Autoriteit Persoonsgegevens
Postbus 93374, 2509 AJ Den Haag
Bezuidenhoutseweg 30, 2594 AV Den Haag
T 070 8888 500 - F 088-0712140
autoriteitpersoonsgegevens.nl

Vertrouwelijk/Aangetekend
International Card Services B.V.
Postbus 23225
1100 DS DIEMEN
T.a.v. de directie

Contactpersoon
[VERTROUWELIJK]

Onderwerp
Besluit tot het opleggen van een bestuurlijke boete voor het overtreden van de Algemene Verordening
Gegevensbescherming

Geachte leden van de directie,

De Autoriteit Persoonsgegevens (AP) heeft besloten om aan International Card Services B.V. (ICS) een bestuurlijke boete van € 150.000,- (zegge: honderdvijftigduizend euro) op te leggen voor overtreding van artikel 35, eerste lid, van de Algemene verordening gegevensbescherming (AVG). Dit, omdat ICS heeft nagelaten een gegevensbeschermingseffectbeoordeling (Data Protection Impact Assessment; hierna: DPIA) uit te voeren.

In dit besluit wordt de bestuurlijke boete toegelicht. Hiertoe wordt achtereenvolgens ingegaan op de aanleiding en het procesverloop, de vastgestelde feiten, de overtreding en de hoogte van de boete. Tot slot volgt het dictum.

2/20

1. Aanleiding Onderzoek 1. ICS is een onderneming gevestigd in Amsterdam en actief in het aanbieden van financiële producten in het bijzonder het uitgeven van zogenoemde debit- en creditcards.1

2. De afdeling Klantcontact en Controlerend Onderzoek van de AP heeft na signalen en klachten van consumenten over ICS een onderzoek gestart naar een mogelijke overtreding van de AVG door ICS. Die klachten en signalen zijn bij de AP ingekomen nadat ICS in 2019 is gestart met het opnieuw (online) identificeren van haar klanten met het ‘identificatie- en verificatieproces’ (ID&V).

3. Het doel van het onderzoek was het vaststellen of ICS de regels neergelegd in artikel 35 AVG naleefde, toen zij in voorbereiding op het ID&V-proces geen DPIA uitvoerde.

2. Bevindingen onderzoeksrapport en procesverloop 4. De bevindingen van het onderzoek zijn neergelegd in een rapport.2 Daaruit volgt dat bij de invoering van ID&V sprake was van een verwerking van persoonsgegevens die waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. ICS had dan ook voorafgaand aan de verwerking een DPIA moeten uitvoeren. In het rapport is geconcludeerd dat ICS heeft nagelaten een DPIA uit te voeren. Daarmee heeft zij in strijd gehandeld met artikel 35, eerste lid, AVG, aldus het rapport.

5. Het rapport is op 23 juni 2022 ondertekend en op 7 juli 2022 aan ICS verzonden.3 ICS heeft op 14 september 2022 een zienswijze op het rapport gegeven. Op 20 oktober 2022 heeft ICS haar zienswijze mondeling toegelicht.

6. De AP heeft op 2 december 2022 en op 13 februari 2023 nog schriftelijke vragen aan ICS gesteld, waarop ICS op 21 december 2022 respectievelijk op 24 maart 2023 heeft gereageerd.

3. Juridisch kader 7. Voor een betere leesbaarheid van dit besluit is het relevante juridische kader in bijlage 1 opgenomen. Het juridische kader maakt onderdeel uit van dit besluit.

1 Bijlage 21 bij het onderzoeksrapport:. 2 Onderzoeksrapport van 23 juni 2022. 3 Dossierstuk 1.

3/20

4. Zienswijze ICS 8. ICS heeft de volgende zienswijze op het rapport gegeven.

9. ICS heeft een uitgebreid risicoproces ingericht, genaamd Change Risk Assessment (CRA-proces). Met het CRA-proces worden risico’s in kaart gebracht, gemitigeerd en gemonitord. Een Privacy Impact Assessment is onderdeel van het CRA-proces en wanneer daartoe aanleiding is, wordt een DPIA uitgevoerd.

