Autoriteit Persoonsgegevens
Postbus 93374, 2509 AJ Den Haag
Bezuidenhoutseweg 30, 2594 AV Den Haag
T 070 8888 500 - F 070 8888 501
autoriteitpersoonsgegevens.nl

Vertrouwelijk/Aangetekend
Ambitious People Group B.V.
[VERTROUWELIJK] directeur
Jozef lsraëlskade 48 E
1072 SB AMSTERDAM

Contactpersoon
[VERTROUWELIJK]

Onderwerp
Besluit tot het opleggen van een bestuurlijke boete

Geachte [VERTROUWELIJK],

De Autoriteit Persoonsgegevens (hierna: AP) heeft besloten aan Ambitious People Group B.V. (hierna: APG) een bestuurlijke boete van € 6.000,-- op te leggen. De AP is van oordeel dat APG niet zonder onredelijke vertraging, althans in ieder geval niet binnen een maand na ontvangst van een verzoek van drie verschillende betrokkenen tot het wissen van persoonsgegevens, daaraan gevolg heeft gegeven. APG heeft daarmee artikel 17, eerste lid, juncto artikel 12, derde lid, van de Algemene Verordening Gegevensbescherming (hierna: AVG) overtreden.

Hierna wordt het besluit toegelicht. Hoofdstuk 1 bevat de relevante feiten en het procesverloop. In hoofdstuk 2 wordt het wettelijk kader beschreven. In hoofdstuk 3 volgt de beoordeling van de AP, waarna in hoofdstuk 4 de hoogte van de bestuurlijke boete wordt gemotiveerd. Tenslotte bevat hoofdstuk 5 het dictum en de rechtsmiddelenclausule.

2/16

1. Feiten en procesverloop

APG is een aan de Jozef Israëlskade 48E, (1072 SB) te Amsterdam statutair gevestigde besloten vennootschap. APG is opgericht op 2 augustus 2007 en is ingeschreven in het register van de Kamer van Koophandel onder nummer 34278390.1 Volgens haar privacy statement richt APG zich op recruiting.2

Op 30 november 2018 heeft de AP van twee verschillende betrokkenen een klacht ontvangen over een mogelijke overtreding van de AVG door APG.3 Uit de klachten volgt dat betrokkenen menen dat APG ten onrechte geen gevolg heeft gegeven aan door hen ingediende verwijderingsverzoeken in de zin van de AVG. Op 20 maart 2019 heeft de AP een soortgelijke klacht ontvangen van een derde betrokkene.4 De indieners van de klachten worden hierna aangeduid als betrokkene 1, 2 en 3.

Naar aanleiding van deze klachten is de AP een onderzoek gestart om te beoordelen of APG in overeenstemming heeft gehandeld met de regels die in de AVG rondom het recht op gegevenswissing (“vergetelheid”) en in de Wet bescherming persoonsgegevens (Wbp) rondom het recht op verwijdering zijn dan wel waren gesteld. In dat kader heeft de AP een drietal informatieverzoeken, respectievelijk op 6 augustus, 30 augustus en 11 november 2019 aan APG gestuurd,5 waarop APG op 21 augustus, 16 september en 25 november 2019 heeft gereageerd.6 De bevindingen van het onderzoek zijn opgenomen in het rapport “Onderzoek naar het recht op gegevenswissing (‘recht op vergetelheid’) door Ambitious People Group B.V.” dat op 3 december 2019 is vastgesteld.

Bij brief van 8 januari 2020 heeft de AP aan APG een voornemen tot handhaving verzonden tezamen met het voornoemde onderzoeksrapport en de onderliggende documentatie, waarbij APG tevens in de gelegenheid is gesteld een zienswijze kenbaar te maken. Op 5 februari 2020 heeft APG schriftelijk haar zienswijze gegeven.

Op grond van het rapport met bevindingen, de onderliggende documentatie en de zienswijze van APG komt de AP tot de vaststelling van de volgende relevante feiten.

APG verleent recruitmentdiensten en koppelt professionals aan een passende functie. APG opereert onder vijf zogeheten labels, die zich ieder richten op een specifieke markt, te weten: LMH, SAM, Four Life Sciences, Ardekay en Five Finance.7 Gegevens van kandidaten worden opgeslagen in de verschillende – bij de labels behorende – databases. Onder het verlenen van recruitmentdiensten valt het benaderen van die personen met relevante vacatures die aansluiten bij hun profiel. Dit gebeurt op basis van een

1 Uittreksel KvK, bijlage 1 bij het onderzoeksrapport. 2 Privacy statement, bijlage 14 bij het onderzoeksrapport. 3 Meldingsformulier betrokkene 1, bijlage 2 bij het onderzoeksrapport; Meldingsformulier betrokkene 2, bijlage 3 bij het onderzoeksrapport. 4 Meldingsformulier betrokkene 3, bijlage 4 bij het onderzoeksrapport. 5 Informatieverzoeken, bijlagen 5, 7, en 12 bij het onderzoeksrapport. 6 Reacties van APG, bijlagen 6, 8, en 13 bij het onderzoeksrapport. 7 Privacy statement, bijlage 14 bij het onderzoeksrapport.

3/16

overeenkomst die, zo brengt APG naar voren, tot stand komt doordat betrokkenen zich inschrijven bij APG via de website.8

APG heeft aangegeven dat zij ter uitvoering van de overeenkomsten met de hiervoor genoemde drie betrokkenen, gegevens van deze betrokkenen, te weten: naam, adres, woonplaats (NAW), e-mailadres, telefoonnummer, geboortedatum en het curriculum vitae met daarin informatie over opleiding en werkervaring, heeft opgenomen in een database. Deze drie betrokkenen hebben een verzoek gericht aan APG om tot wissing van hun persoonsgegevens uit de database over te gaan. Hieronder volgt een overzicht van de correspondentie – voor zover hier relevant – over deze verzoeken tussen betrokkenen en APG.

