Nederland is een van de weinige Europese landen waar boetes opgelegd op basis van de Algemene Verordening Gegevensbescherming (AVG) – onder voorwaarden – verzekerbaar zijn. In veel andere landen geldt hiervoor een verbod.
Dit meldt risico- en verzekeringsadviseur Aon, dat samen met advocatenkantoor DLA Piper de verzekerbaarheid van AVG-boetes in Europa onderzocht.
Vorige maand werd de eerste AVG-boete (€460.000) gegeven aan het Haagse Haga-ziekenhuis, omdat het de beveiliging van zijn patiëntendossiers niet op orde heeft. Dit feit maakte de verzekerbaarheid actueel.
Met deze boete gaf de Autoriteit Persoonsgegevens (AP) voor het eerst sinds de invoering van de AVG in mei 2018 met een grote zaak concreet invulling aan de Europese privacywet GDPR.
Bestuursrechtelijk
Hoewel de Nederlandse wet geen verbod kent op het verzekeren van boetes, geldt wel de regel dat een verzekeraar geen boete zal verzekeren die voortkomt uit een strafbaar feit, of uit opzet of grove schuld. De boete van de AP is echter administratief van aard en geldt daarom als bestuursrechtelijk. Er zijn nog geen rechterlijke uitspraken waaruit blijkt dat bestuursrechtelijke boetes niet verzekerd mogen worden.
Nederland is daarmee een van de weinige landen in Europa waar een boete – indien aan de polisvoorwaarden wordt voldaan – verzekerbaar is. Er zijn beroepsaansprakelijkheidsverzekeringen en cyberverzekeringen die dekking bieden.
Zwaarder bestraft
De staat van de patiëntendossiers in het Haga-ziekenhuis was sowieso al verboden op basis van de Wet Bescherming Persoonsgegevens, de voorganger van de AVG. Maar door de invoering van de AVG kon deze overtreding wel zwaarder bestraft worden.
Geen beroep op verzachtende omstandigheden
Uit de eerste boete volgt hoe de AP invulling geeft aan de richtlijn van de boetebeleidsregels. Zo blijkt het niet eenvoudig een beroep te doen op verzachtende omstandigheden. “Daarbij is van belang om te weten dat de AP de boetebeleidsregels heeft gepubliceerd als richtlijn, waarbij de AP niet de in het beleid besproken omstandigheden daadwerkelijk hoeft mee te wegen. De AP is hier vrij in”, zegt Saida Nhass, Managing Consultant bij Aon Global Risk Consulting. In het geval van het ziekenhuis heeft de AP geen matiging op de boete toegepast, ondanks een beroep op de slechte financiële situatie en het feit dat het een publieke instelling betreft.
Geen waarschuwing vooraf
Veel organisaties verkeren ten onrechte in de veronderstelling dat de AP bij een overtreding eerst zal waarschuwen, waarschuwt Aon. De AP heeft het ziekenhuis direct zowel een boete als een dwangsom opgelegd. De dwangsom is gekoppeld aan een termijn die de organisatie krijgt om orde op zaken te stellen.
En in een aantal andere gevallen is al gebleken dat deze termijn niet lang genoeg was. “Het zal organisaties die dit overkomt de nodige moeite kosten om binnen die termijn aan de eisen te voldoen. Daarom is het belangrijk om blijvend te investeren in beheersmaatregelen en risico’s goed in kaart te brengen. Daarnaast is het belangrijk dat organisaties zich verzekeren tegen het risico, zeker als zij een belangrijke maatschappelijke functie hebben”, legt Nhass uit.
Bron: Aon
