ECLI:NL:RBGEL:2025:6547

Rechtbank Gelderland

Datum uitspraak
7 augustus 2025
Publicatiedatum
6 augustus 2025
Zaaknummer
AWB-22_4633
Instantie
Rechtbank Gelderland
Type
Uitspraak
Rechtsgebied
Bestuursrecht
Procedures
  • Eerste aanleg - meervoudig
Rechters
Vindplaatsen
  • Rechtspraak.nl
AI samenvatting door LexboostAutomatisch gegenereerd

Boetebesluit wegens overtreding van de AVG door curator van failliete zorginstelling

In deze zaak heeft de Rechtbank Gelderland op 7 augustus 2025 uitspraak gedaan in een geschil tussen de Autoriteit Persoonsgegevens (AP) en de eiser, een curator van een failliete zorginstelling. De AP had een boete van € 148.750 opgelegd aan de eiser wegens overtreding van artikel 5, eerste lid, aanhef en onder f, in samenhang met artikel 32, eerste en tweede lid, van de Algemene Verordening Gegevensbescherming (AVG). De eiser was het niet eens met de opgelegde boete en heeft beroep ingesteld. De rechtbank heeft geoordeeld dat de AP terecht een boete heeft opgelegd, maar dat deze gematigd moet worden tot € 58.125 vanwege verminderde verwijtbaarheid en overschrijding van de redelijke termijn. De rechtbank heeft vastgesteld dat de eiser als verwerkingsverantwoordelijke kan worden aangemerkt, omdat hij redelijkerwijs kon beschikken over de persoonsgegevens op een Western Digital harde schijf die was aangetroffen in een server die onderdeel uitmaakte van de faillissementsboedel. De rechtbank heeft de AP gevolgd in haar conclusie dat er sprake was van een overtreding van de AVG, maar heeft de hoogte van de boete verlaagd. De rechtbank heeft ook geoordeeld dat de redelijke termijn voor de procedure was overschreden, wat aanleiding gaf tot een verdere matiging van de boete. De uitspraak benadrukt de verantwoordelijkheden van curatoren in faillissementen met betrekking tot de bescherming van persoonsgegevens.

Uitspraak

RECHTBANK GELDERLAND

Zittingsplaats Arnhem
Bestuursrecht
zaaknummer: ARN 22/4633

uitspraak van de meervoudige kamer van

in de zaak tussen
[eiser]in zijn hoedanigheid van curator in het faillissement van
[naam stichting]uit [plaats] , eiser
(gemachtigden: mr. G.J. Zwenne en mr. B. Kleinhout),
en

de Autoriteit Persoonsgegevens, de AP

(gemachtigden: mr. T. Sanders en mr. E. Nijhoff).

Samenvatting

1. Deze uitspraak gaat over de aan eiser opgelegde boete van € 148.750 wegens overtreding van de Algemene Verordening Gegevensbescherming (AVG). Eiser is het niet eens met de opgelegde boete. Hij voert daartoe een aantal beroepsgronden aan. Aan de hand van deze beroepsgronden beoordeelt de rechtbank of de boete terecht is opgelegd.
1.1.
De rechtbank komt in deze uitspraak tot het oordeel dat de AP terecht een boete heeft opgelegd aan eiser, maar dat de boete moet worden gematigd tot een bedrag van
€ 58.125
.Dit betekent dat het beroep gegrond is. Hierna legt de rechtbank uit hoe zij tot dit oordeel komt en welke gevolgen dit oordeel heeft.
1.2.
Onder 2 staat het procesverloop in deze zaak. Onder 3 staan de van belang zijnde feiten en omstandigheden die hebben geleid tot het bestreden besluit. De beoordeling door de rechtbank volgt vanaf 4. De rechtbank gaat onder 4 in op de vraag of eiser verwerkingsverantwoordelijke is. Deze vraag splitst zich uit in twee deelvragen. Onder 5 wordt ingegaan op de deelvraag of eiser kon beschikken over de persoonsgegevens en onder 6 wordt ingegaan op de deelvraag of eiser invloed kon uitoefenen op die persoonsgegevens. Vervolgens wordt onder 7 ingegaan op de vraag of sprake is van een overtreding van de AVG. Daarna wordt onder 8 ingegaan op de vraag of eiser de overtreding kan worden verweten. Onder 9 wordt de overschrijding van de redelijke termijn besproken. Aan het eind staat de beslissing van de rechtbank en de gevolgen daarvan.
1.3.
De wet- en regelgeving die van belang zijn voor deze zaak, staan in de bijlage bij deze uitspraak.

Procesverloop

2. Naar aanleiding van een tip heeft de AP onderzoek gedaan naar een mogelijke overtreding van de AVG door eiser vanwege het niet nemen van passende technische en organisatorische maatregelen in verband met de persoonsgegevensbeveiliging.
2.1.
Naar aanleiding van het onderzoek heeft de AP op 14 mei 2020 aan eiser laten weten dat zij voornemens is om een boete op te leggen wegens overtreding van artikel 5, eerste lid, aanhef en onder f, in samenhang met artikel 32, eerste en tweede lid, van de AVG. Eiser heeft op het voornemen gereageerd met een zienswijze.
2.2.
De AP heeft vervolgens met het besluit van 9 december 2021 aan eiser een boete opgelegd van € 310.000. Met het bestreden besluit van 25 augustus 2022 op het bezwaar van eiser heeft de AP de hoogte van de boete gewijzigd naar € 148.750.
2.3.
Eiser heeft beroep ingesteld tegen het bestreden besluit.
2.4.
De AP heeft de op de zaak betrekking hebbende stukken overgelegd, waaronder een verklaring van de tipgever waarbij de persoonsgegevens zijn weggelakt. Daarnaast heeft de AP de ongelakte versie van de verklaring van de tipgever naar de rechtbank toegestuurd waarbij is verzocht dat uitsluitend de rechtbank daarvan kennis zal nemen. De geheimhoudingskamer van de rechtbank heeft op 8 mei 2025 beslist dat beperkte kennisneming van de verklaring van de tipgever gerechtvaardigd is. Eiser heeft toestemming gegeven om mede op grondslag van deze verklaring uitspraak te doen.
2.5.
De AP heeft op het beroep gereageerd met een verweerschrift.
2.6.
De rechtbank heeft het beroep op 3 juni 2025 op zitting behandeld. Hieraan hebben deelgenomen: eiser, de gemachtigden van eiser en de gemachtigden van de AP.

