ECLI:NL:RBZWB:2024:8220

• Datum uitspraak: 2 december 2024
• Publicatiedatum: 2 december 2024
• Zaaknummer: AWB 23/3647
• Instantie: Rechtbank Zeeland-West-Brabant
• Type: Uitspraak
• Rechtsgebied: Bestuursrecht
• Procedures: Eerste aanleg - enkelvoudig
• Rechters: A.G.J.M. de Weert
• Vindplaatsen: Rechtspraak.nl

AI samenvatting door Lexboost • Automatisch gegenereerd

Beoordeling van het beroep tegen het besluit van de Autoriteit Persoonsgegevens om geen nader onderzoek uit te voeren naar een klacht

In deze uitspraak van de Rechtbank Zeeland-West-Brabant op 2 december 2024, wordt het beroep van eiseres tegen een besluit van de Autoriteit Persoonsgegevens (AP) beoordeeld. Eiseres had een klacht ingediend over onbevoegde inzage in haar dossier door medewerkers van [stichting], die hulp biedt aan slachtoffers van geweld in afhankelijkheidsrelaties. De AP had op 19 oktober 2022 besloten geen nader onderzoek te doen naar deze klacht, wat eiseres aanvecht. De rechtbank behandelt de argumenten van eiseres, die stelt dat de AP niet zorgvuldig heeft gehandeld en dat er wel degelijk sprake is van een datalek. De rechtbank concludeert dat de AP in redelijkheid heeft kunnen besluiten om af te zien van een nader onderzoek. De rechtbank oordeelt dat de AP de klacht terecht heeft beoordeeld aan de hand van het prioriteringsbeleid en dat er geen aanwijzingen zijn dat de AP de AVG heeft overtreden. De rechtbank verklaart het beroep ongegrond, wat betekent dat eiseres geen griffierecht terugkrijgt en ook geen vergoeding van proceskosten ontvangt.

Uitspraak

RECHTBANK ZEELAND-WEST-BRABANT

Zittingsplaats Breda

Bestuursrecht

zaaknummer: BRE 23/3647

uitspraak van de enkelvoudige kamer van 2 december 2024 in de zaak tussen

[eiseres] , uit [plaats 1] , eiseres

(gemachtigde: mr. K.P. van Nol),

en

de Autoriteit Persoonsgegevens, de AP.

Als derde-partij neemt aan de zaak deel: [stichting] uit [plaats 2] ( [stichting] )

(gemachtigde: mr. J.L.F. van der Kamp).

Inleiding

1.1.

In deze uitspraak beoordeelt de rechtbank het beroep van eiseres tegen het bestreden besluit van 19 oktober 2022 inzake de beslissing van de AP om geen nader onderzoek uit te voeren naar een klacht van eiseres.

1.2.

De AP heeft op het beroep gereageerd met een verweerschrift. [stichting] heeft ook schriftelijk gereageerd.

1.3.

De rechtbank heeft het beroep op 25 september 2024 op zitting behandeld. Hieraan hebben deelgenomen: de gemachtigde van eiseres, namens de AP mr. J.A.M. Koster en mr. A. Karimi, namens [stichting] [naam 1] (directeur bedrijfsvoering) en [naam 2] (Functionaris Gegevensbescherming) en de gemachtigde van [stichting] . Eiseres heeft zich afgemeld voor de zitting.

1.4.

De rechtbank heeft de termijn voor het doen van uitspraak verlengd.

Beoordeling door de rechtbank

2. De rechtbank beoordeelt of de AP in redelijkheid heeft kunnen besluiten tot het afzien van het uitvoeren van een nader onderzoek naar aanleiding van de klacht van eiseres. Zij doet dat aan de hand van de beroepsgronden van eiseres.

3.1.

De rechtbank verklaart het beroep ongegrond
. Hierna legt de rechtbank uit hoe zij tot dit oordeel komt en welke gevolgen dit oordeel heeft.

3.2.

De voor de beoordeling van het beroep belangrijke wet- en regelgeving is te vinden in de bijlage bij deze uitspraak.

Feiten en omstandigheden

4.1.

Eiseres heeft op 19 maart 2021 een klacht ingediend bij [stichting] . Zij stelt dat medewerkers inzage hebben gehad in haar dossier terwijl zij daarvoor onbevoegd waren.

4.2.

