Short Reads

Nieuw boetebeleid van de Autoriteit Persoonsgegevens

Nieuw boetebeleid van de Autoriteit Persoonsgegevens

Nieuw boetebeleid van de Autoriteit Persoonsgegevens

21.06.2019 NL law

Op 14 maart 2019 zijn de nieuwe Boetebeleidsregels Autoriteit Persoonsgegevens 2019 ("Boetebeleidsregels") van de Autoriteit Persoonsgegevens ("AP") gepubliceerd. Dit boetebeleid heeft de AP opgesteld vanwege de inwerkingtreding van de Algemene verordening gegevensverwerking ("AVG") en omdat er op Europees niveau nog geen boeterichtsnoeren zijn opgesteld.

In dit beleid werkt de AP uit hoe zij de boetehoogte voor overtreding van onder meer de AVG, de Wet politiegegevens, de Wet justitiële en strafvorderlijke gegevens en de Telecommunicatiewet bepaalt. In dit blogbericht bespreken wij dit beleid op hoofdlijnen.

AP past boetebeleid aan

De Boetebeleidsregels zien op boetes die de AP kan opleggen voor overtreding van voorschriften van de AVG, de Uitvoeringswet AVG, de Algemene wet bestuursrecht, de Telecommunicatiewet, de Wet politiegegevens, de Wet justitiële en strafvorderlijke gegevens en de elDAS-verordening (Verordening EU nr. 910/2014). Met de Boetebeleidsregels past de AP haar oude boetebeleid aan dat op 14 maart 2019 is ingetrokken. Dit nieuwe beleid, voor zoverre het ziet op overtredingen van de (U)AVG,  is volgens de AP van tijdelijke aard en geldt totdat op Europees niveau richtsnoeren voor het vaststellen van de hoogte van boetes door de Europese toezichthouders zijn vastgesteld. Die richtsnoeren moeten ervoor gaan zorgen dat de hoogte van boetes voor de naleving van de privacywetgeving in de gehele Europese Unie wordt geharmoniseerd.

De bepaling van de hoogte van de boete: algemene systematiek

De Boetebeleidsregels maken allereerst onderscheid in de verschillende wettelijke boetemaxima die op grond van de hiervoor genoemde wetgeving kan worden opgelegd. Vervolgens heeft de AP binnen het desbetreffende boetemaximum een categorie-indeling, boetebandbreedtes en de daarbij behorende basisboetebedragen vastgesteld. In de bijlage bij de Boetebeleidsregels staat welke overtreding onder welke categorie valt. Onderstaand voorbeeld verduidelijkt dit voor overtredingen van de AVG. Daaruit blijkt dat de zwaarste boete voor de niet-naleving van de AVG de vierde categorie is. Daarvoor geldt een boetebandbreedte tussen € 450.000 en € 1.000.000, waarbij van een basisboetebedrag van € 725.000 wordt uitgegaan:

Boetebandbreedtes

De hoogte van de boete in een concrete zaak wordt bepaald aan de hand van de basisboete die eventueel naar boven of naar beneden wordt bijgesteld afhankelijk van bepaalde factoren (artikel 7). Enkele voorbeelden van dergelijke factoren zijn de aard en ernst van de inbreuk, de mate van samenwerking met de toezichthouder, opzet, en de maatregelen die zijn genomen door om de schade van de betrokkene te beperken. Ook kan draagkracht een rol (artikel 9) spelen. De bijstelling naar boven leidt in beginsel tot ten hoogste het maximum van de bandbreedte van de desbetreffende categorie. Dat betekent voor het hiervoor genoemde voorbeeld dat de AP voor overtreding van de bepalingen in de AVG in beginsel maximaal een boete van 1 miljoen euro zal opleggen.

Uitzonderingen: hogere boetes mogelijk

Bedacht moet wel worden dat de hiervoor besproken systematiek niet in alle gevallen tot een passende boetehoogte zal leiden. Daarom heeft de AP uitzonderingen gecreëerd in de Beleidsregels die ertoe kunnen leiden dat niet alleen lagere boetes, maar juist ook hogere boetes kunnen worden opgelegd (artikel 8). Dat geldt in de eerste plaats als sprake is van recidive, dan kan de boete met 50% worden verhoogd. In de tweede plaats geldt dat indien de boetebandbreedte en het daaraan gekoppelde basisboetebedrag in kwestie geen passende bestraffing toelaten voor overtreding van de AVG deze kunnen worden losgelaten en zelfs de maximumboetes die in de AVG zijn bepaald (10 of 20 miljoen euro of een percentage van de totale wereldwijde jaaromzet afhankeijk van de de overtreding) kunnen worden opgelegd. Daarmee wil de AP naar ons idee in lijn blijven met de zeer hoge boetes die de Europese wetgever heeft voorgeschreven voor privacyschendingen in de AVG.

Conclusie

Het nieuwe boetebeleid van de AP brengt geen grote verrassingen met zich. In dit beleid houdt de AP bij het bepalen van de hoogte van de boete rekening met een groot aantal factoren, zoals de aard, ernst en duur van de inbreuk, opzet, getroffen maatregelen en draagkracht. Daarmee loopt dit beleid in de pas met het boetebeleid van andere toezichthouders zoals de AFM en de ACM. We moeten nog zien of de AP van dit beleid gebruik zal gaan maken voor overtredingen van de (U)AVG. Zodra er richtsnoeren op Europees niveau worden vastgesteld (nog niet duidelijk is wanneer die gereed zullen zijn) met betrekking tot de bepaling van de hoogte van boetes voor schending van de AVG, zal het nieuwe beleid komen te vervallen.

Het bericht ‘Nieuw boetebeleid van de Autoriteit Persoonsgegevens’ is een bericht van Stibbeblog.nl.

Team

Related news

19.07.2021 BE law
One year of Schrems II: a state of affairs for international data transfers

Articles - International data transfers have been the subject of intense debates ever since the Court of Justice issued its landmark judgement of Schrems I, on 6 October 2015. The intensity of the debate was further reinforced since the Schrems II decision one year ago, on 16 July 2020. The decision annulled the U.S. Privacy Shield and severely tightened the rules on the use of standard contractual clauses (“SCCs”).

Read more

18.06.2021 NL law
FAQ: Wat houdt het Wetsvoorstel elektronische gegevensuitwisseling in de zorg (Wegiz) in en wat is de verhouding tot de AVG?

Short Reads - (Digitale) gegevensuitwisseling in de zorg is een actueel thema. Illustratief is een item bij EenVandaag van april 2021 waarin de analoge werkwijze bij gegevensuitwisseling in de zorg wordt aangekaart, maar ook dit artikel in het NRC van afgelopen maand waarin verslag werd gedaan van een datalek waardoor duizenden gevoelige patiëntgegevens op straat kwamen te liggen. 

Read more

22.07.2021 NL law
Towards a European legal framework for the development and use of Artificial Intelligence

Short Reads - Back in 2014, Stephen Hawking said, “The development of full artificial intelligence could spell the end of the human race.” Although the use of artificial intelligence is nothing new and dates back to Alan Turing (the godfather of computational theory), prominent researchers – along with Stephen Hawking – have expressed their concerns about the unregulated use of AI systems and their impact on society as we know it.

Read more