Beoordeling door de rechtbank

Totstandkoming van het bestreden besluit
3. Op 9 juli 2018 ontving de AP een telefonische melding van iemand (de tipgever) die gegevensdragers met persoonsgegevens had aangetroffen in ICT-apparatuur waarvan hij heeft verklaard dat hij die had verkregen uit de boedel van de failliete zorginstelling [naam stichting] . Het ging daarbij om:
  • een HP ML 350-server met een Western Digital 1 TB SATA harde schijf;
  • een Dell EqualLogic SAN-server met 16 harde schijven;
  • een back-uptape.
3.1.
Naar aanleiding van de melding heeft de AP onderzoek gedaan naar een mogelijke overtreding wegens het niet nemen van passende technische en organisatorische maatregelen in verband met de persoonsgegevensbeveiliging. [1] Het onderzoek van de AP heeft zich beperkt tot de Western Digital 1 TB SATA harde schijf (Western Digital harde schijf) in de HP ML 350-server. De AP heeft vastgesteld dat op de Western Digital harde schijf (bijzondere) persoonsgegevens stonden van zowel cliënten als personeel van [naam stichting] .
3.2.
Met het voornemen van 14 mei 2020 heeft de AP aan eiser laten weten dat de AP naar aanleiding van het onderzoek voornemens is om aan eiser – in zijn hoedanigheid van curator van [naam stichting] – een boete op te leggen. Eiser heeft op het voornemen gereageerd met een zienswijze. Vervolgens heeft de AP met het besluit van 9 december 2021 aan eiser een boete opgelegd van € 310.000 wegens het onvoldoende nemen van technische en organisatorische maatregelen om verlies dan wel onrechtmatige verstrekking van persoonsgegevens te voorkomen. Met het bestreden besluit op het bezwaar van eiser heeft de AP de hoogte van de boete gematigd tot een bedrag van € 148.750.
Is eiser een verwerkingsverantwoordelijke in de zin van de AVG?
4. Voor de vraag of eiser als overtreder kan worden aangemerkt, dient eerst te worden vastgesteld dat hij ook de verwerkingsverantwoordelijke is in de zin van artikel 4, aanhef en onder zeven, van de AVG. In dit verband moet worden nagegaan of hij alleen of samen met anderen de doelstellingen van en de middelen voor de verwerking vaststelt, dan wel of deze doelstellingen en middelen in het nationale recht zijn bepaald. [2] Tussen partijen is niet in geschil dat in het algemeen geldt dat in geval van faillissement de verwerkingsverantwoordelijkheid van persoonsgegevens in de boedel overgaat van de failliet naar de curator. Dat geldt niet voor zover de curator feitelijk niet over die gegevens beschikt en daar redelijkerwijs ook niet over kon beschikken.
4.1.
Tussen partijen is in geschil of eiser in dit geval beschikte of redelijkerwijs kon beschikken over de persoonsgegevens die op de Western Digital harde schijf zijn aangetroffen. Eiser stelt, kort samengevat, dat dit niet het geval is nu die harde schijf niet tot de boedel behoorde. Voor zover de harde schijf zich wel in de boedel bevond kon hij hier redelijkerwijs geen weet van hebben. Hij kon daarom ook geen invloed uitoefenen op de verwerking van de op de harde disk opgeslagen gegevens. Dat maakt dat hij geen verwerkingsverantwoordelijke is en reeds om die reden niet als overtreder kan worden aangemerkt. Immers artikel 5, eerste lid, aanhef en onder f, in samenhang met artikel 32, eerste en tweede lid, van de AVG creëert verplichtingen voor de verwerkingsverantwoordelijke. Dat is eiser niet.
Kon eiser redelijkerwijs beschikken over de persoonsgegevens op de Western Digitale harde schijf?
5. De AP stelt zich in het bestreden besluit op het standpunt dat buiten redelijke twijfel is dat de Western Digital harde schijf afkomstig is uit de boedel van [naam stichting] . Dit baseert zij op de volgende feiten en omstandigheden:
  • De verklaring van de tipgever dat hij de HP ML350-server met harde schijf heeft gekocht op de veiling van de failliete [naam stichting] ;
  • De door de tipgever overgelegde aankoopfactuur van [naam veilingbedrijf] met betrekking tot kavel [kavelnummer] ;
  • De zichtbare visuele overeenkomsten tussen de door de [naam veilingbedrijf] gepresenteerde informatie over kavel [kavelnummer] en hetgeen de toezichthouders van de AP bij de tipgever hebben aangetroffen;
  • Het taxatierapport opgesteld in opdracht door de curator. Die maakt melding van 2 HP back-up servers, type Proliant ML350;
  • De bij de tipgever aanwezige gelabelde apparaten met benamingen BACKUP, EX1 en EX2. Deze benamingen staan ook op het overzicht van de hardware van [naam stichting] die door de curator is opgeleverd aan de AP.;
  • De aangetroffen persoonsgegevens op de harde schijf. Het gaat om een grote hoeveelheid bestanden met veel bijzondere en gevoelige persoonsgegevens van zowel (oud)medewerkers als (oud)cliënten van [naam stichting] . Daaronder begrepen zijn gegevens over salaris, NAW-gegevens, BSN nummers, gegevens over ontslagprocedures en medische gegevens.
5.1.
Eiser stelt dat hij niet kon beschikken over de persoonsgegevens op de Western Digital harde schijf, omdat deze zich niet bevond in de boedel van [naam stichting] . Gelet op de verzwaarde bewijslast, is het volgens eiser aan de AP om buiten redelijke twijfel aan te tonen dat eiser kon beschikken over de persoonsgegevens. De AP heeft niet aan deze bewijslast voldaan. Er bestaan namelijk ernstige twijfels over het scenario van de AP dat de harde schijf onderdeel uitmaakte van de faillissementsboedel van [naam stichting] en dat de tipgever de harde schijf via de faillissementsveiling heeft verkregen. De AP baseert zich in het bestreden besluit veelvuldig op oncontroleerbare aannames, speculaties en veronderstellingen. De in het bestreden besluit genoemde feiten en omstandigheden zeggen alleen iets over de herkomst van de HP ML350-server, maar niets over de Western Digital harde schijf. Zelfs als er vanuit wordt gegaan dat de geveilde HP ML350-server dezelfde is als de server die bij de tipgever is aangetroffen, is daarmee nog niet aangetoond dat de Western Digital harde schijf daarin was gemonteerd. Alleen de verklaring van de anonieme tipgever(s) en de op de Western Digital harde schijf aangetroffen persoonsgegevens zouden mogelijk iets zeggen over de herkomst van de harde schijf. Kort gezegd komen de bezwaren van eiser op het volgende neer:
– De verklaring van de anonieme tipgever is niet betrouwbaar;
– De plek waar de Western Digital harde schijf is aangetroffen is ongebruikelijk en ondersteunt het scenario dat deze daar na de veiling is geplaatst en (dus) niet tot de faillissementsboedel behoorde;
– Het is mogelijk dat de Western Digital harde schijf op een eerder moment is ontvreemd zodat deze niet tot de failliete boedel behoorde.
Eiser wijst er daarbij op dat hij, nadat het faillissement van [naam stichting] was uitgesproken, alle in de boedel aanwezige actieve ICT-apparatuur door een deskundige heeft laten inventariseren op de aanwezigheid van gegevensdragers en dat de Western Digital harde schijf daarbij niet naar voren is gekomen. Verder heeft hij direct voorafgaand aan de veiling opdracht gegeven om alle gegevensdragers te verwijderen. Ook daarbij is de Western Digital harde schijf niet aangetroffen. Dit ondersteunt het scenario dat de harde schijf niet tot de boedel behoorde. Eiser heeft deze bezwaren in beroep uitgebreid toegelicht. Hierop zal de rechtbank hieronder ingaan.
5.2.
De rechtbank stelt voorop dat sprake is van een belastend besluit. Dit betekent dat de AP de bewijslast draagt voor de feiten en omstandigheden waarop het besluit rust. De overtreding moet buiten redelijke twijfel bewezen zijn. [3] Eiser kan volstaan met het leveren van tegenbewijs. Hij hoeft niet te bewijzen dat de zaak anders ligt dan het AP stelt, maar alleen dat het onderzoek waar het AP zich op baseert niet deugt. Indien eiser zich beroept op een alternatief scenario verschuift de bewijslast naar eiser. Het is dan aan hem om dit alternatieve scenario aannemelijk te maken. [4]
5.3.
De rechtbank is van oordeel dat de AP buiten redelijke twijfel heeft aangetoond dat de tipgever de Western Digital harde schijf, die was gemonteerd in een HP ML350-server, heeft verkregen middels de aankoop van een kavel tijdens de boedelveiling van [naam stichting] en dat op die Western Digital harde schijf (bijzondere) persoonsgegevens zijn aangetroffen. Hiertoe acht de rechtbank het volgende redengevend.
