AVG-serie: administratieve boetes

Veel organisaties zijn al op de hoogte van het feit dat de boetebevoegdheid van de Autoriteit Persoonsgegevens onder de Algemene Verordening Gegevensbescherming (‘AVG’) flink wordt uitgebreid. Dit is zonder twijfel een prikkel om organisaties privacy proof te maken voordat de AVG op 25 mei 2018 definitief van toepassing is.

Maar wat verandert er nu echt onder de AVG? Hoe hoog kunnen deze boetes zijn? En wanneer mag de Autoriteit Persoonsgegevens een boete opleggen? Op deze en andere vragen zullen wij hieronder ingaan.

Wet bescherming persoonsgegevens

De Autoriteit Persoonsgegevens houdt toezicht op de naleving van de privacy wetgeving in Nederland. In verband hiermee heeft de Autoriteit Persoonsgegevens een aantal bevoegdheden. Zo kan de toezichthouder onder meer waarschuwingen, bindende aanwijzingen en een tijdelijk of definitief verwerkingsverbod opleggen. Ook kan een organisatie worden gelast om een verzoek van een betrokkene tot uitoefening van zijn rechten in te willigen. And last but not least, kan de Autoriteit Persoonsgegevens een last onder bestuursdwang of last onder dwangsom en/of boete opleggen.

Op overtreding van de Wet bescherming persoonsgegevens (‘Wbp’) staat momenteel een maximumboete van € 820.000,-. In de boetebeleidsregels van de Autoriteit Persoonsgegevens valt echter te lezen dat deze maximumboete slechts in een paar gevallen zal worden opgelegd. Bijvoorbeeld als het verbod op verwerking van bijzondere persoonsgegevens is geschonden.

Bovendien mag een boete op grond van de Wbp pas worden opgelegd nadat de Autoriteit Persoonsgegevens een bindende aanwijzing heeft gegeven, tenzij de overtreding opzettelijk is gepleegd of het gevolg is van ernstig verwijtbare nalatigheid van de verwerkingsverantwoordelijke. In de bindende aanwijzing geeft de Autoriteit Persoonsgegevens aan welke gedraging op grond van de Wbp van de overtreder wordt verwacht en wordt de overtreder zo mogelijk opgedragen om de overtreding geheel of gedeeltelijk te herstellen. De Autoriteit Persoonsgegevens stelt daarbij in de regel een termijn waarbinnen de aanwijzing moet worden opgevolgd. Als de aanwijzing niet wordt opgevolgd, is de Autoriteit Persoonsgegevens reeds om die reden bevoegd een boete op te leggen. Deze combinatie lijkt daarmee dus op de last onder dwangsom.

Algemene verordening gegevensbescherming

Onder de AVG kan de Autoriteit Persoonsgegevens straks een veel hogere boete gaan opleggen. De maximumboete bedraagt dan namelijk € 20 miljoen of 4% van de totale wereldwijde jaaromzet. Deze maximumboete kan worden opgelegd als er basisbeginselen inzake gegevensverwerking of rechten van betrokkenen zijn geschonden of als een bevel van de toezichthouder niet wordt nageleefd.

Als het grofweg gaat om schending van verplichtingen en verantwoordelijkheden geldt er een maximumboete van € 10 miljoen of 2% van de totale wereldwijde jaaromzet. Bijvoorbeeld wanneer is nagelaten om een datalek te melden bij de Autoriteit Persoonsgegevens.

Een ander belangrijk verschil met de Wbp is dat er in de AVG geen formele drempels zijn opgenomen voor het opleggen van een boete. De AVG schrijft dus niet voor dat er eerst een bindende aanwijzing opgelegd moet worden voordat er een boete kan worden opgelegd. De Raad van State constateert echter dat hiermee niet is gezegd dat de verplichte voorafgaande bindende aanwijzing definitief van tafel is.

In de AVG staat ook dat bij het opleggen van een boete en de hoogte daarvan rekening moet worden gehouden met een aantal omstandigheden. Deze omstandigheden betreffen de aard, ernst en duur van de inbreuk op de AVG, het opzettelijk karakter daarvan, de mate van verantwoordelijkheid, eerdere relevante inbreuken en ga zo maar door. Naar verwachting zal er dus niet zomaar een boete worden opgelegd. De Artikel 29-werkgroep heeft in een richtlijn over administratieve boetes aangegeven hoe deze verschillende elementen tegen elkaar moeten worden afgewogen.

Uitvoeringswet AVG

Verder heeft de Nederlandse wetgever in de Memorie van Toelichting bij de Uitvoeringswet AVG aangegeven dat de Autoriteit Persoonsgegevens en het veld in Nederland vertrouwd zijn met de toepassing van de last onder dwangsom en de last onder bestuursdwang. Dit zijn volgens de Nederlandse wetgever in de praktijk effectieve middelen gebleken om overtredingen van regels inzake de bescherming van persoonsgegevens snel te beëindigen, zonder dat er onmiddellijk een boete hoeft te worden opgelegd. Deze bevoegdheden worden daarom gehandhaafd onder de Uitvoeringswet.

Het zou ons dan ook niet verbazen als het Nederlandse handhavingsregime – ten minste in de komende paar jaren – in de praktijk nauwelijks verandert.

Meer weten?

Wilt u meer informatie over boetes of andere risico’s? Wilt u bezwaar aantekenen tegen een besluit van de Autoriteit Persoonsgegevens? Of heeft u overige vragen over de AVG?

Neem dan gerust contact op met Huub de Jong of Tom de Wit.