Algemene Verordening Gegevensbescherming

Sanctiemogelijkheden binnen de AVG


Voorkomen is beter dan procederen

Boetes en sancties

In de media wordt momenteel veel aandacht besteed aan de komst van de Algemene Verordening Gegevensbescherming (AVG) en dan vooral aan de boetes die vanaf 25 mei 2018 “uitgedeeld zullen gaan worden”. Ik ben van mening dat er hierbij in veel gevallen een te beperkt beeld wordt geschetst doordat men zich beperkt tot het aangeven van de maximale administratieve boete. Bij de andere sancties wordt niet of nauwelijks stilgestaan en over mogelijke rechtsbescherming wordt evenmin gesproken. In dit artikel ga ik dieper in op de sancties die de Autoriteit Persoonsgegevens (AP) binnen het bereik van de AVG  kan gaan opleggen en zal ik in het kort beschrijven welke rechtsbescherming de Algemene wet bestuursrecht (Awb) in dit kader biedt.

De AP kan bij de uitvoering van de AVG verschillende sancties toepassen. Ik noem hieronder de belangrijkste.

Administratieve boetes

Op grond van de Algemene verordening gegevensbescherming (AVG) kunnen vanaf 25 mei volgend jaar, kort gezegd, de volgende administratieve boetes worden opgelegd:

  • Artikel 83 lid 4 AVG: een boete van maximaal 10.000.000 euro of 2% van de wereldwijde jaaromzet voor schending van de verplichtingen die veelal meer procedureel van aard zijn.
  • Artikel 83 lid 5 AVG: een boete van maximaal 20.000.000 euro of 4% van de wereldwijde jaaromzet voor schending van de verplichtingen die veelal meer materieel / inhoudelijk van aard zijn of de privacy van de betrokkenen directer raken.
  • Artikel 83 lid 6 AVG: een boete van maximaal 20.000.000 euro of 4% van de wereldwijde jaaromzet voor het niet opvolgen van een bevel van de toezichthoudende autoriteit

Artikel 84 lid 1 AVG biedt de ruimte voor een in het nationale recht bepaalde “andere sanctie” op het schenden van een artikel waarop de verordening zelf geen sanctie stelt. In Artikel 83 lid 2 AVG wordt gesteld dat er bij het opleggen van een boete rekening gehouden dient te worden met alle omstandigheden van het geval. Het genoemde “bevel” zoals in artikel 83 lid 6 AVG is genoemd lijkt op de systematiek van de “bindende aanwijzing” zoals die nu in de Wbp is genoemd. Een bevel of “last onder bestuursdwang” kan worden opgelegd in dezelfde gevallen als waarin een administratieve boete kan worden opgelegd op basis van artikel 83 van de verordening, zo blijkt uit de Uitvoeringswet Algemene verordening gegevensbescherming

Last onder dwangsom

Naast de administratieve boetes krijgt de AP nog andere mogelijkheden om boetes op te gaan leggen. In de Uitvoeringswet Algemene verordening gegevensbescherming wordt de last onder dwangsom genoemd. De last onder dwangsom wordt in de Uitvoeringswet getypeerd als een “meer laagdrempelige manier voor de toezichthouder om handhaving te bewerkstelligen, zonder dat er onmiddellijk een boete hoeft te worden opgelegd”.

Vordering op grond van persoonlijke- ofwel bestuurdersaansprakelijkheid

Uit artikel 36 van de Uitvoeringswet kan worden opgemaakt dat de bestuurders van een verwerkingsverantwoordelijke alsmede van de verwerker in persoon aansprakelijk kunnen worden gesteld in het geval iemand schade leidt doordat er in strijd wordt gehandeld met de bij of krachtens de AVG gegeven voorschriften. Dit wordt ook wel de “persoonlijke boete” genoemd. De persoonlijke boete zal bovenop de boete komen die aan de onderneming kan worden opgelegd. Deze vordering kan overigens ook civielrechtelijk worden bereikt. Art. 2:9 BW biedt hiervoor een mogelijkheid. Tevens kan hierbij de gebruikelijke route van art. 6:162 BW worden gevolgd. Het onvoldoende beveiligen van persoonsgegevens of het niet of niet tijdig melden van een ernstig datalek kan hiermee onder omstandigheden leiden tot de persoonlijke aansprakelijkheid van bestuurders.

