De AVG: vanaf morgen bestuurlijke boetes van 20 miljoen?

De Algemene Verordening Gegevensbescherming (“AVG”) is sinds 25 mei 2018 van kracht: de nieuwe europese privacywetgeving. Voor iedere organisatie heeft dat gevolgen: de privacy beginselen uit de AVG zijn een stuk strenger geworden. De Autoriteit Persoonsgegevens houdt toezicht en heeft de mogelijkheid hoge boetes op te leggen. Betekenen deze nieuwe eisen meer kans op een boete?

Als advocaat gespecialiseerd in bestuurlijke boetes maak ik vaak mee dat de bestuurlijke boete in geen enkele verhouding staat tot de boetes die worden opgelegd in het reguliere strafrecht. De boetes die hier opgelegd kunnen worden, kunnen EUR 20.000.000,- bedragen en zelfs meer, te weten een percentage van de wereldomzet.

Wat zijn de belangrijkste verplichtingen?

Er is al veel over geschreven, dus ik zal mij in dit stuk over de AVG tot een aantal hoofdzaken beperken. Belangrijk is dat er zes gronden zijn om persoonsgegevens te mogen verwerken. Vaak wordt er gesproken over “toestemming”, maar dat is maar één van de gronden op basis waarvan persoonsgegevens verwerkt mogen worden. Ook al heb je een grondslag om persoonsgegevens te verwerken, betekent dat niet dat een organisatie zich niet moet houden aan de overige eisen uit de privacywetgeving. Enkele belangrijke aspecten zijn: transparantie, bewaarduur, beveiliging, et cetera.

Een aantal belangrijke privacyrechten die voortvloeien uit de AVG, zijn onder meer het recht op vergetelheid (het recht om vergeten te worden). Dit is een nieuw recht en bestond nog niet onder de Wet Bescherming Persoonsgegevens. Een ander nieuw recht is dataportabiliteit, dat wil zeggen het recht om persoonsgegevens over te dragen. Andere rechten die zijn uitgebreid, geherformuleerd, zijn bijvoorbeeld het recht op inzage, het recht op rectificatie, recht op beperking van verwerking en het recht om bezwaar te maken tegen gegevensbescherming.

Hierboven zijn slechts enkele aspecten van de AVG besproken, onze specialist van de AVG (Lisa Jie Sam Foek) heeft gedetailleerde kennis van de AVG.

Bestuurlijke boete: welke regels zijn van toepassing?

Vanuit het kabinet en de minister van rechtsbescherming is aangegeven dat de Autoriteit Persoonsgegevens niet direct zal overgaan tot het opleggen van hoge boetes. Hoewel de AVG direct van toepassing is en de Autoriteit Persoonsgegevens dus direct boetes op kan leggen, lijkt het erop dat de Autoriteit Persoonsgegevens zich de eerste jaren zal inzetten op het geven van voorlichting en het bijsturen van organisaties. De Autoriteit Persoonsgegevens is echter een onafhankelijke toezichthouder en zelfstandig bevoegd, zodat de politiek daar feitelijk weinig over te zeggen heeft. De Autoriteit Persoonsgegevens kan in principe vanaf morgen overgaan tot hoge boetes.

Als er een voornemen tot een bestuurlijke boete komt op basis van de AVG, is ook kennis van de Algemene Wet Bestuursrecht van toepassing. Een boete kwalificeert als een criminal charge, hetgeen betekent dat er voor de beboete partij allerlei strafrechtelijke bescherming geldt. Bovendien is het van belang om in een dergelijk traject zorgvuldig te opereren. Zoals ik eerder zei: “anything you say can and will be held against you” of soms is bij een bestuurlijke boete spreken zilver, maar zwijgen goud.

Het is dan ook zaak om in een vroeg stadium (eigenlijk al bij een informatieverzoek) de hulp van een advocaat in te schakelen. De eerste reactie kan van doorslaggevende betekenis zijn bij de vraag of er later al dan niet een boete wordt opgelegd. Voorkomen is hier beter dan genezen.

Hebt u vragen over deze blog, aarzelt u dan niet om contact op te nemen met advocaat bestuurlijke boete, Jasper Hagers.