De Algemene verordening gegevensbescherming (AVG) is bijna jarig! Waar organisaties hard aan de weg getimmerd hebben, heeft ook de Nederlandse privacytoezichthouder, de Autoriteit Persoonsgegevens (AP), niet stil gezeten. Vorige week werd er nog een boete opgelegd voor wifi-tracking door een gemeente. Hoewel boetes het meest afschrikkend zijn, zijn ze niet de enige handhavingsmogelijkheid die de toezichthouder heeft. Wat mag de AP nog meer?
Wat bepaalt de AVG?
De AVG is in het leven geroepen om – de naam zegt het al – de gegevens van personen te beschermen. Wanneer een organisatie niet goed met persoonsgegevens omgaat, kan de betrokkene, degene om wiens persoonsgegevens het gaat, een klacht indienen bij de AP. De AP is gehouden om elke klacht te onderzoeken. En dat kan leiden tot handhavend optreden.
Sinds de komst van de AVG zijn de potentieel torenhoge boetes het meest gevreesde aspect. Voor overtreding van bijvoorbeeld de basisprincipes uit de AVG (grondslag, rechten van betrokkene, informatieplicht) kan de toezichthouder een boete opleggen van maximaal €20.000.000 of 4% van de wereldwijde jaaromzet. Een overtreding van de lagere categorie kan leiden tot een boete van maximaal €10.000.000 of 2% van de wereldwijde jaaromzet. Hieronder vallen bijvoorbeeld de beveiligingsmaatregelen, de verwerkersovereenkomst en verwerking buiten de Europese Economische Ruimte.
Zoals gezegd zijn boetes niet de enige bevoegdheid van de toezichthouder. In de categorie ‘geld’ is het ook mogelijk om een last onder dwangsom op te leggen. Hier heeft de AP al vaker gebruik van gemaakt, met name als het gaat om de beveiliging van persoonsgegevens. Wanneer een organisatie de beveiliging niet voor een bepaalde datum op orde heeft, wordt een dwangsom verbeurd. Per dag die de overtreding voortduurt, dient dan een bedrag te worden betaald aan de AP.
Handhavend optreden vindt niet alleen plaats in de vorm van een geldelijke straf. De AP kan organisaties ook verbieden om bepaalde (categorieën) persoonsgegevens te verwerken. Zo mag de Belastingdienst sinds december 2018 niet meer het BSN van zelfstandigen in hun btw-nummers verwerken. Daarnaast heet de toezichthouder de bevoegdheid om een berisping of een waarschuwing te geven. Daarmee laat de toezichthouder weten bepaalde (voorgenomen) verwerkingen af te keuren. Laagdrempeliger contact kan ook: de AP kan ook bellen met aanvullende vragen, bijvoorbeeld naar aanleiding van een gemeld datalek.
Hoe heeft de AP tot nu toe handhavend opgetreden?
De AP heeft tot nu toe acht boetes opgelegd, variërend van €310.000 tot €830.000. De AP lijkt (nog) niet in de buurt te komen van de grenzen van zijn bevoegdheden, namelijk €20.000.000. In andere Europese lidstaten hebben we deze bedragen wel al gezien. Zo diende een kledingmerk in Duitsland €35.300.000 te betalen omdat er (veel) te veel gevoelige gegevens van medewerkers werden vastgelegd. Daarnaast is er één verwerkingsverbod opgelegd, en is er één berisping en één waarschuwing gegeven.
Het kan lonen om bij de rechter in beroep te gaan tegen een oordeel van de AP. Zo heeft de toezichthouder één boetebesluit genomen dat later door de rechter vernietigd is. In dit geval had de AP niet goed gemotiveerd waarom het belang van de betreffende organisatie geen gerechtvaardigd belang kon zijn. Een ander boetebedrag is door de rechter gematigd: een ziekenhuis dient nu €310.000 te betalen, in plaats van €460.000.
Voldoe aantoonbaar aan de AVG
Boetes (of andere handhavingsmaatregelen) voorkomen vereist van organisaties dat ze actief met de AVG bezig zijn. Daarnaast is het voldoen aan de privacywet een continu proces, dat ook bij elk nieuw project meegenomen dient te worden. Privacy Verified is dé manier om privacy op orde te krijgen en dit ook te laten zien aan de buitenwereld. Benieuwd naar wat Privacy Verified voor jouw organisatie kan betekenen? Neem dan nu contact met ons op!
