Blog

AVG-serie: administratieve boetes

Veel organisaties zijn al op de hoogte van het feit dat de boetebevoegdheid van de Autoriteit Persoonsgegevens onder de Algemene Verordening Gegevensbescherming (‘AVG’) flink wordt uitgebreid. Dit is zonder twijfel een prikkel om organisaties privacy proof te maken voordat de AVG op 25 mei 2018 definitief van toepassing is. Maar wat verandert er nu echt […]

Veel organisaties zijn al op de hoogte van het feit dat de boetebevoegdheid van de Autoriteit Persoonsgegevens onder de Algemene Verordening Gegevensbescherming (‘AVG’) flink wordt uitgebreid. Dit is zonder twijfel een prikkel om organisaties privacy proof te maken voordat de AVG op 25 mei 2018 definitief van toepassing is.

Maar wat verandert er nu echt onder de AVG? Hoe hoog kunnen deze boetes zijn? En wanneer mag de Autoriteit Persoonsgegevens een boete opleggen? Op deze en andere vragen zullen wij hieronder ingaan.

Wet bescherming persoonsgegevens

De Autoriteit Persoonsgegevens houdt toezicht op de naleving van de privacy wetgeving in Nederland. In verband hiermee heeft de Autoriteit Persoonsgegevens een aantal bevoegdheden. Zo kan de toezichthouder onder meer waarschuwingen, bindende aanwijzingen en een tijdelijk of definitief verwerkingsverbod opleggen. Ook kan een organisatie worden gelast om een verzoek van een betrokkene tot uitoefening van zijn rechten in te willigen. And last but not least, kan de Autoriteit Persoonsgegevens een last onder bestuursdwang of last onder dwangsom en/of boete opleggen.

Op overtreding van de Wet bescherming persoonsgegevens (‘Wbp’) staat momenteel een maximumboete van € 820.000,-. In de boetebeleidsregels van de Autoriteit Persoonsgegevens valt echter te lezen dat deze maximumboete slechts in een paar gevallen zal worden opgelegd. Bijvoorbeeld als het verbod op verwerking van bijzondere persoonsgegevens is geschonden.

Bovendien mag een boete op grond van de Wbp pas worden opgelegd nadat de Autoriteit Persoonsgegevens een bindende aanwijzing heeft gegeven, tenzij de overtreding opzettelijk is gepleegd of het gevolg is van ernstig verwijtbare nalatigheid van de verwerkingsverantwoordelijke. In de bindende aanwijzing geeft de Autoriteit Persoonsgegevens aan welke gedraging op grond van de Wbp van de overtreder wordt verwacht en wordt de overtreder zo mogelijk opgedragen om de overtreding geheel of gedeeltelijk te herstellen. De Autoriteit Persoonsgegevens stelt daarbij in de regel een termijn waarbinnen de aanwijzing moet worden opgevolgd. Als de aanwijzing niet wordt opgevolgd, is de Autoriteit Persoonsgegevens reeds om die reden bevoegd een boete op te leggen. Deze combinatie lijkt daarmee dus op de last onder dwangsom.

Algemene verordening gegevensbescherming

Onder de AVG kan de Autoriteit Persoonsgegevens straks een veel hogere boete gaan opleggen. De maximumboete bedraagt dan namelijk € 20 miljoen of 4% van de totale wereldwijde jaaromzet. Deze maximumboete kan worden opgelegd als er basisbeginselen inzake gegevensverwerking of rechten van betrokkenen zijn geschonden of als een bevel van de toezichthouder niet wordt nageleefd.

Als het grofweg gaat om schending van verplichtingen en verantwoordelijkheden geldt er een maximumboete van € 10 miljoen of 2% van de totale wereldwijde jaaromzet. Bijvoorbeeld wanneer is nagelaten om een datalek te melden bij de Autoriteit Persoonsgegevens.

Een ander belangrijk verschil met de Wbp is dat er in de AVG geen formele drempels zijn opgenomen voor het opleggen van een boete. De AVG schrijft dus niet voor dat er eerst een bindende aanwijzing opgelegd moet worden voordat er een boete kan worden opgelegd. De Raad van State constateert echter dat hiermee niet is gezegd dat de verplichte voorafgaande bindende aanwijzing definitief van tafel is.

