Europese boetebeleidsregels op komst: een aanleiding voor hogere boetes in Nederland?

7 juli 2022 | Blog

De Nederlandse Autoriteit Persoonsgegevens (‘AP’) bepaalt de hoogte van boetes op basis van haar eigen boetebeleidsregels. In deze boetebeleidsregels wordt uiteengezet binnen welke bandbreedten boetes veelal zullen uitvallen bij verschillende categorieën van overtredingen. Dit maakt boetes voorspelbaarder en omdat de bandbreedtes substantieel lager liggen dan de maxima, zullen Nederlandse organisaties wat minder vrees hebben voor draconische boetes dan organisaties in sommige andere Europese landen.  Er heerst echter ook kritiek − zijn deze bandbreedten niet veel te laag in vergelijking met andere Europese toezichthouders?

Wellicht dat de nieuwe (concept) Europese boetebeleidsregels hier verandering in zullen brengen. En zo ja, heeft dit gevolgen voor organisaties die vallen onder het toezicht van de AP? Een en ander wordt uiteengezet in dit blog.

Boeteregime onder de AVG

Ten tijde van haar inwerkingtreding leek er lange tijd een ‘angst’ te bestaan voor Algemene verordening gegevensbescherming (‘AVG’). Deze angst hield verband met de hoge boetemaxima die op grond van de AVG konden worden opgelegd door toezichthouders. Er kunnen immers boetes van tot EUR 10.000.000 of − indien hoger − tot 2% van de wereldwijde jaaromzet, of, een en ander afhankelijk van de overtreding, boetes van tot EUR 20.000.000 of − indien hoger − tot 4% van de wereldwijde jaaromzet worden opgelegd.

Verschillen in de EU

In Nederland zullen, met het oog op de eigen boetebeleidsregels, niet snel boetes worden opgelegd die in de buurt komen van de bedragen die worden genoemd in artikel 83 AVG. De hoogste bandbreedte die daarin is opgenomen reikt immers ‘maar’ tot EUR 1.000.000. Uiteraard kan dit bedrag oplopen wanneer er meerdere overtredingen zijn geconstateerd of wanneer specifieke omstandigheden daarom vragen. Een voorbeeld daarvan is de recente boete opgelegd aan de Belastingdienst. In het boetebesluit is te lezen dat onder andere de aard, de duur en de ernst van de overtredingen ertoe hebben geleid dat buiten de bandbreedten wordt getreden. Daarnaast was volgens de AP sprake van ernstige nalatigheid.

Toch lijkt de hoogte van voornoemde boete (in totaal EUR 3.700.000) slechts een schijntje in vergelijking met boetes die in andere lidstaten zijn opgelegd. Zo laat onderstaand overzicht zien dat het totaalbedrag aan opgelegde boetes ver af ligt van het totaal van andere lidstaten. Dit terwijl het aantal boetes in een deel van de gevallen vergelijkbaar is. Het is hierbij overigens wel van belang om in het achterhoofd te houden dat in sommige landen nou eenmaal meer bedrijven gevestigd zijn die logischerwijs onderwerp van AVG-onderzoek zullen zijn, zoals grote tech-bedrijven die veelal met hun Europese hoofdkantoor in Ierland of Luxemburg zitten.

Bron: https://www.enforcementtracker.com/?insights, geraadpleegd op 03-07-2022.


Gezien het voorgaande is er dan ook veel kritiek op de AP vanuit belangenorganisaties en ‘privacykenners’. De AP wordt immers gezien als mild en zelfs soft. Nu lijkt deze kritiek dus ook te komen vanuit de andere Europese toezichthouders verzameld in de European Data Protection Board (‘EDPB’). Althans, door de nieuwe Europese boetebeleidsregels lijkt de AP door haar collega’s te worden gedwongen tot het opleggen van hogere boetes.

