Rechtbank matigt GDPR-boete HagaZiekenhuis

Het was de eerste boete in Nederland na invoering van de GDPR (AVG) op 25 mei 2018: de Autoriteit Persoonsgegevens legde op 16 juli 2019 een boete op aan het HagaZiekenhuis ter hoogte van EUR 460.000. In een gisteren (15 april 2021) gepubliceerde uitspraak matigt de rechtbank Den Haag deze boete naar EUR 350.000.

Met één van deze argumenten gaat de rechtbank mee: ook volgens de rechtbank is sprake van een onevenredige boete.

In de procedure voert het HagaZiekenhuis meerdere redenen aan op grond waarvan de boete niet in stand kan blijven of moet worden gematigd. Met één van deze argumenten gaat de rechtbank mee: ook volgens de rechtbank is sprake van een onevenredige boete. De rechtbank neemt hierbij het volgende in aanmerking:

  • Voor overtreding van artikel 32 GDPR -het treffen van passende technische en organisatorische maatregelen- hanteert de Autoriteit Persoonsgegevens een basisboetebedrag van EUR 310.000. Deze basisboete acht de rechtbank niet onredelijk.
  • De Autoriteit Persoonsgegevens heeft de basisboete voor het HagaZiekenhuis vervolgens tweemaal met EUR 75.000 verhoogd: een keer met EUR 75.000 vanwege de aard, ernst en duur van de inbreuk, en een keer met EUR 75.000 vanwege de opzettelijke/nalatige aard van de inbreuk.
  • Volgens de rechtbank is zowel sprake van de boeteverhogende factor ‘aard, ernst en duur’ als van ‘nalatigheid’.
  • De rechtbank vindt echter dat tweemaal een verhoging van EUR 75.000 resulteert in een boete – EUR 460.000 – die niet evenredig is. Daarbij wijst de rechtbank onder meer op de maatregelen die het HagaZiekenhuis heeft getroffen, die volgens de rechtbank duiden op ‘bereidwilligheid’ om de problemen aan te pakken en die de nalatigheid ‘nuanceren’. Dat het HagaZiekenhuis wettelijk verplicht was om die maatregelen te treffen, doet hieraan volgens de rechtbank niet af.
  • Nu de Autoriteit Persoonsgegevens deze factoren volgens de rechtbank niet heeft meegewogen in het boetebesluit, ziet de rechtbank aanleiding om de boete met EUR 110.000 te matigen, tot EUR 350.000 (EUR 310.000 basisboete plus een kennelijke verhoging van EUR 40.000).

Voor de rekenmeesters onder ons laat de uitspraak wat te wensen over. De rechtbank oordeelt weliswaar dat een verhoging van de basisboete op zijn plaats is, maar geeft geen duidelijkheid over (de berekening van) de verhoging van EUR 40.000. Dat is jammer. Het zou bijvoorbeeld interessant zijn geweest om te zien of de rechtbank in navolging van de Autoriteit Persoonsgegevens is uitgegaan van twee verhogingen van de basisboete, maar aan beide factoren een lager bedrag heeft gehangen dan EUR 75.000; of dat de rechtbank in plaats daarvan een geheel andere rekenmethodiek heeft gehanteerd.

De rechtbank oordeelt weliswaar dat een verhoging van de basisboete op zijn plaats is, maar geeft geen duidelijkheid over (de berekening van) de verhoging van EUR 40.000.

De uitspraak biedt mogelijk perspectief voor het OLVG-ziekenhuis, dat recent vanwege een vergelijkbare overtreding van de GDPR een boete van gelijke orde kreeg opgelegd. Lees meer over de boete voor het OLVG in ons nieuwsbericht van 12 februari 2021.

Lees hier het boetebesluit en hier de volledige uitspraak.