Onder de AVG zijn de boete maxima voor overtredingen van privacywetgeving en de lijst met mogelijke overtredingen uitgebreid. Daarnaast is de plicht om eerst een bindende aanwijzing te geven niet terug te vinden in de AVG. De vraag is of dit betekent dat de AP zonder voorafgaande waarschuwing een bestuurlijke boete kan (en zal gaan) opleggen wanneer zij een overtreding van de AVG constateert. Dat kan gezien de open normen uit de privacywetgeving leiden tot rechtsonzekerheid bij organisaties.
Huidig regime tot 25 mei 2018
De Autoriteit Persoonsgegevens (AP) heeft de bevoegdheid om boetes op te leggen aan organisaties die de Wbp overtreden. De AP kan een boete opleggen van maximaal 820.000, - of 10% van de jaarlijkse omzet wanneer de boete geen passende bestraffing toelaat.
Onder de Wbp moet de AP een organisatie eerst een kans geven om een overtreding te herstellen. Dit is de zogenaamde bindende voorwaarde. Daarbij geeft de AP aan wat er van de organisatie verwacht wordt om de geconstateerde overtreding te herstellen. Pas wanneer de organisatie niet (tijdig) voldoet aan de eisen van de AP is de AP bevoegd om een boete op te leggen.
De AP kan alleen zonder waarschuwing een boete opleggen als sprake is van opzet of van ernstige verwijtbare nalatigheid (de AP legt dat in haar beleidsregels uit als "grof, aanzienlijk onzorgvuldig, onachtzaam dan wel onoordeelkundig handelen"). Wat precies wordt verstaan onder deze norm is vooralsnog onduidelijk. Wel is duidelijk dat wanneer eenzelfde type overtreding meerdere malen heeft plaatsgevonden nalatigheid sneller wordt aangenomen.
Nieuw boeteregime AVG vanaf 25 mei 2018
20 miljoen of 4% van de wereldwijde jaaromzet
Onder de AVG zijn de boete maxima voor overtredingen verhoogd en is de lijst met mogelijke overtredingen uitgebreid. Er zijn grofweg drie categorieën overtredingen te onderscheiden:
1. Schending van processuele/procedurele verplichtingen; bijvoorbeeld het niet melden van een datalek. Overtreding van deze verplichtingen kan leiden tot een boete tot10 miljoen of 2% van de wereldwijde jaaromzet in het voorgaande boekjaar.
2. Schending van de materiële verplichtingen; denk hierbij aan de verplichting voor een zorgvuldige gegevensverwerking of de informatieplicht.
3. Het niet opvolgen van een bevel van de AP.
Overtreding van de verplichtingen uit de tweede en derde categorie kan leiden tot een boete tot 20 miljoen of 4% van de wereldwijde jaaromzet in het voorgaande boekjaar. Bij de vaststelling van de hoogte van de boete wordt er onder andere gekeken naar de aard, ernst en duur van de overtreding, of de verwerkingsverantwoordelijke al eerder een overtreding begaan heeft en welke categorieën persoonsgegevens het betreft.
Vooraf waarschuwen?
Met de invoering van de AVG verdwijnt de in de Wbp vastgelegde verplichting voor de AP om vooraf een bindende aanwijzing te geven aan een overtreder. Dit betekent evenwel niet dat de AP geen bindende aanwijzing kan geven. Dit kan zij nog steeds op grond van artikel 58 eerste en tweede lid in de vorm van een bevel. Wat niet is geregeld is dat de AP verplicht is om een bindende aanwijzing te geven voordat zij een boete oplegt. Artikel 83 AVG vermeldt enkel dat een boete opgelegd kan worden naast of in de plaats van een maatregel, zoals een bindende voorwaarde.
