Hoe stelt de Autoriteit Persoonsgegevens boetes vast?

Door Emtio •

Afgelopen juli werd bekend dat de Autoriteit Persoonsgegevens een boete had opgelegd aan het Haga ziekenhuis voor het niet op orde hebben van de interne beveiliging. De boete was ter hoogte van 460.000,- euro.

De omvang van deze boete kan voor organisaties als bibliotheken als reusachtig gekwalificeerd worden. Mogelijk bent u van dit bericht geschrokken. Ik wil u graag informeren over de manier waarop de Autoriteit Persoonsgegevens boetes vaststelt.

Zo wordt de hoogte vastgesteld

Voor het vaststellen van de hoogte van een boete dient de Autoriteit Persoonsgegevens rekening te houden met verschillende aspecten. Deze aspecten zijn vastgelegd in wet- en regelgeving.

Per geval en aan de hand van de specifieke omstandigheden van het geval maakt de Autoriteit Persoonsgegevens een overweging. De volgende aspecten dienen bij die overweging te worden betrokken:

  • De omvang van de inbreuk in zowel tijd als aantal getroffen betrokkenen;
  • Het karakter van de inbreuk, hierbij wordt gedoeld op een eventueel nalatig of zelf opzettelijk karakter van de inbreuk;
  • De genomen maatregelen. Hierbij kan gedacht worden aan de snelheid en effectiviteit van de genomen maatregelen;
  • Mate van verantwoordelijkheid van de verwerkingsverantwoordelijke of de verwerker;
  • Het trackrecord van de overtreder. Denk hierbij ook aan het trackrecord van leveranciers (verwerker) en hun toeleveranciers (sub-verwerkers);
  • Mate waarin is samengewerkt met de Autoriteit Persoonsgevens bij de melding van de overtreding (datalek) en daaruit volgende procedures;
  • De persoonsgegevens waarop de overtreding betrekking heeft. De AVG maakt onderscheid in persoonsgegevens en bijzondere persoonsgegevens. Een overtreding waarbij bijzondere persoonsgegevens zoals medische of strafrechtelijke persoonsgegevens zijn betrokken weegt zwaarder dan een overtreding met ‘gewone’ persoonsgegevens;
  • De naleving van algemene en specifieke instructies van de Autoriteit Persoonsgegevens;
  • Toegepaste standaarden en normenkaders;
  • Elke andere verzwarende of verzachtende omstandigheid.

Invloed op de hoogte van de boete

Uit de hierboven beschreven aspecten blijkt dat organisaties zelf behoorlijk wat invloed kunnen uitoefenen op de wijze waarop de Autoriteit Persoonsgegevens kijkt naar vaststellen van een boete.

Een organisatie kan invloed uitoefenen door bijvoorbeeld openheid van zaken te geven richting de Autoriteit, door juiste meldingen uit te voeren en door instructies op te volgen.

Ook kan bij leverancierskeuze invloed worden uitgeoefend. Niet alleen op basis van track record, maar ook door het toepassen van normenkaders. En dat is een geruststellende gedachte.

Vragen?

Wil je weten of de gegevensbescherming bij uw bedrijf op orde is? Of wordt uw bedrijf aangeklaagd vanwege een beschuldiging van slechte gegevensbescherming? De specialisten van Emtio helpen u graag verder. Neem contact op via het contactformulier of bel naar 010-3072781.

meerwerk-wezenlijke-wijziging-aanbesteding

Meerwerk bij ICT-projecten: ‘wezenlijke’ wijziging?

Door Emtio •

ICT-projecten kenmerken zich helaas nogal eens door ruime financiële overschrijdingen van overeengekomen prijzen en/of geres

Meer lezen
performance-based-pricing

Performance based pricing: win-winsituatie?

Door Joop Schuilenburg •

Het aangaan van overeenkomsten vormt meestal het sluitstuk van een sourcingtraject van opdrachtgevers. De ondertekende overee

Meer lezen

Exit-regelingen ook bij bedrijfsvoeringsapplicaties opnemen

Door Emtio •

Bij outsourcingscontracten is het inmiddels zeer gebruikelijk om een voorziening te treffen waarmee de leverancier actief wor

Meer lezen

COVID-19 reden voor overmacht in IT-contracten?

Door Emtio •

Dat COVID-19 een dominante invloed heeft op IT-projecten hoeven wij u niet uit te leggen. Wel bereikt ons steeds vaker de vra

Meer lezen
belastingapplicaties-waarderingsapplicaties-aanbesteden

Bedrijfsinformatiesystemen: kiest u enkel het systeem of een complete oplossing?

Door Emtio •

Bedrijfsinformatiesystemen is een bekende verzamelnaam voor een veelheid aan applicatieoplossingen, die als pakketoplossing o

Meer lezen

Flitsaanbestedingen: veel contact en toch contactloos, snel en efficiënt

Door Emtio •

Op afstand werken krijgt in deze moeilijke tijden door het coronavirus noodzakelijkerwijs een grote impuls. Tegelijkertijd

Meer lezen
Inbesteden Centrale Overheid | Emtio

Hoe stelt de Autoriteit Persoonsgegevens boetes vast?

Door Emtio •

Afgelopen juli werd bekend dat de Autoriteit Persoonsgegevens een boete had opgelegd aan het Haga ziekenhuis voor het niet op

Meer lezen
AVG

Heeft het zin om contractueel te claimen dat gegevens alleen in Nederland of de EER mogen worden verwerkt?

Door Emtio •

Heeft het zin om contractueel te claimen dat gegevens alleen in Nederland of binnen de Europese Economische Ruimte mogen word

Meer lezen
kantoor

Meerdere contactmomenten met potentiële leveranciers tijdens een ICT aanbesteding? Natuurlijk kan dat (en rechtmatig)!

Door Emtio •

Aanbestedende diensten hebben wegens het gelijkheidsbeginsel slechts nauwe onderhandelingsruimte met inschrijvers bij een aan

Meer lezen
Softwarematige partinionering

Oracle licenties: is softwarematige partitionering op basis van VMware wel of niet toegestaan?

Door Emtio •

Vanaf 2002 verspreidt Oracle een document met de benaming ‘Oracle Partitioning Policy’. Het document is de afgelopen jare

Meer lezen