Bijlage(n) 1 1

Autoriteit Persoonsgegevens
Postbus 93374, 2509 AJ Den Haag
Bezuidenhoutseweg 30, 2594 AV Den Haag
T 070 8888 500 - F 070 8888 501
autoriteitpersoonsgegevens.nl

Aangetekend
[VERTROUWELIJK]

Contactpersoon
[VERTROUWELIJK]
Uw referentie
[VERTROUWELIJK]

Onderwerp
Beslissing op bezwaar inzake boete [VERTROUWELIJK]

Geachte [VERTROUWELIJK],

Hierbij ontvangt u het besluit van de Autoriteit Persoonsgegevens (AP) op uw bezwaarschrift van 10 januari 2020 en aangevuld bij brief 21 februari 2020. Het bezwaar is gericht tegen het besluit van de AP van 4 december 2019 (kenmerk: [VERTROUWELIJK]) tot oplegging van een bestuurlijke boete aan [VERTROUWELIJK]. Op 3 september 2020 heeft ten kantore van de AP een hoorzitting plaatsgevonden, waarbij u het standpunt namens [VERTROUWELIJK] nader heeft toegelicht.

2. Beoordeling van uw bezwaargronden

2. De AP beoordeelt ingevolge artikel 7:11 van de Algemene wet bestuursrecht (Awb) op grond van uw bezwaar of zij bij het primaire besluit terecht tot het opleggen van een bestuurlijke boete is overgegaan. Het relevante juridisch kader is opgenomen als bijlage bij dit besluit.

2/20

Inleidende overwegingen

Aanleiding onderzoek 3. [VERTROUWELIJK] is een (internationale) onderneming gespecialiseerd in [VERTROUWELIJK].1 Naar aanleiding van een bij de AP binnengekomen melding op 5 juli 2018 over de afname van vingerscans door [VERTROUWELIJK] bij haar personeel, is de AP een onderzoek gestart. In dat kader zijn op 6 november 2018 en 18 maart 2019 bij [VERTROUWELIJK] bedrijfsbezoeken afgelegd.2 Dit onderzoek heeft geresulteerd in een onderzoeksrapport en het opleggen van een bestuurlijke boete. Tegen het boetebesluit heeft [VERTROUWELIJK], zoals hiervoor al opgemerkt, bezwaar gemaakt. Het bezwaar richt zich primair tegen het opleggen van de bestuurlijke boete omdat van een overtreding van de AVG geen sprake zou zijn en subsidiair tegen de hoogte van de boete.

Verwerkingsverbod biometrische gegevens 4. Naar aanleiding van het onderzoek van de AP is komen vast te staan dat [VERTROUWELIJK] door middel van het vastleggen en opslaan van zogenaamde vingerscans biometrische gegevens van haar werknemers verwerkte. Dat heeft [VERTROUWELIJK] in haar bezwaarschrift ook uitdrukkelijk erkend.3 Voor een nadere uitzetting van de wijze van verwerking volstaat de AP in het kader van de bezwaarprocedure daarom met een verwijzing naar paragraaf 3.6 (‘Vastlegging vingerafdruk’) en paragraaf 3.7 (‘Opslag van templates van vingerafdrukken’) van het definitieve rapport van onderzoek van 4 september 2019 (hierna: het onderzoeksrapport) alsmede naar het verslag van het technisch onderzoek dat als bijlage 4 deel uitmaakt van het onderzoeksrapport. [VERTROUWELIJK] is in dit verband aan te merken als verwerkingsverantwoordelijke als bedoeld in artikel 4, onderdeel 7, van de AVG, hetgeen [VERTROUWELIJK] niet betwist.4

5. De door [VERTROUWELIJK] verwerkte vingerscans zijn biometrische (persoons)gegevens als bedoeld in artikel 4, onderdeel 14, van de AVG. Dergelijke gegevens beschouwt de AVG als een bijzondere categorie van persoonsgegevens.5 Ze zijn gevoelig omdat ze unieke informatie geven over iemands fysieke, fysiologische of gedragsgerelateerde kenmerken. Anders dan bijvoorbeeld het geval is bij persoonlijke wachtwoorden, waarbij misbruik kan worden tegengegaan door periodieke wijziging daarvan als blijkt dat onbevoegden daarover de beschikking hebben gekregen, vormen biometrische gegevens, zoals de vingerafdruk6, onveranderlijke identificatiemiddelen. Vanwege de gevoeligheid van dit type gegevens geldt er - tenzij een uitzondering van toepassing is - een verwerkingsverbod .7

1 [VERTROUWELIJK] 2 Ten aanzien van het verloop van het onderzoek wordt verwezen naar p. 2 en 3 van het primaire besluit alsmede naar paragraaf 1.2, p. 4 van het hierna genoemde definitieve onderzoeksrapport van de AP. 3 Vgl. p. 2 van het bezwaarschrift van [VERTROUWELIJK] 4 Voor de nadere onderbouwing van het standpunt dat [VERTROUWELIJK] als verwerkingsverantwoordelijke kwalificeert, zij - ten overvloede - verwezen naar paragraaf 5.2 van het onderzoeksrapport en paragraaf 3.2 van het boetebesluit. 5Deze persoonsgegevens verdienen specifieke bescherming, omdat de context van de verwerking ervan significante risico’s kan meebrengen voor de grondrechten en fundamentele vrijheden (overweging 51 AVG). 6 Ook als een vingerafdruk – zoals ook in onderhavig geval – wordt omgezet naar een code is sprake van een (biometrisch) persoonsgegeven. Vgl. Rb. Amsterdam 12 augustus 2019 (ECLI:NL:RBAMS:2019:6005). 7 Artikel 9, eerste lid jo. tweede lid, AVG.

3/20

6. Uit het onderzoek van de AP is verder gebleken dat [VERTROUWELIJK] op 25 mei 2018 biometrische gegevens had opgeslagen - en daarmee verwerkt - van 250 werknemers welke geleidelijk zijn aangevuld tot 337 werknemers. [VERTROUWELIJK] heeft tot en met in ieder geval 16 april 2019 de biometrische gegevens verwerkt.8

Bezwaargronden 7. In haar initiële bezwaarschrift alsook in haar twee pleitnotities, waarvan zij er een vóór de bezwaarhoorzitting heeft toegestuurd en de andere tijdens de hoorzitting heeft overgelegd, heeft [VERTROUWELIJK] diverse bezwaren aangevoerd. Die worden hierna samengevat en door de AP voorzien van een reactie.

Bezwaargrond 1: Geen overtreding, medewerkers gaven toestemming

8. In haar bezwaarschrift betoogt [VERTROUWELIJK] dat - op één na - alle werknemers nadat ze daarover zijn geïnformeerd uitdrukkelijke (en vrijelijke) toestemming hebben gegeven voor het afnemen van vingerscans. Het vingerscansysteem is gebruikt naast het zogenoemde druppelsysteem. Er bestond steeds een alternatief voor de vingerscan. Er is volgens [VERTROUWELIJK] daarom sprake van een rechtmatige uitzondering op het verwerkingsverbod en daarmee niet van een overtreding van artikel 9 AVG. De AP volgt [VERTROUWELIJK] niet in dat standpunt en licht dat hierna toe.

