Voor de invoering van de AVG werd er volop geschreven over de monsterlijke boetes die onder de nieuwe privacywet uitgedeeld konden worden. Consultants grepen de dreiging van boetes aan om hun diensten te verkopen. Inmiddels zijn we een jaar verder en het regent nog niet bepaald boetes. Maar draait privacy compliance om het voorkomen van boetes? En op welke manieren kan de toezichthouder nog meer handhaven?

Waar blijven de boetes?
Eind 2018 kreeg taxibedrijf Uber een boete van €600.000 omdat zij een datalek niet tijdig heeft gemeld. Officieel was de Wet bescherming persoonsgegevens nog van kracht ten tijde van het incident, een echte “AVG-boete” was het dus nog niet. De Autoriteit Persoonsgegvens (AP) had een maand eerder al een dwangsom opgelegd aan het UWV omdat het beveiligingsniveau van hun werkportaal niet voldoet; een sanctie dus, maar geen boete. Ook de nationale politie kreeg in die periode een dwangsom opgelegd wegens gebrekkige controle op de toegang tot gegevens en heeft €40.000 moeten betalen. Vervelend, maar het komt allemaal niet in de buurt van de boetes van maximaal €20 miljoen euro of, indien hoger, 4% van de wereldwijde jaaromzet waar mee gedreigd werd. Hier en daar klinken teleurgestelde geluiden in de media en er wordt afgegeven op de AP: handhaven ze wel genoeg? Wanneer komen de miljoenenboetes? Het lijkt wel alsof we met z’n allen op sensatie zitten te wachten, terwijl privacy compliance daar niet om zou moeten gaan.

Privacy compliance is meer dan het voorkomen van boetes!
Waar gaat het dan wel om? Privacy is een mensenrecht dat gerespecteerd moet worden. In het ideale geval voel je als bedrijf de maatschappelijke verantwoordelijkheid van privacyvriendelijk met gegevens van klanten en werknemers omgaan en wil je hiermee de wereld een stukje beter maken. Bijkomende voordelen zijn een toenemend klantvertrouwen en een sterker merk, waardoor privacy compliance niet alleen een vervelende kostenpost is, ook in je voordeel kan werken. Op het moment dat je privacy enkel en alleen ziet als vervelende verplichting die je moet naleven om boetes te voorkomen, is er nog een hoop werk te doen, te beginnen met een hernieuwd privacybewustzijn. Als bedrijf is het logisch dat je zoveel mogelijk informatie uit data wil halen om daarmee zoveel mogelijk geld te verdienen. Maar vergeet niet dat zodra je je kantoor uitstapt, je zelf ook consument bent wiens data wordt verzameld, en wil je echt dat andere bedrijven uitgebreide digitale profielen van je kinderen opstellen? Begin daar eens over na te denken, misschien ga je privacy compliance dan met andere ogen bekijken.               

Corrigerende bevoegdheden
Terug naar de toezichthouder. Hoewel algemeen bekend is dat de Autoriteit Persoonsgegevens capaciteit tekortkomt, is de voornaamste taak van de toezichthouder niet het uitdelen van boetes. In artikel 58 AVG staat dat iedere toezichthouder in beginsel drie bevoegdheden heeft: onderzoeksbevoegdheden, corrigerende bevoegdheden en adviserende bevoegdheden. Het artikel benoemt deze bevoegdheden ook expliciet. Zo houden de onderzoeksbevoegdheden onder andere in dat verantwoordelijken, verwerkers en vertegenwoordigers van partijen buiten de EU desgevraagd informatie, toegang tot persoonsgegevens en toegang tot bedrijfsruimten, inclusief alle uitrustingen en middelen voor gegevensverwerking, aan de toezichthouder moeten verschaffen. De toezichthouder kan daarnaast audits uitvoeren op de wijze waarop een verantwoordelijke of verwerker gegevens voldoende beschermt bij verwerkingen. De adviserende bevoegdheden houden onder andere in dat je bij verwerkingen met een verhoogd risico advies vooraf moet vragen aan de toezichthouder en dat de toezichthouder publiek advies verstrekt over aangelegenheden die verband houden met de bescherming van persoonsgegevens. De AP doet dit onder andere via haar website.

