Vestiging Amsterdam

  • Jollemanhof 12
  • 1019 GW Amsterdam
Telefoon
020 663 1941
E-mail
info@ictrecht.nl
KvK
34216164
btw
NL8223.30.040.B01
Terug naar overzicht

Wat zijn de risico’s bij overtreding van de AVG? Deel 1: boetes

25 september 2017 Door

Op 25 mei 2018 vervangt de Algemene Verordening Gegevensbescherming (AVG) de huidige privacywetgeving. Het is belangrijk om goed op de hoogte te zijn van de risico’s bij overtreding van de AVG. Wanneer de AVG in het nieuws komt, wordt vaak gesproken over de hoge boetes die opgelegd kunnen worden. Maar hoe zit dat nou precies (deel 1)? En welke stappen kan een betrokkene zelf zetten bij overtreding van de nieuwe privacywet AVG (deel 2)?

Wanneer mag er een geldboete opgelegd worden onder de AVG?

De toezichthouder (in Nederland: de Autoriteit Persoonsgegevens (AP)) mag uit eigen beweging optreden tegen de verwerkingsverantwoordelijke van persoonsgegevens die de regels uit de AVG overtreedt.

De verwerkingsverantwoordelijke is de partij die het doel en de middelen van de verwerking van de persoonsgegevens bepaalt, bijvoorbeeld een bedrijf dat bepaalt dat de naam- en contactgegevens van het personeel en de klanten geregistreerd moeten worden. De verwerker is de partij die de persoonsgegevens verwerkt in opdracht van de verwerkingsverantwoordelijke, bijvoorbeeld een externe salarisadministrateur of een ICT-dienstverlener die een online CRM-systeem levert en beheert om de klantgegevens in op te slaan en bij te werken.

Het zal echter vaak voor komen dat actie wordt ondernomen naar aanleiding van een klacht van een getroffen betrokkene. Denk aan situaties waar een organisatie persoonsgegevens gebruikt voor een ander doel dan waarvoor toestemming is gegeven, dat bijzondere persoonsgegevens (zoals medische dossiers) zijn gelekt of dat een verzoek tot verwijderen van de geregistreerde persoonsgegevens niet wordt verwerkt. Nieuw is dat toezichthouders zeer hoge boetes mogen opleggen bij dit soort overtredingen van de AVG, zowel aan de verwerkingsverantwoordelijke als de verwerker.

De bevoegdheid van toezichthouders om administratieve geldboetes op te leggen bij inbreuk op de AVG is bedoeld ter afschrikking. Onder EU-recht moeten sancties namelijk doeltreffend, evenredig én afschrikkend zijn. Dat van de op te leggen boetes een afschrikkende werking uitgaat, is duidelijk als je kijkt naar de hoogte van de boetes: maximaal € 20.000.000,- of 4% van de wereldwijde omzet.

Hoogte van de boetes onder de AVG

De AVG introduceert twee categorieën overtredingen: 1. overtredingen die zien op fundamentele verplichtingen en 2. overtredingen die voornamelijk zien op meer administratief georiënteerde verplichtingen. Overtredingen van de eerste categorie kunnen worden bestraft met een geldboete van maximaal € 20.000.000,- of 4% van de wereldwijde omzet. Voor categorie 2-overtredingen is dit maximaal € 10.000.000,- of 2% van de wereldwijde omzet. Als het percentage van de wereldwijde omzet hoger is dan de genoemde maximale geldboete, dan geldt dat als maximum. Hiervoor is gekozen om ook multinationals aan te sporen de AVG na te leven.

Categorie 1-overtredingen

Wanneer een verwerkingsverantwoordelijke of verwerker een overtreding begaat van de meer fundamentele verplichtingen uit de AVG dan kan deze worden bestraft met een boete van de hoogste categorie. Te denken valt aan schending van rechten van een betrokkene, zoals het recht van inzage, het recht op gegevenswissing en het recht op dataportabiliteit. Ook overtreding van de volgende punten valt onder deze categorie:

  • Basisbeginselen van gegevensverwerking, waaronder de voorwaarden voor toestemming;
  • Doorgiften van persoonsgegevens aan een derde land (buitende Europese Economische Ruimte) en internationale organisaties;
  • Verplichtingen die volgen uit nationale wetgeving, zoals ten aanzien van de vrijheid van meningsuiting en verwerking van persoonsgegevens in het arbeidsrecht;
  • Niet-naleving van een bevel van de toezichthouder of een tijdelijke of definitieve verwerkingsbeperking of opschorting.

