieën worden gebruikt, gelet op de aard, de omvang, de context of doelen ervan, waarschijnlijk een hoog risico voor de rechten en vrijheden van personen oplevert, voert de verwerkingsverantwoordelijke voorafgaande aan de verwerking een beoordeling uit van het effect van de voorgenomen verwerkingsactiviteiten op de bescherming van persoonsgegevens.
2. De beoordeling bevat tenminste:
a. een algemene beschrijving van de beoogde verwerkingen;
b. een beoordeling van de risico’s voor de rechten en vrijheden van betrokkenen;
c. de beoogde maatregelen ter beperking van de risico’s;
d. de voorzorgs- en beveiligingsmaatregelen en mechanismen om de politiegegevens te beschermen en aan te tonen dat aan het bij of krachtens deze wet bepaalde is voldaan, met inachtneming van de rechten en gerechtvaardigde belangen van de betrokkenen en andere betrokken personen.
Artikel 6c
1. Indien de verwerkingsverantwoordelijke politiegegevens te zijnen behoeve laat verwerken door een verwerker maakt hij uitsluitend gebruik van een verwerker die afdoende garandeert dat de passende technische en organisatorische maatregelen en procedures zodanig worden geïmplementeerd dat bij de verwerking wordt voldaan aan het bij of krachtens deze wet bepaalde en de rechten van de betrokkene worden gewaarborgd.
Artikel 28
2. De betrokkene heeft het recht op diens schriftelijke verzoek van de verwerkingsverantwoordelijke zonder onnodige vertraging vernietiging van de hem betreffende politiegegevens te verkrijgen indien de gegevens in strijd met een wettelijk voorschrift worden verwerkt of om te voldoen aan een wettelijke verplichting. In plaats van vernietiging draagt de verwerkingsverantwoordelijke zorg voor afscherming als:
a. de juistheid van de gegevens door de betrokkene wordt betwist en de juistheid of onjuistheid niet kan worden geverifieerd, in welk geval de verwerkingsverantwoordelijke de betrokkene informeert voordat de afscherming wordt opgeheven, of
b. de gegevens moeten worden bewaard als bewijsmateriaal.
Artikel 31a
1. Onverminderd bestaande rechtsmiddelen heeft iedere betrokkene het recht een klacht in te dienen bij de Autoriteit persoonsgegevens indien de betrokkene van mening is dat de verwerking van hem betreffende persoonsgegevens niet in overeenstemming is met het bij of krachtens deze wet bepaalde.
5. De Autoriteit persoonsgegevens neemt binnen drie maanden een beslissing op een klacht als bedoeld in het eerste lid. Een beslissing op een klacht geldt als een besluit in de zin van de Algemene wet bestuursrecht.
Artikel 35
1. De Autoriteit persoonsgegevens, bedoeld in artikel 6, eerste lid, van de Uitvoeringswet Algemene verordening gegevensbescherming, ziet in het Europese deel van Nederland toe op de verwerking van politiegegevens overeenkomstig het bij en krachtens deze wet bepaalde.
Artikel 35b
1. De Autoriteit persoonsgegevens heeft tot taak:
a. het toezien op de verwerking van persoonsgegevens overeenkomstig het bij of krachtens deze wet bepaalde en het handhaven daarvan;
f. het behandelen van klachten van betrokkenen, of van organen, organisaties of verenigingen die de betrokkene vertegenwoordigen, het onderzoeken van de inhoud van de klacht en de klager binnen een redelijke termijn in kennis stellen van de voortgang en het resultaat van het onderzoek, met name indien verder onderzoek of coördinatie met een andere toezichthoudende autoriteit nodig is;
g. het naar aanleiding van een klacht, bedoeld in artikel 31a, eerste lid, controleren van de rechtmatigheid van de verwerking en de betrokkene binnen een redelijke termijn informeren over het resultaat van de controle of van de redenen waarom de controle niet is verricht.
Artikel 35c
1. De Autoriteit persoonsgegevens is bevoegd:
a. de verwerkingsverantwoordelijke of de verwerker te waarschuwen dat met de voorgenomen verwerkingen waarschijnlijk een inbreuk wordt gemaakt op het bij of krachtens deze wet bepaalde;
b. een last onder bestuursdwang op te leggen ter handhaving van het bij of krachtens deze wet bepaalde;
c. een bestuurlijke boete op te leggen indien de verwerkingsverantwoordelijke handelt in strijd met hetgeen is bepaald bij of krachtens:
– de artikelen 4a, 4b, 4c, 6c, 31d, 32, 33a, 33b en 36 van ten hoogste het bedrag van de geldboete van de vijfde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht;
– de artikelen 5, 7a, 24a, 24b, 25 en 28 van ten hoogste het bedrag van de geldboete van de zesde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht.
