Uitspraak
RECHTBANK LIMBURG
Zittingsplaats Roermond
Bestuursrecht
zaaknummer: ROE 23/2050
uitspraak van de enkelvoudige kamer van 14 januari 2026
in de zaak tussen
[eiser] , uit [woonplaats] , eiser
(gemachtigde: mr. H.H. de Vries),
en
de Autoriteit Persoonsgegevens, de AP
(gemachtigden: mr. J.M.A. Koster en mr. E. Nijhof).
Als derde-partijen nemen aan de zaak deel:
het college van burgemeester en wethouders van de gemeente Weerten
de gemeente Weert
het college van burgemeester en wethouders van de gemeente Weerten
de gemeente Weert
(gemachtigde: mr. T.N. Sanders).
Samenvatting
1. De uitspraak gaat over een door de AP afgewezen klacht, waarin eiser ook heeft verzocht om corrigerende maatregelen te treffen tegen het college van burgemeester en wethouders van de gemeente Weert (de derde-partij 1, verder te noemen: het college). De klacht ging over het verwerken van persoonsgegevens in de digitale werkomgeving (met name e-mails) van de gemeente Weert (de derde-partij 2) in de periode dat eiser burgemeester was van deze gemeente. Eiser is het daar niet mee eens. Volgens eiser heeft het college in strijd gehandeld met de Algemene Verordening Gegevensbescherming (AVG). Hij voert daartoe een aantal beroepsgronden aan. Aan de hand van deze beroepsgronden beoordeelt de rechtbank of deze afwijzing van de klacht met daarin het verzoek om corrigerende maatregelen te nemen, stand houdt of niet.
1.1.
De rechtbank komt in deze uitspraak tot het oordeel dat de AP zich op het standpunt heeft mogen stellen dat uit het globale bureauonderzoek (fase I) onvoldoende van de gestelde overtredingen van de AVG is gebleken en – in overeenstemming met het door haar gevoerde prioriteringsbeleid – van een nader onderzoek heeft mogen afzien. Eiser krijgt dus geen gelijk en het beroep is ongegrond. Hierna legt de rechtbank uit hoe zij tot dit oordeel komt en welke gevolgen dit oordeel heeft.
Procesverloop
2. Met het besluit van 5 juni 2023 (het bestreden besluit) heeft de AP een klacht van eiser (met tevens een handhavingsverzoek), over het verwerken van zijn persoonsgegevens door het college in strijd met de AVG, beoordeeld en besloten de klachten niet nader te onderzoeken.
2.1.
Eiser heeft bezwaar gemaakt tegen dit besluit en de AP verzocht in te stemmen met rechtstreeks beroep bij de bestuursrechter.
2.2.
De AP heeft ingestemd met het verzoek van eiser om rechtstreeks beroep en heeft het bezwaarschrift doorgezonden naar de rechtbank om het als beroep af te doen. De rechtbank stemt in met het rechtstreeks beroep en behandelt het bezwaarschrift als beroep.
2.3.
De AP heeft op het beroep gereageerd met een verweerschrift.
2.4.
De rechtbank heeft het beroep op 9 december 2025 op zitting behandeld. Hieraan hebben deelgenomen: eiser, de gemachtigde van eiser, de gemachtigden van de AP en de gemachtigde van de derde-partijen.
Wettelijk kader, voorgeschiedenis en totstandkoming van het bestreden besluit
3. In de bijlage bij deze uitspraak is de voor deze zaak belangrijke wet- en regelgeving opgenomen.
3.1.
Eiser is in 2011 benoemd tot burgmeester van de gemeente Weert. Vanaf 1 februari 2020 oefent eiser deze functie niet meer uit als gevolg van de navolgende gebeurtenissen.
3.2.
Op 11 januari 2020 is een krantenartikel in dagblad ‘De Limburger’ gepubliceerd, waarin werd gesteld dat eiser als burgemeester niet integer zou hebben gehandeld bij het verstrekken van subsidies. Naar aanleiding hiervan hebben op 14 januari 2020 de fractievoorzitters van de gemeenteraad van de gemeente Weert besloten een voorstel te doen aan de gemeenteraad voor een extern onderzoek. Eiser heeft in zijn handhavingsverzoek van 16 juli 2020 opgemerkt dat hij op 14 januari 2020 hiervan door de raadsgriffier op de hoogte is gesteld.
3.3.
Eiser heeft tussen 15 en 19 januari 2020 – zo is achteraf vastgesteld – zijn zakelijke mailbox leeg gemaakt. Eiser heeft vervolgens de verwijderde e-mails permanent verwijderd uit zijn e-mail prullenbak.
3.4.
Op 30 januari 2020 heeft het fractievoorzittersoverleg en de aanstellingscommissie de gemeenteraad van de gemeente Weert voorgesteld adviesbureau [naam adviesbureau] opdracht te gegeven een integriteitsonderzoek naar eiser te verrichten. Een dag eerder (op 29 januari 2020) heeft het college (in afwezigheid van eiser en dus zonder zijn medeweten) besloten om de inhoud van de mailbox en de agenda van het werkaccount van eiser in het programma Outlook in het kader van het integriteitsonderzoek veilig te stellen om daar later over te kunnen beschikken. De kopie van deze gegevens is opgeslagen op een externe harde schijf, die in een kluis werd bewaard. Op 5 februari 2020 is het voorstel over het instellen van een op eiser gericht integriteitsonderzoek door de gemeenteraad aangenomen. [naam adviesbureau] heeft op 3 juni 2020 het integriteitsonderzoek naar eiser afgerond en gepubliceerd. Verder is gebleken dat [naam adviesbureau] de opgeslagen gegevens van eisers mailbox en agenda van het werkaccount (uiteindelijk) niet heeft gebruikt in zijn onderzoek.
3.5.
In de tussentijd heeft een journalist van dagblad ‘De Limburger’ op 18 februari 2020 een eerste verzoek op grond van de Wet openbaarheid van bestuur (Wob) gedaan met betrekking tot het integriteitsonderzoek naar eiser. Het college heeft in dat kader eiser verzocht de documenten, die vallen onder dit Wob-verzoek, over te leggen. Eiser heeft daarop te kennen gegeven dat hij niet over dergelijke documenten beschikt. Het college heeft vervolgens op 20 april 2020 in het kader van het Wob-verzoek de mailbox en de agenda van eiser in het programma Outlook opnieuw gekopieerd.
