Locatie Amsterdam
Jollemanshof 12
1019 GW Amsterdam
Telefoon
020 663 1941
E-mail
info@ictrecht.nl
KvK
34216164
BTW
NL8223.30.040.B01
Locatie Groningen
Leonard Springerlaan 35
9727 KB Groningen
Telefoon
050 209 34 99
E-mail
info@ictrecht.nl
KvK
68038712
BTW
NL857275835.B01
Locatie Brussel
Avenue Louise 65
1000 Brussel
Telefoon
+32 (0)2 535 77 55.
E-mail
info@legalict.com
Ondernemingsnummer
0696.909.465
BTW
BE 0696.909.465
Terug naar overzicht

Wat zijn de risico’s bij overtreding van de AVG? Deel 1: boetes

25 september 2017 Door

Op 25 mei 2018 vervangt de Algemene Verordening Gegevensbescherming (AVG) de huidige privacywetgeving. Het is belangrijk om goed op de hoogte te zijn van de risico’s bij overtreding van de AVG. Wanneer de AVG in het nieuws komt, wordt vaak gesproken over de hoge boetes die opgelegd kunnen worden. Maar hoe zit dat nou precies (deel 1)? En welke stappen kan een betrokkene zelf zetten bij overtreding van de nieuwe privacywet AVG (deel 2)?

Wanneer mag er een geldboete opgelegd worden onder de AVG?

De toezichthouder (in Nederland: de Autoriteit Persoonsgegevens (AP)) mag uit eigen beweging optreden tegen de verwerkingsverantwoordelijke van persoonsgegevens die de regels uit de AVG overtreedt.

De verwerkingsverantwoordelijke is de partij die het doel en de middelen van de verwerking van de persoonsgegevens bepaalt, bijvoorbeeld een bedrijf dat bepaalt dat de naam- en contactgegevens van het personeel en de klanten geregistreerd moeten worden. De verwerker is de partij die de persoonsgegevens verwerkt in opdracht van de verwerkingsverantwoordelijke, bijvoorbeeld een externe salarisadministrateur of een ICT-dienstverlener die een online CRM-systeem levert en beheert om de klantgegevens in op te slaan en bij te werken.

Het zal echter vaak voor komen dat actie wordt ondernomen naar aanleiding van een klacht van een getroffen betrokkene. Denk aan situaties waar een organisatie persoonsgegevens gebruikt voor een ander doel dan waarvoor toestemming is gegeven, dat bijzondere persoonsgegevens (zoals medische dossiers) zijn gelekt of dat een verzoek tot verwijderen van de geregistreerde persoonsgegevens niet wordt verwerkt. Nieuw is dat toezichthouders zeer hoge boetes mogen opleggen bij dit soort overtredingen van de AVG, zowel aan de verwerkingsverantwoordelijke als de verwerker.

De bevoegdheid van toezichthouders om administratieve geldboetes op te leggen bij inbreuk op de AVG is bedoeld ter afschrikking. Onder EU-recht moeten sancties namelijk doeltreffend, evenredig én afschrikkend zijn. Dat van de op te leggen boetes een afschrikkende werking uitgaat, is duidelijk als je kijkt naar de hoogte van de boetes: maximaal € 20.000.000,- of 4% van de wereldwijde omzet.

Hoogte van de boetes onder de AVG

De AVG introduceert twee categorieën overtredingen: 1. overtredingen die zien op fundamentele verplichtingen en 2. overtredingen die voornamelijk zien op meer administratief georiënteerde verplichtingen. Overtredingen van de eerste categorie kunnen worden bestraft met een geldboete van maximaal € 20.000.000,- of 4% van de wereldwijde omzet. Voor categorie 2-overtredingen is dit maximaal € 10.000.000,- of 2% van de wereldwijde omzet. Als het percentage van de wereldwijde omzet hoger is dan de genoemde maximale geldboete, dan geldt dat als maximum. Hiervoor is gekozen om ook multinationals aan te sporen de AVG na te leven.

