U bent hier

7.4 Boetes en berispingen

Dit artikel is eerder verschenen als Themadossier HR Rendement
Publicatiedatum: juni 2020

andere maatregelen

De AP is de instantie die de boetes uitdeelt rondom datalekken en die bepaalt – afhankelijk van de omstandigheden – of dat ook daadwerkelijk gebeurt. De AP kan namelijk een boete geven naast andere maatregelen – zoals een waarschuwing, een berisping of een verbod – of in plaats daarvan. De AP moet ervoor zorgen dat de opgelegde boetes in elke zaak doeltreffend, evenredig en afschrikwekkend zijn. Door bij een datalek aan uw verplichtingen te voldoen en de instructies op te volgen, verkleint u de kans op een stevige boete.

onderscheid

De boetemogelijkheden van de AP zijn een stuk breder dan slechts voor een al dan niet gemeld datalek. Uw organisatie kan ook voor andere overtredingen van de AVG-regels een boete krijgen.

Categorieën

afspraken met verwerkers

toestemming

derde partijen

De AVG maakt onderscheid tussen twee boetecategorieën:

  • De eerste categorie is van toepassing als er inbreuk wordt gemaakt op één van de volgende AVG-artikelen:
    • artikel 8 (toestemming van kinderen);
    • artikel 11 (verwerkingen waarvoor de identiteit niet is vereist);
    • artikelen 25 tot en met 39 (over onder andere beveiliging, afspraken met verwerkers en aanwijzing van de functionaris voor de gegevensbescherming);
    • artikel 42 (over certificering);
    • artikel 43 (certificeringsorganen).
  • De tweede categorie is van toepassing als er inbreuk wordt gemaakt op één van de volgende AVG-artikelen:
    • artikel 5 (de basisbeginselen);
    • artikel 6 (rechtmatigheid van de verwerking);
    • artikel 7 (voorwaarden van toestemming);
    • artikel 9 (verwerking van bijzondere categorieën van persoonsgegevens);
    • artikel 12 tot en met 22 (de rechten van betrokkenen);
    • artikel 44 tot en met 49 (doorspelen van persoonsgegevens aan derde partijen);
    • alle verplichtingen uit hoofdstuk IX van het door de EU-lidstaten vastgesteld recht (over specifieke situaties bij verwerking van persoonsgegevens);
    • artikel 58, lid 1 en 2 (niet naleven van een bevel, verwerkingsbeperking en opschorten van gegevensstromen door de AP, of weigeren van toegang aan de AP).

Verschillende boetes

Voor de eerste categorie kan de AP bij overtredingen boetes geven tot € 10 miljoen. Dit kan ook tot 2% van de totale wereldwijde jaaromzet in het voorgaande boekjaar zijn, als dit bedrag hoger is. Voor de tweede categorie kan de AP bij overtredingen boetes geven tot € 20 miljoen of tot 4% van de totale wereldwijde jaaromzet in het voorgaande boekjaar, als dit bedrag hoger is.

Factoren

aard, ernst en duur datalek

schuldig

eerdere datalekken

naleving maatregelen

verzachtende regel

De AP houdt bij een besluit of een boete die wordt opgelegd en over de hoogte ervan voor elk concreet geval van een datalek rekening met de volgende factoren:

  • De aard, ernst en duur van het datalek. Hierbij speelt ook de soort verwerking van persoonsgegevens een rol. Denk daarbij aan de aard, de omvang en het doel. Ook het aantal getroffen personen en de omvang van de door hen geleden schade neemt de AP mee in de overwegingen.
  • De opzettelijke of nalatige aard van het datalek;
  • De maatregelen die de verantwoordelijke organisatie of de verwerker genomen heeft om de door betrokkenen geleden schade te beperken;
  • De mate waarin de verantwoordelijke of de verwerker schuldig is aan het datalek. Het gaat daarbij om de technische en organisatorische maatregelen die deze partijen hebben uitgevoerd. Hierbij wordt gekeken of de maatregelen in lijn zijn met artikelen 25 en 32 van de AVG.
  • Eerdere datalekken bij de verantwoordelijke of de verwerker die relevant kunnen zijn.
  • De mate waarin er met de AP is samengewerkt om het datalek te verhelpen en de mogelijke negatieve gevolgen daarvan te beperken.
  • De categorieën van persoonsgegevens die bij het datalek bloot zijn komen te liggen.
  • De manier waarop de AP ter ore is gekomen dat er een datalek is ontstaan. Het gaat er dan vooral om of en in hoeverre de verantwoordelijke of de verwerker de inbreuk heeft gemeld.
  • De naleving van de in artikel 58, lid 2 genoemde maatregelen, maar alleen voor zover de verwerkingsverantwoordelijke of de verwerker die maatregelen eerder heeft genomen in het kader van hetzelfde datalek.
  • Het invoeren van goedgekeurde gedragscodes of het behalen van goedgekeurde certificeringen (zoals de ISO 27001 of EuroPriSe).
  • Elke andere omstandigheid die kan leiden tot verzwarende of verzachtende factoren. U kunt hierbij denken aan gemaakte winst of vermeden verliezen, die al dan niet rechtstreeks uit het datalek voortvloeien.

Dubbel

De AVG kent een verzachtende regel voor organisaties die dubbel in de fout gaan. Als een verantwoordelijke of verwerker opzettelijk of uit nalatigheid een inbreuk pleegt op meerdere bepalingen van de AVG, is de wet namelijk coulant.

Overtreedt uw organisatie met dezelfde of verwante verwerkingsactiviteiten de AVG op meerdere punten, dan mag de boete nooit hoger zijn dan die voor het zwaarste vergrijp.