3.6.
Met de brief van 24 april 2020 is eiser op de hoogte gesteld van het feit dat op 29 januari 2020 én 20 april 2020 informatie op zijn werkmail en werktelefoon zijn veiliggesteld. Verder is in deze brief vermeld dat deze informatie wordt geacht bij het college te berusten en betrekking heeft op het Wob-verzoek, zodat de informatie zal worden onderzocht in het kader van dit verzoek. Ook is eiser op de hoogte gebracht van het feit dat voorafgaand aan deze verwerking van zijn persoonsgegevens het college een risicoanalyse in verband met eisers privacy heeft uitgevoerd, een zogenaamde Data Protection Impact Assessment (DPIA).
3.7.
Op 7 juli 2020 is door dezelfde journalist van dagblad ‘De Limburger’ een tweede Wob-verzoek ingediend. Dit Wob-verzoek had betrekking op de mailbox van eiser in zijn hoedanigheid van burgemeester. Van dit Wob-verzoek is eiser op 21 juli 2021 in kennis gesteld. Ook heeft het college aan eiser meegedeeld dat in het kader van dit Wob-verzoek de in 2020 veiliggestelde gegevens van zijn werkmail en van zijn werktelefoon zullen worden geraadpleegd. Omwille van eisers privacy heeft het college ook een nieuwe DPIA uitgevoerd.
3.8.
Eiser heeft op 16 juli 2020 (aangevuld bij brief van 30 juli 2021) een klacht ingediend tegen het college bij de AP vanwege een overtreding van het college van de AVG door (kort gezegd):
1) onrechtmatig eisers persoonsgegevens, waaronder ook bijzondere en strafrechtelijke persoonsgegevens, die voorkomen in zijn werkaccount, te verwerken zonder hiervoor een wettelijke grondslag te hebben;
2) eiser niet tijdig te informeren over voornoemde verwerkingen, en
3) voorafgaand aan voornoemde verwerking niet (tijdig) een DPIA uit te voeren.
3.9.
Met het bestreden besluit heeft de AP de klacht beoordeeld en besloten de klacht niet nader te onderzoeken. De AP is tot de conclusie gekomen dat op basis van de beschikbare informatie niet kan worden vastgesteld dat het college de AVG overtreedt of heeft overtreden; nader onderzoek is daarom volgens de AP nodig om dit met zekerheid vast te stellen. De AP heeft aan de hand van haar ‘Beleidsregels prioritering klachtenonderzoek AP’ (de beleidsregels) getoetst of de klacht van eiser in aanmerking komt voor nader onderzoek, maar zij heeft besloten dit niet te doen. De AP concludeert dat in onvoldoende mate is voldaan aan de in de beleidsregels opgenomen prioriteringscriteria. Daarnaast is er volgens de AP geen sprake van bijzondere omstandigheden die aan de toepassing van de prioriteringscriteria in de weg staan. De AP is van mening dat zij de inhoud van de klacht heeft onderzocht in de mate waarin dat gepast is, zoals bedoeld in artikel 57, eerste lid, onder f, van de AVG.
3.10.
De AP heeft op 6 juli 2023 naar aanleiding van de klacht van eiser het college wel een brief gestuurd, waarin zij wordt gewezen op de wetgeving rondom het verwerken van persoonsgegevens.
3.11.
Eiser is het niet eens met het bestreden besluit en heeft hiertegen rechtstreeks beroep ingesteld. De AP heeft volgens eiser op grond van de voorhanden zijnde informatie kunnen vaststellen dat (door beslag te laten leggen op zijn werkomgeving/e-mails) sprake is van een overtreding van de AVG en ook op basis van de prioriteringscriteria in de beleidsregels kunnen concluderen dat het evident is dat de klacht zich leent voor nader onderzoek.
Beoordeling door de rechtbank
4. Op grond van de AVG [1] heeft een betrokkene het recht een klacht in te dienen bij de AP, indien hij van mening is dat verwerking van zijn persoonsgegevens inbreuk maakt op deze verordening. Op grond van artikel 57, eerste lid, aanhef en onder f, van de AVG wordt een klacht onderzocht in de mate waarin dat gepast is. De AP heeft daarbij een zekere beoordelingsruimte.
4.1.
De AP heeft in het bestreden besluit aangegeven, en nader toegelicht in haar verweerschrift, dat zij jaarlijks tienduizenden klachten ontvangt en maar beschikt over een beperkte capaciteit. Hierdoor kan de AP niet alle klachten, of niet alle onderdelen daarvan, uitgebreid onderzoeken en is zij genoodzaakt keuzes te maken. Daarom bepaalt de AP aan de hand van de beleidsregels, zoals deze golden ten tijde van het bestreden besluit [2] , welke klachten wel en niet nader worden onderzocht. In de beleidsregels is bepaald dat onderzoek naar aanleiding van een klacht in fases wordt uitgevoerd en tussendoor wordt bepaald of het de volgende fase ingaat. In fase I wordt getoetst aan de formele eisen uit de Algemene wet bestuursrecht en AVG. Als aan die formele eisen is voldaan, vindt aansluitend een globaal bureauonderzoek plaats. Op grond van dat bureauonderzoek wordt beoordeeld of aannemelijk is dat zich een overtreding van de AVG heeft voorgedaan of voordoet. Volgt uit het onderzoek dat zich mogelijk een overtreding heeft voorgedaan, maar deze nog niet kan worden vastgesteld, dan wordt de klacht in fase II getoetst aan prioriteringscriteria om te beoordelen of een nader onderzoek moet worden gedaan. Daarbij hanteert de AP de volgende (niet cumulatieve) factoren om te bepalen of een klacht prioriteit heeft:
a. a) De mate waarin de betrokkene wordt geraakt door de vermeende overtreding;
b) De bredere maatschappelijke betekenis van een eventueel optreden van de AP, mede bezien vanuit de aandachtspunten die de AP op periodieke basis bekend maakt;
c) De mate waarin de AP in staat is doeltreffend en doelmatig op te treden. [3]
Wanneer blijkt dat de klacht of het verzoek om handhaving onvoldoende aan de prioriteringscriteria voldoet, volgt geen verdere behandeling.
4.2.