10. ICS is een 100%-dochteronderneming van ABN AMRO. ABN AMRO maakt sinds 2015 gebruik van een applicatie van Mitek Systems B.V. (Mitek-app), om de identiteit van haar klanten vast te stellen. ABN AMRO maakt ook gebruik van het CRA-proces om risico’s te analyseren en voor het gebruik van Mitek-app heeft ABN AMRO een uitgebreide analyse gedaan van het gebruik van de Mitek-app. ICS heeft van dezelfde techniek gebruik gemaakt om haar klanten opnieuw te identificeren. Voor ICS was er geen aanleiding om opnieuw een analyse uit te voeren, omdat ABN AMRO al eerder een analyse heeft uitgevoerd.

11. ICS voert voorts aan dat zij heeft onderzocht of aanvullende maatregelen in het CRA-proces opgenomen moeten worden voor ID&V. Daarbij is in een vroeg stadium een Privacy Officer betrokken geweest en zijn de aard en het doel van ID&V bepaald. Ook is vastgesteld welke persoonsgegevens worden verwerkt, wie toegang heeft tot deze persoonsgegevens, welke bewaartermijnen daarvoor gelden, of er sprake is van doorgifte buiten de EU en de maatregelen die voor deze doorgifte zijn getroffen.

12. Bovendien, zo stelt ICS, was bij de invoering van ID&V geen sprake van een hoog risico van misbruik van persoonsgegevens. De persoonsidentificerende gegevens die bij ID&V worden gebruikt, zijn niet inherent gevoelig en noodzakelijk om aan de wettelijke vereisten te voldoen. Bij verwerking van het burgerservicenummer geldt het zwaarste beveiligingsniveau dat mede gebaseerd is op wetgeving uit de financiële sector. Verder worden bij samenwerking met derden strenge eisen gesteld aan de encryptie, het gebruik van beveiligde verbindingen, het uitvoeren van penetratietesten en aan de auditeisen voor controle van persoonsgegevens.

13. ICS heeft erkend dat bij de PIA-triage van 28 augustus 2018 ten onrechte de conclusie is getrokken dat er geen sprake was van grootschalige verwerking van persoonsgegevens. Het PIA-formulier is sinds 2020 aangepast zodat een dergelijke fout zich niet meer zal voordoen.

14. Volgens ICS is tussen haar klanten en ICS geen sprake van machtongelijkheid. ICS is namelijk wettelijk verplicht om haar klanten te identificeren, de klanten hebben de mogelijkheid om zich niet-digitaal te identificeren en een creditcard is geen essentiële betaaldienst.

4/20

15. De Functionaris Gegevensbescherming (FG) van ICS is via de Privacy Officer indirect betrokken geweest bij gegevensbeschermingsrisico’s. ICS heeft deze omstandigheid eerder niet helder gecommuniceerd.

16. Het Besluit inzake lijst van verwerkingen van persoonsgegevens waarvoor een DPIA verplicht is, geeft een aantal criteria en van slechts één criterium, namelijk grootschalige verwerking, is volgens ICS in dit geval sprake. Om de conclusie te kunnen trekken dat een verwerking waarschijnlijk een hoog risico voor de betrokkenen oplevert, moet sprake zijn van twee elementen die in het Besluit worden genoemd. Nu daarvan geen sprake is geweest, was ICS ook niet verplicht om een DPIA uit te voeren. Daarnaast is genoemd besluit gepubliceerd na de start van de invoering van ID&V.

5. Beoordeling 5.1 Verwerkingsverantwoordelijke en bevoegdheid AP 17. Vaststaat en niet in geschil is dat ICS verwerkingsverantwoordelijke is (artikel 4, aanhef en onder 7, AVG). en dat de AP de bevoegde toezichthoudende autoriteit is (artikel 56, eerste lid, AVG).

5.2 Verplichting tot uitvoering DPIA

18. Uit de AVG volgt, samengevat, dat een DPIA moet worden uitgevoerd voorafgaand aan een verwerking wanneer die verwerking waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen (artikel 35, eerste lid, AVG).

