U bent hier

Onderneming & Fiscus
Privacy en AVG27. Meldplicht datalekken10.4 Boetes
Voor Onderneming & Fiscus

10.4 Boetes

Dit artikel is eerder verschenen als Themadossier HR Rendement
Publicatiedatum: april 2018

Een van de grote veranderingen waar uw organisatie vanaf 25 mei 2018 mee te maken krijgt, is dat de boetes onder de AVG een stuk hoger kunnen uitvallen. Ook nieuw is dat boetes nu zijn uitgesplitst in twee categorieën. Onveranderd: de AP is de instantie die de boetes uitdeelt.

Meer dan alleen datalekken

De boetemogelijkheden die de AP heeft, zijn een stuk breder dan alleen maar organisaties beboeten voor een al dan niet gemeld datalek. Ook voor andere overtredingen van de privacywetten kan uw organisatie een boete krijgen.

Opgelegde sancties

De AP moet ervoor zorgen dat de boetes die worden opgelegd in elke zaak:

  • doeltreffend;
  • evenredig, en;
  • afschrikwekkend zijn.

De AP bepaalt, afhankelijk van de omstandigheden, of er een boete wordt opgelegd. Een boete kan worden uitgedeeld naast andere maatregelen, of in plaats daarvan. Andere maatregelen zijn bijvoorbeeld een waarschuwing, een berisping of een verbod.

Hoogte bepalen

nalatig

Bij het besluit of de AP een boete oplegt en over de hoogte daarvan wordt voor elk concreet geval rekening gehouden met de volgende factoren:

  • de aard, de ernst en de duur van het datalek. Hierbij wordt ook rekening gehouden met het soort verwerking van persoonsgegevens. Denk daarbij aan de aard, de omvang en het doel. Ook het aantal getroffen personen en de omvang van de door hen geleden schade neemt de AP mee in de overwegingen;
  • de opzettelijke of nalatige aard van het datalek;
  • de maatregelen die de verantwoordelijke organisatie of de verwerker genomen heeft om de door betrokkenen geleden schade te beperken;
  • de mate waarin de verantwoordelijke of de verwerker schuldig is aan het datalek. Het gaat daarbij om de technische en organisatorische maatregelen die deze partijen hebben uitgevoerd. Hierbij wordt gekeken of de maatregelen in lijn zijn met artikelen 25 en 32 van de AVG;
  • eerdere datalekken bij de verantwoordelijke of de verwerker die relevant kunnen zijn;
  • de mate waarin er met de AP is samengewerkt om het datalek te verhelpen en de mogelijke negatieve gevolgen daarvan te beperken;
  • de categorieën van persoonsgegevens die bij het datalek bloot zijn komen te liggen;
  • de manier waarop de AP ter ore is gekomen dat er een datalek is ontstaan. Het gaat er dan vooral om of en in hoeverre de verantwoordelijke of de verwerker de inbreuk heeft gemeld;
  • de naleving van de in artikel 58, lid 2 genoemde maatregelen. Maar alleen voor zover de verwerkingsverantwoordelijke of de verwerker die maatregelen eerder heeft genomen in het kader van hetzelfde datalek;
  • het invoeren van goedgekeurde gedragscodes of het behalen van goedgekeurde certificeringen (zoals de ISO 27001 of EuroPriSe);
  • elke andere omstandigheid die kan leiden tot verzwarende of verzachtende factoren. U kunt hierbij denken aan gemaakte winst of vermeden verliezen, die al dan niet rechtstreeks uit het datalek voortvloeien.

Geen stapelboete bij dubbele fout

De AVG kent een verzachtende regel voor organisaties die dubbel in de fout gaan. Als een verantwoordelijke of een verwerker opzettelijk of uit nalatigheid een inbreuk pleegt op meerdere bepalingen van de AVG is de wet namelijk coulant.

vergrijp

Mocht uw organisatie met dezelfde of verwante verwerkingsactiviteiten de AVG op meerdere punten overtreden, dan mag de boete nooit hoger zijn dan die voor het zwaarste vergrijp.

Categorieën

De AVG maaktin tegenstelling tot de WBP onderscheid tussen twee boetecategorieën. De eerste categorie is van toepassing als er inbreuk wordt gemaakt op een van onderstaande AVG-artikelen:

  • Artikel 8 (toestemming van kinderen);
  • Artikel 11 (verwerkingen waarvoor de identiteit niet is vereist);
  • Artikelen 25 tot en met 39 (over onder andere beveiliging, afspraken met verwerkers en aanwijzing van de FG);
  • Artikel 42 (over certificering);
  • Artikel 43 (certificeringsorganen).

Basisbeginselen en toestemming

rechtmatigheid

doorspelen

Inbreuk op volgende artikelen kan een boete opleveren in categorie twee:

  • Artikel 5 (de basisbeginselen);
  • Artikel 6 (rechtmatigheid van de verwerking);
  • Artikel 7 (voorwaarden van toestemming);
  • Artikel 9 (verwerking van bijzondere categorieën van persoonsgegevens);
  • Artikel 12 tot en met 22 (de rechten van de betrokkenen);
  • Artikel 44 tot en met 49 (doorspelen van persoonsgegevens aan derde partijen);
  • alle verplichtingen uit hoofdstuk IX van het door de EU-lidstaten vastgesteld recht (over specifieke situaties bij verwerking van persoonsgegevens);
  • Artikel 58, lid 1 en 2 (niet-naleven van een bevel, verwerkingsbeperking en opschorten van gegevensstromen door de AP, of weigeren van toegang aan de AP).

Gevolgen inbreuk per categorie

boekjaar

Voor de eerste categorie kan de AP bij inbreuken boetes geven tot € 10 miljoen. Dit kan ook tot 2% van de totale wereldwijde jaaromzet in het voorgaande boekjaar zijn, als dit bedrag hoger is. Voor de tweede categorie kan de AP bij inbreuken boetes geven tot € 20 miljoen of tot 4% van de totale wereldwijde jaaromzet in het voorgaande boekjaar, als dit bedrag hoger is.

Wees een meewerkend voorwerp

U ziet, de boetes bij overtreding van de AVG zijn niet mals. Mocht uw organisatie met de meldplicht datalekken te maken krijgen, dan is het dus in ieder geval van belang om zo snel mogelijk de AP in te lichten en de instructies op te volgen. Daarmee verlaagt u de kans op een stevige boete.