Home > Blog > Privacy compliance van uw organisatie, voorkomt (hoge) boetes

Privacy compliance van uw organisatie, voorkomt (hoge) boetes

2017 is ‘Het jaar van de privacy’ volgens de Autoriteit Persoonsgegevens (AP). De AP die toezicht houdt op gebruik van persoonsgegevens door organisaties. Vanaf januari 2016 is de AP bevoegd in meer gevallen hogere boetes op te leggen. Hiermee loopt zij vooruit op de Algemene Verordening Gegevensbescherming (AVG) die 25 mei 2018 in werking treedt.

In meer gevallen en hogere boetes
Vóór 1 januari 2016 kon de AP slechts in een beperkt overtredingen van de regels uit de Wet bescherming persoonsgegevens (Wbp) een maximale boete van € 4.500,– opleggen. Die maximale boete is nu verhoogd naar, schrik niet, € 900.000,– óf 10% van de jaaromzet. Eén lichtpuntje; een boete wordt pas opgelegd nadat de AP een bindende aanwijzing heeft gegeven en deze niet is opgevolgd, én de AP kan ook andere maatregelen nemen (waarschuwen, berispen, opleggen beperking of verbod, etc.). Dit is anders als het een opzettelijke overtreding betreft of een organisatie ernstig verwijtbaar nalatig is. Die dreiging met een boete zal dus als een pressiemiddel moeten werken en tot preventief handelen moeten leiden.

Hoogte van de boete
De hoogte van de boete is afhankelijk van meerdere factoren:

  • De ernst van de overtreden regel (geen toestemming van betrokkene voor verwerken persoonsgegevens, persoonsgegevens te lang bewaren. onvoldoende beveiligingsmaatregelen ter bescherming persoonsgegevens, verwerken van gevoelige persoonsgegevens, zoals gezondheid of BSN, datalekken niet melden).
  • De omvang van de overtreding.
  • De verwijtbaarheid van de overtreder.
  • De impact van de overtreding op de betrokkene.
  • Het (financiële) voordeel dat is behaald door de overtreder.
  • Eerdere overtredingen.
  • Het zelf melden van de overtreding.
  • Het meewerken aan het onderzoek naar de overtreding.
  • Zelfstandige beëindiging van de overtreding.

Voorbeeld
Eerder heeft de AP onderzoek gedaan naar de Nike+ Running app van Nike. Nike weet bij gebruik van de app, hoeveel calorieën je ongeveer verbrandt en hoeveel, hoe vaak en hoe intensief je sport. Deze gegevens bewaart en gebruikt Nike voor eigen onderzoeks- en analysedoeleinden. Echter zijn deze gegevens gevoelige persoonsgegevens die iets zeggen over de gezondheid. Nike mag deze gegevens alleen met uitdrukkelijke toestemming verwerken. Aangezien Nike tijdens en na het onderzoek van de AP maatregelen heeft getroffen en daarmee de overtredingen heeft beëindigd, ontkomt zij aan een hoge boete.

Compliant
Het is natuurlijk de vraag of de AP erachter komt dat uw organisatie de privacyregels overtreedt en iets met uw overtreding doet. In het jaar 2016 heeft de AP namelijk géén boetes opgelegd. Alleen heeft de voorzitter van de AP aangegeven dat de boetes eraan komen. Alleen al in 2016 zijn er bijna 5.500 meldingen van datalekken binnengekomen. Overigens onder de AVG kunnen er boetes van maximaal € 20.000.000 of 4% van de wereldwijde omzet van een organisatie worden opgelegd.

Zorg ervoor dat u dus niet de eerste wordt, die wél bestraft wordt met een boete! Zorg ervoor dat uw bedrijf privacy compliant is! Heeft u vragen over de verwerking van persoonsgegevens, of andere vragen over privacy? Neem dan gerust contact met ons op!