19. In de Richtsnoeren WP 248 rev. 014 (hierna: de Richtsnoeren) is omschreven welke criteria er gelden bij de vraag of een DPIA moet worden uitgevoerd. De AP heeft gelet op de bepalingen in de AVG (artikel 35) en gelet op genoemde Richtsnoeren het Besluit5 inzake lijst van verwerkingen van persoonsgegevens vastgesteld (het Besluit). In dat besluit is onder andere bepaald dat voor de verwerking van biometrische gegevens een DPIA verplicht is.

20. Niet in geschil is dat ICS in 2018 voorafgaand aan de invoering van ID&V geen DPIA heeft uitgevoerd. De verplichting tot het uitvoeren van een DPIA vloeit rechtstreeks voort uit artikel 35, eerste lid, AVG gelezen in samenhang met eerdergenoemde Richtsnoeren. De omstandigheid dat het Besluit eerst op 27 november 2019 door de AP is vastgesteld en gepubliceerd, betekent niet dat ICS om die reden geen DPIA had moeten uit voeren. Het Besluit bevat vereisten die ook in de AVG en de Richtsnoeren zijn genoemd en daaruit voortvloeien.

4 Richtsnoeren voor gegevensbeschermingseffectbeoordelingen en bepaling of een verwerking “waarschijnlijk een hoog risico inhoudt” in de zin van de Verordening 2016/679 (WP 248 rev. 01). De EDPB heeft deze Richtsnoeren bekrachtigd. 5 Besluit lijst verwerkingen persoonsgegeven waarvoor een gegevensbeschermingseffectbeoordeling (DPIA) verplicht is, van de Autoriteit Persoonsgegevens van 19 november 2019, Stcrt. 2019, 64418. Dit besluit is gebaseerd op de AVG en op de Richtsnoeren WP 248 rev. 01.

5/20

21. De eerste vraag die in dit geval moet worden beantwoord, is of er sprake is van een soort verwerking die waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Wanneer hiervan sprake is, rust op ICS de verplichting tot het uitvoeren van een DPIA voorafgaand aan de invoering van ID&V.

22. Van een verwerking die waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen is in de regel sprake wanneer aan twee (van de negen) criteria wordt voldaan die in de Richtsnoeren zijn opgesomd. In dit geval is sprake van drie criteria die in de Richtsnoeren zijn opgesomd. Het gaat om: 1) gevoelige gegevens of gegevens van zeer persoonlijke aard; 2) op grote schaal verwerkte gegevens; en 3) gegevens met betrekking tot kwetsbare betrokkenen.

23. Gebleken is dat voor ID&V de voor- en achternaam, geboortedatum, geboorteplaats, adresgegevens, e-mailadres, het telefoonnummer, geslacht, BSN, nummer van het ID-document alsmede de foto daarin en een (liveness)foto van een betrokkene worden verwerkt.6 Deze persoonsgegevens zijn, zo volgt uit de Richtsnoeren7 samen aan te merken als gevoelige gegevens en gegevens van zeer persoonlijke aard.

24. Verder is gebleken dat ICS circa 1,5 miljoen klanten in Nederland heeft die zich opnieuw hebben moeten identificeren en waarvan ICS de gegevens zo lang bewaart als een betrokkene klant blijft bij ICS.8 Dit betekent naar het oordeel van de AP dat ook sprake is van grootschalige verwerking van persoonsgegevens.

25. Anders dan in het onderzoeksrapport is beschreven, is de AP bij nadere bestudering van de feiten van oordeel dat in dit geval geen sprake van kwetsbare betrokkenen waarvan de persoonsgegevens worden verwerkt. Kwetsbare betrokkenen kunnen kinderen zijn, maar ook werknemers of een deel van de bevolking dat speciale bescherming behoeft, zo volgt uit de Richtsnoeren.9 Het gaat er namelijk om dat een onevenwichtige relatie is tussen betrokkenen en de verwerkingsverantwoordelijke. ICS heeft in dat verband terecht betoogd dat een credit card geen essentieel financieel product is voor het dagelijkse leven van een betrokkene. Een credit card heeft namelijk niet de functie van een bankrekening en is daarmee niet gelijk te stellen. Dit betekent dat geen sprake is van een onevenwichtige relatie tussen ICS en haar klanten en daarom kunnen klanten van ICS niet worden aangemerkt als kwetsbare betrokkenen zoals omschreven in de Richtsnoeren. Overigens is het niet uitgesloten dat andere aanbieders van credit cards een andere werkwijze hanteren voor het identificeren van hun klanten. Zodoende beschikken betrokkenen die geïnteresseerd zijn in een credit card over de keuze om van diensten van andere aanbieders gebruik te maken.

