GDPR-boetes, laat u niet bang maken!

De invoering van de AVG (algemene verordening gegevensbescherming, ook wel GDPR) wordt door veel adviesbureautjes aangegrepen om vooral te wijzen op de forse boetes die kunnen worden uitgedeeld. Iedereen die op 18 mei 2018 zijn zaakjes nog niet op orde heeft kan een boete verwachten van wel € 20.000.000,-, zo lijkt het wel. Boeteangst is natuurlijk een mooi marketinginstrument, het beeld dat geschetst wordt is echter niet helemaal terecht. In dit artikel wordt voor eens en voor altijd een einde gemaakt aan die angstcultuur en leest u hoe het echt zit.

 

Mogen boetes worden uitgedeeld onder de GDPR?

Het korte antwoord is ja. De GDPR kent forse boetebepalingen. Volgens art. 83 van de GDPR kan de Autoriteit Persoonsgegevens een boete opleggen van maximaal € 20.000.000,- of 4 % van de wereldwijde jaaromzet (welke van de twee hoger is).

 

Boetes door de Autoriteit Persoonsgegevens

In de praktijk worden dit soort boetes feitelijk niet opgelegd. Uit de jaarverslagen van de Autoriteit Persoonsgegevens (2014, 2016) blijkt dat sinds 2011 548 onderzoeken hebben plaatsgevonden maar nog nooit een boete is uitgedeeld. Voor de duidelijkheid, ook volgens de huidige wetgeving mag de Autoriteit Persoonsgegevens boetes opleggen.

De Autoriteit Persoonsgegevens is dus spaarzaam met het uitdelen van boetes. Dat valt te verklaren omdat boetes een bestraffend instrument zijn, terwijl de Autoriteit Persoonsgegevens nu juist als taak heeft corrigerend op te treden. Omdat de privacywetgeving zeer complex is lijkt de Autoriteit Persoonsgegevens ervan uit te gaan dat een overtreding bijna altijd per ongeluk plaats vindt. Daarom kiest de Autoriteit er bijna altijd voor om overtreders eerst te waarschuwen en te gebieden de verwerking te staken. Mocht zo’n waarschuwing niet worden opgevolgd dan legt de Autoriteit een last onder dwangsom op. Wanneer de overtreder dan zijn processen niet aanpast binnen een bepaalde periode is hij de dwangsom verschuldigd. Sinds 2011 is de dwangsom in 87 gevallen opgelegd, dat is in ongeveer 15 % van de onderzoeken.

 

Boetes onder de AVG (GDPR)

Het is niet waarschijnlijk dat de Autoriteit Persoonsgegevens haar boetebeleid drastisch gaat veranderen met de GDPR. Immers, onder de Wet bescherming persoonsgegevens kon zij ook al boetes uitdelen. In de GDPR (link) staat ook dat bij het opleggen van boetes rekening gehouden moet worden met de volgende omstandigheden:

  1. de aard, de ernst en de duur van de inbreuk, rekening houdend met de aard, de omvang of het doel van de verwerking in kwestie alsmede het aantal getroffen betrokkenen en de omvang van de door hen geleden schade;
  2. de opzettelijke of nalatige aard van de inbreuk;
  3. de door de verwerkingsverantwoordelijke of verwerker genomen maatregelen om de door betrokkenen geleden schade te beperken;
  4. de mate waarin de verwerkingsverantwoordelijke of de verwerker verantwoordelijk is gezien de technische en organisatorische maatregelen die hij heeft uitgevoerd overeenkomstig de artikelen 25 en 32.
  5. eerdere relevante inbreuken door de verwerkingsverantwoordelijke of de verwerker;
  6. de mate waarin er met de toezichthoudende autoriteit is samengewerkt om de inbreuk te verhelpen en de mogelijke negatieve gevolgen daarvan te beperken;
  7. de categorieën van persoonsgegevens waarop de inbreuk betrekking heeft;
  8. de wijze waarop de toezichthoudende autoriteit kennis heeft gekregen van de inbreuk, met name of, en zo ja in hoeverre, de verwerkingsverantwoordelijke of de verwerker de inbreuk heeft gemeld;
  9. de naleving van de in artikel 58, lid 2, genoemde maatregelen, voor zover die eerder ten aanzien van de verwerkingsverantwoordelijke of de verwerker in kwestie met betrekking tot dezelfde aangelegenheid zijn genomen;
  10. het aansluiten bij goedgekeurde gedragscodes overeenkomstig artikel 40 of van goedgekeurde certificeringsmechanismen overeenkomstig artikel 42,
  11. elke andere op de omstandigheden van de zaak toepasselijke verzwarende of verwachtende factor, zoals gemaakte financiële winsten, of vermeden verliezen, die al dan niet rechtstreeks uit de inbreuk voortvloeien.

