Uitspraak 202401169/1/A3


Volledige tekst

202401169/1/A3.
Datum uitspraak: 29 mei 2024

AFDELING
BESTUURSRECHTSPRAAK

Uitspraak op het hoger beroep van:

[appellante], gevestigd te [plaats],
appellante,

tegen de uitspraak van de rechtbank Amsterdam van 15 januari 2024 in zaak nr. 22/101 en 22/102 in het geding tussen:

[appellante]

en

de Autoriteit Persoonsgegevens.

Procesverloop

Bij besluit van 30 juli 2020 heeft de Autoriteit aan [appellante] een boete van € 6.000 opgelegd wegens overtreding van Verordening 2016/679 van het Europees Parlement en de Raad van de Europese Unie van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (de Algemene Verordening Gegevensbescherming, hierna: AVG).

Bij besluit van 10 mei 2021 heeft de Autoriteit op grond van artikel 8 van de Wet openbaarheid van bestuur (hierna: Wob) besloten het besluit van 30 juli 2020 openbaar te maken.

Bij afzonderlijke besluiten van 4 januari 2022 heeft de Autoriteit de door [appellante] tegen de besluiten van 30 juli 2020 en 10 mei 2021 gemaakte bezwaren ongegrond verklaard.

Bij uitspraak van 15 januari 2024 heeft de rechtbank de door APG daartegen ingestelde beroepen ongegrond verklaard.

Tegen deze uitspraak heeft [appellante] hoger beroep ingesteld.

De Afdeling heeft de zaak ter zitting behandeld op 2 mei 2024, waar [appellante], vertegenwoordigd door mr. J.M. van den Hil-ten Thij, advocaat te Amsterdam en [gemachtigden], en de Autoriteit, vertegenwoordigd door mr. J.M.A. Koster en mr. E. Nijhof, zijn verschenen.

Overwegingen

Wettelijk kader

1.       Het wettelijk kader is opgenomen in een bijlage, die deel uitmaakt van deze uitspraak.

Inleiding

2.       [appellante] is een recruitmentbedrijf. Zij verwerkt persoonsgegevens van personen die zich via haar website hebben ingeschreven, onder meer om die personen via e-mail te kunnen benaderen met relevante vacatures. De Autoriteit heeft in november 2018 en maart 2019 klachten van drie personen ontvangen dat [appellante] niet tijdig reageerde op hun verzoeken om verwijdering van hun persoonsgegevens. De Autoriteit heeft naar aanleiding van deze klachten een onderzoek ingesteld. In het onderzoeksrapport van 3 december 2019 heeft de Autoriteit geconcludeerd dat [appellante] in strijd met de AVG heeft gehandeld. De Autoriteit heeft aan [appellante] een boete van € 6.000 opgelegd wegens overtreding artikel 17, eerste lid, in samenhang gelezen met artikel 12, derde lid, van de AVG. Overeenkomstig de Beleidsregels openbaarmaking door de Autoriteit Persoonsgegevens (Stcrt. 2016, nr. 1380) heeft de Autoriteit het boetebesluit openbaar gemaakt. De Autoriteit heeft deze besluiten in bezwaar gehandhaafd.

3.       De rechtbank heeft de beroepen ongegrond verklaard.

Hoger beroep

Boetebesluit

4.       [appellante] betoogt dat de Autoriteit gelet op de omstandigheden van dit geval had moeten afzien van het opleggen van een boete of een alternatieve sanctie had moeten opleggen. Hiertoe voert zij aan dat de Autoriteit de overtreding van de AVG ten onrechte als ‘ernstig’ aanmerkt. De Autoriteit heeft ten onrechte meegewogen dat [appellante] zou zijn gewaarschuwd. De twee normoverdragende brieven die de Autoriteit in 2018 stelt te hebben verstuurd, heeft [appellante] nooit ontvangen. Verder wijst [appellante] op punt 148 van de considerans van de AVG, waaruit volgt dat - afhankelijk van de omstandigheden van het geval - met een berisping kan worden volstaan. In de praktijk blijkt de Autoriteit ook gevallen van het niet tijdig reageren op verwijderingsverzoeken als een kleine inbreuk te hebben aangemerkt en te volstaan met een berisping, ook al ging het om situaties met meerdere overtredingen.

