IS UW ORGANISATIE AL AVG-PROOF? (DEEL 4: SANCTIE EN RISICO’S)
De toezichthoudende autoriteit (in Nederland de Autoriteit Persoonsgegevens, hierna: AP) kan diverse “corrigerende” maatregelen treffen, waaronder het geven van een waarschuwing of berisping. Ook kan de AP bepaalde instructies geven waaraan voldaan dient te worden. Meer tot de verbeelding spreekt wellicht de bevoegdheid die de AP heeft om boetes op te leggen. De AVG spreekt in dat verband van boetes tot wel € 20.000.000,-.
Ingeval van een inbreuk op de AVG dient de AP zich de vraag te stellen of een sanctie geboden is, en zo ja, welke sanctie gepast is. De AVG bepaalt dat de AP bij de beantwoording van voornoemde vragen onder andere rekening dient te houden met de aard, ernst en de duur van de inbreuk, met het opzettelijke karakter van de inbreuk en met de getroffen maatregelen ter beperking van de schade. Eventuele eerdere inbreuken kunnen daarbij ook van belang zijn.
Uit de jaarverslagen van de AP blijkt dat er sinds 2007 geen boetes meer zijn opgelegd. Voorts blijkt uit recent onderzoek dat de AP een bezetting heeft van 72 FTE, terwijl er voor de handhaving van de AVG een bezetting van ten minste 185 FTE nodig is.[1] De conclusie is aldus dat de AP tot op heden allerminst scheutig is geweest met het geven van boetes, terwijl de bezetting weinig reden geeft om te vermoeden dat dit in de nabije toekomst zal veranderen.
Met het voorgaande wordt geenszins gezegd dat u uw verplichtingen uit hoofde van de AVG niet serieus moet nemen. Dit moet u namelijk wel degelijk doen. Met het voorgaande wordt enkel getracht duidelijk te maken dat ook hier de soep niet zo heet gegeten zal gaan worden. De diverse “horrorverhalen” over miljoenenboetes voor het MKB kunnen derhalve met de nodige korreltjes zout worden genomen.
Naast de sanctiebevoegdheden van de AP dient bedacht te worden dat een eventuele betrokkene die benadeeld is door een schending van de AVG ook zelfstandig een schadevordering kan instellen jegens de verwerkingsverantwoordelijke en/of de verwerker. Volgens de AVG moet de verwerkingsverantwoordelijke of de verwerker alle schade vergoeden die iemand kan lijden ten gevolge van een verwerking die inbreuk maakt op de AVG. Van aansprakelijkheid is alleen dan geen sprake indien de verwerkingsverantwoordelijke of de verwerker kan bewijzen dat hij niet verantwoordelijk is voor de schade.
Tot slot wordt nog opgemerkt dat privacy op dit moment een “hot topic” is. Of dit in de toekomst zal blijven zal de tijd moeten uitwijzen, maar betrokkenen hechten er op dit moment veel waarde aan en wensen daaromtrent ook actief te worden geïnformeerd. Door een proactieve houding aan te nemen en te laten zien dat uw organisatie handelt in overeenstemming met de AVG kunt u derhalve niet alleen voorkomen dat u de AP in uw nek krijgt, maar ook dat u als aantrekkelijke partij om zaken mee te doen wordt gezien. U kunt van de nood derhalve een deugd maken!
Conclusie naar aanleiding van het voorgaande is dus dat een schending van de AVG ernstige gevolgen kan hebben, doch dat deze gevolgen tot op zekere hoogte theoretisch van aard zijn. Desondanks doet iedere verwerkingsverantwoordelijke en verwerker er verstandig aan om tijdig en adequaat te anticiperen op de AVG. Ook hier geldt immers dat voorkomen beter is dan genezen.
Mocht u vragen hebben naar aanleiding van dit artikel of nadere informatie wensen over de impact die de AVG op uw organisatie zal hebben, dan kunt u daartoe contact opnemen met de heer mr. R.A. (Ralf) Stoks (0495-536138 / rstoks@abenslag.nl).
[1] https://www.rijksoverheid.nl/documenten/rapporten/2017/05/31/tk-bijlage-eindrapportage-aef-def
