• nl
  • en
Menu
Nieuwe boetebeleidsregels Autoriteit Persoonsgegevens

Nieuwe boetebeleidsregels Autoriteit Persoonsgegevens

9 mei 2019

Met de inwerkingtreding van de Algemene Verordening Gegevensbescherming (AVG, Engels: GDPR), zijn ook de bedragen van op te leggen boetes aangepast. In deze bijdrage wordt op hoofdlijnen uitgelegd welke wijzigingen dat oplevert ten opzichte van het oude boetebeleid.

Regime voor de AVG

Onder de (oude) Wet bescherming persoonsgegevens (Wbp) konden boetes worden opgelegd tot maximaal € 820.000,00 of 10% van de jaaromzet. Daarvoor moest ook opzet of ernstige verwijtbare nalatigheid worden aangetoond. Om transparant te zijn over de manier van handhaven werkte de toezichthouder, de Autoriteit Persoonsgegevens (AP), onder de Wbp met zogeheten ‘boetebeleidsregels’. Daarin was opgenomen in welke situaties welk boeteregime zou worden toegepast. Ook stond daarin dat de Autoriteit Persoonsgegevens eerst een bindende aanwijzing oplegt bij het constateren van een overtreding. Als de overtreder aan deze aanwijzing niet voldoet, kan vervolgens een dwangsom worden opgelegd. Een recent voorbeeld is de dwangsom die aan Menzis is opgelegd.

De AVG over boetes

Vaak wordt gedacht dat de boetes sinds de inwerkingtreding van de AVG zijn verhoogd. Dat is maar net waar je het mee vergelijkt. Het in absolute bedragen uitgedrukte boetebedrag is inderdaad een stuk hoger. Tegelijkertijd is het omzetgerelateerde boetebedrag juist verlaagd ten opzichte van de Wbp. Onder de Wbp kon namelijk een boete van 10% van de jaaromzet worden opgelegd als het boetemaximum van € 810.000,00 niet passend geacht werd. De omzetgerelateerde bedragen onder de AVG kennen lagere percentages.

Onder de AVG wordt een onderscheid gemaakt tussen ‘gewone’ en ‘zware’ overtredingen. Het uitgangspunt daarbij is dat overtredingen van de zogeheten ‘beginselen’ van de AVG gestraft worden als zware overtredingen. De Europese wetgever heeft daarmee duidelijk willen maken dat overtredingen van de kern van de AVG zwaar bestraft dienen te worden.

Op overtredingen van de eerste categorie (‘gewone’ overtredingen) staan boetes van maximaal 2 miljoen euro of 2% van de wereldwijde jaaromzet. Het gaat dan bijvoorbeeld om het niet bijhouden van een register van verwerkingsactiviteiten, het niet sluiten van een verwerkersovereenkomst of het ten onrechte niet melden van een datalek. Op overtredingen van de tweede categorie (‘zware overtredingen’) zijn boetes gesteld van maximaal 2 miljoen euro of 4% van de wereldwijde jaaromzet.  Daarbij valt te denken aan het verwerken van persoonsgegevens zonder grondslag, het niet hebben van de vereiste toestemming of het niet honoreren van de rechten van betrokkenen. Het onderscheid in een boetehoogte in absolute bedragen en percentages van de jaaromzet laat zien dat er maatwerk door de toezichthouders mogelijk is.

Boetebeleid AP

De AVG biedt de toezichthouders van elke lidstaat van de EU de ruimte om een nationaal boetebeleid in te richten. Het is niet zo dat voor elke overtreding ook direct het boetemaximum opgelegd zou moeten worden. Om de handhaving verder in te richten heeft de AP de boetemaxima als uitgangspunt genomen voor haar boetebeleid. In de Boetebeleidsregels Autoriteit Persoonsgegevens 2019 zijn de boetes verdeeld over verschillende categorieën. In de bijlagen van de boetebeleidsregels is opgenomen in welke categorieën de verschillende overtredingen zijn ingedeeld. Hieronder is deze indeling verkort weergegeven voor de meest gangbare overtredingen.

 

Categorie

I

II

III

IV

 

Boetebandbreedte

tussen €0 en €200k

tussen €120k en €500k

tussen €300k en €750k

tussen €450k en €1.000k

 

Basisboete

€100.000

€310.000

€525.000

€725.000

Elke categorie kent een bepaalde bandbreedte voor de op te leggen boete in een specifiek geval. Daarbij wordt gewerkt met een basisbedrag als start om mee te rekenen. Vervolgens wordt de hoogte bepaald door met alle specifieke factoren van het geval rekening te houden. Daarbij gaat het bijvoorbeeld om de aard, ernst en duur van de inbreuk, de opzet, de getroffen maatregelen, eerdere inbreuken, de mate van samenwerking met de AP en de aard van de betrokken persoonsgegevens. Ook kan de AP rekening houden met de financiële omstandigheden van de overtreder.

Daarnaast is de AP als bestuursorgaan ook gehouden om zich te houden aan de Algemene wet bestuursrecht en de algemene beginselen van behoorlijk bestuur. Het gaat dan bijvoorbeeld om het zorgvuldigheidsbeginsel, evenredigheidsbeginsel en het vertrouwensbeginsel. In bijzondere gevallen is afwijking van de boetebeleidsregels mogelijk. Dat kan bijvoorbeeld betekenen dat een aanzienlijk hogere boete wordt opgelegd, zodat er een afschrikkende werking vanuit gaan. Dat zal eerder het geval zijn bij grote bedrijven als Google en Facebook. Ook kan het zijn dat de AP het onevenredig hoog zou achten om de volgens het beleid logische boete op te leggen. Bijvoorbeeld vanwege de grootte van de betreffende onderneming.

Ten slotte is nog van belang om op te merken dat de door de AP vastgestelde boetebeleidsregels tijdelijk van aard zijn. Het is namelijk de bedoeling dat er vanuit de Europese Unie een algemeen boetekader wordt vastgesteld. Zolang dat er echter nog niet is, werkt de AP met haar eigen beleid.

Praktische handvatten

De boetebeleidsregels van de AP laten organisaties zien welke regels de kern van de AVG vormen. Daarbij wordt aangesloten bij de indeling van de Europese wetgever. Het is van belang om sancties tijdig te voorkomen. De advocaten privacyrecht van Wille Donker advocaten kunnen u daarin begeleiden en adviseren. Mocht u onverhoopt een sanctie opgelegd krijgen, is het van belang om de belangenafweging en de motivering van de AP goed tegen het licht te houden. Ook daarvoor kunt u terecht bij een van onze specialisten.

Deze bijdrage is geschreven door mr. Henk-Jan Ligtenberg

Wilt u op de hoogte blijven?

  • nl
  • en