PRIVACY - 19.04.2019

Hoe hoog zijn de boetes bij schending privacy AVG?

De Algemene verordening gegevensbescherming (AVG) is van toepassing in de gehele EU. Ook binnen de zorg. De Autoriteit Persoonsgegevens (AP) heeft op 14 maart 2019 het beleid voor boetes bekendgemaakt. Hoe zit dat?

Bijgewerkte versie

De nieuwe beleidsregels lijken sterk op de ‘oude’ beleidsregels zoals die golden onder de Wet bescherming persoonsgegevens. De beleidsregels gaan niet alleen over de AVG, maar ook over andere wetten waar de AP de bevoegde toezichthouder is (zoals de Wet politiegegevens en de Wet justitiële en strafvorderlijke gegevens).

Samenvatting. De beleidsregels komen kort neer op het volgende:

  • afhankelijk van het overtreden artikel geldt een basisboete en een boetebandbreedte;
  • afhankelijk van de omstandigheden wordt die basisboete of het minimum of het maximum van de bandbreedte gehanteerd;
  • als dat geen passend resultaat oplevert, kan er een boete uit een hogere of lagere categorie worden opgelegd;
  • bij herhaling volgt een verhoging met 50%;
  • als de beboete partij onvoldoende draagkracht heeft, kan de boete worden gematigd;
  • bij meerdere boetes wordt het wettelijke boetemaximum nooit overschreden.

Categorieën van overtredingen

Iedere overtreding zijn categorie. De overtredingen van de AVG zijn in categorieën verdeeld. In de bijlage van de beleidsregels staat per AVG-artikel in welke categorie een overtreding daarvan valt.

Hoe zwaarder, hoe hoger ... De AP lijkt geprobeerd te hebben overtredingen van ernstige aard in een hoge categorie te plaatsen en de overtredingen van meer administratieve aard in een lagere categorie. Zo valt op dat de beginselen en de rechten van betrokkenen zeer zwaar wegen, evenals alles wat met het buitenland te maken heeft. Ook het niet meewerken met de toezichthouder wordt zwaar beboet.

Niet voor extreme gevallen. Het niet hebben van beveiliging wordt bijv. minder zwaar bestraft dan het niet melden van een datalek. De verdere verwerking van gegevens voor statistische doeleinden zonder afdoende waarborgen valt ook in een hoge categorie (3). In de basis denkt de AP niet direct aan de wettelijke maxima van 10 en 20 miljoen (of 2% of 4% van de omzet). Die zijn kennelijk voor de extreme situaties bedoeld.

De bedragen

De bedragen voor schending van de AVG komen op het volgende neer:

categorie boete-bandbreedte (€) basisboete
I 0 tot 200.000 € 100.000
II 120.000 tot 500.000 € 310.000
III 300.000 tot 750.000 € 525.000
IV 450.000 tot 1.000.000 € 725.000

Overwegingen. De toezichthouder moet bij het toekennen van een boete (o.a.) rekening houden met:

  • de aard, ernst en duur van de inbreuk;
  • de maatregelen die zijn genomen om de schade te beperken;
  • eerdere inbreuken;
  • medewerking die is verleend aan de toezichthouder;
  • het feit of de verwerkingsverantwoordelijke is aangesloten bij een goedgekeurde gedragscode of certificering.
Wees alert op de beveiliging van de data van uw praktijk. Zorg in ieder geval dat u inbreuk snel op het spoor bent en neem direct maatregelen. Verleen medewerking als de toezichthouder onderzoek wil doen en zorg voor certificering. Zo houdt u een boete zo laag mogelijk.

Contactgegevens

Indicator BV | Schootense Dreef 31 | Postbus 794 | 5700 AT Helmond

Tel.: 0492 - 59 31 31 | Fax: 040 - 711 17 00

klantenservice@indicator.nl | www.indicator.nl

 

KvK-nummer: 17085336 | Btw-nummer: NL-803026468B01