Wat als mijn onderneming/organisatie de regels inzake gegevensbescherming niet naleeft?

Antwoord

De Algemene Verordening Gegevensbescherming (AVG) geeft de gegevensbeschermingsautoriteiten verschillende opties in geval van niet-naleving van de gegevensbeschermingsregels:

• vermoedelijke inbreuk: een waarschuwing kan worden gegeven;
• inbreuk: sancties omvatten een berisping, een tijdelijke of definitieve verwerkingsbeperking en een boete van maximaal 20 miljoen EUR of 4 % van de totale wereldwijde jaaromzet van de onderneming/organisatie.

Opmerkelijk is dat de gegevensbeschermingsautoriteit in het geval van een inbreuk een geldboete mag opleggen in plaats van of naast de berisping en/of verwerkingsbeperking.

De autoriteit moet ervoor zorgen dat de opgelegde boetes in elk geval doeltreffend, evenredig en afschrikkend zijn. Er dient evenwel rekening te worden gehouden met de aard, de ernst en de duur van de inbreuk, de opzettelijke of nalatige aard ervan, de maatregelen die worden genomen om de door betrokkenen geleden schade te beperken, de mate van samenwerking van de onderneming/organisatie enz.

Voorbeeld

Een onderneming verkoopt online huishoudelijk materiaal. Via haar website kunnen consumenten keukenapparatuur, tafels, stoelen en andere huishoudelijke artikelen kopen door hun bankgegevens in te voeren. De website kreeg te maken met een cyberaanval waardoor de aanvaller over persoonsgegevens kon beschikken. In dit geval lijkt het ontbreken van passende technische maatregelen van het bedrijf de oorzaak van het gegevensverlies te zijn.

De toezichthoudende autoriteit zal in dit geval rekening houden met verschillende factoren voordat er wordt besloten welk corrigerend instrument moet worden gebruikt. Factoren zoals: hoe ernstig was de tekortkoming van het IT-systeem? Hoe lang was de IT-infrastructuur blootgesteld aan een dergelijk risico? Zijn er in het verleden tests uitgevoerd om een dergelijke aanval te voorkomen? Van hoeveel klanten werden er gegevens gestolen of openbaar gemaakt? Om wat voor soort persoonsgegevens gaat het: zijn er ook gevoelige gegevens bij betrokken? De toezichthoudende autoriteit houdt rekening met al deze en andere overwegingen.

Referenties

• Artikelen 58, 60, 83, 84; overwegingen 129, 148, 150, 151 van de AVG
• EDPB-richtsnoeren over de toepassing en vaststelling administratieve geldboeten voor de toepassing van Verordening 2016/679, 3 oktober 2017

A company sells online household material. Through its website, consumers can buy kitchen appliances, tables, chairs and other domestic goods by entering their bank details. The website suffered a cyber-attack leading to personal details being rendered available to the attacker. In this case, the lack of appropriate technical measures by the company seems to have been the cause of the data loss.

In this instance, various factors will be considered by the supervisory authority before deciding what corrective tool to use. Factors such as: how serious was the deficiency in the IT system? How long had the IT infrastructure been exposed to such a risk? Were tests carried out in the past to prevent such an attack? How many customers had their data stolen/disclosed? What type of personal data was affected – did it include sensitive data? All these and other considerations will be taken into account by the supervisory authority.

• Articles 58, 60, 83 and 84 and Recitals (129), (148), (150) and (151) of the GDPR
• EDPB Guidelines on the application and setting of administrative fines for the purposes of Regulation (EU) 2016/679, 3 October 2017