blog

Privacy: welke straf staat er op overtreding AVG?

Arbeidsrecht

De Europese Algemene verordening gegevensbescherming (AVG) treedt op 25 mei 2018 in werking. In Nederland is de Autoriteit Persoonsgegevens (AP) als toezichthoudende autoriteit belast met het toezicht op de naleving van de AVG. Welke bevoegdheden heeft de AP daartoe? Welke sancties kan zij opleggen?

Privacy: welke straf staat er op overtreding AVG?

De kerntaak van de AP is zorgen voor de naleving van de AVG. Om die kerntaak uit te kunnen oefenen, wordt een aantal bevoegdheden toegekend. De belangrijkste bevoegdheden zijn het kunnen opvragen van informatie, verrichten van onderzoek, het constateren van inbreuken op de AVG en het verwittigen van de verwerkingsverantwoordelijke en/of de verwerker hierover, het verkrijgen van toegang tot informatie, bedrijfsruimten, woningen, uitrustingen en middelen voor gegevensverwerking, het nemen van corrigerende maatregelen, het verlenen van autorisatie, bijvoorbeeld voor standaard contractsbepalingen, gedragscodes of certificeringsinstanties, en het verlenen van advies en bemiddeling.

Deze bevoegdheden zorgen ervoor dat de AP middelen heeft om haar toezichthoudende taak uit te kunnen oefenen.

Sanctiestelsel

Het sanctiestelsel van de AP bestaat vanaf 25 mei 2018 uit zogeheten corrigerende maatregelen en een administratieve geldboete. Bij corrigerende maatregelen kan onder andere worden gedacht aan het geven van waarschuwingen, berispingen, opleggen van een tijdelijk of blijvend verwerkingsverbod (wat dus kan betekenen dat bepaalde processen worden stilgelegd!) of het gelasten van medewerking aan een onderzoek.

Lees ook: AVG: werkgevers willen jaar uitstel van privacywet

De administratieve geldboete is hoog: maximaal twintig miljoen euro of 4 procent van de totale wereldwijde jaaromzet. De AP kan ervoor kiezen om zowel een corrigerende maatregel op te leggen als een geldboete. Voornoemde maatregelen bieden de AP mogelijkheden om de naleving van de AVG daadwerkelijk te kunnen afdwingen.

Last onder bestuursdwang

In het wetsvoorstel Uitvoeringswet Algemene verordening gegevensbescherming is opgenomen dat de AP ook een last onder bestuursdwang kan opleggen. Dit vormt een aanvulling op het sanctiestelsel van de AVG en biedt de AP een laagdrempelige manier om handhaving te bewerkstelligen, zonder gebruik te hoeven maken van een (hoge) geldboete. Immers, wanneer iemand doet wat is gevraagd, volgt er verder geen sanctie.

Lees ook: Privacy in het personeelsdossier: wat mag en wat niet?

Onderzoek naar naleving van de AVG

De jaarverslagen 2015 en 2016 van de AP zijn gepubliceerd. Daaruit blijkt dat onder de Wet bescherming persoonsgegevens (Wbp) in 2015 door de AP 48 onderzoeken (inclusief onderzoek naar datalekken)  zijn verricht en 226 alternatieve interventies (bijvoorbeeld het voeren van gesprekken of het versturen van brieven) hebben plaatsgevonden. Er zijn 17 gevallen waarbij de AP in 2015 sancties heeft opgelegd. Voor het jaar 2016 zijn de cijfers flink gestegen: 197 onderzoeken, 303 interventies en 20 sancties. Over 2017 zijn nog geen gegevens beschikbaar.

In 2018 zal duidelijk worden hoe de AP vanaf de inwerkingtreding van de AVG met de bevoegdheden en het nieuwe sanctiestelsel zal omgaan. Wij wachten dat in spanning af en houden het in de gaten.

Rein van den Bosch is juridisch medewerker arbeidsrecht bij De Voort Advocaten | Mediators.
Stefan Jansen is advocaat bij De Voort Advocaten | Mediators.

Meer weten over de AVG? Meld u aan voor het congres of bestel het boek De AVG: Alles wat u moet weten over de verwerking van persoonsgegevens

 

Reageer op dit artikel