Het is een waslijst aan factoren, de rode draad daarin is echter de vraag of de overtreder te goeder trouw was. Wie te goeder trouw is zal dus meestal eerst de mogelijkheid krijgen zijn processen aan te passen voordat boetes worden opgelegd.

Of iemand “te goeder trouw”is wordt dus bepaald door de Autoriteit Persoonsgegevens aan de hand van deze criteria. Denkbaar is bijvoorbeeld dat de verzwijging van het recente datalek bij Uber niet als te goeder trouw wordt gezien. Ook als iemand met grote hoeveelheden bijzondere persoonsgegevens werkt kan meer zorgvuldigheid verwacht worden, bijvoorbeeld ziekenhuizen.

Waarom wel voldoen aan de GDPR

Mijn betoog is niet dat organisaties lichtzinnig met privacy kunnen omgaan. Alleen dat boeteangst overdreven is en niet de goede reden om de GDPR na te leven. Er zijn namelijk veel goede redenen om de privacy van uw klanten serieus te nemen.

De Autoriteit Persoonsgegevens is beslist geen tandeloze tijger, ondanks dat feitelijk geen boetes worden uitgedeeld. Zij maakt namelijk wel gebruik van andere dwangmiddelen die bovendien in zwaarte toenemen. Zo kan zij onderzoek instellen en heeft daarbij toegang tot alle systemen, kan zij bevelen de verwerkingen te staken en dwangsommen opleggen.

Toezicht zal in de toekomst aanzienlijk toenemen. Op dit moment heeft de Autoriteit Persoonsgegevens een bezetting van 87 fte. In 2019 wordt haar budget echter verdubbeld en zal haar capaciteit dus worden uitgebreid.

Daarnaast kan een overtreding tot forse imagoschade leiden. De media is happig op berichten over privacyschendingen, zeker als het op grote schaal plaatsvindt. Rapporten van de Autoriteit Persoonsgegevens zijn in beginsel openbaar, een overtreding wordt dus ook meestal ontdekt.

Het echte gevaar van een overtreding ligt echter in een bevel tot staken van de verwerking. Zo’n bevel kan van de Autoriteit Persoonsgegevens komen, maar ook van de rechter na een civiele procedure. Dat kan vervelende consequenties hebben wanneer het een cruciaal proces is.

De belangrijkste reden om aan de GDPR te voldoen is dat privacy tegenwoordig nu eenmaal onderdeel is van een goede bedrijfsvoering. Net zoals men nette facturen stuurt en de CAO naleeft. Klanten accepteren privacy-inbreuken niet meer. Ook B2B-klanten, want zij weten dat een privacyinbreuk bij hun toeleveranciers ook op hen afstraalt.

Wanneer in een vroeg stadium over privacy wordt nagedacht kunnen de meeste processen bovendien makkelijk privacyproof worden gemaakt.

 

Stel Direct uw vraag

Heeft u een vraag over dit onderwerp of wilt u meer informatie hierover? Wij helpen u graag.

Uw naam *

Uw e-mailadres *

Uw bericht *

CAPTCHA code:
captcha
Voer aub de CAPTCHA code hieronder in en druk op “Verzenden”

Ga akkoord met onze gebruiksvoorwaarden en privacy statement.

Algemene voorwaarden.

Privacy statement.

2018-02-27T10:06:28+00:00

About the Author:

Stephan Mulders

Leave A Comment