Wat zijn de risico’s bij overtreding van de AVG? Boetes

avglogo.png
Redactie
Jan 23, 2018

Op 25 mei 2018 vervangt de Algemene Verordening Gegevensbescherming  (AVG) de huidige privacywetgeving. Het is belangrijk om goed op de  hoogte te zijn van de risico’s bij overtreding van de AVG. Wanneer de  AVG in het nieuws komt, wordt vaak gesproken over de hoge boetes die  opgelegd kunnen worden. Maar hoe zit dat nou precies? 

Wanneer mag er een geldboete opgelegd worden onder de AVG?

De toezichthouder (in Nederland: de Autoriteit Persoonsgegevens (AP))  mag uit eigen beweging optreden tegen de verwerkingsverantwoordelijke  van persoonsgegevens die de regels uit de AVG overtreedt.

De verwerkingsverantwoordelijke is de partij die het doel en de  middelen van de verwerking van de persoonsgegevens bepaalt, bijvoorbeeld  een bedrijf dat bepaalt dat de naam- en contactgegevens van het  personeel en de klanten geregistreerd moeten worden. De verwerker is de  partij die de persoonsgegevens verwerkt in opdracht van de  verwerkingsverantwoordelijke, bijvoorbeeld een externe  salarisadministrateur of een ICT-dienstverlener die een online  CRM-systeem levert en beheert om de klantgegevens in op te slaan en bij  te werken.

Het zal echter vaak voor komen dat actie wordt ondernomen naar  aanleiding van een klacht van een getroffen betrokkene. Denk aan  situaties waar een organisatie persoonsgegevens gebruikt voor een ander  doel dan waarvoor toestemming is gegeven, dat bijzondere  persoonsgegevens (zoals medische dossiers) zijn gelekt of dat een  verzoek tot verwijderen van de geregistreerde persoonsgegevens niet  wordt verwerkt. Nieuw is dat toezichthouders zeer hoge boetes mogen  opleggen bij dit soort overtredingen van de AVG, zowel aan de  verwerkingsverantwoordelijke als de verwerker.

De bevoegdheid van toezichthouders om administratieve geldboetes op  te leggen bij inbreuk op de AVG is bedoeld ter afschrikking. Onder  EU-recht moeten sancties namelijk doeltreffend, evenredig én  afschrikkend zijn. Dat van de op te leggen boetes een afschrikkende  werking uitgaat, is duidelijk als je kijkt naar de hoogte van de boetes:  maximaal € 20.000.000,- of 4% van de wereldwijde omzet.

Hoogte van de boetes onder de AVG

De AVG introduceert twee categorieën overtredingen: 1. overtredingen  die zien op fundamentele verplichtingen en 2. overtredingen die  voornamelijk zien op meer administratief georiënteerde verplichtingen.  Overtredingen van de eerste categorie kunnen worden bestraft met een  geldboete van maximaal € 20.000.000,- of 4% van de wereldwijde omzet.  Voor categorie 2-overtredingen is dit maximaal € 10.000.000,- of 2% van  de wereldwijde omzet. Als het percentage van de wereldwijde omzet hoger  is dan de genoemde maximale geldboete, dan geldt dat als maximum.  Hiervoor is gekozen om ook multinationals aan te sporen de AVG na te  leven.

Categorie 1-overtredingen

Wanneer een verwerkingsverantwoordelijke of verwerker een overtreding  begaat van de meer fundamentele verplichtingen uit de AVG dan kan deze  worden bestraft met een boete van de hoogste categorie. Te denken valt  aan schending van rechten van een betrokkene, zoals het recht van inzage, het recht op vergeten en het recht op dataportabiliteit. Ook overtreding van de volgende punten valt onder deze categorie:

  • Basisbeginselen van gegevensverwerking, waaronder de voorwaarden voor toestemming;
  • Doorgiften van persoonsgegevens aan een derde land (buitende Europese Economische Ruimte) en internationale organisaties;
  • Verplichtingen die volgen uit nationale wetgeving, zoals ten aanzien van de vrijheid van meningsuiting en verwerking van persoonsgegevens in het arbeidsrecht;
  • Niet-naleving van een bevel van de toezichthouder of een tijdelijke of definitieve verwerkingsbeperking of opschorting.

Categorie 2-overtredingen

De meeste andere overtredingen kunnen worden bestraft met een boete  van het ‘lagere’ tarief. Dit geldt onder andere voor het niet voldoen  aan de onderstaande onderwerpen die volgen uit de AVG:

  • Toestemming van een kind voor diensten van de informatiemaatschappij;
  • Privacy by design and default;
  • Aanstelling van de privacy officer/functionaris gegevensbescherming;
  • Melden van datalekken aan de AP en de betrokkene;
  • Privacy Impact Assessment;
  • Beveiligingsmaatregelen.

Overwegingen bij het opleggen van een geldboete

Uit de AVG volgt verder dat een toezichthouder zorgvuldig moet  afwegen of het opleggen van een geldboete passend (doeltreffend,  evenredig en afschrikkend) is voor de overtreding. Wanneer het gaat om  een kleine inbreuk kan ook gekozen worden voor een berisping in plaats  van meteen een geldboete. Toezichthouders mogen naar eigen inzicht hun  boetebeleid opstellen. De toezichthouder moet in zijn afweging (wel of  geen boete en de hoogte van boete) in ieder geval rekening te houden met  de volgende overwegingen:

  • De aard, de ernst en de duur van de inbreuk. Daarbij wordt gekeken  naar het aantal getroffen betrokkenen en de omvang van de door hen  geleden schade;
  • Of de verwerkingsverantwoordelijke of verwerker opzettelijk of nalatig handelde;
  • De maatregelen die zijn genomen om de schade te beperken;
  • Eerdere inbreuken door de verwerkingsverantwoordelijke of verwerker;
  • In hoeverre medewerking is verleend aan de toezichthouder om de inbreuk te verhelpen en de schade te beperken;
  • Welke categorie van persoonsgegevens het betreft;
  • Hoe de toezichthouder op de hoogte is geraakt van de inbreuk, met  name of de verwerkingsverantwoordelijke of verwerker zelf melding heeft  gedaan;
  • Naleving van een eerder opgelegde corrigerende maatregel;
  • Of de verwerkingsverantwoordelijke of verwerker aangesloten is bij goedgekeurde gedragscodes of certificeringsmechanismen;
  • Andere verzwarende of verzachtende factoren.

Welke maatstaf de AP zal hanteren bij het opleggen van geldboetes zal  moeten blijken. De verwachting is in ieder geval dat de AVG streng  gehandhaafd zal worden. Zorg er daarom voor dat u goed voorbereid bent!

Bron: https://ictrecht.nl

Similar Post