De beveiliging van persoonsgegevens (O&R nr. 135) 2022/6.6.1:6.6.1 Bestuursrechtelijke weg

De beveiliging van persoonsgegevens (O&R nr. 135) 2022/6.6.1

6.6.1 Bestuursrechtelijke weg

Documentgegevens:

mr. J.A. Hofman, datum 01-07-2022

Datum: 01-07-2022
Auteur: mr. J.A. Hofman
JCDI: JCDI:ADS660977:1
Vakgebied(en): Privacy (V)

De AP kan verschillende maatregelen nemen wanneer een verwerkingsverantwoordelijke of verwerker de AVG schendt. Ze kan een verwerkingsverantwoordelijke of verwerker een waarschuwing of berisping geven, gelasten dat hij zijn verwerking binnen een bepaalde termijn in overeenstemming met de AVG brengt en een verwerkingsverbod opleggen.1 Verder kan de AP een inbreuk beboeten. Voor de invulling van de AVG-beveiligingsbepalingen zijn met name de regels omtrent deze boetes van belang. Er bestaat een opvallend verschil tussen de boetemogelijkheden bij een schending van art. 5 lid 1 onder f AVG en de boetemogelijkheden bij een schending van art. 32 AVG.

Administratieve geldboetes moeten “doeltreffend, evenredig en afschrikkend” zijn.2 De AVG kent toezichthouders veel vrijheid toe bij het vaststellen van de hoogte van de boete, zodat zij die kunnen afstemmen op de omstandigheden van het geval.3 Zij moeten hierbij rekening houden met onder meer de aard en duur van de inbreuk, de geleden schade, de eventuele opzettelijke of nalatige aard van de inbreuk, de mate waarin de betrokken verwerkingsverantwoordelijken en verwerkers verantwoordelijk waren, de getroffen maatregelen waarmee de schade is gepoogd te beperken en de relevante eerdere inbreuken door de verwerkingsverantwoordelijke en verwerker.4 Ze kunnen waarde toekennen aan iedere verzwarende of verzachtende factor die in een concreet geval speelt.5 Toezichthouders hebben hierdoor een grote mate van vrijheid. Wel worden ze aangemoedigd om bij de toepassing van de AVG rekening te houden met de specifieke behoeften van micro-, kleine en middelgrote ondernemingen.6 Verder moeten ze in hun afweging meenemen dat vergelijkbare gevallen tot vergelijkbare uitkomsten dienen te leiden, zowel op nationaal als op Europees niveau.7 In dit kader stimuleert de AVG de totstandkoming van zogenoemde coherentiemechanismen, die de samenwerking tussen toezichthoudende autoriteiten moeten bewerkstelligen en hen houvast kunnen geven bij het opleggen van administratieve geldboetes.8 Dit draagt bij aan het consequente toezicht en de eenvormige handhaving die met de AVG is beoogd.9

Hoewel de AVG het aan toezichthouders laat om boetes af te stemmen op de omstandigheden van een concreet geval, bevat zij wel een grens voor de hoogte van deze boete. Dit maximum is voor ‘het normatieve hart van de AVG’, oftewel een beginsel, dubbel zo hoog als voor een inbreuk op vele ‘gewone’ verplichtingen van verwerkingsverantwoordelijken en verwerkers.10 Bij een schending van art. 5 AVG kan een administratieve geldboete worden opgelegd van maximaal €20.000.000, of, indien dat tot een hoger bedrag leidt, van ten hoogste 4% van de totale wereldwijde jaaromzet die de verwerkingsverantwoordelijke in het voorgaande boekjaar heeft gemaakt.11 Bij een schending van veel andere bepalingen, waaronder art. 32 AVG, kan de toezichthouder een administratieve geldboete opleggen van maximaal €10.000.000, of, indien dat tot een hoger bedrag leidt, van ten hoogste 2% van de totale wereldwijde jaaromzet die de verwerkingsverantwoordelijke of verwerker in het voorgaande boekjaar heeft gemaakt.12

De boetes die de AP oplegt, zullen doorgaans niet in de buurt komen van de boete die zij op grond van de AVG maximaal mag opleggen. Blijkens haar eigen beleidsregels onderscheidt zij vier boete-categorieën, waarbij het maximumbedrag van de hoogste categorie aanzienlijk lager is dan de maximale boete die de AP volgens de AVG mag opleggen.13 Deze hoogste categorie, categorie IV, kent een bandbreedte tussen € 450.000 en € 1.000.000, met een basisboete van € 725.000.14 Deze basisboete vormt de basis voor het bepalen van de hoogte van de op te leggen boetes.15 Een schending van art. 5 lid 1 onder f AVG kan in deze categorie vallen, al kan zij ook in een van de lagere schalen worden ingedeeld. Een schending van art. 32 AVG valt in boetecategorie II.16 Deze kent een bandbreedte tussen € 120.000 en € 500.000, met een basisboete van € 310.000.17 Indien de gemaakte categorieën leiden tot boetes die niet passend zijn, heeft de AP expliciet de bevoegdheid om hogere boetes op te leggen.18 Hiertoe zal zij bijvoorbeeld overgaan bij grote bedrijven.19 Ook bij de beboeting van micro-ondernemingen met weinig financiële middelen, zullen de specifieke behoeften worden meegenomen, wat tot een lagere boete zou kunnen leiden.20