[appellante] stelt verder dat, als de boete mocht worden opgelegd, deze nog verdergaand had moeten worden gematigd, namelijk tot nihil. [appellante] heeft niet met opzet gehandeld. Zij had haar privacybeleid op orde en had al het mogelijke gedaan om overtredingen te voorkomen. Onvoldoende gewicht is toegekend aan de omstandigheid dat de verwijderverzoeken niet waren gericht aan het in de privacyverklaring genoemde e-mailadres. De drie incidenten waren het gevolg van een menselijke fout. [appellante] acht onduidelijk hoe de Autoriteit op grond van de factoren in de Boetebeleidsregels Autoriteit Persoonsgegevens 2019 (hierna: Boetebeleidsregels) in de praktijk op zeer uiteenlopende boetes kan uitkomen. Gelet op het motiveringsbeginsel en het rechtszekerheidsbeginsel moet de Autoriteit uitleggen hoe zij tot een bepaalde boetehoogte is gekomen, maar dat heeft zij in dit geval niet gedaan.

4.1.    Tussen partijen is niet in geschil dat [appellante] artikel 17, eerste lid, in samenhang gelezen met artikel 12, derde lid, van de AVG heeft overtreden. Op grond van artikel 58, tweede lid, van de AVG kan de Autoriteit in dit geval verschillende corrigerende maatregelen treffen. Wanneer met verwerkingen inbreuk op bepalingen van de AVG is gemaakt, kan de verwerkingsverantwoordelijke ingevolge sub b worden berispt. Ingevolge sub i kan, naargelang de omstandigheden van elke zaak, naast of in plaats van de in dit lid bedoelde maatregelen, een administratieve geldboete op grond van artikel 83 van de AVG worden opgelegd. Bij de beoordeling of een boete wordt opgelegd en het vaststellen van de hoogte daarvan, wordt rekening gehouden met de in artikel 83, tweede lid, van de AVG genoemde factoren. Hiertoe behoort onder meer de aard, de ernst en de duur van de inbreuk, rekening houdend met de aard, de omvang of het doel van de verwerking in kwestie alsmede het aantal getroffen betrokkenen en de omvang van de door hen geleden schade. De Autoriteit heeft aan haar bevoegdheid invulling gegeven door de Boetebeleidsregels vast te stellen, waarin zij de in de AVG genoemde factoren heeft overgenomen.

4.2.    De Boetebeleidsregels bepalen voor een categorie II-situatie, het niet tijdig gevolg geven aan een verwijderingsverzoek, een basisboete van € 310.000 en een boetebandbreedte tussen € 120.000 en € 500.000. Afhankelijk van de in artikel 7 van de Boetebeleidsregels genoemde factoren kan de basisboete binnen de bandbreedte worden verhoogd of verlaagd. De Autoriteit heeft een boete van € 310.000 onevenredig hoog geacht. [appellante] heeft namelijk privacybeleid vastgesteld en meer dan 650 verwijderverzoeken wel succesvol verwerkt. Aannemelijk is dat de drie incidenten het resultaat zijn van een menselijke fout. Ook heeft [appellante] het beleid na de klachten aangescherpt. De Autoriteit heeft de boete in afwijking van de Boetebeleidsregels daarom gematigd en een boete van € 6.000 passend en geboden geacht.

4.3.    Zoals de Afdeling eerder heeft overwogen (uitspraak van 13 december 2023, ECLI:NL:RVS:2023:4624), heeft de Autoriteit beleidsruimte om al dan niet handhavend op te treden.