De hiervoor vermelde werkwijze van de AP is volgens vaste rechtspraak van de Afdeling bestuursrechtspraak van de Raad van State (de Afdeling) niet onredelijk en is onlangs nog eens door de Afdeling geaccordeerd. [4]
4.3.
In deze zaak heeft de AP geconcludeerd dat zij na een eerste inhoudelijke beoordeling (fase I) op basis van de beschikbare dossierinformatie niet heeft kunnen bepalen of er sprake is van een overtreding van de AVG. De rechtbank zal hierna aan de hand van de klachtgronden van eiser beoordelen of de AP op basis van het globaal bureauonderzoek heeft kunnen vaststellen dat het college niet in strijd heeft gehandeld met de AVG en nader onderzoek achterwege heeft kunnen laten.
Vaststelling van een overtreding van de AVG
Klachtgrond 1: de onrechtmatige verwerking van persoonsgegevens
5. Eiser heeft aangevoerd dat het college in strijd met de AVG zijn persoonsgegevens heeft verwerkt. De persoonsgegevens in zijn werkomgeving zijn uiterst gevoelig en alleen hijzelf mag in beginsel over deze gegevens beschikken, aldus eiser. Verder meent eiser dat uit de onderzoeksvragen die de AP heeft gesteld al blijkt dat de AP inziet dat het college niet correct heeft gehandeld. Eiser verwijst vervolgens naar een brief van de Minister van Binnenlandse Zaken en Koninkrijksrelaties (BZK) aan het Nederlands genootschap van burgemeesters van 18 juli 2022, waaruit volgens eiser blijkt dat het college elke grondslag ontbeert om zelfstandig onderzoek te (laten) doen naar de inhoud van het e-mailaccount en de werktelefoon van de burgemeester. Met voornoemde brief en de voorhanden zijnde informatie had de AP volgens eiser kunnen vaststellen dat het college door zijn werkomgeving in beslag te nemen, onrechtmatig heeft gehandeld.
5.1.
Anders dan eiser is de rechtbank van oordeel dat de AP niet impliciet in het bestreden besluit heeft gesteld dat het college met betrekking tot het verwerken van persoonsgegevens de AVG heeft overtreden. Dit blijkt niet uit de onderzoeksvragen in het bestreden besluit. De rechtbank is het verder met de AP eens dat op grond van de beschikbare gegevens (onder meer de door eiser verstrekte informatie en de reactie van het college) op voorhand nog niet aannemelijk is geworden dat sprake is geweest van onrechtmatige verwerking van eisers persoonsgegevens door de het college. De AP heeft in het bestreden besluit (pagina 10) goed uitgelegd wat nog onderzocht moet worden om te kunnen vaststellen of er al dan niet sprake is van een onrechtmatige verwerking van persoonsgegevens van eiser door het college. Zo is niet duidelijk wat er precies gekopieerd is in het kader van de beslaglegging op eisers werkomgeving (welke onderdelen van deze omgeving en welke categorieën van persoonsgegevens). Verder kan het tijdsverloop van de gebeurtenissen (het feitenrelaas) niet met zekerheid worden vastgesteld zonder nader onderzoek te doen, omdat de standpunten van eiser en het college niet met elkaar overeenkomen op bepaalde punten. Ook volgt de rechtbank het standpunt van de AP dat op grond van de voorhanden zijnde informatie zij niet kan vaststellen of aan het vereiste van noodzakelijkheid is voldaan, zoals bedoeld in artikel 6, eerste lid, aanhef en onder b tot en met f van de AVG. Partijen verschillen onderling van mening over de noodzakelijkheid van de verwerking en de verwerkingsdoeleinden. De AP kan niet vaststellen welke partij gelijk heeft; dit vergt nader onderzoek. De AP kan ook niet bepalen, zonder een vervolgonderzoek uit te voeren, of de waarborgen van gegevensverwerking van de gewone (artikel 6 van Pro de AVG) en eventuele bijzondere- en strafrechtelijke persoonsgegevens (artikel 9 respectievelijk Pro 10 van de AVG) voldoende in acht zijn genomen. Voor wat betreft de brief van de minister van BZK volgt de rechtbank het standpunt van de AP dat deze brief over de positie van de burgemeester met een staatsrechtelijke blik is geschreven en allerlei vragen oproept, zodat ook dit nader moet worden onderzocht. Anders dan eiser kan niet op voorhand worden gesteld dat het veiligstellen van eisers werkomgeving evident onrechtmatig is geweest.
Klacht 2: het niet tijdig informeren over de verwerking van persoonsgegevens
6. Eiser heeft aangevoerd dat beslag is gelegd op zijn werkomgeving, terwijl hij nog burgemeester was van de gemeente Weert en op dat moment geen integriteitsonderzoek tegen hem liep. Eiser geeft aan dat hij pas drie maanden na die inbeslagname daarover werd geïnformeerd. Volgens eiser had de conclusie van de AP dan ook moeten zijn dat het college de informatieplicht heeft geschonden. Eiser stelt dat het college niet in aanmerking komt voor een uitzonderingsgrond, zoals genoemd in artikel 41 van Pro de UAVG. De AP had deze conclusie volgens eiser ook kunnen trekken. Eiser meent dat de AP met impliciete bewoordingen in het bestreden besluit ook te kennen heeft gegeven dat het college de AVG heeft overtreden.
6.1.
In de artikelen 13 en 14 van de AVG is (kort gezegd) bepaald dat de verwerkingsverantwoordelijke de betrokkene op een begrijpelijke en transparante wijze moet informeren over de verwerking van zijn persoonsgegevens. In artikel 23 van Pro de AVG zijn de beperkingen opgenomen op voornoemde artikelen en dat is nader uitgewerkt in artikel 41 van Pro de UAVG.
6.2.
Vast staat dat eiser eerst met de brief van het college van 24 april 2020 (en dus drie maanden later) op de hoogte is gesteld van het feit dat op 29 januari 2020 in het kader van een (mogelijk) integriteitsonderzoek informatie op zijn werkmail en werktelefoon is veiliggesteld. De AP heeft ook hier in het bestreden besluit (op pagina 15) uitgelegd op welke punten nog onderzoek moet plaatsvinden naar aanleiding van deze klacht. De rechtbank volgt het standpunt van de AP dat op basis wat is aangevoerd door partijen niet kan worden vastgesteld of het college zich op een uitzonderingsgrond [5] kon beroepen en of het college daadwerkelijk eiser onverwijld heeft geïnformeerd over de verwerking van zijn persoonsgegevens, zoals het college stelt. Daarvoor is nader onderzoek door de AP voor nodig. Verder kan niet worden gezegd dat de AP zich in het bestreden besluit partijdig heeft opgesteld.
