Zoeken

ALTIJD OP DE HOOGTE?

Welke ontwikkelingen in de EU zijn van belang voor gemeenten, provincies en waterschappen? En wat betekent dat voor de dagelijkse praktijk?

Autoriteit persoonsgegevens: nieuwe boetebeleidsregels en tips register van datalekken

25 maart 2019Informatiemaatschappij

De Autoriteit Persoonsgegevens (AP) heeft de boetebeleidsregels aangepast. Deze regels maken inzichtelijk hoe de AP de hoogte van een boete berekent. De AP kan onder andere boetes opleggen bij overtredingen van de AVG en de bijbehorende Uitvoeringswet AVG, maar ook voor de andere wetten waarop zij toezicht houdt zoals de Telecommunicatiewet en de eIDAS-verordening. De vorige boetebeleidsregels hadden nog betrekking op privacywetgeving die sinds de komst van de Algemene verordening gegevensbescherming (AVG) verouderd is.

Boetes onder de AVG

Sinds 25 mei 2018 moeten decentrale overheden zich houden aan de regels van de AVG wanneer zij persoonsgegevens verwerken. De AP houdt toezicht op de juiste naleving van de wet: indien een decentrale overheid zich niet aan de regels houdt kan de AP een boete opleggen. Indien de AP vaststelt dat een organisatie een overtreding heeft begaan wordt eerst gekeken naar het maximale bedrag van de boete dat in de betreffende wet zelf staat.

In de AVG is bepaald dat een overtreding op de regels van de verordening in twee groepen van overtredingen en bijbehorende maximale boetes kan vallen. Welke regels in welke groep vallen staat in artikel 83 van de AVG.

  • Voor het niet nakomen van verschillende verplichtingen onder de AVG door een verwerkingsverantwoordelijke kan de AP een boete opleggen van € 10 miljoen, of 2% van de wereldwijde jaaromzet van een onderneming. In deze groep vallen bijvoorbeeld de regels omtrent het register van verwerkingen, het melden van datalekken of het afsluiten van verwerkersovereenkomsten.
  • Ten tweede kan een verwerkingsverantwoordelijke ook de beginselen of grondslagen van de AVG overtreden, of de privacyrechten van de betrokkenen. Dit is bijvoorbeeld het geval indien een decentrale overheid geen grondslag heeft voor het verwerken van persoonsgegevens, of niet (juist) omgaat met het recht op inzage. In dat geval kan de AP zelfs een boete van € 20 miljoen, of 4% van de wereldwijde jaaromzet opleggen.

Bestuurlijke boetes AP

In de boetebeleidsregels geeft de AP per wettelijke verplichting aan wat de minimum en maximumhoogte is van boete voor een bepaalde overtreding. Boetes die op grond van de AVG worden opgelegd kunnen in vier categorieën vallen. Elke categorie is gekoppeld aan een boetebandbreedte met een minimum- en een maximumbedrag. Binnen elke categorie is ook een basisboete vastgelegd die door de AP wordt gebruikt als uitgangspunt per individueel geval. Afhankelijk van een aantal factoren kijkt de AP bij het bepalen van de hoogte van de boete of de basisboete wordt verhoogd of verlaagd. Uit de beleidsregels is dus precies af te leiden wat de minimale en maximale hoogte is van een boete die wordt opgelegd indien een decentrale overheid bijvoorbeeld een datalek niet meldt, of niet de juiste grondslag heeft voor het verwerken van persoonsgegevens.

Overtredingen van de eerste groep van de AVG kunnen onder de eerste drie categorieën van de boetebeleidsregels vallen. Dit betreft een boetebandbreedte tussen € 0,- en € 750.000,-. De tweede groep overtredingen van de AVG kan daarnaast ook in categorie 4 vallen. De maximale boete van de vierde categorie is € 1.000.000,-.

Categorie IBoetebandbreedte tussen € 0 en € 200.000Basisboete: € 100.000
Categorie IIBoetebandbreedte tussen € 120.000 en € 500.000Basisboete: €310.000
Categorie IIIBoetebandbreedte tussen € 300.000 en € 750.000Basisboete: € 525.000
Categorie IVBoetebandbreedte tussen € 450.000 en € 1.000.000Basisboete: € 725.000

(Bron: Boetebeleidsregels, Autoriteit Persoonsgegevens)

De hoogte van de boete wordt door de AP per individueel geval bepaald aan de hand van een aantal factoren. Onder meer de ernst en de duur van een overtreding spelen hierbij een rol. Ook wordt er gekeken in hoeverre de overtreder iets te verwijten valt, en of er sprake is van recidive. De AP geeft aan deze beleidsregels te handhaven totdat er ook op Europees niveau richtsnoeren zijn om de hoogte van een boete te berekenen.