De Functionaris Gegevensbescherming (hierna: FG) heeft de klacht onderzocht en op 18 juni 2021 een onderzoeksverslag opgesteld.

4.3.

Eiseres heeft op 5 augustus 2021 een klacht ingediend bij de AP omtrent [stichting] .

4.4.

De AP heeft met het besluit van 9 december 2021 de klacht van eiser behandeld. De AP heeft besloten de klacht niet verder te onderzoeken.

4.5.

Eiseres heeft hiertegen bezwaar gemaakt op 17 januari 2022.

4.6.

De AP heeft met het bestreden besluit het bezwaar ongegrond verklaard.

Zorgvuldigheid

5.1.

Eiseres is van mening dat het bestreden besluit niet zorgvuldig tot stand is gekomen. De besluitvorming heeft heel lang geduurd. Daarnaast heeft de AP eiseres niet gehoord voordat zij het bestreden besluit heeft genomen. Ten slotte heeft zij ten onrechte de mogelijkheid aan [stichting] geboden om te reageren op het bezwaar van eiseres.

5.2.

De rechtbank stelt vast dat de besluitvorming lang heeft geduurd en de beslistermijn voor de beslissing op bezwaar is overschreden. Dit betekent echter niet dat dit zonder meer kan leiden tot vernietiging van het bestreden besluit. De enkele stelling dat de lange duur van de procedure onacceptabel is, kan niet leiden tot het oordeel dat de besluitvorming onzorgvuldig is.

5.3.

Dat eiseres niet is gehoord, betekent ook niet dat dit kan leiden tot vernietiging van het bestreden besluit. Uit de processtukken is namelijk gebleken dat de gemachtigde van eiseres zowel schriftelijk als mondeling heeft aangegeven dat hij het aan de AP overlaat om te beslissen of een hoorzitting nodig is. Eiseres heeft daarmee niet binnen de door de AP gestelde termijn verklaard dat hij gebruik wil maken van het recht om te worden gehoord. ^[1] Het AP kon dus afzien van het horen van partijen.

5.4.

Ten slotte had [stichting] het recht om schriftelijk te reageren op het bezwaarschrift van eiseres. [stichting] is op goede gronden aangemerkt als belanghebbende in de procedure. De klacht betreft namelijk de werkwijze van [stichting] .

5.5.

De rechtbank ziet in hetgeen eiseres naar voren heeft gebracht geen aanleiding om te oordelen dat het besluit onzorgvuldig tot stand is gekomen.

Klacht

6.1.

Eiseres was onder behandeling bij [stichting] . [stichting] is een stichting die hulp aanbiedt aan slachtoffers van geweld in afhankelijkheidsrelaties.

6.2.

Op grond van artikel 77, eerste lid, van de Algemene Verordening Gegevensbescherming (hierna: AVG) heeft iedere betrokkene het recht een klacht in te dienen bij een toezichthoudende autoriteit, indien hij van mening is dat de verwerking van hem betreffende persoonsgegevens inbreuk maakt op deze verordening. Eiseres heeft een dergelijke klacht ingediend bij de toezichthoudende autoriteit, namelijk de AP. Eiseres heeft gesteld dat verschillende medewerkers inzage hebben gehad in haar medische dossier, terwijl zij niet betrokken waren bij haar directe behandeling. Ze heeft vanuit [stichting] inzicht gekregen in de logbestanden van haar dossier. Uit deze logbestanden volgt volgens haar dat meer mensen inzage hadden in haar dossier dan noodzakelijk is voor haar behandeling.

6.3.

Op grond van artikel 57, eerste lid, onder f, van de AVG verricht elke toezichthoudende autoriteit op haar grondgebied de volgende taak: zij behandelt klachten van betrokkene, of van organen, organisaties of verenigingen overeenkomstig artikel 80, onderzoekt de inhoud van de klacht in de mate waarin dat gepast is en stelt de klager binnen een redelijke termijn in kennis van de vooruitgang en het resultaat van het onderzoek, met name indien verder onderzoek of coördinatie met een andere toezichthoudende autoriteit noodzakelijk is.

6.4.

