• Home
• Nieuws

Audittrail: Wat kunnen we verwachten van de Autoriteit Persoonsgegevens

Geplaatst door CorporatieMedia op Wednesday 4 October 2017

Regelmatig ontvangen wij, van Audittrail, vragen van organisaties over de Europese Algemene Verordening Gegevensbescherming (AVG). Zij vragen onder andere hoe groot de kans is op een boete en hoe de hoogte van een boete wordt bepaald op basis van de AVG. Hoewel het op dit moment lastig te voorspellen is hoe en of de Autoriteit Persoonsgegevens boetes zal gaan uitdelen, kunnen wij wel inhoudelijk iets meer vertellen over de huidige gang van zaken en het (boete)beleid van de Autoriteit Persoonsgegevens (AP).

Sinds 1 januari 2016 kan de Autoriteit Persoonsgegevens boetes uitdelen bij een overtreding op grond van de Wet bescherming persoonsgegevens (Wbp). De Wbp maakt plaats voor de Europese privacyverordening die op 25 mei 2018 van toepassing wordt. De Wbp komt dan dus te vervallen. Op grond van de AVG wordt de boetebevoegdheid van de AP verder uitgebreid. De boetes kunnen dan maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet bedragen. In vergelijking: onder de Wbp kan het bedrag oplopen tot maximaal €820.000. De extreem hoge boetebedragen onder de AVG zijn in het leven geroepen om grote multinationals tot gedragsverandering te bewegen. Deze wet biedt de mogelijkheid om de boetes aan te passen naar de grootte van het bedrijf. Het is daarmee ook de bedoeling om organisaties te laten afschrikken, zodat zij er alles aan zullen doen om compliant te worden.

Bij het bepalen van de boete wordt met de volgende factoren rekening gehouden:

• De ernst van de overtreding. De AP stemt de beoordeling van de ernst van de overtreding in het concrete geval af op:
  • De aard en omvang van de overtreding.
  • De duur van de overtreding.
  • De impact van de overtreding op (de bescherming van persoonsgegevens en van de persoonlijke levenssfeer voor) de betrokkenen en/of de maatschappij.
• De mate waarin de overtreding aan de overtreder kan worden verweten. De AP kijkt of er sprake is van een opzettelijke overtreding of een ernstig verwijtbare nalatigheid.
• De AP houdt zo nodig rekening met de omstandigheden waaronder de overtreding is gepleegd en de (financiële) omstandigheden waarin de overtreder verkeert.

Tot op heden is er door de AP nog geen enkele boete uitgedeeld. Wel zijn er door de AP enkele waarschuwingen gegeven en soms onder last van een dwangsom. Organisaties krijgen dan de gelegenheid om binnen een bepaalde periode de overtreding te beëindigen. Als ze daar geen gehoor aan geven gaat de Autoriteit Persoonsgegevens boetes uitdelen. Verder kan de AP bindende aanwijzingen geven. Aan het opleggen van een maatregel of boete gaat uiteraard een onderzoek aan vooraf. Een aanleiding voor een onderzoek komt in de meeste gevallen door een nieuwsbericht, klacht, tip of door een datalek dat wordt ontdekt. Vaak wordt de organisatie per brief benaderd door de AP of volgt er een gesprek. Vaak is een gesprek voldoende om de overtreding te beëindigen. Er volgt dan ook geen boete.

Compliant voor 25 mei 2018?
Wilt u compliant zijn aan de privacywetgeving voordat de wet van toepassing wordt? Kom dan langs bij de AVG-workshop van Audittrail: De AVG als juridisch vraagstuk. In de ochtend van 31 oktober licht privacyjurist Joyce de Jong de privacywetgeving toe en geeft ze u praktische tips om compliant te raken.

Bron: Audittrail

Klik hier om de bedrijfsprofielpagina van Audittrail de CorporatieGids 2017 te bekijken