Wat verandert er in de privacyverordening op het gebied van sancties?
Sinds de Algemene Verordening Gegevensbescherming (AVG) is aangekondigd, wordt er gesproken over de hoge boetes die worden gesteld op de overtreding van de hierin opgenomen regels. Een belangrijk onderwerp waar organisaties van op de hoogte moeten zijn. Maar wat verandert er nou precies op het gebied van sancties? In dit blogartikel behandel ik de sanctiemogelijkheden die in de AVG zijn toegekend aan toezichthoudende autoriteiten en hoe de administratieve geldboete wordt bepaald.
Sancties in de Wet bescherming persoonsgegevens
De repressieve en sanctionele bevoegdheden die in de Wet bescherming persoonsgegevens (Wbp) aan de Autoriteit Persoonsgegevens (AP) zijn toegekend, beperkten zich tot de bevoegdheid om een last onder bestuursdwang op te leggen en een zeer beperkte boetebevoegdheid.
Een last onder bestuursdwang is een herstelsanctie, dat betekent dat de overtreder de mogelijkheid krijgt om zijn illegale gedrag te staken en te herstellen. Zo lang dit naar goedbevinden van de AP gebeurde, werd er weinig pijn gevoeld. De boetedreiging gold slechts voor het niet of onvoldoende nakomen van de meldingsplicht: het bij de AP melden van de verwerkingen die binnen een organisatie plaatsvinden. Bovendien was de hoogte van het maximale boetebedrag (€4.500) niet zodanig dat het organisaties angst inboezemde en zeker niet de grootste overtreders.
Deze weinig indrukwekkende bevoegdheden zijn vermoedelijk een van de redenen dat privacycompliance bij veel organisaties lang een sluimerend bestaan heeft kunnen leiden. Dat is per 1 januari 2016 veranderd. Met de inwerkingtreding van de Meldplicht datalekken is de AP uitgerust met een volwaardige bestuurlijke boetebevoegdheid. De AP kan boetes tot €820.000 opleggen voor overtreding van vrijwel iedere norm die in de Wbp is vastgelegd. De AVG doet hier nog een schepje bovenop.
Sancties in de AVG
De AVG kent verschillende sanctiemogelijkheden toe aan de toezichthoudende autoriteiten (in Nederland de AP). De AP krijgt de bevoegdheid de volgende corrigerende maatregelen te nemen:
- de verantwoordelijke of bewerker waarschuwen dat de voorgenomen verwerking waarschijnlijk inbreuk maakt op de AVG;
- de verantwoordelijke of bewerker berispen indien een verwerking inbreuk maakt op de AVG;
- de verantwoordelijke of bewerker bevelen de verzoeken van betrokkenen tot uitoefening van diens rechten op grond van de AVG in te willigen;**
- de verantwoordelijke of bewerker bevelen binnen een bepaalde termijn verwerkingen in overeenstemming te brengen met de AVG;**
- de verantwoordelijke bevelen een inbreuk aan de betrokkene te melden;
- een tijdelijke of definitieve verwerkingsbeperking of -verbod opleggen;
- een rectificatie of wissing bevelen;
- certificering (laten) intrekken;
- opleggen van een administratieve geldboete;
- opschorten van gegevensstromen naar derde landen of internationale organisaties.
De meest in het oog springende maatregel - en vermoedelijk ook de oorzaak van de meeste slapeloze nachten - is de mogelijkheid tot het opleggen van een administratieve geldboete.
Het eerste wat men natuurlijk wil weten is: 'wat kan dit mij gaan kosten?' 'Twintig miljoen euro' is het korte antwoord, '€ 20 miljoen of tot 4% van de totale wereldwijde jaaromzet in het voorgaande boekjaar indien dit cijfer hoger is' het langere.
De administratieve geldboete
De toezichthoudende autoriteiten krijgen de opdracht mee geldboetes op te leggen op zodanige wijze dat deze doeltreffend, evenredig en afschrikwekkend zijn. De AP kan deze geldboetes naast of in plaats van de hierboven genoemde maatregelen opleggen. Bij het bepalen van de hoogte van de geldboete wordt rekening gehouden met de aard, ernst en duur van de inbreuk, of er sprake is van opzet of nalatigheid, of maatregelen zijn genomen om de door betrokkenen geleden schade te beperken, en de toerekenbaarheid gelet op de getroffen beveiligingsmaatregelen.
Verder wordt gekeken of er sprake is van eerdere inbreuken, in hoeverre er met de toezichthouder is samengewerkt, de categorieën van persoonsgegevens waarop de inbreuk betrekking heeft, en de wijze waarop de toezichthouder kennis heeft gekregen van de inbreuk (heeft de overtreder de inbreuk zelf gemeld of niet).
Tot slot wordt in overweging genomen of een of meer corrigerende maatregelen is opgelegd, of de overtreder is aangesloten bij een gedragscode of certificeringsmechanisme en of er wellicht sprake is van een strafverzwarende of -verhogende omstandigheid. Bij dat laatste moet je denken aan gemaakte financiële winsten of vermeden verliezen die met de inbreuk te maken hebben. De geldboetes zijn niet cumulatief. In geval van inbreuk op meerdere bepalingen uit de AVG is de hoogte van het totale boetebedrag maximaal dat van de boete gesteld op de zwaarste inbreuk.
Met de komst van de Algemene Verordening Gegevensbescherming zal de Autoriteit Persoonsgegevens bevoegd zijn om boetes op te leggen die de continuïteit van vrijwel iedere organisatie bedreigt. Omdat veel van de in de AVG neergelegde normen eigenlijk al sinds 2001 in Nederland gelden, is er een kans dat de AP niet heel terughoudend zal omgaan met deze bevoegdheid.
Om een boete te voorkomen zul je moeten voldoen aan de AVG. Benieuwd naar wat jouw bedrijf nog te doen staat? Privacy Company kan je helpen met het maken van een 'gap-analyse'. Hierbij worden de verschillen tussen de huidige en de gewenste situatie in kaart gebracht. Voorts kunnen wij je ondersteunen met het compliant worden aan AVG. Met onze software-tool kan je bijvoorbeeld op efficiënte wijze inventariseren welke verwerkingen waar in de organisatie plaatsvinden. Eenmaal geïnventariseerd kan je met behulp van de tool controle behouden.