null

Boetebeleidsregel bij meldplicht datalekken

In een eerdere blog is aan de orde gesteld hoe er gehandeld dient te worden bij een geconstateerd datalek. De belangrijkste vraag in deze is of er sprake is van een datalek en of deze gemeld moet worden.

Kort en krachtig komt het er op neer dat melding bij de Autoriteit Persoonsgegevens (hierna: de Autoriteit) dient plaats te vinden als persoonsgegevens worden blootgesteld aan verlies of onrechtmatige verwerking van persoonsgegevens van gevoelige aard of gegevens die leiden tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens, dan wel dat daar een aanzienlijke kans op bestaat.

Is tevens aannemelijk dat de inbreuk ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van de persoon op wie deze gegevens betrekking hebben, moet de inbreuk ook aan de betrokkene persoon worden gemeld.

Dat dit moet gebeuren, is geregeld in artikel 34a Wet Bescherming Persoonsgegevens (hierna: Wbp). Indien men nalaat zich hieraan te houden, wordt op basis van de op 1 januari 2016 in werking getreden Boetebeleidsregels Autoriteit Persoonsgegevens 2016 door de Autoriteit bezien of en zo ja, welke boete hiervoor kan worden opgelegd.

In deze blog zullen we nader stilstaan bij deze Boetebeleidsregel en dan in het bijzonder bij overtreding van artikel 34a Wbp. De Boetebeleidsregels zien echter ook nog op diverse andere overtredingen van de Wbp, welke niet zullen worden besproken.

Artikel 34A Wet Bescherming Persoonsgegevens en de Boetebeleidsregels Autoriteit Persoongegevens 2016

Op grond van de Boetebeleidsregel kan de Autoriteit een bestuurlijke boete opleggen van ten hoogste EUR 820.000. De Autoriteit stelt de basisboete voor overtredingen waarvoor een wettelijk boetemaximum van €820.000 geldt vast binnen de volgende boetebandbreedtes:

  • Categorie I Boetebandbreedte tussen EUR 0,00 en EUR 200.000,00;
  • Categorie II Boetebandbreedte tussen EUR 120.000,00 en EUR 500.000,00;
  • Categorie III Boetebandbreedte tussen EUR 350.000,00 en EUR 820.000,00.

Voor het niet onverwijld in kennis stellen van de Autoriteit dan wel de betrokkene van een inbreuk op de beveiliging kan een bestuurlijke boete worden opgelegd van maximaal EUR 500.000. Wordt door de verantwoordelijke de bindende voorwaarde niet nagekomen (artikel 66 lid 5 Wbp) of wordt de medewerkingsplicht (artikel 5:20 Algemene wet bestuursrecht) geschonden, dan kan de Autoriteit een maximale boete opleggen van EUR 820.000. Mocht het opleggen van een bestuurlijke boete van EUR 820.000 niet passend zijn, dan kan ook 10% van de nationale jaaromzet van het voorgaande boekjaar worden opgelegd.

Elke boetecategorie is gekoppeld aan een bepaalde boetebandbreedte. De uiteindelijke hoogte wordt hierbij mede beïnvloed door de wens om de boete afschrikwekkend te laten zijn voor de overtreder (speciale preventie), terwijl tevens wordt beoogd potentiële overtreders af te schikken (generale preventie).

Binnen de bandbreedte wordt er een basisboete vastgesteld. Dat is het “startbedrag” om mee verder te rekenen. Als uitgangspunt geldt dat de basisboete wordt vastgesteld op 33% van de bandbreedte van de aan de overtreding gekoppelde boetecategorie. De uiteindelijk op te leggen boete is afhankelijk van diverse factoren, zoals

  • de aard van de overtreding,
  • de ernst van de overtreding,
  • de duur van de overtreding,
  • de gevolgen van de overtreding,
  • de mate van verwijtbaarheid,
  • de omstandigheden waaronder de overtreding is gepleegd en financiële omstandigheden van de overtreder.

Naast deze factoren benoemt de Boetebeleidsregels nog specifieke boete verhogende factoren, zoals recidive (er is eerder een onherroepelijke boete opgelegd) en het belemmeren van het onderzoek. Specifieke boete verlagende factoren zijn het verdergaand medewerking verlenen dan waartoe de overtreder wettelijk gehouden is, het uit eigen beweging beëindigen van de overtreding nog voordat dat deze bekend is geworden bij de Autoriteit Persoonsgegevens en het uit eigen beweging schadeloos stellen van een betrokkene.

Tot slot: bij dit alles wordt rekening gehouden met de mate waarin de overtreding aan de overtreder kan worden verweten. Indien echter iemand opzettelijk de overtreding heeft gepleegd, dan wel ernstig verwijtbaar nalatig is geweest, gelden vanzelfsprekend andere regels.

Uitgangspunt is dat de Autoriteit Persoonsgegevens allereerst een bindende aanwijzing geeft voorafgaand aan het opleggen van een boete en hieraan een termijn koppelt waarbinnen gevolg moet worden gegeven aan deze aanwijzing (anders: indien sprake is van opzet of ernstig verwijtbare nalatigheid (artikel 66 lid 4 Wbp)).

(Deze blog is tot stand gekomen in samenwerking met advocaat Tina Sandrk, sandrk@thna.nl)