Toezicht en sancties

In de Algemene verordening gegevensbescherming (AVG) zijn regels opgenomen met betrekking tot toezicht en sancties op het gebied van gegevensbescherming. In elke lidstaat is een autoriteit aangewezen die toeziet op juiste naleving van de AVG en sancties kan uitdelen. In Nederland is dit de Autoriteit Persoonsgegevens (AP). Een decentrale overheid die zich niet aan de regels van de AVG houdt, ontvangt mogelijk een boete.

De toezichthouder: Autoriteit Persoonsgegevens

De Autoriteit Persoonsgegevens houdt op verschillende manieren toezicht op de naleving van de regels rondom gegevensbescherming. Zij geven bijvoorbeeld voorlichting, kunnen onderzoeken starten, behandelen klachten en adviseren over nieuwe regelgeving.

Decentrale overheden kunnen op verschillende manieren met de AP in aanraking komen. De AP kan hen bijvoorbeeld vragen documenten te overleggen zoals het verwerkingsregister of register van datalekken, of om een toelichting te geven op klachten die bij de AP zijn binnengekomen. Ook kan het zo zijn dat een decentrale overheid de AP zelf moet benaderen, wanneer zij bijvoorbeeld een datalek moeten melden.

De AP kan naast overtredingen op de AVG en de bijbehorende Uitvoeringswet ook boetes opleggen voor overtredingen uit andere wetten zoals de Telecommunicatiewet en de eIDAS-verordening. Meer informatie kunt u vinden op de website van de AP.

Sancties

De AP kan verschillende sancties opleggen wanneer er sprake is van een overtreding van de AVG. Bijvoorbeeld een boete of dwangsom, maar ook door alternatieve interventies. Dan wordt een organisatie bijvoorbeeld gewezen op de inbreuk op de AVG en gaat de toezichthouder in gesprek om tot een oplossing te komen.

Boetes

In de AVG is per artikel vastgelegd hoe hoog de maximale administratieve boete mag zijn die een toezichthouder mag opleggen.

  • Voor het niet nakomen van verschillende verplichtingen onder de AVG door een verwerkingsverantwoordelijke kan de AP een boete opleggen van € 10 miljoen, of 2% van de wereldwijde jaaromzet van een onderneming. In deze groep vallen bijvoorbeeld de regels omtrent het register van verwerkingen, het melden van datalekken of het afsluiten van verwerkersovereenkomsten.
  • Ten tweede kan een verwerkingsverantwoordelijke ook de beginselen of grondslagen van de AVG overtreden, of de privacy-rechten van de betrokkene schenden, dat is degen van wie de persoonsgegevens worden verwerkt. Dit is bijvoorbeeld het geval indien een decentrale overheid geen grondslag heeft voor het verwerken van persoonsgegevens, of niet (juist) omgaat met het recht op inzage . In dat geval kan de AP zelfs een boete van € 20 miljoen, of 4% van de wereldwijde jaaromzet opleggen.

Boetebeleidsregels

De AP heeft verder ook boetebeleidsregels vastgesteld. Daarin hebben zij voor elke overtreding van de AVG vastgesteld wat de minimale en maximale hoogte is van de boete die zij voor de overtreding opleggen.

De basisboete voor het onrechtmatig verwerken van persoonsgegevens is bijvoorbeeld € 525.000. Afhankelijk van een aantal factoren beslist de AP dan of zij de boete bijstellen tot een bedrag tussen € 300.000 en € 750.000. Zij kijken bijvoorbeeld naar de ernst en de duur van een overtreding, en in hoeverre de overtreder iets te verwijten valt.

European Data Protection Board

Alle toezichthouders in de EU nemen hiernaast ook deel in de European Data Protection Board. Als EDPB kunnen de toezichthouders onder andere richtsnoeren uitgeven over de interpretatie van de AVG en aanbevelingen doen, bijvoorbeeld voor datalekken of het vaststellen van bindende bedrijfsvoorschriften omtrent gegevensbescherming.

Alle richtlijnen, aanbevelingen en best practices van de EDPB zijn op de website te vinden.

Voorziening in rechten

Daarnaast kan een betrokkene ook naar de rechter stappen. Dit kan bijvoorbeeld wanneer hij het niet eens is met een besluit van de AP dat op hem betrekking heeft (artikel 78 AVG) of wanneer hij van mening is dat zijn rechten zijn geschonden door een verwerkingsverantwoordelijke of een verwerker (artikel 79 AVG).