De AP heeft gelet op bovenstaand artikel de klacht in behandeling genomen. Zij heeft een globaal bureauonderzoek uitgevoerd. Daarvoor heeft zij documenten bestudeerd, waaronder het overzicht van de logging en het onderzoeksrapport van de FG van [stichting] . Daarnaast heeft de AP de klacht getoetst conform de werkwijze datalekken. Tot slot heeft er een telefonisch gesprek plaatsgevonden met de FG, de kwaliteitsmanager van [stichting] en een inspecteur van de AP. De AP heeft vervolgens beoordeeld of zij een nader uitgebreid onderzoek gaat uitvoeren.

6.5.

De AP kan bij het behandelen van klachten een afweging maken ten aanzien van de mate van intensiteit van het onderzoek dat op een klacht volgt. ^[2] Daartoe heeft zij beleid ontwikkeld. Op 1 oktober 2018 is de Beleidsregel prioritering klachtenonderzoek (hierna: prioriteringsbeleid) in werking getreden. Op 1 juli 2023 is het prioriteringsbeleid ingetrokken en is de Werkwijze klachtenbehandeling in werking getreden. Het bestreden besluit is genomen op 19 oktober 2022. De rechtbank beoordeelt het bestreden besluit aan de hand van het geldende recht ten tijde van het nemen van het besluit, in dit geval is dat dus het prioriteringsbeleid.

De AP heeft bij de beslissing of een onderzoek moet worden ingesteld, beleidsruimte. Dit betekent dat de rechtbank de beslissing terughoudend toetst.

6.6.

De AP onderzoekt de inhoud van een klacht in de mate waarin dat gepast is. De AP beoordeelt eerst op basis van de inhoud van de klacht of het gaat om een verwerking van persoonsgegevens die de klager betreft en of er al dan niet sprake is van een overtreding van de AVG. Indien uit de eerste beoordeling volgt dat mogelijk sprake is van een overtreding, maar deze nog niet kan worden vastgesteld, maakt de AP een afweging of er aanleiding is voor nader onderzoek. Daarbij hanteert de AP de volgende, niet cumulatieve, factoren:

a. a) De mate waarin de betrokkene wordt geraakt door de vermeende overtreding;

b) De bredere maatschappelijke betekenis van een eventueel optreden van de AP, mede bezien vanuit de aandachtspunten die de AP op periodieke basis bekend maakt;

c) De mate waarin de AP in staat is doeltreffend en doelmatig op te treden. ^[3]

In paragraaf 2.6.1. van het beleid is opgenomen dat een klacht niet op alle criteria ‘hoog hoeft te scoren’, voordat de AP overgaat tot een nader onderzoek. Als een klacht op meerdere criteria hoog scoort, is er wel eerder aanleiding voor een nader onderzoek. In het geval er echter sprake is van een lage(re) score op één criterium, dan kan dit voor de AP in veel gevallen reeds daarom aanleiding zijn een nader onderzoek achterwege te laten. Verder zij nog benadrukt dat de criteria niet cumulatief zijn en dat de AP, als bijzondere omstandigheden daartoe aanleiding geven, ook een nader onderzoek kan starten wanneer een klacht bijvoorbeeld op alle drie de criteria laag scoort.

Als de toetsing aan de prioriteringscriteria leidt tot het oordeel dat de klacht of het verzoek om handhaving daar in onvoldoende mate aan voldoet, dan wordt de klacht niet verder behandeld dan wel wordt het verzoek om handhaving afgewezen.

Globaal bureauonderzoek

7.1.

Op grond van artikel 32 van de AVG is [stichting] onder meer verplicht tot het nemen van passende technische en organisatorische maatregelen ter voorkoming van onrechtmatige toegang tot persoonsgegevens van haar cliënten. Of de getroffen technische en organisatorische maatregelen passend zijn, hangt af van de risico’s die aan de verwerking zijn verbonden. In dat verband moet worden beoordeeld of de aard, de inhoud en de uitvoering van die maatregelen zijn afgestemd om die risico’s. Een inbreuk op die beveiliging is op zichzelf geen overtreding in de zin van de AVG. ^[4]

7.2.

De AP heeft onderzocht of zij aan de hand van een eerste globaal onderzoek kon vaststellen of medewerkers van [stichting] toegang hadden tot cliëntgegevens en daarop controle uitvoeren op een wijze die niet in lijn is met de AVG.

7.3.

