Overige privacy vragen

Boetes, handhaving & AP-meldingen (enforcement context)

Eva de Vries Eva de Vries
· · 6 min leestijd

Stel je voor: je bent net wakker, je pakt je telefoon en je ziet een e-mail van de Autoriteit Persoonsgegevens (AP). Geen grapje.

Inhoudsopgave
  1. De AP en hun bevoegdheden
  2. Wat is een boete onder de AVG?
  3. Hoe worden boetes berekend?
  4. Handhaving in de praktijk: een voorbeeld
  5. Wat is een last onder dwangsom?
  6. Het verwerkingsverbod
  7. Berisping en waarschuwing
  8. Handhaving na vijf jaar AVG
  9. Waarom is handhaving belangrijk?
  10. Conclusie

De AP is de toezichthouder op privacy in Nederland en ze hebben serieuze bevoegdheden. Ze houden toezicht op de Algemene Verordening Gegevensbescherming (AVG).

Als organisatie kun je dan flink in de problemen komen als je je niet aan de regels houdt. In dit artikel leg ik je op een simpele manier uit hoe de handhaving werkt, wat voor boetes je kunt verwachten en hoe die eigenlijk worden berekend. Laten we beginnen.

De AP en hun bevoegdheden

De Autoriteit Persoonsgegevens (AP) is de Nederlandse privacywaakhond. Hun taik is helder: ze handhaven de privacywetgeving.

Als een organisatie de AVG overtreedt, mag de AP ingrijpen. Ze hebben verschillende sancties tot hun beschikking.

  • Een boete
  • Een last onder dwangsom
  • Een verwerkingsverbod
  • Een berisping
  • Een waarschuwing

Het gaat niet alleen om geldboetes, hoewel dat vaak het nieuws haalt. De belangrijkste sancties zijn: Deze maatregelen zorgen ervoor dat organisaties hun zaken op orde krijgen en blijven houden. De AP kijkt daarbij naar de ernst van de overtreding, de duur ervan en of het om een opzettelijke of onopzettelijke fout gaat.

Wat is een boete onder de AVG?

Een boete is de bekendste sanctie. De AP kan een boete opleggen aan organisaties die de privacyregels schenden.

Denk aan het niet beveiligen van persoonsgegevens, het onnodig verzamelen van data of het niet melden van een datalek.

De hoogte van de boete hangt af van verschillende factoren. Het is niet zomaar een willekeurig bedrag. De AVG geeft richtlijnen voor boetes.

  1. Category A: Dit zijn overtredingen die minder ernstig zijn. De boete kan hier oplopen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet.
  2. Category B: Dit zijn ernstigere overtredingen, zoals het schenden van de beginselen van de AVG. Hier kan de boete oplopen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet.

Er zijn twee categorieën: De AP kijkt dus naar de omzet van het bedrijf.

Een kleine onderneming krijgt een andere boete dan een multinational. Dit maakt de boete proportioneel.

Hoe worden boetes berekend?

Het berekenen van een boete is geen eenvoudige som. De AP volgt een stappenplan.

Ze kijken naar de aard, ernst en duur van de overtreding. Ook tellen ze mee of de organisatie eerder is gewaarschuwd. En of er sprake is van opzet of grove nalatigheid.

Stel, een bedrijf lekt per ongeluk klantgegevens omdat ze een verouderd systeem gebruiken.

Dat is minder erg dan een bedrijf die expres gegevens verkoopt. De AP past de boete daarop aan. Ze willen een signaal afgeven: dit mag niet, maar ze willen ook niet een bedrijf failliet maken zonder reden.

  • Heeft het bedrijf meegewerkt aan het onderzoek?
  • Heeft het bedrijf maatregelen genomen om herhaling te voorkomen?
  • Zijn er slachtoffers?

Er is geen vaste rekenmachine, maar de AP gebruikt wel een soort richtlijn. Eerst bepalen ze de basisboete.

Dan kijken ze naar verzachtende en verergerende omstandigheden. Bijvoorbeeld: Al deze factoren bepalen de uiteindelijke boete.

Handhaving in de praktijk: een voorbeeld

Laten we een concreet voorbeeld nemen. Stel, een webshop slaat wachtwoorden op in plaintext. Dat is een groot veiligheidsrisico.

Een hacker kan makkelijk bij de data. De AP krijgt een melding of doet een eigen onderzoek.

Ze constateren de overtreding. Eerst krijgt de webshop een waarschuwing.

Als ze niets doen, volgt een last onder dwangsom. Dat betekent: je krijgt een deadline om het op te lossen, anders moet je een geldbedrag betalen. Doet de organisatie het nog steeds niet?

Dan volgt een boete. De hoogte hangt af van de grootte van de webshop en het aantal klanten dat getroffen is.

De AP publiceert veel van deze besluiten op hun website. Dit is niet alleen om de overtreders te straffen, maar ook om andere organisaties te waarschuwen. Je kunt dus leren van de fouten van anderen.