Ook de op 9 december 2016 ter consultatie aangeboden Uitvoeringswet AVG, bevat niet de verplichting voor de AP om eerst een bindende aanwijzing te geven alvorens een boete op te leggen. In de internetconsultatie is hierop kritiek geuit. In dit verband is verwezen naar het advies van de Raad van State waarin de introductie van de bindende voorwaarde bij de invoering van de boetebevoegdheid nodig werd geacht gezien de vaak vage normen in de privacywetgeving. Omdat de vage normen met de inwerkingtreding van de AVG niet verdwijnen en de boetes zeer hoog zijn, achten wij de voorafgaande waarschuwing wenselijk. Op dit moment ligt de Uitvoeringswet bij de Raad van State ter advies.
Jammer genoeg gaat de AP in haar advies op de Uitvoeringswet niet in op het ontbreken van de verplichting om voor het opleggen van een bestuurlijke boete een bindende voorwaarde op te leggen. Zij stelt alleen dat zij nog steeds de bevoegdheid heeft om een bindende voorwaarde te geven op grond van artikel 58 AVG. Ook heeft de AP nog niet duidelijk gemaakt hoe zij gebruik wil gaan maken van haar boetebevoegdheid. Daarnaast is het ook maar de vraag of het überhaupt mogelijk is om in de Uitvoeringswet een dergelijke verplichting op te leggen. Hoewel er sprake is van een wet geldt dat de AVG prevaleert boven de Uitvoeringswet, omdat Europese verordeningen rechtstreeks doorwerken in de nationale rechtsorde. Een dergelijke verplichting kan strijdig zijn met de AVG. Ook is het de vraag of de beginselen van behoorlijk bestuur zich niet verzetten tegen het opleggen van een boete door de AVG zonder dat voorafgaand is gewaarschuwd. De tijd zal het leren.
Deze blog is geschreven door Danny Koevoets en Eliëtte Vaal. Meer weten over de wijzigingen onder de AVG? Bekijk de reeks blogs over dit onderwerp.
Voor advies over dit onderwerp kunt u contact opnemen met Eliëtte Vaal.
Onder de AVG zijn de boete maxima voor overtredingen van privacywetgeving en de lijst met mogelijke overtredingen uitgebreid. Daarnaast is de plicht om eerst een bindende aanwijzing te geven niet terug te vinden in de AVG. De vraag is of dit betekent dat de AP zonder voorafgaande waarschuwing een bestuurlijke boete kan (en zal gaan) opleggen wanneer zij een overtreding van de AVG constateert. Dat kan gezien de open normen uit de privacywetgeving leiden tot rechtsonzekerheid bij organisaties.
Huidig regime tot 25 mei 2018
De Autoriteit Persoonsgegevens (AP) heeft de bevoegdheid om boetes op te leggen aan organisaties die de Wbp overtreden. De AP kan een boete opleggen van maximaal 820.000, - of 10% van de jaarlijkse omzet wanneer de boete geen passende bestraffing toelaat.
Onder de Wbp moet de AP een organisatie eerst een kans geven om een overtreding te herstellen. Dit is de zogenaamde bindende voorwaarde. Daarbij geeft de AP aan wat er van de organisatie verwacht wordt om de geconstateerde overtreding te herstellen. Pas wanneer de organisatie niet (tijdig) voldoet aan de eisen van de AP is de AP bevoegd om een boete op te leggen.
De AP kan alleen zonder waarschuwing een boete opleggen als sprake is van opzet of van ernstige verwijtbare nalatigheid (de AP legt dat in haar beleidsregels uit als "grof, aanzienlijk onzorgvuldig, onachtzaam dan wel onoordeelkundig handelen"). Wat precies wordt verstaan onder deze norm is vooralsnog onduidelijk. Wel is duidelijk dat wanneer eenzelfde type overtreding meerdere malen heeft plaatsgevonden nalatigheid sneller wordt aangenomen.
