Nieuwe boetebeleidsregels van de AP per 15 maart 2019 in werking

Published by Anne-Wil Duthler on

Op 14 maart 2019 publiceerde de Autoriteit Persoonsgegevens (AP) haar nieuwe boetebeleidsregels. Hiermee wordt de AP meer en beter voorspelbaar hoe zij de hoogte bepaalt van op te leggen bestuurlijke boetes. De AP wil hier mee rechtszekerheid en rechtsgelijkheid creëren.

Zoals ongetwijfeld bekend, kan de AP op grond van de Europese algemene verordening (Avg) boetes opleggen tot maximaal €10 miljoen of 2% van de wereldwijde jaaromzet als dat laatste bedrag hoger is, respectievelijk €20 miljoen of 4% van de wereldwijde jaaromzet. De boetebeleidsregels zijn op te vatten als een uitwerking of nadere specificering van de soort overtredingen, duur van de overtredingen, omstandigheden en andere factoren die bepalend zullen zijn voor de uiteindelijke hoogte van een op te leggen boete. Ze zijn niet op te vatten als een algemeen verbindend voorschrift.

Categorie I Boetebandbreedte tussen €0 en €200k Basisboete: €100.000
Categorie II Boetebandbreedte tussen €120k en €500k Basisboete: €310.000
Categorie III Boetebandbreedte tussen €300k en €750k Basisboete: €525.000
Categorie IV Boetebandbreedte tussen €450k en €1.000k Basisboete: €725.000

Basisboete

De AP introduceert het begrip basisboete. Een basisboete is het bedrag dat de basis vormt voor het bepalen van de hoogte van een op te leggen bestuurlijke boete. De AP noemt het ook wel het startbedrag om mee verder te rekenen. Zij hanteert vier categorieën basisboete voor overtredingen, waarbij zij de volgende bandbreedte hanteert:

De boetecategorie is gekoppeld aan een bandbreedte die de AP passend en geboden voorkomt. Dit betekent dat de hoogte evenredig moet zijn en voldoende afschrikwekkend voor zowel de overtreder (speciale preventie) als andere potentiële overtreders (generale preventie). De AP stelt in haar toelichting dat het buiten de grenzen treden van de boetebandbreedte aan de orde is indien de hoogte van de boete niet voldoende preventieve werking heeft danwel onevenredig hoog is. Ook in geval van recidive is verhoging van de boete met 50% aan de orde. Indien het hoogste bedrag van de toepasselijke boetebandbreedte geen passende bestraffing toelaat, mede gelet op de jaaromzet van een onderneming bijvoorbeeld, dan kan de AP een boete van maximaal €10 of €20 miljoen opleggen, danwel 2% of 4% van de wereldwijde jaaromzet als dat laatste bedrag hoger is.  

Hoogte boete

Factoren waarmee de AP rekening houdt bij het bepalen van de hoogte van de boete zijn onder meer de volgende:

  1. Aard, ernst en de duur van de inbreuk, rekening houdend met de aard, de omvang of het doel van de verwerking in kwestie alsmede het aantal getroffen betrokkenen en de omvang van de door hen geleden schade.
    Het zal waarschijnlijk uitmaken of de inbreuk slechts kortstondig duurde of enkele weken of maanden heeft voortgeduurd; of het financiële, gezondheidsgegevens of adresgegevens betrof en of de schade bestaat uit vermogensschade of ook bijvoorbeeld lichamelijk letsel.
  2. De opzettelijke of nalatige aard van de inbreuk. Heeft de verwerkingsverantwoordelijke willens en wetens de inbreuk gepleegd of de Avg bewust op bepaalde onderwerpen niet willen nakomen, dan zal dat anders zijn dan als de verwerkingsverantwoordelijke zijn verplichting misschien wel had moeten nakomen, maar niet wist dat die met deze interpretatie bestond.
  3. De maatregelen die zijn getroffen om de schade voor betrokkenen te beperken.
  4. De mate waarin de verwerkingsverantwoordelijke of verwerker verantwoordelijk is gezien de technische en organisatorische maatregelen die hij heeft getroffen die voortvloeien uit de  privacy by design en default verplichtingen alsook de beveiligingsverplichtingen.
  5. Eerdere relevante inbreuken
  6. De mate waarin er met de AP is samengewerkt
  7. Categorieën persoonsgegevens
  8. Wijze waarop AP kennis heeft gekregen van de inbreuk
  9. Naleving van onder meer eerdere waarschuwingen, berispingen of lasten rechten van betrokkenen in te willigen, danwel naleving van verwerkingsverboden, opschorting van gegevensstromen naar een derde land of internationale organisatie
  10. Aansluiting bij goedgekeurde gedragscodes of certificeringsmechanismes
  11. Elke andere verzwarende of verzachtende omstandigheden zoals gemaakte winsten of vermeden verliezen.

Bij het vaststellen van de boete houdt de AP zo nodig rekening met de financiële omstandigheden waarin de overtreder verkeert.   

Algemene wet bestuursrecht

Bij het vaststellen van de hoogte van de boete neemt de AP naast het wettelijk boetemaximum, ook de toepasselijke bepalingen uit hoofdstuk 5 van de Algemene wet bestuursrecht en de algemene beginselen van behoorlijk bestuur in acht. Zo bepaalt artikel 5:46, tweede lid van de Awb dat het bestuursorgaan de bestuurlijke boete afstemt op de ernst van de overtreding en de mate waarin deze aan de overtreder kan worden verweten. Het bestuursorgaan houdt daarbij zo nodig rekening met de omstandigheden waaronder de overtreding is gepleegd. Algemene beginselen van behoorlijk bestuur waarmee de AP rekening zal houden, zijn onder meer het zorgvuldigheidsbeginsel, het beginsel van belangenafweging en evenredigheidsbeginsel.

De AP kan van de beleidsregels afwijken indien bijzondere gevallen daarom vragen en niet zijn verdisconteerd in de beleidsregels.

Inwerkingtreding en EDPB

De beleidsregels treden in werking met ingang van 15 maart 2019. Zij komen te vervallen zodra de EDPB (European Data Protection Board) gezamenlijke uitgangspunten heeft vastgesteld voor het berekenen van boetes.

De richtsnoeren voor de toepassing en vaststelling van administratieve geldboeten in de zin van de Avg, die op 25 mei 2018 door de EDPB bekrachtigd zijn, blijven onverminderd van kracht. Relevante beginselen die de AP ook bij het toepassen van de boetebeleidsregels in acht zal nemen zijn onder meer dat inbreuken op de Avg tot vergelijkbare sancties moeten leiden; dat geldboeten doeltreffend, evenredig en afschrikwekkend moeten zijn; en dat de AP per afzonderlijk geval een beoordeling maakt. Deze lijken voor de hand te liggen, maar wij vonden het belangrijk om ze toch nog even onder de aandacht te brengen. Het is fijn dat de AP duidelijkheid heeft verschaft met het publiceren van haar boetebeleidsregels. Wij zijn benieuwd naar de toepassing ervan.

Kom in contact met ons

Mocht u verdere informatie willen, dan helpen wij u graag.