Home / Nieuws & Blogs / Wat zijn de risico’s bij overtreding van de AVG? Deel 1: boetes

Wat zijn de risico’s bij overtreding van de AVG? Deel 1: boetes

| 25 september 2017

Op 25 mei 2018 vervangt de Algemene Verordening Gegevensbescherming (AVG) de huidige privacywetgeving. Het is belangrijk om goed op de hoogte te zijn van de risico’s bij overtreding van de AVG. Wanneer de AVG in het nieuws komt, wordt vaak gesproken over de hoge boetes die opgelegd kunnen worden. Maar hoe zit dat nou precies (deel 1)? En welke stappen kan een betrokkene zelf zetten bij overtreding van de nieuwe privacywet AVG (deel 2)?

Wanneer mag er een geldboete opgelegd worden onder de AVG?

De toezichthouder (in Nederland: de Autoriteit Persoonsgegevens (AP)) mag uit eigen beweging optreden tegen de verwerkingsverantwoordelijke van persoonsgegevens die de regels uit de AVG overtreedt.

De verwerkingsverantwoordelijke is de partij die het doel en de middelen van de verwerking van de persoonsgegevens bepaalt, bijvoorbeeld een bedrijf dat bepaalt dat de naam- en contactgegevens van het personeel en de klanten geregistreerd moeten worden. De verwerker is de partij die de persoonsgegevens verwerkt in opdracht van de verwerkingsverantwoordelijke, bijvoorbeeld een externe salarisadministrateur of een ICT-dienstverlener die een online CRM-systeem levert en beheert om de klantgegevens in op te slaan en bij te werken.

Het zal echter vaak voor komen dat actie wordt ondernomen naar aanleiding van een klacht van een getroffen betrokkene. Denk aan situaties waar een organisatie persoonsgegevens gebruikt voor een ander doel dan waarvoor toestemming is gegeven, dat bijzondere persoonsgegevens (zoals medische dossiers) zijn gelekt of dat een verzoek tot verwijderen van de geregistreerde persoonsgegevens niet wordt verwerkt. Nieuw is dat toezichthouders zeer hoge boetes mogen opleggen bij dit soort overtredingen van de AVG, zowel aan de verwerkingsverantwoordelijke als de verwerker.

De bevoegdheid van toezichthouders om administratieve geldboetes op te leggen bij inbreuk op de AVG is bedoeld ter afschrikking. Onder EU-recht moeten sancties namelijk doeltreffend, evenredig én afschrikkend zijn. Dat van de op te leggen boetes een afschrikkende werking uitgaat, is duidelijk als je kijkt naar de hoogte van de boetes: maximaal € 20.000.000,- of 4% van de wereldwijde omzet.

Hoogte van de boetes onder de AVG

De AVG introduceert twee categorieën overtredingen: 1. overtredingen die zien op fundamentele verplichtingen en 2. overtredingen die voornamelijk zien op meer administratief georiënteerde verplichtingen. Overtredingen van de eerste categorie kunnen worden bestraft met een geldboete van maximaal € 20.000.000,- of 4% van de wereldwijde omzet. Voor categorie 2-overtredingen is dit maximaal € 10.000.000,- of 2% van de wereldwijde omzet. Als het percentage van de wereldwijde omzet hoger is dan de genoemde maximale geldboete, dan geldt dat als maximum. Hiervoor is gekozen om ook multinationals aan te sporen de AVG na te leven.

Categorie 1-overtredingen

Wanneer een verwerkingsverantwoordelijke of verwerker een overtreding begaat van de meer fundamentele verplichtingen uit de AVG dan kan deze worden bestraft met een boete van de hoogste categorie. Te denken valt aan schending van rechten van een betrokkene, zoals het recht van inzage, het recht op gegevenswissing en het recht op dataportabiliteit. Ook overtreding van de volgende punten valt onder deze categorie:

  • Basisbeginselen van gegevensverwerking, waaronder de voorwaarden voor toestemming;
  • Doorgiften van persoonsgegevens aan een derde land (buitende Europese Economische Ruimte) en internationale organisaties;
  • Verplichtingen die volgen uit nationale wetgeving, zoals ten aanzien van de vrijheid van meningsuiting en verwerking van persoonsgegevens in het arbeidsrecht;
  • Niet-naleving van een bevel van de toezichthouder of een tijdelijke of definitieve verwerkingsbeperking of opschorting.

Categorie 2-overtredingen

De meeste andere overtredingen kunnen worden bestraft met een boete van het ‘lagere’ tarief. Dit geldt onder andere voor het niet voldoen aan de onderstaande onderwerpen die volgen uit de AVG:

Overwegingen bij het opleggen van een geldboete

Uit de AVG volgt verder dat een toezichthouder zorgvuldig moet afwegen of het opleggen van een geldboete passend (doeltreffend, evenredig en afschrikkend) is voor de overtreding. Wanneer het gaat om een kleine inbreuk kan ook gekozen worden voor een berisping in plaats van meteen een geldboete. Toezichthouders mogen naar eigen inzicht hun boetebeleid opstellen. De toezichthouder moet in zijn afweging (wel of geen boete en de hoogte van boete) in ieder geval rekening te houden met de volgende overwegingen:

  • De aard, de ernst en de duur van de inbreuk. Daarbij wordt gekeken naar het aantal getroffen betrokkenen en de omvang van de door hen geleden schade;
  • Of de verwerkingsverantwoordelijke of verwerker opzettelijk of nalatig handelde;
  • De maatregelen die zijn genomen om de schade te beperken;
  • Eerdere inbreuken door de verwerkingsverantwoordelijke of verwerker;
  • In hoeverre medewerking is verleend aan de toezichthouder om de inbreuk te verhelpen en de schade te beperken;
  • Welke categorie van persoonsgegevens het betreft;
  • Hoe de toezichthouder op de hoogte is geraakt van de inbreuk, met name of de verwerkingsverantwoordelijke of verwerker zelf melding heeft gedaan;
  • Naleving van een eerder opgelegde corrigerende maatregel;
  • Of de verwerkingsverantwoordelijke of verwerker aangesloten is bij goedgekeurde gedragscodes of certificeringsmechanismen;
  • Andere verzwarende of verzachtende factoren.

Welke maatstaf de AP zal hanteren bij het opleggen van geldboetes zal moeten blijken. De verwachting is in ieder geval dat de AVG streng gehandhaafd zal worden. Zorg er daarom voor dat je goed voorbereid bent!

Wil je goed voorbereid zijn op de komst van de AVG en een boete voorkomen?

ICTRecht Academy verzorgt een basis– en verdiepingscursus privacywetgeving waarmee je gedegen privacykennis opbouwt en jouw organisatie kunt adviseren (als bijv. functionaris gegevensbescherming) en voorbereiden op de nieuwe privacywet. Voor deze cursussen is geen juridische voorkennis nodig. Volg je beide cursussen dan krijg je het handboek AVG gratis. Heb je een juridische achtergrond dan vind je hier onze privacytrainingen. Heb je privacyadvies of privacydocumenten nodig? Wij staan voor je klaar!

FG DPO opleiding