Nieuw boeteregime AVG vanaf 25 mei 2018
20 miljoen of 4% van de wereldwijde jaaromzet
Onder de AVG zijn de boete maxima voor overtredingen verhoogd en is de lijst met mogelijke overtredingen uitgebreid. Er zijn grofweg drie categorieën overtredingen te onderscheiden:
1. Schending van processuele/procedurele verplichtingen; bijvoorbeeld het niet melden van een datalek. Overtreding van deze verplichtingen kan leiden tot een boete tot10 miljoen of 2% van de wereldwijde jaaromzet in het voorgaande boekjaar.
2. Schending van de materiële verplichtingen; denk hierbij aan de verplichting voor een zorgvuldige gegevensverwerking of de informatieplicht.
3. Het niet opvolgen van een bevel van de AP.
Overtreding van de verplichtingen uit de tweede en derde categorie kan leiden tot een boete tot 20 miljoen of 4% van de wereldwijde jaaromzet in het voorgaande boekjaar. Bij de vaststelling van de hoogte van de boete wordt er onder andere gekeken naar de aard, ernst en duur van de overtreding, of de verwerkingsverantwoordelijke al eerder een overtreding begaan heeft en welke categorieën persoonsgegevens het betreft.
Vooraf waarschuwen?
Met de invoering van de AVG verdwijnt de in de Wbp vastgelegde verplichting voor de AP om vooraf een bindende aanwijzing te geven aan een overtreder. Dit betekent evenwel niet dat de AP geen bindende aanwijzing kan geven. Dit kan zij nog steeds op grond van artikel 58 eerste en tweede lid in de vorm van een bevel. Wat niet is geregeld is dat de AP verplicht is om een bindende aanwijzing te geven voordat zij een boete oplegt. Artikel 83 AVG vermeldt enkel dat een boete opgelegd kan worden naast of in de plaats van een maatregel, zoals een bindende voorwaarde.
Ook de op 9 december 2016 ter consultatie aangeboden Uitvoeringswet AVG, bevat niet de verplichting voor de AP om eerst een bindende aanwijzing te geven alvorens een boete op te leggen. In de internetconsultatie is hierop kritiek geuit. In dit verband is verwezen naar het advies van de Raad van State waarin de introductie van de bindende voorwaarde bij de invoering van de boetebevoegdheid nodig werd geacht gezien de vaak vage normen in de privacywetgeving. Omdat de vage normen met de inwerkingtreding van de AVG niet verdwijnen en de boetes zeer hoog zijn, achten wij de voorafgaande waarschuwing wenselijk. Op dit moment ligt de Uitvoeringswet bij de Raad van State ter advies.
Jammer genoeg gaat de AP in haar advies op de Uitvoeringswet niet in op het ontbreken van de verplichting om voor het opleggen van een bestuurlijke boete een bindende voorwaarde op te leggen. Zij stelt alleen dat zij nog steeds de bevoegdheid heeft om een bindende voorwaarde te geven op grond van artikel 58 AVG. Ook heeft de AP nog niet duidelijk gemaakt hoe zij gebruik wil gaan maken van haar boetebevoegdheid. Daarnaast is het ook maar de vraag of het überhaupt mogelijk is om in de Uitvoeringswet een dergelijke verplichting op te leggen. Hoewel er sprake is van een wet geldt dat de AVG prevaleert boven de Uitvoeringswet, omdat Europese verordeningen rechtstreeks doorwerken in de nationale rechtsorde. Een dergelijke verplichting kan strijdig zijn met de AVG. Ook is het de vraag of de beginselen van behoorlijk bestuur zich niet verzetten tegen het opleggen van een boete door de AVG zonder dat voorafgaand is gewaarschuwd. De tijd zal het leren.
Deze blog is geschreven door Danny Koevoets en Eliëtte Vaal. Meer weten over de wijzigingen onder de AVG? Bekijk de reeks blogs over dit onderwerp.
Voor advies over dit onderwerp kunt u contact opnemen met Eliëtte Vaal.