Europese boetebeleidsregels

De Europese boetebeleidsregels, waarvan op dit moment nog slechts een conceptversie beschikbaar is, hebben logischerwijs als hoofddoel het harmoniseren van de hoogten van boetes. In vijf stappen wordt uiteengezet hoe de totstandkoming van de hoogte van een boete kan plaatsvinden − het staat toezichthouders vrij om onder omstandigheden af te wijken van deze benadering.

  1. Identificeer de te onderzoeken verwerking(en) en evalueer de toepasselijkheid van artikel 83(3) AVG;
  2. Startpunt voor de berekening:
    1. Onderzoek of sprake is van lid 4, 5 of 6 van artikel 83 AVG;
    2. Onderzoek hoe serieus de overtreding is (artikel 83(2) sub a, b en g AVG);
    3. Onderzoek de jaarlijkse omzet van de relevante organisatie om tot een doeltreffende boete te kunnen komen.
  3. Onderzoek verzwarende én verzachtende omstandigheden die verband houden met de gedragingen van de relevante organisatie. Dit mogen zowel gedragingen uit het verleden als huidige gedragingen zijn;
  4. Identificeer de wettelijk vastgelegde boetemaxima en bepaal de (voorlopige) hoogte van de boete;
  5. Beoordeel of de voorlopige hoogte van de boete kan worden gezien als een boete die doeltreffend, evenredig en afschrikkend is.
Vergelijking met de Nederlandse boetebeleidsregels

Inhoudelijk verschillen de Europese boetebeleidsregels op drie punten van de huidige Nederlandse boetebeleidsregels. Zo wordt de omzet van de relevante organisatie direct meegenomen als startpunt, terwijl de omzet in de Nederlandse boetebeleidsregels slechts een beperkte rol heeft en volgens de AP pas op het eind van de berekening van de boete wordt meegenomen. De Europese benadering lijkt daarmee beter aan te sluiten bij de AVG, aangezien uit artikel 83 duidelijk lijkt te volgen dat de omzet een graadmeter voor de hoogte van een boete kan zijn.

Daarnaast wordt van individuele toezichthouders verwacht dat zij, onder de Europese boetebeleidsregels, beoordelen in hoeverre de overtreding serieus is. Ten aanzien van die beoordeling bestaan drie categorieën, namelijk laag, midden en hoog. De relevante categorie heeft impact op de maximale hoogte van de boete:

  1. Laag: 0-10% van het wettelijk maximum;
  2. Midden: 10-20% van het wettelijk maximum;
  3. Hoog: 20-100% van het wettelijk maximum.

Als laatste wordt in de Europese boetebeleidsregels anders omgegaan met bandbreedten. Net als in de huidige boetebeleidsregels van de AP wordt gebruik gemaakt van een bandbreedte van boetebedragen. Waar de huidige AP-boetebeleidsregels echter uitgaan van een bandbreedte waarbinnen een boetebedrag in principe wordt bepaald, is de bandbreedte in de Europese boetebeleidsregels bedoeld om het startbedrag van de boete te bepalen. Dat bedrag kan daarna nog worden verhoogd of verlaagd.

Conclusie

Na goedkeuring zullen de Europese boetebeleidsregels in bepaalde mate zeker gevolgen hebben voor organisaties die vallen onder het toezicht van de AP. De AP kan dan immers niet langer haar eigen boetebeleidsregels volgen, maar moet – ondanks dat deze slechts richtinggevend zijn – werken langs de lijnen van de Europese regels. Aangezien deze nieuwe set regels uit lijkt te gaan van een strikter boetebeleid, kan dit ertoe leiden dat de boetes in Nederland hoger zullen uitvallen. Als we naar het doel van de nieuwe boetebeleidsregels kijken − te weten uniformiteit en harmonisatie − dan is dat in elk geval wel de verwachting.

De Europese boetebeleidsregels gelden overigens enkel voor private organisaties, aangezien niet alle Europese toezichthouders boetes mogen opleggen aan bestuursorganen. Wat voor gevolgen de Europese boetebeleidsregels hebben voor bestuursorganen (in Nederland) zal dus nog moeten blijken.

Meer weten? Neem contact op met Sophie Hendriks.

Meld u aan voor onze nieuwsbrieven