U heeft een AVG boete opgelegd gekregen door de Autoriteit Persoonsgegevens. Volkomen onterecht natuurlijk, maar wat kunt u eraan doen? In deze blog benoem ik een aantal strategieën die u kunt hanteren wanneer de Autoriteit Persoonsgegevens een boete oplegt of dat dreigt te doen

AVG boete: een inleiding

Bij de invoering van de AVG werd veel gesproken over megaboetes. Met reden. Op grond van artikel 83 AVG kan de Autoriteit Persoonsgegevens een maximale boete opleggen van 20 miljoen euro of 4 % van de wereldwijde jaaromzet van een onderneming (als dat hoger is). De Europese toezichthouders hebben tot oktober 2021 gezamenlijk 827 boetes uitgedeeld met een totale waarde van maar liefst 1.3 miljard euro. Dat is inclusief enkele veelbesproken megaboetes bij van 750 miljoen euro aan Amazon, 225 miljoen Euro voor WhatsApp en 50 miljoen euro voor Google. De Autoriteit Persoonsgegevens heeft tot nu toe 15 boetes opgelegd, met een totale waarde van bijna 7 miljoen euro.

In het begin traden de toezichthouders voornamelijk op tegen evidente schendingen van de AVG. Bijvoorbeeld in 2019 legt de Autoriteit Persoonsgegevens een AVG boete op aan het Haga Ziekenhuis omdat de beveiliging rondom patiëntendossiers niet op orde is en medewerkers zonder goede reden in patiëntendossiers keken. Tegenwoordig treden autoriteiten ook steeds vaker op tegen minder evidente schendingen. Bijvoorbeeld in december 2020 legt de Spaanse toezichthouder een AVG boete op van 5 miljoen euro vanwege het overtreden van de informatieverplichting op grond van artikelen 12 tot en met 15 AVG. Het is de verwachting dat de autoriteiten in de toekomst eerder zullen optreden tegen de minder evidente inbreuken op de AVG. Dat vergroot het risico voor organisaties aanzienlijk omdat de AVG samenhangt van open normen zoals belangenafwegingen en risico inschattingen. Dat maakt dat het niet altijd gemakkelijk is te bepalen of sprake is van een inbreuk.

1. Vecht de inbreuk aan

Het klinkt wellicht als een open deur, maar het loont vaak om de beweerde inbreuk zelf te betwisten. De AVG is relatief jonge regelgeving met veel open normen. Dat biedt veel ruimte voor discussie. Bovendien duurt het vaak jaren om duidelijkheid te krijgen over een rechtsvraag, omdat daarvoor een procedure bij het Hof van Justitie (HvJ) nodig is. Kortom, er is nog veel onduidelijk over de juiste toepassing van de AVG. Dat betekent dat er veel ruimte is voor discussie over een mogelijke inbreuk.

De toezichthouder heeft daarom lang niet altijd gelijk als deze een inbreuk vaststelt. Een goed voorbeeld is de casus VoetbalTV. In november 2020 vernietigt de rechtbank Midden-Nederland een besluit waarbij de Autoriteit Persoonsgegevens een AVG boete oplegt van 575 duizend euro. Volgens de rechtbank interpreteert de Autoriteit Persoonsgegevens namelijk het begrip “rechtmatig belang” verkeerd. Daarmee valt de basis van het besluit weg. Overigens heeft VoetbalTV maar weinig aan deze uitspraak. Zij zijn inmiddels failliet.

2. Beroep u op Europees recht

De AVG is Europese regelgeving. Dat betekent dat ook de Autoriteit Persoonsgegevens binnen de lijnen van het Europese rechtssysteem moet blijven. De AVG dient bijvoorbeeld een dubbel doel. Ten eerste dient de AVG om persoonsgegevens te beschermen. Echter de AVG dient ook om het vrije verkeer van persoonsgegevens mogelijk te maken binnen de EU. Dat betekent dat de Autoriteit Persoonsgegevens ook niet té streng mag optreden, zeker in grensoverschrijdende zaken. Dat kán namelijk het vrije verkeer van persoonsgegevens in gevaar brengen.

Daarnaast moet de AVG uitgelegd worden conform het Europese Handvest voor de Fundamentele Rechten (CFR). Dat betekent dat organisaties een beroep kunnen doen op bijvoorbeeld het recht op vrijheid van meningsuiting (art. 11 CFR) of het recht op vrijheid van ondernemerschap (art. 16 CFR). Bijvoorbeeld in GC v. CNIL legt het HvJ de verplichtingen van Google uit aan de hand van deze normen.

3. Beroep u op proportionaliteit

Een AVG boete moet in elke zaak doeltreffend, evenredig en afschrikkend zijn, zo bepaalt artikel 83 AVG. Dat betekent dat per zaak een afweging moet worden gemaakt of een AVG boete in dit geval nodig is en of er niet wellicht gebruik kan worden gemaakt van een ander middel (een verwerkingsverbod of een last onder dwangsom). De Autoriteit Persoonsgegevens moet daarbij rekening houden met een aantal omstandigheden zoals: de opzettelijkheid of nalatigheid van de inbreuk, de aard, ernst en de duur van de inbreuk. De Autoriteit Persoonsgegevens moet dus een concrete belangenafweging maken en die belangenafweging kan weer getoetst worden.

4. Verzoek matiging van de AVG boete

Dit hangt samen met het vorige punt. Een AVG boete kan ook buitenproportioneel hoog zijn. De Autoriteit Persoonsgegevens heeft beleidsregels opgesteld waarin de hoogste basisboete 725 duizend euro is. Die basisboete kan verhoogd worden als er strafverzwarende omstandigheden zijn.

Echter, de AVG verplicht de Autoriteit Persoonsgegevens om in ieder individueel geval een afweging te maken over de hoogte van de AVG boete. Bij die afweging speelt onder meer een rol: of de overtreder heeft meegewerkt, de ernst van de overtreding, en of de overtreder zélf de overtreding heeft gemeld.

Bijvoorbeeld dit jaar nog matigt de rechtbank Den Haag nog de AVG boete voor het Hagaziekenhuis tot 350 duizend euro.

5. Begin op tijd met het aanvechten van een AVG boete

Een AVG boete komt vaak niet uit de lucht vallen. Daar gaat meestal een heel bestuursrechtelijk proces aan vooraf. De Autoriteit Persoonsgegevens vraagt namelijk vaak eerst informatie op en neemt naar aanleiding daarvan al een voornemensbesluit. In dat voortraject kan de organisatie aanzienlijke invloed uitoefenen op de uitkomst van het onderzoek. Daarnaast is verlenen van medewerking een verzachtende omstandigheid bij het bepalen van de vraag of een boete moet worden opgelegd en hoe hoog die moet zijn.

Stephan Mulders is advocaat te Amsterdam, gespecialiseerd in Datenschutzrecht. Neem gerust contact op als u vragen heeft over AVG boetes via [email protected].