Welke boetes en sancties kan de Autoriteit Persoonsgegevens opleggen?

Ondernemen zonder aandacht voor privacy is als autorijden met je ogen dicht: het is zowel voor klanten als je organisatie niet veilig. Voldoen aan de privacywetten is dan ook erg belangrijk en dat is de reden waarom overtredingen (fors) kunnen worden bestraft.

Op grond van de Algemene Verordening Gegevensbescherming (AVG) mag de toezichthouder (hoge) geldboetes uitdelen en andere sancties opleggen aan organisaties die de privacywetgeving overtreden. In Nederland is dit de Autoriteit Persoonsgegevens (AP). Maar welke boetes en andere sancties kan het AP opleggen?

Boetes en sancties van de AP

Als je als organisatie de privacywetgeving overtreedt en de AP besluit hiervoor een corrigerende maatregel op te leggen, dan moet deze maatregel doeltreffend, evenredig en afschrikkend zijn. Dat wil zeggen dat de boete AVG of andere sanctie in verhouding moet staan tot de overtreding. De belangrijkste boetes en sancties die het AP kan opleggen zijn:

  1. De AP boete: organisaties hebben onder de AVG bepaalde verplichtingen, zoals bijvoorbeeld de verplichting om een verwerkingsregister bij te houden. Komt een organisatie (één van) deze verplichtingen niet na? Dan kan de AP een boete AVG opleggen van maximaal € 10.000.000 of 2% van de wereldwijde jaaromzet als dit bedrag hoger uitkomt. Overtreedt een organisatie de beginselen of grondslagen van de AVG en de privacyrechten van de betrokkenen? Dan kan de AP een boete AVG opleggen van maximaal € 20.000.000 of 4% van de wereldwijde jaaromzet als dit bedrag hoger uitkomt. In de Boetebeleidsregels Autoriteit Persoonsgegevens 2019 is vastgelegd hoe de AP de hoogte van boetes bepaalt.
  2. De last onder dwangsom: een last onder dwangsom is een herstelsanctie om een overtreding te beëindigen en daarbij een verplichting tot betaling van een geldsom op te leggen. Als je als organisatie de overtreding niet tijdig beëindigd, moet je deze geldsom voldoen.
  3. Het verwerkingsverbod: met een verwerkingsverbod bepaalt de AP dat een organisatie bepaalde (categorieën van) persoonsgegevens niet (langer) mag verwerken.
  4. De berisping: met een berisping stelt de AP een inbreuk vast en daarbij geeft het AP aan dat deze wordt afgekeurd. Een berisping wordt vaak opgelegd voor kleine inbreuken. Of daarvan sprake is, beoordeelt de AP aan de hand van de feiten en omstandigheden van het geval.
  5. Een waarschuwing: doormiddel een waarschuwingsbrief kan de AP een formele waarschuwing geven over een voorgenomen verwerking.

Ondanks dat de werkzaamheden die voortvloeien uit AVG niet de kernactiviteiten van een organisatie zijn, is het wel belangrijk hier aandacht aan te besteden.

Door zorgvuldig om te gaan met de verwerking van persoonsgegevens van klanten en medewerkers, lever je - naast het voorkomen van AP boetes en andere sancties - daadwerkelijk een bijdrage aan de bescherming van de privacy van betrokkenen. Daarnaast kan je als organisatie hiermee de kwaliteit van de dienstverlening verhogen, waardoor de reputatie van de organisatie wordt versterkt.

Heb je een vraag over een opgelegde AP boete of andere sanctie? Of over de AVG in het algemeen? Neem gerust contact op met onze privacyrecht specialisten.