Overzicht Actueel

Privacy monetization – over boetes en handhaving onder de AVG

Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens (AP), schroomt niet om in de media te benadrukken dat er onder de AVG veel en hoge boetes kunnen – en waarschijnlijk zullen – worden opgelegd. ‘Fout is fout’ en ‘We willen dat bedrijven de privacywet respecteren‘, zei Wolfsen in het FD. Een boete van de AP kan onder de AVG oplopen tot 20 miljoen, of 4% van de jaaromzet (als dat meer is). Het zingt rond in de markt dat partijen met een hoog risicoprofiel in mei 2018 als eerste zullen worden onderzocht. Maar ja, wie dan? Data driven marketing organisaties misschien? Het advies: keep calm and continue implementing the GDPR.

Boetes

Er geldt straks een tweeledig boeteregime. Voor zwaardere verplichtingen uit de AVG geldt een hogere maximum boete, voor minder zwaardere verplichtingen geldt een lager boete maximum. Een paar voorbeelden:

  • Heavy: 20 miljoen of 4%
    • Overtreden van de basisbeginselen voor het vragen van toestemming.
    • Overtreden van de verplichtingen m.b.t. de rechten van de betrokkenen.
  • Light: 10 miljoen of 2%
    • Niet implementeren van (beveiligings)maatregelen i.v.m. privacy by design of privacy by default.
    • Verwerker inschakelen zonder de wettelijke verplichtingen voor een verwerkersovereenkomst.


One stop shop

Voor het volledige overzicht van de boetes, met voorbeelden en de eerste resultaten van ons AVG onderzoek, vraag AVG deel 6 aan. Nieuw in de AVG is dat de AP in een aantal gevallen ook direct een boete kan opleggen aan de verwerker, niet alleen aan de verantwoordelijke. Bijvoorbeeld als een verwerker niet uitsluitend persoonsgegevens in opdracht van een verantwoordelijke verwerkt. Denk aan een ESP die e-mailadressen ook inzet om een eigen campagne te draaien, of een online enquête tool die persoonsgegevens doorverkoopt aan derde partijen. Wil je weten wat hier de maximumboete voor is? Kijk dan in dit overzicht.

De AVG is een Verordening: in de hele EU gelden dezelfde regels, uitzonderingen daargelaten. Dus organisaties die in meerdere EU landen persoonsgegevens verwerken kunnen met meerdere toezichthouders te maken krijgen. Bijvoorbeeld als een campagne aan prospects in Duitsland en Nederland wordt gestuurd. Maar vrees niet, de AVG heeft op deze situatie geanticipeerd met het zogenaamde ‘one stop shop’ principe.

Op het moment dat er grensoverschrijdend persoonsgegevens worden verwerkt, of dat een verwerking van persoonsgegevens impact heeft in meerdere EU landen, wordt een leidende toezichthouder aangewezen. Organisaties hoeven dan alleen met deze leidende toezichthouder zaken te doen. De hoofdregel is dat het land waar de hoofdvestiging van een organisatie is gevestigd de leidende toezichthouder levert.

Zonder waarschuwing een factuur op de mat?

De AP heeft nog een hele rits andere taken en bevoegdheden. Logisch ook, want boetes mogen natuurlijk niet zomaar worden opgelegd. De AP kan onder de AVG controles uitvoeren, toegang krijgen tot (fysieke) ruimtes en informatie, waarschuwingen opleggen, of een organisatie ‘gelasten’ een verwerking van persoonsgegevens in overeenstemming met de AVG te brengen. Ook kan de AP ongevraagd advies geven en een verwerking tijdelijk of definitief beperken.

De AP is niet verplicht om altijd eerst een waarschuwing te geven, voorafgaand aan een boete. Er kan dus ook direct een boete worden opgelegd. Een besluit van de AP kun je aanvechten bij de rechter.

‘Handhaving’ door consumenten

Consumenten krijgen onder de AVG meer rechten om controle uit te oefenen over hun persoonsgegevens, lees daarover ook deel 5 van onze AVG voorlichting. Daarnaast kunnen consumenten een klacht indienen bij de AP tegen een organisatie. De AP is onder de AVG verplicht de klachten van consumenten te behandelen. Dit kan ook een afwijzing van de klacht inhouden, maar de AP kan de klachten niet naast zich neerleggen.

Onder de huidige privacy wetgeving is de AP niet verplicht om klachten van consumenten te behandelen en kunnen consumenten alleen een tip indienen. Logischerwijs zal de AP onder de AVG waarschijnlijk meer gaan handelen naar aanleiding van klachten van consumenten. Boetes zullen wellicht gaan vallen in de hoeken waar consumenten de meeste last of ergernis ervaren. Dit gaat wellicht lijken op de klachtenbehandeling door de ACM over spam en het BMNR.

Wil je weten welke maximumboete voor welke overtreding geldt? Vraag dan hier deel 6 van onze AVG voorlichting aan.