Autoriteit Persoonsgegevens
Postbus 93374, 2509 AJ Den Haag
Bezuidenhoutseweg 30, 2594 AV Den Haag
T 070 8888 500 - F 070 8888 501
autoriteitpersoonsgegevens.nl

Vertrouwelijk/Aangetekend
Stichting Ondersteuning Provinciale
Fractie Overijssel Partij voor de Vrijheid
[VERTROUWELIJK]
Steenmeijerstraat 57
7555 NV HENGELO

Contactpersoon
[VERTROUWELIJK]

Onderwerp
Besluit tot het opleggen van een bestuurlijke boete

Geachte [VERTROUWELIJK],

De Autoriteit Persoonsgegevens (hierna: AP) heeft besloten aan de Stichting Ondersteuning Provinciale Fractie Overijssel Partij voor de Vrijheid (PVV) (hierna: PVV Overijssel) een bestuurlijke boete van € 7.500,-- op te leggen. De AP is van oordeel dat de PVV Overijssel in de periode van 14 januari 2019 tot heden heeft nagelaten een inbreuk in verband met persoonsgegevens, zonder onredelijke vertraging en uiterlijk binnen 72 uur nadat de PVV Overijssel op 11 januari 2019 op de hoogte raakte van de inbreuk, te melden aan de AP. De PVV Overijssel heeft daarmee artikel 33, eerste lid, van de Algemene Verordening Gegevensbescherming (hierna: AVG) overtreden.

Hierna wordt het besluit toegelicht. Hoofdstuk 1 bevat de relevante feiten en het procesverloop. In hoofdstuk 2 wordt het wettelijk kader beschreven. In hoofdstuk 3 volgt de beoordeling van de AP, waarna in hoofdstuk 4 de hoogte van de bestuurlijke boete wordt gemotiveerd. Tenslotte bevat hoofdstuk 5 het dictum en de rechtsmiddelenclausule.

Stichting Ondersteuning Provinciale Fractie Overijssel Partij voor de Vrijheid (PVV) is statutair gevestigd aan de Steenmeijerstraat 57, 7555 NV te Hengelo. De stichting heeft onder meer het verlenen van bestuurlijke en administratieve assistentie aan de Fractie (zoals bedoeld in artikel 5 van het reglement van orde voor de vergadering en andere werkzaamheden van de Provinciale Staten van Overijssel of een

2/16

regeling die daarvoor in de plaats treedt) ten doel.1 De stichting treedt ook naar buiten onder de naam ‘PVV Overijssel’.2

Op 11 januari 2019 heeft de AP een klacht ontvangen over een mogelijke overtreding van de AVG door de PVV Overijssel.3 De klacht houdt in, kort samengevat, dat de PVV Overijssel op 10 januari 2019 een e-mailbericht met “Uitnodiging Achterban avond 28 januari 2018” als onderwerp heeft gestuurd aan een groep van 101 geadresseerden. Hierbij was voor alle ontvangers van het e-mailbericht, waaronder klager, de opsomming van geadresseerden zichtbaar in de verzendlijst van het e-mailprogramma.

Naar aanleiding van deze klacht is de AP een onderzoek gestart om vast te stellen of de regels die in de AVG zijn gesteld rondom het melden van een inbreuk in verband met persoonsgegevens zijn nageleefd door de PVV Overijssel.

Bij brief van 15 mei 2019 heeft de AP de PVV Overijssel om informatie verzocht.4 De PVV Overijssel heeft op 24 mei 2019 schriftelijk gereageerd op dit verzoek.5

De bevindingen van het onderzoek zijn neergelegd in het rapport ‘Onderzoek niet melden inbreuk in verband met persoonsgegevens aan de AP door de PVV Overijssel’, onderzoeksrapport van de afdeling Eerstelijns onderzoek (EL), van 18 november 2019.

Bij brief van 11 december 2019 heeft de AP aan de PVV Overijssel een voornemen tot handhaving verzonden tezamen met het voornoemde onderzoeksrapport en de onderliggende documentatie, waarbij de PVV tevens in de gelegenheid is gesteld een zienswijze kenbaar te maken. De PVV Overijssel heeft bij brief van 28 januari 2020 schriftelijk haar zienswijze gegeven.

Op grond van het rapport met bevindingen, de onderliggende documentatie en de zienswijze van de PVV Overijssel komt de AP tot de vaststelling van de volgende relevante feiten.

Een fractiemedewerker van de PVV Overijssel stuurt op donderdag 10 januari 2019 een e-mailbericht met het onderwerp ‘‘Uitnodiging Achterban avond 28 januari 2018” aan 101 geadresseerden. Hierbij waren voor alle ontvangers van het e-mailbericht, waaronder klager, de e-mailadressen van alle geadresseerden zichtbaar in de verzendlijst van het e-mailprogramma.6

De tekst van de e-mail luidt:

“Beste vrienden van de PVV,

1 Uittreksel Kamer van Koophandel 14 maart 2019, nr. 52322017, bijlage 7 bij het onderzoeksrapport. 2 Zie o.m. printscreen website, bijlage 6 bij het onderzoeksrapport. 3 Meldingsformulier, bijlage 2 bij het onderzoeksrapport. 4 Informatieverzoek van AP van 15 mei 2019, bijlage 4 bij het onderzoeksrapport. 5 Reactie van PVV Overijssel van 24 mei 2019, bijlage 5 bij het onderzoeksrapport. 6 E-mailcorrespondentie in de periode van 10 t/m 15 januari 2019, bijlage 3 bij het onderzoeksrapport.

3/16

Op maandag 28 januari 2019 organiseert de PVV Overijssel een achterban avond. Op deze avond worden de kandidaten voor de Provinciale Statenverkiezingen van 20 maart 2019 gepresenteerd. Ook zullen op deze avond Tweede Kamerleden van de PVV aanwezig zijn. Tijdens deze avond zullen alle kandidaten zich aan u voorstellen en zijn er een aantal sprekers. Na het formele gedeelte gaan wij allemaal graag met u in gesprek en maken we er een gezellige avond van! De avond begint om 19.30 uur en de achterban avond zal plaatsvinden in Hotel van der Valk in Hengelo. Het adres: Bornsestraat 400, 7556 BN Hengelo. Omdat wij willen weten hoeveel mensen wij kunnen verwachten, verzoeken wij u om ons per e-mail te laten weten als u komt en met hoeveel personen. Graag op secretariaat@pvvoverijssel.nl onder vermelding van uw naam en het aantal personen. We kijken uit naar uw komst! Graag tot de 28ste! Met vriendelijke groet, PVV Overijssel.”