De Autoriteit heeft in het besluit op bezwaar overwogen dat het recht op verwijdering onlosmakelijk is verbonden met de controle op de verwerking van persoonsgegevens waardoor de belanghebbende in staat is te achterhalen of persoonsgegevens op rechtmatige wijze zijn verwerkt. Volgens de Autoriteit ging het om een ernstige overtreding, omdat in drie gevallen is geconstateerd dat [appellante] niet op verwijderingsverzoeken heeft gereageerd. De Autoriteit heeft in de schriftelijke uiteenzetting nader toegelicht dat het hier gaat om een groot bedrijf dat veel gevoelige persoonsgegevens onder zich heeft. De overtredingen deden zich voor bij verschillende labels van het bedrijf, waaruit kan worden opgemaakt dat het privacybeleid van [appellante] in de praktijk niet in brede zin werd nageleefd. De Afdeling kan de Autoriteit hierin volgen. Dat het niet om een incident ging, wordt ondersteund door twee waarschuwingsbrieven van de Autoriteit uit oktober en november 2018. Niet alleen blijkt daaruit dat er, naast de drie personen die klachten indienden en waarvoor de boete is opgelegd, nog twee andere personen klachten over [appellante] hebben ingediend. Daarnaast heeft [appellante] niet naar aanleiding van die brieven de feitelijke uitvoering van haar werkprocessen verbeterd. De stelling dat zij de beide aangetekend verstuurde brieven, gericht aan verschillende adressen van [appellante] niet heeft ontvangen, acht de Afdeling net als de Autoriteit niet geloofwaardig. De Autoriteit heeft verder toegelicht dat de voorliggende situatie verschilt van de door [appellante] genoemde gevallen waarin sprake was van een kleine inbreuk en met een berisping werd volstaan, omdat de Autoriteit [appellante] op de overtredingen heeft moeten wijzen en pas daarna gevolg is gegeven aan de verwijderingsverzoeken. Onder deze omstandigheden heeft de Autoriteit in dit geval mogen oordelen dat sprake was van een ernstige overtreding. Anders dan door [appellante] is betoogd, is het opleggen van een boete in plaats van een berisping niet in strijd met de uitspraak van het Hof van Justitie van 5 december 2023, ECLI:EU:C:2023:950 (Deutsche Wohnen). In die zaak heeft het Hof van Justitie overwogen dat voor het opleggen van een administratieve boete in de zin van artikel 83 van de AVG vanwege een inbreuk is vereist dat de verwerkingsverantwoordelijke deze inbreuk opzettelijk of uit nalatigheid heeft begaan (punt 75). Daarvoor is geen handeling en zelfs geen kennis van het leidinggevend orgaan van die rechtspersoon vereist (punt 77). In dit geval staat vast dat in drie afzonderlijke gevallen door medewerkers van [appellante] geen gevolg is gegeven aan verzoeken tot verwijdering van persoonsgegevens en dat de verzoekers opnieuw door medewerkers van [appellante] zijn benaderd. Dat handelen van de betreffende medewerkers is aan te merken als een door nalatigheid veroorzaakte inbreuk. Zoals hierna wordt overwogen, valt [appellante] namelijk een verwijt te maken. De Autoriteit mocht dan ook op grond van artikel 58, tweede lid, aanhef en onder i, van de AVG een boete opleggen.

4.4.    De Afdeling begrijpt het betoog van [appellante] zo dat zij de opgelegde boete van € 6.000 nog steeds onevenredig hoog acht. De Afdeling zal het boetebesluit, dat op grond van Unierecht is genomen, mede gelet op artikel 83, eerste lid, van de AVG toetsen aan het Unierechtelijke evenredigheidsbeginsel.

De Afdeling stelt vast dat de boete aanzienlijk lager is vastgesteld dan de in de Boetebeleidsregels genoemde basisboete. Met de rechtbank is zij van oordeel dat de boete in dit geval terecht niet verdergaand is gematigd. Met de omstandigheden dat [appellante] privacybeleid had, te weten een intern Handboek gegevensbescherming uit mei 2018, een interne Handleiding voor AVG-verzoeken uit 2018 en een privacy statement op de website, heeft de Autoriteit al rekening gehouden. Naar het oordeel van de Afdeling kan niet worden gezegd dat [appellante] haar privacybeleid ook op orde had. De betrokkenen hebben hun verwijderverzoeken ingediend als antwoord op de mailings die zij van recruiters ontvingen. Hoewel de Handleiding voor AVG-verzoeken  - kennelijk als vangnet voor het in het privacy statement genoemde e-mailadres [mailadres]  - in zo’n situatie voorzag, zijn de instructies om een bevestiging te sturen en de manager in te lichten om de benodigde stappen te ondernemen niet (goed) opgevolgd. Ook al is dat niet opzettelijk gebeurd, hiervan valt [appellante] wel een verwijt te maken. Uit de e-mailcorrespondentie met de drie betrokkenen, die bij het onderzoeksrapport van 3 december 2019 zijn gevoegd, blijkt dat [appellante] ook geen gevolg gaf aan herhaalde verzoeken om verwijdering en de betrokkenen bleef benaderen voor vacatures. Niet is gebleken van willekeur. Dat de Autoriteit in de praktijk op zeer uiteenlopende boetes kan uitkomen, maakt de in dit geval opgelegde boete niet onevenwichtig.

