null

Evenredigheid bij bestuurlijke boetes van de Autoriteit Persoonsgegevens

Dat bij het opleggen van een bestuurlijke boete het evenredigheidsbeginsel een (grote) rol speelt, is inmiddels vaste rechtspraak. Het is dan ook niet vreemd dat de rechtbank Den Haag dat ook betreft op een bestuurlijke boete op grond van de Algemene Verordening Gegevensbescherming (AVG) van EUR 460.000,00 aan het Haga Ziekenhuis. Met welke omstandigheden houdt de Autoriteit Persoonsgegevens rekening voor verhoging of verlaging van de basisboete?

Boetebeleidsregels Autoriteit Persoonsgegevens

Naar aanleiding van een door het Haga Ziekenhuis (Haga) gedane melding van een datalek heeft de Autoriteit Persoonsgegevens (AP) Haga een bestuurlijke boete van EUR 460.000,00 opgelegd. Haga heeft volgens de AP artikel 32 van de AVG overtreden door niet genoeg maatregelen te nemen om de persoonsgegevens van patiënten (waaronder Barbie) te beschermen. Zo miste een zogenoemde tweefactor authenticatie en werd de logging van de toegang tot de patiëntendossiers niet regelmatig gecontroleerd

Het bedrag van EUR 460.000,00 is gebaseerd op de Boetebeleidsregels Autoriteit Persoonsgegevens 2019 (Boetebeleidsregels 2019). Voor overtreding van artikel 32 van de AVG geldt een basisboete van EUR 310.000,-. Op grond van artikel 6 en 7 van de Boetebeleidsregels 2019 houdt de AP rekening met de volgende omstandigheden voor verhoging of verlaging van de basisboete:

a)     de aard, de ernst en de duur van de inbreuk, rekening houdend met de aard, de omvang of het doel van de verwerking in kwestie alsmede het aantal getroffen betrokkenen en de omvang van de door hen geleden schade;

b)     de opzettelijke of nalatige aard van de inbreuk;

c)     de door de verwerkingsverantwoordelijke of de verwerker genomen maatregelen om de door betrokkenen geleden schade te beperken;

d)     de mate waarin de verwerkingsverantwoordelijke of de verwerker verantwoordelijk is gezien de technische en organisatorische maatregelen die hij heeft uitgevoerd overeenkomstig de artikelen 25 en 32 van de Algemene verordening gegevensbescherming;

e)     eerdere relevante inbreuken door de verwerkingsverantwoordelijke of de verwerker;

f)      de mate waarin er met de toezichthoudende autoriteit is samengewerkt om de inbreuk te verhelpen en de mogelijke negatieve gevolgen daarvan te beperken;

g)     de categorieën van persoonsgegevens waarop de inbreuk betrekking heeft;

h)     de wijze waarop de toezichthoudende autoriteit kennis heeft gekregen van de inbreuk, met name of, en zo ja in hoeverre, de verwerkingsverantwoordelijke of de verwerker de inbreuk heeft gemeld;

i)      de naleving van de in artikel 58, tweede lid, van de Algemene verordening gegevensbescherming genoemde maatregelen, voor zover die eerder ten aanzien van de verwerkingsverantwoordelijke of de verwerker in kwestie met betrekking tot dezelfde aangelegenheid zijn genomen;

j)      het aansluiten bij goedgekeurde gedragscodes overeenkomstig artikel 40 van de Algemene verordening gegevensbescherming of van goedgekeurde certificeringsmechanismen overeenkomstig artikel 42 van de Algemene verordening gegevensbescherming; en

k)     elke andere op de omstandigheden van de zaak toepasselijke verzwarende of verzachtende factor, zoals gemaakte financiële winsten, of vermeden verliezen, die al dan niet rechtstreeks uit de inbreuk voortvloeien.

In dit geval is de basisboete op grond van a) en b) met in totaal EUR 150.000,00 verhoogd.

Haga bestrijdt de bestuurlijke boete en stelt zich onder meer op het standpunt dat deze onevenredigheid hoog is. Daarbij wordt gewezen op het onderzoeksrapport, waaruit volgt dat de beveiligingsmaatregelen van Haga grotendeels volstonden. De conclusie van  de AP dat Haga “bijzonder nalatig” is geweest is volgens Haga dan ook ongegrond en niet terug te voeren op de onderzoeksbevindingen.

Ook voert Haga aan dat de basisboete van EUR 310.000,- bijzonder hoog is vergeleken met boetes die in het buitenland zijn opgelegd. Die basisboete is bovendien ten onrechte verhoogd vanwege de “aard, ernst en duur van de inbreuk” en “de nalatige aard”. Ook komt de onderbouwing van beide verhogingen volgens Haga op hetzelfde neer. Verder had de bestuurlijke boete verlaagd moeten worden wegens schadebeperkende maatregelen.