Betrokkene 19

Betrokkene 1 is op 28 november 2018 om 17:33 door APG (SAM Recruitment) via e-mail benaderd over een vacante functie. Op 28 november 2018 om 18:35 heeft betrokkene 1 hierop per e-mail bericht dat hij voor de laatste keer een verzoek doet om zijn gegevens te verwijderen conform de AVG. Op 10 januari 2019 om 18:59 is betrokkene 1 opnieuw per e-mail benaderd met verschillende functies.

APG heeft bevestigd dat zij het verzoek van betrokkene 1 heeft ontvangen en aan de AP een overzicht van correspondentie met betrokkene overgelegd. Uit het onderzoek door APG is gebleken dat van betrokkene 1 op de datum van ontvangst van de brief van de AP van 6 augustus 2019 in de database van SAM Recruitment de volgende persoonsgegevens waren opgeslagen: NAW, e-mailadres, telefoonnummer, geboortedatum, curriculum vitae met informatie over opleiding en werkervaring. Voorts heeft APG aangegeven dat betrokkene 1 op 15 november 2018 voor het eerst heeft aangegeven dat hij wil dat zijn gegevens worden verwijderd in overeenstemming met de AVG.10

Betrokkene 211

Op 26 maart 2018 om 17:28 heeft APG (LMH Engineering) betrokkene 2 benaderd waarin hij gewezen wordt op verschillende vacante functies. Op 26 maart 2018 om 18:11 wijst betrokkene 2 in reactie op deze e-mail er op dat hij menig maal heeft verzocht om uit de database te worden gehaald, en verzoekt zijn account te verwijderen uit de database. Op 30 november 2018 om 16:49 wordt betrokkene 2 opnieuw per e-mail benaderd met een vacature. Op 30 november 2018 om 20:10 wijst betrokkene 2 in reactie op deze e-mail er op dat hij menig maal heeft verzocht om uit de database te worden gehaald, en verzoekt zijn account te verwijderen uit de database.

APG heeft bevestigd dat zij het verzoek van betrokkene heeft ontvangen en aan de AP een overzicht van correspondentie met betrokkene overgelegd.12 Uit het onderzoek door APG is gebleken dat van betrokkene 2 op de datum van ontvangst van de brief van de AP van 6 augustus 2019 in de database van LMH

8 Reactie APG op informatieverzoek van 11 november 2019, bijlage 13 bij het onderzoeksrapport. 9 E-mailcorrespondentie betrokkene 1, bijlage 9 bij het onderzoeksrapport. 10 Reactie APG van 20 augustus 2019, bijlage 6 bij het onderzoeksrapport. 11 E-mailcorrespondentie betrokkene 2, bijlage 10 bij het onderzoeksrapport. 12 Reactie APG van 20 augustus 2019, bijlage 6 bij het onderzoeksrapport.

4/16

Engineering de volgende persoonsgegevens waren opgeslagen: NAW, e-mailadres, telefoonnummer, geboortedatum, curriculum vitae met informatie over opleiding en werkervaring. Voorts heeft APG aangegeven dat betrokkene op 12 februari 2019 een derde e-mail heeft ontvangen waar betrokkene op heeft gereageerd.

Betrokkene 313

Op 17 oktober 2018 om 18:18 benadert APG (Five Finance recruitment) via een e-mail betrokkene 3 waarin hij gewezen wordt op een vacature. Op 17 oktober 2018 om 18:37 verzoekt betrokkene 3 in reactie op deze e-mail zijn gegevens terstond te verwijderen, ook voor LMH. Op 19 oktober 2018 om 09:02 bericht APG betrokkene 3 dat zij een zusteronderneming van LMH (onderdeel van dezelfde groep) zijn en dat het een eenmalige e-mail betrof. Op 19 oktober 2018 om 09:07 vraagt betrokkene 3 in reactie op deze e-mail of hij uit het bestand wordt verwijderd. Op 19 oktober 2018 om 09:11 bevestigt APG dit aan betrokkene 3. Op 20 maart 2019 om 11:03 en op 1 augustus 2019 om 18:47 is betrokkene 3 opnieuw per e-mail benaderd door APG (LMH Engineering) over een vacature, respectievelijk met een verzoek om terug te bellen.

APG heeft bevestigd dat zij het verzoek van betrokkene 3 heeft ontvangen en aan de AP een overzicht van correspondentie met betrokkene overgelegd.14 APG heeft aangegeven dat de gegevens van betrokkene 3, na het verzoek om verwijdering, uit de database van Five Finance zijn verwijderd, maar niet uit die van LMH Engineering. Uit het onderzoek door APG is gebleken dat van betrokkene 3 op de datum van ontvangst van de brief van de AP van 6 augustus 2019 in de database van LMH Engineering de volgende persoonsgegevens waren opgeslagen: NAW, e-mailadres, telefoonnummer, geboortedatum, curriculum vitae met informatie over opleiding en werkervaring.

In reactie op het informatieverzoek van de AP van 30 augustus 201915 heeft APG aangegeven en aangetoond dat de persoonsgegevens van alle drie de betrokkenen op 11 september 2019 zijn verwijderd, waarover betrokkenen op 12 september 2019 door APG bij e-mail zijn geïnformeerd.16

2. Wettelijk kader

2.1 Reikwijdte AVG

Ingevolge artikel 2, eerste lid, van de AVG is deze verordening van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking, alsmede op de verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.

13 E-mailcorrespondentie betrokkene 3, bijlage 11 bij het onderzoeksrapport. 14 Reactie APG van 20 augustus 2019, bijlage 6 bij het onderzoeksrapport. 15 Brief van AP, bijlage 7 bij het onderzoeksrapport. 16 Reactie van APG, bijlage 8 bij het onderzoeksrapport.

5/16

Ingevolge artikel 4 van de AVG wordt verstaan onder: 1. “Persoonsgegevens”: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (“de betrokkene”); […]. 2. “Verwerking”: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés […]. 7. “Verwerkingsverantwoordelijke”: een […] rechtspersoon die, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; […].