Klacht 3: het niet uitvoeren van een DPIA door de derde-partij 1
7. Vast staat volgens eiser dat door het college geen DPIA is uitgevoerd voorafgaand aan de vastlegging van zijn werkomgeving. Ook staat naar de mening van eiser vast dat het college de vastlegging verrichtte in het kader van een heimelijk integriteitsonderzoek, in ieder geval niet bereid was eiser te informeren over de vastlegging. Eiser meent verder dat het college de vastgelegde werkomgeving heeft doorzocht, waardoor sprake is van een overtreding van de AVG. De AP heeft volgens eiser onvoldoende gemotiveerd waarom dit niet het geval is en (artikel 35 van Pro) de AVG niet is overtreden.
7.1.
In artikel 35 van Pro de AVG staat vermeld wanneer in ieder geval een DPIA moet worden uitgevoerd. Ook is er een lijst waar verwerkingen van persoonsgegevens zijn genoemd, waarvoor een DPIA verplicht is gesteld.
7.2.
Vast staat dat het college geen DPIA heeft uitgevoerd voorafgaand aan het veiligstellen van eisers werkomgeving (e-mails). De AP heeft naar het oordeel van de rechtbank mogen concluderen dat zij niet heeft kunnen vaststellen of in het geval van eiser het verwerken van persoonsgegevens in het kader van een het uitvoeren van een integriteitsonderzoek (te weten: het veiligstellen van eisers werkomgeving zonder doorzoeking) moet worden beschouwd als een verwerking, die een hoog risico oplevert voor de rechten en vrijheden van eiser (als bedoeld in artikel 35, eerste lid, van de AVG) op basis waarvan een DPIA vereist is. De AP kan dan ook niet zonder nader onderzoek uitsluiten dat een DPIA noodzakelijk zou zijn geweest.
Conclusie
8. Uit het globale bureauonderzoek kan de AP niet bepalen of het college de AVG heeft overtreden. Om dit vast te stellen is nader onderzoek noodzakelijk.
Toepassing van de prioriteringscriteria
9. De rechtbank beoordeelt vervolgens of de AP heeft mogen afzien van nader onderzoek aan de hand van de prioriteringscriteria. Wanneer een klacht onvoldoende aan de prioriteringscriteria voldoet, wordt het volgens de beleidsregels niet verder behandeld of afgewezen.
9.1.
Eiser heeft betoogd dat de AP niet heeft kunnen afzien van het uitvoeren van een nader onderzoek. Door de gestelde overtredingen van de AVG heeft eiser schade geleden vanwege het moeten voeren van juridische procedures. Ook heeft dit geleid tot schadelijke publiciteit en negatieve gevolgen voor zijn loopbaan. Daarnaast heeft het aan de kaak stellen van deze schendingen van de AVG volgens eiser een grote maatschappelijke betekenis. Zo’n optreden van de AP zou staan voor transparantie en verantwoording van het openbaar bestuur. De AP is volgens eiser de enige instantie die gerechtigheid voor hem zou kunnen realiseren. Tenslotte heeft eiser aangevoerd dat een nader onderzoek eenvoudig is. Er kan volgens eiser worden volstaan met een tweede verzoek om informatie aan het college en is een diepgravend uitgebreid en specialistisch onderzoek niet nodig.
9.2.
De rechtbank is van oordeel dat de AP voldoende heeft gemotiveerd dat de klachten in onvoldoende mate voldoen aan de prioriteringscriteria. De AP heeft in het bestreden besluit vermeld dat zij begrip heeft voor het feit dat deze kwestie grote impact heeft op eiser als persoon en op zijn loopbaan in het openbaar bestuur. Naar het oordeel van de rechtbank hoefde de AP hier echter geen beslissend gewicht aan toe te kennen. De AP heeft daarbij in aanmerking mogen nemen dat de klachten niet zien op de focusgebieden, die zij voor de periode 2020-2023 heeft vastgesteld, te weten: datahandel, digitale overheid en artificiële intelligentie en algoritmes. De AP geeft dus voorrang aan andere onderzoeken. Ook heeft de AP mogen concluderen dat van een bredere maatschappelijke betekenis (impact voor de maatschappij) in dit geval geen sprake is, mede in het licht van de hiervoor genoemde focusgebieden. De klachten hebben bovendien geen grensoverschrijdend karakter en raken geen grote groep mensen, maar alleen eiser in persoon en in zijn hoedanigheid als burgemeester. De rechtbank kan de AP in haar standpunt volgen dat bij het nader onderzoek niet volstaan kan worden met alleen een schriftelijk verzoek om informatie aan het college, zoals eiser stelt. Om een overtreding van de AVG vast te stellen, zal de AP verstrekkendere onderzoeksbevoegdheden moeten inzetten, zoals bijvoorbeeld een (technisch) onderzoek in de ICT-systemen van de gemeente Weert, inzage vorderen van documenten en het interviewen van medewerkers. Hiermee zou de AP een onevenredig beroep moeten doen op haar beperkte capaciteit en middelen. Deze inzet van haar beperkte capaciteit weegt volgens de AP niet op tegen de ernst en de omvang van de eventuele overtreding die uit nader onderzoek zou kunnen blijken, waardoor de inzet niet als doeltreffend en doelmatig wordt aangemerkt. De rechtbank kan de AP hierin volgen. Van een onjuiste toepassing van het prioriteringsbeleid is de rechtbank niet gebleken.
Conclusie
10. Naar het oordeel van de rechtbank heeft de AP de prioriteringscriteria op een juiste wijze toegepast en mocht zij op basis daarvan kiezen om het nader onderzoek naar de klachten van eiser stop te zetten.
Conclusie en gevolgen
11. Het beroep is ongegrond. Dat betekent dat eiser geen gelijk krijgt en de AP mocht afzien van het uitvoeren van een nader onderzoek. Eiser krijgt daarom het griffierecht niet terug. Hij krijgt ook geen vergoeding van zijn proceskosten.
Beslissing
De rechtbank verklaart het beroep ongegrond.
