088 2055 000
		Array
(
    [0] => nl
    [1] => us
)
		
Bel ons 088 2055 000
		Array
(
    [0] => nl
    [1] => us
)
		

BLOG: Bevoegdheden Autoriteit en boetes AVG

Welke bevoegdheden heeft de Autoriteit en hoe werkt het boeteregime in de AVG?

Op 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming in werking. De AVG is één wetgeving voor alle lidstaten van de Europese Unie. Daarom spreken we ook wel van de Europese Privacyverordening. Hoe bereiden organisaties zich het beste voor op de aanstaande Europese Privacyverordening? In onze blogserie nemen wij je mee in de wereld van de AVG. Deze week: welke bevoegdheden heeft de Autoriteit en hoe werkt het boeteregime in de AVG?

20 miljoen AVG boete ligt genuanceerderEU AVG Privacy legislation

Vaak wordt beweerd dat niet voldoen aan de AVG leidt tot een boete van EUR 20 mln. of 4% van de wereldwijde jaaromzet. Dit ligt genuanceerder. De hoogte van een eventuele boete is namelijk van verschillende factoren afhankelijk. Zoals de aard van de overtreding alsook verzwarende c.q. verzachtende omstandigheden. Ook is de Autoriteit bevoegd tot het opleggen van maatregelen, alvorens over te gaan tot het uitdelen van boetes.

Welke bevoegdheden heeft de Autoriteit?

De bevoegdheden van de Autoriteit staan beschreven in Artikel 58 van de AVG. Deze bevoegdheden bestaan uit:

  • Onderzoeksbevoegdheden (Art 58 lid 1)
  • Corrigerende bevoegdheden (Art 58 lid 2)
  • Adviserende bevoegdheden (Art 58 lid 3)

Onderzoeksbevoegdheden
Deze bevoegdheden houden in dat de Autoriteit voor de uitvoering van haar taken van verantwoordelijke èn verwerker mag eisen dat zij alle gevraagde informatie verschaffen. Dit betreft bijvoorbeeld informatieverschaffing in het kader van controles of zelfs het verkrijgen van toegang tot bedrijfsruimtes.

Corrigerende bevoegdheden
De Autoriteit heeft ook bevoegdheden tot het treffen van corrigerende  maatregelen. Dit betreft bijvoorbeeld het geven van waarschuwingen, het gelasten de gegevensverwerking te staken of gelasting tot het uitvoeren van rechten van betrokkenen.

Corrigerende maatregelen bestaan onder andere uit:

  • Een waarschuwing: wanneer een voorgenomen gegevensverwerking inbreuk op de AVG maakt, dan kan de Autoriteit de verantwoordelijke of de verwerker hierover waarschuwen.
  • Een berisping: deze wordt gegeven wanneer de Autoriteit vaststelt dat een verwerking inbreuk maakt op de AVG. Een berisping betekent enkel een vaststelling van de overtreding. Deze zal dan ook bij lichte overtredingen worden toegepast.
  • Het gelasten tot uitoefening van rechten van betrokkenen. De Autoriteit kan de verwerker en de verantwoordelijke gelasten verzoeken van betrokkenen tot uitoefening van diens rechten op te volgen. Hieronder vallen bijvoorbeeld inzage, correctie, het recht om vergeten te worden of het recht op overdraagbaarheid van persoonsgegevens.
  • Het gelasten tot het mededelen van een inbreuk aan betrokkenen. Onder bepaalde omstandigheden moet een datalek ook aan betrokkenen worden medegedeeld. Wanneer de verantwoordelijke dat (nog) niet heeft gedaan, kan de Autoriteit hem daartoe verplichten.
  • Het opleggen van een tijdelijke of definitieve beperking van de gegevensverwerking, of zelfs een verbod op verwerking.
  • Het intrekken van een certificering. Wanneer gecertificeerde technologieën voor gegevensbescherming niet langer voldoen aan de eisen van de AVG, mag de Autoriteit deze certificering te allen tijde intrekken.
  • Het opschorten van doorgifte van persoonsgegevens naar een derde land of internationale organisatie.

