Boetebesluit Autoriteit Persoonsgegevens: wat nu?

13 april 2021

Booking.com kreeg onlangs een boete van € 475.000 opgelegd vanwege het te laat melden van een datalek. Zorg dat uw organisatie weet hoe te handelen in geval van een datalek om boetes te voorkomen.

Te laat melden datalek: boete

Recent maakte de Autoriteit Persoonsgegevens bekend dat zij Booking.com een boete van € 475.000 heeft opgelegd vanwege het te laat melden van een datalek. Als gevolg van het datalek kregen onbevoegden toegang tot de gegevens van ruim 4.000 mensen die via de boekingssite een hotelkamer hadden geboekt. Het ging onder meer om namen, adressen en telefoonnummers en details over de boeking. Op grond van artikel 33 lid 1 van de Algemene Verordening Gegevensbescherming (AVG) had Booking.com het datalek binnen 72 uur moeten melden bij de AP. Booking.com meldde het datalek echter pas na 25 dagen, 22 dagen te laat.

Booking.com erkent dat zij het lek te laat heeft gemeld en heeft aangegeven niet verder in bezwaar of beroep te zullen gaan tegen het boetebesluit van de AP. Maar wat als u het niet eens bent met zo’n boetebesluit, omdat u vindt dat een boete onterecht is opgelegd of omdat u het niet eens bent met de hoogte van de boete?

In zo’n geval kunt u twee bestuursrechtelijke procedures doorlopen: de bezwaarprocedure en – als dat niet tot de gewenste uitkomst heeft geleid – de beroepsprocedure. De AP is namelijk een bestuursorgaan dat bij handhavend optreden bestuurlijke boetes op kan leggen. Een dergelijke boete wordt vastgesteld aan de hand van een boetebesluit, waartegen u in bezwaar en beroep kunt gaan.

Bezwaar

Als u het niet eens bent met het boetebesluit dient u eerst in bezwaar te gaan bij de AP zelf. Dit houdt in dat u binnen 6 weken na de datum van verzending van het besluit een bezwaarschrift moet indienen bij de AP. Bij de AP kan dit bezwaarschrift op twee manieren worden ingediend, namelijk online via het Formulier bezwaarschrift of per post. In het bezwaarschrift moet concreet worden onderbouwd waarom u het niet eens bent met het genomen besluit.

Bij ontvangst van het bezwaarschrift zal de AP vaak eerst contact met u opnemen om te kijken of het mogelijk is om snel een oplossing te vinden voor uw bezwaar. Is dit niet mogelijk, dan ontvangt u een uitnodiging voor een hoorzitting, waar u uw standpunten mondeling kunt toelichten. Vervolgens zal de AP op basis van deze (nieuwe) informatie een nieuw besluit nemen: de beslissing op bezwaar.

Beroep

Bent u het niet eens met de beslissing op bezwaar van de AP? Dan kunt u daartegen in beroep gaan bij de bestuursrechter door het indienen van een beroepschrift. Het beroepschrift moet binnen 6 weken na de datum van verzending van de beslissing op bezwaar worden ingediend bij de rechtbank. Ook in dit beroepschrift moet concreet worden onderbouwd waarom u het niet eens bent met de beslissing op bezwaar van de AP.

In de meeste gevallen zal er een zitting worden gehouden, zodat partijen hun standpunten ook mondeling toe kunnen lichten. Vervolgens zal de rechtbank uitspraak doen. Zo kan de rechter het besluit in stand laten, vernietigen en de AP bevelen om een nieuw besluit te nemen. Ook kan de bestuursrechter zelf in de zaak voorzien, waardoor die uitspraak in de plaats treedt van het besluit van de AP.

Bent u het ook niet eens met de uitspraak van de rechtbank, dan is het ook nog mogelijk om in hoger beroep te gaan bij de afdeling Bestuursrechtspraak van de Raad van State.

Conclusie

Er zijn dus wel degelijk mogelijkheden om een besluit van de AP aan te vechten. Daarbij is documentatie omtrent de gang van zaken en de getroffen maatregelen van groot belang. Goed advies in geval van een hack is essentieel, omdat het niet mogelijk is dit later recht te zetten. Kom dus direct in actie.