2.2 Recht op gegevenswissing

Ingevolge artikel 12, derde lid, van de AVG verstrekt de verwerkingsverantwoordelijke betrokkene onverwijld en in ieder geval binnen een maand na ontvangst van het verzoek krachtens de artikelen 15 tot en met 22 informatie over het gevolg dat aan het verzoek is gegeven. Afhankelijk van de complexiteit van de verzoeken en van het aantal verzoeken kan die termijn indien nodig met nog eens twee maanden worden verlengd. De verwerkingsverantwoordelijke stelt de betrokkene binnen één maand na ontvangst van het verzoek in kennis van een dergelijke verlenging. Wanneer de betrokkene zijn verzoek elektronisch indient, wordt de informatie indien mogelijk elektronisch verstrekt, tenzij de betrokkene anderszins verzoekt.

Ingevolge artikel 17, eerste lid, van de AVG heeft de betrokkene het recht van de verwerkingsverantwoordelijke zonder onredelijke vertraging wissing van hem betreffende persoonsgegevens te verkrijgen en is de verwerkingsverantwoordelijke verplicht persoonsgegevens zonder onredelijke vertraging te wissen wanneer een van de volgende gevallen van toepassing is: a) de persoonsgegevens zijn niet langer nodig voor de doeleinden waarvoor zij zijn verzameld of anderszins verwerkt; b) de betrokkene trekt de toestemming waarop de verwerking overeenkomstig artikel 6, lid 1, punt a), of artikel 9, lid 2, punt a), berust, in, en er is geen andere rechtsgrond voor de verwerking; c) de betrokkene maakt overeenkomstig artikel 21, lid 1, bezwaar tegen de verwerking, en er zijn geen prevalerende dwingende gerechtvaardigde gronden voor de verwerking, of de betrokkene maakt bezwaar tegen de verwerking overeenkomstig artikel 21, lid 2; d) de persoonsgegevens zijn onrechtmatig verwerkt; e) de persoonsgegevens moeten worden gewist om te voldoen aan een in het Unierecht of het lidstatelijke recht neergelegde wettelijke verplichting die op de verwerkingsverantwoordelijke rust; f) de persoonsgegevens zijn verzameld in verband met een aanbod van diensten van de informatiemaatschappij als bedoeld in artikel 8, lid 1.

Volgens overweging 65 van de AVG moet een betrokkene het recht hebben om hem betreffende persoonsgegevens te laten rectificeren en dient een betrokkene te beschikken over een „recht op vergetelheid” wanneer de bewaring van dergelijke gegevens inbreuk maakt op deze verordening die of op Unierecht of het lidstatelijk recht dat op de verwerkingsverantwoordelijke van toepassing is. Meer bepaald moeten betrokkenen het recht hebben hun persoonsgegevens te laten wissen en niet verder te laten

6/16

verwerken wanneer de persoonsgegevens niet langer noodzakelijk zijn voor de doeleinden waarvoor zij zijn verzameld of anderszins verwerkt, wanneer de betrokkenen hun toestemming hebben ingetrokken of bezwaar maken tegen de verwerking van hun persoonsgegevens, of wanneer de verwerking van hun persoonsgegevens op een ander punt niet met deze verordening in overeenstemming is. […].

Daarbij geldt dat er, zoals blijkt uit overweging 59 van de AVG, regelingen voorhanden dienen te zijn om de betrokkene in staat te stellen zijn rechten uit hoofde van de AVG gemakkelijker uit te oefenen, zoals mechanismen om te verzoeken om met name inzage in en rectificatie of wissing van persoonsgegevens en, indien van toepassing, deze gratis te verkrijgen, alsmede om het recht van bezwaar uit te oefenen. De verwerkingsverantwoordelijke dient ook middelen te verstrekken om verzoeken elektronisch in te dienen, vooral wanneer persoonsgegevens langs elektronische weg worden verwerkt. De verwerkingsverantwoordelijke dient te worden verplicht onverwijld en ten laatste binnen een maand op een verzoek van de betrokkene te reageren, en om de redenen op te geven voor een eventuele voorgenomen weigering om aan dergelijke verzoeken gehoor te geven.

3. Beoordeling

3.1 Inleiding

Voor de hierna volgende beoordeling wordt uitgegaan van de verzoeken van betrokkenen welke onder de werkingssfeer van de AVG vallen.

3.2 Verwerking van persoonsgegevens en materieel toepassingsgebied AVG

Zoals gezegd opereert APG onder vijf labels: LMH, SAM, Four Life Sciences, Ardekay en Five Finance en heeft zij uit hoofde van een overeenkomst voor het verlenen van recruitmentdiensten, gegevens in haar database(s) geregistreerd van betrokkenen 1, 2 en 3.

Naar aanleiding van het verzoek van de AP van 6 augustus 2019, heeft APG gecontroleerd welke gegevens van betrokkenen waren opgeslagen in haar database. Hieruit is gebleken dat in de database van SAM Recruitment gegevens van betrokkene 1 waren opgeslagen en in de database van LMH Engineering gegevens van betrokkenen 2 en 3 waren opgeslagen. Daarbij ging het in alle drie de gevallen om de volgende gegevens: NAW, e-mailadres, telefoonnummer, geboortedatum, en curriculum vitae met daarin informatie over opleiding en werkervaring.17

De gegevens die in de databases van APG zijn opgeslagen maken de betrokkenen direct identificeerbaar. Daarmee zijn deze gegevens te kwalificeren als persoonsgegevens in de zin van artikel 4, aanhef, en onder 1, van de AVG.

17 Reactie APG van 20 augustus 2019, bijlage 6 bij het onderzoeksrapport.

7/16

Op grond van artikel 2, eerste lid en artikel 3, eerste lid, van de AVG is de AVG van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens in het kader van de activiteiten van een vestiging van een verwerkingsverantwoordelijke of een verwerker in de Europese Unie.

