18/06/2019 19:04

Te laat met AVG? Voorkom hoge boetes en maak tijdig bezwaar!

Dit artikel beoogt een aantal nuttige inzichten te verstrekken en relevante informatie aan te bieden over de verplichtingen van de AVG, de risico’s van het niet voldoen aan de AVG en de mogelijkheden om -met succes- in actie te komen na verzuimd te hebben voldaan aan de verplichtingen van de AVG per 25 mei 2018. Het volledige artikel is vrij omvangrijk. Daarom is ervoor gekozen om het artikel aan te vangen met een introductie over de AVG en vervolgens onder te verdelen in drie hoofdstukken.

Wilt u uitsluitend lezen over Hoofdstuk 1: Wat zijn de belangrijkste onderwerpen AVG? Klik dan hier!

Wilt u uitsluitend lezen over: Hoofdstuk 2: Hoe handelen organisaties alsnog AVG compliant/AVG-proof? Klik dan hier!

Wilt u uitsluitend lezen over: Hoofdstuk 3: Hoe kunnen organisaties met succes ageren tegen AVG-boetes? Klik dan hier!

Introductie
Dit artikel gaat niet in op de achtergrond en het vermeende nut of de vermeende zinloosheid van de AVG, de bijwerkingen van “spam” als gevolg van de AVG en de eventuele beleving van verspilling van tijd, energie en kosten als gevolg van de introductie van de AVG. Ook het gebrek aan vrijstellingsmogelijkheden wordt buiten beschouwing gelaten.

Dit artikel is geschreven voor organisaties (en bedrijven) die onderschrijven dat de AVG (met alle voor en tegens) er nu eenmaal is en dat actie moet worden ondernomen.

Doelstellingen AVG
De AVG beoogt o.a.:

  • Het verstevigen en uitbreiden van privacyrechten van burgers en consumenten
  • Het vergroten van verantwoordelijkheden voor organisaties die persoonsgegevens verwerken (‘verwerkers’) of organisaties die verantwoordelijk zijn voor de verwerking van persoonsgegevens (‘verantwoordelijken’)
  • De synchronisatie van bevoegdheden van de verschillende toezichthouders binnen de EU.

Om de privacy-doelstellingen te bereiken voorziet de AVG in rechten en verplichtingen ten aanzien van de volgende onderwerpen: de privacy, het verwerken van persoonsgegevens, de rechtmatigheid en de transparantie, de rechten van betrokkenen (o.a. het recht op vergetelheid en het recht om bezwaar te maken), de verplichtingen van de betrokkenen, de verplichtingen van de verwerker en de verantwoordelijke en het toezicht alsmede de sancties.

De helft van alle organisaties/bedrijven in gevarenzone voor boetes
Voordat de AVG in werking trad, moesten organisaties en bedrijven hun privacybeleid herzien en actualiseren om de aanvullende informatieverplichtingen die de AVG introduceert, te implementeren.

De verwachting is dat ongeveer de helft (!) van de organisaties nog steeds (geheel of gedeeltelijk) niet voldoet aan de verplichtingen die de AVG oplegt. Een maand geleden was dat naar verwachting ongeveer 70%. Een deel van de organisaties heeft mogelijk nog jaren nodig om volledig te voldoen aan de AVG.

Er is dus sprake van een massaal verzuim. Ook de overheid zelf, waaronder een groot aantal ministeries zijn -tot ongenoegen van de Autoriteit Persoonsgegevens- helaas niet in staat gebleken om tijdig te voldoen aan de AVG. Toch kunnen organisaties zich hier niet achter verschuilen.

ZZP-ers die in verzuim zijn, lijken daar vooralsnog wel mee weg te kunnen komen, mits een aanvang is gemaakt met het treffen van voorbereidingen om te voldoen aan de AVG. Voor andere rechtsvormen geldt na ingetreden verzuim per 25 mei 2018 dat de gevarenzone van boetes is bereikt.

Te laat dus! En nu?

Onderneem de benodigde acties!
Uiteraard moet worden getracht te voorkomen dat het daadwerkelijk zo ver komt dat de Nederlandse toezichthouder, de Autoriteit Persoonsgegevens, door het ontstane verzuim een (forse) boete oplegt (tot wel 4% van de wereldwijde omzet).

