Nadat de Autoriteit Persoonsgegevens (AP) vorige week op de donderdagmiddag liet weten dat cookiewalls in strijd zijn met de Algemene Verordening Gegevensbescherming (AVG), heeft de toezichthouder deze donderdagmiddag haar boetebeleidsregels aangepast. Met deze subtiele hint herinnert de Autoriteit organisaties aan de torenhoge boetes die bij schending van de privacywet mogen worden opgelegd. De boetebeleidsregels geven inzicht in hoe de AP de hoogte van zo’n boete berekent. Wij praten u in deze blog bij over het nieuwe boetebeleid.
Boetes & de AVG
De Autoriteit mag een boete opleggen bij overtreding van de AVG en diens uitvoeringswet, maar ook bij overtreding van de Wet politiegegevens en de Wet justitiële en strafvorderlijke gegevens – de vaak vergeten justitiële broertjes van de AVG – en bij sommige overtredingen van de Telecommunicatiewet, de eIDAS-verordening en de Algemene wet bestuursrecht.
Op grond van de AVG mag de AP een boete ter hoogte van de welbekende maximale € 20.000.000 of 4% van de wereldwijde omzet opleggen aan een organisatie die een fundamentele verplichting schendt. Het hoogste bedrag telt natuurlijk. Denk hierbij aan de rechtsgeldige grondslag, zoals toestemming voor het plaatsen van cookies, doorgiften naar landen buiten Europa en rechten van betrokkenen. Ook het negeren van een bevel van de toezichthouder zal, op zijn zachtst gezegd, niet worden gewaardeerd. De boete voor het schenden van een administratieve verplichting laat de AVG lager uitvallen: maximaal € 10.000.000 of 2% van de wereldwijze omzet. Denk hierbij aan het verwerkingsregister, Data Protection Impact Assessments, het melden van datalekken en de aanstelling van een Functionaris Gegevensbescherming.
Boetebeleid van de AP
In de boetebeleidsregels heeft de AP vier verschillende categorieën met bijbehorende boetebandbreedtes geïntroduceerd op basis van de verschillende AVG-verplichtingen. Daarbij heeft de Autoriteit rekening gehouden met de zwaarte van de norm, het doel dat de norm dient en de belangen die deze beoogt te beschermen. Elke categorie heeft een ‘startbedrag’. De boete kan ook buiten de bandbreedte uitvallen, mochten de omstandigheden daar aanleiding toe geven.
Eerder gebruikte sanctiemiddelen
Op 25 mei 2018 heeft de European Data Protection Board (EDPB) al richtsnoeren gepubliceerd, waarin wordt toegelicht wanneer en hoe administratieve boetes zullen worden opgelegd, en wanneer juist een ander sanctiemiddel passender is. Denk daarbij aan een last onder dwangsom of een verwerkingsverbod. Beide middelen hebben we inmiddels al gebruikt zien worden. Het UWV heeft een last onder dwangsom opgelegd gekregen voor het niet naleven van de beveiligingsregels (zij het onder de oude Wet bescherming persoonsgegevens), en de Belastingdienst mag per 1 januari 2020 het BSN niet meer gebruiken in btw-nummers van zelfstandigen.
Elders in Europa beginnen de eerste bestuurlijke boetes ook binnen te druppelen. Een ziekenhuis in Lissabon heeft € 400.000 opgelegd gekregen voor het niet goed afschermen van medische gegevens en Uber is in meerdere lidstaten beboet voor het niet tijdig melden van een datalek. Google is tot nu toe koploper met een ontvangen boete van de Franse toezichthouder à € 50.000.000, voor het niet rechtsgeldig vragen van toestemming en schending van het transparantiebeginsel.
De boetebeleidsregels zullen overigens weer vervallen wanneer de EDPB overeenstemming heeft bereikt over een boetebeleid dat voor heel Europa zal gelden. Het is nog niet bekend wanneer dat gepubliceerd zal worden.