De betreffende persoonsgegevens zijn vastgelegd en digitaal opgeslagen geweest in de databases van de labels SAM Recruitment (betrokkene 1) en LMH Engineering (betrokkenen 2 en 3). Verder werden de e-mailadressen en de namen van betrokkenen door medewerkers van APG gebruikt en geraadpleegd om betrokkenen te benaderen via e-mail met vacatures dan wel om met hen in contact te treden. Dit is een geautomatiseerde verwerking van persoonsgegevens.

De AP komt tot de conclusie dat er sprake is van een verwerking van persoonsgegevens waarop volgens voornoemde bepalingen de AVG van toepassing is.

3.3 Verwerkingsverantwoordelijke

In het kader van de vraag wie is of zijn aan te merken als verwerkingsverantwoordelijke(n) als bedoeld in artikel 4, aanhef, en onder 7, van de AVG is bepalend wie het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.

In het privacy statement van APG18 staat het volgende beschreven:

“WHO IS YOUR DATA CONTROLLER? Ambitious People Group works with five (5) brands, that each focus on a specific segment of the recruitment sector (the “Brands”):  LMH  SAM  Four Life Sciences  Ardekay  Five Finance Each Brand encompasses several legal entities, incorporated under various jurisdictions. For your convenience, whenever we refer to one of these Brands in our Privacy Statement, we mean all legal entities that form that Brand.

The parent company of the Brands is Ambitious People Group B.V., a private company with limited liability incorporated under the laws of the Netherlands, having its registered seat in Amsterdam and its office in (1072 SB) Amsterdam at Jozef Israëlskade 48 E, the Netherlands, registered with the commercial register of the Dutch Chamber of Commerce under number 34278390.

18 Privacy statement, bijlage 14 bij het onderzoeksrapport.

8/16

Why and how your Personal Data is processed, is ultimately determined by Ambitious People Group B.V. Therefore, we consider Ambitious People Group B.V. to be the sole data controller with respect to your Personal Data. For the remainder of the Privacy Statement, we will refer to the Ambitious People Group B.V. as “APG”.

APG shares your Personal Data with the Brands of APG in the following manner. To increase the chance of a match between you and a suitable job, APG has created Brands dedicated to specific sectors. Therefore, if you only apply for a Brand, your Personal Data is stored in the database of that Brand. However, it is possible that vacancies available at other Brands provide an equally suitable or even better match with your profile. For that reason, the databases of each Brand are accessible to employees of other Brands. APG’s employees are instructed to only source the databases of other Brands in case of ‘cross Brand vacancies’: vacancies that fit the profile of more than one Brand.”

De AP constateert dat in het privacy statement van SAM, Five Finance en LMH een zelfde passage is opgenomen:19

“[…] Why and how your Personal Data is processed, is ultimately determined by Ambitious People Group B.V. Therefore, we consider Ambitious People Group B.V. to be the sole data controller with respect to your Personal Data. For the remainder of the Privacy Statement, we will refer to the Ambitious People Group B.V. as “APG”.

APG is volgens haar privacyverklaring verwerkingsverantwoordelijke. Het middel voor de verwerking van persoonsgegevens betreft in dit geval de registratie van persoonsgegevens in de (verschillende) database(s) van APG.

APG bevestigt in haar reactie op het informatieverzoek van de AP van 11 november 2019 dat het doel van het verwerken van de persoonsgegevens (NAW-gegevens, e-mailadres, telefoonnummer, geboortedatum en curriculum vitae met daarin informatie over opleiding en werkervaring) van de drie betrokkenen door APG was om hen te benaderen met relevante vacatures die aansloten bij hun profiel. Dit gebeurde op basis van een overeenkomst tussen de betrokkene en APG die tot stand is gekomen doordat de betrokkene zich via de website bij APG heeft ingeschreven, aldus APG.20

Voorts is van belang dat – zoals APG ook in haar reactie van 20 augustus 2019 aan de AP aangeeft21 – verzoeken tot verwijdering centraal gericht kunnen worden aan privacy@ambitiouspeople.com22 en dat APG haar medewerkers instrueert omtrent het omgaan met verzoeken die verband houden met de AVG en APG de entiteit is die maatregelen heeft getroffen naar aanleiding van de berichtgeving van de AP. De verzoeken van de drie betrokkenen zijn niet centraal bij APG via het in het privacy statement vermelde e-mailadres binnengekomen, maar bij recruiters zelf. APG heeft besloten om de interne procedure zodanig

19 Privacy statement, bijlage 14 bij het onderzoeksrapport. 20 Reactie APG op informatieverzoek van 11 november 2019, bijlage 13 bij het onderzoeksrapport. 21 Reactie APG van 20 augustus 2019, bijlage 6 bij het onderzoeksrapport. 22 Zie ook Privacy statement, bijlage 14 bij het onderzoeksrapport.

9/16

aan te passen dat verzoeken die recruiters zelf binnenkrijgen, voortaan ook worden doorgestuurd naar de privacy-inbox om van daaruit centraal te worden opgepakt. Ter adstructie hiervan heeft APG haar gewijzigde handleiding overgelegd.

Gelet op het voorgaande heeft APG de zeggenschap over hoe er binnen APG en haar labels wordt omgegaan met de rechten van betrokkenen en de verwerking van persoonsgegevens van betrokkenen en bepaalt zij het doel van en de middelen voor deze verwerking.

APG kwalificeert derhalve als verwerkingsverantwoordelijke als bedoeld in artikel 4, aanhef, en onder 7, van de AVG.

3.4 Overtreding inzake recht op gegevenswissing (“recht op vergetelheid”)

Op grond van artikel 17, eerste lid, van de AVG heeft de betrokkene het recht zonder onredelijke vertraging wissing van hem betreffende persoonsgegevens te verkrijgen en is de verwerkingsverantwoordelijke verplicht persoonsgegevens zonder onredelijke vertraging te wissen wanneer de persoonsgegevens niet langer nodig zijn voor de doeleinden waarvoor zij zijn verzameld of anderszins verwerkt (eerste lid, onder a).