Uit de aankoopfactuur blijkt dat de tipgever bij de veiling van de failliete [naam stichting] kavel [kavelnummer] heeft gekocht. Hierin zat een patchkast met HP-servers. Uit het taxatierapport, opgesteld in opdracht van eiser, blijkt dat er twee HP back-up servers, type Proliant ML350 in de boedel zaten. [5] De tipgever heeft de toezichthouders het digitale origineel van de aankoopfactuur laten zien. De toezichthouders hebben geconstateerd dat de kopie van de aankoopfactuur identiek is aan het origineel. De toezichthouders hebben onderzoek gedaan bij de woning van de tipgever. Daar hebben de toezichthouders een patchkast aangetroffen waarin zich onder andere 2 HP ML350 servers bevonden. [6] De toezichthouders hebben geconstateerd dat hetgeen ze bij de tipgever hebben aangetroffen visueel overeenkomt met hetgeen [naam veilingbedrijf] heeft gepresenteerd over dit kavel op de website van de digitale veiling. [7] In één van die servers hebben de toezichthouders intern gemonteerd de Western Digital harde schijf aangetroffen. Op die harde schijf hebben de toezichthouderes persoonsgegevens aangetroffen van (oud)medewerkers en (oud)patiënten van [naam stichting] zoals hierboven omschreven. Verder hebben de toezichthouders een aantal andere apparaten bij de tipgever aangetroffen met de benamingen BACK UP, ESX1 en ESX2. Deze worden ook genoemd op het overzicht van hardware van [naam stichting] zoals aangeleverd door eiser aan de AP. De tipgever heeft verklaard dat hij de patchkast via een digitale veiling van het bedrijf [naam veilingbedrijf] heeft gekocht en dat hij deze op 27 juni 2018 heeft opgehaald bij de ophaallocatie. Wat hij die dag aantrof kwam overeen met de foto’s van dit kavel die op de website van [naam veilingbedrijf] had gestaan. De patchkast met daarin de ML350-server bevond zich in de serverruimte. Thuis heeft de tipgever de patchkast opengeschroefd en heeft hij de Western Digital harde schijf aangetroffen met daarop de persoonsgegevens zoals hierboven omschreven.
5.4.
De rechtbank is van oordeel dat uit het voorgaande genoegzaam blijkt dat de HP ML350-server onderdeel was van de door de tipgever gekochte kavel, welke behoorde tot de boedel van [naam stichting] . Verder is de rechtbank van oordeel dat de AP onder verwijzing naar de verklaring van de tipgever en de overige in het bestreden besluit genoemde omstandigheden zich eveneens terecht op het standpunt stelt dat buiten redelijke twijfel is komen vast te staan dat de Western Digital harde schijf in deze server gemonteerd zat en daarom ook tot de boedel behoorde. Hiertoe acht de rechtbank van belang dat deze conclusie niet enkel is gebaseerd op de verklaring van de tipgever, maar dat deze verklaring wordt ondersteund door verschillende andere omstandigheden. De rechtbank wijst in dit kader op het feit dat, ook de AP heeft vastgesteld dat de Western Digital harde schijf in de HP-server zat, dat dit is gebeurd op een moment relatief kort nadat de veiling heeft plaatsgevonden en dat er een groot aantal persoonsgegevens van [naam stichting] op de harde schijf staan.
5.5.
De rechtbank volgt eiser niet in zijn betoog dat de verklaring van de tipgever onvoldoende betrouwbaar zou zijn en dat door het niet prijsgeven van de identiteit van de tipgever, het verdedigingsbeginsel geschonden zou zijn. Allereerst merkt de rechtbank op dat de geheimhoudingskamer reeds heeft geoordeeld dat beperkte kennisneming van de verklaring van de tipgever gerechtvaardigd is. Dat eiser zich hierdoor niet adequaat heeft kunnen verdedigen volgt de rechtbank niet. De naam en het beroep van de tipgever zijn weliswaar gelakt, maar verder heeft eiser kennis kunnen nemen van de inhoud van de verklaring. Ook ziet de rechtbank geen aanleiding om aan de betrouwbaarheid van de tipgever te twijfelen. De AP is nagegaan wie de tipgever is en of er een link is met [naam stichting] of de curator, maar dat bleek niet het geval. Ook nadat de rechtbank de ongelakte versie van de verklaring van de anonieme tipgever heeft bekeken, zijn daar onvoldoende aanknopingspunten voor. Dat de tipgever mogelijk een commercieel belang zou hebben, zoals door eiser op zitting gesteld, verandert dit oordeel niet. Dit doet namelijk niet af aan het feit dat hij persoonsgegevens heeft aangetroffen op de door hem via de boedelveiling verkregen Western Digital harde schijf. Op zitting heeft eiser er verder op gewezen dat de tipgever in zijn verslag stelt dat de Western Digital harde schijf gemonteerd zou hebben gezeten in de HP ML350-server met de aanduiding “back-up”, terwijl de AP beschrijft dat de Western Digital harde schijf is aangetroffen in de HP ML350-server zonder dit label. Alhoewel eiser terecht stelt dat sprake is van enige discrepantie tussen de verklaring van de tipgever en die van de toezichthouders maakt dit niet dat sprake is van dusdanige twijfel aan de verklaring van de tipgever dat deze niet langer aan de overtreding ten grondslag mag worden gelegd. Immers beiden verklaren wél dat de harde schijf is aangetroffen in de apparatuur zoals gekocht bij de boedelveiling. Bovendien wordt de verklaring van de tipgever voor het overige op verschillende punten ondersteund door andere feiten en omstandigheden en niet in de laatste plaats door het groot aantal persoonsgegevens dat op de harde schijf is aangetroffen.
5.6.
Eiser heeft eiser er nog op gewezen dat de harde schijf niet is aangetroffen bij de IP-scan die hij op 20 februari 2017 heeft laten uitvoeren door [naam bedrijf] . Dit veronderstelt dat de harde schijf toen niet aanwezig was. Ook dit leidt niet tot een ander oordeel. Uit het door eiser overgelegde rapport van 28 maart 2022 en de daarbij gevoegde bijlagen blijkt niet of en zo ja hoeveel harde schijven er zijn aangetroffen. Dit heeft eiser ook ter zitting niet kunnen verduidelijken. Verder heeft eiser op zitting gesteld dat de gegevens op de harde schijf niet bij de IP-scan zijn aangetroffen, maar ook dit blijkt niet uit het rapport van 28 maart 2022. In dit rapport worden de aangetroffen data namelijk niet nader gespecificeerd.
5.7.
In wat eiser verder heeft aangevoerd ziet de rechtbank geen reden om te twijfelen aan de onderzoeksbevindingen van de toezichthouders en de verklaring van de tipgever. Dat de harde schijf op een ongebruikelijke plek is gemonteerd maakt niet dat aan de verklaring van de tipgever moet worden getwijfeld. Immers tussen partijen is niet in geschil dat het technisch mogelijk was om de Western digital harde schijf intern te monteren en de daarop aangetroffen persoonsgegevens erop te plaatsen. De systeembeheerder van [naam stichting] heeft ook bevestigd dat soms harde schijven in de servers werden geplaatst. Dat het volgens de systeembeheerder van [naam stichting] niet gebruikelijk was om persoonsgegevens op een harde schijf te plaatsen, maakt niet dat niet van de verklaring van de tipgever kan worden uitgegaan.
5.8.
Eiser heeft in beroep ook een alternatief scenario geschetst en gesteld dat het mogelijk is dat de harde schijf op een eerder moment dan de veiling is ontvreemd waardoor deze niet meer tot de boedel behoorde en hij niet over de persoonsgegevens kon beschikken. Uit de analyse van de AP blijkt dat er voor het laatst op 13 april 2016 persoonsgegevens op de harde schijf zouden zijn opgeslagen. Dit was vóór het faillissement van [naam stichting] dat op 21 april 2016 is uitgesproken. Het is voorstelbaar dat iemand de harde schijf in de periode van 13 april 2016 en 21 april 2016 uit de systemen van [naam stichting] heeft verwijderd en later in de bij de tipgever aangetroffen HP ML350-server heeft teruggeplaatst. Ook is het voorstelbaar dat de bij de tipgever aangetroffen harde schijf al op een eerder moment is verwijderd uit de ICT-systemen van [naam stichting] en dat de persoonsgegevens op enig moment op de harde schijf zijn geplaatst door de tipgever of iemand die toegang had tot de ICT-systemen van [naam stichting] . In dit kader heeft eiser erop gewezen dat de AP geen forensische kopie heeft gemaakt voor aanvang van het onderzoek en de AP de gebruiksgeschiedenis heeft beschadigd, zodat het voor eiser onmogelijk is om aan te tonen dat de Western Digital harde schijf gemanipuleerd is. Verder kan de AP geen steekhoudende verklaring geven voor het feit dat de harde schijf op 13 juni 2018 vanaf 5.00 uur is benaderd. Een voor de hand liggende verklaring zou kunnen zijn dat de Western Digital harde schijf zich op dat moment niet meer in het pand bevond, maar dit heeft de AP niet onderzocht. Eiser stelt dat de benaderingen niet het gevolg kunnen zijn van het handelen van [naam veilingbedrijf] omdat de benaderingen vanaf 5:00 uur hebben plaatsgevonden en de medewerkers van [naam veilingbedrijf] toen nog niet in het pand aanwezig waren. Bovendien hebben de medewerkers van [naam veilingbedrijf] uitdrukkelijk verklaard dat zij de computerapparatuur niet hebben opgestart. Anders dan de AP stelt, is de netspanning ook nooit afgesloten geweest en was de server buiten gebruik.