Adviserende maatregelen
De Autoriteit is onder de AVG bevoegd om bepaalde adviezen te geven en om certificeringen en gedragscodes goed te keuren. De Autoriteit adviseert bijvoorbeeld wanneer zij is geraadpleegd over een voorgenomen gegevensverwerking met een verhoogd risico voor betrokkenen. De zgn “voorafgaande raadpleging”.

Boetes onder de AVG (Art 83)

Naast de corrigerende bevoegdheden van de Autoriteit, heeft deze ook de bevoegdheid om geldboetes op te leggen. Deze boetes kan de Autoriteit uitdelen aan zowel de verantwoordelijke als de verwerker. Het boeteregime kent twee categorieën:

  • Een lage categorie: deze geldt voor overtredingen die vooral zijn gerelateerd aan het niet nakomen van administratief georiënteerde verplichtingen (Art 83 lid 4). De boete kan oplopen tot maximaal 10 mln. Euro of 2% van de wereldwijde jaaromzet. Hieronder vallen overtredingen zoals het niet naleven van Privacy by design en Privacy by default (Art 25), het niet voldoen aan de eisen van een Register van gegevensverwerkingen (Art 30), inadequate beveiliging van de verwerkingen (Art 32) of het niet voldoen aan de eisen gesteld in de meldingsplicht inzake datalekken (Art 33 en 34).
  • Een hoge categorie: deze geldt voor fundamentele overtredingen, of het niet opvolgen van bevelen van de Autoriteit (Art 85 lid 5). De boete kan oplopen tot maximaal 20 mln. Euro of 4% van de wereldwijde jaaromzet. Hieronder vallen overtredingen zoals het niet naleven van de beginselen van verwerking van persoonsgegevens (Art 5), het niet hebben van een (juiste) grondslag voor de gegevensverwerking (Art 7), het niet nakomen van rechten van betrokkenen (Art 12-22), of incorrecte doorgifte van persoonsgegevens naar landen buiten de EU (Art 44-49). Het niet nakomen van bevelen van de Autoriteit, zoals het door de Autoriteit laten uitvoeren van onderzoek naar de gegevensbescherming en naleving van door de Autoriteit opgelegde corrigerende maatregelen.

Uitgangspunt bij boetes is dat deze doeltreffend, evenredig en afschrikkend moeten zijn. Doeltreffend betekent dat het gewenste gedrag (naleving AVG) wordt gestimuleerd. Evenredig betekent niet disproportioneel zwaar of licht gezien de overtreding. Afschrikkend, ook wel “generale preventie” genoemd, houdt in dat de boete anderen weerhoudt van het begaan van eenzelfde soort overtreding.

Factoren van invloed op de hoogte van de boete staan beschreven onder Art 83 lid 2. Deze zijn onder andere:

  • De duur van de overtreding;
  • De impact van de overtreding op betrokkenen en/of maatschappij;
  • Verwijtbaarheid: is sprake van opzet of verwijtbare nalatigheid?
  • De omstandigheden waaronder de overtreding is gepleegd;
  • De financiële omstandigheden van de overtreder.

Boeteverzwarende omstandigheden zijn bijvoorbeeld:

  • De overtreder heeft al eerder eenzelfde overtreding begaan;
  • De overtreder heeft onderzoek van de Autoriteit tegengewerkt;
  • De overtreder heeft bindend advies genegeerd.

Boeteverzachtende omstandigheden zijn bijvoorbeeld:

  • De overtreder werkt beter mee dan verplicht;
  • De overtreder heeft uit eigen beweging de overtreding beëindigd voordat onderzoek heeft plaatsgevonden;
  • De overtreder heeft uit eigen beweging betrokkenen schadeloos gesteld.
Crowe Peak
Olympisch Stadion 24-28 1076 DE Amsterdam, Nederland
088 2055 000 info@crowehorwath.nl