Op grond van artikel 12, derde lid, van de AVG verstrekt de verwerkingsverantwoordelijke de betrokkene onverwijld en in ieder geval binnen een maand na ontvangst van een verzoek om gegevenswissing informatie over het gevolg dat aan het verzoek is gegeven.

Hiervoor is vastgesteld dat de drie betrokkenen allen hebben verzocht hun gegevens te verwijderen uit de betreffende database van APG. Betrokkene 1 heeft op 15 en 28 november 2018 verzocht om zijn gegevens te verwijderen,23 betrokkene 2 op 26 maart 2018 en op 30 november 2018, en betrokkene 3 op 17 oktober 2018. Voorts is gebleken dat de persoonsgegevens van de drie betrokkenen op de datum van ontvangst van de brief van de AP van 6 augustus 2019 nog opgeslagen waren in de database van SAM Recruitment (betrokkene 1) en van LMH Engineering (betrokkenen 2 en 3). Op 11 september 2019 zijn de persoonsgegevens van de drie betrokkenen door APG verwijderd. Op 12 september 2019 heeft APG betrokkenen hierover bij e-mail geïnformeerd.24 APG heeft daarbij opgemerkt dat zij – na berichtgeving van de AP – de betreffende persoonsgegevens reeds eerder ‘in quarantaine’ had gesteld en dat deze personen niet langer benaderd zouden kunnen worden hangende dat onderzoek. APG meende dat, in het kader van het onderzoek door de AP, de persoonsgegevens waarom het ging juist niet per direct moesten worden verwijderd. Op het moment dat de AP aangaf dat hiertoe – ondanks het onderzoek – moest worden overgegaan, heeft APG dat direct gedaan.

Nu betrokkenen APG hebben verzocht om hun persoonsgegevens te verwijderen uit de database en daarmee te kennen hebben gegeven geen gebruik meer te willen maken van de diensten van APG, oordeelt

23 Volgens APG heeft betrokkene 1 op 15 november 2018 voor het eerst aangegeven dat hij wil dat zijn gegevens worden verwijderd conform de AVG. Zie bijlage 6 bij het onderzoeksrapport. 24 Reactie van APG, bijlage 9 bij het onderzoeksrapport.

10/16

de AP dat hun persoonsgegevens vanaf dat moment niet langer nodig waren voor het doeleinde waarvoor zij zijn verzameld of anderszins verwerkt, namelijk om betrokkenen te voorzien van en te benaderen met relevante vacatures.

Zienswijze APG en reactie AP APG heeft kunnen achterhalen dat de drie betrokkenen geen verzoek hebben ingediend via het daarvoor bestemde en aangewezen privacy-adres, maar dat zij hun verzoek hebben gericht aan de recruiter door wie zij zijn benaderd voor een vacature. Hoewel APG ook voor die situatie een beleid heeft, heeft APG tot haar spijt vastgesteld dat deze verzoeken niet adequaat zijn opgepakt door de betrokken recruiter(s). Als gevolg daarvan, zijn de betreffende personen ook na hun verzoek nog met vacatures benaderd. APG heeft de AP al eerder aangegeven dat zij het bijzonder vervelend vindt dat deze drie verzoeken niet tijdig zijn opgepakt en uitgevoerd. APG heeft echter ook toegelicht dat het hier gaat om een menselijke fout. Hoewel APG van mening is dat zij een adequaat beleid had geïmplementeerd voor de afhandeling van verzoeken van betrokkenen, gelet op de eisen die op grond van de AVG aan een dergelijk beleid zouden mogen worden gesteld, is de brief van de AP wel aanleiding geweest voor APG om haar beleid kritisch onder de loep te nemen. Zoals APG eerder heeft toegelicht, heeft zij haar medewerkers sindsdien geïnstrueerd om alle binnenkomende verzoeken zonder uitzondering door te sturen naar het privacy-e-mailadres voor verdere behandeling. Bovendien is er een Business Intelligence afdeling opgezet die zich gaat bezighouden met het ontwikkelen en implementeren van (automatische) processen die de kans op menselijke fouten nog verder moet terugdringen. APG is zich bewust van het feit dat het niet (adequaat) voldoen aan de verzoeken van de drie betrokkenen kan worden aangemerkt als een overtreding.

De AP merkt dienaangaande het volgende op. Op grond van artikel 17, eerste lid, juncto artikel 12, derde lid, van de AVG had APG zonder onredelijke vertraging, althans in ieder geval binnen een maand na ontvangst van het verzoek van de betrokkenen informatie moeten geven over het gevolg dat aan het verzoek is gegeven en eveneens binnen deze termijn gevolg moeten geven aan het verzoek door tot wissing van de persoonsgegevens over te gaan.

Dat betrokkenen hun verzoek niet via het daarvoor bestemde en in het privacy statement aangewezen adres hebben ingediend, maar zij dat hebben gericht aan de recruiter door wie zij zijn benaderd voor een vacature, maakt deze verplichting niet anders en doet aan de ernst van de overtreding niet af. APG draagt verantwoordelijkheid voor het handelen van haar medewerkers die in het geval van de betrokkenen de verzoeken niet volgens het door APG daartoe opgestelde beleid hebben opgepakt en geen gevolg hebben gegeven aan de verzoeken. Deze verantwoordelijkheid omvat ook het voorkomen van menselijke fouten. Menselijke fouten disculperen APG niet.

Uit het vorenstaande concludeert de AP dat APG als verwerkingsverantwoordelijke ten aanzien van voornoemde drie betrokkenen in strijd heeft gehandeld met artikel 17, eerste lid, juncto artikel 12, derde

11/16

lid, van de AVG, door niet zonder onredelijke vertraging, althans in ieder geval niet binnen een maand na ontvangst van het verzoek tot gegevenswissing van betrokkenen, daaraan gevolg te geven.

4. Boete

4.1 Inleiding

Ingeval van een overtreding van artikel 17, eerste lid, in samenhang met artikel 12, derde lid, van de AVG, zoals hier is vastgesteld, wordt de toezichthoudende autoriteit een keuze geboden waarin alle tot haar beschikking staande corrigerende maatregelen moeten worden overwogen, als ook het opleggen van een geldboete.

