De Autoriteit Persoonsgegevens (AP) heeft op 14 maart 2019 beleidsregels gepubliceerd voor boeteoplegging bij schending van de verschillende privacywetten.
Bijgewerkte versie van eerdere beleidsregels
De nieuwe boetebeleidsregels lijken qua structuur en opbouw sterk op de vorige beleidsregels (onder de Wet bescherming persoonsgegevens). Over die oude beleidsregels schreef ik eerder al een blog.
Brandbreedtes, principes, maximering en matiging
De beleidsregels komen heel erg in kort neer op de volgende principes:
- afhankelijk van het overtreden artikel geldt een basisboete en een boetebandbreedte;
- afhankelijk van de omstandigheden van het geval wordt die basisboete verlaagd tot het minimum van de bandbreedte, of juist verhoogd tot het maximum van de bandbreedte (artikel 6);
- bij het opleggen wordt met allerlei factoren rekening gehouden (artikel 7);
- als dat geen passend resultaat oplevert, kan een boete uit een hogere of lagere categorie worden opgelegd (artikel 8.1);
- bij recidive volgt in principe een verhoging met 50% (artikel 8.2);
- bij overtredingen van de AVG waar de bovenkant van de hoogste bandbreedte (1 miljoen euro) niet passend zou zijn, kan de AP een hogere boete tot 10 of 20 miljoen opleggen (artikel 8.3/8.4);
- indien de beboete partij onvoldoende draagkracht heeft, kan de boete worden gematigd (artikel 9);
- bij meerdere boetes wordt het wettelijke boetemaximum nooit overschreden (artikel 10);
- voor oude gevallen gelden de oude beleidsregels (artikel 11).
Totaalbeleid voor diverse privacywetten
De beleidsregels gaan niet alleen over de AVG, maar ook over andere wetgeving waar de AP de bevoegde toezichthouder is (deel Telecommunicatiewet, Wet politiegegevens, Wet justitiele en strafvorderlijke gegevens). In deze blog sta ik alleen stil bij de AVG.
Categorieen van overtredingen
De overtredingen van de AVG zijn in categorieen verdeeld. In de bijlage van de beleidsregels staat per AVG-artikel in welke categorie overtreding daarvan valt.
De AP lijkt geprobeerd te hebben overtredingen van ernstige aard in een hoge categorie te plaatsen en de overtredingen van meer administratieve aard in een lagere categorie. En dat is inderdaad deels wel terug te zien.
Zo valt op dat de beginselen en de rechten van betrokkene zeer zwaar wegen, evenals alles wat met het buitenland te maken heeft. En niet medewerken met de toezichthouder wordt (uiteraard) zwaar beboet. Terwijl het niet voldoen aan de registerplicht in categorie 2 valt en het niet vastgelegd hebben van dat register in categorie 1 valt (de vraag is dan wel of er überhaupt een register is....).
Ik kan er echter niet altijd evenveel lijn in ontdekken: zo is het niet hebben van beveiliging minder zwaar bestraft dan het niet melden van een datalek. Ik zou het echter kwalijker vinden wanneer organisaties structureel de beveiliging niet op orde hebben, in plaats van incidenteel een lek niet melden. Verder valt het niet goed regelen van (soms heel complexe) samenwerkingsverbanden in categorie 1 (artikel 26), terwijl de verdere verwerking voor statistische doeleinden zonder afdoende waarborgen in categorie 3 valt (daar vallen bijv. ook onschuldige archieven onder).
De bedragen
De bedragen voor schending van de AVG komen op het volgende neer:
| Categorie | Bandbreedte | Basisboete |
| Categorie I | € 0,-- tot € 200.000,-- | € 100.000,-- |
| Categorie II | € 120.000,-- tot € 500.000,-- | € 310.000,-- |
| Categorie III | € 300.000,-- tot €750.000,-- | € 525.000,-- |
| Categorie IV | € 450.000,-- tot €1.000.000,-- | € 725.000,-- |
Slotopmerking
De beleidsregels geven enige richting, maar zijn al met al ook weer niet heel concreet.
In ieder geval valt op dat de AP in de basis niet direct denkt aan de wettelijke maxima van 10 en 20 miljoen (of 2% of 4% van de omzet). Die zijn kennelijk voor de (volgens de AP) extreme situaties bedoeld.
Verder is de vraag of de systematiek van de basisboete uiteindelijk stand houdt. Volgens de AVG zelf, grondrechten en principes van gemeenschapsrecht, zal er immers bij het opleggen van boetes rekening moeten worden gehouden met alle omstandigheden van het geval.
Ook is interessant te zien dat de hoogste boete op schending van de beginselen staat. Dat is enerzijds logisch (ze vormen de kern van het privacyrecht), anderzijds wees o.a. de Raad van State er eerder op dat die normen weinig concreet zijn. De Raad van State sprak zelfs over "vage normen". Mede om die reden stond in de vorige privacywet de bepaling dat alleen bij opzettelijke schending of ernstig verwijtbare nalatigheid de boete rechtstreeks kon worden opgelegd. Het is maar de vraag of het altijd mogelijk is om boetes op te leggen wegens schending van vage normen en als het al kan, worden zeer hoge eisen gesteld aan de motivering. Het zou mij dan ook niets verbazen als de AP voornamelijk blijft handhaven via lasten onder dwangsom en niet eens zo vaak via boetes.
We gaan het in de praktijk zien. We blijven het volgen en houden u op de hoogte.
