Sinds de invoering van de Avg zien we diverse voorbeelden van opdrachtgevers die de nieuwe wet gebruiken om extra aansprakelijkheid neer te leggen bij opdrachtnemers. Een voorbeeld hiervan is opdrachtgevers die door de AP opgelegde boetes onterecht contractueel doorschuiven naar hun IT-leverancier.

We hebben onze zorgen hierover gedeeld met het ministerie van Justitie en Veiligheid. Met succes: in een recente brief aan de Tweede Kamer over de evaluatie van de Avg, erkent minister Dekker de zorgen van NLdigital en zegt hij dat er overleg zal plaatsvinden met betrokken partijen.

Dekker schrijft:

Naar aanleiding van een gesprek dat het ministerie van JenV onlangs met NLdigital, de branchevereniging van ICT-bedrijven, heeft gehad, ligt verder nog de vraag open of de AP bij het opleggen van boetes aan de Rijksoverheid als verwerkingsverantwoordelijke en een ICT-bedrijf als verwerker niet al in voldoende mate het principe “de vervuiler betaalt” hanteert, zodat voor het doorberekenen van de boete door de Rijksoverheid aan het bedrijf dat gegevens voor hen verwerkt, geen goede rechtvaardiging bestaat. Ook daarover zal nog overleg met betrokken partijen plaatsvinden.

We gaan vanzelfsprekend graag verder het gesprek aan met het ministerie hierover.

Hoe zit het precies?

De Autoriteit Persoonsgegevens heeft onder de Avg de bevoegdheid gekregen om een boete op te leggen aan de verwerker en de verwerkingsverantwoordelijke. In de Avg is opgenomen dat de toezichthouder, bij ons de Autoriteit Persoonsgegevens, bij het opleggen van boetes rekening moet houden met de mate van verwijtbaarheid van verwerker en verwerkingsverantwoordelijke. Een feit kan leiden tot zowel een boete voor de verwerkingsverantwoordelijke als een boete voor de verwerker.

Als de AP dus goede gronden heeft om voor een bepaald feit zowel een boete op te leggen aan de verwerkingsverantwoordelijke als aan de verwerker(s), dan is het wat NLdigital betreft onredelijk dat de verwerkingsverantwoordelijke de aan haar opgelegde boete contractueel (bij voorbaat) kan doorschuiven naar de verwerker (en andersom). Daar komt bij dat de bevoegdheid van de AP om aan beide partijen een boete op te leggen onder meer is ingegeven door proportionaliteit. Een aan de omzet gerelateerde boete, wordt dan gerelateerd aan de omzet van de tekortschietende partij, niet aan de omzet van de andere partij.

Dat voorkomt dat boete-verzwarende factoren die te wijten zijn aan de ene partij worden verhaald op de andere partij. Denk hier bijvoorbeeld aan een partij die al eerder een boete of maatregel opgelegd heeft gekregen. Dit kan leiden tot een opslag van de boete met 50%. Of een partij die niet meewerkt met het onderzoek van de AP. Dit kan ook leiden tot een opslag van de boete.

Het voorkomt ook dat de verwerker een eigen boete van de toezichthouder opgelegd krijgt en daarbovenop de boete van de verwerkingsverantwoordelijke, dus dubbel beboet wordt voor een bepaald feit. Dat is disproportioneel. Bovendien kan de verwerker zich niet verzekeren voor contractueel verlegde boetes. Het contractueel aanvaarden van aansprakelijkheden die je zonder de contractbepaling niet zou hebben gehad, is doorgaans niet gedekt.

Het idee van de nieuwe boetebevoegdheid van de AP is wat ons betreft dat de toezichthouder de boete bij de partij legt die verwijtbaar heeft gehandeld, gerelateerd aan de eigen omzet en dat boete-verzwarende factoren alleen meetellen voor de partij waarop deze betrekking hebben.