Is angst voor hoge AVG / GDPR boetes terecht?
In artikelen, presentaties en publicaties waar de GDPR / AVG wordt besproken, wordt vaak (te) snel gewezen op de nieuwe boetemogelijkheden van de Autoriteit Persoonsgegevens (AP). Wie de GDPR / AVG overtreedt loopt vanaf 25 mei 2018 het risico op een boete van maximaal 20 miljoen euro, of – indien hoger – 4 procent van de jaarlijkse wereldomzet. Dit zijn hoge boetebedragen die angst kunnen inboezemen. Maar is deze angst terecht?
Vanuit Lumen Group denken wij altijd eerst vanuit overzicht en inzicht in de regels (context) en bepalen vandaaruit wat de acties zijn (en of angst in dit geval de beste raadgever is).
Tijd dus om een blik te werpen op de boete-opleggingscriteria die de GDPR / AVG bevat en naar de guidelines die hierover in oktober 2017 zijn verschenen vanuit de Europese toezichthouders (WP 29 Werkgroep). We pakken er een paar in het oog springende zaken uit.
Beperkte capaciteit AP
De kans op een onderzoek van de AP bij uw organisatie is (nog) niet heel groot. Immers, de omvang van bedrijven en organisaties als scope van de AP die aan de nieuwe regels moeten voldoen is enorm. De toezichts-capaciteit van de AP groeit snel, maar is nog niet voldoende op sterkte. Er zullen dus prioriteiten worden gesteld waar de AP zich op richt. Dit maakt de ‘pakkans’, en dus het risico op een boete, voorlopig relatief klein.
Andere handhavingsmiddelen dan boetes
Boeteoplegging is niet het enige handhavingsmiddel dat de AP kan hanteren. Er is een hele set aan (in)formele correctie / sanctiemiddelen. Hierbij valt te denken aan waarschuwen, berispen, geven van reprimandes en het opleggen van een verwerkingsverbod. De toezichthouder zal steeds per omstandigheid moeten bekijken welk middel het meest geschikt is haar doelen te bereiken. Boeteoplegging is daarbij dus slechts één van de mogelijkheden.
Boete-criteria uit de AVG/GDPR
Voordat de AP overgaat tot boeteoplegging zal zij steeds een zorgvuldige afweging moeten maken gebaseerd op de in het voorafgaande onderzoek verzamelde feiten. De AP legt de feiten naast een aantal (wettelijke) criteria en bekijkt dit in onderlinge samenhang. Dit leidt tot een besluit tot al dan niet boeteoplegging. Dezelfde criteria worden gebruikt om de hoogte van de boete te bepalen. Zonder daarbij volledig te zijn, springen een aantal criteria in het oog die door de AP allemaal worden meegewogen in haar totaaloordeel:
- het aantal getroffen betrokkenen (b.v. door een datalek) en de omvang van de door hen geleden schade (dit kan overigens ook niet-financiële schade zijn). Dus; hoe groter de schade en het aantal getroffen personen, des te groter de kans op boeteoplegging, dan wel kans op een hoge boete.
- de opzettelijke of nalatige aard van de inbreuk. Dus; opzettelijkheid of nalatigheid in het handelen wegen zwaar.
- de genomen maatregelen om de door betrokkenen geleden schade te beperken. Zijn er vooraf voldoende (beheers)maatregelen genomen om te voorkomen dat onjuist werd gehandeld? Als dit laatste wel het geval is dan is er sprake van slechts een incident. Is dit niet het geval dan is er structureel niets ingeregeld en is de kans op een boete groter.
- eerdere relevante inbreuken. Is er vaker iets soortgelijks voorgekomen dan is dit een verzwarende factor voor boeteoplegging, dan wel voor de hoogte van de boete.
- de mate waarin er met de toezichthoudende autoriteit is samengewerkt om de inbreuk te verhelpen en de mogelijke negatieve gevolgen daarvan te beperken.
- de categorieën van persoonsgegevens waarop de inbreuk betrekking heeft. Als het betrekking heeft op bijzondere persoonsgegevens zoals gezondheidsgegevens is dit een verzwarende factor.
Als niet naar de DPO / FG wordt geluisterd…..
In de lijst van gezichtspunten van de WP 29 wordt genoemd dat een organisatie eerder een boete krijgt als zij welbewust de adviezen van haar Data Protection Officer / Functionaris Gegevensbescherming in de wind slaat. Op zich is dat een vanzelfsprekende gedachte, want een organisatie die willens en wetens de AVG/GDPR schendt, handelt kwalijker dan de organisatie die uit onwetendheid de spelregels overtreedt.
Conclusie
Bovenstaande leidt wat ons betreft tot de conclusie dat het zaak is jezelf niet vooraf angst te laten inboezemen door de boete-opleggingsmogelijkheden van de AP. Wel is het raadzaam om vooraf voldoende (beheers)maatregelen te nemen om zo veel mogelijk buiten het bereik van de AP te blijven voor wat betreft boete-opleggingen. U kunt uiteraard Lumen Group benaderen voor een advies hierover.