Nieuwe boetebeleidsregels van de Autoriteit Persoonsgegevens

De Staatscourant publiceerde op 14 maart 2019 de nieuwe Boetebeleidsregels Autoriteit Persoonsgegevens 2019. Op gelijke datum gingen deze regels ook in werking. Op basis van deze beleidsregels wordt de hoogte van bestuurlijke boetes bepaald op het moment dat er sprake is van overtredingen bij de verwerking van persoonsgegevens.

Autoriteit Persoonsgegevens

De Autoriteit Persoonsgegevens (AP) is als onafhankelijke toezichthouder belast met het wettelijk toezicht op de verwerking van persoonsgegevens. Deze autoriteit ziet toe op de naleving van de Algemene verordening gegevensbescherming (AVG) en de Uitvoeringswet AVG. Op 25 mei 2018 is, met de komst van de AVG, de Wet bescherming persoonsgegevens (Wbp) ingetrokken. De mogelijkheid om boetes op te leggen was er ook in het kader van de Wbp. In 2015 zijn al boetebeleidsregels vastgesteld en voor het laatst gewijzigd in 2016. Ook deze boetebeleidsregels zijn nu komen te vervallen.

Europese richtsnoeren

De AVG voorziet in een uitgebreide bevoegdheid voor nationale toezichthouders om boetes op te leggen bij overtreding van de verordening. In Nederland heeft de AP die bevoegdheid. De boetes kunnen pittig zijn en oplopen tot wel 20.000.000 euro.

Op internationaal niveau zijn er (nog) geen gezamenlijke uitgangspunten voor de berekening van boetes vastgesteld. Wel zijn er op Europees niveau de Richtsnoeren voor de toepassing en vaststelling van administratieve boeten in de zin van Verordening (EU) 2016/679 vastgesteld door de European Data Protection Board (EDPB). Binnen de EDBP bestaat het streven uiteindelijk te komen tot gezamenlijke (Europese) uitgangspunten voor de berekening van boetes bij overtreding van de AVG. Zolang die nog niet zijn vastgesteld, gelden in Nederland de nieuwe Boetebeleidsregels Autoriteit Persoonsgegevens 2019. Die zijn dus mogelijk van tijdelijke aard.

Verscherpt toezicht

Moet elke organisatie, nu deze boetebeleidsregels er zijn, vrezen voor zwaar toezicht en hoge bestuurlijke boetes? Waarschijnlijk niet. In 2018 zijn er in Nederland haast geen boetes opgelegd door de AP. Wel is de verwachting dat, met name richting grotere bedrijven en overheidsinstanties, het toezicht zal verscherpen. De AP houdt daarbij wel rekening met bepaalde factoren zoals vastgelegd in artikel 7 van de Boetebeleidsregels. Het betreft hier onder meer factoren als de aard, de ernst en de duur van de inbreuk, de opzettelijke of nalatige aard van de inbreuk, genomen maatregelen om de door betrokkenen geleden schade te beperken en de categorieën van persoonsgegevens waarop de inbreuk betrekking heeft. Daarnaast houdt de AP bij het vaststellen van de boete ook rekening met de financiële omstandigheden van de overtreder. Als de overtreder verminderd of onvoldoende draagkrachtig is, kan de AP de op te leggen boete daarop aanpassen.

Inzicht

Met de boetebeleidsregels geeft de AP inzicht in de factoren die de hoogte van de boete bepalen. Tevens bieden deze beleidsregels de AP de mogelijkheid om in individuele gevallen naar eigen inzicht te handelen en eventueel een maatwerkboete op te leggen.

Natuurlijk begrijpt de AP dat niet elke organisatie per direct volledig kan voldoen aan de AVG. De boetebeleidsregels zijn een stok achter de deur. Sinds 2018 wordt er door veel organisaties hard gewerkt om ‘AVG-compliant’ te geraken. Dat vergt evenwel tijd. Maar als een organisatie moedwillig risico wil lopen en er niets aan doet, is dat zeker verwijtbaar en loopt men natuurlijk altijd het risico een (flinke) boete tegemoet te kunnen zien.