Eiseres heeft betoogd dat uit de logbestanden volgt dat sprake is van een overtreding. Er is volgens eiseres sprake van een datalek. Uit de logbestanden volgt dat ook medewerkers die geen deel uitmaken uit haar directe behandelteam toegang hebben gehad tot haar dossier. Zij waren hiervoor niet bevoegd en daartoe was geen noodzaak. Een chatmedewerker had namelijk inzage in haar gegevens, terwijl deze daartoe niet bevoegd was. Daarnaast heeft een medewerker die betrokken was bij de intake, ook later nog inzage gehad in het dossier van eiseres.

7.4.

Volgens de AP kan op basis van het globaal bureauonderzoek niet worden vastgesteld dat [stichting] de toegangsrechten heeft ingeregeld op een wijze die in strijd is met de AVG. Dat wordt niet anders door het enkele feit dat de loggegevens ook andere medewerkers vermelden dan uitsluitend de drie medewerkers die eiseres zelf tot haar directe behandelteam rekent. Medewerkers van een zorginstelling kunnen immers ook bij de behandeling betrokken zijn in het kader van bijvoorbeeld intercollegiaal advies, overleg, assistentie en administratieve taken.
Daarnaast biedt de informatie die de AP van [stichting] heeft ontvangen volgens de AP ook geen aanknopingspunten om een overtreding vast te stellen. [stichting] werkt met een autorisatiematrix op basis waarvan medewerkers alleen toegang krijgen tot die delen van het cliëntdossier die voor hun taken relevant zijn. Dit volgt ook uit het onderzoeksverslag van de FG. De chatmedewerker waar eiser specifiek naar verwijst, had een tweede functie als intakemedewerker uit hoofde waarvan hij of zij wel bij de behandeling betrokken was, en ook nadien was hij of zij bij die behandeling nog betrokken.

7.5.

[stichting] is van mening dat aan de hand van het globaal bureauonderzoek niet kon worden vastgesteld dat sprake was van een overtreding. Er is geen sprake geweest van ongeoorloofde toegang door medewerkers. Sommige medewerkers hebben een dubbele functie, waardoor zij op basis van hun verschillende functies, verschillende autorisaties hebben om een dossier in te zien. [stichting] hanteert namelijk een autorisatiematrix. De autorisatiematrix is ingericht op basis van de taken die medewerkers verrichten.

7.6.

De rechtbank is van oordeel dat de AP op goede gronden heeft kunnen vaststellen dat het niet aannemelijk is dat sprake is geweest van een datalek zoals bedoeld in artikel 33 van de AVG, omdat geen sprake lijkt te zijn geweest van een inbreuk op persoonsgegevens. Ook heeft de AP op goede gronden geoordeeld dat geen sprake is van een inbreuk op de beveiliging die op onrechtmatige wijze leidt tot ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens. Uit het onderzoeksverslag van de FG volgt dat medewerkers die geen onderdeel uitmaakten van het directe behandelteam beperkte inzage hadden in het dossier van eiseres, afhankelijk van hun functie en eventuele dubbelfunctie. Zo had de betreffende chatmedewerker een tweede functie als intakemedewerker, waardoor zij ook autorisatie had om andere delen van het dossier in te zien. De medewerkers hadden dus niet allemaal een volledige inzagebevoegdheid in het dossier, maar een bevoegdheid tot inzage passend bij hun functie. Dit heeft eiseres ook niet weerlegd. Het feit dat die medewerkers niet betrokken waren in het directe behandelteam van eiseres, betekent niet dat zij geen (beperkte) inzagebevoegdheid konden hebben in het dossier. Voor verschillende medewerkers is beperkte inzage vereist om hun werkzaamheden uit te kunnen voeren. Niet is gebleken dat [stichting] geen passende technische en organisatorische maatregelen ter voorkoming van onrechtmatige toegang tot de persoonsgegevens van haar cliënten heeft genomen. De AP heeft op goede gronden geoordeeld dat een nader onderzoek is vereist om te kunnen beoordelen of sprake is van een overtreding van de AVG.

Afzien van uitvoeren nader onderzoek

8.1.

De AP heeft afgezien van het uitvoeren van een nader onderzoek aan de hand van het prioriteringsbeleid. De Afdeling Bestuursrechtspraak van de Raad van State (hierna: ABRvS) heeft geoordeeld dat het niet onredelijk is dat de AP aan de hand van een globaal bureauonderzoek beoordeelt of zich een mogelijke overtreding heeft voorgedaan en dat het is toegestaan om een prioriteringsbeleid te hanteren. ^[5] Eiseres heeft daarnaast niet betwist dat de AP dit prioriteringsbeleid mocht toepassen om te beoordelen of zij moest overgaan tot een nader onderzoek. De rechtbank is van oordeel dat de AP de klacht terecht heeft beoordeeld aan de hand van het prioriteringsbeleid.