Gelet op het doel van de AVG van een doeltreffende bescherming van persoonsgegevens, acht de Afdeling de boete van € 6.000 niet onevenredig.

4.5.    Het betoog slaagt niet.

Openbaarmakingsbesluit

5.       [appellante] stelt dat zij door de openbaarmaking van het boetebesluit onevenredig zal worden benadeeld, omdat zij reputatieschade en ten gevolge daarvan financiële schade zal lijden. Ervan uitgaand dat zij voor de duur van een jaar één plaatsing per maand minder realiseert en één eigen interne vacature minder vervult, begroot [appellante] haar schade op € 300.000. De rechtbank heeft dit schadebedrag ten onrechte afgezet tegen de omzet van [appellante] in plaats van de boetehoogte. [appellante] betoogt dat de rechtbank ten onrechte de door haar aangedragen belangen afzonderlijk heeft afgewogen in plaats van samen. De reputatieschade en financiële schade moeten volgens haar zwaarder wegen dan het algemeen belang bij publicatie. [appellante] voert verder aan dat van publicatie had moeten worden afgezien op grond van de bijzondere omstandigheden die zij heeft aangedragen in het kader van het boetebesluit. De publicatie voelt als een bestraffing. [appellante] verzet zich niet tegen anonieme publicatie; daarmee kan de Autoriteit ook de gestelde doelen nastreven.

5.1.    Op 1 mei 2022 is de Wet open overheid in werking getreden. Het besluit op bezwaar tegen het openbaarmakingsbesluit dat in deze procedure ter beoordeling staat, is genomen op 4 januari 2022, dus voor 1 mei 2022. Dat betekent dat voor de beoordeling van dit geding de Wob nog van toepassing is (zie de uitspraak van de Afdeling van 15 juni 2022, ECLI:NL:RVS:2022:1699, onder 1.2).

5.2.    Zoals de Afdeling eerder heeft overwogen (onder meer de uitspraak van 13 oktober 2021, ECLI:NL:RVS:2021:2295 en de uitspraak van 10 november 2010, ECLI:NL:RVS:2010:BO3468) past bij de taak van een toezichthouder dat boetebesluiten worden gepubliceerd, zodat bekendheid wordt gegeven aan de wijze van uitvoering van deze taak en anderen worden gewaarschuwd. Ook in de situatie waarin wordt overgegaan tot een openbaarmaking uit eigen beweging op grond van artikel 8 van de Wob, moet een afweging van belangen plaatsvinden. Die afweging houdt in dit geval in dat het algemene belang dat met openbaarmaking wordt gediend, moet worden afgewogen tegen het belang van [appellante] om geen onevenredig nadeel te lijden als gevolg van de publicatie. Daarbij wordt aan het algemeen belang van openbaarmaking een groot gewicht toegekend.

5.3.    De Autoriteit heeft aan haar bevoegdheid als bedoeld in artikel 8 van de Wob invulling gegeven door de Beleidsregels openbaarmaking door de Autoriteit Persoonsgegevens vast te stellen. Ingevolge artikel 2.1 van die beleidsregels verschaft de Autoriteit uit eigen beweging informatie over het beleid, daaronder begrepen de voorbereiding en uitvoering daarvan met het oog op (i) het tijdig en afdoende informeren van het publiek over overtredingen die hen persoonlijk (kunnen) treffen en de naleving van de geconstateerde overtredingen (ii) transparantie over zijn beleid en de uitvoering daarvan, (iii) het afleggen van verantwoording over de wijze waarop de Autoriteit van zijn bevoegdheden gebruik maakt, (iv) het effectueren van het beleid van de Autoriteit. Op grond van artikel 4.1 maakt de Autoriteit handhavingsbesluiten openbaar. De Autoriteit heeft toegelicht dat de generale preventieve werking die uitgaat van de openbaarmaking van het boetebesluit groter is dan een uitleg op de website van de Autoriteit over de regeling van de gegevenswissing. Uit die werkwijze blijkt namelijk dat de Autoriteit de naleving van die regeling daadwerkelijk afdwingt. Naar het oordeel van de Afdeling heeft de Autoriteit publicatie van het boetebesluit, gelet op de door haar nagestreefde doelen van algemeen belang, op zichzelf noodzakelijk mogen achten.

