Wat kunt u verwachten van het nieuwe boetebeleid van de Autoriteit Persoonsgegevens?

De bevoegdheden van de Autoriteit Persoonsgegevens (AP) zijn aanzienlijk uitgebreid sinds 1 januari 2016. Op deze datum is de ‘Wet meldplicht datalekken en uitbreiding bestuurlijke boetebevoegdheid CBP’ in werking getreden. Sinds 1 januari kan de AP daardoor boetes opleggen tot maximaal €820.000 dan wel 10% van de netto-omzet van (de rechtspersoon van) de overtreder. Om meer duidelijkheid te bieden over de hoogte van de boetes en de omstandigheden waaronder boetes kunnen worden opgelegd, heeft de AP boetebeleidsregels vastgesteld. We hebben de belangrijkste punten uit deze beleidsregels voor u onder elkaar gezet.

Drie boetemaxima met elk drie boetecategorieën

In de boetebeleidsregels, die op 15 januari jl. in het Staatsblad zijn gepubliceerd, worden drie boetemaxima onderscheiden, met een bovengrens van respectievelijk €820.000, €450.000 en €20.250. Vervolgens stelt de AP voor ieder van de boetemaxima een aantal categorieën van overtredingen vast waarbinnen een boetebandbreedte geldt. Bijvoorbeeld voor overtredingen waarvoor een wettelijk boetemaximum van € 820.0000 geldt wordt de volgende onderverdeling in boetebandbreedtes gemaakt: categorie I (tussen €0 en €200.000), categorie II (€120.000 en €500.000), en categorie III (tussen €350.000 en €820.000).

De boetebeleidsregels wijzen vervolgens één of meer categorieën toe aan overtreding van een afzonderlijk artikel en/of lid van de Wet bescherming persoonsgegevens, de Telecommunicatiewet en een aantal wettelijke bepalingen met betrekking tot het verwerken van politiegegevens, en justitiële en strafvorderlijke gegevens.

De hoogste boetes (categorie II en III voor overtredingen met een boetemaximum van €820.000) kunnen o.a. worden opgelegd voor overtredingen van:

  • de kernbeginselen van gegevensbescherming (waaronder legitieme grondslag, doelbinding en de beveiliging van gegevens),
  • het verbod tot het verwerken van bijzondere categorieën persoonsgegevens (d.w.z. gevoelige persoonsgegevens),
  • de regels omtrent profilering,
  • de meldplicht datalekken. Ga hier na of uw organisatie te maken heeft met een datalek die aan de AP en/of betrokkenen moet worden gemeld.

De basisboete en mogelijke verhoging of verlaging

Indien een overtreding is vastgesteld, bepaalt de AP eerst de ‘basisboete’ binnen een bandbreedte van de categorie waartoe de overtreding behoort. Dit basisboetebedrag kan vervolgens worden verhoogd of verlaagd binnen de limieten van deze bandbreedte van de categorie, waarbij rekening wordt gehouden met de ‘ernst van de overtreding’. De concrete factoren waarmee de AP rekening houdt bij de beoordeling van de ‘ernst van de overtreding’ zijn:

  • de aard en omvang van de overtreding,
  • de duur van de overtreding,
  • de impact van de overtreding op de (bescherming van persoonsgegevens en van de persoonlijke levenssfeer voor) betrokkenen en/of de maatschappij,
  • de mate waarinde overtreding aan de overtreder kan worden verweten, en
  • de omstandigheden waaronder de overtreding is gepleegd en de (financiële) omstandigheden waarin de overtreder verkeert.

De houding van de overtreder (tegenover de AP) heeft invloed op de hoogte van de boete.

Boetes kunnen worden verhoogd (met 50%) als de AP al eerder onherroepelijk eenzelfde of een vergelijkbare door de overtreder begane overtreding heeft vastgesteld (recidive), of als de overtreder het onderzoek van de AP heeft tegengewerkt of belemmert.

Daarentegen kan een boete worden verlaagd als overtreders:

  • verdergaande medewerking aan de AP verlenen dan waartoe zij wettelijk gehouden zijn;
  • overtreding op eigen initiatief beëindigen, hetzij vóór- of nadat de overtreder bekend is geworden met het onderzoek van de AP; of/en
  • uit eigen beweging de benadeelden schadeloos stellen.

De AP behoudt de bevoegdheid om af te wijken van de boetebandbreedte als een bepaalde overtreding geen passende bestraffing toelaat. De AP kan een boete opleggen van maximaal 10% van de jaarlijkse netto-omzet (van de rechtspersoon) van de overtreder als een boete van € 820.000 geen passende bestraffing zou zijn. Bovendien kan de AP meerdere boetes tegelijkertijd opleggen voor één onrechtmatige verwerking als er meerdere bepalingen zijn overtreden.

Beperkte bevoegdheid AP

Echter, de AP kan niet voor de schending van elke bepaling van de Wet bescherming persoonsgegevens boetes opleggen. Zo kan de AP geen boetes opleggen voor het feit dat een gegevensverwerking ten onrechte niet bij de AP is gemeld, of voor het ontbreken van een bewerkersovereenkomst. Het is nog onduidelijk of de AP in dergelijke gevallen niettemin boetes gaat opleggen, aangezien bijvoorbeeld het ontbreken van een bewerkersovereenkomst tegelijkertijd een schending van andere bepalingen van de Wet bescherming persoonsgegevens kan inhouden waar wel een boete op staat, zoals de schending van een of meer van de kernbeginselen van gegevensbescherming. De bevoegdheid van de AP om boetes op te leggen is beperkt doordat de AP in de meeste gevallen pas een boete kan opleggen nadat het eerst een ‘bindende aanwijzing’ heeft gegeven.

Hoe de AP dit instrument van de ‘bindende aanwijzing’ gaat toepassen in de praktijk of hoe dit instrument eruit zal zien, wordt niet verduidelijkt in de boetebeleidsregels. Feit is wel dat door deze ‘beperking’ de overtreders eerst de mogelijkheid moet worden geboden om deze aanwijzing binnen een door de AP gestelde termijn op te volgen, voordat een boete kan worden opgelegd. Alleen als de overtreding opzettelijk is gepleegd of het gevolg is van ernstig verwijtbare nalatigheid, kan de AP direct bestuurlijke boetes opleggen.

De praktijk zal uitwijzen of de AP op grote schaal gebruik zal maken van de bevoegdheid om bestraffende boetes op te leggen.

Een datalek! En nu?

Om te zorgen dat u weet wat u moet doen na de ontdekking van een datalek, heeft ons team Privacy de Datalek Quickscan ontwikkeld. Hiermee kunt u vrijblijvend nagaan of uw organisatie te maken heeft met een datalek en zo ja, of deze datalek aan de AP en/of betrokkenen gemeld moet worden.

Datalek Quickscan Privacy Kennedy Van der Laan

 
 
 

Comments are closed.