In reactie op deze uitnodiging stuurt klager de volgende dag aan de PVV Overijssel het verzoek om hem van de e-maillijst te verwijderen en dat als zodanig te bevestigen. Daarbij geeft klager – samengevat weergegeven – aan dat het beschikbaar stellen van alle e-mailadressen van ernstige onzorgvuldigheid getuigt gelet op de privacy regels. Bij e-mail van 11 januari 2019 reageert de medewerker van de PVV-Overijssel hierop met een excuus en bevestigt dat de gegevens van klager uit de lijst zijn verwijderd. Op 15 januari 2019 heeft klager opnieuw een bericht ontvangen van de PVV Overijssel met dezelfde uitnodiging voor het evenement op 28 januari 2019, deze keer zonder dat de e-mailadressen van genodigden zichtbaar waren. Andermaal verzoekt klager om zijn contactgegevens te verwijderen.7

De AP heeft tot op heden geen melding van de PVV Overijssel ontvangen, zodat de overtreding thans nog voortduurt.

2. Wettelijk kader

Ingevolge artikel 2, eerste lid, van de AVG is deze verordening van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking, alsmede op de verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.

Ingevolge artikel 4 van de AVG wordt verstaan onder: 1. “Persoonsgegevens”: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, […].

7 E-mailcorrespondentie in de periode van 10 t/m 15 januari 2019, bijlage 3 bij het onderzoeksrapport.

4/16

2. “Verwerking”: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés […]. 7. “Verwerkingsverantwoordelijke”: een […] rechtspersoon die, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; […]. 12. “Inbreuk in verband met persoonsgegevens”: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.

Ingevolge artikel 33, eerste lid, van de AVG dient de verwerkingsverantwoordelijke, indien een inbreuk in verband met persoonsgegevens heeft plaatsgevonden, deze zonder onredelijke vertraging en, indien mogelijk, uiterlijk 72 uur nadat hij er kennis van heeft genomen, te melden aan de overeenkomstig artikel 55 bevoegde toezichthoudende autoriteit tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Indien de melding aan de toezichthoudende autoriteit niet binnen 72 uur plaatsvindt, gaat zij vergezeld van een motivering voor de vertraging.

In overwegingen 75 en 76 van de AVG is onder meer het volgende bepaald. Het risico voor de rechten en vrijheden van personen kan voortvloeien uit persoonsverwerkingen die resulteren in materiële en immateriële schade. Dit risico wordt met name gevoeld als de verwerking kan leiden tot o.a. discriminatie en reputatieschade. Ook kan dit risico gevoeld worden als persoonsgegevens worden verwerkt waaruit blijkt wat iemands politieke opvatting is. Bij de beoordeling van risico's moet rekening worden gehouden met zowel de waarschijnlijkheid als de ernst van het risico voor de rechten en vrijheden van betrokkenen. Het risico moet worden bepaald op basis van een objectieve beoordeling. Daarnaast moet worden vastgesteld of de verwerking gepaard gaat met een risico of een hoog risico.

Uit bovenstaande overwegingen vloeit bijvoorbeeld voort dat passende beschermende maatregelen moeten worden genomen, die horen bij verwerking van persoonsgegevens met een dergelijke lading als een politieke opvatting.

3. Beoordeling

3.1 Verwerking van persoonsgegevens en materieel toepassingsgebied AVG

Het hiervoor genoemde e-mailbericht van 10 januari 2019 betreft een uitnodiging voor een achterbanavond op 28 januari 20198 en is gericht aan een groep van 101 geadresseerden, daarin aangeduid als “vrienden van de PVV”. De e-mailadressen zijn voor alle genodigden zichtbaar in de adresregel van de e-mail.9 In deze e-mailadressen komen combinaties voor van een voor- en achternaam, voorletter(s) en achternaam, voor- en/of achternaam met een getal, letters en/of cijfers die niet als (persoons)naam zijn te duiden, als ook info-adressen, et cetera.

8 In de onderwerpregel van de e-mail is aangegeven ‘2018’. Dit betreft een kennelijke verschrijving. 9 E-mailcorrespondentie in de periode van 10 t/m 15 januari 2019, bijlage 3 bij het onderzoeksrapport.

5/16

(Een deel van) de ontvangers van voornoemde e-mail zijn hiermee direct te herkennen dan wel kunnen door een enkele zoekfunctie herleid worden.

Nu aan de hand van deze gegevens een natuurlijk persoon, waaronder klager, direct of indirect kan worden geïdentificeerd, zijn deze te kwalificeren als persoonsgegevens in de zin van artikel 4, aanhef, en onder 1, van de AVG.

Zoals hiervoor is opgemerkt kwalificeren gegevens over politieke opvattingen onder de AVG als zogenoemde ‘bijzondere categorieën van persoonsgegevens’ als omschreven in artikel 9, eerste lid, van de AVG.

De AP heeft geconstateerd dat met het verzenden van de e-mail van 10 januari 2019, sprake is van het verwerken van persoonsgegevens waaruit politieke opvattingen blijken als bedoeld in artikel 9, eerste lid, van de AVG. Zoals de PVV Overijssel bij brief van 24 mei 2019 heeft aangegeven hebben de ontvangers van de uitnodiging voor de achterbanavond zich eerder gemeld bij de PVV Overijssel en aangegeven geïnteresseerd te zijn in het ontvangen van uitnodigingen.10 De zienswijze van de PVV Overijssel dat de beweegredenen voor interesse in het ontvangen van e-mailberichten zoals uitnodigingen voor activiteiten, divers kunnen zijn, deelt de AP niet. Het geïnteresseerd zijn in een bijeenkomst van de PVV Overijssel sluit niet uit dat daar ook geïnteresseerden bij zijn die vanuit hun politieke opvatting deze bijeenkomst willen bijwonen. Hierin weegt de AP mee dat hier gesproken wordt van de “achterban”. Tot slot wijst de AP erop dat ook door de PVV Overijssel niet wordt uitgesloten dat hieronder geïnteresseerden zijn die vanwege hun politieke opvatting deze avond willen bijwonen.