Verder kan uit de omstandigheid dat de bestanden op de harde schijf tussen 16 oktober 2017 (kort voor het afsluiten van het internet) en 13 juni 2018 (het moment van inventarisatie door een medewerker van [naam veilingbedrijf] ) niet zouden zijn benaderd, niet worden geconcludeerd dat de harde schijf wel in het pand van [naam stichting] geweest moet zijn. Uit de tijdlijn is slechts af te leiden wanneer bepaalde bestanden voor het laatst zijn benaderd. Daaruit kan niet worden afgeleid dat de bestanden die na 13 juni 2018 voor het laatst zijn benaderd, daaraan voorafgaand niet ook zijn benaderd. Doordat er geen forensische kopie van de Western Digital harde schijf is gemaakt is dit voor de curator niet meer te achterhalen.
5.9.
De rechtbank is van oordeel dat eiser dit alternatieve scenario niet aannemelijk heeft gemaakt. Dat de harde schijf voor het faillissement uit de systemen van [naam stichting] zou zijn verwijderd dan wel dat de persoonsgegevens op enig moment zouden zijn geplaatst op de harde schijf nadat deze eerder waren ontvreemd van de systemen van [naam stichting] , is enkel gebaseerd op aannames. Anders dan eiser stelt, bieden de gegevens op de harde schijf hier geen onderbouwing voor. Uit het verslag van ambtshandelingen van 5 maart 2020 blijkt dat voor het laatst op 13 april 2016 e-mails zijn opgeslagen op de harde schijf en op 22 mei 2016 bestanden zijn geplaatst. Het faillissement van [naam stichting] is op 21 april 2016 uitgesproken. Dit duidt erop dat de harde schijf kort voor het faillissement nog in gebruik was bij [naam stichting] . Verder blijkt uit de door eiser verstrekte tijdlijn dat er op 16 oktober 2017 (kort voor het afsluiten van het internet) bestanden zijn benaderd en vervolgens weer op 3 juni 2018 (de dag van de veiling) zijn benaderd. Ook dit wekt de suggestie dat de harde schijf is blijven behoren tot de boedel van [naam stichting] . Dat er bij de start van het onderzoek een forensische kopie had moeten worden gemaakt, hetgeen ook door de AP op zitting is erkend, maakt niet dat aan deze gegevens geen waarde mag worden toegekend. Alhoewel hierdoor niet uit te sluiten is dat sommige gegevens zijn overschreven, laat dit onverlet dat het grootste gedeelte van de persoonsgegevens op de Western Digital harde schijf niet is benaderd door de AP en dus ongewijzigd is gebleven. Ook de stelling dat hierdoor niet is uitgesloten dat de gegevens in de tussenliggende periodes zijn benaderd, maakt dit niet anders. Met deze enkele stelling heeft eiser immers niet aannemelijk gemaakt dat dit ook is gebeurd. Anders dan eiser stelt is het niet aan de AP om hier nader onderzoek naar te doen, maar aan eiser om het door hem geschetste alternatieve scenario aannemelijk te maken. De rechtbank is het met eiser eens dat het moment van benaderen van de Western Digital harde schijf op 13 juni 2018 niet zonder meer verklaard kan worden door het feit dat de medewerkers van [naam veilingbedrijf] die dag de boedel hebben geïnventariseerd. Hiermee heeft eiser echter niet aannemelijk gemaakt dat de Western Digital harde schijf zich op dat moment niet meer in de inventaris van de te veilen boedel van [naam stichting] bevond.
5.10.
Hetzelfde geldt voor zover eiser er op heeft gewezen dat uit het onderzoeksrapport volgt dat de gegevens op de bij tipgever aangetroffen SAN-server tijdens het faillissement zijn benaderd. Dat is onmogelijk omdat de betreffende SAN-server door [naam stichting] reeds voorafgaand aan het faillissement buiten gebruik gesteld en ook niet meer was aangesloten op netspanning. Om die reden is de server ook niet ter veiling aangeboden. Dat na het faillissement toch nog gegevens op deze server zijn benaderd valt dan ook niet te verklaren. Eiser stelt dat de bij de tipgever aangetroffen SAN-server mogelijk een andere is dan die zich in de boedel van [naam stichting] bevond. Als dit zo is, kleurt dit volgens eiser de betrouwbaarheid van tipgever.
5.11.
De rechtbank overweegt dat, hoewel partijen op zichzelf niet betwisten dat het technisch gezien nog steeds mogelijk was om bestanden op de SAN-server nog beperkt te benaderen, het niet voor de hand ligt dat dit na het faillissement nog is gebeurd. Wat daar ook van zij, het enkele feit dat bepaalde feiten niet goed verklaarbaar zijn (het benaderen van gegevens op de SAN-server en het benaderen van de Western Digital harde schijf op 13 juni 2018) betekent nog niet dat de feitelijke bevindingen die de AP aan zijn conclusie ten grondslag heeft gelegd niet langer buiten redelijke twijfel staan of dat de verklaringen van tipgever niet betrouwbaar zijn. Zoals gezegd is het aan eiser om alternatieve scenario’s aannemelijk te maken als hij de feitelijke bevindingen van de AP niet deugdelijk betwist of kan betwisten. Daarin is eiser niet geslaagd.
5.12.
Samengevat is de rechtbank van oordeel dat eiser beschikte dan wel redelijkerwijs kon beschikken over de persoonsgegevens op de Western Digital harde schijf.
Kon eiser invloed uitoefenen op de persoonsgegevens op de Western Digitale harde schijf?
6. Eiser stelt dat hij geen invloed kon uitoefenen op de persoonsgegevens op de Western Digital harde schijf. Ook in het geval deze gegevens tot de boedel zouden hebben behoord, had eiser geen kennis van het bestaan van de persoonsgegevens. Daarmee is eiser niet in staat geweest om invloed uit te oefenen op deze persoonsgegevens. In dit kader wijst hij er wederom op dat de harde schijf niet is aangetroffen bij de inventarisaties die door verschillende externe ICT-deskundigen zijn uitgevoerd. Bovendien was deze gemonteerd op een ongebruikelijke plek. Dit betekent dat eiser ook om die reden geen verwerkingsverantwoordelijke is.
6.1.
De rechtbank volgt eiser niet in dit betoog. De rechtbank is het met de AP eens dat eiser als verwerkingsverantwoordelijke kan worden aangemerkt als hij redelijkerwijs over de gegevens kon beschikken. Met andere woorden: bepalend is of de persoonsgegevens in de beschikkingsmacht van eiser lagen en hij hierdoor invloed kon uitoefenen op de verwerking ervan. De door eiser voorgestane uitleg, waarbij alleen gesproken kan worden van verwerkingsverantwoordelijkheid als de curator feitelijk over de persoonsgegevens beschikt en er weet van had, ondergraaft de bedoeling achter de verplichtingen zoals opgenomen in artikelen 5, eerste lid aanhef en onder f en artikel 32, tweede lid van de AVG. Deze artikelen verplichten de verwerkingsverantwoordelijke namelijk tot het nemen van passende technische organisatorische maatregelen om ervoor te zorgen dat persoonsgegevens beschermd zijn tegen ongeoorloofde en onrechtmatige verwerking. Indien deze verplichting alleen zou bestaan als de curator feitelijk weet heeft van het bestaan van de persoonsgegevens, zou het lonen om naar het bestaan van deze persoonsgegevens geen dan wel onvoldoende onderzoek te doen. Dit verhoudt zich niet met een adequate taakuitoefening van de curator. Dat is anders als, zoals eiser op zitting als voorbeeld aanhaalt, de gegevens door de failliet bewust zijn achtergehouden. Daar is hier echter geen sprake van, daar zijn partijen het over eens.
6.2.