Welke acties precies benodigd zijn, hangt af van de grootte van de organisatie c.q. het bedrijf, de aard en hoeveelheid van gegevens en de reeds getroffen privacy -en beveiligingsmaatregelen.

De weg van naleving van de bepalingen van de AVG is dus voor iedere organisatie of bedrijf anders. Voordat de te volgen werkwijze aan de orde komt, is het goed om op de hoogte te zijn van de onderwerpen die een relevante rol spelen bij de naleving van de AVG. Deze komen hieronder aan de orde.

Voorkom onnodige acties!
Bedenk ook dat sommige acties niet vereist zijn. Zo sturen veel bedrijven op dit moment e-mails aan hun contactpersonen en laten hen weten dat zij bijvoorbeeld graag toestemming willen voor het verzenden van een nieuwsbrief om te kunnen voldoen aan de AVG. Echter, die toestemming was ook al vereist voorafgaande aan de AVG.

Met andere woorden: de AVG verandert aan sommige reeds bestaande verplichtingen dus niets. Dus is er al toestemming gegeven?: laat het dan zo!. Is onduidelijk of er toestemming is gegeven of ontbreekt toestemming?: kies dan het juiste moment en de juiste tool om alsnog de benodigde toestemming te verkrijgen en mail niet langer naar personen die geen uitdrukkelijke toestemming hebben gegeven. Dat is vragen om problemen.

Houd er rekening mee dat sommige acties zullen moeten worden bijgesteld!
De AVG is voer voor juristen. De teksten van de AVG zijn niet eenvoudig te doorgronden en lenen zich voor meerdere interpretaties. Dat betekent ook dat ermee rekening moet worden gehouden dat bepaalde acties zullen moeten worden bijgesteld/aangepast zodra duidelijk is welke interpretatie de juiste is.

Als voorbeeld kan worden genoemd het begrip “persoonsgegeven”.

Artikel 4 lid 1 van EU-AVG verstaat onder ‘persoonsgegeven’: “alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (“de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een indicator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.

Anders dan Google vinden de toezichthouders dat het IP-adres gevat moet worden onder de noemer van “persoonsgegeven”.

Hoofdstuk 1: Wat zijn de belangrijkste onderwerpen AVG?
Evident is dat de navolgende zes onderwerpen over persoonsgegevens binnen alle organisaties c.q. bedrijven in ieder geval goed geregeld moeten zijn (zowel intern richting werknemers als extern richting burgers/consumenten):

*Bewustwording:
Organisaties moeten de benodigde maatregelen nemen om werknemers bewust te laten worden van het belang om de AVG na te leven en om ervoor te zorgen dat werknemers via de juiste werkprocessen en te volgen protocollen in staat worden gesteld om zo goed mogelijk de benodigde maatregelen te implementeren. Het doel daarvan is dat de kans op beveiligingsincidenten en datalekken drastisch verkleind wordt.

Het proces van bewustwording moet bij organisaties continu onder de aandacht blijven. Dit kan onder meer worden bereikt door periodiek het bewustzijnsniveau in kaart te brengen via effectieve methoden, zoals via werkgroepen, enquêtes, het periodiek uitvoeren van risico-analyses waaruit risicoprofielen kunnen worden gedestilleerd.

*Doel:
De persoonsgegevens mogen uitsluitend worden verzameld en/of opgeslagen voor een concreet gelegitimeerd en noodzakelijk doel. Het doel moet dus worden ingekaderd c.q. gespecificeerd. De verwerking moet aan de hand van ontwerp en standaardinstellingen zodanig worden georganiseerd dat uitsluitend noodzakelijke en voor het doel beoogde persoonsgegevens worden verwerkt. Deze gegevens moeten bovendien juist zijn en als zodanig juist blijven. Er moet bij de verwerking van persoonsgegevens dus zorgvuldig te werk worden gegaan.

*Transparantie:
De persoon van wie gegevens worden verwerkt, dient op de hoogte te zijn (bijvoorbeeld via een zogeten “privacy policy”) en dient uitdrukkelijk toestemming te hebben gegeven. De toestemming dient zonder dwang, specifiek, ondubbelzinnig via een verklaring of actieve handeling te zijn gegeven. Het gebruik van vooraf ingevulde “vinkjes” is niet toegestaan. Deze moeten (indien van toepassing) zelf door de burger of consument voor akkoord worden aangevinkt. Ook moet er een mogelijkheid zijn om te weigeren.