Wet justitiële en strafvorderlijke gegevens
Artikel 1
In deze wet en de daarop rustende bepalingen wordt verstaan onder:
a. justitiële gegevens: bij algemene maatregel van bestuur te omschrijven persoonsgegevens of gegevens over een rechtspersoon inzake de toepassing van het strafrecht of de strafvordering, die in een gegevensbestand zijn of worden verwerkt;
b. strafvorderlijke gegevens: persoonsgegevens of gegevens over een rechtspersoon die zijn verkregen in het kader van een strafvorderlijk onderzoek en die het openbaar ministerie in een strafdossier of langs geautomatiseerde weg in een gegevensbestand verwerkt;
e. gerechtelijke strafgegevens: persoonsgegevens of gegevens over een rechtspersoon die zijn verkregen in het kader van het behandelen en beslissen van zaken waarop het Nederlandse strafrecht van toepassing is en die in een gegevensbestand zijn of worden verwerkt;
i. persoonsgegeven: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon;
j. betrokkene: degene op wie een justitieel, strafvorderlijk, gerechtelijk strafgegeven of een tenuitvoerleggingsgegeven betrekking heeft, of van wie persoonsgegevens in een persoonsdossier zijn verwerkt;
k. verwerkingsverantwoordelijke: dit is voor:
2°. strafvorderlijke gegevens: het College van procureurs-generaal;
4°. gerechtelijke strafgegevens: de gerechten, bedoeld in artikel 2 van de Wet op de rechterlijke organisatie;
m. verwerking: elke bewerking of elk geheel van bewerkingen met betrekking tot justitiële of strafvorderlijke gegevens, gerechtelijke strafgegevens, tenuitvoerleggingsgegevens of rapporten, of afschriften daarvan, die zijn of worden opgenomen in een persoonsdossier, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, samenbrengen, met elkaar in verband brengen, afschermen, of vernietigen van deze gegevens, rapporten of afschriften daarvan.
Artikel 3
1. Onze Minister treft de nodige maatregelen opdat de justitiële gegevens, gelet op de doeleinden waarvoor zij worden verwerkt, juist en nauwkeurig zijn. Hij zorgt voor het onverwijld vernietigen of rectificeren van justitiële gegevens als blijkt dat deze, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn.
2. Justitiële gegevens worden slechts verwerkt voor zover dit noodzakelijk is voor de bij of krachtens deze wet geformuleerde doeleinden.
3. Justitiële gegevens worden slechts verwerkt voor zover dit behoorlijk en rechtmatig is, de gegevens rechtmatig zijn verkregen en de gegevens, gelet op de doeleinden waarvoor zij worden verwerkt, toereikend, ter zake dienend en niet bovenmatig zijn.
Artikel 7
1. De verwerkingsverantwoordelijke en de verwerker treffen passende technische en organisatorische maatregelen om:
a. te waarborgen en te kunnen aantonen dat de verwerking van justitiële gegevens wordt verricht in overeenstemming met hetgeen bij of krachtens deze wet is bepaald;
b. het gegevensbeschermingsbeleid en de gegevensbeschermingsbeginselen op een doeltreffende manier uit te voeren respectievelijk toe te passen;
c. bij de bepaling van de verwerkingsmiddelen en de verwerking zelf de nodige waarborgen in de verwerking in te bouwen ter naleving van hetgeen bij of krachtens deze wet is bepaald en ter bescherming van de rechten van de betrokkenen.
Artikel 7b
1. Wanneer een soort verwerking, in het bijzonder een verwerking waarbij nieuwe technologieën worden gebruikt, gelet op de aard, de omvang, de context of doelen ervan, waarschijnlijk een hoog risico voor de rechten en vrijheden van personen oplevert, voert de verwerkingsverantwoordelijke voorafgaand aan de verwerking een beoordeling uit van het effect van de voorgenomen verwerkingsactiviteiten op de bescherming van persoonsgegevens.
2. De beoordeling bevat ten minste:
a. een algemene beschrijving van de beoogde verwerkingen;
b. een beoordeling van de risico’s voor de rechten en vrijheden van betrokkenen;
c. de beoogde maatregelen ter beperking van de risico’s;
d. de voorzorgs- en beveiligingsmaatregelen en mechanismen om de justitiële gegevens te beschermen en aan te tonen dat aan het bij of krachtens deze wet bepaalde is voldaan, met inachtneming van de rechten en gerechtvaardigde belangen van de betrokkenen en andere betrokken personen.
Artikel 7d
1. Indien Onze Minister justitiële gegevens te zijnen behoeve laat verwerken door een verwerker maakt hij uitsluitend gebruik van een verwerker die afdoende garandeert dat de passende technische en organisatorische maatregelen en procedures zodanig worden geïmplementeerd dat bij de verwerking wordt voldaan aan het bij of krachtens deze wet bepaalde en de rechten van de betrokkene worden gewaarborgd.
Artikel 26a
1. Onverminderd bestaande rechtsmiddelen heeft iedere betrokkene het recht een klacht in te dienen bij de Autoriteit persoonsgegevens, indien de betrokkene van mening is dat de verwerking van hem betreffende justitiële gegevens niet in overeenstemming is met het bij of krachtens deze wet bepaalde.
5. De Autoriteit persoonsgegevens neemt binnen drie maanden een beslissing op een klacht als bedoeld in het eerste lid. Een beslissing op een klacht geldt als een besluit in de zin van de Algemene wet bestuursrecht.