(uitdrukkelijke) Toestemming volgens de AVG 9. Het algemene verbod op verwerking van bijzondere persoonsgegevens geldt niet als de betrokkene zijn uitdrukkelijke toestemming geeft voor de verwerking.9 De AVG stelt een aantal eisen aan (uitdrukkelijke) toestemming. Er is blijkens artikel 4, tweede lid, onder 11, AVG eerst sprake van toestemming als sprake is van 1) een vrije, 2) specifieke, 3) geïnformeerde en 4) ondubbelzinnige wilsuiting 5) waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt. In artikel 7 AVG worden bovendien nog nadere voorwaarden gesteld aan toestemming. Zo zal de verwerkingsverantwoordelijke moeten kunnen aantonen dat de betrokkene toestemming heeft gegeven.10

10. Naast voormelde eisen moet de toestemming die als uitzondering kan gelden voor het verwerkingsverbod van bijzondere persoonsgegevens ex artikel 9 AVG bovendien uitdrukkelijk zijn gegeven. De richtsnoeren van de EDPB over toestemming11 geven in randnummers 91 -102 nadere duiding aan de term ‘uitdrukkelijke toestemming’. Blijkens randnummer 93 verwijst ‘uitdrukkelijke toestemming’ naar de manier waarop toestemming door de betrokkene tot uiting wordt gebracht. Hierbij kan gedacht worden aan schriftelijke toestemming, ondertekening (eventueel met elektronische handtekening), het door betrokkene versturen van een e-mail, of bijvoorbeeld toestemming met tweetrapsverificatie. Hoewel

8 Vgl. randnummer 64 (p. 23-24) van het onderzoeksrapport van 4 september 2019. 9 Artikel 9, eerste lid jo. tweede lid, aanhef, en onder a, AVG. 10 Artikel 7, eerste lid, AVG en overweging 42 AVG 11 ‘Guidelines 05/2020 on consent under Regulation 2016/679,version 1.1, adopted on 4 May 2020’ . Zie: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-052020-consent-under-regulation-2016679 en

4/20

mondelinge toestemming niet op voorhand wordt uitgesloten, ziet de EDPB dit als een theoretische mogelijkheid omdat het bij mondelinge toestemming moeilijk is voor de verwerkingsverantwoordelijke om te bewijzen dat aan alle voorwaarden voor toestemming is voldaan toen deze werd afgelegd. In dat geval kan dus niet worden aangetoond dat toestemming is gegeven zoals artikel 7, eerste lid, AVG dat vereist en wordt evenmin worden voldaan aan de verantwoordingsplicht uit artikel 5, tweede lid, van de AVG.

Toestemming niet vastgesteld of aangetoond 11. In onderhavige casus is niet komen vast te staan, en heeft [VERTROUWELIJK] ook niet aangetoond, dát al haar werknemers om toestemming is gevraagd. En voor zover toestemming wél zou zijn gegeven, is niet aangetoond dat de toestemming vrij, specifiek en/of geïnformeerd is geweest.

12. In dit verband merkt de AP allereerst op dat de directeur van [VERTROUWELIJK] tijdens de hoorzitting naar aanleiding van het bezwaarschrift desgevraagd heeft verklaard dat er geen schriftelijke toestemming is gevraagd.12Dat komt overeen met de bevindingen van de AP tijdens de onderzoeksfase. De AP heeft naar aanleiding van het door haar ingestelde onderzoek geen documentatie van beleid of procedures ten bewijze van het verlenen of weigeren van toestemming aangetroffen.13 Hierbij merkt de AP op dat het ‘erop wijzen via het personeelshandboek dat inklokken in de toekomst middels de vingerafdruk zal plaatsvinden’, niet kan worden aangemerkt als het vragen - laat staan verkrijgen - van (uitdrukkelijke) toestemming op basis van vooraf verstrekte informatie over deze voorgenomen gegevensverwerking. Het bezwaar dat [VERTROUWELIJK] in dit verband heeft aangevoerd, dat erop neer komt dat hiermee wel geldige toestemming kan worden verkregen, acht de AP dan ook ongegrond. Zo dit al als toestemming kan worden beschouwd, hetgeen de AP uitdrukkelijk betwist, is daarmee nog geenszins aangetoond dat sprake was van vrije, specifieke en geïnformeerde toestemming zoals de AVG dat vereist.

13. Dat geen sprake is geweest van toestemming (in de zin van de AVG) wordt bevestigd door de bevindingen van toezichthouders van de AP. In de door hen opgestelde verslagen van gesprekken met werknemers van [VERTROUWELIJK] blijkt dat enkele werknemers hebben verklaard dat, of geen toestemming is gevraagd, of die niet is gegeven, dan wel dat zij zich niet kunnen herinneren of toestemming is gegeven.14 Daaruit valt op te maken dat er geen eenduidig proces is gehanteerd waarbij om toestemming is gevraagd als er al om toestemming is gevraagd, niet is gebleken van vooraf verstrekte informatie aan de werknemers over de specifieke verwerking van persoonsgegevens en dat niet is aangetoond dat toestemming is gegeven. Van toestemming als zodanig is in die gevallen dus reeds niet gebleken.

14. Hoewel twee werknemers hebben verklaard dat zij mondeling toestemming hebben gegeven15 en [VERTROUWELIJK] daaraan in haar bezwaarschrift ook refereert, kan deze toestemming niet als rechtsgeldige toestemming worden aangemerkt. Immers, niet is aangetoond dat daarnaast is voldaan aan de specifieke voorwaarden van de AVG voor toestemming, te weten vrije en geïnformeerde toestemming.

12 Vgl. p. 6 van het verslag van de hoorzitting. Eerder tijdens het bedrijfsbezoek op 6 november 2018 heeft hij aangegeven niet te weten of er überhaupt toestemming was gevraagd (vgl. p. 2 van het verslag van het gesprek dat plaats vond op 6 november 2018 met [VERTROUWELIJK], dossierstuk 17 van het onderzoekdossier). 13 Verwezen zij naar randnummers 83 – 104 van het onderzoeksrapport. 14 Vgl. de gespreksverslagen die als dossierstukken 14, 15 en 16 onderdeel uitmaken van het onderzoekdossier. 15 Vgl. de gespreksverslagen die als dossierstukken 34 en 35 onderdeel uitmaken van het onderzoekdossier.

5/20

Een medewerker kon zich niet meer herinneren welke informatie is gegeven over het gebruik van de vingerscan, terwijl door de ander is verklaard geen informatie te hebben gekregen.16 Daarmee is dus niet aangetoond dat de medewerkers voorafgaande aan het geven van toestemming zijn geïnformeerd over doel van de verwerking, de bewaartermijn en de beveiliging van de gegevens en is derhalve geen sprake van geïnformeerde toestemming.

15. Daarnaast is voor geen enkele werknemer van [VERTROUWELIJK] aangetoond dat sprake was van ‘vrije’ toestemming. In dat verband is van belang dat het in dit geval zou gaan om toestemming die is gegeven in het kader van een arbeidsrelatie. Dan is sprake van een afhankelijkheidsrelatie waarbij een gelijkwaardige positie tussen werkgever en werknemer ontbreekt.17 In zo een geval wordt aangenomen dat van een vrije toestemming geen sprake is, althans het onwaarschijnlijk is dat een betrokkene toestemming vrijelijk kan (hebben) (ge)geven.18 Het niet geven van toestemming zou immers negatieve consequenties kunnen hebben voor de arbeidsrelatie en/of verdere carrièrekansen. De AP verwijst voor een nadere onderbouwing van dit standpunt naar de uitvoerig gemotiveerdere overwegingen in paragaaf 3.3.3.1 (p. 12-15) van het bestreden besluit. Dit betekent dat als er (mondeling) toestemming is gegeven door sommige werknemers van [VERTROUWELIJK], deze toestemming gelet op de afhankelijkheidsrelatie tussen de werknemers en haar werkgever [VERTROUWELIJK], geacht wordt niet vrijelijk te zijn gegeven. [VERTROUWELIJK] heeft het tegendeel niet aannemelijk gemaakt. Derhalve mag worden aangenomen dat van vrije toestemming geen sprake is.

Conclusie toestemming 16. Gelet op het vorenstaande concludeert de AP dat in het bestreden besluit terecht is geconstateerd dat [VERTROUWELIJK] biometrische gegevens van haar werknemers heeft verwerkt zonder dat zij zich daarvoor kon beroepen op een uitzonderingsgrond. Van (uitdrukkelijke) toestemming van betrokkenen voor het verwerken van hun vingerafdrukken is niet gebleken. Niet is aangetoond dat de werknemers van [VERTROUWELIJK] om toestemming is gevraagd en verkregen en voor zover er medewerkers zijn geweest die (mondeling) toestemming hebben gegeven, is niet aangetoond en tevens geen sprake is van geïnformeerde en vrije toestemming als gevolg van de werknemer-werkgeverrelatie. Dat betekent dat [VERTROUWELIJK], omdat zij zich niet kan beroepen op een uitzonderingsgrond, in strijd heeft gehandeld met het verwerkingsverbod als bedoeld in artikel 9, eerste lid, van de AVG. Gelet op artikel 58, tweede lid, aanhef en onder i, in samenhang met artikel 83, vijfde lid, aanhef en onder a, AVG en artikel 14, derde lid, UAVG is de AP bevoegd voor deze overtreding een boete op te leggen.

