Column


IT-jurist Peter van Schelven over...

AVG-boete: Duits voorbeeld voor Nederland? 

Hoe zet je organisaties ertoe aan om zorgvuldig met persoonsgegevens om te gaan? Met de komst van de Algemene Verordening Gegevensbescherming wordt in adviezen en discussies te pas en te onpas met het risico van de bestuurlijke boetes gezwaaid. Vooral juristen en privacyconsultants hebben er een handje van om te grijpen naar de regels over de boetes uit de AVG. 
De soep wordt zelden zo heet gegeten als die wordt opgediend. De Autoriteit Persoonsgegevens (AP), de toezichthouder op de naleving van de AVG in ons land, heeft in de zes maanden dat de AVG thans geldt nog geen enkele boete uitgedeeld. De AP kan bij het opleggen van een boete niet over één nacht ijs gaan, al was het maar om te voorkomen dat de rechter de toezichthouder terugfluit van een onzorgvuldig of buitenproportioneel boetebesluit. Maar hoe dan ook, het valt niet uit te sluiten dat vroeg of laat een boete wordt uitgedeeld aan een organisatie die evident gammele security in huis heeft.
 
Boetes in de AVG 
Over de hoogte van de geldboetes die kunnen worden opgelegd, valt nu nog niet zoveel te zeggen. Weliswaar geeft de AVG in zeer algemene termen aan dat een boete steeds ‘doeltreffend, evenredig en afschrikkend’ moet zijn, maar met die toverformule wordt verder weinig gezegd. Wel bevat de AVG ook een maximumboete, die bij schending van de securityverplichtingen neerkomt op 10 miljoen euro of – als dat hoger is – twee procent van de jaarlijkse wereldomzet van het te beboeten bedrijf. Maar dat maximum zal alleen in uiterst extreme gevallen bereikt worden. Daarnaast geeft de AVG als voorbeeld een lijstje van factoren waar toezichthouders rekening mee moeten houden bij het bepalen van een boete. In dat lijstje tref je tamelijk ‘open deuren’ aan, zoals de ernst en de duur van de schending van de AVG en het financiële voordeel dat met het schenden van de AVG is behaald.  

Al met al tasten we nog tamelijk in het duister als het gaat om de hoogte van het boeterisico. Om die reden is het eens te meer interessant om te kijken naar de boetes die door toezichthouders buiten Nederland op basis van de AVG worden uitgedeeld. De AVG is immers Europees recht en het doen en laten van de buitenlandse collega’s van de AP is daarom niet zonder betekenis. Hoewel de boetebevoegdheid in strikt juridische zin een eigen, autonome bevoegdheid van de AP is, mogen we hier in Nederland toch op z’n minst verwachten dat de AP bij het uitdelen van boetes niet teveel uit de pas van andere toezichthouders gaat lopen. 

Knuddels.de beboet 
Met die gedachte in het achterhoofd heb ik afgelopen week met bijzondere belangstelling kennisgenomen van een boete van 20.000 euro die de LfDI, de toezichthouder in de Duitse deelstaat Baden-Württemberg, heeft opgelegd aan het chatplatform Knuddels.de. Het is voor zover mij bekend de eerste boete die onder de AVG bij onze oosterburen is opgelegd. 

Bij een hack in juli van dit jaar zijn er bij het veelgebruikte platform persoonsgegevens van ongeveer 330.000 gebruikers buit gemaakt, waaronder e-mailadressen en wachtwoorden. Het bedrijf had de wachtwoorden van hun gebruikers in platte tekst opgeslagen en dus niet versleuteld. Door willens en wetens op zo’n manier met persoonsgegevens om te gaan, heeft het bedrijf, aldus de LfDI, zijn verplichting om gegevens passend te beveiligen geschonden.  

De opgelegde boete bleef beperkt tot 20.000 euro, onder meer omdat het bedrijf na het ontdekken van de hack zijn IT-beveiliging op orde heeft gebracht. Uit het persbericht van de LfDI blijkt bovendien dat ook de open en constructieve samenwerking met de toezichthouder in het voordeel van het bedrijf heeft gewerkt. 

Extra securitykosten: verzachtende omstandigheid? 
Bij de beoordeling van de boete is tevens rekening gehouden met de totale financiële lasten die de extra beveiliging voor het bedrijf heeft opgeleverd. De toezichthouder heeft dus gelet op de kosten van de IT-beveiligingsmaatregelen die zijn geïmplementeerd en geadviseerd. Die komen, inclusief de genoemde boete, op een totaalbedrag in het bereik van zes cijfers in euro’s.  

Het Duitse boetebesluit geeft enig inzicht in de weging bij het becijferen van een boete bij schending van de securityverplichtingen uit de AVG. De hoge kosten van de securitymaatregelen die nodig zijn om een schending van de AVG weg te nemen, zijn in dat besluit kennelijk een verzachtende omstandigheid. Dat getuigt van realiteitszin. Ik ben benieuwd of de AP in ons land die vergaande gedachte ook durft te omarmen.

IT-jurist Mr. Peter van Schelven, BIJ PETER – Wet & Recht, laat wekelijks zijn licht schijnen over een opmerkelijke uitspraak of wetgeving binnen het IT-recht. Heeft u een concrete vraag voor Peter? Dan kunt u mailen naar peter.van.schelven@gmail.com.     
   
Kijk hier voor de eerdere bijdragen van Peter van Schelven. 

Lees meer over