• Nieuws

Boetebevoegdheid Autoriteit Persoonsgegevens

14 januari 2016
Privacy

Vanaf 1 januari 2016 heeft de Autoriteit Persoonsgegevens een ruimere boetebevoegdheid. Niet alleen kan de Autoriteit Persoonsgegevens in meer gevallen een boete opleggen, maar ook kan zij hogere boetes opleggen.

Hiermee wordt voorgesorteerd op de aankomende Algemene verordening gegevens bescherming, die ook hoge boetes zal kennen.

De boetes kunnen worden opgelegd bij overtreding van vrijwel elke bepaling uit de Wet bescherming persoonsgegevens. Deze boetes kunnen oplopen tot EUR 820.000, of 10% van de jaaromzet als EUR 820.000 geen passende bestraffing zou zijn. Hiermee is de uitbreiding van de boetebevoegdheid aanzienlijk; tot aan deze wetswijziging kon de Autoriteit Persoonsgegevens slechts in een beperkt aantal gevallen een boete opleggen, waarbij de maximale boete EUR 4.500 bedroeg.

In het algemeen geldt dat de Autoriteit Persoonsgegevens pas een boete kan opleggen nadat zij een bindende aanwijzing heeft gegeven, die nadien niet is opgevolgd. De bindende aanwijzing kan echter worden overgeslagen in gevallen van opzettelijke overtreding, of ernstig verwijtbare nalatigheid.

De Autoriteit Persoonsgegevens heeft (concept) beleidsregels opgesteld, waaruit blijkt welke bepalingen tot welke boetes kunnen leiden. Simpel gezegd houdt systematiek in dat de boete hoger wordt naar mate de aard van de geschonden wetsbepaling ernstiger is. De wetsbepalingen die zien op de materiële rechten van de betrokkene (bijvoorbeeld het verwerken van bijzondere persoonsgegevens, zoals gezondheidsgegevens) worden zwaarder bestraft dan de bepalingen die louter procedurele waarborgen bieden.

Hoe hoog een boete in een concreet geval zal zijn is mede afhankelijk van factoren zoals de ernst en de verwijtbaarheid van de overtreding. Hiernaast zijn er boeteverhogende omstandigheden (recidive, of het frustreren van het onderzoek naar de overtreding) en boeteverlagende omstandigheden (onder andere verdergaande medewerking verlenen aan het onderzoek naar de overtreding en zelfstandige beëindiging van de overtreding).

Al met al is de Autoriteit Persoonsgegevens definitief geen papieren tijger meer, en kan zij naast het effectieve middel van ‘naming and shaming’ nu ook financiële sancties opleggen. Het is de verwachting dat de Autoriteit Persoonsgegevens in 2016 enkele voorbeelden zal gaan stellen om duidelijk te maken dat (en hoe) zij deze boetebevoegdheid toepast – zorg ervoor dat u niet een van deze voorbeelden wordt!

 

Wilt u op de hoogte blijven van de laatste ontwikkelingen in het privacy-recht? Meld u dan aan voor de Privacy Nieuwsbrief.