Overige bezwaargronden toestemming

17. [VERTROUWELIJK] heeft nog diverse bezwaargronden aangevoerd19 op grond waarvan zij meent dat sprake is van toestemming in de zin van de AVG. Hoewel de AP van oordeel is dat, zoals hiervoor overwogen, in het geval van [VERTROUWELIJK] het beroep op rechtsgeldige toestemming in elk geval niet opgaat vanwege het ontbreken/niet kunnen aantonen van geïnformeerde alsmede vrije toestemming,

16 Vgl. de gespreksverslagen die als dossierstukken 34 en 35 onderdeel uitmaken van het onderzoekdossier. 17 In AVG-terminologie is dan sprake van een ‘duidelijke wanverhouding’. Vgl. overweging 43 bij de AVG. 18 Vgl. Richtsnoeren inzake toestemming overeenkomstig Verordening 2016/679 d.d. 28 november 2017, p. 7-8, zoals laatstelijk herzien en vastgesteld door de Groep Gegevensbescherming Artikel 29 op 10 april 2018. 19 Die zijn (mede) aangevoerd in de twee pleitnotities, waarvan zij er een vóór de bezwaarhoorzitting heeft toegestuurd en de andere tijdens de hoorzitting heeft overgelegd.

6/20

en de overige bezwaren daaraan niet kunnen afdoen, ziet de AP niettemin aanleiding daarop toch kort te reageren. De reactie geldt als subsidiair standpunt en vormt tevens een nadere duiding van de reikwijdte van het begrip toestemming.

Toestemming valt niet af te leiden uit gedragingen van werknemers 18. Tijdens de hoorzitting in bezwaar heeft [VERTROUWELIJK] verklaard dat de werknemers van te voren, tijdens de nieuwjaar speech van 2017 en via het personeelsblad, over het gebruik van de vingerscans zijn geïnformeerd, en dat de toestemming kan worden afgeleid uit de gedragingen van de werknemers omdat ze hun vingerafdruk lieten scannen en (vrijwillig) gebruik maakten van de tijdregistratie door middel van de vingerafdruk.20

19. De AP volgt [VERTROUWELIJK] niet in haar bezwaar en merkt op dat het feit dát werknemers hun vingerafdruk lieten scannen ten behoeve van tijdregistratie onvoldoende is voor de conclusie dat daaruit toestemming kan worden afgeleid. Aldus is geen sprake van een ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling de desbetreffende verwerking aanvaardt, zoals de AVG vereist. Het uit bepaalde gedragingen (van werknemers) afleiden van toestemming verdraagt zich naar het oordeel van de AP naar zijn aard niet met de door de AVG-wetgever gestelde specifieke eisen aan toestemming. Hetzelfde geldt voor het argument van [VERTROUWELIJK] dat de medewerkers tijdens de nieuwjaar speech en via het personeelsblad (eenzijdig) is medegedeeld dat van een vingerscan gebruik zal worden gemaakt. Ook in dat geval is geen sprake van een ondubbelzinnige wilsuiting. Integendeel, het impliceert juist dat sprake was van een eenzijdig besluit van de werkgever en daarmee veeleer van een verplichting.

Alternatief voor vingerscan en de verklaring van de systeembeheerder/security officer [VERTROUWELIJK] 20. [VERTROUWELIJK] betoogt dat ook gebruik kon worden gemaakt van een alternatief, de zogenoemde ‘druppel’. In dat kader heeft [VERTROUWELIJK] ook gewezen op een schriftelijke verklaring van haar systeembeheerder/security officer. Daarin wordt verklaard dat sprake was van vrijwilligheid bij het gebruik van de vingerafdruk. Een duidelijke aanwijzing daarvoor is volgens de systeembeheer/security officer gelegen in de omstandigheid dat een werknemer heeft verklaard dat gebruik kon worden gemaakt van zowel de druppel als de vingerscan.

21. De AP kan [VERTROUWELIJK] niet volgen in haar betoog. De enkele omstandigheid dat ook gebruik kon worden gemaakt van een alternatief betekent niet dat dus sprake is van toestemming voor het verwerken van een vingerscan van een werknemer. Ook deze ‘afgeleide toestemming’ verdraagt zich naar zijn aard niet met de door de AVG-wetgever gestelde specifieke eisen aan toestemming, waaronder de eis van een ondubbelzinnige wilsuiting.

Bezwaargrond 2: Waarde van de door AP opgetekende verklaringen van medewerkers

22. [VERTROUWELIJK] betoogt dat de verklaringen van haar werknemers zijn opgetekend door medewerkers van de AP en niet zijn ondertekend door de medewerkers van [VERTROUWELIJK] waardoor ze niet kan

20 Vgl. p. 3 pleitnota zoals overgelegd tijdens de hoorzitting in bezwaar.

7/20

controleren of de betreffende werknemers inderdaad hebben verklaard zoals de medewerkers van de AP dat hebben opgetekend. De AP begrijpt dit bezwaar aldus dat [VERTROUWELIJK] de waarde van de door de AP-medewerkers vastgestelde gespreksverslagen in twijfel trekt en deze daarom niet zouden mogen worden gebruikt ter onderbouwing van het standpunt van de AP over het ontbreken van toestemming. Hierover merkt de AP het volgende op.

23. De betreffende toezichthoudende ambtenaren hebben uitdrukkelijk verklaard het verslag van ambtshandelingen naar waarheid te hebben opgesteld. Daarvoor hebben ze het verslag ondertekend met hun handtekening. Deze AP-medewerkers hebben ook allemaal een ambtseed of ambtsbelofte afgelegd. De AP heeft daarom geen aanleiding om te veronderstellen dat de door de toezichthoudende ambtenaren opgestelde en ondertekende gespreksverslagen onjuist of in strijd met de waarheid zouden zijn opgesteld en aan deze verslagen geen - of verminderde - waarde zouden moeten worden toegekend. 21

Bezwaargrond 3: Kamervragen n.a.v. gebruik vingerscan 24. [VERTROUWELIJK] voert ook aan dat rond de inwerkingtreding van de AVG niet duidelijk was of en wanneer het verwerken van biometrische gegevens was toegestaan. [VERTROUWELIJK] verwijst daarbij naar antwoorden van de staatsecretaris van Sociale Zaken en Werkgelegenheid op Kamervragen hierover.22Hieruit maakt [VERTROUWELIJK] op dat het gebruik van vingerscans voor urenregistratie enkel is toegestaan als daar een alternatief voor is.23

25. De AP onderschrijft deze lezing van [VERTROUWELIJK] niet. Naar het oordeel van de AP laat de staatssecretaris er geen twijfel over bestaan dat het niet is toegestaan om vingerscans te verwerken voor urenregistratie, ook niet in het geval er een alternatief voorhanden is. De staatssecretaris geeft immers aan dat: (. ) ”voor het doel urenregistratie en kloksysteem er altijd sprake moet zijn van een alternatief en die ook als enige moet worden aangeboden. Het gaat hier immers om gebruik dat niet te maken heeft met authenticatie vanwege beveiligingsdoeleinden.”(…). (onderstrepingen toegevoegd door de AP). Kortom, een vingerscan mag (en mocht) voor het doel urenregistratie en kloksysteem - voor welk doel ook [VERTROUWELIJK] de vingerscan heeft gebruikt - sowieso niet worden aangeboden of gebruikt, juist omdat er een alternatief voorhanden was dat voor urenregistratie en kloksysteem afdoende is.