Deze uitspraak is gedaan door mr. E.P.J. Rutten, rechter, in aanwezigheid van mr. D.H.J. Laeven, griffier.
Uitgesproken in het openbaar op 14 januari 2026
griffier
rechter
Een afschrift van deze uitspraak is verzonden aan partijen op: 14 januari 2026
Informatie over hoger beroep
Een partij die het niet eens is met deze uitspraak, kan een hogerberoepschrift sturen naar de Afdeling bestuursrechtspraak van de Raad van State waarin wordt uitgelegd waarom deze partij het niet eens is met deze uitspraak. Het hogerberoepschrift moet worden ingediend binnen zes weken na de dag waarop deze uitspraak is verzonden. Kan de indiener de behandeling van het hoger beroep niet afwachten, omdat de zaak spoed heeft, dan kan de indiener de voorzieningenrechter van de Afdeling bestuursrechtspraak van de Raad van State vragen om een voorlopige voorziening (een tijdelijke maatregel) te treffen.
Bijlage: juridisch kader
Artikel 4 van Pro de AVG luidt:
Voor de toepassing van deze verordening wordt verstaan onder:
1) „persoonsgegevens”: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;
2) „verwerking”: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;
(…)
7) „verwerkingsverantwoordelijke”: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen voor deze verwerking in het Unierecht of het lidstatelijke recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen;
(…)
Artikel 5 van Pro de AVG luidt:
1. Persoonsgegevens moeten:
a. a) worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is („rechtmatigheid, behoorlijkheid en transparantie”);
b) voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt; de verdere verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden wordt overeenkomstig artikel 89, lid 1, niet als onverenigbaar met de oorspronkelijke doeleinden beschouwd („doelbinding”);
c) toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt („minimale gegevensverwerking”);
d) juist zijn en zo nodig worden geactualiseerd; alle redelijke maatregelen moeten worden genomen om de persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of te rectificeren („juistheid”);
e) worden bewaard in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren dan voor de doeleinden waarvoor de persoonsgegevens worden verwerkt noodzakelijk is; persoonsgegevens mogen voor langere perioden worden opgeslagen voor zover de persoonsgegevens louter met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden worden verwerkt overeenkomstig artikel 89, lid 1, mits de bij deze verordening vereiste passende technische en organisatorische maatregelen worden getroffen om de rechten en vrijheden van de betrokkene te beschermen („opslagbeperking”);
f) door het nemen van passende technische of organisatorische maatregelen op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging („integriteit en vertrouwelijkheid”).
2. De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van lid 1 en kan deze aantonen („verantwoordingsplicht”).
Artikel 6 van Pro de AVG luidt:
1. De verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaan:
a. a) de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden;
b) de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen;
c) de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;
d) de verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen;
e) de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen;
f) de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.
Artikel 9 van Pro de AVG luidt:
1. Verwerking van persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid zijn verboden.
2. Lid 1 is niet van toepassing wanneer aan een van de onderstaande voorwaarden is voldaan:
(…)
Artikel 10 van Pro de AVG luidt:
Persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen mogen op grond van artikel 6, lid 1, alleen worden verwerkt onder toezicht van de overheid of indien de verwerking is toegestaan bij Unierechtelijke of lidstaatrechtelijke bepalingen die passende waarborgen voor de rechten en vrijheden van de betrokkenen bieden. Omvattende registers van strafrechtelijke veroordelingen mogen alleen worden bijgehouden onder toezicht van de overheid.
Artikel 13 van Pro de AVG luidt:
1. Wanneer persoonsgegevens betreffende een betrokkene bij die persoon worden verzameld, verstrekt de verwerkingsverantwoordelijke de betrokkene bij de verkrijging van de persoonsgegevens al de volgende informatie:
a. a) de identiteit en de contactgegevens van de verwerkingsverantwoordelijke en, in voorkomend geval, van de vertegenwoordiger van de verwerkingsverantwoordelijke;
b) in voorkomend geval, de contactgegevens van de functionaris voor gegevensbescherming;
c) de verwerkingsdoeleinden waarvoor de persoonsgegevens zijn bestemd, alsook de rechtsgrond voor de verwerking;
d) de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, indien de verwerking op artikel 6, lid 1, punt f), is gebaseerd;
d) in voorkomend geval, de ontvangers of categorieën van ontvangers van de persoonsgegevens;
e) in voorkomend geval, dat de verwerkingsverantwoordelijke het voornemen heeft de persoonsgegevens door te geven aan een derde land of een internationale organisatie; of er al dan niet een adequaatheidsbesluit van de Commissie bestaat; of, in het geval van in artikel 46, artikel 47 of Pro artikel 49, lid 1, tweede alinea, bedoelde doorgiften, welke de passende of geschikte waarborgen zijn, hoe er een kopie van kan worden verkregen of waar ze kunnen worden geraadpleegd.
2. Naast de in lid 1 bedoelde informatie verstrekt de verwerkingsverantwoordelijke de betrokkene bij de verkrijging van de persoonsgegevens de volgende aanvullende informatie om een behoorlijke en transparante verwerking te waarborgen:
a. a) de periode gedurende welke de persoonsgegevens zullen worden opgeslagen, of indien dat niet mogelijk is, de criteria ter bepaling van die termijn;
b) dat de betrokkene het recht heeft de verwerkingsverantwoordelijke te verzoeken om inzage van en rectificatie of wissing van de persoonsgegevens of beperking van de hem betreffende verwerking, alsmede het recht tegen de verwerking bezwaar te maken en het recht op gegevensoverdraagbaarheid;
c) wanneer de verwerking op artikel 6, lid 1, punt a), of artikel 9, lid 2, punt a), is gebaseerd, dat de betrokkene het recht heeft de toestemming te allen tijde in te trekken, zonder dat dit afbreuk doet aan de rechtmatigheid van de verwerking op basis van de toestemming vóór de intrekking daarvan;
d) dat de betrokkene het recht heeft klacht in te dienen bij een toezichthoudende autoriteit; e) of de verstrekking van persoonsgegevens een wettelijke of contractuele verplichting is dan wel een noodzakelijke voorwaarde om een overeenkomst te sluiten, en of de betrokkene verplicht is de persoonsgegevens te verstrekken en wat de mogelijke gevolgen zijn wanneer deze gegevens niet worden verstrekt;
f) het bestaan van geautomatiseerde besluitvorming, met inbegrip van de in artikel 22, leden 1 en 4, bedoelde profilering, en, ten minste in die gevallen, nuttige informatie over de onderliggende logica, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene.