De rechtbank is van oordeel dat eiser redelijkerwijs kon beschikken over de persoonsgegevens op de Western Digital harde schijf en er daarom invloed op kon uitoefenen. Bij de vraag of eiser invloed kon uitoefenen op de persoonsgegevens gaat het om de vraag of eiser wist of redelijkerwijs kon weten dat de persoonsgegevens op de Western Digital harde schijf waren opgeslagen en daartoe ook toegang had. Het enkele feit dat de zoekslag van eiser naar de aanwezigheid van gegevensdragers niet volledig is geweest, betekent niet dat hij daarom geen invloed kon uitoefenen op de verwerking ervan. Eiser kón van het bestaan van de gegevensdrager weten en kón daarmee ook invloed uitoefenen op de verwerking van de daarop opgeslagen gegevens. Dat eiser vindt dat hij voldoende onderzoek heeft gedaan en hem niet kan worden tegengeworpen dat de Western Digital harde schijf niet is aangetroffen, speelt mogelijk een rol bij de verwijtbaarheid van zijn handelen. Dit valt samen met de beantwoording van de vraag of sprake is eiser voldoende passende technische of organisatorische maatregelen heeft genomen in de zin van artikel 5, eerste lid, aanhef en onder f in samenhang met artikel 32, eerste en tweede lid, van de AVG. Op deze vraag zal de rechtbank onder 7 ingaan.
6.3.
Omdat eiser niet alleen over de gegevens op de Western Digital harde schijf kon beschikken maar, indien hij voldoende onderzoek had gedaan, ook invloed had kunnen uitoefenen op de verwerking ervan, is eiser aan te merken als verwerkingsverantwoordelijke in de zin van de AVG.
Is er sprake van een overtreding?
7. Eiser stelt dat geen sprake is van een overtreding van artikel 5, eerste lid, aanhef en onder f in samenhang met artikel 32, eerste en tweede lid, van de AVG. De AP heeft niet buiten redelijke twijfel aangetoond dat eiser onvoldoende passende technische of organisatorische maatregelen heeft genomen. [8] Het enkele feit dat op de Western Digital harde schijf persoonsgegevens zijn aangetroffen, betekent niet dat eiser onvoldoende maatregelen heeft genomen. Eiser heeft verschillende externe (ICT-)deskundigen geïnstrueerd om te inventariseren welke gegevensdragers er in de boedel aanwezig waren. Vervolgens heeft eiser [naam veilingbedrijf] opgedragen alle gegevensdragers uit de apparaten in de faillissementsboedel van [naam stichting] te verwijderen.
7.1.
Op grond van artikel 5, eerste lid, aanhef en onder f in samenhang met artikel 32, eerste en tweede lid, van de AVG moeten persoonsgegevens door het nemen van passende technische of organisatorische maatregelen op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. Bij de te nemen maatregelen moet rekening worden gehouden met de aard, de omvang, de context en het doel van de verwerking en het risico voor de rechten en vrijheden van natuurlijke personen. [9]
7.2.
De rechtbank stelt voorop dat artikel 32 van de AVG een zogenoemde “open norm” is. Wat passende maatregelen zijn hangt onder meer af van de aard, de omvang, de context en het doel van de verwerking. De rechtbank gaat daarom onder 7.2.1 eerst in op de context van de verwerking van de persoonsgegevens en vervolgens onder 7.2.2 op de vraag of eiser in die context passende technische of organisatorische maatregelen heeft genomen.
7.2.1.
In zijn algemeenheid heeft eiser de vraag gesteld wat nu van een curator mag worden verwacht als deze bij een “grote failliet” binnenstapt. Hij kent de organisatie niet en hij heeft tijd nodig om alles, waaronder persoonsgegevens, in kaart te brengen. Tegelijkertijd moet hij direct aan de slag en heeft hij de belangen van de schuldeisers in acht te nemen. Het is in die context dat moet worden beoordeeld of eiser voldoende passende technische of organisatorische maatregelen heeft genomen. Hoe ver reikt zijn eigen onderzoeksplicht en in hoeverre mag hij zich verlaten op uitlatingen van deskundigen waar het gaat om de aanwezigheid van persoonsgegevens? Wanneer heeft een curator gedaan wat redelijkerwijs van hem kan worden verlangd? In dit geval heeft eiser als curator opdracht gegeven tot een IP-scan en in navolging van het advies van de deskundige heeft hij de opdracht gegeven om alle gegevensdragers te verwijderen. De curator vindt dat hij daarmee voldoende maatregelen heeft genomen.
7.2.2.
De rechtbank is van oordeel dat eiser (ook) in deze context onvoldoende passende technische of organisatorische maatregelen heeft genomen. De rechtbank weegt hierbij de aard van de gegevens zwaar mee. Een deel van de op de Western Digital harde schijf aangetroffen persoonsgegevens betreft bijzondere gevoelige persoonsgegevens van onder meer (oud)medewerkers en (oud)cliënten van [naam stichting] . Eiser heeft in onvoldoende mate geïnventariseerd en geverifieerd waar en op welke wijze de (bijzondere) persoonsgegevens van [naam stichting] opgeslagen waren. Eiser heeft een taxatie van de hardware laten verrichten en daarna is door de heer [persoon A] van [naam bedrijf] op 2 februari 2017 een IP-scan en een bestandeninventarisatie uitgevoerd. [persoon A] heeft eiser aangeraden om van alle hardware de datadragers te (laten) verwijderen, omdat het veiligstellen van mogelijk minder relevante data tot hoge kosten zou leiden. Eiser heeft vervolgens de opdracht gegeven aan [naam veilingbedrijf] om alle datadragers te verwijderen. Eiser was echter niet op de hoogte van het aantal datadragers en heeft dus achteraf ook niet kunnen controleren of alle datadragers ook daadwerkelijk zijn verwijderd. Dat mocht wel van hem worden verwacht. Eiser heeft enkel na de werkzaamheden van [naam veilingbedrijf] een doos ontvangen met datadragers en daarmee is eiser er vanuit gegaan dat alle datadragers waren verwijderd. Dat is, gelet op de aard van de gegevens, niet voldoende. Daarmee is sprake van een overtreding.
Kan de overtreding aan eiser worden verweten?
8. Eiser stelt dat hem de overtreding niet kan worden verweten. Eiser heeft de meest verstrekkende maatregelen genomen die hij kon nemen om de persoonsgegevens in de faillissementsboedel te beschermen. Hij heeft verschillende externe (ICT-)deskundigen geïnstrueerd om te inventariseren welke gegevensdragers er in de boedel aanwezig waren. Eiser heeft namelijk een IP-scan laten uitvoeren door [naam bedrijf] en vervolgens heeft hij [naam veilingbedrijf] opgedragen alle gegevensdragers uit de apparaten in de faillissementsboedel van [naam stichting] te verwijderen. Anders dan de AP stelt, was het voor eiser niet eenvoudig te controleren of alle aanwezige harde schijven uit de boedel zijn verwijderd. De thin clients bevatten bijvoorbeeld in de regel geen harde schijf. Daarnaast is het mogelijk dat uit één apparaat meerdere harde schijven zijn verwijderd. Verder heeft de AP in de matiging van de boete geen rekening gehouden met het onderzoek dat is gevoerd door [naam bedrijf] .
8.1.
De AP stelt dat de overtreding aan eiser kan worden verweten, omdat eiser niet heeft geïnventariseerd en geverifieerd waar en op welke wijze de persoonsgegevens van [naam stichting] opgeslagen waren terwijl het wel op eisers weg lag om een inventarisatie te maken van de gegevensdragers waarop persoonsgegevens opgeslagen waren of konden zijn voordat de inboedel ter veilig werd aangeboden. De inventarisaties die eiser wel heeft laten uitvoeren zijn daartoe onvoldoende. De eerste inventarisatie betreft een boedelbeschrijving, maar daarbij zijn de gegevensdragers niet geïnventariseerd. De tweede inventarisatie betreft een IP-scan en een bestandeninventarisatie, maar eiser heeft pas in beroep stukken overgelegd waaruit de resultaten van deze inventarisatie blijken. De derde inventarisatie is uitgevoerd door [naam veilingbedrijf] , maar ook hierbij is geen inventarisatie gemaakt van de gegevensdragers. Door niet op voorhand te controleren hoeveel harde schijven er verwijderd moesten worden, niet na afronding van de opdracht door [naam veilingbedrijf] te controleren hoeveel harde schijven zijn verwijderd, [naam veilingbedrijf] niet de opdracht gegeven te hebben per te veilen server, thin clients, laptops en computers te registreren of de harde schijf was verwijderd en de verkochte ICT-middelen niet te controleren op de aanwezigheid van gegevensdragers voordat zij met de kopers meegegeven werden, heeft eiser te weinig organisatorische maatregelen genomen om te voorkomen dat er zich nog een harde schijf met persoonsgegevens in de geveilde boedel bevond.