Bezwaargrond 4: [VERTROUWELIJK] treft geen verwijt, afwezigheid van alle schuld

26. [VERTROUWELIJK] betoogt dat, voor zover sprake zou zijn van een overtreding, haar daarvan geen verwijt kan worden gemaakt omdat sprake is van afwezigheid van alle schuld (AVAS). In dat verband voert ze aan

21 Nog afgezien daarvan merkt de AP - onder verwijzing naar randnummers 5 en 6 op pagina 4 en 5 van het onderzoeksrapport van 4 september 2019 - nog op dat de gespreksverslagen op 11 februari en 9 mei 2019 zijn toegezonden aan [VERTROUWELIJK]. Hoewel [VERTROUWELIJK] hierop heeft kunnen reageren, heeft ze daartoe toen geen aanleiding gezien. 22 Brief Staatsecretaris van Sociale zaken en Werkgelegenheid van 29 maart 2018. Zie: https://www.rijksoverheid.nl/documenten/kamerstukken/2018/03/29/beantwoording-kamervragen-over-kloksystemen-op-basis-van-vingerafdrukken 23 Vgl. p. 4 (par. 2.4) van de pleitnota van [VERTROUWELIJK] t.b.v. hoorzitting in bezwaar zoals tijdens de hoorzitting overgelegd op 3 september 202

8/20

dat de leverancier van de vingerscanapparatuur –[VERTROUWELIJK] -heeft aangegeven dat het gebruik van vingerscans in overeenstemming was met de AVG. De AP is van mening dat [VERTROUWELIJK] geen beroep op AVAS toekomt en overweegt als volgt.

27. Indien de overtreder aannemelijk kan maken dat sprake is van AVAS kan hem geen verwijt worden gemaakt en staat artikel 5:41 Awb aan boeteoplegging in de weg. Daarin is [VERTROUWELIJK] naar de mening van de AP echter niet geslaagd. De AP benadrukt in dit verband allereerst dat [VERTROUWELIJK] primair zelf verantwoordelijk is voor het correct en tijdig naleven van de AVG. Ook het inwinnen van advies ontslaat haar niet van haar eigen verantwoordelijkheid ten aanzien van de juiste en tijdige naleving van voorschriften van de AVG.24

28. Hoewel onder omstandigheden een vruchtbaar beroep op AVAS mogelijk is als is afgegaan op een advies van een derde, gelden daarvoor wel - zo volgt uit de jurisprudentie - strikte voorwaarden. Van AVAS kan sprake zijn als de verdachte is afgegaan op het advies van een persoon of instantie aan wie of waaraan zodanig gezag valt toe te kennen dat de verdachte in redelijkheid op de deugdelijkheid van het advies mocht vertrouwen.25 De AP stelt zich op het standpunt dat [VERTROUWELIJK] niet als een dergelijke instantie kan worden aangemerkt. Factoren die daarbij een rol (kunnen) spelen zijn: (i) de onafhankelijkheid en onpartijdigheid van de adviseur; (ii) de specifieke deskundigheid van de adviseur; (iii) de complexiteit van de materie waarover advies wordt ingewonnen en (iv) de manier waarop en de omstandigheden waaronder het advies is ingewonnen.

29. In het licht van het vorenstaande overweegt de AP dat [VERTROUWELIJK] niet als onafhankelijk en onpartijdig kan worden gekwalificeerd. Als (vaste) leverancier van [VERTROUWELIJK] streeft [VERTROUWELIJK] primair een commercieel belang na. Dat brengt mee dat ze niet als een onafhankelijk en evenmin als onpartijdig kan worden aangemerkt. Bovendien is [VERTROUWELIJK]geen adviseur met specifieke juridische deskundigheid op het gebied van privacywetgeving en de AVG. De AP concludeert dan ook dat [VERTROUWELIJK] niet op het advies van [VERTROUWELIJK] heeft mogen vertrouwen en van AVAS, dan wel verminderde verwijtbaarheid, geen sprake is.

Bezwaargrond 5: In het primaire besluit zijn de boetecriteria niet beoordeeld in het licht van de vraag of van een boete kon worden afgezien

30. [VERTROUWELIJK] voert aan dat het bestreden besluit er geen blijk van geeft dat de AP de criteria uit artikel 83, tweede lid, AVG, artikel 7 van de boetebeleidsregels en de richtsnoeren van de WP29 heeft beoordeeld in het kader van de vraag óf een boete op zijn plaats was. De AP heeft, zo betoogt [VERTROUWELIJK], de criteria enkel toegepast in het kader van het bepalen van de hoogte van de boete. Vervolgens benoemt [VERTROUWELIJK] bij alle criteria uit voormelde artikelen de naar haar oordeel relevante omstandigheden en concludeert dat de AP had moeten afzien van het opleggen van een boete. De AP volgt dit betoog niet en overweegt daartoe als volgt.

24 Vgl. CBb 20 mei 2016 (ECLI:NL:CBB:2016:119), rov. 3.2.3 en CBb 25 januari 2017 (ECLI:NL:CBB:2017:14), rov. 5.2. 25 Vgl.: HR 4 april 2006, HR 23 mei 1995 (NJ 1995, 631) en HR 13 december 1960 (NJ 1961, 416).

9/20

31. De AP komt beleidsvrijheid toe bij de keuze voor een handhavingsinstrument, maar zal in geval van een inbreuk op de AVG - zo kan worden opgemaakt in overweging 48 bij de AVG - het opleggen van een bestuurlijke boete nadrukkelijk in overweging (moeten) nemen.

32. In het bestreden besluit heeft de AP uitvoerig uiteengezet op basis van welke feiten en omstandigheden ze het opleggen van een bestuurlijke boete gerechtvaardigd vond. Daarbij heeft ze acht geslagen op alle (relevante) criteria zoals opgenomen in artikel 83, tweede lid, AVG.26 In paragraaf 4.3.1 (p. 20-21) van het bestreden besluit is uitvoering ingegaan op de aard, ernst en duur van de inbreuk. Daarbij is (met name) van belang geacht dat het in onderhavige casus gaat om de verwerking van bijzondere persoonsgegevens waarvoor een hoog beschermingsniveau geldt, dat de verwerking structureel van aard was, voor een langere periode heeft plaatsgevonden en het ging om de verwerking van vingerscans van meer dan driehonderd (oud)werknemers. Op basis daarvan kon naar het oordeel van de AP in het bestreden besluit terecht worden geconcludeerd dat sprake was van een ernstige overtreding waarvoor een boete op zijn plaats was. In overeenstemming met de boetebeleidsregels is uitgegaan van de basisboete. Die basisboete heeft als (neutraal) uitgangspunt te gelden. Tegen de achtergrond van de in artikel 83, tweede lid, AVG opgesomde relevante factoren, zag de AP vervolgens geen aanleiding deze basisboete te verhogen of te verlagen. Dat standpunt heeft ze ook gemotiveerd. De AP is van oordeel dat het bestreden besluit er daarmee wel degelijk blijk van geeft dat de desbetreffende criteria zijn beoordeeld. Niet alleen in het kader van de vraag óf een boete op zijn plaats was, maar ook of die vervolgens tot een verhoging of een verlaging van de boete zouden moeten leiden, zij het dat de AP de desbetreffende factoren anders weegt dan [VERTROUWELIJK].

33. Waar [VERTROUWELIJK] vindt dat de toetsing aan de desbetreffende criteria geen, althans een lagere, boete rechtvaardigt, is de AP van oordeel dat de uitkomst van de toetsing aan de criteria - waar het gaat om het eventueel matigen of verhogen van de basisboete - uiteindelijk neutraal is omdat ze of onvoldoende gewicht in de schaal leggen (geen sprake van eerdere inbreuken, steeds meegewerkt en transparant geweest, geen financieel voordeel behaald bij de verwerking, zich niet bewust zijn van de overtreding) of dat ze in dit geval niet relevant zijn (ontbreken opzet, de verwerkte biometrische gegevens waren goed beveiligd, betrokkenen hebben geen schade geleden, [VERTROUWELIJK] is ISO gecertificeerd) en daarin dus geen aanleiding ziet om af te zien van een boete, noch om te matigen.

34. In het licht van het vorenstaande merkt de AP verder nog op dat dit bezwaar van [VERTROUWELIJK] in de kern een herhaling is van hetgeen ze ook in haar zienswijze heeft aangevoerd. De AP verwijst in aanvulling op vorenstaande motivering daarom ook nog naar haar uitvoerig gemotiveerde reactie in paragraaf 4.3.3. (p. 21) van het bestreden besluit.

Bezwaargrond 6: AP schendt het gelijkheidsbeginsel

35. [VERTROUWELIJK] doet een beroep op het gelijkheidsbeginsel en refereert aan verschillende cases waarbij geen boetes zijn opgelegd. Zo heeft de AP het gebruik van gezichtsherkenning via camera’s in de

26 Deze criteria zijn dezelfde als die zijn opgenomen in artikel 7 van de boetebeleidsregels. De richtsnoeren van de WP29 geven nadere duiding aan de criteria uit artikel 83, tweede lid, van de AVG.