Datalekregister

In mei 2019 is de AVG een jaar van toepassing. De afgelopen periode heeft de Autoriteit Persoonsgegevens verschillende stappen ondernomen om de naleving van de regels te controleren en te verhogen. Recentelijk controleerde de AP de kwaliteit van datalekregisters van overheidsorganisaties. Er is sprake van een datalek indien er een inbreuk op de beveiliging van persoonsgegevens heeft plaatsgevonden. Wat volgens de AP het meest voorkomt is dat een e-mail met persoonsgegevens doorgestuurd wordt naar de verkeerde ontvanger(s).  Niet alle datalekken hoeven te worden gemeld aan de AP. Wel moeten alle datalekken geregistreerd worden.

De toezichthouder concludeerde na het onderzoek dat slechts 60% van de onderzochte registers de vereiste informatie over het datalek bevatte. De AP geeft op haar website daarom tien praktische tips die organisaties kunnen toepassen om de registratie van datalekken beter te organiseren. Zij geven bijvoorbeeld aan dat de overheidsorganisaties bij elk incident kunnen opnemen of de FG betrokken was en waarom een datalek wel of niet is gemeld bij de AP. Ook kan het handig zijn een handleiding op te stellen voor medewerkers over de omgang met datalekken.

Tien praktische tips voor betere registraties van datalekken (klik hier)
  1. Omschrijf incidenten, de gevolgen en de corrigerende maatregelen duidelijk en volledig;
  2. Maak expliciet onderscheid tussen corrigerende en preventieve maatregelen. Leg corrigerende maatregelen altijd vast in het datalekregister. Het kan nuttig zijn deze maatregelen mee te nemen in de plan-do-check/learn-act cyclus;
  3. Voorkom versnippering van registraties; maak één overzichtelijke registratie die voor elk organisatieonderdeel tot op hetzelfde inhoudelijke detailniveau wordt ingevuld. Overweeg bijvoorbeeld om de registratie inzichtelijk te maken voor alle medewerkers zodat zij het registratieoverzicht kunnen consulteren voordat zij zelf iets registreren;
  4. Neem per incident op of de functionaris voor de gegevensbescherming (FG) betrokken is, en zo ja in welke mate. Elke overheidsorganisatie heeft verplicht een FG.
  5. Neem per incident op of het datalek is gemeld bij de AP en betrokkenen en motiveer daarbij waarom dat wel of niet is gebeurd;
  6. Wees transparant richting getroffen personen als er een datalek is geweest. Communiceer hier doeltreffend en tijdig over. Bewaar het bewijs van die mededeling en neem deze op in de registratie.
  7. Stel een handleiding op of verzorg een training voor de medewerkers die de datalekregistratie invullen. Deze instructie kan onderdeel uitmaken van een gedocumenteerde meldingsprocedure voor de meldplicht datalekken.
  8. Leg vast welke andere organisaties betrokken zijn geweest bij een inbreuk (bijvoorbeeld medeverwerkingsverantwoordelijken, verwerkers of sub-verwerkers). Dit is handig als een organisatie nieuwe verwerkersovereenkomsten sluit met de desbetreffende verwerkers.
  9. Overweeg datalekken in te delen naar aard, gevolgen en betrokkenen en mogelijke maatregelen;
  10. Bespreek de datalekregistratie regelmatig op het juiste niveau binnen de organisatie als onderdeel van een plan-do-check/learn-act cyclus. Zo kunnen organisaties leren van fouten. De FG kan bij deze besprekingen een actieve rol vervullen.  Bron: Autoriteit Persoonsgegevens

Door:

Erwin de Pagter en Juliëtte Fredriksz, kenniscentrum Europa decentraal

Bron:

AP past boetebeleidsregels aan, Autoriteit Persoonsgegevens
Boetebeleidsregels, Autoriteit Persoonsgegevens
Kwaliteit datalekregister bij overheidsorganisaties loopt nog uiteen, Autoriteit Persoonsgegevens

Meer informatie:

Privacy, Europa decentraal
Informatiemaatschappij, Europa decentraal
De Autoriteit Persoonsgegevens: controle en onderzoek naar de naleving van de AVG, Europa decentraal

 

X