De maximale boetebedragen die kunnen worden uitgedeeld hebben in de hype rond de Algemene Verordening Gegevensbescherming (AVG) een grote rol gespeeld. De bedragen kan iedereen ondertussen wel opdreunen: voor de zwaarste overtredingen maximaal 20 miljoen euro of 4% van de wereldwijde omzet; voor minder zware vergrijpen 10 miljoen euro of 2% van de wereldwijde omzet. Deze maximumbedragen zeggen echter weinig over de sancties op ‘huis-tuin-en-keukenovertredingen’. Bovendien zoemen er, zoals vaker als het over de AVG gaat, nogal wat onjuistheden rond als het over boetes gaat. Een kleine greep uit de hardnekkige geruchten die om wat verduidelijking vragen.
De maximale boetebedragen zijn voor de meeste organisaties nooit te betalen. Toch hoeven bedrijven en andere instellingen niet direct te vrezen dat een AVG-boete onvermijdelijk een faillissement betekent. De Autoriteit Persoonsgegevens (AP) heeft regels gepubliceerd die zij hanteert om de hoogte van een boete te bepalen. In deze Boetebeleidsregels zijn diverse boetecategorieën met een vaste basisboete opgenomen voor het overtreden van de AVG (en andere privacywetten). De laagste boetecategorie gaat van 0 tot 200.000 euro, in de hoogste categorie kan de boete oplopen tot maximaal 1 miljoen euro.
De ernst van het geschonden wetsartikel bepaalt in welke categorie deze valt. Zo valt het voorkomen van belangenverstrengeling van de FG in categorie I en valt het verwerken van bijzondere persoonsgegevens, zoals medische gegevens, in de zwaarste categorie (IV). De basisboete kan binnen een vaste bandbreedte worden verhoogd of verlaagd aan de hand van een aantal factoren. Bijvoorbeeld de aard, de ernst en de duur van de overtreding, het aantal betrokkenen, de omvang van de schade, verwijtbaarheid en de financiële draagkracht van de overtreder kunnen ervoor zorgen dat een hogere of lagere boete als passend wordt gezien.
Wanneer de toepasselijke boetecategorie geen passende straf biedt kan de autoriteit buiten de vaste bandbreedte treden. Zo wordt bij herhaalde overtreding de boete in principe met 50% verhoogd. Pas als de bandbreedte helemaal geen passende bestraffing zou bieden kan de AP de miljoenenboetes uit de kast trekken. Voor zulke uitzonderlijke gevallen zou de boete tot 20 miljoen euro of 4% van de jaaromzet kunnen bedragen.
De uitschieters van astronomische boetes zijn doorgaans voor enorme gebruikers van persoonsgegevens die daar – min of meer bewust – op een onverantwoorde manier mee omgaan. Je denkt dan inderdaad snel aan de social media- en zoekmachinegiganten van deze wereld. Daar zit wat in: naar Facebook lopen bijvoorbeeld diverse onderzoeken naar ernstige privacy-schendingen. Google heeft van de Franse toezichthouder een boete van 50 miljoen euro gekregen. Hoewel Google zo’n bedrag in een paar uur verdient springen zulke bedragen natuurlijk in het oog. British Airways lijkt overigens het record van de hoogste boete te gaan verpulveren; daar valt binnenkort een boete van 205 miljoen euro (1,5% van de jaaromzet) op de deurmat voor een enorm datalek.
Toch zien we dat toezichthouders ook op de kleintjes letten. Van 2.000 euro voor een Belgische burgemeester die e-mailadressen van burgers gebruikte voor zijn campagne, tot 20.000 euro voor het opslaan van wachtwoorden in plain-text in Duitsland: ook de kleinere overtreders blijven niet buiten schot. En hoewel draagkracht een (beperkte) rol speelt kan een toezichthouder wel degelijk zorgen dat een privacyschending de overtreder duur komt te staan. Onder de AVG hoeft bovendien niet meer verplicht te worden gewaarschuwd voorafgaand aan een geldstraf.
Een boete is altijd een ongewenste kostenpost. Helaas blijft de schade in veel gevallen niet beperkt tot het eenmalig betalen van de boetefactuur. Voor veel organisaties is de bijkomende reputatieschade niet te verwaarlozen. Dit effect is nog groter als de toezichthouder de slechte intentie of grove overtreding benoemt in het boetebesluit en zo een partij als voorbeeld stelt. Burgers en kritische klanten, maar ook aandeelhouders kunnen gevolgen verbinden aan signalen van wanbeleid op privacygebied.
Onlangs zijn we er bovendien aan herinnerd dat ook schadevergoeding aan de betrokkene een mogelijke sanctie is onder de AVG. Hierbij hoeft het niet altijd om enorme bedragen te gaan. Er wordt echter voor de overtreder een gevaarlijk precedent neergezet waardoor mogelijk ook andere betrokkenen hun schade komen vorderen. De AVG maakt het expliciet mogelijk dat betrokkenen door een belangengroep, zoals in Nederland Bits of Freedom, worden vertegenwoordigd om gezamenlijk hun recht te halen. Het misbruiken van persoonsgegevens waar een grote groep personen bij betrokken is kan zo optellen tot een aanzienlijke schadepost die kan wedijveren met de huidige recordboetes. Facebook hangt naar verluid in Frankrijk zo’n massaclaim boven het hoofd in de Cambridge Analytica-affaire.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.