Autoriteit persoonsgegevens: nieuwe boetebeleidsregels en tips register van datalekken
De Autoriteit Persoonsgegevens (AP) heeft de boetebeleidsregels aangepast. Deze regels maken inzichtelijk hoe de AP de hoogte van een boete berekent. De AP kan onder andere boetes opleggen bij overtredingen van de AVG en de bijbehorende Uitvoeringswet AVG, maar ook voor de andere wetten waarop zij toezicht houdt zoals de Telecommunicatiewet en de eIDAS-verordening. De vorige boetebeleidsregels hadden nog betrekking op privacywetgeving die sinds de komst van de Algemene verordening gegevensbescherming (AVG) verouderd is.
Boetes onder de AVG
Sinds 25 mei 2018 moeten decentrale overheden zich houden aan de regels van de AVG wanneer zij persoonsgegevens verwerken. De AP houdt toezicht op de juiste naleving van de wet: indien een decentrale overheid zich niet aan de regels houdt kan de AP een boete opleggen. Indien de AP vaststelt dat een organisatie een overtreding heeft begaan wordt eerst gekeken naar het maximale bedrag van de boete dat in de betreffende wet zelf staat.
In de AVG is bepaald dat een overtreding op de regels van de verordening in twee groepen van overtredingen en bijbehorende maximale boetes kan vallen. Welke regels in welke groep vallen staat in artikel 83 van de AVG.
- Voor het niet nakomen van verschillende verplichtingen onder de AVG door een verwerkingsverantwoordelijke kan de AP een boete opleggen van € 10 miljoen, of 2% van de wereldwijde jaaromzet van een onderneming. In deze groep vallen bijvoorbeeld de regels omtrent het register van verwerkingen, het melden van datalekken of het afsluiten van verwerkersovereenkomsten.
- Ten tweede kan een verwerkingsverantwoordelijke ook de beginselen of grondslagen van de AVG overtreden, of de privacyrechten van de betrokkenen. Dit is bijvoorbeeld het geval indien een decentrale overheid geen grondslag heeft voor het verwerken van persoonsgegevens, of niet (juist) omgaat met het recht op inzage. In dat geval kan de AP zelfs een boete van € 20 miljoen, of 4% van de wereldwijde jaaromzet opleggen.
Bestuurlijke boetes AP
In de boetebeleidsregels geeft de AP per wettelijke verplichting aan wat de minimum en maximumhoogte is van boete voor een bepaalde overtreding. Boetes die op grond van de AVG worden opgelegd kunnen in vier categorieën vallen. Elke categorie is gekoppeld aan een boetebandbreedte met een minimum- en een maximumbedrag. Binnen elke categorie is ook een basisboete vastgelegd die door de AP wordt gebruikt als uitgangspunt per individueel geval. Afhankelijk van een aantal factoren kijkt de AP bij het bepalen van de hoogte van de boete of de basisboete wordt verhoogd of verlaagd. Uit de beleidsregels is dus precies af te leiden wat de minimale en maximale hoogte is van een boete die wordt opgelegd indien een decentrale overheid bijvoorbeeld een datalek niet meldt, of niet de juiste grondslag heeft voor het verwerken van persoonsgegevens.
Overtredingen van de eerste groep van de AVG kunnen onder de eerste drie categorieën van de boetebeleidsregels vallen. Dit betreft een boetebandbreedte tussen € 0,- en € 750.000,-. De tweede groep overtredingen van de AVG kan daarnaast ook in categorie 4 vallen. De maximale boete van de vierde categorie is € 1.000.000,-.
Categorie I | Boetebandbreedte tussen € 0 en € 200.000 | Basisboete: € 100.000 |
Categorie II | Boetebandbreedte tussen € 120.000 en € 500.000 | Basisboete: €310.000 |
Categorie III | Boetebandbreedte tussen € 300.000 en € 750.000 | Basisboete: € 525.000 |
Categorie IV | Boetebandbreedte tussen € 450.000 en € 1.000.000 | Basisboete: € 725.000 |
(Bron: Boetebeleidsregels, Autoriteit Persoonsgegevens)
De hoogte van de boete wordt door de AP per individueel geval bepaald aan de hand van een aantal factoren. Onder meer de ernst en de duur van een overtreding spelen hierbij een rol. Ook wordt er gekeken in hoeverre de overtreder iets te verwijten valt, en of er sprake is van recidive. De AP geeft aan deze beleidsregels te handhaven totdat er ook op Europees niveau richtsnoeren zijn om de hoogte van een boete te berekenen.
Datalekregister
In mei 2019 is de AVG een jaar van toepassing. De afgelopen periode heeft de Autoriteit Persoonsgegevens verschillende stappen ondernomen om de naleving van de regels te controleren en te verhogen. Recentelijk controleerde de AP de kwaliteit van datalekregisters van overheidsorganisaties. Er is sprake van een datalek indien er een inbreuk op de beveiliging van persoonsgegevens heeft plaatsgevonden. Wat volgens de AP het meest voorkomt is dat een e-mail met persoonsgegevens doorgestuurd wordt naar de verkeerde ontvanger(s). Niet alle datalekken hoeven te worden gemeld aan de AP. Wel moeten alle datalekken geregistreerd worden.
De toezichthouder concludeerde na het onderzoek dat slechts 60% van de onderzochte registers de vereiste informatie over het datalek bevatte. De AP geeft op haar website daarom tien praktische tips die organisaties kunnen toepassen om de registratie van datalekken beter te organiseren. Zij geven bijvoorbeeld aan dat de overheidsorganisaties bij elk incident kunnen opnemen of de FG betrokken was en waarom een datalek wel of niet is gemeld bij de AP. Ook kan het handig zijn een handleiding op te stellen voor medewerkers over de omgang met datalekken.
Door:
Erwin de Pagter en Juliëtte Fredriksz, kenniscentrum Europa decentraal
Bron:
AP past boetebeleidsregels aan, Autoriteit Persoonsgegevens
Boetebeleidsregels, Autoriteit Persoonsgegevens
Kwaliteit datalekregister bij overheidsorganisaties loopt nog uiteen, Autoriteit Persoonsgegevens
Meer informatie:
Privacy, Europa decentraal
Informatiemaatschappij, Europa decentraal
De Autoriteit Persoonsgegevens: controle en onderzoek naar de naleving van de AVG, Europa decentraal