Met de rechtbank ziet de Afdeling geen grond voor het oordeel dat de Autoriteit in de omstandigheden van dit geval aanleiding had moeten zien om van publicatie af te zien, of te volstaan met een geanonimiseerde publicatie. De rechtbank heeft niet uitgesloten dat het besluit tot openbaarmaking reputatieschade tot gevolg kan hebben en heeft de mogelijk te verwachten financiële schade in haar afweging betrokken. De rechtbank heeft in haar beoordeling van het onevenredige nadeel voor [appellante] terecht het gestelde schadebedrag vergeleken met de omzet van [appellante] en niet met de hoogte van de boete. Daargelaten nog of het door [appellante] gestelde schadebedrag van € 300.000 per jaar aannemelijk is, is de vermeende benadeling mede gelet op haar omzet van € 18.000.000 per jaar, die de Autoriteit heeft berekend en [appellante] niet heeft weersproken, niet onevenredig. De Afdeling begrijpt dat de mogelijke schade als gevolg van de boete voor [appellante] als een straf voelt. Dit maakt het oordeel van de rechtbank in zoverre echter niet onjuist. Verder is de Afdeling met de Autoriteit van oordeel dat het publieke belang van openbaarmaking niet voldoende kan worden gediend door een geanonimiseerde openbaarmaking. De door [appellante] genoemde belangen, bezien in samenhang met de bijzondere omstandigheden die zij in het kader van het boetebesluit heeft aangedragen, zijn naar het oordeel van de Afdeling niet als een onevenredig nadeel aan te merken.

Het betoog slaagt niet.

Conclusie en proceskosten

6.       Het hoger beroep is ongegrond. De aangevallen uitspraak moet worden bevestigd.

7.       De Autoriteit hoeft geen proceskosten te betalen.

Beslissing

De Afdeling bestuursrechtspraak van de Raad van State:

bevestigt de aangevallen uitspraak.

Aldus vastgesteld door mr. E.J. Daalder, lid van de enkelvoudige kamer, in tegenwoordigheid van mr. L.E.E. Konings, griffier.

w.g. Daalder
lid van de enkelvoudige kamer

w.g. Konings
griffier

Uitgesproken in het openbaar op 29 mei 2024

612

BIJLAGE | Wettelijk kader

Algemene Verordening Gegevensbescherming

Artikel 12 Transparante informatie, communicatie en nadere regels voor de uitoefening van de rechten van de betrokkene

1. […].

2. De verwerkingsverantwoordelijke faciliteert de uitoefening van de rechten van de betrokkene uit hoofde van de artikelen 15 tot en met 22. […].

3. De verwerkingsverantwoordelijke verstrekt de betrokkene onverwijld en in ieder geval binnen een maand na ontvangst van het verzoek krachtens de artikelen 15 tot en met 22 informatie over het gevolg dat aan het verzoek is gegeven. Afhankelijk van de complexiteit van de verzoeken en van het aantal verzoeken kan die termijn indien nodig met nog eens twee maanden worden verlengd. De verwerkingsverantwoordelijke stelt de betrokkene binnen één maand na ontvangst van het verzoek in kennis van een dergelijke verlenging. Wanneer de betrokkene zijn verzoek elektronisch indient, wordt de informatie indien mogelijk elektronisch verstrekt, tenzij de betrokkene anderszins verzoekt.

4. Wanneer de verwerkingsverantwoordelijke geen gevolg geeft aan het verzoek van de betrokkene, deelt hij deze laatste onverwijld en uiterlijk binnen één maand na ontvangst van het verzoek mee waarom het verzoek zonder gevolg is gebleven, en informeert hij hem over de mogelijkheid om klacht in te dienen bij een toezichthoudende autoriteit en beroep bij de rechter in te stellen.

