• Nieuws

Bijten blaffende waakhonden wel? Over AVG en boetes

14 maart 2018
Bestuursrecht - Privacy - IT & privacy - Handhaving en sancties

Over de Algemene Verordening Gegevensbescherming (AVG) wordt vaak gesproken als een “storm waiting to happen”. Eén van de donkere wolken boven de horizon betreft de mogelijkheid die de AVG aan de Autoriteit Persoonsgegevens (AP) verschaft om torenhoge boetes op te leggen. Bedrijven die in mei 2018 niet voldoen aan de AVG riskeren een boete van 20 miljoen of meer!
Veelal wordt het beeld geschetst van een waakhond met enorme tanden die vanaf 25 mei 2018 zomaar voor de deur – of erger nog: binnen in een woning – kan staan met een leger aan toezichthouders. De AP zelf meldt ook duidelijk op haar website dat ze straks de bevoegdheid krijgt om de genoemde hoge boetes op te leggen.
Ligt u al wakker van het geblaf van de privacy-waakhond? Dat is misschien helemaal niet nodig.

Hoe was het ook weer?

Vanaf 25 mei 2018 geldt in Nederland de AVG, en niet meer de Wet Bescherming Persoonsgegevens (WBP).
Vaak wordt Europese regelgeving eerst via nationale wetten ingepast in ons rechtssysteem. De AVG vormt daarop een uitzondering: die heeft (omdat het een Verordening betreft) directe werking.
Inhoudelijk verandert er niet eens zo heel veel. Het aanstellen van een Functionaris Gegevensbescherming is voor sommige bedrijven verplicht. Deze functionaris zal moeten gaan zorgen dat de interne procedures op orde zijn. Ook zal deze functionaris bijvoorbeeld meldingen van gegevensverwerkingen bijhouden, en klachten omtrent gegevens-verwerking afhandelen. Op de website van de Autoriteit Persoonsgegevens staat reeds een register waar de functionarissen die bij de AP gemeld zijn in staan.

In de Verordening wordt verder bepaald dat elke lidstaat een toezichthouder dient te hebben. In Nederland wordt die taak toebedeeld aan de Autoriteit Persoonsgegevens. Die hield al toezicht op de WBP, de genoemde voorganger van de AVG. De AP wordt echter ook – samen met de betreffende instanties van andere lidstaten – een Europese toezichthouder, en niet zozeer alleen een Nederlandse toezichthouder.

Dan de boetes. De AP is bevoegd om alle taken en bevoegdheden die in de Verordening worden gedefinieerd, uit te oefenen. Welke taken en bevoegdheden dat zijn, wordt bepaald in de artikelen 57 en 58 van de AVG. De Verordening bepaalt daarnaast in artikel 83 dat boetes tot 20 miljoen euro kunnen worden opgelegd, of voor een onderneming tot 4% van de totale wereldwijde jaaromzet indien die omzet de 20 miljoen euro over-stijgt. Eenzelfde bepaling staat in de UAVG. Ook kan de AP een last onder bestuursdwang en een last onder dwangsom opleggen – tegelijkertijd met het opleggen van een boete. Deze sancties kunnen ook worden gepubliceerd. Daarnaast bestaan minder vergaande bevoegdheden, zoals bijvoorbeeld het waarschuwen van de betreffende verwerker of “verwerkingsverantwoordelijke”. Bovendien kunnen degenen die belast zijn met het toezicht op de naleving een woning betreden tegen de wil van de bewoner. Dat laatste wordt bepaald in de UAVG.

Tanden heeft de AP dus zeker wel. Bovendien kunnen onder de AVG ook boetes worden opgelegd zonder dat eerst een bindende aanwijzing wordt gegeven door de AP. En dat kan vooralsnog (onder de thans geldende Wet Bescherming Persoonsgegevens) niet.

Waar kunnen nu precies boetes voor worden opgelegd?