10/20

supermarktbranche afgedaan met een waarschuwing. Daarnaast wijst [VERTROUWELIJK] erop dat [VERTROUWELIJK] en [VERTROUWELIJK] niet zijn beboet, terwijl deze ketens ook vingerscans van hun werknemers hebben verwerkt. De AP is van mening dat deze cases op relevante aspecten verschillen en dat dit een vruchtbaar beroep op het gelijkheidsbeginsel in de weg staat. Ze motiveert dat als volgt.

36. De AP merkt allereerst op dat uit de jurisprudentie volgt dat het gelijkheidsbeginsel in het kader van het opleggen van bestuurlijke boetes niet zover strekt dat de bevoegdheid tot het opleggen ervan onrechtmatig is uitgeoefend alleen omdat een eventuele andere overtreder niet is beboet. Dat kan anders komen te liggen als sprake is van een ongelijke behandeling van gelijke gevallen die duidt op willekeur in de handhavingspraktijk van het bevoegde bestuursorgaan.27 Een dergelijke situatie doet zich naar het oordeel van de AP niet voor omdat vanwege relevante verschillen met onderhavige casus geen sprake is van gelijke gevallen.

De casus van de supermarkt 37. Een relevant verschil met de zaak van de supermarktbranche betreft de aanleiding en het doel van de verwerking. De aanleiding betrof een concrete casus van een supermarkt waarbij gebruik werd gemaakt van camera’s met gezichtsherkenning om winkeldieven met een winkelverbod die al herhaaldelijk waren aangehouden en/of strafrechtelijk vervolgd gemakkelijker te weren uit de supermarkt om aldus het opgelegde winkelverbod te kunnen handhaven. Dit ter bescherming van het winkelpersoneel, de klanten en eigendommen. Daarbij is van belang dat winkeldiefstal vaak gepaard gaat met aanzienlijke overlast en geweld. Hoewel de AP ook in het geval van de supermarkt van oordeel is dat in het licht van de (U)AVG de noodzaak (uit oogpunt van beveiliging) voor het verwerken van biometrische gegevens in de vorm van gezichtsherkenning ontbrak, ziet zij in de aanleiding en het verwerkingsdoel bij de supermarkt een relevant verschil met het verwerkingsdoel van tijdregistratie en kloksysteem bij [VERTROUWELIJK]. Dat verschil maakt dat van gelijke gevallen geen sprake is en dat verklaart en rechtvaardigt naar het oordeel van de AP ook een andere behandeling. Voor zover al sprake zou zij van een gelijkenis, dan is dat in elk geval niet terug te voeren op willekeur van de AP.

Cases [VERTROUWELIJK] en [VERTROUWELIJK] 38. Ten aanzien van de cases [VERTROUWELIJK] en [VERTROUWELIJK] overweegt de AP dat ook daar geen sprake is van gelijke gevallen. Zo zijn voormelde zaken in tegenstelling tot de onderhavige casus nimmer door middel van een klacht (signaal of klacht met een verzoek om corrigerende maatregelen) bij de AP aangebracht. Uit de jurisprudentie kan worden opgemaakt dat in gevallen waarin niet om handhaving is verzocht en geen sanctiebesluit is genomen, dit niet betekent dat in strijd is gehandeld met het gelijkheidsbeginsel ten opzichte van zaken waarin- zoals in dit geval - is opgetreden naar aanleiding van een klacht.28

39. In verband met het vorenstaande merkt de AP nog uitdrukkelijk op dat ze jaarlijks wordt geconfronteerd met een groot aantal klachten in de vorm van signalen en klachten waarbij wordt verzocht om corrigerende maatregelen te nemen. Dat aantal stijgt jaarlijks. In 2019 ging het om meer dan 27.000

27 Vgl. CBb 14 augustus 2018, rov. 7.2 (ECLI:NL:CBB:2018:401). 28Vgl. ABRvS 11 maart 2020, rov. 4.1 ( ECLI:NL:RVS:2020:738).

11/20

klachten.29 Daarbij zij vermeld dat het toezichtveld van de AP bijna onbegrensd is. Het omvat alle sectoren van de maatschappij, betreft zowel de private- als de publieke sector en zowel rechtspersonen als natuurlijke personen. Daar staat tegenover dat de beschikbare menskracht en financiële middelen van de AP beperkt zijn en de AP die zo evenwichtig mogelijk tracht in te zetten. Daarbij is het onvermijdelijk dat niet alle (potentiële) zaken worden opgepakt en (even grondig) kunnen worden onderzocht.30 Een dergelijke vorm van prioriteren is in overeenstemming met de geldende jurisprudentie.31

Casus [VERTROUWELIJK] 40. In de pleitnota zoals die is overgelegd tijdens de bezwaarhoorzitting verwijst [VERTROUWELIJK] verder nog naar een zaak van [VERTROUWELIJK]. Voor zover de AP heeft kunnen nagaan, betrof het hier een zaak uit 2015 die viel onder het oude wettelijke regime (de Wbp). Toen golden andere regels voor de verwerking van biometrische gegevens, zodat deze zaak reeds daarom niet vergelijkbaar is.32

Bezwaargrond 7: Tijdsverloop na eerste bedrijfsbezoek kan [VERTROUWELIJK] niet worden tegengeworpen in het kader van duur van de overtreding en de boetehoogte

41. Tijdens de twee bedrijfsbezoeken van de AP aan [VERTROUWELIJK] hebben, aldus [VERTROUWELIJK], ambtenaren van de AP verklaard dat ‘mogelijk sprake zou zijn van een overtreding’. Na het eerste bezoek stelt [VERTROUWELIJK] te zijn gestopt met het gebruik de vingerscan en na het tweede bezoek zijn alle opgeslagen gegevens gewist. Ook wijst [VERTROUWELIJK] erop dat de AP toen ze op 5 juli 2018 het signaal van de melder kreeg al actie had kunnen ondernemen en [VERTROUWELIJK] had moeten inlichten. Het tijdsverloop wordt naar de mening [VERTROUWELIJK] daarom ten onrechte in het bestreden besluit aan haar tegengeworpen als motivering voor de boetehoogte.

42. Ten aanzien van deze bezwaargrond merkt de AP op - zoals ze eerder in dit besluit al deed – dat [VERTROUWELIJK] zelf verantwoordelijk is voor de naleving van de voor haar geldende wet- en regelgeving.33 Dat de toezichthoudend ambtenaren van de AP aan [VERTROUWELIJK] zouden hebben verklaard dat ‘mogelijk sprake zou zijn van een overtreding’ leidt niet tot een ander oordeel. Het is de eigen verantwoordelijkheid van [VERTROUWELIJK] om na het eerste bezoek te besluiten de opgeslagen gegevens al dan niet te wissen. De keuze en eventuele consequenties daarvan dienen naar het oordeel van de AP dan ook voor rekening en risico van [VERTROUWELIJK] te blijven. De AP ziet niet in dat het betreffende tijdsverloop niet aan [VERTROUWELIJK] zou mogen worden toegerekend. Dat geldt ook ten aanzien van het hetgeen [VERTROUWELIJK] aanvoert over het signaal dat de AP op 5 juli 2018 kreeg. De AP merkt op dat het signaal eerst onderzocht en geverifieerd moet worden om vervolgens te besluiten hoe de AP dit signaal verder oppakt en daarover [VERTROUWELIJK] te informeren. De AP is niet gehouden [VERTROUWELIJK] onmiddellijk te informeren, zoals ze suggereert.

29 Vgl. : https://autoriteitpersoonsgegevens.nl/nl/nieuws/forse-stijging-privacyklachten-2019 30 Zie: Beleidsregels prioritering klachten onderzoek AP (Stcrt. 2018 nr. 54287) 31 Vgl. ABRvS 19 oktober 2016 (ECLI:NL:RVS:2743), ABRvS 4 juni 2014 (ECLI:NL:RVS:2014:1982) en CBb, 20 augustus 2010 (ECLI:NL:CBB:2010:BN4700). 32Vgl.: [VERTROUWELIJK] 33 Vgl.: ABRvS, 30 september 2009, rov. 2.6.2 (ECLI:NL:RVS:2009:BJ8935) en ABRvS 16 mei 2007, rov. 2.5.1 (ECLI:NL:RVS:2007:BA5215).