Categorie 2-overtredingen

De meeste andere overtredingen kunnen worden bestraft met een boete van het ‘lagere’ tarief. Dit geldt onder andere voor het niet voldoen aan de onderstaande onderwerpen die volgen uit de AVG:

Overwegingen bij het opleggen van een geldboete

Uit de AVG volgt verder dat een toezichthouder zorgvuldig moet afwegen of het opleggen van een geldboete passend (doeltreffend, evenredig en afschrikkend) is voor de overtreding. Wanneer het gaat om een kleine inbreuk kan ook gekozen worden voor een berisping in plaats van meteen een geldboete. Toezichthouders mogen naar eigen inzicht hun boetebeleid opstellen. De toezichthouder moet in zijn afweging (wel of geen boete en de hoogte van boete) in ieder geval rekening te houden met de volgende overwegingen:

  • De aard, de ernst en de duur van de inbreuk. Daarbij wordt gekeken naar het aantal getroffen betrokkenen en de omvang van de door hen geleden schade;
  • Of de verwerkingsverantwoordelijke of verwerker opzettelijk of nalatig handelde;
  • De maatregelen die zijn genomen om de schade te beperken;
  • Eerdere inbreuken door de verwerkingsverantwoordelijke of verwerker;
  • In hoeverre medewerking is verleend aan de toezichthouder om de inbreuk te verhelpen en de schade te beperken;
  • Welke categorie van persoonsgegevens het betreft;
  • Hoe de toezichthouder op de hoogte is geraakt van de inbreuk, met name of de verwerkingsverantwoordelijke of verwerker zelf melding heeft gedaan;
  • Naleving van een eerder opgelegde corrigerende maatregel;
  • Of de verwerkingsverantwoordelijke of verwerker aangesloten is bij goedgekeurde gedragscodes of certificeringsmechanismen;
  • Andere verzwarende of verzachtende factoren.

Welke maatstaf de AP zal hanteren bij het opleggen van geldboetes zal moeten blijken. De verwachting is in ieder geval dat de AVG streng gehandhaafd zal worden. Zorg er daarom voor dat u goed voorbereid bent!

Wilt u goed voorbereid zijn op de komst van de AVG en een boete voorkomen?

ICTRecht Academy verzorgt een basis– en verdiepingscursus privacywetgeving waarmee u gedegen privacykennis opbouwt en uw organisatie kunt adviseren (als bijv. functionaris gegevensbescherming) en voorbereiden op de nieuwe privacywet. Voor deze cursussen is geen juridische voorkennis nodig. Volgt u beide cursussen dan krijgt u het handboek AVG gratis. Heeft u een juridische achtergrond dan vindt u hier onze privacytrainingen. Heeft u privacyadvies of privacydocumenten nodig? Wij staan voor u klaar!

Britta Wesseling

Juridisch adviseur

Britta Wesseling werkt als juridisch adviseur bij ICTRecht en is Certified Information Privacy Professional/Europe (CIPP/E). Binnen ICTRecht houdt Britta zich bezig met alle juridische aspecten rondom privacy.

Voor verschillende klanten vervult Britta de rol van Functionaris Gegevensbescherming (FG)/Data Protection Officer (DPO), zowel in-house als op afstand. Daarnaast adviseert Britta organisaties bij het opstellen en reviewen van uiteenlopende ICT-contracten en bij onderhandelingen daarover.


Er zijn 10 reacties

  1. Inmiddels is de AvG ruim 2 maand geleden geïntroduceerd.
    Voor mijn dochtertje van (bijna) 4 ontving ik afgelopen week een oproep voor vaccinatie.
    Dat komt van een overheid gerelateerde instelling. Wat schets mijn verbazing; haar BSN staat op de oproepkaart.

    Mag/ Kan dit?
    Ben erg benieuwd

    1. Beste Hans,
      Hartelijk bedankt voor uw interesse in en reactie op onze blog. Het BSN op de oproepkaart mag vermeld worden omdat dit nodig is voor de identificatie van de persoon die gevaccineerd wordt.

  2. Een kleine vraag.
    Ik heb een sollicitatie de deur uitgedaan naar een bedrijf, nu schets mijn verbazing dat een ander bedrijf mijn sollicitatiebrief heeft ontvangen alsmede ook mijn CV, zonder mij daarvoor in kennis te stellen.
    Mag dit zo maar?

    Dit is trouwens gebeurd met al mijn mede collega’s.

    1. Beste Ron,

      Bedankt voor je interesse in deze blog.

