Het beleid van de Autoriteit Persoonsgegevens (AP) voor het berekenen van de boetes gaat structureel veranderen. Dat heeft de overheidsinstantie bekend gemaakt in een officieel bericht. De nieuwe boetebeleidsregels zijn opgesteld om te kunnen opleggen bij overtredingen van de Algemene verordening gegevensbescherming (AVG) en de Uitvoeringswet van de AVG. Deze wet staat internationaal bekend als GDPR (General Data Protection Regulation).
Op Europees niveau is er nog geen collectief boetebeleid vastgesteld, waarmee individuele landen de hoogte van de boete kan bepalen. De AP wilde hier niet op wachten en heeft daarom eigen boetebeleidsregels opgesteld, die worden toegepast totdat er ook Europese richtsnoeren zijn voor de berekening van de hoogte van boetes.
De nieuwe richtlijnen gebruikt de AP om de hoogte van de boete vast te stellen. Zo kan de hoogte van de boete verschillen per type overtreding. Ook de ernst, de omvang en de duur van de overtreding spelen een rol, alsook of er sprake is van opzet of herhaling. Er is gekozen voor deze herziening, omdat de bestaande regelgeving nog betrekking had op de oude privacywet.
De Autoriteit Persoonsgegevens (AP) controleert of bedrijven en instanties veilig omgaan met privacygevoelige data. Ook handhaaft deze instantie (deels) diverse andere wetten:
Bij vaststelling van de boete kent de AVG twee categorieën:
De AP heeft overtredingen van de privacywetgeving en de andere wetten waarop zij toezicht houdt (zoals hierboven genoemd), voor elk wettelijk boetemaximum ingedeeld in 3 of 4 boetecategorieën. Aan deze categorieën zijn oplopende geldboetes verbonden afhankelijk van de ernst en de impact.
Elke boetecategorie is vervolgens gekoppeld aan een boete bandbreedte met een vastgesteld minimum- en een maximumbedrag. Dit gaat om flinke bedragen. Ook is er een basisboete vastgelegd die het uitgangspunt vormt in een afzonderlijke gevallen, die kan worden verhoogd of verlaagd. Hierbij wordt gekeken naar de aard, ernst, omvang, impact, verwijtbaarheid en duur van de overtreding en eventueel herhalingsgedrag. Ook wordt gekeken naar de organisatiegrootte en de financiële omstandigheden. Andere sanctiemiddelen zijn bijvoorbeeld een last onder dwangsom en een verwerkingsverbod. (bron: AP)
Sinds de aanscherping van de wet op 25 mei 2018 hebben bedrijven en instanties de verantwoordelijkheid om veilig en respectvol met privacygevoelige data van bijvoorbeeld klanten en werknemers om te gaan. Dit is enerzijds een verantwoordelijkheid op basis van de wetgeving, maar zeker ook een maatschappelijke.
Om aan de eisen te voldoen dient jouw organisatie procedures aan te passen en beleid te maken dat onder de medewerkers bekend is en waarnaar adequaat gehandeld wordt. Meer informatie vindt je in ons GDPR whitepaper. Wil je weten hoe je dit implementeert in jouw organisatie? ACA IT-Solutions heeft specialisten in dienst die ruime ervaring hebben met de uitrol van dit vraagstuk. Neem contact met ons op voor meer informatie of vragen.