12/20

Bezwaargrond 8: Opgewekt vertrouwen

43. [VERTROUWELIJK] voert aan dat het rauwelijks opleggen van een boete door de AP in strijd is met de boodschap uit haar jaarverslag van 2018 waarin de AP aangeeft zich te zullen richten op ‘guidance’ en waarschuwingen. De AP zou in de eerste twee jaar na inwerkingtreding van de AVG niet inzetten op handhaving, maar voorlichting en norm overdragende gesprekken. Naar aanleiding van de hoorzitting heeft [VERTROUWELIJK] desgevraagd toegelicht dat ze ten aanzien van dit bezwaar concreet het oog heeft op pagina 13 van het jaarverslag van 2018 en op pagina 6 van het ‘Toezichtkader Autoriteit Persoonsgegevens, uitgangspunten voor toezicht 2018-2019’. Daarbij wijst [VERTROUWELIJK] ook op de waarschuwing die is gegeven aan de supermarktbranche. De boete is daarmee volgens [VERTROUWELIJK] in strijd met het vertrouwensbeginsel opgelegd.

44. Hierover merkt de AP het volgende op. In het jaarverslag van 2018 wordt op pagina 12 e.v. onder het kopje ‘Tussenstand toezicht 2018-2019’ ingegaan op de wijze waarop de AP uitvoering heeft gegeven en zal geven aan haar toezichthoudende taak. Daar wordt ook verwezen naar het Toezichtkader van de AP. Daarin staat welke uitgangspunten de AP hanteert in het kader van haar toezichthoudende taak. Uit pagina 13 van het jaarverslag van 2018 van de AP blijkt dat het geven van ‘guidance’ één van de mogelijkheden is waarop naleving kan worden bewerkstelligd. Daartoe is het evenwel niet beperkt. Op pagina 16 van het jaarverslag 2018 komt ook expliciet de mogelijkheid van handhavend optreden aan de orde, bijvoorbeeld door het opleggen van een boete.

45. Ten aanzien van pagina 6 van het Toezichtkader waarnaar [VERTROUWELIJK] verwijst, merkt de AP op dat in de bewuste passage staat (onderstreping toegevoegd): “Ook de komende jaren richt de AP zich op de bevordering van de naleving van de privacywetgeving, onder meer door het bieden van ‘guidance’.” Hieruit volgt dus dat het bieden van guidance één van de mogelijke manieren is hoe de AP de naleving van de privacywetgeving kan bevorderen, maar dat het daartoe dus niet is beperkt. Andere vormen om naleving en handhaving te bewerkstelligen zijn daarmee dus niet uitgesloten. Dat volgt ook expliciet uit hetgeen elders in het Toezichtkader wordt opgemerkt. Zo staat op pagina 6 (onderstreping toegevoegd): ‘Om een effectieve toezichthouder te kunnen zijn past de AP uiteenlopende toezichts- en handhavingsinstrumenten toe. Daarbij kan onder meer worden gedacht aan het versturen van een waarschuwingsbrief, het aangaan van een normoverdragend gesprek, het starten van een onderzoek, het opleggen van een dwangsom of het opleggen van een boete’.

46. Gelet op het vorenstaande is de AP van oordeel dat [VERTROUWELIJK] er redelijkerwijs niet op heeft mogen vertrouwen dat een boete achterwege zou blijven omdat de AP zich volgens [VERTROUWELIJK] louter zou richten op guidance of waarschuwingen. Dat de AP dit zou doen, kan immers niet worden opgemaakt uit het jaarverslag van 2018 of het toezichtkader van de AP. Gelet op de aard en de ernst van de overtreding, zoals hiervoor nader uiteengezet in randnummer 31, was in dit geval naar de mening van de AP juist wel aanleiding voor handhavend optreden.

13/20

Bezwaargrond 9: Toepassing boetebeleidsregels 2019

47. [VERTROUWELIJK] voert aan dat de AP ten onrechte heeft getoetst aan haar boetebeleidsregels omdat deze pas op 15 maart 2019 inwerking zijn getreden en de vermeende overtreding daarvóór heeft plaatsgevonden. Dat is volgens [VERTROUWELIJK] in strijd met artikel 5:4 Awb. De AP kan deze lezing niet onderschrijven en licht dat als volgt toe.

48. De AP past boetebeleidsregels toe met het oog op het gelijkheidsbeginsel en het verbod van willekeur. Naar haar oordeel heeft zij bij de boeteoplegging aan [VERTROUWELIJK] dan ook terecht aangesloten bij de boetebeleidsregels. Dit strekt ook ten voordele van [VERTROUWELIJK] omdat het alternatief is dat in het geheel geen beleidsregels zouden gelden en op grond van artikel 83, vijfde lid, van de AVG alleen de maximale boetehoogte van € 20.000.000,- houvast zou bieden in plaats van de systematiek van de bandbreedtes die volgen uit de boetebeleidsregels uit 2019.

49. Ten aanzien van artikel 5:4 Awb merkt de AP - ten overvloede - nog op dat deze bepaling niet is geschonden omdat de gedragsnorm (artikel 9 AVG) als ook de bevoegdheidsbepaling tot oplegging van een bestuurlijke sanctie (artikel 58, tweede lid, aanhef en onder i, in samenhang met artikel 83, vijfde lid, aanhef en onder a, AVG en artikel 14, derde lid, UAVG) bestonden op het moment dat tot het opleggen van de boete werd overgegaan. Dit betekent dat zowel de bevoegdheid om een boete op te leggen als de norm die hier geschonden is, reeds waren vastgelegd in de wet op het moment dat de schending plaatsvond.

Bezwaargrond 10: Generale en speciale preventie

50. [VERTROUWELIJK] refereert op pagina 10 en 11 van de pleitnota die ze vóór de hoorzitting in bezwaar aan de AP heeft toegestuurd zowel aan ‘generale preventie’ als ‘speciale preventie’ en betoogt dat deze argumenten niet ten grondslag kunnen worden gelegd aan het boetebesluit. Omdat een boete moet worden afgestemd op de omstandigheden van het geval kan ‘generale preventie’ niet aan de boete ten grondslag worden gelegd. Ook de grondslag ‘speciale preventie’ is onterecht omdat [VERTROUWELIJK] na de bedrijfsbezoeken van de AP de overtredingen heeft gestaakt en het opleggen van een boete dus niet nodig was.

51. De AP merkt daarover het volgende op. De reden dat een boete is opgelegd, is dat sprake is van een overtreding van de AVG en de AP die overtreding gelet op de ernst ervan – het betreft biometrische gegevens van zo’n 300 betrokkenen in het kader van een werkgever-werknemer relatie – in dit geval boetewaardig acht. Met het opleggen van de boete wordt in het algemeen beoogd te voorkomen dat de overtreder in de toekomst geen overtredingen meer pleegt en ook dat anderen dat niet zullen doen. Deze argumentatie vormt niet de grondslag om een boete op te leggen. Dat vormt de overtreding door [VERTROUWELIJK] van artikel 9, eerste lid, AVG en de bevoegdheid van de AP om daarvoor op grond van artikel 58, tweede lid, aanhef en onder i, in samenhang met artikel 83, vijfde lid, aanhef en onder b, van de AVG en artikel 14, derde lid, van de UAVG een bestuurlijke boete op te leggen. Ook de omstandigheid dat een overtreding is gestaakt, staat - in tegenstelling tot hetgeen [VERTROUWELIJK] lijkt te suggereren -

14/20

niet aan boeteoplegging in de weg, omdat een boete ook voor een overtreding die ligt in het verleden mag en kan worden opgelegd.