Zienswijze APG APG is primair van oordeel dat er geen aanleiding bestaat tot handhaving en subsidiair dat er geen aanleiding bestaat voor het opleggen van een maatregel of een bestuurlijke boete. Ook meent APG dat, voor zover de AP voornemens is om een bestuurlijke boete op te leggen, de omstandigheden van dit specifieke geval meebrengen dat er aanleiding bestaat om de boete te matigen tot nihil. APG heeft niet betwist dat zij niet (adequaat) heeft voldaan aan de verzoeken van drie betrokkenen en is zich bewust van het feit dat dit kan worden aangemerkt als een overtreding. APG meent echter dat in dit geval sprake is van een uitzonderingssituatie waarin handhavend optreden zodanig onevenredig is in verhouding tot de daarmee te dienen belangen dat van optreden behoort te worden afgezien. Een effectieve bescherming van de rechten van betrokkenen is naar de mening van APG niet in het geding. Het gaat om incidenten, die enkel en alleen het gevolg zijn van een menselijke fout. APG heeft adequate procedures geïmplementeerd voor de behandeling van verzoeken, en had zelfs beleid geïmplementeerd voor de situatie waar het hier om gaat (waarbij een betrokkene een verzoek niet, zoals volgt uit het privacy statement, naar de privacy-inbox stuurt, maar deze richt aan een ‘gewone’ medewerker). APG heeft toegelicht welke activiteiten zij heeft verricht om te voldoen aan de AVG-regels en meent dat haar toenmalige beleid voldeed aan de eisen die daaraan op grond van de AVG worden gesteld. APG heeft, kortom, al het mogelijke gedaan om een situatie als deze te voorkomen. APG heeft desondanks, naar aanleiding van de eerste brief van de AP, direct haar interne processen onder de loep genomen, om te bezien op welk punt deze nog verder verbeterd zouden kunnen worden. Handhaving door de AP in deze specifieke situatie zou dan ook niet tot meer of een betere bescherming van de rechten van betrokkenen leiden. Voor zover de AP voornemens is om een bestuurlijke boete op te leggen, gaat APG in haar zienswijze in op de afzonderlijke factoren van artikel 7 van de Beleidsregels van de AP van 19 februari 2019 met betrekking tot het bepalen van de hoogte van bestuurlijke boetes.

Overwegingen AP De AP merkt dienaangaande het volgende op. Betrokkenen hebben het recht hun persoonsgegevens zonder onredelijke vertraging te laten wissen en niet verder te laten verwerken wanneer de persoonsgegevens niet langer noodzakelijk zijn voor de doeleinden waarvoor zij zijn verzameld of anderszins verwerkt. Dit recht is onlosmakelijk verbonden met de controle op de verwerking van persoonsgegevens en stelt de belanghebbende in staat te achterhalen of persoonsgegevens op rechtmatige

12/16

wijze zijn verwerkt en, onder meer, te verzoeken om schadevergoeding vanwege onrechtmatige verwerking.25 Door APG is niet gereageerd op het verzoek van drie betrokkenen om hun gegevens te verwijderen uit de database van APG. Eerst na tussenkomst van de AP is APG alsnog tot verwijdering van de betreffende gegevens overgegaan. Nu er in drie gevallen een overtreding is geconstateerd, die door APG ook niet is betwist, volgt de AP APG niet in haar standpunt dat er geen aanleiding bestaat tot handhaving.

De AP ziet in het onderhavige geval aanleiding om gebruik te maken van haar bevoegdheid om een boete op grond van artikel 58, tweede lid, aanhef en onder i en artikel 83, vierde lid, van de AVG, gelezen in samenhang met artikel 14, derde lid, van de UAVG, aan APG op te leggen.

Ingevolge artikel 83, vijfde lid, onder b, van de AVG zijn inbreuken op artikel 12 en 17 van de AVG overeenkomstig lid 2 onderworpen aan administratieve geldboeten tot € 20.000.000 of, voor een onderneming, tot 4% van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is.

4.2 Boetebeleidsregels Autoriteit Persoonsgegevens 2019 (Boetebeleidsregels 2019)

De AP heeft Boetebeleidsregels 2019 vastgesteld inzake de invulling van voornoemde bevoegdheid tot het opleggen van een bestuurlijke boete, waaronder het bepalen van de hoogte daarvan.

Ingevolge artikel 2, onder 2.2, van de Boetebeleidsregels 2019 zijn de bepalingen ter zake van overtredingen waarvoor de AP een bestuurlijke boete kan opleggen van ten hoogste het bedrag van € 20.000.000 of, voor een onderneming, tot 4% van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is, in bijlage 2 ingedeeld in categorie I, categorie II, categorie III of categorie IV. In Bijlage 2 is de overtreding van artikel 12, derde lid, van de AVG ingedeeld in categorie II.

Ingevolge artikel 2.3 van de Boetebeleidsregels 2019 stelt de AP de basisboete voor overtredingen waarvoor een wettelijk boetemaximum geldt van € 20.000.000 vast binnen de in dat artikel bepaalde boetebandbreedtes. Voor overtredingen in categorie II van bijlage 2 van de Boetebeleidsregels 2019 geldt een boetebandbreedte tussen € 120.000 en € 500.000 en een basisboete van € 310.000.

Ingevolge artikel 6 van de Boetebeleidsregels 2019 bepaalt de AP de hoogte van de boete door het bedrag van de basisboete naar boven (tot ten hoogste het maximum van de bandbreedte van de aan een overtreding gekoppelde boetecategorie) of naar beneden (tot ten laagste het minimum van die bandbreedte) bij te stellen. De basisboete wordt verhoogd of verlaagd afhankelijk van de mate waarin de factoren die zijn genoemd in artikel 7 van de Boetebeleidsregels 2019 daartoe aanleiding geven.