5. t/m 8. […].

Artikel 17 Recht op gegevenswissing („recht op vergetelheid")

1. De betrokkene heeft het recht van de verwerkingsverantwoordelijke zonder onredelijke vertraging wissing van hem betreffende persoonsgegevens te verkrijgen en de verwerkingsverantwoordelijke is verplicht persoonsgegevens zonder onredelijke vertraging te wissen wanneer een van de volgende gevallen van toepassing is:

a) de persoonsgegevens zijn niet langer nodig voor de doeleinden waarvoor zij zijn verzameld of anderszins verwerkt;
b) de betrokkene trekt de toestemming waarop de verwerking overeenkomstig artikel 6, lid 1, punt a), of artikel 9, lid 2, punt a), berust, in, en er is geen andere rechtsgrond voor de verwerking;
c) de betrokkene maakt overeenkomstig artikel 21, lid 1, bezwaar tegen de verwerking, en er zijn geen prevalerende dwingende gerechtvaardigde gronden voor de verwerking, of de betrokkene maakt bezwaar tegen de verwerking overeenkomstig artikel 21, lid 2;
d) de persoonsgegevens zijn onrechtmatig verwerkt;
e) de persoonsgegevens moeten worden gewist om te voldoen aan een in het Unierecht of het lidstatelijke recht neergelegde wettelijke verplichting die op de verwerkingsverantwoordelijke rust;
f) de persoonsgegevens zijn verzameld in verband met een aanbod van diensten van de informatiemaatschappij als bedoeld in artikel 8, lid 1.

2. en 3. […].

Artikel 58 Bevoegdheden

1. […].

2. Elk toezichthoudende autoriteit heeft alle volgende bevoegdheden tot het nemen van corrigerende maatregelen:

a) de verwerkingsverantwoordelijke of de verwerker waarschuwen dat met de voorgenomen verwerkingen waarschijnlijk inbreuk op bepalingen van deze verordening wordt gemaakt;
b) de verwerkingsverantwoordelijke of de verwerker berispen wanneer met verwerkingen inbreuk op bepalingen van deze verordening is gemaakt;
c) de verwerkingsverantwoordelijke of de verwerker gelasten de verzoeken van de betrokkene tot uitoefening van zijn rechten uit hoofde van deze verordening in te willigen;
d) t/m f) […];
g) het rectificeren of wissen van persoonsgegevens of het beperken van verwerking uit hoofde van de artikelen 16, 17 en 18 gelasten, alsmede de kennisgeving van dergelijke handelingen aan ontvangers aan wie de persoonsgegevens zijn verstrekt, overeenkomstig artikel 17, lid 2, en artikel 19;
h) […];
i) naargelang de omstandigheden van elke zaak, naast of in plaats van de in dit lid bedoelde maatregelen, een administratieve geldboete opleggen op grond van artikel 83; en
j) […].

3. t/m 6. […].

Artikel 83 Algemene voorwaarden voor het opleggen van administratieve geldboeten

1. Elke toezichthoudende autoriteit zorgt ervoor dat de administratieve geldboeten die uit hoofde van dit artikel worden opgelegd voor de in de leden 4, 5 en 6 vermelde inbreuken op deze verordening in elke zaak doeltreffend, evenredig en afschrikkend zijn.

2. Administratieve geldboeten worden, naargelang de omstandigheden van het concrete geval, opgelegd naast of in plaats van de in artikel 58, lid 2, onder a) tot en met h) en onder j), bedoelde maatregelen. Bij het besluit over de vraag of een administratieve geldboete wordt opgelegd en over de hoogte daarvan wordt voor elk concreet geval naar behoren rekening gehouden met het volgende:

a) de aard, de ernst en de duur van de inbreuk, rekening houdend met de aard, de omvang of het doel van de verwerking in kwestie alsmede het aantal getroffen betrokkenen en de omvang van de door hen geleden schade;
b) de opzettelijke of nalatige aard van de inbreuk;
c) de door de verwerkingsverantwoordelijke of de verwerker genomen maatregelen om de door betrokkenen geleden schade te beperken;
d) de mate waarin de verwerkingsverantwoordelijke of de verwerker verantwoordelijk is gezien de technische en organisatorische maatregelen die hij heeft uitgevoerd overeenkomstig de artikelen 25 en 32;
e) eerdere relevante inbreuken door de verwerkingsverantwoordelijke of de verwerker;
f) de mate waarin er met de toezichthoudende autoriteit is samengewerkt om de inbreuk te verhelpen en de mogelijke negatieve gevolgen daarvan te beperken;
g) de categorieën van persoonsgegevens waarop de inbreuk betrekking heeft;
h) de wijze waarop de toezichthoudende autoriteit kennis heeft gekregen van de inbreuk, met name of, en zo ja in hoeverre, de verwerkingsverantwoordelijke of de verwerker de inbreuk heeft gemeld;
i) de naleving van de in artikel 58, lid 2, genoemde maatregelen, voor zover die eerder ten aanzien van de verwerkingsverantwoordelijke of de verwerker in kwestie met betrekking tot dezelfde aangelegenheid zijn genomen;
j) het aansluiten bij goedgekeurde gedragscodes overeenkomstig artikel 40 of van goedgekeurde certificeringsmechanismen overeenkomstig artikel 42; en
k) elke andere op de omstandigheden van de zaak toepasselijke verzwarende of verzachtende factor, zoals gemaakte financiële winsten, of vermeden verliezen, die al dan niet rechtstreeks uit de inbreuk voortvloeien.

3. Indien een verwerkingsverantwoordelijke of een verwerker opzettelijk of uit nalatigheid met betrekking tot dezelfde of daarmee verband houdende verwerkingsactiviteiten een inbreuk pleegt op meerdere bepalingen van deze verordening, is de totale geldboete niet hoger dan die voor de zwaarste inbreuk.

4. […].

5. Inbreuken op onderstaande bepalingen zijn overeenkomstig lid 2 onderworpen aan administratieve geldboeten tot 20 000 000 EUR of, voor een onderneming, tot 4 % van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is:

a) de basisbeginselen inzake verwerking, met inbegrip van de voorwaarden voor toestemming, overeenkomstig de artikelen 5, 6, 7 en 9;
b) de rechten van de betrokkenen overeenkomstig de artikelen 12 tot en met 22;

c) t/m e) […].

6. t/m 9. […].

Wet openbaarheid van bestuur

Artikel 8

1. Het bestuursorgaan dat het rechtstreeks aangaat, verschaft uit eigen beweging informatie over het beleid, de voorbereiding en de uitvoering daaronder begrepen, zodra dat in het belang is van een goede en democratische bestuursvoering.

2. […].

Artikel 10

1 Het verstrekken van informatie ingevolge deze wet blijft achterwege voor zover dit:

a. de eenheid van de Kroon in gevaar zou kunnen brengen;
b. de veiligheid van de Staat zou kunnen schaden;
c. bedrijfs- en fabricagegegevens betreft, die door natuurlijke personen of rechtspersonen vertrouwelijk aan de overheid zijn meegedeeld;
d. persoonsgegevens betreft als bedoeld in de artikelen 9, 10 en 87 van de Algemene verordening gegevensbescherming, tenzij de verstrekking kennelijk geen inbreuk op de persoonlijke levenssfeer maakt.

2. Het verstrekken van informatie ingevolge deze wet blijft eveneens achterwege voor zover het belang daarvan niet opweegt tegen de volgende belangen:

a. de betrekkingen van Nederland met andere staten en met internationale organisaties;
b. de economische of financiële belangen van de Staat, de andere publiekrechtelijke lichamen of de in artikel 1a, onder c en d, bedoelde bestuursorganen;
c. de opsporing en vervolging van strafbare feiten;
d. inspectie, controle en toezicht door bestuursorganen;
e. de eerbiediging van de persoonlijke levenssfeer;
f. het belang, dat de geadresseerde erbij heeft als eerste kennis te kunnen nemen van de informatie;
g. het voorkomen van onevenredige bevoordeling of benadeling van bij de aangelegenheid betrokken natuurlijke personen of rechtspersonen dan wel van derden.

3. t/m 8. […].