Boeteverhogende factor

De rechtbank oordeelt allereerst dat de basisboete alleen, dus zonder afstemming op de feiten en omstandigheden van het geval, maakt dat geen vergelijking kan worden gemaakt met vergelijkbare gevallen in andere landen. Omdat Haga de basisboete als beleidsmatig uitgangspunt niet bestreden heeft, gaat de rechtbank uit van de redelijkheid van de hoogte van de basisboete.

Verder oordeelt de rechtbank dat de AP terecht heeft geoordeeld dat sprake is van de boeteverhogende factor “aard, ernst en duur van de inbreuk”. Van januari 2018 tot en met 18 juni 2019 zijn namelijk geen passende beveiligingsmaatregelen getroffen. Verder wijst de rechtbank erop dat sprake is van een groot aantal patiënten dat is opgenomen in het ziekenhuisinformatiesysteem en gelet op het type persoonsgegevens dat bijzondere bescherming behoeft.

Ook oordeelt de rechtbank dat sprake is van de boeteverhogende factor “nalatige aard”. Haga heeft na het datalek namelijk niet de juiste maatregelen getroffen. Daarbij wijst de rechtbank erop dat Haga heeft aangevoerd voorafgaand aan het datalek in 2018 simpelweg geen tijd te hebben gehad voor regelmatige controle van de logbestanden. De AP heeft daarom trecht gesteld dat Haga eerder initiatief had moeten tonen.

Dat maakt dat de onderbouwing van de eerste verhoging niet op hetzelfde neerkomt als de onderbouwing van de tweede verhoging. Verder oordeelt de rechtbank dat de AP zich terecht op het standpunt heeft gesteld dat geen sprake is van de boeteverlagende factor schadebeperking, omdat simpelweg geen sprake is van maatregelen om de geleden schade beperken.

De AP mocht de boetes verhogen met tweemaal € 75.000 tot EUR 460.000,00. De rechtbank oordeelt echter dat het totale boetebedrag van EUR 460.000,00,- niet evenredig is. Daarvoor wijst de rechtbank op de volgende door Haga genomen maatregelen om te voorkomen dat persoonsgegevens in het digitale patiëntendossier worden ingezien door onbevoegde medewerkers:

  • invoering van een extra waarschuwing die in beeld komt als een medewerker een dossier opent
  • de verplichtstelling van een e-learningcursus voor alle medewerkers die toegang hebben tot het elektronische patiëntendossier
  • de aanscherping van de arbeidsovereenkomsten, en
  • het waar mogelijk aanscherpen van autorisaties.

Daarbij maakt het volgens de rechtbank niet uit dat Haga, zoals de AP stelde, wettelijk verplicht was deze maatregelen te nemen. In artikel 7 van de Beleidsregels 2019 is namelijk opgenomen dat rekening gehouden kan worden met andere maatregelen die in zijn getroffen.

Ook acht de rechtbank van belang dat Haga tijdens de bezwaarfase maatregelen heeft getroffen om te voldoen aan artikel 32 van de AVG, door tweefactor authenticatie in te voeren en de logging te intensiveren. Dat maakt volgens de rechtbank dat Haga in ieder geval de bereidwilligheid heeft getoond om met de problematiek in de organisatie aan de slag te gaan. Dat nuanceert ook de nalatigheid die Haga wordt verweten.

De AP heeft aan die omstandigheden ten onrechte geen gewicht toegekend. De rechtbank matigt de boete vervolgens tot een bedrag van € 350.000,-.

Maatregelen van belang voor evenredigheid bestuurlijke boete

Uit deze uitspraak volgt kort en goed dat maatregelen (kort) na de overtreding getroffen van belang (kunnen) zijn voor de evenredigheid van een bestuurlijke boete. Dat is eerder al geoordeeld ten aanzien van boetes op grond van de Arbeidsomstandighedenwet en ook vastgelegd in de daarvoor geldende beleidsregels (zie dit blog).

Deze uitspraak benadrukt het enerzijds het belang van het ondernemen van acties binnen de organisatie. Anderzijds biedt de uitspraak kansen om die acties toe te lichten in een bezwaar of beroep tegen een bestuurlijke boete en mogelijk een verlaging af te dwingen.

Heeft u vragen over bestuurlijke boetes of over de AVG? Neem dan contact op met bestuurs- en omgevingsrechtadvocaat Casper Dekker of met privacy specialist Emiel de Joode.