Een inbreuk op de Algemene Verordening Gegevensbescherming (AVG) kan leiden tot verschillende sancties, variërend van waarschuwingen en berispingen tot administratieve geldboetes. De geldboetes kunnen aanzienlijk zijn en oplopen tot maximaal 20 miljoen euro of 4% van de wereldwijde jaarlijkse omzet van een organisatie of 10 miljoen euro of 2% van de wereldwijde jaarlijkse opzet, afhankelijk van welke van beide bedragen hoger is en afhankelijk van het soort inbreuk.
De Gegevensbeschermingsautoriteit zal bij het opleggen van een administratieve geldboete rekening houden met verschillende factoren, waaronder de aard, de ernst en de duur van de inbreuk, de omvang van de schade die is veroorzaakt aan betrokkenen, de mate van nalatigheid van de verwerkingsverantwoordelijke of verwerker, de mate van samenwerking met de Gegevensbeschermingsautoriteit en eventuele eerdere inbreuken.
Naast administratieve boetes kan de Gegevensbeschermingsautoriteit ook andere maatregelen opleggen, zoals tijdelijke of permanente beperkingen of een verbod op de verwerking van persoonsgegevens, corrigerende maatregelen om de inbreuk te verhelpen of het intrekken van certificeringen.
Indien je een inbreuk begaat op de AVG, zal dat vaak ook betekenen dat je andere wettelijke, regelgevende en/of deontologische bepalingen hebt geschonden. Verschillende deontologische codes die van toepassing zijn op zorgverleners bevatten ook bepalingen die, al dan niet expliciet, de naleving van de AVG opleggen. Een inbreuk op de AVG kan dus ook aanleiding geven tot tuchtrechtelijke sancties. Daarnaast zal een inbreuk op de AVG in sommige gevallen eveneens een schending van je beroepsgeheim uitmaken, in welk geval je ook het risico loopt om strafrechtelijk te worden gesanctioneerd.
Wanneer de schending van de AVG een inbreuk uitmaakt op de Kwaliteitswet, is ook de Toezichtscommissie bevoegd om in te grijpen. Dat is bijvoorbeeld het geval indien je informatie deelt uit het patiëntendossier zonder dat je beschikt over de toestemming van je patiënt, of wanneer je het patiëntendossier van een patiënt inkijkt zonder een therapeutische relatie te hebben.
Als laatste kan de benadeelde van je inbreuk op de AVG juridische stappen ondernemen om diens schade vergoed te zien. Er zal dan een procedure worden gestart bij de bevoegde burgerlijke rechtbank, waar de betrokkene de fout, de schade en het oorzakelijke verband tussen beide zal moeten aantonen.
Yente Reinenbergh,
Jurist