Overtredingen van de AVG kunnen in twee categorieën worden opgesplitst: overtredingen vanwege schending van fundamentele beginselen, en overtredingen vanwege schending van administratieve regels. De hoogste boetes kunnen worden opgelegd voor overtredingen die vallen in de eerste categorie.
Bij fundamentele beginselen moet worden gedacht aan een rechtmatige en transparante verwerking van correcte gegevens, voor een geoorloofd doel. Informatie over de wij-ze waarop persoonsgegevens worden verwerkt moet toegankelijk, eenvoudig en begrijpelijk zijn.
Schending van administratieve regels kan bijvoorbeeld bestaan indien ten onrechte geen Functionaris Gegevensbescherming is aangesteld, indien datalekken niet worden gemeld of indien de beveiligingsmaatregelen onvoldoende zijn.
Daarnaast vormt het niet naleven van een bevel van een toezichthouder ook een grond voor het opleggen van een boete.

Wij vinden het problematisch dat de normen die de AVG beschrijft, behoorlijk ruim zijn. Het zal daardoor voor rechtssubjecten lastig zijn om zelf te bepalen dat hun gedrag of werkwijze toegestaan is. Zeker als boetes kunnen worden opgelegd, moet de wet helder zijn. Wij missen die helderheid. De donkere wolken blijven daardoor aanwezig.

Gaat het zo’n vaart lopen?

Wat ons betreft is er echter niet meteen reden om bevreesd te zijn voor een boete die in de miljoenen loopt.
Boetes mogen niet zomaar worden opgelegd, en als ze worden opgelegd moet er bovendien altijd sprake zijn van evenredigheid. Dit volgt letterlijk uit artikel 83 lid 1 van de AVG, en overigens ook uit de Algemene Wet Bestuursrecht (Awb).
De AP mag al enige tijd boetes opleggen, en heeft daar ook al enige tijd beleidsregels voor. Ons is niet bekend of en wanneer deze Beleidsregels wijzigen, maar er zal in ieder geval een omzetting dienen plaats te vinden. In de huidige beleidsregels is in ieder geval ook al bepaald dat boetes maximaal €900.000,- kunnen bedragen.
Het kan voor de daadkracht van het AP helpen dat het niet noodzakelijk meer is om eerst een bindende aanwijzing te geven, maar dat men onmiddellijk kan overgaan tot het opleggen van een boete. Wij zien dit overigens als een groot nadeel. Daarover hieronder meer.

Evenredigheid

De AVG bepaalt dat met een aantal zaken rekening moet worden gehouden indien een boete wordt opgelegd.
Allereerst is uiteraard van belang hoe ernstig de overtreding is of was, en hoe lang deze duurde. Hoeveel betrokkenen zijn er? Om wat voor soort gegevens gaat het? Hebben de betrokkenen schade geleden, en hoe groot is die schade? Heeft de overtreder er geld mee verdiend? Is de overtreding opzettelijk gepleegd? Heeft de overtreder getracht om de schade zoveel mogelijk te beperken? Was het de eerste overtreding of niet?
Verder moet de AP onder andere kijken naar de mate waarin de overtreder medewerking heeft verleend aan het onderzoek. Concreet kan dat gaan om de vraag of informatie volledig en tijdig is aangeleverd, of om de vraag of afspraken om verklaringen af te leggen probleemloos zijn gemaakt. Daarnaast kan van belang zijn in hoeverre de medewerking vrijwillig was, en in hoeverre de AP gebruik moest maken van wettelijk toegestane middelen om die medewerking te krijgen.
De Verordening bepaalt dus welke facetten moeten worden meegenomen bij het ne-men van de beslissing óf er een boete moet worden opgelegd, en welke hoogte deze moet hebben. Verwacht mag worden dat het maximum van 10 of 20 miljoen niet snel zal worden bereikt.
Om een vergelijking met een ander rechtsgebied te maken: voor een eenvoudige winkeldiefstal kan ook een gevangenisstraf van 4 jaar worden opgelegd. Maar wie voor het eerst betrapt wordt, hoeft vaak niet voor te komen en komt er vanaf met een boete van een paar honderd euro.

