AP past boete beleid aan!

Een overtreding van de privacywet kan een boete tot gevolg hebben. De boetebeleidsregels geven inzicht in de manier waarop de Autoriteit Persoonsgegevens (AP) de hoogte van een boete berekent. De hoogte van een boete verschilt per type overtreding. Daarnaast speelt bij het vaststellen van de hoogte bijvoorbeeld ook de ernst, omvang en duur van de overtreding mee en of er sprake is van opzet of herhaling. De AP heeft de boetebeleidsregels aangepast omdat de oude regels betrekking hadden op overtredingen van eerdere privacywetgeving (WBP).

De AP kan boetes opleggen bij overtredingen van de Algemene verordening gegevensbescherming (AVG) en de Uitvoeringswet van de AVG. De AP kan ook bij overtredingen op grond van de Wet politiegegevens en de Wet justitiële en strafvorderlijke gegevens een boete opleggen en bij bepaalde overtredingen van de Telecommunicatiewet, de eIDAS-verordening en de Algemene wet bestuursrecht.

Wettelijk boetemaximum AVG

Bij het vaststellen van (de hoogte van) de boete houdt de AP in eerste instantie rekening met het maximale bedrag van de boete dat in de wet is vermeld. De AVG kent twee categorieën van overtredingen en van toepassing zijnde maximale boetes.

1) Verantwoordelijken, degenen die persoonsgegevens verwerken, hebben onder de AVG bepaalde verplichtingen, zoals de verplichting van het bijhouden van een verwerkingsregister. Komt een verantwoordelijke (een van) deze verplichtingen niet na? Dan kan de AP een boete opleggen van maximaal 10 miljoen euro. Of een boete van maximaal 2% van de wereldwijde jaaromzet van een onderneming, mocht dat bedrag hoger uitkomen.

2) Overtreedt een verantwoordelijke de beginselen of grondslagen van de AVG? Of de privacyrechten van de betrokkenen? Dan kan de AP een boete opleggen van maximaal 20 miljoen euro. Of een boete van maximaal 4% van de wereldwijde jaaromzet van een onderneming, mocht dat bedrag hoger uitkomen.

Boetecategorieën

De AP heeft de overtredingen van de AVG en de andere wetten waarop zij toezicht houdt, voor elk wettelijk boetemaximum ingedeeld in 3 of 4 boetecategorieën, waaraan oplopende geldboetes zijn verbonden. Deze indeling is ingegeven door de zwaarte en ernst van de geschonden norm en de verhouding tot de andere normen in het gegevensbeschermingsrecht.

Elke boetecategorie is vervolgens gekoppeld aan een bepaalde boete bandbreedte van een minimum- en een maximumbedrag. De hoogte van de boete bandbreedtes moet voldoende afschrikwekkend zijn voor potentiële overtreders. Binnen de verschillende boete bandbreedtes heeft de AP steeds een basisboete vastgelegd. Dit bedrag vormt voor de AP het uitgangspunt voor de berekening van de boete in een afzonderlijk geval.

Factoren

De basisboete kan per geval vervolgens verhoogd of verlaagd worden aan de hand van een aantal factoren. Bijvoorbeeld de aard, ernst en duur van de overtreding, het aantal betrokkenen en de omvang van de schade. Ook is van belang in hoeverre de overtreding aan de overtreder kan worden verweten en of er sprake is van herhaling.

Bij het vaststellen van de boete kan de AP ook rekening houden met de financiële omstandigheden waarin de overtreder verkeert. Zoals in het geval van micro, kleine en middelgrote en ondernemingen.

Europese richtsnoeren

Op 25 mei 2018 heeft European Data Protection Board (EDPB) richtsnoeren vastgesteld voor de toepassing en vaststelling van administratieve geldboeten. In deze richtsnoeren is vastgelegd wanneer welk sanctiemiddel het meest passend is. Andere sanctiemiddelen zijn bijvoorbeeld een last onder dwangsom en een verwerkingsverbod.

Aangezien de EDPB (nog) geen gezamenlijke uitgangspunten voor de berekening van boetes heeft vastgesteld, heeft de AP nu voor haar toezicht in Nederland beleid vastgesteld voor de berekening van de hoogte van boetes. De beleidsregels worden door de AP toegepast totdat er ook Europese richtsnoeren zijn voor de berekening van de hoogte van boetes.

Wilt u of uw organisatie weten of er risico is van een boete?

Neem contact op met DPO Partner via Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken.

Ambitie Frans Pijnenborg,
de man achter DPO Partner

Vanuit mijn passie om de klantbelofte waar te maken, ben ik sinds 2012 als compliance officer zelfstandig actief. Op het fundament van vertrouwen, ambieer ik het functioneren van organisaties te versterken. Privacy en IB vormen een waardevol goed voor iedere organisatie. Ik heb mij daar in gespecialiseerd om voor u een waardevolle gesprekspartner te zijn.

frans - Frans Pijnenborg CCP DPO

Kantoortijden:
Maandag tot en met vrijdag
8.30 – 17.00 uur

Privacy gaat 24/7 door.
In geval van calamiteit zoals een datalek of een default zijn wij altijd bereikbaar. 

Privacy- en cookie statement

Copyright © www.dpopartner.nl

Website gerealiseerd door: Van Laarhoven Websites