8.2.
Op grond van artikel 5:41 van de Algemene wet bestuursrecht (Awb) legt het bestuursorgaan geen bestuurlijke boete op voor zover de overtreding niet aan de overtreder kan worden verweten. Die situatie doet zich in ieder geval voor als de overtreder aannemelijk heeft gemaakt dat hij al hetgeen redelijkerwijs mogelijk was heeft gedaan om de overtreding te voorkomen.
8.3.
De rechtbank is van oordeel dat eiser de overtreding kan worden verweten maar wel in beperktere mate dan door de AP is gedaan. Zoals onder 7.2.2. overwogen had eiser meer maatregelen kunnen en moeten nemen om de datadragers te inventariseren zodat hij achteraf ook kon controleren of deze waren verwijderd. Eiser heeft echter wel een IP-scan laten uitvoeren door [naam bedrijf] ter inventarisatie van alle data die bij [naam stichting] aanwezig was. Vervolgens heeft eiser [naam veilingbedrijf] de opdracht gegeven om de datadragers te verwijderen. De AP heeft in het bestreden besluit de boete gematigd met 50% omdat eiser met het inschakelen van [naam veilingbedrijf] en met de opdracht de gegevensdragers te verwijderen wel oog heeft gehad voor de (mogelijke) aanwezigheid van persoonsgegevens op de gegevensdragers in de ICT-apparatuur. De AP heeft de boete niet gematigd wegens de uitgevoerde IP-scan door [naam bedrijf] omdat eiser daarvan geen stukken had overgelegd. Tijdens de beroepsprocedure heeft eiser alsnog stukken overgelegd van deze IP-scan. De rechtbank ziet daarin aanleiding om de boete verder te matigen met 25%, omdat eiser met het inschakelen van [naam bedrijf] ook oog heeft gehad voor de (mogelijke) aanwezigheid van persoonsgegevens op de gegevensdragers in de ICT-apparatuur. Dit betekent dat de rechtbank de hoogte van de boete matigt tot een bedrag van € 77.500. Van het volledig afwezig zijn van schuld, zoals eiser nog heeft betoogd, is geen sprake. Zoals gezegd heeft eiser niet geverifieerd en door eigen toedoen ook niet kunnen verifiëren of alle gegevensdragers daadwerkelijk zijn verwijderd voordat de boedel ter veiling werd aangeboden. Dat had wel van hem mogen worden verwacht. Daarmee hoeft de AP niet van boeteoplegging af te zien. Voor een verdere matiging ziet de rechtbank ook geen aanleiding. Gelet op de aard en de omvang van de aangetroffen persoonsgegevens staat de boete (na matiging) in verhouding tot de ernst van de normschending.
Wanneer is de redelijke termijn aangevangen en wat is daarvan het gevolg?
9. Een verder matiging is wel aan de orde vanwege de schending van de redelijke termijn. Tussen partijen is niet in geschil dat de redelijke termijn in dit geval is overschreden. Wel is in geschil wanneer de redelijke termijn is aangevangen en wat de boetematiging per half jaar moet zijn.
9.1.
Eiser voert aan dat de redelijke termijn is aangevangen op 12 juli 2018 bij het begin van het onderzoek naar eiser. Aan de kennisgeving van het onderzoek ontleende eiser namelijk de redelijke verwachting dat de AP voornemens was om handhavend tegen hem op te treden. Deze verwachting berustte niet alleen op het feit dat hem de cautie was verleend, maar ook op de aard van het onderzoek, de grote hoeveelheid vragen die hij gedurende het onderzoek moest beantwoorden, dat eiser al bij het eerste telefonische contact op strenge toon werd aangesproken en dat hij geen antwoord kreeg op zijn vraag wat er precies aan de hand was. Zelfs als eiser aan de kennisgeving van het onderzoek niet de redelijke verwachting mocht ontlenen dat de AP handhavend tegen hem zou optreden, is dit wel het geval nadat de AP het concept onderzoeksrapport op 2 januari 2020 aan eiser heeft toegezonden. De eindconclusie van het concept onderzoeksrapport hield immers een beschuldiging aan de curator in op basis waarvan handhavend optreden door de AP voor de hand ligt. Eiser voert verder aan dat het onredelijk is om vast te houden aan het maximumbedrag voor de matiging per half jaar. Dit maximumbedrag leidt er immers toe dat matiging per half jaar effectief maar 1,61% is in plaats van 5%. Om ervoor te zorgen dat er alsnog sprake is van een effectieve boetematiging moet de boete met 5% worden verminderd per half jaar dat de redelijke termijn is overschreden. Dit houdt een boetematiging in van € 7.750 per half jaar dat de redelijke termijn is overschreden.
9.2.
De AP stelt dat de redelijke termijn is aangevangen op 14 mei 2020 toen de AP haar voornemen kenbaar maakte aan eiser. Met het informatieverzoek van 12 juli 2018 wordt enkel aangekondigd dat er een onderzoek zal worden ingesteld en wordt eiser in dat verband gevraagd een vragenlijst in te vullen. Daaruit kan niet worden afgeleid dat de AP ook zou overgaan tot boeteoplegging. Op 2 januari 2020 is aan eiser het concept onderzoeksrapport toegezonden met de vraag daar schriftelijk op te reageren. Niet uitgesloten is dat de schriftelijke reactie van eiser de AP tot een andere conclusie had kunnen brengen. Daarom kan de toezending van het concept onderzoeksrapport ook niet worden beschouwd als het moment waarop eiser kon verwachten dat hem een boete opgelegd zou worden. Verder stelt de AP dat zij niet hoefde af te zien van het hanteren van een maximum van € 2.500 per half jaar, omdat een dergelijk maximum algemeen geaccepteerd is in de jurisprudentie. [10]
9.3.
In punitieve zaken geldt het uitgangspunt dat de redelijke termijn voor een procedure in twee instanties in beginsel is overschreden als die procedure langer dan twee jaar duurt. De termijn begint op het moment waarop een handeling is verricht waaraan de betrokkene in redelijkheid de verwachting kan ontlenen dat hem een bestuurlijke boete wordt opgelegd. Een bestuursorgaan heeft in de regel pas met de boetekennisgeving een handeling verricht waaraan de beboete de verwachting mocht ontlenen dat het bestuursorgaan hem een boete zou opleggen. In de grote meerderheid van de gevallen zal daarom de dag waarop het bestuursorgaan deze kennisgeving doet, gelden als het tijdstip waarop de redelijke termijn aanvangt. [11] De termijn eindigt als de rechter uitspraak doet.
9.4.
Uit vaste rechtspraak volgt dat in gevallen waarin de redelijke termijn met niet meer dan zes maanden is overschreden, de boete met 5% wordt verminderd. [12] In geval van een overschrijding van meer dan zes maanden maar niet meer dan twaalf maanden ligt een vermindering met 10% in de rede. De omvang van de vermindering bedraagt in deze gevallen niet meer dan € 2.500 per half jaar. In de gevallen waarin de redelijke termijn met meer dan twaalf maanden is overschreden moet naar bevind van zaken worden gehandeld. [13] Daarbij geldt niet het maximum van € 2.500 per half jaar. [14]
9.5.
De rechtbank is van oordeel dat eiser aan de mail van 14 januari 2020, die is gericht aan de gemachtigde van eiser, de verwachting kon ontlenen dat hem een bestuurlijke boete wordt opgelegd. In de mail staat: “Pas als het rapport definitief is ontvangt u namens uw cliënt het rapport en het onderliggende dossier en is er formeel de gelegenheid tot het geven van een zienswijze op het rapport en het voornemen tot het opleggen van een sanctie conform afdeling 5.4.2. Awb.” Hieruit blijkt expliciet dat een voornemen tot het opleggen van een boete zal volgen waartegen eiser vervolgens een zienswijze mag indienen. De rechtbank volgt eiser niet in zijn stelling dat de redelijke termijn is aangevangen bij de start van het onderzoek of bij de toezending van het concept van het boeterapport. Op beide momenten is aan eiser namelijk niet de mededeling gedaan dat aan hem een boete zou worden opgelegd.
9.6. De redelijke termijn is dus aangevangen op 14 januari 2020. Dit betekent dat, op het moment van het doen van deze uitspraak, de redelijke termijn van twee jaar is overschreden met drie jaar en zeven maanden. De rechtbank acht het passend en geboden om de boete in dit geval met 25% te matigen. Dit betekent dat de boete wordt gematigd tot een bedrag van € 58.125.