3. Wanneer de verwerkingsverantwoordelijke voornemens is de persoonsgegevens verder te verwerken voor een ander doel dan dat waarvoor de persoonsgegevens zijn verzameld, verstrekt de verwerkingsverantwoordelijke de betrokkene vóór die verdere verwerking informatie over dat andere doel en alle relevante verdere informatie als bedoeld in lid 2.
4. De leden 1, 2 en 3 zijn niet van toepassing wanneer en voor zover de betrokkene reeds over de informatie beschikt.
Artikel 14 van Pro de AVG luidt:
1. Wanneer persoonsgegevens niet van de betrokkene zijn verkregen, verstrekt de verwerkingsverantwoordelijke de betrokkene de volgende informatie:
(…)
3. De verwerkingsverantwoordelijke verstrekt de in de leden 1 en 2 bedoelde informatie:
a. a) binnen een redelijke termijn, maar uiterlijk binnen één maand na de verkrijging van de persoonsgegevens, afhankelijk van de concrete omstandigheden waarin de persoonsgegevens worden verwerkt;
b) indien de persoonsgegevens zullen worden gebruikt voor communicatie met de betrokkene, uiterlijk op het moment van het eerste contact met de betrokkene; of
c) indien verstrekking van de gegevens aan een andere ontvanger wordt overwogen, uiterlijk op het tijdstip waarop de persoonsgegevens voor het eerst worden verstrekt.
(…)
5. De leden 1 tot en met 4 zijn niet van toepassing wanneer en voor zover:
a. a) de betrokkene reeds over de informatie beschikt;
b) het verstrekken van die informatie onmogelijk blijkt of onevenredig veel inspanning zou vergen, in het bijzonder bij verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden, behoudens de in artikel 89, lid 1, bedoelde voorwaarden en waarborgen, of voor zover de in lid 1 van dit artikel bedoelde verplichting de verwezenlijking van de doeleinden van die verwerking onmogelijk dreigt te maken of ernstig in het gedrang dreigt te brengen. In dergelijke gevallen neemt de verwerkingsverantwoordelijke passende maatregelen om de rechten, de vrijheden en de gerechtvaardigde belangen van de betrokkene te beschermen, waaronder het openbaar maken van de informatie;
c) het verkrijgen of verstrekken van de gegevens uitdrukkelijk is voorgeschreven bij Unie- of lidstatelijk recht dat op de verwerkingsverantwoordelijke van toepassing is en dat recht voorziet in passende maatregelen om de gerecht vaardigde belangen van de betrokkene te beschermen; of
d) de persoonsgegevens vertrouwelijk moeten blijven uit hoofde van een beroepsgeheim in het kader van Unierecht of lidstatelijke recht, waaronder een statutaire geheimhoudingsplicht.
Artikel 23 van Pro de AVG luidt:
1. De reikwijdte van de verplichtingen en rechten als bedoeld in de artikelen 12 tot en met 22 en artikel 34, alsmede in artikel 5 kan Pro, voor zover de bepalingen overeenstemmen met de rechten en verplichtingen als bedoeld in de artikelen 12 tot en met 20, worden beperkt door middel van Unierechtelijke bepalingen die op de verwerkingsverantwoordelijke of de verwerker van toepassing zijn, op voorwaarde dat die beperking de wezenlijke inhoud van de grondrechten en fundamentele vrijheden onverlet laat en in een democratische samenleving een noodzakelijke en evenredige maatregel is ter waarborging van:
a. a) de nationale veiligheid;
b) landsverdediging;
c) de openbare veiligheid;
d) de voorkoming, het onderzoek de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid;
e) andere belangrijke doelstellingen van algemeen belang van de Unie of van een lidstaat, met name een belangrijk economisch of financieel belang van de Unie of een lidstaat, met inbegrip van monetaire, budgettaire en fiscale aangelegenheden, volksgezondheid en sociale zekerheid;
f) de bescherming van de onafhankelijkheid van de rechter en gerechtelijke procedures;
g) de voorkoming, het onderzoek, de opsporing en de vervolging van schendingen van de beroepscodes voor gereglementeerde beroepen;
h) een taak op het gebied van toezicht, inspectie of regelgeving die verband houdt, al is het incidenteel, met de uitoefening van het openbaar gezag in de in de punten a), tot en met e) en punt g) bedoelde gevallen;
i. i) de bescherming van betrokkene of van de rechten en vrijheden van anderen;
j) de inning van civielrechtelijke vorderingen.
(…)
Artikel 35 van Pro de AVG luidt:
1. Wanneer een soort verwerking, in het bijzonder een verwerking waarbij nieuwe technologieën worden gebruikt, gelet op de aard, de omvang, de context en de doeleinden daarvan waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen voert de verwerkingsverantwoordelijke vóór de verwerking een beoordeling uit van het effect van de beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens. Eén beoordeling kan een reeks vergelijkbare verwerkingen bestrijken die vergelijkbare hoge risico's inhouden.
(…)
3. Een gegevensbeschermingseffectbeoordeling als bedoeld in lid 1 is met name vereist in de volgende gevallen:
a. a) een systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen, die is gebaseerd op geautomatiseerde verwerking, waaronder profilering, en waarop besluiten worden gebaseerd waaraan voor de natuurlijke persoon rechtsgevolgen zijn verbonden of die de natuurlijke persoon op vergelijkbare wijze wezenlijk treffen;
b) grootschalige verwerking van bijzondere categorieën van persoonsgegevens als bedoeld in artikel 9, lid 1, of van gegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 10; of
c) stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten.
4. De toezichthoudende autoriteit stelt een lijst op van het soort verwerkingen waarvoor een gegevensbeschermingseffectbeoordeling overeenkomstig lid 1 verplicht is, en maakt deze openbaar. De toezichthoudende autoriteit deelt die lijsten mee aan het in artikel 68 bedoelde Pro Comité.
