Autoriteit Persoonsgegevens past boetebeleidsregels aan

De Autoriteit Persoonsgegevens (AP) heeft haar boetebeleidsregels aangepast naar aanleiding van een wijziging van de Telecommunicatiewet per 1 juli 2016. Deze wijziging houdt in dat het boetemaximum is verhoogd van 450.000 euro tot 900.000 euro. Vanaf 1 juli 2016 kan de AP een boete van maximaal 900.000 euro opleggen aan een telecombedrijf dat een datalek niet meldt aan de toezichthouder.

Boetebevoegdheid

De wetgever heeft eerder al besloten de sanctiemogelijkheden van de AP te versterken om zo de naleving van de Wet bescherming persoonsgegevens (Wbp) te bevorderen. De AP vindt hierbij vooral de preventieve werking van de boetebevoegdheid van belang. De verwachting is dat de boetebevoegdheid bedrijven en overheden zal stimuleren om in een eerder stadium aandacht te besteden aan de bescherming van persoonsgegevens. Hierdoor kunnen privacyovertredingen worden voorkomen. Als sprake is van een overtreding van de Wbp die opzettelijk is gepleegd of het gevolg is van ernstig verwijtbare nalatigheid, kan de toezichthouder direct een boete opleggen. In andere gevallen gaat hier een bindende aanwijzing aan vooraf.

Hoogte boete

Uitgangspunt bij het bepalen van de hoogte van een boete is dat deze in verhouding moet staan tot de begane overtreding. In de boetebeleidsregels is gekozen voor een categorie-indeling en bandbreedte-systematiek. Dit betekent dat de beboetbare wettelijke bepalingen per wettelijk boetemaximum van 820.000 euro, 900.000 euro of 20.500 euro ingedeeld zijn in een aantal boetecategorieën met daaraan verbonden in zwaarte oplopende boetes. Daarnaast geeft de AP in de beleidsregels inzicht in de relevante factoren die bepalend zijn voor de hoogte van een boete in een concreet geval.