Er dient melding te worden gemaakt of de persoonsgegevens buiten de EER worden opgeslagen, of niet. Doorgifte aan derde landen is mogelijk indien er sprake is van een goedgekeurde gedragscode of certificeringsmechanisme in combinatie met afdwingbare garanties van de verantwoordelijke of verwerker van persoonsgegevens dat passende waarborgen bestaan. Gedragscodes kunnen door toezichthouders worden gepubliceerd zodat organisaties deze, indien van toepassing, het beste hierop kunnen afstemmen.

*Duur:
De persoonsgegevens mogen niet langer worden bewaard dan strikt noodzakelijk voor het beoogde doel. Organisaties moeten dus analyseren wat de noodzakelijke duur van de bewaartermijn is en of dit in overeenstemming is met toezeggingen, afspraken en/of bestaande overeenkomsten met de betreffende persoon. Mogelijk moet de duur van de bewaartermijn worden heronderhandeld. Ook dient de mogelijkheid te zijn geboden om aanspraak te maken op het recht van vergetelheid (verwijderen van gegevens). Er dient voor de burger/consument te worden voorzien in inzage van persoonsgegevens, om persoonsgegevens onder omstandigheden te blokkeren, te wissen/vernietigen en om deze geschikt te maken voor dataportabiliteit in een gestructureerd, gebruikelijk en leesbaar formaat.

*Beveiliging:
De persoonsgegevens moeten worden beschermd tegen verlies en hackers. Er dient sprake te zijn van een “passend beschermingsniveau”. Hiertoe dienen technisch en organisatorisch passende maatregelen door ontwerp en door standaardinstellingen (‘privacy by design and by default’) te worden getroffen om het door de AVG vereiste beschermingsniveau te bereiken. Rekening dient te worden gehouden met de stand van de techniek, de implementatiekosten van de betreffende maatregel, de aard en context van de verwerking en de risico’s van de verwerking.

De Autoriteit Persoonsgegevens noemt op haar website de volgende voorbeelden:

  • een app die u aanbiedt niet de locatie van gebruikers te laten registeren als dat niet nodig is;
  • op uw website het vakje ‘Ja, ik wil aanbiedingen ontvangen’ niet vooraf aan te vinken;
  • als iemand zich op uw nieuwsbrief wil abonneren niet meer gegevens te vragen dan nodig is.

Het is bovendien verplicht om voorafgaande aan de verwerking van persoonsgegevens een data-effectbeoordeling uit te voeren, ook wel “privacy impact assessment” genaamd, indien en voor zover de verwerking van persoonsgegevens gezien de aard, omvang, context en doel een hoog risico oplevert voor de rechten van burgers/consumenten. De nadruk moet hierbij komen te liggen op de noodzaak en proportionaliteit. Bedrijven moeten dus inventariseren welke persoonsgegevens worden verwerkt en welke verwerkingen noodzakelijk zijn zodat aansluitend kan worden geselecteerd welke verwerkingen voor de ‘privacy impact assessment’ in aanmerking komen.

Anonieme gegevens vallen buiten het bereik van de AVG. Desalniettemin dient een anoniem persoonsgegeven zodanig te worden verwerkt dat deze zonder aanvullende externe bron(nen) niet tot een persoon kan worden herleid.

*Verantwoording:
De verantwoordelijke en de verwerker van persoonsgegevens moeten aan kunnen tonen dat wordt voldaan aan de AVG.

De organisaties dienen processen met betrekking tot de verwerking van persoonsgegevens daarom zorgvuldig te administreren. Daarbij dient rekening te worden gehouden met het feit dat de Autoriteit Persoonsgegevens om inzage in de betreffende administratie kan verzoeken c.q. eisen. Er geldt dus een administratieplicht.