Categorie 1-overtredingen

Wanneer een verwerkingsverantwoordelijke of verwerker een overtreding begaat van de meer fundamentele verplichtingen uit de AVG dan kan deze worden bestraft met een boete van de hoogste categorie. Te denken valt aan schending van rechten van een betrokkene, zoals het recht van inzage, het recht op gegevenswissing en het recht op dataportabiliteit. Ook overtreding van de volgende punten valt onder deze categorie:

  • Basisbeginselen van gegevensverwerking, waaronder de voorwaarden voor toestemming;
  • Doorgiften van persoonsgegevens aan een derde land (buitende Europese Economische Ruimte) en internationale organisaties;
  • Verplichtingen die volgen uit nationale wetgeving, zoals ten aanzien van de vrijheid van meningsuiting en verwerking van persoonsgegevens in het arbeidsrecht;
  • Niet-naleving van een bevel van de toezichthouder of een tijdelijke of definitieve verwerkingsbeperking of opschorting.

Categorie 2-overtredingen

De meeste andere overtredingen kunnen worden bestraft met een boete van het ‘lagere’ tarief. Dit geldt onder andere voor het niet voldoen aan de onderstaande onderwerpen die volgen uit de AVG:

Overwegingen bij het opleggen van een geldboete

Uit de AVG volgt verder dat een toezichthouder zorgvuldig moet afwegen of het opleggen van een geldboete passend (doeltreffend, evenredig en afschrikkend) is voor de overtreding. Wanneer het gaat om een kleine inbreuk kan ook gekozen worden voor een berisping in plaats van meteen een geldboete. Toezichthouders mogen naar eigen inzicht hun boetebeleid opstellen. De toezichthouder moet in zijn afweging (wel of geen boete en de hoogte van boete) in ieder geval rekening te houden met de volgende overwegingen:

  • De aard, de ernst en de duur van de inbreuk. Daarbij wordt gekeken naar het aantal getroffen betrokkenen en de omvang van de door hen geleden schade;
  • Of de verwerkingsverantwoordelijke of verwerker opzettelijk of nalatig handelde;
  • De maatregelen die zijn genomen om de schade te beperken;
  • Eerdere inbreuken door de verwerkingsverantwoordelijke of verwerker;
  • In hoeverre medewerking is verleend aan de toezichthouder om de inbreuk te verhelpen en de schade te beperken;
  • Welke categorie van persoonsgegevens het betreft;
  • Hoe de toezichthouder op de hoogte is geraakt van de inbreuk, met name of de verwerkingsverantwoordelijke of verwerker zelf melding heeft gedaan;
  • Naleving van een eerder opgelegde corrigerende maatregel;
  • Of de verwerkingsverantwoordelijke of verwerker aangesloten is bij goedgekeurde gedragscodes of certificeringsmechanismen;
  • Andere verzwarende of verzachtende factoren.

Welke maatstaf de AP zal hanteren bij het opleggen van geldboetes zal moeten blijken. De verwachting is in ieder geval dat de AVG streng gehandhaafd zal worden. Zorg er daarom voor dat u goed voorbereid bent!

Wilt u goed voorbereid zijn op de komst van de AVG en een boete voorkomen?

ICTRecht Academy verzorgt een basis– en verdiepingscursus privacywetgeving waarmee u gedegen privacykennis opbouwt en uw organisatie kunt adviseren (als bijv. functionaris gegevensbescherming) en voorbereiden op de nieuwe privacywet. Voor deze cursussen is geen juridische voorkennis nodig. Volgt u beide cursussen dan krijgt u het handboek AVG gratis. Heeft u een juridische achtergrond dan vindt u hier onze privacytrainingen. Heeft u privacyadvies of privacydocumenten nodig? Wij staan voor u klaar!

Britta Wesseling

Oud-medewerker ICTRecht

Britta Wesseling werkte als juridisch adviseur bij ICTRecht. Binnen ICTRecht hield Britta zich bezig met alle juridische aspecten rondom privacy.


Er zijn 24 reacties

  1. Inmiddels is de AvG ruim 2 maand geleden geïntroduceerd.
    Voor mijn dochtertje van (bijna) 4 ontving ik afgelopen week een oproep voor vaccinatie.
    Dat komt van een overheid gerelateerde instelling. Wat schets mijn verbazing; haar BSN staat op de oproepkaart.

    Mag/ Kan dit?
    Ben erg benieuwd

    1. Beste Hans,
      Hartelijk bedankt voor uw interesse in en reactie op onze blog. Het BSN op de oproepkaart mag vermeld worden omdat dit nodig is voor de identificatie van de persoon die gevaccineerd wordt.

