De Autoriteit Persoonsgegevens (AP) mag al bijna een jaar boetes opleggen van maximaal 20 miljoen euro voor ernstige privacy overtredingen. De Algemene verordening gegevensbescherming (AVG) stelt wel dat een boete evenredig moet zijn. Overigens maakt de verordening daarin zelf al onderscheid door sommige overtredingen beboetbaar te maken met 10 miljoen (of 2% jaaromzet) en andere met 20 miljoen (of 4% jaaromzet). Vooralsnog was onbekend hoe de AP de boetehoogte zou bepalen. Op 14 maart 2019 heeft zij hierover beleidsregels gepubliceerd: Boetebeleidsregels Autoriteit Persoonsgegevens 2019.
Kader boetebeleidsregel
De nieuwe boetebeleidsregels lijken qua structuur en opbouw sterk op de vorige beleidsregels (onder de Wet bescherming persoonsgegevens).¹ Er wordt wederom gewerkt met bandbreedtes. Naast de boetebevoegdheid uit de AVG heeft de AP nog andere boetebevoegdheden met bijbehorende maximumbedragen, in het kader van de Telecommunicatiewet, Wet politiegegevens en de Wet justitiële en strafvorderlijk gegevens. In dit artikel zullen verder enkel de boetes uit de AVG besproken worden (artikel 2).
Inhoud boetebeleid
De AP heeft vier categorieën AVG-overtredingen vastgesteld met een bijbehorende boetebandbreedte. Het niet aanwijzen van een FG is bijvoorbeeld categorie 1, de laagste categorie. In de zwaarste categorie valt onder andere het verwerken van bijzondere persoonsgegevens, zonder dat het verwerkingsverbod is doorbroken. Het is dus heel belangrijk om goed te kijken of u medische gegevens mag verwerken, of u niet te veel verwerkt en of u de juiste grondslag heeft. De bandbreedtes zien er als volgt uit (artikel 2):
Opvallend is dat de hoogste boete hier ‘’slechts’’ 1 miljoen is. Tevens wordt vanuit een basisboete gedacht oftewel het midden van de bandbreedte. Het valt dus mee met hoogte van de boetes die de AP wil opleggen, gelet op het feit dat ze tot 20 miljoen of 4% van de jaaromzet mogen opleggen. Afhankelijk van de concrete overtreding kan op basis van verschillende zaken binnen de vastgestelde bandbreedte de boetehoogte vastgesteld worden. Factoren als ernst en duur van de inbreuk, opzettelijke nalatigheid en de vooraf genomen maatregelen worden meegewogen (artikel 6 en 7).
Verder in het beleid staan omstandigheden waarmee de AP buiten de bandbreedte kan treden (artikel 8). Dit kan indien de boetecategorie niet tot een passende bestraffing leidt, ofwel omdat de boete te hoog is ofwel omdat de boete te laag is. Hierin zit dus de ruimte om de Googles van deze wereld zwaarder te beboeten. Ook kunnen de financiële omstandigheden van de overtreder een rol spelen bij het verlagen van de boete indien er onvoldoende draagkracht is (artikel 9). Bij recidive is de AP voornemens de boete met 50% te verhogen (artikel 10).
Haar vorige boetebeleidsregels uit 2016 heeft de AP slechts eenmaal gebruikt om Uber te beboeten. Anno 2020 heeft de AP al meerdere malen gebruik gemaakt van de boetebeleidsregels en verschillende boetes opgelegd.
¹ Overigens bestond er met betrekking tot de Wet meldplicht datalekken al een boetebeleidsregels 2016.