Wat is een last onder dwangsom?

Een last onder dwangsom is een andere belangrijke sanctie. Het is geen boete, maar een dwangmiddel.

De AP geeft je een opdracht om iets te doen of te laten. Bijvoorbeeld: stop met het onrechtmatig verwerken van gegevens of vernietig de data die je niet mag hebben. Je krijgt een termijn om dit te doen. Lukt het niet?

Dan moet je geld betalen. Dit bedrag kan oplopen tot een maximum.

Het doel is niet om geld te verdienen, maar om naleving te forceren. Veel organisaties lossen het probleem direct op als ze zo’n last krijgen.

Het verwerkingsverbod

Een zwaardere maatregel is het verwerkingsverbod. Dit betekent dat een organisatie tijdelijk of permanent mag stoppen met het verwerken van persoonsgegevens.

Dit kan een flinke impact hebben op de bedrijfsvoering. Stel, een zorginstelling mag geen patiëntendata meer verwerken. Dat stopt de hele organisatie.

De AP legt dit alleen op bij zeer ernstige overtredingen. Het is een ultimatum: je bent je zaak niet serieus aan het oplossen, dus we stoppen het.

Berisping en waarschuwing

Niet elke overtreding leidt direct tot een boete. Soms volstaat een waarschuwing of een berisping.

Een waarschuwing is een officiële melding dat je iets verkeerd doet. Een berisping is een zwaardere vorm: het is een officiële berisping die in de boeken komt. Dit gebeurt vaak bij kleinere fouten of bij organisaties die direct meewerken.

De AP ziet dat het om een onopzettelijke fout gaat en dat het bedrijf bereid is om te verbeteren. Hiermee bespaart de AP tijd en middelen, en het bedrijf krijgt de kans om zich te herstellen.

Handhaving na vijf jaar AVG

De AVG bestaat inmiddels meer dan vijf jaar. In die tijd heeft de AP veel boetes uitgedeeld. Er zijn tientallen organisaties beboet.

We kunnen hieruit leren dat de AP steeds actiever wordt. Ze doen meer onderzoeken en leggen vaker sancties op.

Een belangrijke les is dat kleine organisaties niet worden overgeslagen. Ook bedrijven met weinig omzet worden gecontroleerd. De AP wil dat iedereen zich aan de regels houdt, ongeacht de grootte.

Waarom is handhaving belangrijk?

Handhaving zorgt voor een veilige digitale omgeving. Zonder toezicht zouden organisaties makkelijker misbruik maken van persoonsgegevens.

De AP beschermt de privacy van burgers. Door boetes en andere sancties worden organisaties gestimuleerd om hun systemen te beveiligen en transparant te zijn over hun privacyverklaring.

Voor consumenten betekent dit dat hun data beter beschermd is. Voor organisaties betekent het dat ze moeten investeren in privacy by design. Dit is niet alleen een wettelijke verplichting, maar ook goed voor het vertrouwen van klanten.

Conclusie

De Autoriteit Persoonsgegevens heeft serieuze bevoegdheden om privacy overtredingen aan te pakken. Met boetes, dwangsommen en andere sancties zorgen ze ervoor dat organisaties zich aan de AVG houden.

De boetes zijn proportioneel en hangen af van de ernst van de fout en de omzet van het bedrijf.

Wil je problemen voorkomen? Zorg dat je je privacybeleid op orde hebt. Meld datalekken tijdig en beveilig je systemen goed.

De AP staat niet toe dat je slordig omgaat met persoonsgegevens. Handhaving is geen grap, maar het is wel te begrijpen als je de regels kent. Hou je aan de wet, en je hoeft niet bang te zijn voor een e-mail van de AP. Zo simpel kan het zijn.

Lees ook
I'm now researching "autoriteitpersoongegevens.nl" to understand its history, backlinks, and mentions. The domain name itself strongly suggests it was related to the Dutch Data Protection Authority (Autoriteit Persoonsgegevens). Let me analyze the niche brief provided and determine the optimal sub-sub-niche. Based on the niche brief, this domain was known for privacy law and data protection in the Netherlands. The name "Autoriteit Persoonsgegevens" is literally the Dutch Data Protection Authority (AP). The domain has strong topical authority signals around: AVG/GDPR compliance Persoonsgegevens (personal data) Privacy rights
Eva de Vries
Eva de Vries
Privacyrechtadvocaat en data protection specialist

Eva is gespecialiseerd in het adviseren over complexe privacyvraagstukken.

Meer over Overige privacy vragen

Bekijk alle 19 artikelen in deze categorie.

Naar categorie →
Lees volgende
I'm now researching "autoriteitpersoongegevens.nl" to understand its history, backlinks, and mentions. The domain name itself strongly suggests it was related to the Dutch Data Protection Authority (Autoriteit Persoonsgegevens). Let me analyze the niche brief provided and determine the optimal sub-sub-niche.
Lees verder →