  2. Een kleine vraag.
    Ik heb een sollicitatie de deur uitgedaan naar een bedrijf, nu schets mijn verbazing dat een ander bedrijf mijn sollicitatiebrief heeft ontvangen alsmede ook mijn CV, zonder mij daarvoor in kennis te stellen.
    Mag dit zo maar?

    Dit is trouwens gebeurd met al mijn mede collega’s.

    1. Beste Ron,

      Bedankt voor je interesse in deze blog.

      Op het moment dat je jouw persoonsgegevens in het kader van een sollicitatie verstrekt aan een organisatie, moet je geïnformeerd worden over hoe er met deze gegevens wordt omgegaan. Dit gebeurt doorgaans via een privacyverklaring.

      Een organisatie mag niet zomaar persoonsgegevens doorgeven aan andere organisatie. Dit mag in principe alleen als dat verenigbaar is met het doel waarvoor zij jouw persoonsgegevens verzameld hebben. Hierbij wordt bijvoorbeeld gekeken naar wat er met dat doel samenhangt, de verhouding tussen partijen, om wat voor soort gegevens het gaat en welke verwachtingen de betrokkene had. Daarnaast geldt dat voor het verstrekken van deze gegevens ook een wettelijke grondslag (bijvoorbeeld toestemming van de betrokkene of een gerechtvaardigd belang) aanwezig moet zijn.

      Of de organisatie jouw sollicitatie mocht doorgeven aan een derde partij, hangt dus af het doel en de aanwezigheid van een grondslag.

      Groeten,

      Britta Wesseling

  3. Zojuist ben ik aan de deur benaderd door zo’n vervelende verkoper van energie.
    Wat blijkt nu dat deze persoon, waar ik alle gegevens van heb, bij buren mijn naam aangeeft om zijn verkooptruc te versterking.
    Ik ben hier totaal niet over te spreken en vind het zelfs erg vervelend. Het gaat de buren niks aan wat ik doe.
    Dit is een typisch geval van privacy schending. Wat kan ik doen.

    1. Goedemorgen Bianca,

      Hierop is de AVG niet van toepassing. De AVG is alleen van toepassing op persoonsgegevens die digitaal verwerkt worden of bijvoorbeeld opgenomen worden in een bestand. Wanneer meneer mondeling uw naam gebruikt dan is daarop de AVG niet van toepassing. Erg netjes is het natuurlijk niet. Wanneer u alle gegevens van meneer heeft, zou u contact kunnen opnemen met zijn baas om te zeggen dat u hier niet van gediend bent.

  4. Hallo,

    Ik werk in een zorginstelling en ben bezig om te kijken wat wij voor de AVG nog meer moeten aanscherpen.
    NU zijn wij van mening dat de baxterzakjes van de zorgvragers niet in het restafval mag. Op de baxterzakjes staat de naam van de zorgvrager, geboortedatum, adres, welk medicijn en hoevaak inname. Dit heeft ons inzien ook te maken met de AVG.
    Hebben jullie enig idee dit probleem op te lossen?

    1. Beste M,

      Goed dat u bezig bent met privacy bescherming. Hier is de AVG zeker van toepassing. Het gaat hier zelfs om bijzondere persoonsgegevens omdat het iets zegt over iemands gezondheid. Een goede manier om deze gegevens te vernietigen is om een shredder te gebruiken. Dit is echter niet de enige beveiligingsmaatregel die u dient te nemen omtrent bijzondere persoonsgegevens. Voor meer vragen kunt u contact met ons opnemen.

  5. Een familie lid wil persoonlijke vertrouwelijke gegevens (bijzonderegevens) naar buiten brengen van een ander persoon in de familie. De persoon in kwestie wil dit niet. mag dit zomaar volgens de AVG wet?

    1. Wanneer bijvoorbeeld op een verjaardag bepaalde vertrouwelijke gegevens / bijzondere persoonsgegevens worden besproken met anderen, valt dit niet onder de AVG.

