Hoe stelt de Autoriteit Persoonsgegevens boetes vast?

Afgelopen juli werd bekend dat de Autoriteit Persoonsgegevens een boete had opgelegd aan het Haga ziekenhuis voor het niet op orde hebben van de interne beveiliging. De boete was ter hoogte van 460.000,- euro.

De omvang van deze boete kan voor organisaties als bibliotheken als reusachtig gekwalificeerd worden. Mogelijk bent u van dit bericht geschrokken. Ik wil u graag informeren over de manier waarop de Autoriteit Persoonsgegevens boetes vaststelt.

Zo wordt de hoogte vastgesteld

Voor het vaststellen van de hoogte van een boete dient de Autoriteit Persoonsgegevens rekening te houden met verschillende aspecten. Deze aspecten zijn vastgelegd in wet- en regelgeving.

Per geval en aan de hand van de specifieke omstandigheden van het geval maakt de Autoriteit Persoonsgegevens een overweging. De volgende aspecten dienen bij die overweging te worden betrokken:

  • De omvang van de inbreuk in zowel tijd als aantal getroffen betrokkenen;
  • Het karakter van de inbreuk, hierbij wordt gedoeld op een eventueel nalatig of zelf opzettelijk karakter van de inbreuk;
  • De genomen maatregelen. Hierbij kan gedacht worden aan de snelheid en effectiviteit van de genomen maatregelen;
  • Mate van verantwoordelijkheid van de verwerkingsverantwoordelijke of de verwerker;
  • Het trackrecord van de overtreder. Denk hierbij ook aan het trackrecord van leveranciers (verwerker) en hun toeleveranciers (sub-verwerkers);
  • Mate waarin is samengewerkt met de Autoriteit Persoonsgevens bij de melding van de overtreding (datalek) en daaruit volgende procedures;
  • De persoonsgegevens waarop de overtreding betrekking heeft. De AVG maakt onderscheid in persoonsgegevens en bijzondere persoonsgegevens. Een overtreding waarbij bijzondere persoonsgegevens zoals medische of strafrechtelijke persoonsgegevens zijn betrokken weegt zwaarder dan een overtreding met ‘gewone’ persoonsgegevens;
  • De naleving van algemene en specifieke instructies van de Autoriteit Persoonsgegevens;
  • Toegepaste standaarden en normenkaders;
  • Elke andere verzwarende of verzachtende omstandigheid.

Invloed op de hoogte van de boete

Uit de hierboven beschreven aspecten blijkt dat organisaties zelf behoorlijk wat invloed kunnen uitoefenen op de wijze waarop de Autoriteit Persoonsgegevens kijkt naar vaststellen van een boete.

Een organisatie kan invloed uitoefenen door bijvoorbeeld openheid van zaken te geven richting de Autoriteit, door juiste meldingen uit te voeren en door instructies op te volgen.

Ook kan bij leverancierskeuze invloed worden uitgeoefend. Niet alleen op basis van track record, maar ook door het toepassen van normenkaders. En dat is een geruststellende gedachte.

Exit-regelingen ook bij bedrijfsvoeringsapplicaties opnemen

Bij outsourcingscontracten is het inmiddels zeer gebruikelijk om een voorziening te treffen waarmee de leverancier actief wor

Meer lezen

COVID-19 reden voor overmacht in IT-contracten?

Dat COVID-19 een dominante invloed heeft op IT-projecten hoeven wij u niet uit te leggen. Wel bereikt ons steeds vaker de vra

Meer lezen
belastingapplicaties-waarderingsapplicaties-aanbesteden

Bedrijfsinformatiesystemen: kiest u enkel het systeem of een complete oplossing?

Bedrijfsinformatiesystemen is een bekende verzamelnaam voor een veelheid aan applicatieoplossingen, die als pakketoplossing o

Meer lezen

Flitsaanbestedingen: veel contact en toch contactloos, snel en efficiënt

Op afstand werken krijgt in deze moeilijke tijden door het coronavirus noodzakelijkerwijs een grote impuls. Tegelijkertijd d

Meer lezen
Inbesteden Centrale Overheid | Emtio

Hoe stelt de Autoriteit Persoonsgegevens boetes vast?

Afgelopen juli werd bekend dat de Autoriteit Persoonsgegevens een boete had opgelegd aan het Haga ziekenhuis voor het niet op

Meer lezen
AVG

Heeft het zin om contractueel te claimen dat gegevens alleen in Nederland of de EER mogen worden verwerkt?

Heeft het zin om contractueel te claimen dat gegevens alleen in Nederland of binnen de Europese Economische Ruimte mogen word

Meer lezen
kantoor

Meerdere contactmomenten met potentiële leveranciers tijdens een ICT aanbesteding? Natuurlijk kan dat (en rechtmatig)!

Aanbestedende diensten hebben wegens het gelijkheidsbeginsel slechts nauwe onderhandelingsruimte met inschrijvers bij een aan

Meer lezen
Softwarematige partinionering

Oracle licenties: is softwarematige partitionering op basis van VMware wel of niet toegestaan?

Vanaf 2002 verspreidt Oracle een document met de benaming ‘Oracle Partitioning Policy’. Het document is de afgelopen jare

Meer lezen
Kostenbeheersing van maatwerk | Emtio

Kostenbeheersing maatwerksoftware: welke maatregelen zijn mogelijk?

Vandaag de dag is de meeste software zogenaamde standaardsoftware. Omdat geen enkele organisatie ook echt ‘standaard’ is,

Meer lezen
Aanbesteding collusie | Emtio

Inschrijvingen op aanbestedingen door verbonden ondernemingen

Als gevolg van overnames en fusies en dergelijke kunnen verhoudingen binnen een markt op elk moment veranderen. Voor aanbeste

Meer lezen