Bezwaargrond 11: Boetehoogte

52. [VERTROUWELIJK] vindt dat als ervan moet worden uitgegaan dat sprake is van een overtreding en een boete gerechtvaardigd zou zijn, de boete moet worden gematigd vanwege een wanverhouding tussen de boetehoogte en de ernst en de mate van verwijtbaarheid. Volgens de accountant zal het volledige bedrijfsresultaat van [VERTROUWELIJK] jaar moeten worden afgedragen om de boete te betalen. In de pleitnota betoogt [VERTROUWELIJK] – mede onder verwijzing naar de winst- en verliesrekening van 2019 en de controleverklaringen van de accountant over het jaarverslag34 - dat de boetehoogte tien keer het (gemiddelde) resultaat van de voorgaande jaren representeert. Verder wijst [VERTROUWELIJK] op het negatieve (netto) bedrijfsresultaat tot en met september 2020 van € [VERTROUWELIJK] als gevolg van de Corona-pandemie.

53. De AP is van oordeel dat deze bezwaargrond deels terecht is aangevoerd en ziet aanleiding de boete te matigen. De reden voor matiging is de verminderde draagkracht van [VERTROUWELIJK] vanwege Corona. Ze overweegt daartoe als volgt.

54. In het licht van boetematiging is van belang dat op grond van artikel 83, eerste lid, AVG de boete onder meer evenredig dient te zijn. Verder zal, gelet op artikel 83, tweede lid, aanhef en onder k, AVG rekening gehouden moeten worden met elke op de omstandigheid van de zaak toepasselijke verzachtende factor. De financiële situatie waarin een onderneming verkeert, is een factor die wordt meegewogen om tot een evenredige boete te komen. Ook het nationale recht verplicht daartoe. Bij de vaststelling van de hoogte van de boete moet ingevolge artikel 5:46, tweede lid, Awb rekening worden gehouden met het evenredigheidsbeginsel. In dat verband dient het bestuursorgaan daarbij zo nodig rekening te houden met de omstandigheden waarin de overtreding is gepleegd. Uit de parlementaire geschiedenis bij de Awb blijkt dat de (financiële) draagkracht een zodanige omstandigheid kan zijn.35 Ook in de jurisprudentie is dit bevestigd.36 Als op basis van door de overtreder overgelegde financiële gegevens blijkt dat de overtreder door de boete onevenredig wordt getroffen, moet de boetehoogte gematigd worden.37

55. De AP is van oordeel [VERTROUWELIJK] door de Corona-pandemie onevenredig wordt getroffen door de hoogte van de boete en boetematiging vanwege verminderde draagkracht geïndiceerd is. Hierbij heeft de AP de jaarrekeningen van 2018 en 2019 betrokken alsmede de door [VERTROUWELIJK] verstrekte informatie die inzicht geeft in de financiële consequenties als gevolg van de Corona-pandemie over het boekjaar 2020.

34 Opgenomen in de jaarrekening 2018 en 2019. 35 Kamerstukken II, 2003/04, 29 702, P. 141. 36 ABRvS 21 maart 2012, ECLI:NL:RVS:2012:BV9508 en HR 28 maart 2014, ECLI:NL:HR:2014:685. 37 Zie ABRvS 12 maart 2008, ECL I:NL:RVS:2008:BV9509.

15/20

56. In het licht van het vorenstaande merkt de AP allereerst op dat [VERTROUWELIJK] uitgaande van de overgelegde jaarrekeningen van 2018 en 2019 steeds positieve bedrijfsresultaten heeft geboekt. 38 Ze beschikt, gelet op haar eigen vermogenspositie, ook over aanzienlijke reserves en vorderingen.39 Daarnaast merkt de AP op dat op het moment dat een boete is opgelegd - in dit geval 4 december 2019 - degene aan wie de boete is opgelegd rekening kan en moet houden met de betaling van die boete, bijvoorbeeld door een bedrag daarvoor te reserveren.40

57. Niettemin onderkent de AP dat de Corona-pandemie een substantiële negatieve impact heeft op de financiële draagkracht van [VERTROUWELIJK]. Die impact is inzichtelijk gemaakt aan de hand van de interne cijfers. Tot en met september 2020 is sprake van een negatief (netto) bedrijfsresultaat van € [VERTROUWELIJK]. Hoewel het om voorlopige cijfers gaat die nog niet zijn beoordeeld door een externe accountant, ziet de AP mede gelet op de uitzonderlijke omstandigheden die de Coronacrisis met zich meebrengt vooralsnog geen aanleiding om deze cijfers om die reden niet mee te wegen of niet betrouwbaar te achten.41 Ook is het ongewis hoe lang de gevolgen van de Corona-pandemie het bedrijfsresultaat van [VERTROUWELIJK] nog zullen raken.

58. Voor een boetematiging vanwege de ernst en de mate van verwijtbaarheid ziet de AP geen aanleiding. Waar het gaat om de ernst van de overreding volstaat de AP met een verwijzing naar randnummer 32 van deze beslissing op bezwaar alsmede op het primaire besluit. In het primaire besluit heeft de AP uitvoerig uiteengezet op basis van welke feiten en omstandigheden ze het opleggen van een bestuurlijke boete gerechtvaardigd vond en vervolgens aan de hand van de boetebeleidsregels de hoogte van de boete gemotiveerd. De AP onderschrijft die motivering nog steeds. Dat geldt, onder verwijzing naar de motivering in randnummer 32 van deze beslissing op bezwaar, ook ten aanzien van de (mate van) verwijtbaarheid van [VERTROUWELIJK].

59. Gelet op vorenbedoelde bijzondere omstandigheden en de daardoor ontstane beperkte financiële draagkracht van [VERTROUWELIJK] ziet de AP aanleiding de boete van € 725.000 substantieel te matigen en vast te stellen op € 50.000. Hoewel de AP onderkent dat sprake is van een zeer fors negatief netto bedrijfsresultaat van € [VERTROUWELIJK] neemt zij ook in aanmerking dat [VERTROUWELIJK] over aanmerkelijke financiële reserves beschikt, zoals [VERTROUWELIJK]. De AP verwijst naar randnummer 56 van dit besluit. Een boete van € 50.000 doet aldus naar het oordeel van de AP recht aan de ernst van de overtreding en is doeltreffend, evenredig en afschrikwekkend. In dit verband merkt de AP ook nog op dat op grond van artikel 4:94 Awb uitstel van betaling kan worden verleend en een gepaste betalingsregeling kan worden getroffen indien daarom wordt verzocht.

38 Dit volgt uit de verlies- en winstrekening van [VERTROUWELIJK] van 2018 en 2019. Zo bedroeg het (bruto) bedrijfsresultaat over de jaren 2017, 2018 en 2019 respectievelijk € [VERTROUWELIJK], € [VERTROUWELIJK] en € [VERTROUWELIJK]. 39 Zo bedroegen (per 31-12-2019) [VERTROUWELIJK] (zie p. 5 Financieel verslag 201 9), [VERTROUWELIJK]. 40 Vgl. CBb 17 juli 2015, rov. 3.7 (ECLI:NL:CBB:2015:256). 41 Het verlangen van controleerbare gegevens, zoals door middel van een accountantsverklaring is in de jurisprudentie geaccepteerd. Zie CBb 14-07-2016, rov. 7.3.2 (ECLI:NL:CBB:2016:188) en ABRvS 23-06-2010, rov. 2.3.3 (ECLI:NL:RVS:2010:BM8844).

16/20

Kosten in verband met behandeling van bezwaar (verzoek ex artikel 7:15, tweede lid, Awb)

60. [VERTROUWELIJK] heeft in haar bezwaarschrift verz0cht om haar op grond van artikel 7:15 Awb een vergoeding toe te kennen voor de gemaakte kosten in bezwaar. De AP ziet geen reden dit verzoek in te willigen en overweegt daartoe als volgt.

61. Op grond van artikel 7:15, tweede lid, Awb kunnen de kosten die een belanghebbende in verband met de behandeling van het bezwaar redelijkerwijs heeft moeten maken, worden vergoed. Voorwaarde voor een vergoeding is dat de belanghebbende daartoe een verzoek moeten hebben gedaan en dat sprake is van een herroeping van het bestreden besluit wegens een aan het bestuursorgaan te wijten onrechtmatigheid. Aan deze laatste voorwaarde wordt naar het oordeel van de AP niet voldaan. Redengevend daarvoor is dat de aanleiding voor herroeping42 het gevolg is van (veranderde) omstandigheden, te weten de financiële consequenties voor [VERTROUWELIJK] ten gevolge van de Corona-pandemie, die zich hebben voorgedaan vanaf het tweede kwartaal van 2020 en dus nadat het primaire besluit van 4 december 2019 was genomen.43 Die omstandigheden zijn niet het gevolg van een onrechtmatigheid van het primaire besluit. Van een onrechtmatigheid die aan de AP als bestuursorgaan is te wijten is geen sprake.