Daar waar voorafgaande aan de AVG de handhaving vooral gericht was op de verantwoordelijke (en niet op de verwerker), en de verwerker eigenlijk alleen in civielrechtelijke zin kon worden aangepakt via de grondslag van wanprestatie in (hoofdzakelijk) de bewerkersovereenkomsten, voorziet de AVG ook in instrumenten ten gunste van de Autoriteit Persoonsgegevens om zonodig sancties op te leggen aan de verwerker, indien deze niet voldoet aan de verplichtingen van de AVG.

Voor wat betreft de verplichtingen van de verwerker valt te denken aan o.a.: het administreren van verwerkingen, het benoemen van een Data Protection Officer, het verkrijgen van toestemming voor een sub-verwerker, het melden van een datalek aan de verantwoordelijke, het verlenen van ‘privacy impact assessments’, het nemen van passende maatregelen (technisch en organisatorisch) ter voorkoming van onrechtmatige verwerkingen, verlies of diefstal.

Sommige organisaties/bedrijven dienen een zogeheten “Data Protection Officer” (functionaris voor gegevensbescherming) te benoemen. Ook dient een lijst van datalekken te worden bijgehouden en dient te worden voldaan aan de bijbehorende meldplicht.

Grote organisaties doen er goed aan om (ingevolge artikel 47 EU-AVG) “bindende bedrijfsvoorschriften” (‘binding corporate rules’) te implementeren. Deze voorschriften worden goedgekeurd (en moeten zelfs worden goedgekeurd vanwege de conformiteitstoetsing) door de Auroriteit Persoonsgegevens. Voorwaarde is dat de voorschriften juridisch bindend zijn voor, van toepassing zijn op en worden gehandhaafd door alle betrokken leden van het concern, of de groepering van ondernemingen die gezamenlijk een economische activiteit uitoefenen, met inbegrip van hun werknemers. Voorts moeten aan betrokkenen uitdrukkelijk afdwingbare rechten worden toegekend met betrekking tot de verwerking van hun persoonsgegevens en de in artikel 47 lid 2 EU-AVG genoemde elementen zijn vastgelegd.

Zowel verwerkers als verantwoordelijken van persoonsgegevens doen er goed aan om hun bestaande bewerkersovereenkomsten te controleren, zonodig tot heronderhandeling over te gaan of om een of meerdere nieuwe bewerkersovereenkomst(en) tot stand te brengen.

Last but not least: organisaties dienen ook verantwoording af te leggen over de processen omtrent de bewustwording. Rapportages naar aanleiding van periodieke enquetes en daaruit voortvloeiende risico-analyses lenen zich daar bij uitstek voor.

Hoofdstuk 2: Hoe handelen organisaties alsnog AVG compliant/AVG-proof?

