Bestuurders opgelet! Persoonlijke boetes als gevolg van de AVG?

Datum 26-11-2018
Het zal u ongetwijfeld niet zijn ontgaan, de Algemene Verordening Gegevensbescherming (‘’AVG’’) heeft een groot aantal veranderingen op het gebied van privacyrecht met zich meegebracht. Een van deze veranderingen betreft de ruimere sanctiebevoegdheid van de Autoriteit Persoonsgegevens (‘’AP’’). Onderdeel van de sanctiebevoegdheid van de AP, betreft de mogelijkheid om bestuurders van een rechtspersoon een persoonlijke boete op te leggen. Er is veel gezegd en geschreven over de boetebevoegdheid van de AP. Is de persoonlijke boete slechts een theoretische mogelijkheid of zal zij daadwerkelijk in de praktijk zal worden opgelegd? Wat zijn in het licht van de AVG de risico’s die bestuurders lopen?
 
Verplichtingen uit de AVG
In dit relatief vroege stadium is het lastig om aan te geven welke specifieke wettelijke verplichtingen prioriteit zullen innemen binnen het handhavingsbeleid van de AP. De AVG is een half jaar geleden in werking getreden en de AP lijkt zich bij het toezicht vooral te focussen op grotere organisaties binnen bijvoorbeeld de zorgbranche.
 
Duidelijk is dat er grote veranderingen binnen organisaties hebben moeten plaatsvinden, ongeacht de sector waarin zij actief zijn. Zo vloeit uit de AVG onder andere de in het kader van de Wet bescherming persoonsgegevens reeds ingevoerde meldplicht datalekken voort, moet de verwerker van data onder andere rekening houden met de aard van de persoonsgegevens die verwerkt worden (algemeen en bijzonder) en bestaat er onder omstandigheden een ‘recht op vergetelheid’ wat toekomt aan de betrokkene. In beginsel zouden overtredingen van dergelijke plichten een grondslag kunnen vormen om een bestuurder een persoonlijke boete op te leggen.
 
Beleidsregels Autoriteit Persoonsgegevens
De AP heeft in 2016 boetebeleidsregels gepubliceerd. Hieruit blijkt dat de AP voor het nemen van een boetebesluit kijkt naar de ernst van een overtreding in het concrete geval. In artikel 10 gaat de AP in op boeteverlagende omstandigheden. Onder deze niet limitatieve opsomming worden genoemd: het verlenen van medewerking van de overtreder aan het onderzoek van de AP; de omstandigheid dat de overtreder de overtreding uit eigen beweging heeft beëindigd; en de omstandigheid dat de overtreder de benadeelde betrokkene(n) reeds schadeloos heeft gesteld.
 
Het implementeren van maatregelen zoals complianceprogramma’s en risico-inventarisaties zouden –  gelet op het niet limitatieve karakter van artikel 10 van de boetebeleidsregels – mogelijk als boeteverlagende omstandigheden kunnen worden aangemerkt. Het blijft echter lastig om op dit moment uitspraken te doen over de te vormen boetepraktijk van de AP.
 
De praktijk van de ACM
De Autoriteit Consument en Markt is een met de AP vergelijkbare toezichthouder. Zij treedt onder andere op tegen afspraken die worden gemaakt in strijd met de mededingingsregels. De ACM beschikt sinds 2007 over de mogelijkheid tot het opleggen van persoonlijke boetes aan individuen. Zij hanteert hierbij het juridische criterium ‘feitelijk leidinggeven’.  Van feitelijk leidinggeven is sprake wanneer een leidinggever – hoewel daartoe bevoegd en redelijkerwijs gehouden – maatregelen ter voorkoming van de verboden handelingen achterwege laat en bewust de aanmerkelijke kans aanvaardt dat (soortgelijke) feiten (zullen) plaatsvinden.
 
Er zijn verschillende zaken bekend waarin boetes zijn opgelegd aan bestuurders  doordat zij hebben gehandeld overeenkomstig dit criterium.  Er zijn zowel sancties opgelegd wegens actieve betrokkenheid bij een verboden gedraging, als het op de hoogte zijn van deze gedraging zonder in te grijpen.
 
Aangezien de AP toeziet op de naleving van andersoortige wetgeving, kan op grond van bovenstaande niet worden gezegd dat er op vergelijkbare wijze en vergelijkbare schaal gebruik zal worden gemaakt van de mogelijkheid om natuurlijke personen te beboeten. Wel moet worden bedacht dat de grondslag voor de boetebevoegdheid voor publiekrechtelijke toezichthouders, en de invulling van de aan deze bevoegdheid verbonden criteria, niet van elkaar verschillen.
 
Wat kunnen wij voor u doen?
Advocatenkantoor Van Rossum ondersteunt organisaties bij het compliant worden aan de geldende wet- en regelgeving van de AVG. In het kader van de verplichtingen die uit de AVG voortvloeien, hebben wij een privacyscan ontwikkeld.
 
Tegen een vast bedrag ad € 575-, excl. btw, voeren wij een intakegesprek met u en nemen wij de door u gehanteerde contracten en documenten onder de loep. Vervolgens krijgt u via een overzichtelijk rapport helderheid over de mate waarin u momenteel voldoet aan de geldende privacywetgeving.

Uiteraard staan wij ook tot uw dienst wanneer blijkt dat er aanpassingen zijn vereist om te zorgen dat u 100% compliant bent. U kunt hierbij onder andere denken aan het opstellen van contracten, het aanpassen van algemene voorwaarden en het implementeren van een intern privacyprotocol. Deze werkzaamheden worden uitgevoerd tegen een van tevoren overeengekomen vast tarief.
 
Mocht u op basis van bovenstaande informatie gebruik willen maken van, of meer te weten willen komen over, onze privacyscan, neemt u dan gerust contact met ons op.