Home
Nieuws

Autoriteit Persoonsgegevens; een waakhond die kan bijten. Bent u compliant? Doe onze check!

Artikel geplaatst op 31 maart 2016

De “Wet Meldplicht Datalekken en Uitbreiding Bestuurlijke Boetebevoegdheid Autoriteit privacy compliance checkPersoonsgegevens” is per 1 januari 2016 van kracht en opgenomen in de Wet bescherming persoonsgegevens. Sindsdien zijn er ongeveer 700 meldingen van datalekken binnengekomen bij de Autoriteit Persoonsgegevens, waarvan er ruim 450 nader worden bekeken (cijfers 8 maart 2016). De boetebevoegdheden van de Autoriteit Persoonsgegevens zijn fors uitgebreid. Zij kan nu boetes opleggen van maximaal 820.000 euro of tien procent van de jaaromzet. De Autoriteit Persoonsgegevens is daarmee een waakhond geworden die nu ook kan bijten. Daardoor is het nu nóg belangrijker dat organisaties zorgen dat zij voldoen aan de geldende wet- en regelgeving inzake de bescherming van persoonsgegevens.

Doe daarom onze Privacy Compliance Check!

Boetebevoegdheid Autoriteit Persoonsgegevens

De Autoriteit Persoonsgegevens kan boetes tot 820.000 euro of tien procent van de jaaromzet opleggen voor overtreding van diverse bepalingen van de Wet bescherming persoonsgegevens (hierna: ‘Wbp’). De boete kan bijvoorbeeld worden opgelegd als uw organisatie:

  • persoonsgegevens verwerkt zonder hiervoor te beschikken over een vooraf vastgesteld gerechtvaardigd doeleinde en een grondslag (bijvoorbeeld de toestemming van de betrokkene);
  • persoonsgegevens langer bewaart dan noodzakelijk is voor het doeleinde;
  • onvoldoende beveiligingsmaatregelen neemt ter bescherming van persoonsgegevens tegen verlies of onrechtmatige verwerking;
  • het verbod op verwerking van gevoelige persoonsgegevens – zoals ras, gezondheid of BSN – overtreedt, zonder een beroep te kunnen doen op een uitzonderingsgrond;
  • een datalek niet meldt of geen overzicht bijhoudt van alle inbreuken op de beveiliging van persoonsgegevens.

Bindende aanwijzing

Legt de Autoriteit Persoonsgegevens altijd een boete op voor dergelijke overtredingen? Nee, zij zal bij constatering van een overtreding de overtreder in principe eerst een bindende aanwijzing geven. Zo kan zij bindend voorschrijven de desbetreffende overtreding ongedaan te maken. Een bindende aanwijzing wordt niet gegeven als de overtreding opzettelijk is gemaakt of wanneer er sprake is van ernstig verwijtbare nalatigheid van de overtreder. De boete kan in dat geval direct worden opgelegd.

Vaststellen hoogte boete

Hoe wordt de hoogte van de boete vastgesteld? De Autoriteit Persoonsgegevens heeft hiervoor boetebeleidsregels opgesteld. Hierin maakt zij onderscheid tussen drie categorieën:

  • Categorie I met een boetebandbreedte tussen 0 euro en 200.000 euro;
  • Categorie II met een boetebandbreedte tussen 120.000 en 500.000 euro;
  • Categorie III met een boetebandbreedte tussen 350.000 en 820.000 euro.

Hoe ernstiger de overtreding, hoe zwaarder in beginsel de boete. Overtreding van het verbod op verwerken van gevoelige persoonsgegevens wordt bijvoorbeeld als zeer ernstig aangemerkt. Dit valt daarom in de boetecategorie III.

Bij het opleggen van de boete wordt rekening gehouden met de omstandigheden van het geval. Hierbij kan worden gedacht aan omstandigheden als de aard en omvang van de overtreding, de duur van de overtreding en de impact van de overtreding op de betrokkenen en/of de maatschappij. Ook houdt de Autoriteit Persoonsgegevens rekening met verwijtbaarheid van de overtreder

Tevens wordt rekening gehouden met eventuele boeteverhogende en –verlagende omstandigheden. Recidive is bijvoorbeeld een boeteverhogende omstandigheid. Medewerking verlenen aan de Autoriteit Persoonsgegevens die verder gaat dan wettelijk verplicht is, geldt als een boeteverlagende omstandigheid. Beëindigt de overtreder uit eigen beweging de overtreding, dan is dat ook een boeteverlagende omstandigheid. Hetzelfde geldt als de overtreder - uit eigen beweging – de benadeelden schadeloos stelt.

Conclusie

Kortom, de Autoriteit Persoonsgegevens heeft tanden gekregen. De sancties op overtreding van de Wbp kunnen verregaand zijn. Het zal wellicht niet direct boetes regenen, want de Autoriteit Persoonsgegevens zal in beginsel eerst een bindende aanwijzing geven. De dreiging op boetes vanwege niet-naleving van de Wbp is echter groter geworden dan vóór 1 januari 2016. Mede daarom is het van groot belang om uw organisatie compliant te maken met de wet- en regelgeving op het gebied van bescherming van persoonsgegevens.

Op onze website vindt u een Privacy Compliance Check waarmee u snel kunt beoordelen of uw organisatie voldoet aan deze wet- en regelgeving!