Op basis van het bovenstaande concludeert de AP dat sprake is van verwerking van persoonsgegevens van personen waaruit een politieke opvatting blijkt.

3.2 Verwerkingsverantwoordelijke

In het kader van de vraag of artikel 33, eerste lid, van de AVG wordt nageleefd, is van belang om te bepalen wie is aan te merken als verwerkingsverantwoordelijke als bedoeld in artikel 4, aanhef, en onder 7, van de AVG. Daarvoor is bepalend wie het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.

De PVV Overijssel is een stichting die ten doel heeft om bestuurlijke en administratieve assistentie aan de fractie van de PVV in de Provinciale Staten van Overijssel te verlenen.11 De PVV Overijssel heeft geen concernrelatie met een andere juridische eenheid, zoals de vereniging Partij voor de Vrijheid. Uitsluitend het bestuur vertegenwoordigt de stichting.12

10 Brief PVV Overijssel van 24 mei 2019, bijlage 5 bij het onderzoeksrapport. 11 Uittreksel Kamer van Koophandel 14 maart 2019, nr. 52322017, bijlage 7 bij het onderzoeksrapport. 12 Zie akte van oprichting van de Stichting Ondersteuning Provinciale Fractie Overijssel Partij voor de Vrijheid (PVV), aktedatum 15 maart 2011, geraadpleegd op 29 augustus 2019, bijlage 8 bij het onderzoeksrapport.

6/16

Iedere bijdrage die geplaatst is op de website https://www.pvvoverijssel.nl/ heeft uitsluitend betrekking op de provinciepolitiek van de provincie Overijssel. Alle bijdragen worden geplaatst namens ‘Partij voor de Vrijheid Overijssel’. Op de website worden diverse beeldfragmenten, afkomstig van Youtube, over publieke optredens van de PVV Overijssel gedeeld. Al deze gepubliceerde media is door de account ‘PVV Overijssel’ geplaatst op Youtube. Via de website kan ook uitsluitend de PVV Overijssel gecontacteerd worden. Uit deze vaststelling maakt de AP op dat het websitebeheer in handen van de PVV Overijssel is.

De achterban van de PVV Overijssel wordt gevormd door donateurs, vrijwilligers en sympathisanten. Om die te kunnen verenigen en te mobiliseren werft de PVV Overijssel vrijwilligers. Daarnaast heeft de PVV Overijssel invulling gegeven aan de actieve verkiesbaarheid van de PVV in de provincie Overijssel door, onder andere, in drie gemeenten van de provincie kandidaten te werven voor de kieslijst van de PVV voor de gemeenteraadsverkiezingen van 2018. De PVV Overijssel heeft hierin de deelname van de PVV aan gemeenteraadsverkiezingen in Overijssel in de gemeenten Almelo, Enschede en Twenterand gecoördineerd.13

Het doel om vrijwilligers en kandidaten te werven voor de gemeenteraadsverkiezingen van 2018 heeft de PVV Overijssel vormgegeven door een webformulier te plaatsen op haar website waarin onder meer NAW-gegevens, e-mailadres, de beschikbaarheid voor Gemeenteraad en/of vrijwilliger, en de upload van een cv verplicht worden verwerkt door de PVV Overijssel.14

De PVV Overijssel heeft in haar brief van 24 mei 201915 in reactie op het informatieverzoek van de AP16

aangegeven dat zij verschillende activiteiten organiseert en werkte met verschillende maillijsten. De uitnodiging voor de achterbanavond heeft zij verstuurd aan mensen die zich eerder bij haar hebben gemeld en hebben aangegeven geïnteresseerd te zijn in het ontvangen van uitnodigingen. Door een menselijke fout van een fractiemedewerker waren de e-mailadressen zichtbaar voor een ieder die de betreffende uitnodiging heeft ontvangen. De PVV Overijssel zegt hiervan te hebben geleerd en intern passende maatregelen te hebben genomen.

Uit het voorgaande maakt de AP op dat de PVV Overijssel zelfstandig bepaalt welke middelen zij noodzakelijk acht voor het bereiken en activeren van haar achterban in Overijssel. Een van deze middelen is het verzenden van e-mail. De PVV Overijssel heeft zeggenschap over de wijze waarop de persoonsgegevens worden verwerkt en stelt het doel en de middelen van de gegevensverwerking in het kader van deze activiteit vast.

Op grond van het bovenstaande merkt de AP de PVV Overijssel aan als verwerkingsverantwoordelijke als bedoeld in artikel 4, aanhef, en onder 7, van de AVG.

13 Printscreen, bijlage 6 bij het onderzoeksrapport. 14 Printscreen, bijlage 6 bij het onderzoeksrapport. 15 Brief PVV Overijssel van 24 mei 2019, bijlage 5 bij het onderzoeksrapport. 16 Informatieverzoek van AP van 15 mei 2019, bijlage 4 bij het onderzoeksrapport.

7/16

3.3 Meldplicht inbreuk in verband met persoonsgegevens aan de AP

3.3.1 Inbreuk in verband met persoonsgegevens

Op grond van artikel 33, eerste lid, van de AVG meldt de verwerkingsverantwoordelijke de inbreuk in verband met persoonsgegevens zonder onredelijke vertraging en, indien mogelijk, uiterlijk 72 uur nadat hij er kennis van heeft genomen, aan de overeenkomstig artikel 55 bevoegde toezichthoudende autoriteit, tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen.

Voor de vraag of sprake is van schending van de meldplicht in de zin van artikel 33, eerste lid, van de AVG, is allereerst van belang om vast te stellen of met de verzending van de e-mail van 10 januari 2019, sprake is geweest van een zogenoemde inbreuk op de beveiliging in de zin van artikel 4, aanhef en onder 12, van de AVG.

