De Autoriteit Persoonsgegevens vernieuwt boetebeleid

9 april 2019

Nadat de Autoriteit Persoonsgegevens (AP) vorige week op de donderdagmiddag liet weten dat cookiewalls in strijd zijn met de Algemene Verordening Gegevensbescherming (AVG), heeft de toezichthouder deze donderdagmiddag haar boetebeleidsregels aangepast. Met deze subtiele hint herinnert de Autoriteit organisaties aan de torenhoge boetes die bij schending van de privacywet mogen worden opgelegd. De boetebeleidsregels geven inzicht in hoe de AP de hoogte van zo’n boete berekent. Wij praten u in deze blog bij over het nieuwe boetebeleid.


Boetes & de AVG

De Autoriteit mag een boete opleggen bij overtreding van de AVG en diens uitvoeringswet, maar ook bij overtreding van de Wet politiegegevens en de Wet justitiële en strafvorderlijke gegevens – de vaak vergeten justitiële broertjes van de AVG – en bij sommige overtredingen van de Telecommunicatiewet, de eIDAS-verordening en de Algemene wet bestuursrecht.

Op grond van de AVG mag de AP een boete ter hoogte van de welbekende maximale € 20.000.000 of 4% van de wereldwijde omzet opleggen aan een organisatie die een fundamentele verplichting schendt. Het hoogste bedrag telt natuurlijk. Denk hierbij aan de rechtsgeldige grondslag, zoals toestemming voor het plaatsen van cookies, doorgiften naar landen buiten Europa en rechten van betrokkenen. Ook het negeren van een bevel van de toezichthouder zal, op zijn zachtst gezegd, niet worden gewaardeerd. De boete voor het schenden van een administratieve verplichting laat de AVG lager uitvallen: maximaal € 10.000.000 of 2% van de wereldwijze omzet. Denk hierbij aan het verwerkingsregister, Data Protection Impact Assessments, het melden van datalekken en de aanstelling van een Functionaris Gegevensbescherming.

Boetebeleid van de AP

In de boetebeleidsregels heeft de AP vier verschillende categorieën met bijbehorende boetebandbreedtes geïntroduceerd op basis van de verschillende AVG-verplichtingen. Daarbij heeft de Autoriteit rekening gehouden met de zwaarte van de norm, het doel dat de norm dient en de belangen die deze beoogt te beschermen. Elke categorie heeft een ‘startbedrag’. De boete kan ook buiten de bandbreedte uitvallen, mochten de omstandigheden daar aanleiding toe geven.

Eerder gebruikte sanctiemiddelen

Op 25 mei 2018 heeft de European Data Protection Board (EDPB) al richtsnoeren gepubliceerd, waarin wordt toegelicht wanneer en hoe administratieve boetes zullen worden opgelegd, en wanneer juist een ander sanctiemiddel passender is. Denk daarbij aan een last onder dwangsom of een verwerkingsverbod. Beide middelen hebben we inmiddels al gebruikt zien worden. Het UWV heeft een last onder dwangsom opgelegd gekregen voor het niet naleven van de beveiligingsregels (zij het onder de oude Wet bescherming persoonsgegevens), en de Belastingdienst mag per 1 januari 2020 het BSN niet meer gebruiken in btw-nummers van zelfstandigen.

Elders in Europa beginnen de eerste bestuurlijke boetes ook binnen te druppelen. Een ziekenhuis in Lissabon heeft € 400.000 opgelegd gekregen voor het niet goed afschermen van medische gegevens en Uber is in meerdere lidstaten beboet voor het niet tijdig melden van een datalek. Google is tot nu toe koploper met een ontvangen boete van de Franse toezichthouder à € 50.000.000, voor het niet rechtsgeldig vragen van toestemming en schending van het transparantiebeginsel.

De boetebeleidsregels zullen overigens weer vervallen wanneer de EDPB overeenstemming heeft bereikt over een boetebeleid dat voor heel Europa zal gelden. Het is nog niet bekend wanneer dat gepubliceerd zal worden.

MEER
LEZEN?

privacywetgeving

Voldoen aan privacywetgeving: het levert je organisatie voordelen op

Uit onderzoek blijkt namelijk dat het voldoen aan de privacywetgeving ook goed is voor je business. Door de juiste privacymaatregelen te treffen, ervaren organisaties voordelen, zoals: minder datalekken en minder verkoopvertragingen.
Lees meer

Met deze truc stel je ongemerkt inkoopvoorwaarden buiten werking

Wie met grotere bedrijven zaken doet, heeft ze vast al eens langs gehad: de inkoopvoorwaarden (General Purchasing Terms of GPT). Vaak heel lange en dreigend klinkende documenten, waar je dan maar even mee akkoord moet gaan anders geen inkooporder voor jou. Erg vervelend, want als je zomaar tekent dan ben je volledig aansprakelijk voor het kleinste foutje of vergissinkje. Er is echter een truc waarmee je het jezelf een stuk eenvoudiger maakt om van lastige inkoopvoorwaarden af te komen.
Lees meer

Zes contracten die iedere (internet)ondernemer moet hebben

Contracten, het liefst wil menig ondernemer er niets mee te maken hebben. Gezeur over kleine lettertjes staat het zakendoen maar in de weg. Toch is het onverstandig om volledig zonder contracten de weg op te gaan, althans als je geen zin hebt in juridische claims en hoge schadevergoedingen. Wees dus voorbereid en zorg dat je deze contracten in je tas (of hippe rugzak) hebt.
Lees meer
ICTRecht

ICTRecht