De beveiliging van persoonsgegevens (O&R nr. 135) 2022/6.6.3:6.6.3 Handhaving van beveiligingsgebreken

De beveiliging van persoonsgegevens (O&R nr. 135) 2022/6.6.3

6.6.3 Handhaving van beveiligingsgebreken

Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.

De verschillen in boetebedragen voor enerzijds de schending van een beginsel en anderzijds de schending van vele (andere) verplichtingen, brengt mee dat er voor de sanctionering van beveiligingsgebreken twee regimes naast elkaar bestaan. Het ene betreft art. 32 AVG, en geldt voor zowel verwerkingsverantwoordelijken als verwerkers.1 De ander betreft art. 5 lid 1 onder f AVG, en geldt alleen voor verwerkings­verantwoordelijken.2 Verwerkings­verantwoordelijken kunnen hier­door hoger worden beboet dan verwerkers. Dat past bij de grotere verantwoordelijkheid die zij hebben voor de naleving van de AVG.3

De verantwoordingsplicht brengt mee dat een toezichthouder een verwerkingsverantwoordelijke ook kan beboeten, indien een door hem ingeschakelde verwerker in strijd met de AVG-beveiligings­bepalingen handelt.4 Wanneer de verwerkings­verantwoordelijke een boete krijgt vanwege een beveiligingsgebrek dat is ontstaan doordat zijn verwerker de verwerkingsovereenkomst niet naleeft, kan hij dit echter op deze verwerker verhalen wanneer zij daar afspraken over hebben gemaakt.5

Wanneer een beveiligingsgebrek zowel inbreuk maakt op art. 5 lid 1 onder f AVG als op art. 32 AVG, kan een toezichthouder de verwerkingsverantwoordelijke beboeten met inachtneming van het boeteplafond voor de ‘zwaarste’ inbreuk.6 Hij kan dus een boete opleggen van maximaal €20.000.000 of 4% van de totale wereldwijde jaaromzet.7 Dit is een mogelijkheid, geen verplichting. De toezichthouder kan hiervan gebruikmaken als hij van mening is dat de omstandigheden daarom vragen.8 In de praktijk beoordeelt de AP mogelijke beveiligingsgebreken doorgaans alleen op grond van art. 32 AVG,9 terwijl bijvoorbeeld de Engelse toezichthouder art. 5 lid 1 onder f en 32 AVG tezamen neemt.10

Hoe hoog de boete is die een toezichthouder in een concreet geval vanwege een beveiligingsgebrek kan opleggen, hangt af van de mate waarin inbreuken op art. 5 lid 1 onder f AVG en art. 32 AVG samenvallen. Het sanctioneringsverschil impliceert dat sommige beveiligingsgebreken alleen een inbreuk op art. 32 AVG vormen, en niet op art. 5 lid 1 onder f AVG. Anders zou het sanctioneringsregimes voor schendingen van dit laatste artikel, voor wat betreft schendingen door verwerkingsverantwoordelijken, immers volstaan. Echter, de sterke tekstuele gelijkenissen tussen de twee AVG-beveiligingsbepalingen zorgen ervoor dat het lastig voorstelbaar is dat zij inhoudelijk verschillende eisen opleggen. De verschillende regimes zorgen dan ook waarschijnlijk slechts voor verschillende boete­mogelijkheden ten aanzien van verwerkingsverantwoordelijken enerzijds en verwerkers anderzijds. Deze uitleg past bij de sanctionering van de algemene verwerkingsverantwoordelijke-verplichtingen uit art. 5 lid 2 en 24 AVG. Deze bepalingen zien alleen op verwerkingsverantwoordelijken. De laatste vormt een uitwerking van de eerste.11 Zij kan niet worden beboet. Alle schendingen van deze bepalingen zullen daarom vallen onder het hoge boeteregime van art. 5 lid 2 AVG.12 Toezichthouders hebben vervolgens de mogelijkheid om voor een lagere boete te gaan.

Deze functie is alleen te gebruiken als je bent ingelogd.