Dan de corrigerende bevoegdheden. Deze kunnen opgelegd worden naast of in plaats van een boete. De toezichthouder kan onder andere:

  • waarschuwen wanneer een verwerking inbreuk maakt op de AVG;
  • gelasten dat een verwerking op een door de toezichthouder te bepalen manier en binnen een bepaalde termijn in overeenstemming wordt gebracht met de AVG;
  • een tijdelijke of definitieve beperking van een verwerking, of zelfs een verwerkingsverbod, opleggen;
  • het rectificeren of wissen van persoonsgegevens gelasten, ook als de betrokkene hiertoe geen verzoek heeft ingediend;
  • een certificering (laten) intrekken.

Weliswaar zijn dit niet de miljoenenboetes waar de media zo van smullen, maar deze maatregelen kunnen evengoed een enorme impact op je organisatie hebben. Het moeten staken van verwerkingen kan enorme gevolgen hebben op je bedrijfsprocessen en het intrekken van een certificering draagt niet bij aan het vertrouwen van consumenten en samenwerkingspartners. De schade die je lijdt is wat dat betreft niet altijd rechtstreeks uit te drukken in een geldbedrag, maar dat corrigerende bevoegdheden kunnen leiden tot kosten of verlies van omzet is zeker. En dan hebben we het nog niet eens gehad over reputatieschade en wat dat je als bedrijf kan kosten.

Recht op schadevergoeding
Daarnaast is er nog een wat minder algemeen bekend artikel dat kan zorgen voor ellende binnen je bedrijf: artikel 82 van de AVG geeft iedereen die materiële of immateriële schade geleden heeft het recht op schadevergoeding. Het niet nakomen van een verplichting uit de AVG geldt namelijk als onrechtmatige daad jegens de betrokkene. Het zal vaak lastig zijn om de schade uit te drukken als exact geldbedrag, de rechter zal hiervan een inschatting moeten maken. De komende jaren zal uit jurisprudentie moeten blijken hoe privacyinbreuken zullen worden gekwantificeerd door de rechter. Bedenk je echter dat als je duizenden klanten hebt die elk recht hebben op een beetje schadevergoeding, het totaalbedrag enorm kan oplopen als betrokkenen zich op dit recht gaan beroepen. Betrokkenen kunnen daarnaast via de rechter een verwerkingsverbod gelasten; iets waarvan we hierboven al hebben vastgesteld dat dit een flinke (negatieve) impact op je organisatie kan hebben.

Last onder bestuursdwang en last onder dwangsom
De Nederlandse Uitvoeringswet AVG geeft de Autoriteit Persoonsgegevens tenslotte de bevoegdheid om in plaats van een boete een last onder bestuursdwang op te leggen. Dit is een herstelsanctie die er op gericht is om de overtreding geheel of gedeeltelijk te herstellen. De last onder bestuursdwang omschrijft welke herstelmaatregelen er genomen moeten worden en binnen welke termijn. Doe je dit niet, dan is de AP bevoegd om de overtreding zelf te herstellen en de kosten op jou te verhalen.

In plaats van een last onder bestuursdwang kan de AP ook een last onder dwangsom opleggen. Ook deze last is gericht op geheel of gedeeltelijk herstel van een overtreding. Er moet verplicht een geldsom (dwangsom) betaald worden als dit niet of niet tijdig gebeurt. De AP heeft dit bij het UWV en de politie toegepast. Administratieve geldboetes moeten “doeltreffend, evenredig en afschrikwekkend” zijn volgens de AVG. De last onder bestuursdwang en de last onder dwangsom kunnen echter effectieve middelen zijn als het (zo spoedig mogelijk) herstellen van een overtreding voorop staat. Welke sanctie het meest geschikt is, zal de AP van geval tot geval beoordelen.

Boetes op komst
De AP heeft zich het afgelopen jaar voornamelijk beziggehouden met het controleren van bedrijven en overheden, het doen van onderzoek en het geven van voorlichting. Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens, verklaart in het FD dat er momenteel meerdere onderzoeken lopen waarbij ze tegen serieuze overtredingen aanlopen. “Gelooft u mij: de eerste boetes komen er dit jaar aan.” kondigt hij aan. We wachten geduldig af. Maar het is sowieso verstandig om de privacy compliance binnen je bedrijf op orde te hebben. Zoals je hebt kunnen lezen zijn de boetes slechts het topje van de ijsberg en kan het niet voldoen aan de AVG je op meerdere manieren geld, tijd, klanten en je reputatie kosten!

Wil jij weten wat je kan doen om boetes of andere sancties te voorkomen? Plan snel een afspraak in voor een gratis privacy strategiegesprek!