September vorig jaar schreven wij al over een stappenplan voor het berekenen van AVG-boetes. Die bijdrage bespreekt aan de hand van een richtsnoer van de European Data Protection Board (EDPB) welke stappen toezichthouders moeten nemen bij het opleggen van een boete. Eind mei heeft de EDPB een vernieuwde versie van dit richtsnoer gepubliceerd. Hierin zijn subtiele wijzigingen aangebracht die weldegelijk gevolgen kunnen hebben voor organisaties. Daarmee kan het mogelijk ook impact hebben op jouw organisatie! In deze blog bespreken we de vernieuwingen ten opzichte van het vorige richtsnoer. Ook lees je wat dit voor jou kan betekenen.
Gelijk beleid voor alle Europese toezichthouders
Voorheen hanteerden de verschillende Europese toezichthouders nog een eigen boetebeleid. Hier konden verschillen tussen bestaan. Met het nieuwe richtsnoer is dit gelijkgetrokken. Dit zal ertoe leiden dat de Nederlandse toezichthouder, de Autoriteit Persoonsgegevens (AP), op een consistentere wijze gebruik gaat maken van de boetebevoegdheid. De vernieuwingen gaan over het startbedrag voor het bepalen van de boete. De EDPB benoemt voor het bepalen van dit startbedrag drie elementen:
- categoriseren van de overtreding,
- de ernst van de overtreding
- de omzet van de overtredende organisatie.
Categorisering aan de hand van de AVG
Artikel 83 van de AVG maakt onderscheid in twee categorieën inbreuken. De eerste categorie kent een maximale boete van 10 miljoen euro of 2% van de totale wereldwijde jaaromzet. De tweede categorie loopt tot maximaal 20 miljoen euro of 4% van de jaaromzet. Onder de eerste categorie valt bijvoorbeeld het schenden van de beveiligingsplicht of het niet melden van een datalek. De tweede categorie is voornamelijk gericht op kernbepalingen van de AVG. Denk aan de basisbeginselen, de rechten van betrokkenen, maar ook aan de doorgifte van persoonsgegevens aan een derde land.
Het voorgaande stond al in de AVG en is daarmee niet nieuw. Wel is nieuw waarvoor deze bandbreedte van boetebedragen wordt gebruikt. Eerder bepaalde de AP direct binnen deze breedte het boetebedrag. Nu is deze categorisering, gecombineerd met de twee volgende elementen, bedoeld om het startbedrag te bepalen. Daarna wordt gekeken of er redenen zijn om het startbedrag te verhogen of verlagen.
Drie niveaus in ernst van overtredingen
Nadat is vastgesteld welke maximale boete van toepassing is op een overtreding, wordt nog een onderverdeling in drie niveaus gemaakt. De aard van de overtreding wordt geplaatst in een lage, midden of hoge ernst. Hiervoor wegen toezichthouders meerdere factoren mee. De aard, zwaarte en duur en het opzettelijke of nalatige karakter van de inbreuk zijn van belang. Ook is belangrijk welke soorten persoonsgegevens door de inbreuk zijn getroffen.
Nieuw is dat een duidelijke categorisering is aangebracht. Het eerdere boetebeleid van de AP had dit niet. Daar werd al wel gekeken naar de ernst van de overtreding bij het bepalen van de boetehoogte. Deze verandering zal leiden tot meer duidelijkheid omtrent een opgelegde boete.
Meer aandacht voor omzet van bedrijven
Is de zwaarte van de overtreding vastgesteld? Dan wordt aan de hand van de jaaromzet het startbedrag bepaald. Binnen een bandbreedte bepalen de toezichthouders dit bedrag. Heeft bijvoorbeeld een organisatie met een jaaromzet van 250 miljoen euro de beveiligingsplicht opzettelijk en langdurig geschonden? Dan ligt het voor de hand om het startbedrag te bepalen tussen 300.000 en 5 miljoen euro. Dit geldt uiteraard wanneer de overtreding inderdaad een hoge ernst heeft. De omzetcategorie van deze bandbreedte loopt tot 250 miljoen euro. Daarom kan een toezichthouder ervoor kiezen om het startbedrag op een hoog bedrag van bijvoorbeeld 4 miljoen euro te bepalen. Aan het einde van het richtsnoer (vanaf pagina 43) is een bijlage opgenomen met tabellen. Hierin staan voor de verschillende inbreuken en jaaromzetten de bandbreedtes van het startbedrag.
Eerder keek de AP pas aan het einde van het boetebepalingstraject naar de omzet van een organisatie. Nu gaat de AP hier direct naar kijken. Aan de hand van de omzet bepaalt de AP het startbedrag van de boete. Dit startbedrag stelt zij dan omhoog of omlaag bij, afhankelijk van alle specifieke omstandigheden.
Wat betekent dit voor jou?
Voor organisaties met een hoge omzet kan het startbedrag van een boete aanzienlijk hoger liggen dan de eerder uitgedeelde boetes. Voornamelijk bij een hoge ernst is dit het geval. Is er een onrechtmatige verwerkingsgrondslag met een hoge ernst bij een organisatie met een jaaromzet hoger dan 500 miljoen euro? Dan zal dit leiden tot een startbedrag tussen 1,6 en 20 miljoen euro.
Ander voorbeeld: een organisatie met een omzet lager dan 2 miljoen euro die geen verwerkingsregister heeft. Deze kan bij een lage ernst maximaal een startbedrag van 4000 euro hebben. Bij een hoge ernst wordt dat een startbedrag tussen 4000 en 40.000 euro.
Vooral grote bedrijven lopen dus financieel risico bij niet-naleving van de AVG. Is het kwaad al geschied? Dan is het verstandig om alles eraan te doen om de gevolgen te matigen. De AP houdt bij het bepalen van de uiteindelijke boete rekening met deze genomen maatregelen.
Laatste opmerkingen
Het nieuwe beleid is meteen van kracht en geldt ook voor lopende zaken. De regels gelden niet voor overheidsinstanties. Hierover hoopt de AP in Europees verband regels op te stellen.
Heb jij alles op orde?
Zo niet, dan kan handhavend optreden van de AP flink in de papieren lopen. Dit kan je voorzijn door jouw beleidsvoering op privacygebied op orde te hebben. Daar kunnen wij bij helpen. Wij bieden een aantal standaardproducten (bijvoorbeeld een intern privacybeleid) aan en kunnen ook maatwerk leveren op andere gebieden. Neem contact op voor de mogelijkheden.
Deze blog is geschreven in samenwerking met Luuk Wassink.
Sharbel Goriya
Yaşar Bayram
Eva Lammers