Conclusie 57. Ingevolge artikel 7:11, eerste lid, van de Algemene wet bestuursrecht heeft de AP het bestreden besluit heroverwogen naar aanleiding van de aangevoerde bezwaren. Bij deze heroverweging heeft de AP beoordeeld of zij terecht heeft besloten tot het opleggen van een boete.

58. Gelet op het voorgaande is de AP van oordeel dat zij bij het nemen van het primaire besluit terecht tot de oplegging van de boete is overgegaan. Niettemin is er sprake van een verandering van relevante feiten en omstandigheden sinds het primaire besluit die nopen tot boetematiging en daarmee een herroeping van het primaire besluit.

42 De verminderde financiële draagkracht van [VERTROUWELIJK]. 43 De financiële consequenties zijn eerst inzichtelijk gemaakt bij de pleitnota van 3 september 2020 die voorafgaande aan de hoorzitting in bezwaar aan de AP is toegestuurd.

17/20

7. Dictum

De Autoriteit Persoonsgegevens: - verklaart het bezwaar gegrond ten aanzien van de boetehoogte; - herroept het besluit van 4 december 2019 met kenmerk [VERTROUWELIJK], voor zover dit ziet op de hoogte van de boete; - neemt ten aanzien van de hoogte van de boete het volgende besluit: De AP legt aan [VERTROUWELIJK], wegens overtreding van artikel 9, eerste lid, van de AVG een bestuurlijke boete op ten bedrage van € 50.000,-- (zegge: vijftigduizend euro);44

- laat het besluit voor het overige in stand.

Hoogachtend, Autoriteit Persoonsgegevens,

drs. C.E. Mur Bestuurslid

Rechtsmiddelenclausule Indien u het niet eens bent met dit besluit kunt u binnen zes weken na de datum van verzending van het besluit ingevolge de Algemene wet bestuursrecht een beroepschrift indienen bij de rechtbank (sector bestuursrecht) in het arrondissement, waarbinnen uw woonplaats valt. U dient een afschrift van dit besluit mee te zenden.

44 De AP zal voornoemde vordering uit handen geven aan het Centraal Justitieel Incassobureau (CJIB).

18/20

BIJLAGE

Juridisch kader

Algemeen De AP beoordeelt ingevolge artikel 7:11 van de Algemene wet bestuursrecht (Awb) op grond van uw bezwaar of zij bij het primaire besluit terecht heeft besloten tot afwijzing van uw AVG-klacht. De heroverweging geschiedt (in beginsel) met inachtneming van alle feiten en omstandigheden zoals die zijn op het tijdstip van de heroverweging.

Biometrische gegevens Artikel 9, eerste lid, van de AVG definieert bijzondere persoonsgegevens als volgt, voor zover hier relevant: “[.] persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid […]”

Ingevolge artikel 4, veertiende lid, van de AVG zijn biometrische gegevens persoonsgegevens die het resultaat zijn van een specifieke technische verwerking met betrekking tot de fysieke, fysiologische of gedragsgerelateerde kenmerken van een natuurlijke persoon op grond waarvan eenduidige identificatie van die natuurlijke persoon mogelijk is of wordt bevestigd, zoals gezichtsafbeeldingen of vingerafdrukgegevens.

Ingevolge artikel 9, eerste lid, van de AVG is de verwerking van biometrische gegevens met het oog op de unieke identificatie van een persoon verboden.

Uitzonderingen op het verbod om bijzondere persoonsgegevens te verwerken staan vermeld in artikel 9, tweede lid, van de AVG, voor zover hier relevant: “Lid 1 is niet van toepassing wanneer aan een van de onderstaande voorwaarden is voldaan: a) de betrokkene heeft uitdrukkelijke toestemming gegeven voor de verwerking van die persoonsgegevens voor een of meer welbepaalde doeleinden, behalve indien in Unierecht of lidstatelijk recht is bepaald dat het in lid 1 genoemde verbod niet door de betrokkene kan worden opgeheven; […]

Toestemming Ingevolge artikel 4, elfde lid, van de AVG wordt toestemming omschreven als elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling een hem betreffende verwerking van persoonsgegevens aanvaardt.

19/20

Ingevolge artikel 7, eerste lid, van de AVG moet de verwerkingsverantwoordelijke kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens als de verwerking berust op toestemming. Op grond van artikel 7, derde lid, van de AVG heeft de betrokkene het recht zijn toestemming te allen tijde in te trekken. Alvorens de betrokkene zijn toestemming geeft, wordt hij daarvan in kennis gesteld.

Bestuurlijke boete Ingevolge artikel 58, tweede lid, aanhef en onder i, in samenhang met artikel 83, vijfde lid, aanhef en onder b, van de AVG en artikel 14, derde lid, van de UAVG is de AP bevoegd om ten aanzien van inbreuken op de AVG een bestuurlijke boete op te leggen.

Ingevolge artikel 83, eerste lid, van de AVG zorgt elke toezichthoudende autoriteit ervoor dat de administratieve geldboeten die uit hoofde van dit artikel worden opgelegd voor de in de leden 4, 5 en 6 vermelde inbreuken op deze verordening in elke zaak doeltreffend, evenredig en afschrikkend zijn. Ingevolge het tweede lid worden administratieve geldboeten, naargelang de omstandigheden van het concrete geval, opgelegd naast of in plaats van de in artikel 58, tweede lid, onder a tot en met h en onder j, bedoelde maatregelen.

Bij het besluit over de vraag of een administratieve geldboete wordt opgelegd en over de hoogte daarvan wordt voor elk concreet geval naar behoren rekening gehouden met het volgende:

a) de aard, de ernst en de duur van de inbreuk, rekening houdend met de aard, de omvang of het doel van de verwerking in kwestie alsmede het aantal getroffen betrokkenen en de omvang van de door hen geleden schade; b) de opzettelijke of nalatige aard van de inbreuk; c) de door de verwerkingsverantwoordelijke of de verwerker genomen maatregelen om de door betrokkenen geleden schade te beperken; d) de mate waarin de verwerkingsverantwoordelijke of de verwerker verantwoordelijk is gezien de technische en organisatorische maatregelen die hij heeft uitgevoerd overeenkomstig de artikelen 25 en 32; e) eerdere relevante inbreuken door de verwerkingsverantwoordelijke of de verwerker; f) de mate waarin er met de toezichthoudende autoriteit is samengewerkt om de inbreuk te verhelpen en de mogelijke negatieve gevolgen daarvan te beperken; g) de categorieën van persoonsgegevens waarop de inbreuk betrekking heeft; h) de wijze waarop de toezichthoudende autoriteit kennis heeft gekregen van de inbreuk, met name of, en zo ja in hoeverre, de verwerkingsverantwoordelijke of de verwerker de inbreuk heeft gemeld; i) de naleving van de in artikel 58, lid 2, genoemde maatregelen, voor zover die eerder ten aanzien van de verwerkingsverantwoordelijke of de verwerker in kwestie met betrekking tot dezelfde aangelegenheid zijn genomen; j) het aansluiten bij goedgekeurde gedragscodes overeenkomstig artikel 40 of van goedgekeurde certificeringsmechanismen overeenkomstig artikel 42; en

20/20

k) elke andere op de omstandigheden van de zaak toepasselijke verzwarende of verzachtende factor, zoals gemaakte financiële winsten, of vermeden verliezen, die al dan niet rechtstreeks uit de inbreuk voortvloeien.

Uit het vijfde lid, aanhef en onder a, volgt dat een inbreuk op de basisbeginselen inzake verwerking zoals in artikel 9 van de AVG overeenkomstig lid 2 onderworpen is aan een administratieve geldboete tot €20.000.000 of, voor een onderneming, tot 4% van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is.

Ingevolge artikel 14, derde lid, van de UAVG kan de AP in geval van overtreding van het bepaalde in artikel 83, vierde, vijfde of zesde lid, van de verordening een bestuurlijke boete opleggen van ten hoogste de in deze leden genoemde bedragen.