Bij de beboeting van een verwerkingsverantwoordelijke of verwerker moet aan het evenredigheidsbeginsel worden voldaan.21 Wanneer dit is geschonden, kan dat leiden tot matiging van de boete. Zo heeft de Rechtbank Den Haag een boete voor een art. 32 AVG-schending gematigd, omdat deze met inachtneming van het evenredigheidsbeginsel te hoog was. Daarbij was vooral van belang dat de beboete partij al tijdens de bezwaarfase extra maatregelen had getroffen om aan de AVG te voldoen. Aan deze bereidwilligheid had de AP volgens de rechtbank ten onrechte geen gewicht toegekend.22 Verder geeft de AP zelf aan dat het toepassing geeft aan het evenredigheidsbeginsel door bij de vaststelling van de boete rekening te houden met de financiële omstandigheden van de overtreder.23

Toon alle voetnoten

Voetnoten

Voetnoten

Art. 58 AVG.

Art. 83 lid 1 AVG. Zij heeft ook de bevoegdheid tot het treffen van vele corrigerende maatregelen. Zie hierover art. 58 lid 2 AVG.

Zie hierover, en over de algemene handhaving van de AVG ook: Roerdink & van de Bunt 2019.

Boetebeleidsregels Autoriteit Persoonsgegevens 2019, art. 7.

Art. 83 lid 3 AVG. Zie ook Boetebeleidsregels Autoriteit Persoonsgegevens 2019, art. 7.

Preambule AVG, o. 13. Het gaat daarbij om micro, kleine en middelgrote ondernemingen in de zin van art. 2 van de bijlage bij Aanbeveling 2003/361/EG van de Commissie. Zie in dit kader ook art. 2a UAVG.

Art. 29-werkgroep 2017, WP 253, §II.

Art. 63-67 AVG; preambule AVG, o. 150.

Preambule AVG, o. 129.

10.

Art. 83 lid 4 AVG. Het gaat daarbij om de verplichtingen die voortvloeien uit art. 8, 11, 25-39, 41 lid 4, 42 en 43 AVG. De terminologie is ontleend aan Handleiding AVG en UAVG 2018, §2.4.

11.

Art. 83 lid 5 AVG.

12.

Art. 83 lid 4 en 5 AVG. Het is overigens opvallend dat de beginselen inzake de verwerking van persoonsgegevens niet zelfstandig te sanctioneren waren in de versie van de AVG die de Raad van Ministers op 11 juni 2016 goedkeurde (Voorstel voor een verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (algemene verordening gegevensbescherming), 11 juni 2015, doc. 9565/15). Het voorgestelde maximale boetebedrag voor een schending van art. 32 AVG is €1.000.000, of, 2% van de totale jaarlijkse wereldwijde omzet. Zie ook: Hoeren 2017, §3.1.

13.

Boetebeleidsregels Autoriteit Persoonsgegevens 2019.

14.

Boetebeleidsregels Autoriteit Persoonsgegevens 2019, art. 2.3.

15.

Boetebeleidsregels Autoriteit Persoonsgegevens 2019, art. 1.

16.

Boetebeleidsregels Autoriteit Persoonsgegevens 2019, bijlage 1.

17.

Boetebeleidsregels Autoriteit Persoonsgegevens 2019, art. 2.3.

18.

Boetebeleidsregels Autoriteit Persoonsgegevens 2019, art. 8.

19.

Zie hierover Roerdink & Van de Bunt 2019, §1.5.

20.

Art. 2a UAVG.

21.

Art. 84 AVG. Dit is vaste rechtspraak van de Afdeling Bestuursrechtspraak van de Raad van State (zie hierover bijv. Rb. Den Haag 31 maart 2021, ECLI:NL:RBDHA:2021:3090, pt. 17 (Stichting v. AP). Zie over het beginsel verder bijv. Emmerik & Saris 2014.

22.

Rb. Den Haag 31 maart 2021, ECLI:NL:RBDHA:2021:3090, pt. 20 (Stichting v. AP).

23.

Boetebeleidsregels Autoriteit Persoonsgegevens 2019, p. 15.