Conclusie en gevolgen

10. Het beroep is gegrond omdat de boete wordt gematigd wegens verminderde verwijtbaarheid en de overschrijding van de redelijke termijn. De rechtbank vernietigt daarom het bestreden besluit voor wat betreft de hoogte van de boete en herroept het besluit van 9 december 2021 in zoverre. De rechtbank voorziet zelf in de zaak door de hoogte van de boete vast te stellen op € 58.125 en door te bepalen dat deze uitspraak in de plaats treedt van het vernietigde bestreden besluit.
10.1.
Omdat het beroep gegrond is, krijgt eiser een vergoeding voor de proceskosten die hij heeft gemaakt. De minister moet die vergoeding betalen. De rechtbank stelt de proceskosten voor de door een derde beroepsmatig verleende rechtsbijstand vast op € 1.814 (1 punt voor het indienen van het beroepschrift en 1 punt voor het verschijnen op de zitting, met een waarde per punt van € 907 in beroep en een wegingsfactor 1). Van andere proceskosten die in aanmerking komen voor vergoeding is niet gebleken. De rechtbank ziet geen aanleiding om de kosten van bezwaar te vergoeden, omdat het besluit van 9 december 2021 niet wordt herroepen wegen een aan het bestuursorgaan te wijten onrechtmatigheid. [15] Eiser heeft namelijk pas in de beroepsprocedure het onderzoek van [naam bedrijf] overgelegd, waardoor de AP daar eerder ook geen rekening mee kon houden.
De minister moet ook het door eiser betaalde griffierecht van € 184 vergoeden.

Beslissing

De rechtbank:
  • verklaart het beroep gegrond;
  • vernietigt het bestreden besluit voor wat betreft de hoogte van de boete;
  • herroept het besluit van 9 december 2021 voor wat betreft de hoogte van de boete;
  • stelt de hoogte van de boete vast op € 58.125;
  • bepaalt dat deze uitspraak in de plaats treedt van het vernietigde deel van het bestreden besluit;
  • bepaalt dat de AP het griffierecht van € 184 aan eiser moet vergoeden;
  • veroordeelt de AP tot betaling van € 1.814 aan proceskosten aan eiser.
Deze uitspraak is gedaan door mr. S.A. van Hoof, voorzitter en mr. A.S. Gaastra en
mr. S.E.M. Lichtenberg, leden, in aanwezigheid van mr.L. Janssen, griffier.
Uitgesproken in het openbaar op:
griffier
rechter
Een afschrift van deze uitspraak is verzonden aan partijen op:

Informatie over hoger beroep

Een partij die het niet eens is met deze uitspraak, kan een hogerberoepschrift sturen naar de Afdeling bestuursrechtspraak van de Raad van State waarin wordt uitgelegd waarom deze partij het niet eens is met deze uitspraak. Het hogerberoepschrift moet worden ingediend binnen zes weken na de dag waarop deze uitspraak is verzonden. Kan de indiener de behandeling van het hoger beroep niet afwachten, omdat de zaak spoed heeft, dan kan de indiener de voorzieningenrechter van de Afdeling bestuursrechtspraak van de Raad van State vragen om een voorlopige voorziening (een tijdelijke maatregel) te treffen.

