Op 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) in werking getreden. De wet heeft veel stof doen opwaaien en menig ondernemer in paniek doen raken. Dat was niet omdat de wet nu zoveel nieuwe regelgeving opleverde. Het verschil met onze oude Wet bescherming persoonsgegevens (Wbp) was niet enorm groot. Nee, de reden waarom de wet zoveel in beweging brengt, was met name de torenhoge boetes die er kunnen worden uitgedeeld, namelijk tot € 20.000.000 of 4% van de omzet.
We zijn inmiddels ruim een jaar verder. Misschien interessant om eens te kijken naar de boetes die al zijn uitgedeeld en hoe die hebben uitgepakt. Daarnaast ga ik nog kort in op beleidsregels die de Autoriteit Persoonsgegevens (AP) inmiddels heeft opgesteld over hoe zij omgaat met het opleggen van boetes bij schending van de AVG.
Uitgedeelde boetes
Het aantal uitgedeelde boetes is nog niet zo erg hoog. Ik noem er een aantal.
- In Nederland heeft de AP Uber beboet. Deze taxibemiddelaar had te dealen met een datalek, waarbij de persoonsgegevens van 170.00 chauffeurs en klanten waren gelekt. In plaats van dit netjes binnen 72 uur te melden bij de AP, is Uber vooral druk geweest met het datalek onder het tapijt te schuiven. Daarvoor heeft zij zelfs zwijggeld betaald aan de personen die het lek hadden ontdekt. Uiteindelijk heeft Uber het datalek na ruim een jaar alsnog gemeld. Boete: € 600.000,-.
- Het Haga-ziekenhuis in Den Haag heeft een boete ter hoogte van € 460.000,- opgelegd gekregen omdat zij in de periode van 1 januari 2018 (dus nog onder de Wbp) tot heden niet hebben voldaan aan de vereiste van tweefactorautenticatie en het regelmatig beoordelen van logbestanden. Daarmee heeft zij onvoldoende passende beveiligingsmaatregelen genomen.
- Google heeft een boete van € 50.000.000 van de Franse Autoriteit gekregen in verband met hun veel te uitgebreide privacybeleid. De informatie in de privacyverklaring moet eenvoudig, duidelijk en transparant zijn en geen 500 pagina’s dik naslagwerk. Daarnaast verwierf Google op ongeldige wijze toestemming om persoonsgegevens te verwerken.
- In Oostenrijk is een boete opgelegd aan een MKB-bedrijf ter hoogte van € 4.800. De aanleiding was de camera die de ondernemer had geïnstalleerd aan zijn voorgevel en die een deel van de stoep voor de winkel (openbare weg) filmde. Boete: € 4.800,-.
Boetebeleid
Zoals gezegd heeft de AP inmiddels beleidsregels gepubliceerd voor het opleggen van boetes op het schenden van de AVG. Ik geef je een korte samenvatting.
De AP heeft de overtredingen van de AVG verdeeld in categorieën. Het niet nakomen van de beginselen (verwerking van persoonsgegevens op rechtmatige en transparante wijze, voor uitdrukkelijk bepaalde doelen, niet meer en niet langer dan noodzakelijk en goed beveiligd) en het niet voldoen aan de rechten van betrokkene (inzage, correctie e.d.) worden beschouwd als overtredingen van ernstige aard en vallen in de hoogste boetecategorieën. Het niet voldoen aan bijvoorbeeld de registerplicht of het niet melden van een datalek, valt in minder zware boetecategorieën.
Basisboetes en bandbreedtes
De AP hanteert de volgende basisboetes en bandbreedtes:
Categorie | Bandbreedte | Basisboete |
Categorie I | € 0 tot € 200.000 | € 100.000 |
Categorie II | € 120.000 tot € 500.000 | € 310.000 |
Categorie III | € 300.000 tot € 750.000 | € 525.000 |
Categorie IV | € 450.000 tot € 1.000.000 | € 725.000 |
Bij het opleggen van de boete houdt de AP rekening met een heel scala aantal factoren. Om een beeld te krijgen, noem ik er een paar:
- De aard, de ernst en de duur van de inbreuk;
- Of er sprake is van opzet of nalatigheid;
- De maatregelen die verwerkingsverantwoordelijke heeft genomen om de schade voor de betrokkenen zoveel mogelijk te beperken;
- Eerdere relevante inbreuken.
Afhankelijk van de omstandigheden van het geval, kan de AP een hogere of een lagere boete (ook buiten de bandbreedte) opleggen. In het geval van een herhaalde inbreuk wordt de boete verhoogd met 50%. Vooralsnog lijkt de AP niet direct gebruik te willen maken van de wettelijke maxima van 10 of 20 miljoen (of 2% of 4% van de omzet).
Tot slot, naast het opleggen van boetes heeft de AP natuurlijk ook de mogelijkheid tot het opleggen van een last onder dwangsom. Deze maatregel heeft de AP al opgelegd aan het UWV en de Nationale Politie. Het lijkt erop dat de AP veel gebruik zal maken van deze mogelijkheid om organisaties te dwingen tot het naleven van de AVG.
De voorzichtige conclusie is dat de dreiging van een boete van €20.000.000 niet zo groot is, maar desalniettemin kunnen de sancties van de AP een organisatie toch flink raken.