Wat duidelijk moet zijn, is dat een inbreuk een soort veiligheidsincident is. Zoals aangegeven is artikel 4, aanhef en onder 12, van de AVG echter alleen van toepassing wanneer er sprake is van een inbreuk op persoonsgegevens. Het gevolg van een dergelijke inbreuk is dat de verwerkingsverantwoordelijke niet zal kunnen waarborgen dat de beginselen met betrekking tot de verwerking van persoonsgegevens als omschreven in artikel 5 van de AVG worden nageleefd. Dit benadrukt het verschil tussen een veiligheidsincident en een inbreuk in verband met persoonsgegevens – het komt er in wezen op neer dat alle inbreuken in verband met persoonsgegevens veiligheidsincidenten zijn, maar dat niet alle veiligheidsincidenten noodzakelijkerwijs inbreuken in verband met persoonsgegevens zijn. Daarbij wordt opgemerkt dat een veiligheidsincident niet beperkt is tot dreigingsmodellen waarbij een organisatie van buitenaf wordt aangevallen, maar ook incidenten omvat die voortvloeien uit interne verwerking.17

Op 10 januari 2019 stuurt een fractiemedewerker van de PVV Overijssel een e-mailbericht met een uitnodiging voor een achterbanavond aan een groep van 101 geadresseerden. Hierbij was voor alle ontvangers van het e-mailbericht, waaronder klager, het e-mailadres van geadresseerden zichtbaar in de verzendlijst van het e-mailprogramma. De PVV Overijssel erkent in haar reactie van 24 mei 2019 aan de AP dat dit zeer onwenselijk was en nooit had mogen gebeuren.

Gelet op het bovenstaande is de verzending van de e-mail met het onderwerp “Uitnodiging Achterban avond 28 januari 2018” aan een groep van 101 geadresseerden op 10 januari 2019 door de PVV Overijssel aan te merken als een inbreuk op de beveiliging, die per ongeluk heeft geleid tot een ongeoorloofde verstrekking van persoonsgegevens aan alle ontvangers van de e-mail. Naar het oordeel van de AP is daarmee sprake van een inbreuk in verband met persoonsgegevens als bedoeld in artikel 4, onderdeel 12, van de AVG.18

17 Richtsnoeren voor de melding van inbreuken in verband met persoonsgegevens krachtens Verordening 2016/679, p. 8. 18 Vgl. voorbeeld direct marketingmail, Richtsnoeren voor de melding van inbreuken in verband met persoonsgegevens krachtens Verordening 2016/679, p. 39.

8/16

3.3.2 Meldplicht aan de AP

De meldingsplicht zoals neergelegd in artikel 33, eerste lid, van de AVG, is er vooral op gericht verwerkingsverantwoordelijken aan te moedigen om bij een inbreuk onmiddellijk op te treden, de inbreuk in te perken, de gecompromitteerde persoonsgegevens indien mogelijk te herstellen en de toezichthoudende autoriteit om advies te vragen. Door de inbreuk binnen de eerste 72 uur aan de toezichthoudende autoriteit te melden, kan de verwerkingsverantwoordelijke zich ervan vergewissen dat besluiten over het al dan niet in kennis stellen van personen correct zijn.19

3.3.2.1 Het moment waarop de PVV Overijssel kennis heeft genomen van de inbreuk Naar aanleiding van de verzending van de e-mail van de PVV Overijssel op 10 januari 2019, heeft klager op 11 januari 2019 gereageerd en de PVV Overijssel verzocht zijn e-mailadres uit haar adressenbestand te verwijderen. Tevens bericht klager aan de PVV Overijssel dat het beschikbaar stellen van alle e-mailadressen en daarbij herleidbare persoonsgegevens getuigt van ernstige onzorgvuldigheid. Hierop heeft de PVV Overijssel gereageerd met een e-mail op 11 januari 2019 met excuses. Derhalve heeft de PVV Overijssel in ieder geval op 11 januari 2019 kennis genomen van de inbreuk.20

3.3.2.2 Risicoafweging inbreuk in verband met persoonsgegevens De AVG legt een meldingsplicht op aan alle verwerkingsverantwoordelijken, tenzij het onwaarschijnlijk is dat een inbreuk een risico voor de rechten en vrijheden van natuurlijke personen inhoudt. Dit moet per geval worden beoordeeld.21

Volgens de PVV Overijssel gaat de AP in onderdeel 3.4.222 van haar onderzoeksrapport onder verwijzing naar de ‘Richtsnoeren voor de melding van inbreuken in verband met persoonsgegevens krachtens Verordening 2016/679’, ten onrechte uit van het begrip ‘dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen.’ In de Richtsnoeren (pagina 26) wordt echter het begrip gehanteerd: ‘dat de inbreuk een hoog risico voor de rechten en vrijheden van natuurlijke personen met zich brengt.’ Volgens de Richtsnoeren is derhalve een normaal risico niet voldoende, het moet gaan om een hoog risico, aldus de PVV Overijssel.

De AP meent dat de PVV Overijssel hierbij uitgaat van een onjuiste lezing van de Richtsnoeren. Daarin wordt namelijk een onderscheid gemaakt tussen de melding aan de AP en de melding aan betrokkene(n):

“IV. Beoordeling van het risico en hoog risico

A. Risico als aanleiding voor meldingen/mededelingen

19 Richtsnoeren voor de melding van inbreuken in verband met persoonsgegevens krachtens Verordening 2016/679, p. 18. 20 Zie e-mailcorrespondentie in de periode van 10 /m 15 januari 2019, bijlage 3 bij het onderzoeksrapport. 21 Richtsnoeren voor de melding van inbreuken in verband met persoonsgegevens krachtens Verordening 2016/679, p. 9. 22 Bedoeld is 3.5.2 Risicoafweging.

9/16

Hoewel de AVG de verplichting invoert om een inbreuk te melden, is dit niet in alle omstandigheden verplicht:  Een inbreuk moet aan de bevoegde toezichthoudende autoriteit worden gemeld, tenzij het onwaarschijnlijk is dat ze een risico voor de rechten en vrijheden van natuurlijke personen inhoudt.  Een inbreuk wordt alleen aan de persoon meegedeeld als het waarschijnlijk is dat ze een hoog risico voor de rechten en vrijheden inhoudt.”23

In het onderzoeksrapport heeft de AP geconstateerd dat de PVV Overijssel gehouden was de inbreuk te melden bij de AP. In dat kader dient derhalve te worden beoordeeld of het onwaarschijnlijk is dat de inbreuk een risico inhoudt voor de rechten en vrijheden van natuurlijke personen.