Rechtsbescherming

Voor degene aan wie een boete wordt opgelegd, staat altijd de weg naar de rechter open. Dat is in het geval van de AVG niet anders. Allereerst moet de (vermeende) overtreder in de gelegenheid worden gesteld om zijn of haar zienswijze kenbaar te maken. Dat volgt uit de Algemene Wet Bestuursrecht (Awb). Die zienswijze gaat vooraf aan de definitieve vaststelling van de boete. Daarnaast kan er bezwaar worden aangetekend tegen de boete zoals de AP die vaststelt. De AP moet er dan opnieuw naar kijken. Leidt dat niet tot het gewenste resultaat, dan kan de beboete persoon in beroep bij de rechtbank, en daarna kan ook nog hoger beroep worden aangetekend. Met andere woorden: de beslissing van de rechter is desgewenst doorslaggevend, en niet die van de AP.

Schorsende werking

Een verschil met vele andere procedures waarin bestuurlijke boetes kunnen worden opgelegd is bovendien dat het instellen van bezwaar en beroep de werking van het boetebesluit schorst. Dat is wel zo fijn wanneer het gaat om een rechtsgebied dat nog grotendeels onontgonnen is, en waarbij de boetes die kunnen worden opgelegd hoog zijn.

Capaciteit

De AP heeft het druk, en als men fors wil gaan handhaven, krijgt de AP het nog veel drukker. De AP zal bekijken in welke mate de werklast toeneemt, zo zegt men. Vermoedelijk zal de conclusie zijn dat een uitbreiding van het budget nodig is.
Het opleggen van boetes is immers niet iets dat een organisatie er zomaar even bij doet. Met de beperkte capaciteit die men heeft moeten niet alleen onderzoeken worden gedaan, maar ook boeterapporten worden geschreven én bezwaarprocedures worden gevoerd. Er zullen dus telkens keuzes worden gemaakt: waar wordt wel opgetreden, en waar niet. De AP zal ook willen dat haar beslissingen in stad blijven, als ze door een rechter worden getoetst.

Keerzijde

Aan de andere kant hebben we toch ook wel wat zorgen. Die houden verband met de open normen die in de AVG staan, maar waaraan rechtssubjecten zich straks wel moeten houden. Anders gezegd: de Verordening is vaak weinig specifiek, waardoor niet altijd duidelijk is wat er mag en wat er niet mag. Het is in het bestuursrecht in het alge-meen gebruikelijk om niet zomaar een boete op te leggen, maar om eerst een waarschuwing te geven. Zoals het er nu uitziet, hoeft de AP dat echter niet te doen: men mag rauwelijks een boete opleggen. Daarmee ontstaat de onwenselijke combinatie van een potentieel hoge boete die als een donderslag bij heldere hemel komt. Het verdient naar onze mening de voorkeur om een overtreder eerst de kans te geven om zijn gedrag te corrigeren.

Conclusie

Het is waar dat de AP bijzonder hoge boetes kan opleggen. Echter, iemand die een winkeldiefstal pleegt kan ook vier jaar de gevangenis in gaan. Dat gebeurt echter nooit. De maximumstraf zegt niet alles.
De AP zal zeker gaan handhaven. Men moet wel: wanneer men het niet doet, gaat dat ten koste van de geloofwaardigheid. Een waakhond moet tenslotte niet alleen maar blaffen, maar ook bijten wanneer iemand de regels overtreedt.
Wij verwachten dat een eerste “landmark-case” zich zal afspelen op een gebied waar de AP oordeelt dat een relatief ernstige schending bestaat, die relatief eenvoudig is aan te tonen. Of, als alternatief, daar waar een partij die naar het oordeel van het AP een extra grote verantwoordelijkheid draagt c.q. een belangrijke speler is, de regels overtreedt.
De vraag is of het boetebeleid dat nu nog geldt, ongewijzigd blijft gelden. Wij vermoeden dat het beleid wat dat betreft strenger wordt.
Rechtssubjecten zijn echter niet zomaar de klos. Er zijn regels die er voor moeten zor-gen dat boetes niet onredelijk hoog zijn. Er zijn daarnaast procedures die er voor zorgen dat de rechter, en niet de AP, hier het laatste woord in heeft.
Bovendien zal de Autoriteit keuzes moeten maken in de handhaving. Daarbij zal men ook moeten wennen aan de processen die gepaard gaan met het opleggen van boetes. Dit kost tijd, en capaciteit. Verwacht kan worden dat de grootste overtreders eerder te maken zullen krijgen met handhaving.

Meer informatie

Print dit artikel