Ingevolge artikel 7 van de Boetebeleidsregels 2019 houdt de AP onverminderd de artikelen 3:4 en 5:46 van de Algemene wet bestuursrecht (Awb) rekening met de volgende factoren die zijn ontleend aan artikel 83, tweede lid, van de AVG, in de Beleidsregels genoemd onder a tot en met k:

25 Zie ook overweging 7 van de AVG.

13/16

a. de aard, de ernst en de duur van de inbreuk, rekening houdend met de aard, de omvang of het doel van de verwerking in kwestie alsmede het aantal getroffen betrokkenen en de omvang van de door hen geleden schade; b. de opzettelijke of nalatige aard van de inbreuk; c. de door de verwerkingsverantwoordelijke […] genomen maatregelen om de door betrokkenen geleden schade te beperken; d. de mate waarin de verwerkingsverantwoordelijke […] verantwoordelijk is gezien de technische en organisatorische maatregelen die hij heeft uitgevoerd overeenkomstig de artikelen 25 en 32 van de AVG; e. eerdere relevante inbreuken door de verwerkingsverantwoordelijke […]; f. de mate waarin er met de toezichthoudende autoriteit is samengewerkt om de inbreuk te verhelpen en de mogelijke negatieve gevolgen daarvan te beperken; g. de categorieën van persoonsgegevens waarop de inbreuk betrekking heeft; h. de wijze waarop de toezichthoudende autoriteit kennis heeft gekregen van de inbreuk, met name of, en zo ja in hoeverre, de verwerkingsverantwoordelijke […] de inbreuk heeft gemeld; i. de naleving van de in artikel 58, tweede lid, van de AVG genoemde maatregelen, voor zover die eerder ten aanzien van de verwerkingsverantwoordelijke […] in kwestie met betrekking tot dezelfde aangelegenheid zijn genomen; j. het aansluiten bij goedgekeurde gedragscodes overeenkomstig artikel 40 van de AVG of van goedgekeurde certificeringsmechanismen overeenkomstig artikel 42 van de AVG; en k. elke andere op de omstandigheden van de zaak toepasselijke verzwarende of verzachtende factor, zoals gemaakte financiële winsten, of vermeden verliezen, die al dan niet rechtstreeks uit de inbreuk voortvloeien.

Ingevolge artikel 8.1 van de Boetebeleidsregels 2019 kan de AP, indien de voor de overtreding bepaalde boetecategorie in het concrete geval geen passende bestraffing toelaat, bij het bepalen van de hoogte van de boete de boetebandbreedte van de naast hogere categorie respectievelijk de boetebandbreedte van de naast lagere categorie toepassen.

Ingevolge artikel 9 van de Boetebeleidsregels 2019 houdt de AP bij het vaststellen van de boete zo nodig rekening met de financiële omstandigheden waarin de overtreder verkeert. In geval van verminderde of onvoldoende draagkracht van de overtreder kan de AP de op te leggen boete verdergaand matigen, indien, na toepassing van artikel 8.1 van de beleidsregels, vaststelling van een boete binnen de boetebandbreedte van de naast lagere categorie naar haar oordeel desalniettemin zou leiden tot een onevenredig hoge boete.

4.3 Boetehoogte

In het hierna volgende gaat de AP met inachtneming van het door APG in haar zienswijze gestelde in op de - voor zover hier relevant - in artikel 7 van de Boetebeleidsregels 2019 genoemde factoren.

14/16

4.3.1 Aard, ernst en duur van de inbreuk

Ingevolge artikel 7, aanhef en onder a, van de Boetebeleidsregels 2019 houdt de AP rekening met de aard, de ernst en de duur van de inbreuk.

De bescherming van natuurlijke personen bij de verwerking van persoonsgegevens is een grondrecht. Krachtens artikel 8, eerste lid, van het Handvest van de grondrechten van de Europese Unie en artikel 16, eerste lid, van het Verdrag betreffende de werking van de Europese Unie (VWEU) heeft eenieder recht op bescherming van zijn persoonsgegevens. De beginselen en regels betreffende de bescherming van natuurlijke personen bij de verwerking van hun persoonsgegevens dienen in overeenstemming te zijn met hun grondrechten en fundamentele vrijheden, met name met hun recht op bescherming van persoonsgegevens. De AVG beoogt bij te dragen aan de totstandkoming van een ruimte van vrijheid, veiligheid en recht en van een economische unie, alsook tot economische en sociale vooruitgang, de versterking en de convergentie van de economieën binnen de interne markt en het welzijn van natuurlijke personen. De verwerking van persoonsgegevens moet ten dienste van de mens staan. Het recht op bescherming van persoonsgegevens heeft geen absolute gelding, maar moet worden beschouwd in relatie tot de functie ervan in de samenleving en moet conform het evenredigheidsbeginsel tegen andere grondrechten worden afgewogen. Elke verwerking van persoonsgegevens dient behoorlijk en rechtmatig te geschieden. De persoonsgegevens dienen toereikend en ter zake dienend te zijn en beperkt te blijven tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt. Persoonsgegevens moeten worden verwerkt op een manier die een passende beveiliging en vertrouwelijkheid van die gegevens waarborgt, ook ter voorkoming van ongeoorloofde toegang tot of het ongeoorloofde gebruik van persoonsgegevens en de apparatuur die voor de verwerking wordt gebruikt. Met de AVG is een doeltreffende bescherming van persoonsgegevens beoogd.

