Boetes van privacywaakhond blijken verzekerbaar
Boetes opgelegd op basis van de Algemene Verordening Gegevensbescherming (AVG) zijn onder voorwaarden verzekerbaar. Dat heeft verzekeringsadviseur AON onderzocht. Nederland is daarmee een van de weinige landen in Europa waar dit mogelijk is.
Risico- en verzekeringsadviseur Aon onderzocht in samenwerking met advocatenkantoor DLA Piper de verzekerbaarheid van AVG-boetes in Europa. De vraag of boetes opgelegd door de Autoriteit Persoonsgegevens (AP) verzekerbaar zijn, is actueel omdat de AP onlangs aan een ziekenhuis de eerste, forse boete uitdeelde op basis van het overtreden van de AVG. Aon nam dit boetebesluit en dwangsommen onder de loep omdat de Nederlandse toezichthouder hiermee voor het eerst sinds de invoering in mei 2018 met een grote zaak concreet invulling geeft aan de Europese privacywet GDPR.
Nederland een van de weinige landen
De Nederlandse wet heeft geen verbod op het verzekeren van boetes zoals deze. Wel geldt de regel dat een verzekeraar geen boete zal verzekeren die voortkomt uit een strafbaar feit, opzet of grove schuld. De oplegging van een boete van de AP is administratief van aard en geldt om deze redenen dan ook als bestuursrechtelijke boete. Er is op dit moment ook geen rechterlijke uitspraak te vinden waaruit blijkt dat dit onmogelijk is. Nederland is een van de weinige landen in Europa waar een boete – indien aan de polisvoorwaarden wordt voldaan – verzekerbaar is. In veel andere landen is hierop namelijk een expliciet verbod aanwezig.
AP is vrij om af te wijken van boetebeleidsregels
De situatie bij het ziekenhuis, waar de eerste grote boete is uitgedeeld, was al verboden op basis van de voorganger van de AVG; de Wet bescherming persoonsgegevens. Deze overtreding kon door de invoering van de AVG wel zwaarder bestraft worden. Uit de eerste boete volgt hoe de AP invulling geeft aan de richtlijn van de boetebeleidsregels. Zo blijkt het niet eenvoudig een beroep te doen op verzachtende omstandigheden. “Daarbij is van belang om te weten dat de AP de boetebeleidsregels heeft gepubliceerd als richtlijn, waarbij de AP niet de in het beleid besproken omstandigheden daadwerkelijk hoeft mee te wegen. De AP is hier vrij in”, zegt Saida Nhass, managing consultant bij Aon Global Risk Consulting. In het geval van het ziekenhuis werd geen matiging toegepast ondanks een beroep op de slechte financiële situatie en het feit dat het een publieke instelling betreft.
Geen waarschuwing vooraf
Veel organisaties verkeren ten onrechte in de veronderstelling dat de AP bij een overtreding eerst zal waarschuwen. De AP heeft in dit geval direct zowel een boete als dwangsom opgelegd. De dwangsom is gekoppeld aan een termijn die de organisatie krijgt om orde op zaken te stellen. In een aantal andere gevallen is al gebleken dat deze termijn niet lang genoeg was met als gevolg dat de dwangsom door de AP ook is verbeurd. “Het zal organisaties die dit overkomt de nodige moeite kosten om binnen die termijn te voldoen. Daarom is het belangrijk om blijvend te investeren in beheersmaatregelen en risico’s goed in kaart te brengen. Daarnaast is het belangrijk dat organisaties zich verzekeren tegen het risico, zeker als zij een belangrijke maatschappelijke functie hebben”, legt Nhass uit.