      De AVG geldt wel wanneer iemand deze informatie op een niet-besloten Facebookpagina of andere openbare website zet.
      Dit mag dus niet zomaar. Daar moet een goede reden voor zijn, bijvoorbeeld de vrijheid van meningsuiting.
      Hieraan zitten strafrechtelijk wel bepaalde grenzen.
      Als iemands eer of goede naam wordt aangetast, kan sprake zijn van smaad, laster of belediging. Kijk hierover eens op de blog van onze partner Arnoud Engelfriet: https://www.iusmentis.com/meningsuiting/smaad-laster-belediging/
      Is de uiting niet strafbaar, maar het zijn wel bijzondere persoonsgegevens over bijvoorbeeld iemands gezondheid, of vertrouwelijke informatie over deze persoon?
      Ook dan weegt het privacybelang – in dit geval – al gauw zwaarder dan het belang om iets op internet te publiceren.

  6. Vorig jaar heb ik deelgenomen aan een aantal cursussen van de Sociale dienst van de gemeente Bergen op Zoom. Weigering van deelname zou betekenen dat ik gekort zou kunnen worden op mijn bijstandsuitkering. Tijdens de slotdag werd er gefilmd. Ik en de meeste met mij hebben aangegeven dat we niet graag in beeld zouden komen.
    Een jaar later wordt een soortgelijk evenement georganiseerd door de sociale dienst. De film van de slotdag staat volledig online en de voice-over vermeld meermaals dat de gefilmden werk zoeken. Ik en ook anderen komen meermaals volledig in beeld. Mag dit zomaar? Wat kan ik hiertegen doen en wat zijn eventueel mijn mogelijke stappen. Dit met het oog dat de organisatie ook mijn uitkering betaald en ik ze dus zeker niet voor het hoofd wil stoten.

    Bij voorbaat dank!

    1. Beste Wesley,
      Wij begrijpen waarom u een bezwaar heeft tegen deze verwerking van uw persoonsgegevens. U kunt dit bezwaar aan de gemeente kenbaar maken en hen verzoeken om ofwel (a) het fragment waarin u herkenbaar in beeld verschijnt uit het filmpje te verwijderen, ofwel (b) u onherkenbaar te maken. U kunt daarbij aangeven dat het voor de gemeente en het uitvoeren van haar wettelijke taken of voor haar legitieme belangen niet noodzakelijk is om u herkenbaar in beeld te brengen, waardoor de gemeente geen geldige wettelijke grondslag heeft om uw gegevens op deze manier te verwerken. In principe zal de gemeente dan aan uw verzoek moeten voldoen, of motiveren waarom zij dat niet zou doen. In dat laatste geval zou u eventueel nog een klacht bij de Autoriteit Persoonsgegevens kunnen overwegen, maar het is te hopen dat dat niet nodig zal zijn. Deze zaken zouden van geen enkele invloed mogen zijn op het al dan niet uitbetalen van uw uitkering. Het is uiteraard wel aan te raden altijd beleefd en respectvol te blijven communiceren.

  7. Ik moet uitleggen wat privacyschending is maar ik kan nergens echt precies vinden wat het is zouden jullie mij een duidelijke uitleg willen geven? Krijg je een boete of anders als je aan privacyschending hebt of nog doet? Is het nodig te straffen bij privacyschending?

    bij voorbaat dank

    1. Beste Pippi,

      De AVG regelt onder welke voorwaarden persoonsgegevens mogen worden verwerkt. Je hebt dus een geldige reden (uit de AVG) nodig om dit te mogen doen. Heb je deze niet, dan is er sprake van een schending van privacy.

      De toezichthouder (Autoriteit Persoonsgegevens) is bevoegd om boetes uit te delen aan organisaties die persoonsgegevens verwerken terwijl dit niet mag. Dit betekent dat het geen verplichting is om te straffen, maar dat zij dit wel mogen doen (en ook steeds actiever doen!). De hoogte van de boetes verschillen per categorie. De categorieën kunt u vinden in bovenstaande blog.

  8. Ik heb een negatieve Google review over een bedrijf geschreven na een een nare ervaring met dit bedrijf. De eigenaar zet in een reactie mijn volledige naam en adres, mag dit zomaar?

