Datalekken: Maximale boete privacy-waakhond fors omhoog

19 juli 2016

Sinds 1 juli kan de Autoriteit Persoonsgegevens voortaan een boete van 900.000 euro opleggen in plaats van 450.000 euro.

De Autoriteit Persoonsgegevens (AP) heeft haar boetebeleidsregels aangepast naar aanleiding van een wijziging van de Telecommunicatiewet per 1 juli 2016. De AP kan de boete van maximaal 900.000 euro opleggen aan een telecombedrijf dat een datalek niet meldt aan de toezichthouder.

Doel vooral preventieve werking

De wetgever heeft eerder al besloten de sanctiemogelijkheden van de AP te versterken om zo de naleving van de Wet bescherming persoonsgegevens (Wbp) te bevorderen. De AP vindt hierbij vooral de preventieve werking van de boetebevoegdheid van belang.

Bedrijven en overheden zullen hierdoor eerder aandacht besteden aan de bescherming van persoonsgegevens, is de verwachting. Mocht er sprake zijn van een opzettelijke overtreding van de Wbp of als deze voortkomt uit ernstig verwijtbare nalatigheid, kan de AP direct een boete opleggen. In andere gevallen komt er eerst een bindende aanwijzing.

In zwaarte oplopende boetes

Uitgangspunt is dat de hoogte van de boete in verhouding moet staan tot de begane overtreding. In de boetebeleidsregels is gekozen voor een categorie-indeling en bandbreedte-systematiek. De AP heeft de beboetbare situaties ingedeeld in een aantal boetecategorieën met in zwaarte oplopende boetes. De AP-beleidsregels geven inzicht in de factoren die relevant zijn voor de hoogte van een boete in een concreet geval.