Tien dingen die u niet wilt, maar wel moet weten over de Privacy-verordening: Deel 10: Handhaving en boetes

Tien dingen die u niet wilt, maar wel moet weten over de Privacy-verordening: Deel 10: Handhaving en boetes

Thema's: Privacy, Privacy compliance, Meldplicht datalekken, Privacy en werk, Privacy en overheid

25 mei 2018

Organisaties kregen tot 25 mei 2018 om de nieuwe regels van de Algemene Verordening Gegevensbescherming (AVG) te implementeren. Die dag is nu gekomen. Dit is het tiende en tevens het laatste deel van de reeks.

Deel 1 ging over het verplichte register van verwerkingsactiviteiten, deel 2 over doelbinding en grondslag en deel 3 over het al dan niet verplicht moeten aanstellen van een Functionaris voor de Gegevensbescherming. In deel 4 behandelen we het beveiligingsbeleid en in het vijfde deel de meldplicht datalekken. Over de afspraken met verwerkers schreven we in deel 6 en in het zevende deel over de privacyverklaring. Het laatste deel 8 ging in op de doorgifte van persoonsgegevens naar landen buiten de EU en deel 9 bespreekt de rechten van betrokkenen.

Handhaving onder de AVG

Leeft u de AVG niet na, dan kan de Autoriteit Persoonsgegevens (AP) handhaven. Zo kan zij kan een waarschuwing of een berisping geven, eisen dat de inbreukmakende verwerking wordt aangepast of de inbreukmakende verwerking zelfs verbieden.

 De AP kan ook boetes opleggen. De keuze of ze een boete oplegt hangt af van de omstandigheden van het geval. Daarbij spelen de volgende aspecten een rol: de ernst en duur van de inbreuk, of de inbreuk opzettelijk was of sprake was van nalatigheid, eventuele eerdere inbreuken, de mate waarin door de verwerkingsverantwoordelijke medewerking is verleend aan de AP en in hoeverre deze de schade voor betrokkenen heeft geprobeerd te beperken. Wilt u daar meer over weten, lees dan de boetebeleidsregels van de AP. In deze boetebeleidsregels zijn nog de boetebedragen uit de oude privacyregelgeving opgenomen, maar zij geven een goed beeld van waar de AP op let bij het opleggen van boetes.

De boetes

Als een boete wordt opgelegd, moet de AP ervoor zorgen dat deze boetes "doeltreffend, evenredig en afschrikkend" zijn. De AVG bevat een staffel voor de maximale hoogte van een boete. Voor onder meer de volgende inbreuken kan de AP een maximale boete van € 10.000.000,00 of tot 2% van de totale wereldwijde jaaromzet opleggen:

De AP kan een maximale boete van € 20.000.000,00 of tot 4% van de totale wereldwijde jaaromzet opleggen indien sprake is van een inbreuk op:

Wat is er anders?

De oude privacyregelgeving kende een mogelijkheid tot het opleggen van boetes. Hoe komt het dat bestuurders van organisaties nu ineens wakker liggen van de boetes onder de AVG? Dat komt doordat de AP onder de oude privacyregelgeving eerst een bindende aanwijzing moest geven, voordat tot het opleggen van een boete kon worden overgegaan. Dat werkte als volgt. De AP moest eerst aangeven dat er inbreuk werd gepleegd op de privacyregelgeving. Daarbij kreeg de verwerkingsverantwoordelijke een termijn om die inbreuk te herstellen en pas daarna kon de AP een boete opleggen. De AP heeft daar dan ook geen gebruik van gemaakt. Onder de AVG bestaat deze verplichting tot het geven van een bindende aanwijzing niet meer. De AP kan nu dus direct een boete opleggen!

Risico's verkleinen

Hoe kunt u nu het beste voorkomen dat u een boete krijgt van de AP? De AP kan een onderzoek instellen naar aanleiding van klachten van betrokkenen over hun persoonsgegevens. Wanneer u een klacht of verzoek krijgt van iemand, is het van groot belang om deze klacht goed af te handelen. Als iemand bijvoorbeeld om verwijdering van zijn foto op uw internetpagina vraagt, willig dit verzoek dan in. Zorg er ook voor dat u de betrokkenen door middel van de privacyverklaring goed en op begrijpelijke wijze informeert over hun rechten op grond van de privacyregelgeving. Met andere woorden: voorkom dat de betrokkene de neiging krijgt om een klacht bij de AP in te dienen.

Overigens heeft de AP aangegeven niet direct over te gaan tot handhaving van hoge boetes, met name ten aanzien van het MKB. Hierover zijn kamervragen gesteld. Wilt u daar meer over weten? Lees dan de blog van mijn collega Manouk Radstaak.

Nog niet klaar voor de AVG?

Als u nog niet helemaal bent voorbereid op de AVG, neem dan contact op met Liesbeth Woolschot.