Veel is er al geschreven over de grote lijnen van de Algemene Verordening Gegevensbescherming (AVG). Minder bekend is dat deze voor een Europese verordening voor de lidstaten relatief veel knoppen bevat waar nog aan gedraaid kan worden.
In Nederland is dit wetgevingsproces nog maar net op gang gekomen. Dit is het tweede blog over belangrijke keuzes, deze keer over de bevoegdheden van de Autoriteit Persoonsgegevens om boetes op te leggen in de invoeringswet Algemene Verordening Gegevensbescherming.
“Een boete van de zesde categorie”
Bij de invoering hebben de lidstaten in ieder geval ter zake van de boetebevoegdheden een tweetal variabelen die ze zelf enigszins in kunnen kleuren: hoe het bestuursrechtelijke proces van een boete-oplegging er uitziet en of er afwijkende boeteregels voor de publieke sector moeten worden gehanteerd.
Boetebevoegdheid
Pas sinds 1 januari 2016 heeft de Autoriteit Persoonsgegevens (AP) serieuze handhavingsbevoegdheden gekregen in de vorm van een boetebevoegdheid. Een forse, want het is een zogenaamde boete van de zesde categorie. Wat op dit moment een boetemaximum van 826.000 euro óf in extreme gevallen 10 procent van de omzet betekent. Samen met de meldplicht datalekken is dit een belangrijke aanleiding geweest voor veel organisaties om werk te maken van privacy. Toch is die boetebevoegdheid omfloerst: de AP kan die pas uitoefenen nádat er eerst een zogenaamde bindende aanwijzing ter zake van de geconstateerde overtreding van de Wet bescherming persoonsgegevens (Wbp) is gegeven.
Met de AVG en de bijbehorende invoeringswet komt hier verandering in. Sowieso verandert de hoogte van de boetes: die is in de zwaarste categorieën van overtredingen maximaal 20 miljoen euro, of voor ondernemingen, maximaal 4 procent van de wereldwijde omzet. De maximale boetecurve ziet er dus toch anders uit en voor met name kleinere ondernemingen kan de AVG eigenlijk een lichter regime dan de huidige Wbp betekenen. Voor grote, zeker internationaal opererende, ondernemingen is het daarentegen veel riskanter om roekeloos met de privacyregels om te springen. Maar op dit punt heeft een lidstaat als Nederland geen speelruimte om de regels anders in te kleuren.
“Geen lichter boeteregime”
In de AVG is aan de lidstaten wél ruimte gelaten om overheidsinstanties een lichter boeteregime op te leggen. Een onderscheid wat de huidige Wbp niet maakt en wat in de Invoeringswet Wbp, gezien de consultatieversie van eind vorig jaar, waarschijnlijk ook niet gemaakt gaat worden. Een onderscheid wat politiek ook slecht verkoopbaar zou zijn, de boodschap zou zijn dat overheden minder zorgvuldig met persoonsgegevens van burgers om hoeven te gaan dan burgers.
Strenger
De AVG biedt eveneens ruimte om uitoefening van de boetebevoegdheid vooraf te laten gaan door instrumenten als bindende aanwijzingen, zoals de Wbp die nu kent. De AVG verwijst immers naar de algemene bestuursrechtelijke waarborgen van iedere lidstaat (die onderling nogal kunnen verschillen). In de consultatieversie van de Invoeringswet AVG wordt die ruimte niet benut. En komen we onder de streep, ongeacht de hoogte van de boete, waarschijnlijk toch uit op een strenger handhavingsregime dan we nu kennen in de Wbp.
De oorzaak ervan is mogelijk hierin gelegen dat de huidige bindende aanwijzing van de Wbp bestuursrechtelijk relatief een buitenbeentje is. En er een aanpassing van de Algemene wet bestuursrecht (wat politiek veel gecompliceerder ligt) vereist zou zijn om deze drempel voor de toezichthouder – om boetes op te leggen – te behouden bij invoering van de AVG.
Dit is het tweede blog die onlangs ook gepubliceerd is in de Automatiseringsgids. Voor meer informatie kunt u contact opnemen met Walter van Holst.