In de AVG staat ook dat bij het opleggen van een boete en de hoogte daarvan rekening moet worden gehouden met een aantal omstandigheden. Deze omstandigheden betreffen de aard, ernst en duur van de inbreuk op de AVG, het opzettelijk karakter daarvan, de mate van verantwoordelijkheid, eerdere relevante inbreuken en ga zo maar door. Naar verwachting zal er dus niet zomaar een boete worden opgelegd. De Artikel 29-werkgroep heeft in een richtlijn over administratieve boetes aangegeven hoe deze verschillende elementen tegen elkaar moeten worden afgewogen.

Uitvoeringswet AVG

Verder heeft de Nederlandse wetgever in de Memorie van Toelichting bij de Uitvoeringswet AVG aangegeven dat de Autoriteit Persoonsgegevens en het veld in Nederland vertrouwd zijn met de toepassing van de last onder dwangsom en de last onder bestuursdwang. Dit zijn volgens de Nederlandse wetgever in de praktijk effectieve middelen gebleken om overtredingen van regels inzake de bescherming van persoonsgegevens snel te beëindigen, zonder dat er onmiddellijk een boete hoeft te worden opgelegd. Deze bevoegdheden worden daarom gehandhaafd onder de Uitvoeringswet.

Het zou ons dan ook niet verbazen als het Nederlandse handhavingsregime – ten minste in de komende paar jaren – in de praktijk nauwelijks verandert.

Auteur

Expertises

Deel dit artikel

Meer blogs

Kyara van Roessel versterkt Louwers IP&Tech Advocaten

Per 1 augustus 2024 heeft Kyara van Roessel zich aangesloten bij Louwers IP&Tech Advocaten. Kyara zal de groeiende merken- en modellenregistratiepraktijk binnen Louwers IP&Tech Advocaten ondersteunen.

/LEES MEER

Kyara van Roessel versterkt Louwers IP&Tech Advocaten

Per 1 augustus 2024 heeft Kyara van Roessel zich aangesloten bij Louwers IP&Tech Advocaten. Kyara zal de groeiende merken- en modellenregistratiepraktijk binnen Louwers IP&Tech Advocaten ondersteunen.

Louwers bestuurslid Vereniging IE Proces Advocaten

Op 12 september 2024 is Ernst-Jan Louwers toegetreden tot het bestuur van de Vereniging Intellectuele Eigendom Proces Advocaten (VIEPA). VIEPA is een specialisatievereniging erkend door de Nederlandse Orde van Advocaten.

/LEES MEER

Louwers bestuurslid Vereniging IE Proces Advocaten

Op 12 september 2024 is Ernst-Jan Louwers toegetreden tot het bestuur van de Vereniging Intellectuele Eigendom Proces Advocaten (VIEPA). VIEPA is een specialisatievereniging erkend door de Nederlandse Orde van Advocaten.

Familienaam als handelsnaam: geen probleem (?)

Veel bedrijven kiezen ervoor om een familienaam als handelsnaam te voeren. Een familienaam voelt immers al snel vertrouwd (ons kantoor heeft die keuze ook gemaakt). Maar pas op: oudere handelsnamen of merken kunnen aan het gebruik van een familienaam in de weg staan.  Even ter inleiding. Een handelsnaam is de naam waaronder een onderneming wordt […]

/LEES MEER

Familienaam als handelsnaam: geen probleem (?)

Veel bedrijven kiezen ervoor om een familienaam als handelsnaam te voeren. Een familienaam voelt immers al snel vertrouwd (ons kantoor heeft die keuze ook gemaakt). Maar pas op: oudere handelsnamen of merken kunnen aan het gebruik van een familienaam in de weg staan.  Even ter inleiding. Een handelsnaam is de naam waaronder een onderneming wordt […]

Het recht op immateriële schadevergoeding op grond van de AVG

Immateriële schadevergoeding bij datalek: bijzondere of gevoelige persoonsgegevens 

In 2023 oordeelde het Hof van Justitie dat een inbreuk op de AVG niet automatisch recht geeft op een schadevergoeding. In deze blog behandelen wij de Nederlandse rechtspraak omtrent het recht op immateriële schadevergoeding vanwege het lekken van bijzondere of gevoelige persoonsgegevens.

/LEES MEER

Het recht op immateriële schadevergoeding op grond van de AVG

Immateriële schadevergoeding bij datalek: bijzondere of gevoelige persoonsgegevens 

In 2023 oordeelde het Hof van Justitie dat een inbreuk op de AVG niet automatisch recht geeft op een schadevergoeding. In deze blog behandelen wij de Nederlandse rechtspraak omtrent het recht op immateriële schadevergoeding vanwege het lekken van bijzondere of gevoelige persoonsgegevens.