De PVV Overijssel heeft in haar zienswijze tevens betwist dat er sprake is van een dergelijk risico. Daartoe voert zij onder meer aan dat de verwerking enkel een verwerking van gewone niet zijnde bijzondere persoonsgegevens betreft. De PVV Overijssel stelt dat het daarmee niet waarschijnlijk is dat lichamelijke, materiële of immateriële schade ontstaat en dat zij ten aanzien van de inbreuk terecht heeft geconstateerd dat het niet waarschijnlijk is dat de inbreuk een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Volgens de PVV Overijssel was zij niet gehouden om de inbreuk te melden bij de AP.

De AP overweegt dienaangaande het volgende. In de Richtsnoeren worden onder verwijzing naar de overwegingen 75 en 76 van de AVG, factoren genoemd die van belang zijn bij de beoordeling van risico’s, te weten: aard van de inbreuk; aard, gevoeligheid en omvang van de persoonsgegevens; gemak waarmee personen kunnen worden geïdentificeerd; ernst van gevolgen voor personen; bijzondere kenmerken van de persoon; bijzondere kenmerken van de verwerkingsverantwoordelijke; het aantal getroffen personen; en algemene punten. De aard en gevoeligheid van de persoonsgegevens die door de inbreuk zijn gecompromitteerd zijn daarin een belangrijke factor. Hoe gevoeliger de gegevens, hoe groter gewoonlijk het risico op schade voor de betrokkenen.24 Wanneer de inbreuk betrekking heeft op persoonsgegevens waaruit een politieke opvatting blijkt, moet materiële of immateriële schade (zoals discriminatie en reputatieschade) voor de personen wier gegevens het voorwerp van de inbreuk zijn als waarschijnlijk worden beschouwd.25

De verzonden e-mail van 10 januari 2019 aan 101 geadresseerden bevat e-mailadressen met persoonsgegevens van de betrokkenen. Hiervoor heeft de AP overwogen dat sprake is van het verwerken van persoonsgegevens waaruit politieke opvattingen blijken. Gezien het onderwerp en de doelgroep van de e-mail, een uitnodiging voor een achterbanbijeenkomst van een politieke partij, alsmede de inhoud van die bijeenkomst, is het meest waarschijnlijk dat onder de geadresseerden personen zijn die interesse hebben in het gedachtegoed van de PVV. Dergelijke informatie zou gevolgen kunnen hebben voor een bestaande of een toekomstige maatschappelijke positie. Voorts is in de Richtsnoeren ten aanzien van de

23 Richtsnoeren voor de melding van inbreuken in verband met persoonsgegevens krachtens Verordening 2016/679, p. 26. 24 Richtsnoeren voor de melding van inbreuken in verband met persoonsgegevens krachtens Verordening 2016/679, p. 28 e.v. 25 Richtsnoeren voor de melding van inbreuken in verband met persoonsgegevens krachtens Verordening 2016/679, p. 26 en 27.

10/16

factor ‘bijzondere kenmerken van de verwerkingsverantwoordelijke’ aangegeven dat de aard en rol van de verwerkingsverantwoordelijke en zijn activiteiten van invloed kunnen zijn op het risico dat een inbreuk voor personen inhoudt. Zo verwerkt een politieke organisatie speciale categorieën van persoonsgegevens, wat betekent dat er een grotere bedreiging is voor personen als hun persoonsgegevens zijn geschonden. Daarmee is sprake van een grotere verantwoordelijkheid van de politieke organisatie om een hoog beschermingsniveau te hanteren. Ten slotte wordt in dit verband nog opgemerkt dat de inbreuk een relatief groot aantal personen treft, namelijk (een deel van) de betrokkenen achter de mailinglijst van geïnteresseerden in uitnodigingen voor activiteiten van de PVV Overijssel.

Gezien deze omstandigheden is er geen sprake van dat het niet waarschijnlijk is dat de inbreuk een risico inhoudt voor de rechten en vrijheden van de betrokkenen. De PVV Overijssel was derhalve gehouden de inbreuk te melden bij de AP.

3.3.2.3 Uiterste datum waarop PVV Overijssel de inbreuk had moeten melden bij de AP Nu de PVV Overijssel in ieder geval op 11 januari 2019 kennis heeft gekregen van de inbreuk in verband met de persoonsgegevens, had zij zonder onredelijke vertraging en uiterlijk binnen 72 uur een melding moeten doen aan de AP als de bevoegde toezichthoudende autoriteit. De PVV Overijssel had dus uiterlijk op 14 januari 2019 melding moeten doen aan de AP, maar heeft dit tot op heden nagelaten.

Gelet op het voorgaande is de AP van oordeel dat PVV Overijssel artikel 33, eerste lid, van de AVG heeft overtreden door na te laten om de inbreuk in verband met persoonsgegevens zonder onredelijke vertraging en uiterlijk binnen 72 uur, nadat PVV Overijssel op 11 januari 2019 op de hoogte raakte van de inbreuk, te melden aan de AP.

4. Boete

4.1 Inleiding

Indien een verwerkingsverantwoordelijke nalaat een inbreuk in verband met persoonsgegevens ter kennis te brengen van de toezichthoudende autoriteit, ondanks het feit dat aan de vereisten van artikel 33 van de AVG is voldaan, wordt de toezichthoudende autoriteit een keuze geboden waarin alle tot haar beschikking staande corrigerende maatregelen moeten worden overwogen, als ook het opleggen van een geldboete.

De PVV Overijssel heeft in haar zienswijze toegelicht en onderbouwd waarom zij van oordeel is dat zij niet gehouden was tot het doen van een melding bij de AP. Zij is dan ook van oordeel dat er geen grond bestaat voor het opleggen van een maatregel of bestuurlijke boete. Voor zover de AP de standpunten van de PVV Overijssel niet zou volgen, doet zij een uitdrukkelijk en gemotiveerd beroep op artikel 7 ‘Relevante factoren’ van de Boetebeleidsregels.26

26 Beleidsregels van de Autoriteit Persoonsgegevens van 19 februari 2019 met betrekking tot het bepalen van de hoogte van bestuurlijke boetes (Boetebeleidsregels Autoriteit Persoonsgegevens 2019), Staatscourant Nr. 14586, 14 maart 2019.