    1. Beste Linda,
      Organisaties hebben een reden nodig om uw persoonsgegevens te mogen verwerken. Kan de organisatie niet rechtvaardigen waarom ze uw naam en adresgegevens gepubliceerd hebben, dan handelt zij niet in lijn met de privacywet. Het eerste wat u kunt doen, is uw bezwaar kenbaar maken aan het betreffende bedrijf en hen verzoeken de gegevens te verwijderen. De organisatie zal daar in principe aan moeten voldoen, of goed kunnen motiveren waarom zij dit niet zou doen. Mocht u er samen niet uitkomen, dan kunt u een klacht indienen bij de Autoriteit Persoonsgegevens (AP): https://www.autoriteitpersoonsgegevens.nl/nl/zelf-doen/privacyrechten/klacht-indienen-bij-de-ap. De AP handelt klachten altijd af.

  9. Inmiddels “oud werkgever” heeft politiegegevens opgevraagd en verkregen, zonder info vooraf en zonder dit aangegeven te hebben. Mag dit zomaar? Geeft geen reden op waarom dit gedaan is. Wat te doen?

    1. Beste Debby,
      Voor politiegegevens gelden niet alleen de regels uit de Algemene Verordening Gegevensbescherming, maar op sommige verwerkingen van persoonsgegevens bij de politie is ook de Wet Politiegegevens van toepassing.
      Voor elke verwerking van persoonsgegevens is een passende grondslag nodig. Vraag is dus of de werkgever dat heeft. En in principe mag iemand anders niet zomaar gegevens van u opvragen, u heeft alleen zelf dat recht. Vaak moet ook worden aangetoond dat u daadwerkelijk de persoon bent van wie de gegevens worden ingezien. Nu uw werkgever toch gegevens heeft gekregen, is het verstandig hiervan melding te maken bij de politie en in overleg te gaan met de werkgever. Daarnaast kunt u uw recht van bezwaar uitoefenen. Uw oud werkgever zou dan de verwerking moeten staken, tenzij hij dwingende gerechtvaardigde gronden voor deze verwerking aanvoert.

  10. Ik heb een vraag.. Onlangs heeft mijn werkgever gevraagd wat voor medicatie ik gebruik. Niet wetende wat mijn rechten hierin zijn + bang zijnde mijn baan anders te verliezen heb ik aangegeven welke medicatie ik gebruik. Vervolgens heeft de werkgever (zonder dat ik daar schriftelijk toestemming voor heb gegeven) gebeld met begeleiding van de beschermde woonvorm waar ik verblijf om na te vragen welke medicatie ik gebruik. Vervolgens heeft begeleiding van de beschermde woonvorm zonder mijn toestemming doorgegeven welke medicatie ik gebruik. Vervolgens heeft mijn werkgever online opgezochte informatie over de medicatie die ik gebruik toegevoegd aan mijn personeelsdossier. Naar mijn mening is dit schending op schending op schending van de privacywet (of avg zoals dit nu dus heet). Klopt dit? En zo ja, wat voor actie kan ik hier tegen nemen?

    1. Beste John,
      Dat klopt, uw werkgever mag in het algemeen niet naar uw medische gegevens vragen. Alleen wanneer u zich ziek meldt mag de werkgever vragen naar praktische zaken rondom de ziekte (wanneer u weer op werk denkt de zijn, of lopende afspraken afgezegd moeten worden), maar nooit naar wat u precies onder de leden heeft en hoe dat komt. Vraagt uw werkgever hier toch naar, dan hoeft u geen antwoord te geven.

      Wanneer de werkgever uw medische gegevens toch heeft verkregen, zoals in dit geval, mogen deze niet in het personeelsdossier terecht komen. Alleen ziekteverzuim mag in het dossier geregistreerd worden. De gegevens over uw medicijngebruik mogen dus niet in het personeelsdossier staan. Wat kunt u hier aan doen? U heeft het recht om uw personeelsdossier in te zien en om de gegevens daarin te laten corrigeren, beperken of verwijderen. Mocht uw werkgever daar niet aan mee willen werken, dan kunt u een klacht indienen bij de ondernemingsraad van de organisatie waar u werkt (de klacht moet dan gaan over het beleid voor personeelsdossiers). Mocht dit ook niet werken, dan kunt u waarschijnlijk wel terecht bij uw vakbond of rechtsbijstandsverzekeraar. In het uiterste geval kunt u contact opnemen met een juridisch loket voor advies, een klacht indienen over uw werkgever bij de Autoriteit Persoonsgegevens en/of naar de rechter stappen.