(…)
7. De beoordeling bevat ten minste:
a. a) een systematische beschrijving van de beoogde verwerkingen en de verwerkingsdoeleinden, waaronder, in voorkomend geval, de gerechtvaardigde belangen die door de verwerkingsverantwoordelijke worden behartigd;
b) een beoordeling van de noodzaak en de evenredigheid van de verwerkingen met betrekking tot de doeleinden;
c) een beoordeling van de in lid 1 bedoelde risico's voor de rechten en vrijheden van betrokkenen; en
d) de beoogde maatregelen om de risico's aan te pakken, waaronder waarborgen, veiligheidsmaatregelen en mechanismen om de bescherming van persoonsgegevens te garanderen en om aan te tonen dat aan deze verordening is voldaan, met inachtneming van de rechten en gerechtvaardigde belangen van de betrokkenen en andere personen in kwestie.
(…)
Artikel 57 van Pro de AVG luidt:
1. Onverminderd andere uit hoofde van deze verordening vastgestelde taken, verricht elke toezichthoudende autoriteit op haar grondgebied de volgende taken:
(…)
f) zij behandelt klachten van betrokkenen, of van organen, organisaties of verenigingen overeenkomstig artikel 80, onderzoekt de inhoud van de klacht in de mate waarin dat gepast is en stelt de klager binnen een redelijke termijn in kennis van de vooruitgang en het resultaat van het onderzoek, met name indien verder onderzoek of coördinatie met een andere toezichthoudende autoriteit noodzakelijk is;
(…).
Artikel 77 van Pro de AVG luidt:
1. Onverminderd andere mogelijkheden van administratief beroep of een voorziening in rechte, heeft iedere betrokkene het recht een klacht in te dienen bij een toezichthoudende autoriteit, met name in de lidstaat waar hij gewoonlijk verblijft, hij zijn werkplek heeft of waar de beweerde inbreuk is begaan, indien hij van mening is dat de verwerking van hem betreffende persoonsgegevensinbreuk maakt op deze verordening.
2. De toezichthoudende autoriteit waarbij de klacht is ingediend, stelt de klager in kennis van de voortgang en het resultaat van de klacht, alsmede van de mogelijke voorziening in rechte in overeenkomstig artikel 78.
Artikel 79 van Pro de AVG luidt:
1. Onverminderd andere mogelijkheden van administratief of buitengerechtelijk beroep, waaronder het recht uit hoofde van artikel 77 een Pro klacht in te dienen bij een toezichthoudende autoriteit, heeft elke betrokkene het recht een doeltreffende voorziening in rechte in te stellen indien hij van mening is dat zijn rechten uit hoofde van deze verordening geschonden zijn ten gevolge van een verwerking van zijn persoonsgegevens die niet aan deze verordening voldoet.
2. Een procedure tegen een verwerkingsverantwoordelijke of een verwerker wordt ingesteld bij de gerechten van de lidstaat waar de verwerkingsverantwoordelijke of de verwerker een vestiging heeft. Een dergelijke procedure kan ook worden ingesteld bij de gerechten van de lidstaat waar de betrokkene gewoonlijk verblijft, tenzij de verwerkingsverantwoordelijke of de verwerker een overheidsinstantie van een lidstaat is die optreedt in de uitoefening van het overheidsgezag.
Preambule van de AVG
Teneinde de naleving van deze verordening te verbeteren indien de verwerking waarschijnlijk gepaard gaat met hoge risico’s in verband met de rechten en vrijheden van natuurlijke personen, dient de verwerkingsverantwoordelijke of de verweerder verantwoordelijk te zijn voor het verrichten van een gegevensbeschermingseffectbeoordeling om met name de oorsprong, de aard, het specifieke karakter en de ernst van dat risico te evalueren. Met het resultaat van de beoordeling dient rekening te worden gehouden bij het bepalen van de passende maatregelen die moeten worden genomen om aan te tonen dat deze verordening bij de verwerking van persoonsgegevens wordt nageleefd. Wanneer een gegevensbeschermingseffectbeoordeling uitwijst dat verwerking gepaard gaat met een hoog risico dat de verwerkingsverantwoordelijke niet kan beperken door maatregelen die met het oog op de beschikbare technologie en de uitvoeringskosten redelijk zijn, dient vóór de verwerking een raadpleging van de toezichthoudende autoriteit plaats te vinden.
Iedere betrokkene dient het recht te hebben om een klacht in te dienen bij één enkele toezichthoudende autoriteit, met name in de lidstaat waar hij gewoonlijk verblijft, en een doeltreffende voorziening in rechte in te stellen overeenkomstig artikel 47 van Pro het Handvest indien hij meent dat inbreuk is gemaakt op zijn rechten uit hoofde van deze verordening of indien de toezichthoudende autoriteit niet optreedt naar aanleiding van een klacht, een klacht gedeeltelijk of geheel verwerpt of afwijst, of indien deze niet optreedt wanneer zulk optreden noodzakelijk is ter bescherming van de rechten van de betrokkene. Het onderzoek dat naar aanleiding van een klacht wordt uitgevoerd, gaat niet verder dan in het specifieke geval passend is en kan worden onderworpen aan rechterlijke toetsing. De toezichthoudende autoriteit dient de betrokkene binnen een redelijke termijn in kennis te stellen van de voortgang en het resultaat van de klacht. Indien de zaak verder onderzoek of coördinatie met een andere toezichthoudende autoriteit vereist, dient de betrokkene tussentijdse informatie te worden verstrekt. Elke toezichthoudende autoriteit dient maatregelen te treffen om het indienen van klachten te faciliteren, zoals het ter beschikking stellen van een klachtenformulier dat tevens elektronisch kan worden ingevuld, zonder dat andere communicatiemiddelen worden uitgesloten.
Uitvoeringswet Algemene verordening gegevensbescherming(UAVG)
g. de voorkoming, het onderzoek, de opsporing en de vervolging van schendingen van de beroepscodes voor gereglementeerde beroepen;
h. een taak op het gebied van toezicht, inspectie of regelgeving die verband houdt, al is het incidenteel, met de uitoefening van het openbaar gezag in de gevallen, bedoeld in de onderdelen a, b, c, d, e en g;
i. de bescherming van de betrokkene of van de rechten en vrijheden van anderen; of
(…)
Artikel 2 van Pro de beleidsregels luidt:
1. De AP onderzoekt de inhoud van de klacht in de mate waarin dat gepast is.
2. De AP beoordeelt eerst op basis van de inhoud van de klacht of het gaat om een verwerking van persoonsgegevens die de klager betreft en of er al dan niet sprake is van een overtreding van de AVG.