11/16

De AP merkt dienaangaande het volgende op. Door een uitnodiging te versturen voor een achterbanavond waarin voor alle ontvangers van het e-mailbericht, de opsomming van geadresseerden zichtbaar is in de verzendlijst van het e-mailprogramma, heeft de PVV Overijssel ongeoorloofd inzicht gegeven in alle e-mailadressen en in alle namen van de ontvangers, zijnde personen met interesse in het gedachtegoed van de PVV. Door het verzenden van de e-mail zijn derhalve persoonsgegevens waaruit politieke opvattingen blijken gedeeld met alle ontvangers van de e-mail en is inbreuk gemaakt op het recht van eerbiediging van de persoonlijke levenssfeer en het recht op de bescherming van persoonsgegevens van een groot aantal betrokkenen die als gevolg hiervan de controle over hun persoonsgegevens hebben verloren. Het achterwege blijven van een tijdige melding van deze inbreuk in verband met persoonsgegevens aan de AP is naar het oordeel van de AP een ernstige overtreding. Dat de PVV Overijssel hiervan geen melding heeft gemaakt, omdat het om mensen ging die aangegeven hebben periodiek mail te willen ontvangen,27 maakt dat niet anders.

De AP ziet aanleiding om gebruik te maken van haar bevoegdheid om een boete op grond van artikel 58, tweede lid, aanhef en onder i en artikel 83, vierde lid, van de AVG, gelezen in samenhang met artikel 14, derde lid, van de UAVG, aan de PVV Overijssel op te leggen.

Ingevolge artikel 83, vierde lid, onder a, van de AVG zijn inbreuken op artikel 33 van de AVG overeenkomstig lid 2 onderworpen aan administratieve geldboeten tot € 10.000.000 of, voor een onderneming, tot 2% van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is.

4.2 Boetebeleidsregels Autoriteit Persoonsgegevens 2019 (Boetebeleidsregels 2019)

De AP heeft Boetebeleidsregels 2019 vastgesteld inzake de invulling van voornoemde bevoegdheid tot het opleggen van een bestuurlijke boete, waaronder het bepalen van de hoogte daarvan.

Ingevolge artikel 2, onder 2.1, van de Boetebeleidsregels 2019 zijn de bepalingen ter zake van overtreding waarvan de AP een bestuurlijke boete kan opleggen van ten hoogste het bedrag van € 10.000.000 […] in bijlage 1 ingedeeld in categorie I, categorie II of categorie III. In Bijlage 1 is de overtreding van artikel 33, eerste lid, van de AVG ingedeeld in categorie III.

Ingevolge artikel 2.3 van de Boetebeleidsregels 2019 stelt de AP de basisboete voor overtredingen waarvoor een wettelijk boetemaximum geldt van € 10.000.000 […] vast binnen de in dat artikel bepaalde boetebandbreedtes. Voor overtredingen in categorie III van bijlage 1 van de Boetebeleidsregels 2019 geldt een boetebandbreedte tussen € 300.000 en € 750.000 en een basisboete van € 525.000.

Ingevolge artikel 6 van de Boetebeleidsregels 2019 bepaalt de AP de hoogte van de boete door het bedrag van de basisboete naar boven (tot ten hoogste het maximum van de bandbreedte van de aan een overtreding gekoppelde boetecategorie) of naar beneden (tot ten laagste het minimum van die

27 Brief PVV Overijssel van 24 mei 2019, bijlage 5 bij het onderzoeksrapport.

12/16

bandbreedte) bij te stellen. De basisboete wordt verhoogd of verlaagd afhankelijk van de mate waarin de factoren die zijn genoemd in artikel 7 van de Boetebeleidsregels 2019 daartoe aanleiding geven.

Ingevolge artikel 7 van de Boetebeleidsregels 2019 houdt de AP onverminderd de artikelen 3:4 en 5:46 van de Algemene wet bestuursrecht (Awb) rekening met de volgende factoren die zijn ontleend aan artikel 83, tweede lid, van de AVG, in de Beleidsregels genoemd onder a tot en met k: a. de aard, de ernst en de duur van de inbreuk, rekening houdend met de aard, de omvang of het doel van de verwerking in kwestie alsmede het aantal getroffen betrokkenen en de omvang van de door hen geleden schade; b. de opzettelijke of nalatige aard van de inbreuk; c. de door de verwerkingsverantwoordelijke […] genomen maatregelen om de door betrokkenen geleden schade te beperken; d. de mate waarin de verwerkingsverantwoordelijke […] verantwoordelijk is gezien de technische en organisatorische maatregelen die hij heeft uitgevoerd overeenkomstig de artikelen 25 en 32 van de AVG; e. eerdere relevante inbreuken door de verwerkingsverantwoordelijke […]; f. de mate waarin er met de toezichthoudende autoriteit is samengewerkt om de inbreuk te verhelpen en de mogelijke negatieve gevolgen daarvan te beperken; g. de categorieën van persoonsgegevens waarop de inbreuk betrekking heeft; h. de wijze waarop de toezichthoudende autoriteit kennis heeft gekregen van de inbreuk, met name of, en zo ja in hoeverre, de verwerkingsverantwoordelijke […] de inbreuk heeft gemeld; i. de naleving van de in artikel 58, tweede lid, van de AVG genoemde maatregelen, voor zover die eerder ten aanzien van de verwerkingsverantwoordelijke […] in kwestie met betrekking tot dezelfde aangelegenheid zijn genomen; j. het aansluiten bij goedgekeurde gedragscodes overeenkomstig artikel 40 van de AVG of van goedgekeurde certificeringsmechanismen overeenkomstig artikel 42 van de AVG; en k. elke andere op de omstandigheden van de zaak toepasselijke verzwarende of verzachtende factor, zoals gemaakte financiële winsten, of vermeden verliezen, die al dan niet rechtstreeks uit de inbreuk voortvloeien.

Ingevolge artikel 8.1 van de Boetebeleidsregels 2019 kan de AP, indien de voor de overtreding bepaalde boetecategorie in het concrete geval geen passende bestraffing toelaat, bij het bepalen van de hoogte van de boete de boetebandbreedte van de naast hogere categorie respectievelijk de boetebandbreedte van de naast lagere categorie toepassen.