8.2.

De AP is van mening dat de mate waarin eiseres wordt geraakt door de vermeende overtreding maar beperkt is. Daarnaast kan niet worden gezegd dat een optreden door de AP een bredere maatschappelijke betekenis heeft en de klacht ziet niet op een van de focusgebieden van de AP. Ten slotte zou een nader onderzoek veel capaciteit en financiële middelen kosten. Er moet namelijk een intensief onderzoek worden uitgevoerd naar de functies van de medewerkers en de autorisatie die daaraan is gekoppeld.

8.3.

Eiseres heeft betoogd dat de AP niet in redelijkheid heeft kunnen afzien van het uitvoeren van een nader onderzoek. De vermeende overtreding heeft een grote impact gehad op haar. Door het gebrek aan vertrouwen heeft ze haar behandeling bij [stichting] beëindigd. Daarnaast is er volgens haar een brede maatschappelijke betekenis. [stichting] biedt zorg aan duizenden kwetsbare personen. Ten slotte is een nader onderzoek eenvoudig. Er kan worden volstaan met het stellen van een aantal vragen en daarmee het aantonen van de rechtmatigheid van de werkwijze. Uit de logbestanden volgt bovendien overduidelijk dat sprake is van een overtreding. Eiseres heeft daarnaast een vergelijking gemaakt met het onderzoek dat is uitgevoerd naar het Haga Ziekenhuis . Er is door de AP heel duidelijk en daadkrachtig opgetreden in dat vergelijkbare geval. In dat geval hadden medewerkers die niet betrokken waren bij de behandeling inzage in het medische dossier en was de toegang niet beperkt gebleven tot de gegevens die noodzakelijk zijn voor de uitvoering van de taken van de medewerker.

8.4.

[stichting] heeft zich op het standpunt gesteld dat er geen sprake is van onbevoegde toegang tot de gegevens van eiseres. Verder heeft [stichting] zich aangesloten bij het standpunt van de AP.

8.5.

De rechtbank is van oordeel dat de AP in redelijkheid heeft kunnen besluiten om af te zien van het uitvoeren van een nader onderzoek naar de vermeende overtreding. Ten eerste heeft de AP onderbouwd dat eiseres maar beperkt wordt geraakt door de vermeende overtreding. Er zijn geen persoonsgegevens van eiseres gedeeld met derden. Enkel medewerkers van [stichting] die daarvoor autorisatie hadden, hebben (beperkte) inzage gehad in de persoonsgegevens van eiseres. Die medewerkers hebben allemaal een geheimhoudingsplicht. Daarnaast heeft de AP in het bestreden besluit uiteengezet dat er geen sprake is van een bredere maatschappelijke betekenis. Er zijn geen andere klachten bekend over [stichting] bij de AP. De klacht valt daarnaast niet onder één van de focusgebieden van de AP. De AP geeft momenteel dus voorrang aan andere onderzoeken. Ten slotte is gebleken dat een nader onderzoek veel capaciteit en financiële middelen kost. Het enkele feit dat eiseres van mening is dat volgens haar uit de logbestanden overduidelijk blijkt dat sprake is van een overtreding, doet daar niet aan af. In rechtsoverweging 7.6. heeft de rechtbank overwogen dat de AP aan de hand van het globaal bureauonderzoek niet heeft kunnen vaststellen dat sprake is van een overtreding van de AVG. Dit betekent dat meer onderzoek nodig is, dat meer capaciteit en financiële middelen vergt dan eiseres meent.

8.6.

De vergelijking met het Haga-ziekenhuis gaat niet op. In dat specifieke geval was er een nader onderzoek uitgevoerd en uiteindelijk een boete opgelegd, omdat bleek dat meer dan honderd medewerkers inzage bleken te hebben in het medische dossier van de betrokkene. In dat geval waren door medewerkers medische gegevens van de betrokkene gedeeld met derden. In dit geval is niet gebleken dat medewerkers inzage hebben gehad in delen van het dossier van eiseres die niet noodzakelijk waren voor het uitvoeren van de taken van de medewerkers. Daarnaast zijn in dit geval geen persoonsgegevens gedeeld met derden.

