• Home |
  • Kennis |
  • Tien dingen die je moet weten over de Privacy-verordening: handhaving en boetes

Tien dingen die je moet weten over de Privacy-verordening: handhaving en boetes

Privacy-verordening

Organisaties kregen tot 25 mei 2018 om de nieuwe regels van de Algemene Verordening Gegevensbescherming (AVG) te implementeren. Die dag is nu gekomen. Dit is het tiende en tevens het laatste deel van de reeks.

Handhaving onder de AVG

Leef je de AVG niet na, dan kan de Autoriteit Persoonsgegevens (AP) handhaven. Zo kan zij kan een waarschuwing of een berisping geven, eisen dat de inbreukmakende verwerking wordt aangepast of de inbreukmakende verwerking zelfs verbieden.

De AP kan ook boetes opleggen. De keuze of ze een boete oplegt hangt af van de omstandigheden van het geval. Daarbij spelen de volgende aspecten een rol: de ernst en duur van de inbreuk, of de inbreuk opzettelijk was of sprake was van nalatigheid, eventuele eerdere inbreuken, de mate waarin door de verwerkingsverantwoordelijke medewerking is verleend aan de AP en in hoeverre deze de schade voor betrokkenen heeft geprobeerd te beperken. Wil je daar meer over weten, lees dan de boetebeleidsregels van de AP. In deze boetebeleidsregels zijn nog de boetebedragen uit de oude privacyregelgeving opgenomen, maar zij geven een goed beeld van waar de AP op let bij het opleggen van boetes.

De boetes

Als een boete wordt opgelegd, moet de AP ervoor zorgen dat deze boetes “doeltreffend, evenredig en afschrikkend” zijn. De AVG bevat een staffel voor de maximale hoogte van een boete. Voor onder meer de volgende inbreuken kan de AP een maximale boete van € 10.000.000,00 of tot 2% van de totale wereldwijde jaaromzet opleggen:

  • Ontbreken van afspraken met verwerkers en andere samenwerkingspartners
  • Het niet melden van een datalek
  • Het niet uitvoeren van een vereiste gegevenseffectenbeoordeling (DPIA)
  • Onvoldoende beveiligingsmaatregelen
  • Ontbreken van een verwerkingsregister

De AP kan een maximale boete van € 20.000.000,00 of tot 4% van de totale wereldwijde jaaromzet opleggen indien sprake is van een inbreuk op:

  • De basisbeginselen van privacy
  • De rechten van betrokkenen
  • Doorgifte buiten de EER

Wat is er anders?

De oude privacyregelgeving kende een mogelijkheid tot het opleggen van boetes. Hoe komt het dat bestuurders van organisaties nu ineens wakker liggen van de boetes onder de AVG? Dat komt doordat de AP onder de oude privacyregelgeving eerst een bindende aanwijzing moest geven, voordat tot het opleggen van een boete kon worden overgegaan. Dat werkte als volgt. De AP moest eerst aangeven dat er inbreuk werd gepleegd op de privacyregelgeving. Daarbij kreeg de verwerkingsverantwoordelijke een termijn om die inbreuk te herstellen en pas daarna kon de AP een boete opleggen. De AP heeft daar dan ook geen gebruik van gemaakt. Onder de AVG bestaat deze verplichting tot het geven van een bindende aanwijzing niet meer. De AP kan nu dus direct een boete opleggen!

Risico’s verkleinen

Hoe kun je nu het beste voorkomen dat je een boete krijgt van de AP? De AP kan een onderzoek instellen naar aanleiding van klachten van betrokkenen over hun persoonsgegevens. Wanneer je een klacht of verzoek krijgt van iemand, is het van groot belang om deze klacht goed af te handelen. Als iemand bijvoorbeeld om verwijdering van zijn foto op jouw internetpagina vraagt, willig dit verzoek dan in. Zorg er ook voor dat je de betrokkenen door middel van de privacyverklaring goed en op begrijpelijke wijze informeert over hun rechten op grond van de privacyregelgeving. Met andere woorden: voorkom dat de betrokkene de neiging krijgt om een klacht bij de AP in te dienen.

Overigens heeft de AP aangegeven niet direct over te gaan tot handhaving van hoge boetes, met name ten aanzien van het MKB. Hierover zijn kamervragen gesteld.

Nog niet klaar voor de AVG?

Als je nog niet helemaal bent voorbereid op de AVG, neem dan contact op met een van onze experts op het gebied van Privacy & IT.