Ingevolge artikel 9 van de Boetebeleidsregels 2019 houdt de AP bij het vaststellen van de boete zo nodig rekening met de financiële omstandigheden waarin de overtreder verkeert. In geval van verminderde of onvoldoende draagkracht van de overtreder kan de AP de op te leggen boete verdergaand matigen, indien, na toepassing van artikel 8.1 van de beleidsregels, vaststelling van een boete binnen de boetebandbreedte van de naast lagere categorie naar haar oordeel desalniettemin zou leiden tot een onevenredig hoge boete.

13/16

4.3 Boetehoogte

Volgens de AP zijn in dit geval met name de volgende in artikel 7 genoemde factoren relevant voor het bepalen van de boetehoogte: a. de aard, de ernst en de duur van de inbreuk; b. de opzettelijke of nalatige aard van de inbreuk (verwijtbaarheid); c. de door de verwerkingsverantwoordelijke of de verwerker genomen maatregelen om de door betrokkenen geleden schade te beperken.

4.3.1 Aard, ernst en duur van de inbreuk

Ingevolge artikel 7, aanhef en onder a, van de Boetebeleidsregels 2019 houdt de AP rekening met de aard, de ernst en de duur van de inbreuk.

De bescherming van natuurlijke personen bij de verwerking van persoonsgegevens is een grondrecht. Krachtens artikel 8, eerste lid, van het Handvest van de grondrechten van de Europese Unie en artikel 16, eerste lid, van het Verdrag betreffende de werking van de Europese Unie (VWEU) heeft eenieder recht op bescherming van zijn persoonsgegevens. De beginselen en regels betreffende de bescherming van natuurlijke personen bij de verwerking van hun persoonsgegevens dienen in overeenstemming te zijn met hun grondrechten en fundamentele vrijheden, met name met hun recht op bescherming van persoonsgegevens. De AVG beoogt bij te dragen aan de totstandkoming van een ruimte van vrijheid, veiligheid en recht en van een economische unie, alsook tot economische en sociale vooruitgang, de versterking en de convergentie van de economieën binnen de interne markt en het welzijn van natuurlijke personen. De verwerking van persoonsgegevens moet ten dienste van de mens staan. Het recht op bescherming van persoonsgegevens heeft geen absolute gelding, maar moet worden beschouwd in relatie tot de functie ervan in de samenleving en moet conform het evenredigheidsbeginsel tegen andere grondrechten worden afgewogen. Elke verwerking van persoonsgegevens dient behoorlijk en rechtmatig te geschieden. De persoonsgegevens dienen toereikend en ter zake dienend te zijn en beperkt te blijven tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt. Persoonsgegevens moeten worden verwerkt op een manier die een passende beveiliging en vertrouwelijkheid van die gegevens waarborgt, ook ter voorkoming van ongeoorloofde toegang tot of het ongeoorloofde gebruik van persoonsgegevens en de apparatuur die voor de verwerking wordt gebruikt. Met de AVG is een doeltreffende bescherming van persoonsgegevens beoogd.

De melding van inbreuken moet worden gezien als een middel om de naleving van de regels in verband met de bescherming van persoonsgegevens te verbeteren. Indien een inbreuk in verband met persoonsgegevens plaatsvindt of heeft plaatsgevonden, kan dit resulteren in lichamelijke, materiële of immateriële schade voor natuurlijke personen of enig ander economisch of maatschappelijk nadeel voor de persoon in kwestie. Daarom dient de verwerkingsverantwoordelijke, zodra hij weet heeft gekregen van een inbreuk in verband met persoonsgegevens de toezichthouder onverwijld en zo mogelijk binnen 72 uur in kennis te stellen van de inbreuk in verband met persoonsgegevens. De toezichthouder wordt daarmee in staat gesteld om haar taken en bevoegdheden, zoals neergelegd in de AVG, op goede wijze uit te voeren.

14/16

De PVV Overijssel meent dat de aard en de omvang van de inbreuk beperkt is, nu het een enkel e-mailbericht met een algemene aanduiding betreft zonder dat er informatie ten aanzien van de betrokkene wordt verwerkt anders dan het e-mailadres.

De AP volgt de PVV Overijssel hierin niet. Vooropgesteld dient te worden dat de PVV Overijssel van 14 januari 2019 tot heden de wettelijk verplichte melding van deze inbreuk niet bij de AP heeft gedaan. Bij haar beoordeling betrekt de AP dat de inbreuk betrekking heeft op 101 personen, waarbij voorts sprake is van een bijzondere categorie van persoonsgegevens, namelijk die waaruit politieke opvattingen blijken. De AP acht de overtreding gelet daarop ernstig, maar ziet hierin geen aanleiding om het basisboetebedrag te verhogen of te verlagen.

4.3.2 Opzettelijke of nalatige aard van de inbreuk (verwijtbaarheid)

Ingevolge artikel 5:46, tweede lid, van de Awb houdt de AP bij de oplegging van een bestuurlijke boete rekening met de mate waarin deze aan de overtreder kan worden verweten. Nu het hier gaat om een overtreding, is voor het opleggen van een bestuurlijke boete conform vaste rechtspraak28 niet vereist dat wordt aangetoond dat sprake is van opzet en mag de AP verwijtbaarheid veronderstellen als het daderschap vaststaat.29

De PVV Overijssel meent dat er geen sprake is van een opzettelijke of nalatige aard van de inbreuk. Zij heeft direct bij constatering de afweging gemaakt die zij conform artikel 33 van de AVG behoort te maken en heeft op rechtmatige gronden geoordeeld dat er geen plicht bestaat de inbreuk te melden bij de AP.

De AP merkt op dat voor zover een dergelijke afweging al zou hebben plaatsgevonden, de PVV Overijssel deze niet op juiste wijze heeft verricht. Als grond voor het niet melden van de inbreuk aan de AP heeft zij aangegeven: “het betreft een uitnodiging welke verstuurd is aan mensen die zich eerder gemeld hebben bij ons en aangegeven hebben geïnteresseerd te zijn in het ontvangen van onze uitnodigingen.” En “wij hebben hier geen melding van gemaakt, omdat het om mensen ging die aangegeven hebben periodiek van ons mail te willen ontvangen.” Voorts heeft de PVV Overijssel in dat kader aangegeven dat het “niet om een onwillekeurige groep mensen gaat”.30 Dit is echter geen criterium op basis waarvan zou kunnen worden geconcludeerd dat het in deze zou gaan om een niet meldenswaardige inbreuk. Op het moment dat de PVV Overijssel kennis had van het incident, had zij op basis van de aard van de ten onrechte verstrekte persoonsgegevens een risicoafweging moeten maken en vervolgens de inbreuk moeten melden bij de AP. PVV Overijssel heeft het doen van een melding aan de AP desondanks nagelaten.