Conclusie en gevolgen

9. Het beroep is ongegrond. Dat betekent dat het AP in redelijkheid heeft kunnen afzien van het uitvoeren van een nader onderzoek. Eiseres krijgt daarom het griffierecht niet terug. Zij krijgt ook geen vergoeding van haar proceskosten.

Beslissing

De rechtbank verklaart het beroep ongegrond.

Deze uitspraak is gedaan door mr. A.G.J.M. de Weert, rechter, in aanwezigheid van mr. T.A.A. van Hooijdonk, griffier, op 2 december 2024 en openbaar gemaakt door middel van geanonimiseerde publicatie op www.rechtspraak.nl.

griffier

rechter

Een afschrift van deze uitspraak is verzonden aan partijen op:

Informatie over hoger beroep

Een partij die het niet eens is met deze uitspraak, kan een hogerberoepschrift sturen naar de Afdeling bestuursrechtspraak van de Raad van State waarin wordt uitgelegd waarom deze partij het niet eens is met deze uitspraak. Het hogerberoepschrift moet worden ingediend binnen zes weken na de dag waarop deze uitspraak is verzonden.

Bijlage: voor deze uitspraak belangrijke wet- en regelgeving

Verordening 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (AVG)

Artikel 32 van de AVG

1. Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen, treffen de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, die, waar passend, onder meer het volgende omvatten:

a. a) de pseudonimisering en versleuteling van persoonsgegevens;

b) het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen;

c) het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen;

d) een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking.

2. Bij de beoordeling van het passende beveiligingsniveau wordt met name rekening gehouden met de verwerkingsrisico's, vooral als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig.

3. Het aansluiten bij een goedgekeurde gedragscode als bedoeld in artikel 40 of een goedgekeurd certificeringsmechanisme als bedoeld in artikel 42 kan worden gebruikt als element om aan te tonen dat dat de in lid 1 van dit artikel bedoelde vereisten worden nageleefd.

4. De verwerkingsverantwoordelijke en de verwerker treffen maatregelen om ervoor te zorgen dat iedere natuurlijke persoon die handelt onder het gezag van de verwerkingsverantwoordelijke of van de verwerker en toegang heeft tot persoonsgegevens, deze slechts in opdracht van de verwerkingsverantwoordelijke verwerkt, tenzij hij daartoe Unierechtelijk of lidstaatrechtelijk is gehouden.

Artikel 57, eerste lid, onder f, van de AVG

Onverminderd andere uit hoofde van deze verordening vastgestelde taken, verricht elke toezichthoudende autoriteit op haar grondgebied de volgende taken: zij behandelt klachten van betrokkenen, of van organen, organisaties of verenigingen overeenkomstig artikel 80, onderzoekt de inhoud van de klacht in de mate waarin dat gepast is en stelt de klager binnen een redelijke termijn in kennis van de vooruitgang en het resultaat van het onderzoek, met name indien verder onderzoek of coördinatie met een andere toezichthoudende autoriteit noodzakelijk is.

Artikel 77 van de AVG

1. Onverminderd andere mogelijkheden van administratief beroep of een voorziening in rechte, heeft iedere betrokkene het recht een klacht in te dienen bij een toezichthoudende autoriteit, met name in de lidstaat waar hij gewoonlijk verblijft, hij zijn werkplek heeft of waar de beweerde inbreuk is begaan, indien hij van mening is dat de verwerking van hem betreffende persoonsgegevensinbreuk maakt op deze verordening.

2. De toezichthoudende autoriteit waarbij de klacht is ingediend, stelt de klager in kennis van de voortgang en het resultaat van de klacht, alsmede van de mogelijke voorziening in rechte overeenkomstig artikel 78.

Voetnoten

1. Artikel 7:3, aanhef en onder d, van de Algemene wet bestuursrecht.

2. Kamerstukken II 2017/18, 34 851, nr. 3.

3. Artikel 2, derde lid, van het prioriteringsbeleid.

4. Hof van Justitie 14 december 2023, ECLI:EU:C:2023:986, ro. 47.

5. ABRvS 18 september 2019, ECLI:NL:RVS:2019:3209, ro. 10.1.