Blog

AVG-serie: administratieve boetes

Veel organisaties zijn al op de hoogte van het feit dat de boetebevoegdheid van de Autoriteit Persoonsgegevens onder de Algemene Verordening Gegevensbescherming (‘AVG’) flink wordt uitgebreid. Dit is zonder twijfel een prikkel om organisaties privacy proof te maken voordat de AVG op 25 mei 2018 definitief van toepassing is. Maar wat verandert er nu echt […]

Veel organisaties zijn al op de hoogte van het feit dat de boetebevoegdheid van de Autoriteit Persoonsgegevens onder de Algemene Verordening Gegevensbescherming (‘AVG’) flink wordt uitgebreid. Dit is zonder twijfel een prikkel om organisaties privacy proof te maken voordat de AVG op 25 mei 2018 definitief van toepassing is.

Maar wat verandert er nu echt onder de AVG? Hoe hoog kunnen deze boetes zijn? En wanneer mag de Autoriteit Persoonsgegevens een boete opleggen? Op deze en andere vragen zullen wij hieronder ingaan.

Wet bescherming persoonsgegevens

De Autoriteit Persoonsgegevens houdt toezicht op de naleving van de privacy wetgeving in Nederland. In verband hiermee heeft de Autoriteit Persoonsgegevens een aantal bevoegdheden. Zo kan de toezichthouder onder meer waarschuwingen, bindende aanwijzingen en een tijdelijk of definitief verwerkingsverbod opleggen. Ook kan een organisatie worden gelast om een verzoek van een betrokkene tot uitoefening van zijn rechten in te willigen. And last but not least, kan de Autoriteit Persoonsgegevens een last onder bestuursdwang of last onder dwangsom en/of boete opleggen.

Op overtreding van de Wet bescherming persoonsgegevens (‘Wbp’) staat momenteel een maximumboete van € 820.000,-. In de boetebeleidsregels van de Autoriteit Persoonsgegevens valt echter te lezen dat deze maximumboete slechts in een paar gevallen zal worden opgelegd. Bijvoorbeeld als het verbod op verwerking van bijzondere persoonsgegevens is geschonden.

Bovendien mag een boete op grond van de Wbp pas worden opgelegd nadat de Autoriteit Persoonsgegevens een bindende aanwijzing heeft gegeven, tenzij de overtreding opzettelijk is gepleegd of het gevolg is van ernstig verwijtbare nalatigheid van de verwerkingsverantwoordelijke. In de bindende aanwijzing geeft de Autoriteit Persoonsgegevens aan welke gedraging op grond van de Wbp van de overtreder wordt verwacht en wordt de overtreder zo mogelijk opgedragen om de overtreding geheel of gedeeltelijk te herstellen. De Autoriteit Persoonsgegevens stelt daarbij in de regel een termijn waarbinnen de aanwijzing moet worden opgevolgd. Als de aanwijzing niet wordt opgevolgd, is de Autoriteit Persoonsgegevens reeds om die reden bevoegd een boete op te leggen. Deze combinatie lijkt daarmee dus op de last onder dwangsom.

Algemene verordening gegevensbescherming

Onder de AVG kan de Autoriteit Persoonsgegevens straks een veel hogere boete gaan opleggen. De maximumboete bedraagt dan namelijk € 20 miljoen of 4% van de totale wereldwijde jaaromzet. Deze maximumboete kan worden opgelegd als er basisbeginselen inzake gegevensverwerking of rechten van betrokkenen zijn geschonden of als een bevel van de toezichthouder niet wordt nageleefd.

Als het grofweg gaat om schending van verplichtingen en verantwoordelijkheden geldt er een maximumboete van € 10 miljoen of 2% van de totale wereldwijde jaaromzet. Bijvoorbeeld wanneer is nagelaten om een datalek te melden bij de Autoriteit Persoonsgegevens.

Een ander belangrijk verschil met de Wbp is dat er in de AVG geen formele drempels zijn opgenomen voor het opleggen van een boete. De AVG schrijft dus niet voor dat er eerst een bindende aanwijzing opgelegd moet worden voordat er een boete kan worden opgelegd. De Raad van State constateert echter dat hiermee niet is gezegd dat de verplichte voorafgaande bindende aanwijzing definitief van tafel is.

