Locatie Amsterdam
Jollemanshof 12
1019 GW Amsterdam
Telefoon
020 663 1941
E-mail
info@ictrecht.nl
KvK
34216164
BTW
NL8223.30.040.B01
Locatie Groningen
Leonard Springerlaan 35
9727 KB Groningen
Telefoon
050 209 34 99
E-mail
info@ictrecht.nl
KvK
68038712
BTW
NL857275835.B01
Locatie Brussel
Avenue Louise 65
1000 Brussel
Telefoon
+32 (0)2 535 77 55.
E-mail
info@legalict.com
Ondernemingsnummer
0696.909.465
BTW
BE 0696.909.465
Terug naar overzicht

De Autoriteit Persoonsgegevens vernieuwt boetebeleid

Juridisch Product

De privacy juristen van adviesbureau ICTRecht helpen uw organisatie bij het in lijn handelen met de nieuwe privacywetgeving. Van het uitvoeren van een privacy audit tot het opstellen van diverse privacydocumenten; onze privacy juristen staan voor u klaar.

Nadat de Autoriteit Persoonsgegevens (AP) vorige week op de donderdagmiddag liet weten dat cookiewalls in strijd zijn met de Algemene Verordening Gegevensbescherming (AVG), heeft de toezichthouder deze donderdagmiddag haar boetebeleidsregels aangepast. Met deze subtiele hint herinnert de Autoriteit organisaties aan de torenhoge boetes die bij schending van de privacywet mogen worden opgelegd. De boetebeleidsregels geven inzicht in hoe de AP de hoogte van zo’n boete berekent. Wij praten u in deze blog bij over het nieuwe boetebeleid.

Boetes & de AVG

De Autoriteit mag een boete opleggen bij overtreding van de AVG en diens uitvoeringswet, maar ook bij overtreding van de Wet politiegegevens en de Wet justitiële en strafvorderlijke gegevens – de vaak vergeten justitiële broertjes van de AVG – en bij sommige overtredingen van de Telecommunicatiewet, de eIDAS-verordening en de Algemene wet bestuursrecht.

Op grond van de AVG mag de AP een boete ter hoogte van de welbekende maximale € 20.000.000 of 4% van de wereldwijde omzet opleggen aan een organisatie die een fundamentele verplichting schendt. Het hoogste bedrag telt natuurlijk. Denk hierbij aan de rechtsgeldige grondslag, zoals toestemming voor het plaatsen van cookies, doorgiften naar landen buiten Europa en rechten van betrokkenen. Ook het negeren van een bevel van de toezichthouder zal, op zijn zachtst gezegd, niet worden gewaardeerd. De boete voor het schenden van een administratieve verplichting laat de AVG lager uitvallen: maximaal € 10.000.000 of 2% van de wereldwijze omzet. Denk hierbij aan het verwerkingsregister, Data Protection Impact Assessments, het melden van datalekken en de aanstelling van een Functionaris Gegevensbescherming.

Boetebeleid van de AP

In de boetebeleidsregels heeft de AP vier verschillende categorieën met bijbehorende boetebandbreedtes geïntroduceerd op basis van de verschillende AVG-verplichtingen. Daarbij heeft de Autoriteit rekening gehouden met de zwaarte van de norm, het doel dat de norm dient en de belangen die deze beoogt te beschermen. Elke categorie heeft een ‘startbedrag’. De boete kan ook buiten de bandbreedte uitvallen, mochten de omstandigheden daar aanleiding toe geven.

Eerder gebruikte sanctiemiddelen

Op 25 mei 2018 heeft de European Data Protection Board (EDPB) al richtsnoeren gepubliceerd, waarin wordt toegelicht wanneer en hoe administratieve boetes zullen worden opgelegd, en wanneer juist een ander sanctiemiddel passender is. Denk daarbij aan een last onder dwangsom of een verwerkingsverbod. Beide middelen hebben we inmiddels al gebruikt zien worden. Het UWV heeft een last onder dwangsom opgelegd gekregen voor het niet naleven van de beveiligingsregels (zij het onder de oude Wet bescherming persoonsgegevens), en de Belastingdienst mag per 1 januari 2020 het BSN niet meer gebruiken in btw-nummers van zelfstandigen.

Elders in Europa beginnen de eerste bestuurlijke boetes ook binnen te druppelen. Een ziekenhuis in Lissabon heeft € 400.000 opgelegd gekregen voor het niet goed afschermen van medische gegevens en Uber is in meerdere lidstaten beboet voor het niet tijdig melden van een datalek. Google is tot nu toe koploper met een ontvangen boete van de Franse toezichthouder à € 50.000.000, voor het niet rechtsgeldig vragen van toestemming en schending van het transparantiebeginsel.

De boetebeleidsregels zullen overigens weer vervallen wanneer de EDPB overeenstemming heeft bereikt over een boetebeleid dat voor heel Europa zal gelden. Het is nog niet bekend wanneer dat gepubliceerd zal worden.

Laura Monhemius

Juridisch adviseur

Laura Monhemius werkt als juridisch adviseur bij ICTRecht en is Certified Information Privacy Professional/Europe (CIPP/E). Bij ICTRecht maakt Laura onderdeel uit van het privacyteam. Binnen deze functie houdt zij zich bezig met het beantwoorden van uiteenlopende privacy- en telecommunicatievraagstukken. Daarbij is zij gespecialiseerd in de specifieke juridische uitdagingen op het gebied van privacy en zorg. Ook houdt zij nauwlettend de ontwikkelingen op het gebied van de aankomende ePrivacy Verordening bij.


Er zijn nog geen reacties.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Uw persoonsgegevens gebruiken wij alleen voor het plaatsen en verwerken van uw reactie. Lees de privacyverklaring voor meer informatie