De AP neemt in overweging dat de inbreuk betrekking heeft op enkele betrokkenen, wiens persoonsgegevens (in eerste instantie) zijn verwerkt met als doel hen van passende vacatures te voorzien, en dat APG nadat zij de gegevens van betrokkenen eerder in quarantaine had gesteld zodat deze personen niet langer benaderd zouden worden hangende het onderzoek door de AP, op 11 september 2019 gevolg heeft gegeven aan hun verzoek. Er zijn geen bijzondere categorieën persoonsgegevens in het geding. In het geval van de drie betrokkenen is het door APG voorgeschreven beleid niet gevolgd, en hebben zij eerst door middel van het indienen van een klacht hun rechten kunnen effectueren. De inbreuken hebben tot gevolg gehad dat de drie betrokkenen na hun verzoek tot gegevenswissing toch zijn benaderd door APG voor vacatures. Dat de nadelige gevolgen voor betrokkenen wellicht beperkt zijn gebleven, neemt niet weg dat de AP de geconstateerde overtreding ernstig acht, te meer nu deze drie keer heeft plaatsgevonden en zich bij verschillende labels van APG heeft voorgedaan. De AP ziet geen aanleiding om op basis van het bovenstaande het basisboetebedrag van € 310.000,- te verhogen of te verlagen.

4.3.2 Opzettelijke of nalatige aard van de inbreuk (verwijtbaarheid)

Ingevolge artikel 5:46, tweede lid, van de Awb houdt de AP bij de oplegging van een bestuurlijke boete rekening met de mate waarin deze aan de overtreder kan worden verweten. Nu het hier gaat om een

15/16

overtreding, is voor het opleggen van een bestuurlijke boete conform vaste rechtspraak26 niet vereist dat wordt aangetoond dat sprake is van opzet en mag de AP verwijtbaarheid veronderstellen als het daderschap vaststaat.27

Zoals door APG is aangegeven heeft zij in haar privacy statement opgenomen dat betrokkenen die zich willen uitschrijven, contact kunnen opnemen met APG via het privacy e-mailadres. De AP overweegt dat de drie betrokkenen hun verzoek hebben gericht aan de recruiter met wie zij op dat moment in contact stonden en niet aan voornoemd e-mailadres. Ook voor deze situatie heeft APG een instructie opgesteld voor haar medewerkers, maar die is in deze drie gevallen niet door hen toegepast. De AP acht dit verwijtbaar.

4.3.3 Evenredigheid

Tot slot beoordeelt de AP op grond van artikelen 3:4 en 5:46 van de Awb (evenredigheidsbeginsel) of de toepassing van haar beleid voor het bepalen van de hoogte van de boete gezien de omstandigheden van het concrete geval, niet tot een onevenredige uitkomst leidt. Toepassing geven aan het evenredigheidsbeginsel brengt volgens de Boetebeleidsregels 2019 mee dat de AP bij het vaststellen van de boete zo nodig rekening houdt met de financiële omstandigheden waarin de overtreder verkeert.

APG heeft in haar reactie van 21 augustus 2019 op het informatieverzoek van de AP aangegeven dat zij in de periode vanaf mei 2018 meer dan 650 verzoeken tot uitschrijving heeft verwerkt. De AP acht het aannemelijk dat het gaat om een drietal incidenten die het gevolg zijn geweest van een menselijke fout. Van belang wordt voorts geacht dat APG reeds had voorzien in beleid met betrekking tot verzoeken als onderhavige. Allereerst heeft APG een privacy-inbox beschikbaar waar betrokkenen hun verzoeken op het gebied van privacy kunnen indienen. Daarnaast heeft zij in haar “GDPR Processes for Recruiters 2018” uitvoerig beschreven hoe te handelen naar aanleiding van verzoeken en klachten op grond van de AVG die de recruiter en de manager via hun persoonlijke inbox dan wel telefonisch bereiken. Ook bevat deze een instructie op welke wijze gegevens uit de database moeten worden verwijderd. Nadat zij bekend is geworden met de klachten heeft APG in de hiervoor geschetste gang van zaken aanleiding gezien haar beleid aan te scherpen om situaties als deze in de toekomst zoveel mogelijk te voorkomen.

De AP acht gelet op alle omstandigheden van dit geval een boete van € 310.000,- onevenredig hoog en een boete van € 6.000 passend en geboden.

26 Vgl. CBb 29 oktober 2014, ECLI:NL:CBB:2014:395, r.o. 3.5.4, CBb 2 september 2015, ECLI:NL:CBB:2015:312, r.o. 3.7 en CBb 7 maart 2016, ECLI:NL:CBB:2016:54, r.o. 8.3, ABRvS 29 augustus 2018, ECLI:NL:RVS:2018:2879, r.o. 3.2 en ABRvS 5 december 2018, ECLI:NL:RVS:2018:3969, r.o. 5.1. 27 Kamerstukken II 2003/04, 29702, nr. 3, p. 134.

16/16

5. Dictum Boete

De AP legt aan APG, wegens overtreding van artikel 17, eerste lid, juncto artikel 12, derde lid, van de AVG, een bestuurlijke boete op ten bedrage van € 6.000,-- (zegge: zesduizend euro).28

Hoogachtend, Autoriteit Persoonsgegevens,

ir. M.J. Verdier Vicevoorzitter

Rechtsmiddelenclausule Indien u het niet eens bent met dit besluit kunt u binnen zes weken na de datum van verzending van het besluit digitaal of op papier een bezwaarschrift indienen bij de Autoriteit Persoonsgegevens. Ingevolge artikel 38 van de UAVG schort het indienen van een bezwaarschrift de werking van de beschikking tot oplegging van de bestuurlijke boete op. Voor het indienen van digitaal bezwaar, zie www.autoriteitpersoonsgegevens.nl, onder het kopje Bezwaar maken tegen een besluit, onderaan de pagina onder de kop Contact met de Autoriteit Persoonsgegevens. Het adres voor het indienen op papier is: Autoriteit Persoonsgegevens, postbus 93374, 2509 AJ Den Haag. Vermeld op de envelop ‘Awb-bezwaar’ en zet in de titel van uw brief ‘bezwaarschrift’. Schrijf in uw bezwaarschrift ten minste: - uw naam en adres; - de datum van uw bezwaarschrift; - het in deze brief genoemde kenmerk (zaaknummer); of een kopie van dit besluit bijvoegen; - de reden(en) waarom u het niet eens bent met dit besluit; - uw handtekening.

28 De AP zal voornoemde vordering uit handen geven aan het Centraal Justitieel Incassobureau (CJIB).