      Op het moment dat je jouw persoonsgegevens in het kader van een sollicitatie verstrekt aan een organisatie, moet je geïnformeerd worden over hoe er met deze gegevens wordt omgegaan. Dit gebeurt doorgaans via een privacyverklaring.

      Een organisatie mag niet zomaar persoonsgegevens doorgeven aan andere organisatie. Dit mag in principe alleen als dat verenigbaar is met het doel waarvoor zij jouw persoonsgegevens verzameld hebben. Hierbij wordt bijvoorbeeld gekeken naar wat er met dat doel samenhangt, de verhouding tussen partijen, om wat voor soort gegevens het gaat en welke verwachtingen de betrokkene had. Daarnaast geldt dat voor het verstrekken van deze gegevens ook een wettelijke grondslag (bijvoorbeeld toestemming van de betrokkene of een gerechtvaardigd belang) aanwezig moet zijn.

      Of de organisatie jouw sollicitatie mocht doorgeven aan een derde partij, hangt dus af het doel en de aanwezigheid van een grondslag.

      Groeten,

      Britta Wesseling

  3. Zojuist ben ik aan de deur benaderd door zo’n vervelende verkoper van energie.
    Wat blijkt nu dat deze persoon, waar ik alle gegevens van heb, bij buren mijn naam aangeeft om zijn verkooptruc te versterking.
    Ik ben hier totaal niet over te spreken en vind het zelfs erg vervelend. Het gaat de buren niks aan wat ik doe.
    Dit is een typisch geval van privacy schending. Wat kan ik doen.

    1. Goedemorgen Bianca,

      Hierop is de AVG niet van toepassing. De AVG is alleen van toepassing op persoonsgegevens die digitaal verwerkt worden of bijvoorbeeld opgenomen worden in een bestand. Wanneer meneer mondeling uw naam gebruikt dan is daarop de AVG niet van toepassing. Erg netjes is het natuurlijk niet. Wanneer u alle gegevens van meneer heeft, zou u contact kunnen opnemen met zijn baas om te zeggen dat u hier niet van gediend bent.

  4. Hallo,

    Ik werk in een zorginstelling en ben bezig om te kijken wat wij voor de AVG nog meer moeten aanscherpen.
    NU zijn wij van mening dat de baxterzakjes van de zorgvragers niet in het restafval mag. Op de baxterzakjes staat de naam van de zorgvrager, geboortedatum, adres, welk medicijn en hoevaak inname. Dit heeft ons inzien ook te maken met de AVG.
    Hebben jullie enig idee dit probleem op te lossen?

    1. Beste M,

      Goed dat u bezig bent met privacy bescherming. Hier is de AVG zeker van toepassing. Het gaat hier zelfs om bijzondere persoonsgegevens omdat het iets zegt over iemands gezondheid. Een goede manier om deze gegevens te vernietigen is om een shredder te gebruiken. Dit is echter niet de enige beveiligingsmaatregel die u dient te nemen omtrent bijzondere persoonsgegevens. Voor meer vragen kunt u contact met ons opnemen.

  5. Een familie lid wil persoonlijke vertrouwelijke gegevens (bijzonderegevens) naar buiten brengen van een ander persoon in de familie. De persoon in kwestie wil dit niet. mag dit zomaar volgens de AVG wet?

    1. Wanneer bijvoorbeeld op een verjaardag bepaalde vertrouwelijke gegevens / bijzondere persoonsgegevens worden besproken met anderen, valt dit niet onder de AVG.

      De AVG geldt wel wanneer iemand deze informatie op een niet-besloten Facebookpagina of andere openbare website zet.
      Dit mag dus niet zomaar. Daar moet een goede reden voor zijn, bijvoorbeeld de vrijheid van meningsuiting.
      Hieraan zitten strafrechtelijk wel bepaalde grenzen.
      Als iemands eer of goede naam wordt aangetast, kan sprake zijn van smaad, laster of belediging. Kijk hierover eens op de blog van onze partner Arnoud Engelfriet: https://www.iusmentis.com/meningsuiting/smaad-laster-belediging/
      Is de uiting niet strafbaar, maar het zijn wel bijzondere persoonsgegevens over bijvoorbeeld iemands gezondheid, of vertrouwelijke informatie over deze persoon?
      Ook dan weegt het privacybelang – in dit geval – al gauw zwaarder dan het belang om iets op internet te publiceren.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Uw persoonsgegevens gebruiken wij alleen voor het plaatsen en verwerken van uw reactie. Lees de privacyverklaring voor meer informatie