Bijlage: voor deze uitspraak belangrijke wet- en regelgeving

Algemene wet bestuursrecht
Artikel 5:41
Het bestuursorgaan legt geen bestuurlijke boete op voor zover de overtreding niet aan de overtreder kan worden verweten.
Algemene Verordening Gegevensbescherming
Artikel 4
Voor de toepassing van deze verordening wordt verstaan onder:
7)
„verwerkingsverantwoordelijke”: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen voor deze verwerking in het Unierecht of het lidstatelijke recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen;
Artikel 5
1. Persoonsgegevens moeten:
a)
worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is („rechtmatigheid, behoorlijkheid en transparantie”);
b)
voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt; de verdere verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden wordt overeenkomstig artikel 89, lid 1, niet als onverenigbaar met de oorspronkelijke doeleinden beschouwd („doelbinding”);
c)
toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt („minimale gegevensverwerking”);
d)
juist zijn en zo nodig worden geactualiseerd; alle redelijke maatregelen moeten worden genomen om de persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of te rectificeren („juistheid”);
e)
worden bewaard in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren dan voor de doeleinden waarvoor de persoonsgegevens worden verwerkt noodzakelijk is; persoonsgegevens mogen voor langere perioden worden opgeslagen voor zover de persoonsgegevens louter met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden worden verwerkt overeenkomstig artikel 89, lid 1, mits de bij deze verordening vereiste passende technische en organisatorische maatregelen worden getroffen om de rechten en vrijheden van de betrokkene te beschermen („opslagbeperking”);
f)
door het nemen van passende technische of organisatorische maatregelen op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging („integriteit en vertrouwelijkheid”).
2. De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van lid 1 en kan deze aantonen („verantwoordingsplicht”).
Artikel 32
1. Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen, treffen de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, die, waar passend, onder meer het volgende omvatten:
a)
de pseudonimisering en versleuteling van persoonsgegevens;
b)
het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen;
c)
het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen;
d)
een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking.
2. Bij de beoordeling van het passende beveiligingsniveau wordt met name rekening gehouden met de verwerkingsrisico's, vooral als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig.
3. Het aansluiten bij een goedgekeurde gedragscode als bedoeld in artikel 40 of een goedgekeurd certificeringsmechanisme als bedoeld in artikel 42 kan worden gebruikt als element om aan te tonen dat dat de in lid 1 van dit artikel bedoelde vereisten worden nageleefd.
4. De verwerkingsverantwoordelijke en de verwerker treffen maatregelen om ervoor te zorgen dat iedere natuurlijke persoon die handelt onder het gezag van de verwerkingsverantwoordelijke of van de verwerker en toegang heeft tot persoonsgegevens, deze slechts in opdracht van de verwerkingsverantwoordelijke verwerkt, tenzij hij daartoe Unierechtelijk of lidstaatrechtelijk is gehouden.
Artikel 58
2. Elk toezichthoudende autoriteit heeft alle volgende bevoegdheden tot het nemen van corrigerende maatregelen:
a. a) de verwerkingsverantwoordelijke of de verwerker waarschuwen dat met de voorgenomen verwerkingen waarschijnlijk inbreuk op bepalingen van deze verordening wordt gemaakt;
b) de verwerkingsverantwoordelijke of de verwerker berispen wanneer met verwerkingen inbreuk op bepalingen van deze verordening is gemaakt;
c) de verwerkingsverantwoordelijke of de verwerker gelasten de verzoeken van de betrokkene tot uitoefening van zijn rechten uit hoofde van deze verordening in te willigen;
d) de verwerkingsverantwoordelijke of de verwerker gelasten, waar passend, op een nader bepaalde manier en binnen een nader bepaalde termijn, verwerkingen in overeenstemming te brengen met de bepalingen van deze verordening;
e) de verwerkingsverantwoordelijke gelasten een inbreuk in verband met persoonsgegevens aan de betrokkene mee te delen;
f) een tijdelijke of definitieve verwerkingsbeperking, waaronder een verwerkingsverbod, opleggen;
g) het rectificeren of wissen van persoonsgegevens of het beperken van verwerking uit hoofde van de artikelen 16, 17 en 18 gelasten, alsmede de kennisgeving van dergelijke handelingen aan ontvangers aan wie de persoonsgegevens zijn verstrekt, overeenkomstig artikel 17, lid 2, en artikel 19;
h) een certificering intrekken of het certificeringsorgaan gelasten een uit hoofde van de artikelen 42 en 43 afgegeven certificering in te trekken, of het certificeringsorgaan te gelasten geen certificering af te geven indien niet langer aan de certificeringsvereisten wordt voldaan;
i. i) naargelang de omstandigheden van elke zaak, naast of in plaats van de in dit lid bedoelde maatregelen, een administratieve geldboete opleggen op grond van artikel 83; en
j) de opschorting van gegevensstromen naar een ontvanger in een derde land of naar een internationale organisatie gelasten.
Artikel 83
1. Elke toezichthoudende autoriteit zorgt ervoor dat de administratieve geldboeten die uit hoofde van dit artikel worden opgelegd voor de in de leden 4, 5 en 6 vermelde inbreuken op deze verordening in elke zaak doeltreffend, evenredig en afschrikkend zijn.
2. Administratieve geldboeten worden, naargelang de omstandigheden van het concrete geval, opgelegd naast of in plaats van de in artikel 58, lid 2, onder a) tot en met h) en onder j), bedoelde maatregelen. Bij het besluit over de vraag
of een administratieve geldboete wordt opgelegd en over de hoogte daarvan wordt voor elk concreet geval naar behoren rekening gehouden met het volgende:
a. a) de aard, de ernst en de duur van de inbreuk, rekening houdend met de aard, de omvang of het doel van de
verwerking in kwestie alsmede het aantal getroffen betrokkenen en de omvang van de door hen geleden schade;
b) de opzettelijke of nalatige aard van de inbreuk;
c) de door de verwerkingsverantwoordelijke of de verwerker genomen maatregelen om de door betrokkenen geleden
schade te beperken;
d) de mate waarin de verwerkingsverantwoordelijke of de verwerker verantwoordelijk is gezien de technische en organisatorische maatregelen die hij heeft uitgevoerd overeenkomstig de artikelen 25 en 32;
e) eerdere relevante inbreuken door de verwerkingsverantwoordelijke of de verwerker;
f) de mate waarin er met de toezichthoudende autoriteit is samengewerkt om de inbreuk te verhelpen en de mogelijke negatieve gevolgen daarvan te beperken;
g) de categorieën van persoonsgegevens waarop de inbreuk betrekking heeft;
h) de wijze waarop de toezichthoudende autoriteit kennis heeft gekregen van de inbreuk, met name of, en zo ja in hoeverre, de verwerkingsverantwoordelijke of de verwerker de inbreuk heeft gemeld;
i. i) de naleving van de in artikel 58, lid 2, genoemde maatregelen, voor zover die eerder ten aanzien van de verwerkingsverantwoordelijke of de verwerker in kwestie met betrekking tot dezelfde aangelegenheid zijn genomen;
j) het aansluiten bij goedgekeurde gedragscodes overeenkomstig artikel 40 of van goedgekeurde certificeringsmechanismen overeenkomstig artikel 42; en
k) elke andere op de omstandigheden van de zaak toepasselijke verzwarende of verzachtende factor, zoals gemaakte financiële winsten, of vermeden verliezen, die al dan niet rechtstreeks uit de inbreuk voortvloeien.

Voetnoten

1.Zie artikel 5, eerste lid, aanhef en onder f in samenhang met artikel 32, eerste en tweede lid, van de AVG.
2.HvJEU 11 januari 2024, ECLI:EU:C:2024:7, punt 29
3.CBb 29 april 2025, ECLI:NL:CBB:2025:266, r.o. 6.
4.CBb 23 april 2024, ECLI:NL:CBB:2024:288, r.o. 4.4.
5.Taxatierapport van 11 mei 2016, p. 12.
6.Zie verslag van ambtshandelingen d.d. 18 juli 2018.
7.Zie verslag van ambtshandelingen d.d. 18 juli 2018.
8.Eiser wijst ter onderbouwing van zijn standpunt op ABRvS 6 januari 2010, ECLI:NL:RVS:2010:BK8361, r.o. 2.5.1 en ABRvS 2 december 2009, ECLI:NL:RVS:2009:BK5075, r.o. 2.2.1.
9.Zie punt 74 van de considerans van de AVG.
10.De AP wijst hierbij op ABRvS 7 april 2010, ECLI:NL:RVS:2010:BM0226, CBb 25 juli 2023, ECLI:NL:CBB:2023:385 en CBb 18 juli 2023, ECLI:NL:CBB:2023:364.
11.ABRvS 18 december 2024, ECLI:NL:RVS:2024:5171.
12.ABRvS 8 maart 2023, ECLI:NL:RVS:2023:913, r.o. 9.3.
13.ABRvS 20 november 2024, ECLI:NL:RVS:2024:4761.
14.CBb 4 februari 2025, ECLI:NL:CBB:2025:125.
15.Artikel 7:15, tweede lid, van de Awb.