3. Indien uit de eerste beoordeling volgt dat mogelijk sprake is van een overtreding, maar deze nog niet kan worden vastgesteld, maakt de AP een afweging of er aanleiding is voor een nader onderzoek. Daarbij hanteert de AP de volgende, niet cumulatieve factoren:
a. a) De mate waarin de betrokkene wordt geraakt door de vermeende overtreding;
b) De bredere maatschappelijke betekenis van een eventueel optreden van de AP, mede bezien vanuit de aandachtspunten die de AP op periodieke basis bekend maakt;
c) De mate waarin de AP in staat is doeltreffend en doelmatig op te treden.
Paragraaf 2.5. van de toelichting op de beleidsregels luidt:
Eerste beoordeling klacht
Klachten kunnen telefonisch, per post of digitaal via een (elektronisch) klachtenformulier worden ingediend. Bij het behandelen van een klacht onderzoekt de Autoriteit Persoonsgegevens (AP) de klacht in de mate waarin dat gepast is. Wat gepast is, kan per geval verschillen en is afhankelijk van alle concrete feiten en omstandigheden van het geval.
Aan de hand van een eerste beoordeling van de klacht bepaalt de AP of mogelijk sprake is van een overtreding, waartegen de AP kan optreden. Daarbij onderzoekt de AP in ieder geval de ontvangen informatie van de klager en beschikbare informatie van de vermeende overtreder. Bijvoorbeeld de website of bij de AP bekende informatie uit eerdere onderzoeken en signalen. Verder kan, voor zover daar naar het oordeel van de AP aanleiding toe is, de AP een of meer van de volgende bronnen onderzoeken:
informatie bij andere (inter)nationale toezichthouders;
- algemene informatie op internet of uit andere openbare bronnen en media (zoals relevante weten regelgeving en jurisprudentie en relevante (wetgevings)adviezen van de AP; en
- vergelijkbare dossiers bij de AP.
Zo nodig neemt de AP contact op met de klager en/of de vermeende overtreder en vraagt zij hen schriftelijk of telefonisch om nadere informatie om zo voldoende inzicht te krijgen in de vermeende overtreding, de gevolgen van deze vermeende overtreding en de betrokkenheid van de vermeende overtreder.
Het is mogelijk dat al na een eerste beoordeling van de inhoud van een klacht blijkt dat sprake is van een overtreding en de AP deze (direct) naar tevredenheid kan afhandelen. Zo kan bijvoorbeeld telefonisch contact worden opgenomen met de klager waarbij de AP hem informatie en advies geeft, bijvoorbeeld om de (Functionaris Gegevensbescherming van de) vermeende overtreder te benaderen en hoe hij dat het beste kan doen. Op die manier kan de klager er zelf voor zorgen dat zijn klacht wordt opgelost.
In andere gevallen kan de AP bijvoorbeeld aansturen op bemiddeling. Ook is het mogelijk dat, nadat de AP contact met de klager heeft opgenomen, aanstonds duidelijk is dat er geen sprake is van een overtreding en hem uitlegt waarom, en vervolgens de klacht beëindigt.
Deze voorbeelden maken duidelijk dat de klager, zonder dat sprake hoeft te zijn van een diepgravend onderzoek, toch voldoende kan zijn geholpen. De klacht is ook hiermee op passende wijze en daarmee in overeenstemming met de AVG onderzocht. Daarnaast kan de AP, als aanstonds duidelijk is dat van een overtreding sprake is, gebruik maken van de inzet van informele interventies richting de (vermeende) overtreder. Die kunnen vaak betrekkelijk snel en met een inzet van een geringe toezichtcapaciteit worden ingezet. Hierbij valt te denken aan telefonische confrontatie, een normoverdragend gesprek of een waarschuwingsbrief. Ook deze vorm van klachtafhandeling kan in een voorkomend geval als passend worden gekwalificeerd.
Uit de eerste beoordeling van de klacht, dan wel een verzoek om handhaving kan, zonder dat daarvoor aanvullende informatie nodig is, al voldoende blijken dat geen sprake is van een overtreding, of dat dat juist wel het geval is. In het eerste geval wijst de AP het verzoek om handhaving af of beëindigt de behandeling van de klacht. In het tweede geval start de AP een handhavingstraject en treedt zij in beginsel handhavend op, tenzij sprake is van bijzondere omstandigheden zoals concreet zicht op legalisatie of wanneer handhavend optreden onevenredig zou zijn.
In het geval uit de eerste beoordeling blijkt dat er in het dossier voldoende aanwijzingen zijn dat sprake is van een overtreding, maar een nader onderzoek nodig is om de overtreding te kunnen vaststellen, dan komt het onderzoek in de volgende fase terecht. In die fase wordt getoetst aan de prioriteringscriteria.
Paragraaf 2.6 van de toelichting op de beleidsregels luidt:
Prioriteringscriteria
Omdat de AP veel signalen, klachten en verzoeken om handhaving ontvangt en haar toezichtveld veel omvattend is, zal zij gelet op haar beperkte middelen, niet steeds een nader onderzoek kunnen uitvoeren. Daarom toetst de AP in situaties waarin mogelijk sprake is van een overtreding, maar waarvoor nader onderzoek nodig is om de overtreding vast te stellen, eerst aan haar prioriteringscriteria. (…)
Doeltreffendheid en doelmatigheid
De AP wil in haar optreden doeltreffend en doelmatig zijn. Ten aanzien van doeltreffendheid zal de AP een inschatting maken welk handhavingsinstrument geschikt is om op korte termijn het gewenst effect te bereiken. Bij de doelmatigheid maakt de AP een afweging of een nader onderzoek mogelijk is met de beschikbare menskracht en toegekende financiële middelen. Daarbij houdt de AP ook rekening met het aantal signalen, klachten en verzoeken om handhaving die aanleiding zijn voor nader onderzoek en waarbij de AP haar beschikbare capaciteit en financiële middelen evenwichtig zal moeten verdelen. Ook hiervoor geldt dat de AP niet alleen gebruik maakt of hoeft te maken van haar wettelijke handhavingsinstrumenten. Ook het inzetten van informele interventies zoals een telefonische confrontatie, een normoverdragend gesprek of een (openbare) waarschuwingsbrief kan een effectieve manier zijn om normconform gedrag te realiseren.