AVG-boeteregen: Wat kunnen we verwachten van de Autoriteit Persoonsgegevens?

Door september 26, 2017Privacy

Lees ons actuele artikel over de handhaving van de Autoriteit Persoonsgegevens (AP). Klik hier om dit artikel te lezen.

Regelmatig ontvangen wij, van Audittrail, vragen van organisaties over de Europese Algemene Verordening Gegevensbescherming (AVG). Zij vragen onder andere hoe groot de kans is op een boete en hoe de hoogte van een boete wordt bepaald op basis van de AVG. Hoewel het op dit moment lastig te voorspellen is hoe en of de Autoriteit Persoonsgegevens boetes zal gaan uitdelen, kunnen wij wel inhoudelijk iets meer vertellen over de huidige gang van zaken en het (boete)beleid van de Autoriteit Persoonsgegevens (AP).

Sinds 1 januari 2016 kan de Autoriteit Persoonsgegevens boetes uitdelen bij een overtreding op grond van de Wet bescherming persoonsgegevens (Wbp). De Wbp maakt plaats voor de Europese privacyverordening die op 25 mei 2018 van toepassing wordt. De Wbp komt dan dus te vervallen. Op grond van de AVG wordt de boetebevoegdheid van de AP verder uitgebreid. De boetes kunnen dan maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet bedragen. In vergelijking: onder de Wbp kan het bedrag oplopen tot maximaal €820.000. De extreem hoge boetebedragen onder de AVG zijn in het leven geroepen om grote multinationals tot gedragsverandering te bewegen. Deze wet biedt de mogelijkheid om de boetes aan te passen naar de grootte van het bedrijf. Het is daarmee ook de bedoeling om organisaties te laten afschrikken, zodat zij er alles aan zullen doen om compliant te worden.

AVG-boeteregen: Wat kunnen we verwachten van de Autoriteit Persoonsgegevens? | Audittrail

Bij het bepalen van de boete wordt met de volgende factoren rekening gehouden:

  • De ernst van de overtreding. De AP stemt de beoordeling van de ernst van de overtreding in het concrete geval af op:
    • De aard en omvang van de overtreding.
    • De duur van de overtreding.
    • De impact van de overtreding op (de bescherming van persoonsgegevens en van de persoonlijke levenssfeer voor) de betrokkenen en/of de maatschappij.
  • De mate waarin de overtreding aan de overtreder kan worden verweten. De AP kijkt of er sprake is van een opzettelijke overtreding of een ernstig verwijtbare nalatigheid.
  • De AP houdt zo nodig rekening met de omstandigheden waaronder de overtreding is gepleegd en de (financiële) omstandigheden waarin de overtreder verkeert.

Tot op heden is er door de AP nog geen enkele boete uitgedeeld. Wel zijn er door de AP enkele waarschuwingen gegeven en soms onder last van een dwangsom. Organisaties krijgen dan de gelegenheid om binnen een bepaalde periode de overtreding te beëindigen. Als ze daar geen gehoor aan geven gaat de Autoriteit Persoonsgegevens boetes uitdelen. Verder kan de AP bindende aanwijzingen geven. Aan het opleggen van een maatregel of boete gaat uiteraard een onderzoek aan vooraf. Een aanleiding voor een onderzoek komt in de meeste gevallen door een nieuwsbericht, klacht, tip of door een datalek dat wordt ontdekt. Vaak wordt de organisatie per brief benaderd door de AP of volgt er een gesprek. Vaak is een gesprek voldoende om de overtreding te beëindigen. Er volgt dan ook geen boete.

Voldoen aan de AVG?
Audittrail helpt! Dennis en Paul komen graag bij u langs om te sparren over wat uw organisatie nodig heeft om compliant te raken aan de Algemene Verordening Gegevensbescherming. Vraag hier aan of ze langskomen voor een kopje koffie met advies.

 

Bron: Autoriteit Persoonsgegevens, Beleidsregels

Plaats een reactie