De oplegging van boetes door de Autoriteit Persoonsgegevens

De Autoriteit Persoonsgegevens (AP), de instantie die toeziet op de naleving van de privacy in Nederland en die bevoegd is daarvoor ook (forse!) boetes uit te keren, heeft in februari 2019 beleidsregels over haar boetebevoegdheid gepubliceerd. Deze beleidsregels geven inzicht in de factoren, welke van belang kunnen zijn bij de oplegging van een boete door de AP.

Welke factoren bepalen de boete in het concrete geval?

Allereerst is van belang dat er onderscheid is tussen de volgende twee categorieën:

1. Categorie I: onder andere overtreding van basisbeginselen van verwerking en de rechten van betrokkenen
2. Categorie II: overtreding van meer administratieve verplichtingen van de verwerkingsverantwoordelijke of de verwerker.

Voor categorie I bedraagt de maximale boete 20 miljoen of 4 % van de wereldwijde omzet van de overtreder. Categorie II boetes bedragen maximaal 10 miljoen of 2% van de wereldwijde omzet van de overtreder.

Hoe komt de uiteindelijk opgelegde boete in een concreet geval tot stand?

Er gelden naast de hiervoor genoemde categorieën I en II diverse subcategorieën met daaraan gekoppelde basisboetes. De subcategorieën kun je hier Boetebeleidsregels (261 downloads ) vinden.

Daarnaast zijn er verschillende factoren die bepalen of een basisboete wordt verhoogd of verlaagd, afhankelijk van de bewuste factor.

De volgende factoren bepalen de uiteindelijke boete:

• de aard, de ernst en de duur van de inbreuk;
• of de inbreuk van opzettelijke of nalatige aard is;
• de maatregelen, die door de verantwoordelijke of verwerker zijn genomen om de schade van de betrokkenen te beperken;
• de mate van verantwoordelijkheid van de verantwoordelijke of de verwerker voor de technische en organisatorische maatregelen, die uitgevoerd zijn;
• eerdere inbreuken van de verantwoordelijke of verwerker, die relevant zijn;
• de mate waarin met de AP is samengewerkt om de inbreuk te verhelpen en de mogelijke negatieve gevolgen daarvan te beperken;
• de categorieën persoonsgegevens waarop de inbreuk betrekking heeft;
• heeft de verantwoordelijke of de verwerker de inbreuk zelf gemeld of heeft de AP op een andere wijze van de inbreuk kennis genomen;
• in hoeverre eerdere aanwijzingen van de AP bij eerdere inbreuken zijn opgepakt door de verantwoordelijke of de verwerker;
• in hoeverre is aangesloten bij goedgekeurde gedragscodes of certificeringsmechanismen;
• elke andere relevante factor (verzwarend of verzachtend) die met de inbreuk direct of indirect te maken heeft.

Een toelichting op de bovengenoemde factoren vind je hier: richtsnoer-wg-29.pdf (280 downloads ) .

Alhoewel in het boetebeleid rekening wordt gehouden met diverse factoren is het ten allen tijde beter om er voor te zorgen dat er geen reden is om überhaupt een boete te riskeren.

Twijfelt u over de te nemen maatregelen, doe dan de AVG-checklist blanco-vragenlijst-avg-01-06-2018.docx (272 downloads ) via de Raadgevers.

Voor alle andere privacyvraagstukken kunt u terecht bij onze AVG & IE specialist Shyreen Panday, die tevens inzetbaar is als externe Privacy Officer of FG.