28 Vgl. CBb 29 oktober 2014, ECLI:NL:CBB:2014:395, r.o. 3.5.4, CBb 2 september 2015, ECLI:NL:CBB:2015:312, r.o. 3.7 en CBb 7 maart 2016, ECLI:NL:CBB:2016:54, r.o. 8.3, ABRvS 29 augustus 2018, ECLI:NL:RVS:2018:2879, r.o. 3.2 en ABRvS 5 december 2018, ECLI:NL:RVS:2018:3969, r.o. 5.1. 29 Kamerstukken II 2003/04, 29702, nr. 3, p. 134. 30 Brief PVV Overijssel van 24 mei 2019, bijlage 5 bij het onderzoeksrapport.

15/16

De AP acht het, gelet op het voorgaande, verwijtbaar dat de PVV Overijssel geen melding heeft gedaan bij de AP, maar ziet op basis van deze geconstateerde verwijtbaarheid geen aanleiding om het basisboetebedrag te verhogen of te verlagen.

4.3.3 Genomen maatregelen om de door betrokkenen geleden schade te beperken

De PVV Overijssel heeft aangegeven dat zij direct na constatering haar werkwijze en processen heeft aangepast om te voorkomen dat een dergelijke fout nogmaals zou kunnen worden gemaakt en dat deze maatregelen bewezen effectief zijn.

De AP overweegt dat niet is gebleken van maatregelen om de door betrokkenen (mogelijk) geleden schade te beperken. Van een politieke organisatie als de PVV Overijssel mag worden verwacht dat zij zich terdege bewust is van de gevoeligheid van de persoonsgegevens die zij verwerkt en daartoe een passend beschermingsniveau waarborgt. Eerst na het incident heeft zij aangegeven dat intern iemand zich zou bekwamen in de AVG.

De AP ziet in de aangevoerde omstandigheid dan ook geen aanleiding om het basisbedrag van de boete op grond van artikel 7, onder c van de Beleidsregels 2019 te verlagen.

4.3.4 Evenredigheid

Tot slot beoordeelt de AP op grond van artikelen 3:4 en 5:46 van de Awb (evenredigheidsbeginsel) of de toepassing van haar beleid voor het bepalen van de hoogte van de boete gezien de omstandigheden van het concrete geval, niet tot een onevenredige uitkomst leidt. Toepassing geven aan het evenredigheidsbeginsel brengt volgens de Boetebeleidsregels 2019 mee dat de AP bij het vaststellen van de boete zo nodig rekening houdt met de financiële omstandigheden waarin de overtreder verkeert.

De PVV Overijssel heeft aangegeven dat zij als politieke stichting zonder winstoogmerk over zeer beperkte financiële middelen beschikt.

De AP overweegt dienaangaande als volgt. Op grond van artikel 3 van de statuten van de Stichting Ondersteuning Provinciale Fractie Overijssel Partij voor de Vrijheid, wordt het tot verwezenlijking van het doel van de stichting bestemde vermogen gevormd door de financiële tegemoetkoming van de provincie Overijssel, en hetgeen op andere wijze verkregen wordt. Volgens de Verordening ambtelijke bijstand en fractieondersteuning provincie Overijssel ontvangen de fracties jaarlijks een financiële bijdrage als tegemoetkoming in de kosten voor het functioneren van de fractie. Deze tegemoetkoming bedraagt ten hoogste € 3.570,– voor elk tot die fractie behorend Statenlid vermeerderd met € 26.460,- per fractie (per 1 januari 2019).31

31 Verordening ambtelijke bijstand en fractieondersteuning provincie Overijssel 2016, Provinciaal blad nr. 33, 2 januari 2017 en nr. 2734, 11 april 2019.

16/16

De AP acht gelet hierop de draagkracht van de PVV Overijssel beperkt en komt tot de conclusie dat de PVV Overijssel het boetebedrag van € 525.000 financieel niet kan dragen. Op grond daarvan ziet de AP aanleiding om het boetebedrag te verlagen. De AP acht in dit geval een boete van € 7.500 passend en geboden. De AP overweegt in dit verband dat niet is gebleken dat de PVV Overijssel deze boete niet zou kunnen dragen.

4.3.5 Conclusie

De AP stelt het totale boetebedrag vast op € 7.500,--. 5. Dictum Boete

De AP legt aan de PVV Overijssel, wegens overtreding van artikel 33, eerste lid, van de AVG in de periode van 14 januari 2019 tot heden, een bestuurlijke boete op ten bedrage van € 7.500,-- (zegge: zevenduizend vijfhonderd euro).32

Hoogachtend, Autoriteit Persoonsgegevens,

mr. A. Wolfsen Voorzitter

Rechtsmiddelenclausule Indien u het niet eens bent met dit besluit kunt u binnen zes weken na de datum van verzending van het besluit digitaal of op papier een bezwaarschrift indienen bij de Autoriteit Persoonsgegevens. Het indienen van een bezwaarschrift schort de werking van dit besluit op. Voor het indienen van digitaal bezwaar, zie www.autoriteitpersoonsgegevens.nl, onder het kopje Bezwaar maken tegen een besluit, onderaan de pagina onder de kop Contact met de Autoriteit Persoonsgegevens. Het adres voor het indienen op papier is: Autoriteit Persoonsgegevens, postbus 93374, 2509 AJ Den Haag. Vermeld op de envelop ‘Awb-bezwaar’ en zet in de titel van uw brief ‘bezwaarschrift’. Schrijf in uw bezwaarschrift ten minste: - uw naam en adres; - de datum van uw bezwaarschrift; - het in deze brief genoemde kenmerk (zaaknummer); of een kopie van dit besluit bijvoegen; - de reden(en) waarom u het niet eens bent met dit besluit; - uw handtekening.

32 De AP zal voornoemde vordering uit handen geven aan het Centraal Justitieel Incassobureau (CJIB).