In de AVG staat ook dat bij het opleggen van een boete en de hoogte daarvan rekening moet worden gehouden met een aantal omstandigheden. Deze omstandigheden betreffen de aard, ernst en duur van de inbreuk op de AVG, het opzettelijk karakter daarvan, de mate van verantwoordelijkheid, eerdere relevante inbreuken en ga zo maar door. Naar verwachting zal er dus niet zomaar een boete worden opgelegd. De Artikel 29-werkgroep heeft in een richtlijn over administratieve boetes aangegeven hoe deze verschillende elementen tegen elkaar moeten worden afgewogen.

Uitvoeringswet AVG

Verder heeft de Nederlandse wetgever in de Memorie van Toelichting bij de Uitvoeringswet AVG aangegeven dat de Autoriteit Persoonsgegevens en het veld in Nederland vertrouwd zijn met de toepassing van de last onder dwangsom en de last onder bestuursdwang. Dit zijn volgens de Nederlandse wetgever in de praktijk effectieve middelen gebleken om overtredingen van regels inzake de bescherming van persoonsgegevens snel te beëindigen, zonder dat er onmiddellijk een boete hoeft te worden opgelegd. Deze bevoegdheden worden daarom gehandhaafd onder de Uitvoeringswet.

Het zou ons dan ook niet verbazen als het Nederlandse handhavingsregime – ten minste in de komende paar jaren – in de praktijk nauwelijks verandert.

Auteur

Expertises

Deel dit artikel

Meer blogs

Data Act: onterecht onderbelicht!

De Data Act (Verordening (EU) 2023/2854) is met ingang van 12 september 2025 rechtstreeks van toepassing in de hele Europese Unie (EU). De Data Act is specifiek gericht op het reguleren van de toegang tot en het delen van data binnen de EU, met als doel innovatie te stimuleren en eerlijke concurrentie te waarborgen.

/LEES MEER

Data Act: onterecht onderbelicht!

De Data Act (Verordening (EU) 2023/2854) is met ingang van 12 september 2025 rechtstreeks van toepassing in de hele Europese Unie (EU). De Data Act is specifiek gericht op het reguleren van de toegang tot en het delen van data binnen de EU, met als doel innovatie te stimuleren en eerlijke concurrentie te waarborgen.

Webinar commerciële/IE-contracten 2024

Op 6 november 2024 presenteerden Ernst-Jan Louwers en Nathalie van der Zande een live webinar over commerciële/IE-contracten voor de Academie voor de Rechtspraktijk. In dit webinar, dat bestaat uit twee blokken van een uur, deelden zij praktische inzichten en bespraken zij actuele kwesties binnen dit vakgebied. Het webinar is on demand terug te kijken.

/LEES MEER

Webinar commerciële/IE-contracten 2024

Op 6 november 2024 presenteerden Ernst-Jan Louwers en Nathalie van der Zande een live webinar over commerciële/IE-contracten voor de Academie voor de Rechtspraktijk. In dit webinar, dat bestaat uit twee blokken van een uur, deelden zij praktische inzichten en bespraken zij actuele kwesties binnen dit vakgebied. Het webinar is on demand terug te kijken.

AVG, gerechtvaardigd belang

AVG en gerechtvaardigd belang: wat de KNLTB-zaak betekent voor uw organisatie

Recent verduidelijkte het Hof dat commerciële belangen onder voorwaarden kunnen gelden als gerechtvaardigd belang voor gegevensverwerking onder de AVG. In deze blog bespreken we de uitspraak en geven we een 5-stappenplan voor het verwerken van persoonsgegevens op grond van gerechtvaardigde belangen.

/LEES MEER

AVG, gerechtvaardigd belang

AVG en gerechtvaardigd belang: wat de KNLTB-zaak betekent voor uw organisatie

Recent verduidelijkte het Hof dat commerciële belangen onder voorwaarden kunnen gelden als gerechtvaardigd belang voor gegevensverwerking onder de AVG. In deze blog bespreken we de uitspraak en geven we een 5-stappenplan voor het verwerken van persoonsgegevens op grond van gerechtvaardigde belangen.