Aangepast AVG-boetebeleid: gevolgen voor de praktijk

De AVG is al even van kracht, maar het boetebeleid van de Autoriteit Persoonsgegevens (AP) stamde nog uit de tijd van Wbp (Wet bescherming persoonsgegevens). Daar is nu verandering in gekomen: de AP introduceerde onlangs een nieuw boetebeleid. Wat betekenen de nieuw spelregels voor organisaties?

Twee categorieën

De grootste verandering is de opdeling van de boetes in twee categorieën:

1. Nalaten van verplichtingen

De eerste boetecategorie behandelt boetes uitgedeeld bij het nalaten van verplichtingen. De voor de privacy verantwoordelijke partij (de verwerkingsverantwoordelijke) heeft ten overstaan van de betrokken onder de AVG allerlei verplichtingen.

Zo heeft deze een ‘zorgplicht’: organisaties moeten op verzoek vlot inzage kunnen geven in persoonsgegevens, of deze verwijderen, corrigeren of overdraagbaar maken. Ook vallen onder deze categorie administratieve verplichtingen, zoals het bijhouden van een verwerkingsregister.

Komt een organisatie een verplichting niet na, dan kan de AP een boete opleggen van maximaal 10 miljoen euro of 2% van de jaaromzet, afhankelijk van welk bedrag het hoogst is.

2. Overtreding van beginselen of grondslagen

De tweede categorie behelst zwaardere overtredingen: deze geldt wanneer verantwoordelijke organisaties beginselen of grondslagen schenden. Denk aan ernstige datalekken veroorzaakt door nalatigheid, waarbij de privacy of veiligheid van betrokkenen in het geding komt. Maar denk ook aan organisaties die de basisprincipes aan hun laars lappen, zoals het zonder uitdrukkelijke toestemming verwerken van persoonsgegevens.

De maximale boete voor overtredingen in de tweede categorie is het wettelijk vastgelegde maximum: 20 miljoen euro of 4% van de jaaromzet, afhankelijk van welk bedrag het hoogst is. AP morrelt uiteraard niet aan de wettelijk vastgelegde maximale hoogte.

Praktische gevolgen

Het nieuwe boetebeleid heeft gevolgen voor organisaties, met name de introductie van categorie 1. De AP neemt hiermee iedere twijfel weg of het nalaten van dergelijke verplichting al dan niet zou kunnen resulteren in een mogelijk zeer hoge geldboete. Dat betekent dat organisaties een extra argument hebben om ervoor te waken dat zij aan alle gestelde verplichtingen voldoen.

Zo zijn naast meer voor de hand liggende zaken als een verwerkingsregister ook zorgvuldig uitgewerkte, vastgelegde procedures voor het afhandelen van verzoeken van betrokkenen als het gaat om hun persoonsgegevens geen luxe, maar absolute noodzaak.

Oplossing

In onze softwareoplossing YourSafetynet hebben we beide ‘boetecategorieën’ getackeld. We voorzien zowel in kant-en-klare opzet voor een verwerkingsregister als in zorgvuldig uitgewerkte procedures voor het gehoor geven aan verzoeken voor betrokkenen.

Niet definitief

De kans bestaat overigens dat deze regels weer op de schop gaan. Op dit moment is er namelijk nog geen Europese richtsnoer voor een boetebeleid. Daarom heeft de AP zelf het initiatief genomen voor een lokaal beleid. Op het moment dat dit Europese richtsnoer werkelijkheid is, zal de AP het boetebeleid hier zeer waarschijnlijk op afstemmen.

Aanmelden nieuwsbrief

Blogs en artikelen over dataprivacy, IT-beleid, de privacywetgeving en aanverwante onderwerpen. Blijf up-to-date en laat je niet verrassen.

Je bent succesvol aangemeld voor onze nieuwsbrief!

YourSafetynet Folder

De 4 pijlers van YourSafetynet

Voldoen aan de AVG duur, tijdrovend en ingewikkeld? Niet met YourSafetynet. Onze totaaloplossing maakt jouw organisatie 100% AVG-proof. Zonder ingewikkeld gedoe. Download de 4 pijlers van YourSafeynet.

Bedankt voor je aanvraag. Check je e-mail... ook de SPAM-box. Binnen een paar minuten ontvang je een bericht.

YourSafteynet eBook

Jouw website 100% AVG-proof

De nieuwe Europese privacywetgeving heeft grote gevolgen voor je website. In dit eBook laten we zien hoe je privacy-issues voorkomt en jouw site 100% in lijn brengt met de AVG/GDPR. Eenvoudig en stap-voor-stap.

Bedankt voor je aanvraag. Check je e-mail... ook de SPAM-box. Binnen een paar minuten ontvang je een bericht.