Openbaar maken

In artikel 20 van de uitvoeringswet is aangegeven dat onderzoeksbevindingen, corrigerende maatregelen, adviezen en beslissingen op bezwaar openbaar gemaakt kunnen worden. Dit kan een organisatie veel (imago) schade berokkenen.

Rechtsbescherming tegen administratieve sancties

Voor wat betreft de rechtsbescherming tegen de sancties die de AP kan opleggen beperk ik me in dit artikel tot de administratieve sancties. Omwille van de leesbaarheid voor niet-juristen geef ik slechts een zakelijke weergave van dit complexe leestuk. De Algemene wet bestuursrecht (Awb) speelt een centrale rol bij de rechtsbescherming tegen overheidshandelen. De Awb bevat de algemene regels van het bestuursrecht met betrekking tot de verhouding tussen de overheid enerzijds en de burgers, bedrijven en overige instanties anderzijds alsmede tussen de diverse overheidsorganen onderling. De Awb geeft algemene regels voor bezwaar, beroep en hoger beroep.

Zienswijze

De AP zal de betreffende organisatie die een overtreding heeft begaan in kennis stellen van het voornemen om over te gaan tot het opleggen van een bestuurlijke boete. Gelet op de impact van een bestuurlijke boete moet de overtredende organisatie in de gelegenheid worden gesteld om schriftelijk of mondeling een zienswijze naar voren te brengen. Er kan geen bestuurlijke boete worden opgelegd wanneer de overtreding niet aan de overtreder kan worden verweten. Wanneer een overtreder bijvoorbeeld een beroep kan doen op een rechtvaardigings- of schulduitsluitingsgrond kan het raadzaam zijn een zienswijze naar voren te brengen. Hierna zal de AP een besluit nemen: wel of geen bestuurlijke boete op leggen of een andere weg bewandelen.

Boete

Wanneer de AP besluit om een boete op te leggen dient het boetebedrag te worden vastgesteld. De hoogte van de boete zal afhankelijk zijn van de criteria die in art. 83 lid 2 AVG worden gesteld, te weten:

  • de aard, de ernst en de duur van de inbreuk, rekening houdend met de aard, de omvang of het doel van de verwerking in kwestie alsmede het aantal getroffen betrokkenen en de omvang van de door hen geleden schade;
  • de opzettelijke of nalatige aard van de inbreuk;
  • de door de verwerkingsverantwoordelijke of de verwerker genomen maatregelen om de door betrokkenen geleden schade te beperken; 

Rechtsbescherming bij een bestuurlijke boete

Tegen de bestuurlijke boete kan bezwaar worden aangetekend bij de AP. De AP zal hierna in beginsel binnen zes weken een besluit nemen op het bezwaarschrift. Het is vervolgens mogelijk om tegen dit besluit in beroep te gaan bij de afdeling bestuursrecht van de rechtbank. In sommige gevallen is het overigens mogelijk om direct in beroep te gaan. Het instellen van bezwaar en beroep heeft in beginsel geen schorsende werking binnen het bestuursrecht. Een opgelegde boete dient dus lopende de procedure al betaald te worden, tenzij er een schorsing wordt toegewezen door de voorlopige voorzieningenrechter.

Voorkomen is beter dan procederen

Het is duidelijk dat de Autoriteit Persoonsgegevens binnen de AVG beschikt over een diversiteit aan sanctiemogelijkheden die zich niet beperken tot de administratieve boetes. Ondanks dat er bij de toepassing van sancties door de AP zorgvuldig te werk dient te worden gegaan en dat er bezwaar en beroep mogelijk is, is het beter om je goed op de AVG voor te bereiden en zo de kans op een sanctie te voorkomen. Voorkomen is immers beter dan procederen!