Column


IT-jurist Peter van Schelven over...

Boetes onder de AVG: reëel risico?

Tijdens seminars en bijeenkomsten waar de Algemene Verordening Gegevensbescherming (AVG) wordt besproken, wordt snel gewezen op de nieuwe boeterisico’s. Wie de spelregels van de nieuwe Europese privacywetgeving schendt, stelt zich bloot aan een boete van maximaal 20 miljoen euro of – indien hoger – 4 procent van de jaarlijkse wereldomzet. Voor sommige overtredingen, zoals de schending van de securityverplichtingen, is de maximale boete lager: 10 miljoen euro of – als dat hoger uitpakt – 2 procent van de wereldomzet in een jaar.

Hoe dan ook: de AVG bevat forse plafondbedragen. Deze cijfers zetten aan tot nadenken. Zij verklaren wellicht ook waarom de angst voor de AVG bij sommigen binnen bedrijven en andere organisaties inmiddels een toppunt heeft benaderd. Advocaten en privacyconsultants spinnen er momenteel stevig garen bij. De boeteregeling is verworden tot een weinig sympathieke ‘marketingtool’ binnen deze beroepsgroepen.

De boeteregels in de AVG zijn dus niet mijn meest favoriete onderwerp. De dreiging met bestuurlijke boetes heeft een erg negatieve lading en het legitieme belang van de zorgvuldige omgang met persoonsgegevens verdient in mijn ogen een meer positief vertrekpunt.

Guidelines voor boetebeleid
Toch veroorloof ik mij in deze bijdrage enige opmerkingen te maken over de nieuwe boeteregels. Reden: de zogeheten ‘werkgroep 29’ (WP29), een Europees samenwerkingsverband van de nationale privacytoezichthouders, heeft deze maand belangwekkende ‘guidelines’ gepubliceerd over wat men van de boeteregels in de AVG mag verwachten. Het rapport van deze werkgroep geeft zeker niet alle antwoorden, maar op onderdelen worden we iets wijzer.

De in de AVG genoemde bedragen zijn, zoals gezegd, slechts maximumboetes. In de praktijk zullen die maxima vermoedelijk dikwijls niet gehaald worden. Wat bij lezing van de richtlijnen van WP29 opvalt, is dat de werkgroep zich niet heeft willen wagen aan het maken van staffels met de te verwachten boetebedragen. Het rapport geeft uitdrukkelijk aan dat van geval tot geval beoordeeld moet worden of en zo ja met welk bedrag een overtreding wordt beboet. In dat opzicht bieden de Europese toezichthouders dus weinig zekerheid. Kennelijk durven de gezamenlijke toezichthouders hun vingers niet te branden aan concrete bedragen.

Ultimum remedium?
Wel presenteert WP29 een reeks van gezichtspunten die de Autoriteit Persoonsgegevens in een concreet geval moet meewegen bij het nemen van een boetebesluit. Zo wordt – om er bij wijze van voorbeeld hier één te noemen – opgemerkt dat het niet juist zou zijn om te menen dat de bestuurlijke boetes onder de AVG slechts een ‘ultimum remedium’ zijn. De boete is in die visie dus geen remedie die pas mag worden opgelegd als zou blijken dat alle andere corrigerende maatregelen (zoals een waarschuwing) niet zouden werken. Anders gezegd: een boete kan in de visie van WP29 in beginsel ook al worden opgelegd als de toezichthouder tevens andere, minder vergaande maatregelen beschikbaar heeft.

In de lijst van gezichtspunten van de WP29 wordt ook genoemd dat een organisatie eerder op de financiële blaren zit als zij welbewust de adviezen van haar Data Protection Officer in de wind slaat. Op zich is dat een vanzelfsprekende gedachte, want een organisatie die willens en wetens de AVG schendt, handelt kwalijker dan de organisatie die uit onwetendheid de spelregels overtreedt. De zure kant van die geachte is echter wel dat elke organisatie die een kritische Data Protection Officer aanstelt, haar boeterisico door dat enkele feit verhoogt. Het zou dus zo maar kunnen zijn dat organisaties in dit opzicht meer gebaat zijn met minder kritische privacyprofessionals. Dat zou toch een bedenkelijk effect van de visie van WP29 zijn?

Best practices
Ook over de verhouding van de technische en organisatorische security tot het boeterisico zegt WP29 het nodige. Zo wordt onder andere opgemerkt dat er bij het nemen van een boetebesluit gekeken moet worden of de overtreder de ‘best practices’ op het gebied van security in acht heeft genomen.

Nog geheel los van de vraag wat nu precies die beste praktijken zijn, duidelijk is wel dat de maatstaf hoog wordt gelegd. Want waarom geen ‘good pratices’ of ‘reasonable practices’? Dat is niet louter een juridisch taalspelletje, maar een kwestie van concrete eisen die aan het naleven van de wettelijke securityverplichting worden gesteld. Het boetebeleid wordt op die manier een stevige impuls tot het treffen van de best beschikbare securitymaatregelen.

Half ei, lege dop
Wie het rapport van de WP29 leest, krijgt de indruk dat de gezamenlijke toezichthouders hun richtlijnen voor het boetebeleid stevig aanzetten. Tegelijkertijd zadelt WP29 bedrijven en organisaties in de Europese samenleving op met tal van onbeantwoorde vragen. Op basis van de nieuwe richtlijnen kan dus nauwelijks worden ingeschat of, en zo ja tot welke bedragen er boetes opgelegd gaan worden. Dat maakt het rapport in zekere zin tot een half ei/lege dop. En dat is jammer.


IT-jurist Mr. Peter van Schelven, BIJ PETER – Wet & Recht, laat wekelijks zijn licht schijnen over een opmerkelijke uitspraak of wetgeving binnen het IT-recht. Heeft u een concrete vraag voor Peter? Dan kunt u mailen naar peter.van.schelven@gmail.com. 

Schrijf hier in voor het GDPR impact seminar

Verder lezen?

Log in en lees verder of maak hier uw persoonlijk profiel aan en ontvang als eerste het laatste securitynieuws. Speciaal voor u geselecteerd!

Dit veld is verplicht
Vul een geldige e-mailadres in
Dit veld is verplicht