Werkwijze grote en middelgrote organisaties/bedrijven

  1. Zorg voor het bewustzijn bij werknemers en de benodigde protocollen zodat de maatregelen die worden getroffen ook goed zullen worden nageleefd door werknemers van de organisatie. Het doel daarvan is dat de kans op beveiligingsincidenten en datalekken drastisch verkleind wordt.
  2. Met name de grote en middelgrote organisaties/bedrijven (verantwoordelijken en verwerkers) doen er goed aan om, voor zover zij dat nog steeds niet gedaan hebben, alsnog zo spoedig mogelijk in contact te treden met advocatenkantoren en/of gerenommeerde bedrijven die gespecialiseerd zijn in de naleving van de AVG. Hierdoor kan alsnog uitvoering worden gegeven aan de AVG, schade -en kostenbeperkend worden gehandeld en hoge boetes worden voorkomen.Maak gebruik van effectieve methoden om het bewustzijnsniveau in kaart te brengen via werkgroepen,    enquêtes, het periodiek uitvoeren van risico-analyses waaruit risicoprofielen kunnen worden gedestilleerd.
  3. Laat beoordelen of het aanstellen van een Data Privacy Officer gewenst of zelfs verplicht is.
  4. Implementeer ‘Bindende bedrijfsvoorschriften’.
  5. Controleer de bestaande bewerkingsovereenkomsten indien de verwerking van persoonsgegevens is uitbesteed aan een of meerdere (sub-) verwerkers, laat desnoods heronderhandelen over de bestaande bewerkingsovereenkomst(en) of breng nieuwe bewerkingsovereenkomst(en) tot stand en controleer of de bewerkingsovereenkomst(en) in overeenstemming zijn met de AVG.
  6. Voer, indien van toepassing, voorafgaande aan de verwerking van persoonsgegevens een data-effectbeoordeling /“privacy impact assessment” (DPIA) uit (zie hiervoor). Mocht uit de beoordeling een hoog risico voortvloeien die niet kan worden ondervangen met de maatregelen die de organisatie reeds uitvoert of beoogt uit te voeren, overleg dan met de Autoriteit Persoonsgegevens alvorens te starten met de hoog-risico verwerking van gegevens.
  7. Inventariseer in samenwerking met de betreffende advocaten/juristen en juridische AVG-specialisten welke gegevens worden verwerkt. Maak daarbij onderscheid tussen noodzakelijke en niet-noodzakelijke gegevens. Ga daarbij systematisch en zorgvuldig te werk. Organiseer een register voor de verwerkingsactiviteiten met betrekking tot persoonsgegevens. Zorg ervoor dat voor de verwerking toestemming is verkregen en dat deze goed geregistreerd wordt.
  8. Neem passende organisatorische en technische maatregelen. Organiseer waar mogelijk (en nodig) privacy by design and by default’ (zie hiervoor) en focus daarbij -met name- op de rechten van burgers, prospects, clienten en werknemers. Gebruik de juiste privacy statements en zorg ervoor dat betrokkenen hun rechten kunnen uitoefenen. Inventariseer voorts welke informatie-stromen er zijn en welke bedrijven (verwerkers, sub-verwerkers) betrokken (moeten) worden. Registreer of data binnen of buiten de EER wordt verwerkt. Denk aan de meldplicht datalekken.
  9. Streef naar goede dossiervorming zodat op juiste wijze verantwoording kan worden afgelegd en aangetoond kan worden dat op juiste wijze alles in het werk is gesteld om aan de AVG te voldoen. Bedenk hierbij dat de AVG de bewijslast omgekeerd heeft. De bewerker en de verantwoordelijke moeten zelf aantonen dat zij de AVG op juiste wijze na hebben geleefd. Het is dus niet zo dat de Autoriteit Persoonsgegevens moet kunnen aantonen dat de AVG door de organisatie niet is nageleefd.
  10. Indien de betreffende organisatie meerdere vestigingen heeft in EU-lidstaten, moet worden onderzocht welke toezichthouder leidend is. Dat moet ook worden onderzocht indien de gegevensverwerking impact heeft in verschillende lidstaten.
  11. Controleer of voldaan wordt aan het 10-stappenplan van de Autoriteit Persoonsgegevens.

Download het stappenplan, de AVG en de Handleiding via de volgende link:

https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/voorbereiding-avg

Een handige tool is ook de AVG-regelhulp dat is ontwikkeld in samenwerking met de Rijksdienst voor Ondernemend Nederland (RVO). Raadpleeg hiervoor de volgende link:

https://rvo.regelhulpenvoorbedrijven.nl/avg/#/welkom

Werkwijze kleine organisaties en ZZP-ers
Zoals hiervoor uiteengezet: welke acties precies benodigd zijn, hangt af van de grootte van de organisatie c.q. het bedrijf, de aard en hoeveelheid van gegevens en de reeds getroffen privacy -en beveiligingsmaatregelen. Van kleine bedrijven en ZZP-ers kan in beginsel niet worden verwacht dat forse investeringen worden gedaan om te voldoen aan de AVG.

Toch moeten ook kleine bedrijven en ZZP-ers de stappen nagaan die hiervoor bij de werkwijze van grote en middelgrote organisaties aan de orde kwamen, zij het dat de focus logischerwijs meer zal komen te liggen bij de inventarisatie van de (noodzakelijkheid van) verwerking van persoonsgegevens, het verkrijgen van toestemming voor het verwerken van persoonsgegevens, het beperken van risico’s voor personen, de opslag en de tracking (het monitoren) van persoonsgegevens via o.a. de website van de organisatie en het gebruik van contactformulieren op de website, cookies, de opslag bij cloud-bedrijven, de mailingfaciliteiten (denk bijvoorbeeld aan ‘mailchimp’), antivirus en eventuele aanvullende beveiligingstoepassingen, boekhoudmodules, emailclients, (sub)-bewerkersovereenkomsten etc. Er dient derhalve sprake te zijn van een goede inventarisatie, een goed register met persoonsgegevens en een goede uitvoering van het plan van aanpak.