Artikel 27
1. De Autoriteit persoonsgegevens, bedoeld in artikel 6, eerste lid, van de Uitvoeringswet Algemene verordening gegevensbescherming, ziet in het Europese deel van Nederland toe op de verwerking van justitiële gegevens overeenkomstig het bij en krachtens deze wet bepaalde.
Artikel 39a
1. Het College van procureurs-generaal is verwerkingsverantwoordelijke voor het verwerken van strafvorderlijke gegevens.
Artikel 39b
1. Het College van procureurs-generaal verwerkt slechts strafvorderlijke gegevens, indien dit noodzakelijk is voor een goede vervulling van de taak van het openbaar ministerie of het nakomen van een andere wettelijke verplichting.
Artikel 39c
1. De artikelen 3, 7, 7a, 7b, 7d tot en met 7f, zijn van overeenkomstige toepassing, met dien verstande dat daar waar in deze artikelen wordt gesproken over ‘Onze Minister’ het ‘College van procureurs-generaal’ wordt gelezen.
2. Strafvorderlijke gegevens worden slechts verwerkt, voor zover dit behoorlijk en rechtmatig is en de gegevens, gelet op de doeleinden waarvoor zij worden verwerkt, toereikend, ter zake dienend en niet bovenmatig zijn.
Artikel 39m
2. De betrokkene heeft het recht op diens schriftelijke verzoek van de verwerkingsverantwoordelijke zonder onnodige vertraging vernietiging van de hem betreffende strafvorderlijke gegevens te verkrijgen, indien de gegevens in strijd met een wettelijk voorschrift worden verwerkt of een wettelijk voorschrift tot vernietiging verplicht.
3. In plaats van vernietiging draagt de verwerkingsverantwoordelijke zorg voor afscherming van strafvorderlijke gegevens, indien:
a. de juistheid van de strafvorderlijke gegevens door de betrokkene wordt betwist en de juistheid of onjuistheid niet kan worden geverifieerd, in welk geval de verwerkingsverantwoordelijke de betrokkene informeert voordat de beperking van de verwerking wordt opgeheven, of
b. de persoonsgegevens moeten worden bewaard als bewijsmateriaal.
Artikel 39r
1. De artikelen 26a tot en met 26h en 27, eerste en tweede lid, zijn van overeenkomstige toepassing op strafvorderlijke gegevens.
2. De artikelen 35a, 35b en 35d, van de Wet politiegegevens zijn van overeenkomstige toepassing op strafvorderlijke gegevens.
3. De Autoriteit persoonsgegevens is bevoegd:
a. de verwerkingsverantwoordelijke of de verwerker te waarschuwen dat met de voorgenomen verwerkingen waarschijnlijk een inbreuk wordt gemaakt op het bij of krachtens deze wet bepaalde;
b. een last onder bestuursdwang op te leggen ter handhaving van het bij of krachtens deze wet bepaalde;
c. een bestuurlijke boete op te leggen indien de verwerkingsverantwoordelijke handelt in strijd met hetgeen is bepaald bij of krachtens:
– de artikelen 39c, eerste lid, voor wat betreft de overeenkomstige toepassing van de artikelen 7, 7a, 7b en 7d in dat lid, en 39r, eerste lid, voor wat betreft de overeenkomstige toepassing van de artikelen 26c, 26f, 26g en 26h, in dat lid van ten hoogste het bedrag van de geldboete van de vijfde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht;
– de artikelen 39c, eerste lid, voor wat betreft de overeenkomstige toepassing van artikel 7e in dat lid, 39ha, eerste en tweede lid, 39i, 39m en 39o, van ten hoogste het bedrag van de geldboete van de zesde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht.
Artikel 51h
7. In afwijking van het eerste lid, is de Autoriteit persoonsgegevens niet belast met het toezicht op de verwerking van gerechtelijke strafgegevens door de gerechten, bedoeld in artikel 2 van de Wet op de rechterlijke organisatie, in het kader van de uitoefening van hun rechterlijke taken.
Beleidsregels prioritering klachtenonderzoek Autoriteit Persoonsgegevens
Artikel 2
1. De AP onderzoekt de inhoud van een klacht in de mate waarin dat gepast is.
2. De AP beoordeelt eerst op basis van de inhoud van de klacht of het gaat om een verwerking van persoonsgegevens die de klager betreft en of er al dan niet sprake is van een overtreding van de AVG.
3. Indien uit de eerste beoordeling volgt dat mogelijk sprake is van een overtreding, maar deze nog niet kan worden vastgesteld, maakt de AP een afweging of er aanleiding is voor een nader onderzoek. Daarbij hanteert de AP de volgende, niet cumulatieve, factoren:
a. a) De mate waarin de betrokkene wordt geraakt door de vermeende overtreding;
b) De bredere maatschappelijke betekenis van een eventueel optreden van de AP, mede bezien vanuit de aandachtspunten die de AP op periodieke basis bekend maakt;
c) De mate waarin de AP in staat is doeltreffend en doelmatig op te treden.