      Overigens mag de werkgever wel van u vragen om uw medicijngebruik te melden aan de bedrijfsarts wanneer u medicijnen gebruikt die u na inname bijvoorbeeld duizelig maken of andere duidelijke bijwerkingen hebben. Dit omdat de bijwerkingen invloed kunnen hebben op de veiligheid op werk (wanneer u bijvoorbeeld gevraagd wordt een voertuig te besturen tijdens werkuren). Indien er een bedrijfsarts is zouden u en uw werkgever er wellicht op die manier samen uit kunnen komen.

  11. Een vraag voor u, die ik stel voor een vriend. Zijn leidinggevende heeft medische gegevens van de bedrijfsarts en psychiater toegevoegd in een WIA-aanvraag. De gehele aanvraag is per abuis naar een verkeerde persoon gestuurd, die dus alles in gelezen heeft. Het betreft gevoelige informatie.
    Dit dossier ligt waarschijnlijk ook voor anderen terbeschikkingstelling op het werk, zoals personeelszaken.
    De vraag, als ik hier werk van maak via AVG, krijg ik dan de schadevergoeding? Als de werkgever alleen een berisping krijgt, dan gaan wij er niet zoveel tijd in steken, omdat het zo langdurig is.

    1. Beste Dinette,

      Onze collega Dimmen heeft laatst een interessante blog geschreven over dit onderwerp! Er zou zeker een kans kunnen zijn dat schadevergoeding wordt toegekend in dit geval. Er is nog weinig bekend over hoe het recht op schadevergoeding toegepast gaat worden omdat er nog maar twee rechtszaken over zijn gevoerd (in Nederland en in Duitsland). Wat in ieder geval duidelijk is, is dat degene die schadevergoeding claimt goed moet beargumenteren dat hij (immateriële) schade heeft geleden. In deze zaak zou het dus belangrijk zijn om te benadrukken en te bewijzen dat het zeer gevoelige medische informatie betreft en door hoeveel onbevoegden de informatie is ingezien. Succes!

  12. Geachte, mijn firma heeft via een excel in een mail aan een 50-tal medewerkers en collega’s de lonen verspreid van alle medewerkers uit de firma, tot en met zelfs de CEO. Hoewel dit vermoedelijk een vergissing was, lijkt dit me een bijzonder zware overtreding. Mijn directe medewerkers, waar ik tot voor kort leiding aan gaf, hebben ook deze mail ontvangen en hebben dus ook volledig zicht op mijn verloning. Ik heb het incident intern confidentieel aan Human Resources gemeld, toch is er geen terugkoppeling gekomen.
    Bovenstaande heeft mijn carriere binnen het bedrijf enorm bemoeilijkt, daarom heb ik besloten het bedrijf te verlaten. Ik wil het hier echter niet bij laten, wat moet ik doen?

    1. Beste Karel,
      Als er per ongeluk onbedoelde toegang tot gegevens plaatsvindt kan er worden gesproken van een datalek. Een werkgever moet een dergelijk datalek melden bij de Autoriteit Persoonsgegevens (AP). Als een datalek een hoog risico vormt moet dit ook worden gemeld aan de betrokkenen. In dat geval had u hierover geïnformeerd moeten worden.

      U kunt eerst de organisatie op de hoogte stellen dat deze datalek wellicht gemeld moet worden aan de AP, mocht dit nog niet zijn gebeurd. Vervolgens kunt u bij de Autoriteit Persoonsgegevens een tip geven over een mogelijke privacyschending, of een klacht indienen over de verwerking van persoonsgegevens. Meer informatie hierover vindt u hier: https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/gebruik-uw-privacyrechten/klacht-melden-bij-de-ap

      U zou zelfs nog kunnen denken aan schadevergoeding. Iemand die in het geval van een datalek schade heeft opgelopen kan schadevergoeding ontvangen, bijvoorbeeld bij financiële verliezen, reputatieschade, of enig ander aanzienlijk economisch of maatschappelijk nadeel.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Uw persoonsgegevens gebruiken wij alleen voor het plaatsen en verwerken van uw reactie. Lees de privacyverklaring voor meer informatie