Uiteraard kunnen kleine organisaties/bedrijven of ZZP-ers hun eigen (concept-) plan op haalbaarheid en op juridische merites laten toetsen door een gespecialiseerde advocaat/jurist. Dat scheelt ook weer in de kosten.

Hoofdstuk 3: Hoe kunnen organisaties met succes ageren tegen AVG-boetes?
Ter geruststelling: de Autoriteit Persoonsgegevens zal naar verwachting niet meteen een boete opleggen.

Aannemelijk is dat de Autoriteit Persoonsgegevens eerst en vooral gebruik zal maken van nieuwe handhavingsbevoegdheden, zoals het opleggen van een waarschuwing, berisping of een bevel om een bepaalde handeling te verrichten of juist na te laten.

Voor wat betreft de indicatie van de hoogte van de boete wordt verwezen naar artikel 83 lid 2 EU AVG. Er gelden verschillende categorieën van boetes. De boetes kunnen oplopen tot maximaal € 20 miljoen of 4% van de totale wereldwijde jaaromzet (indien hoger).

De hoogte van de boete is o.a. afhankelijk van de aard, de ernst, de duur van de inbreuk, de aard, de omvang en het doel van de verwerking, het aantal getroffen betrokkenen en de door hen geleden schade, de opzettelijkheid of nalatigheid van de inbreuk, de genomen schadebeperkende maatregelen, het incidentele of structurele karakter van de (eerdere) inbreuk(en), de mate van samenwerking met de Autoriteit Persoonsgegevens, het gebruik van (goedgekeurde) gedragscodes zoals bedoeld in artikel 40 EU AVG en het gebruik van (goedgekeurde) certificeringsmechanismen, zoals bedoeld in artikel 42 EU AVG en overige omstandigheden die van invloed kunnen zijn op de hoogte van de boete etc.

Hieruit volgt dat bedrijven die hopen dat het “zo’n vaart niet zal lopen” vroeg of laat alsnog de benodigde acties moeten nemen, het risico lopen om aanzienlijke sancties opgelegd te krijgen en mogelijk forse extra kosten moeten maken, die anders niet nodig waren. En juist als er langdurig geen actie is ondernomen, zal de hoogte van de boete substantieel zijn.

Het loont voor organisaties/bedrijven dus altijd om alsnog zo spoedig mogelijk actie te ondernemen!

Bezwaar-en beroepsmogelijkheden tegen sancties Autoriteit Persoonsgegevens
Organisaties en bedrijven (verwerkers of verantwoordelijken) die te maken krijgen met sancties van de Autoriteit Persoonsgegevens kunnen hiertegen bestuursrechtelijke rechtsmiddelen aanwenden, waaronder het aanhangig doen maken van een bezwaarschriftprocedure en het doen instellen van beroep bij de rechtbank. Onder omstandigheden kan ook een voorlopige voorziening aanhangig worden gemaakt, bijvoorbeeld om het besluit te schorsen.

Houd er mee rekening dat de sancties van de Autoriteit Persoonsgegevens beheerst worden door het bestuursrecht. Dat betekent bijvoorbeeld dat voor het indienen van een bezwaarschrift een fatale termijn van toepassing is van zes weken na de ontvangst van het besluit van de Autoriteit Persoonsgegevens. Wacht na ontvangst van het besluit dus niet tot het laatste moment, maar schakel zo spoedig mogelijk een gespecialiseerde advocaat/jurist in.

Naast de informatievoorziening beoogt dit artikel een opstap te zijn voor organisaties om een uitstekende AVG-oplossing te bereiken. Interesse in professionele AVG-oplossingen en/of professionele rechtsbijstand in geval van AVG-sancties? Neem gerust contact op met mr. Floris Zwartkruis via info@orangelegal.nl

Dit artikel is geschreven door mr. Floris Zwartkruis. Zie ook www.orangelegal.nl

Geef als eerste een reactie

Geef een reactie

Uw e-mailadres wordt niet gepubliceerd.




SLUIT
CLOSE