6 Bijlage 3, p. 5, onderzoeksrapport. 7 Richtsnoeren voornoemd, p. 11. 8 Bijlage 3, p. 4, onderzoeksrapport. 9 Richtsnoeren voornoemd, p. 12.

6/20

26. Nu in ieder geval twee criteria uit de Richtsnoeren van toepassing zijn, is er sprake van een soort verwerking die waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Dit betekent dat het uitvoeren van een DPIA door ICS verplicht was.

27. Volgens ICS hoefde zij geen DPIA uit te voeren omdat met het CRA-proces risico’s van misbruik van persoonsgegevens zijn geanalyseerd en dit proces volgens ICS in zoverre gelijk te stellen is aan een DPIA. De vervolgvraag die, gelet hierop, moet worden beantwoord, is of het CRA-proces van ICS gelijk te stellen is aan een DPIA.

28. De AP oordeelt als volgt. De Richtsnoeren geven criteria voor een aanvaardbare DPIA (niet te verwarren met criteria voor de beoordeling of een DPIA moet worden uitgevoerd).10 Het is vervolgens aan een verwerkingsverantwoordelijke om een methode te kiezen waarmee aan de gestelde criteria wordt voldaan. De verwerkingsverantwoordelijke is verplicht om aan die (hoofd- en sub)criteria te voldoen. Zo moet(en):

1. een systematische beschrijving van de verwerking worden gegeven; 2. de noodzaak en evenredigheid van de verwerking worden beoordeeld; 3. de risico’s voor de rechten en vrijheden van betrokkenen worden beheerd; 4. de belanghebbenden (hun vertegenwoordigers) en de functionaris gegevensbescherming (FG) worden betrokken. Bijvoorbeeld moet het advies van de FG worden ingewonnen of moet naar de mening van betrokkenen worden gevraagd.

29. ICS heeft gebruik gemaakt van het CRA-proces van ABN-AMRO.11 Het CRA-proces van ABN-AMRO bestaat uit 22 risico’s (bedreigingen) met een bijbehorende code. Het overgrote deel van de beschreven risico’s hebben direct of indirect betrekking op fraudebestrijding en naleving van de Wet ter voorkoming van Witwassen en Financieren van Terrorisme (Wwft). Slechts drie risico’s (risk key r007, r011, r025) hebben betrekking op de bescherming van persoonsgegevens. Daarmee voldoet ICS aan één van de hoofdcriteria uit de Richtsnoeren die hiervoor in randnummer 28 zijn genoemd, namelijk het derde criterium: “beheer van risico’s voor de rechten en vrijheden van betrokkenen”. Het CRA-proces van ABN-AMRO was op de overige drie criteria onvoldoende toegespitst op de bescherming van persoonsgegevens, zodat het CRA-proces niet volledig genoeg is om aan de AVG te voldoen.

30. ICS heeft, aanvullend op het CRA-proces van ABN-AMRO, in april 2020 nog een eigen CRA-proces uitgevoerd.12 Dit CRA-proces geeft evenmin een systematische beschrijving van de verwerking. Verder is niet gebleken dat de noodzaak en evenredigheid van de verwerking is beoordeeld, in het bijzonder de maatregelen die bijdragen aan de bescherming van rechten van betrokkenen. Daarbij komt dat niet gebleken is dat belanghebbenden, hun vertegenwoordigers en evenmin de functionaris gegevensbescherming bij de verwerking zijn betrokken. Zo heeft de FG van ICS geen advies kunnen

10 Richtsnoeren voornoemd p. 28-29. 11 Bijlage 9b, onderzoeksrapport. 12 Bijlage 9a, onderzoeksrapport.

7/20

uitbrengen over het uitvoeren van een DPIA. Dit betekent dat ICS drie van de vier (hoofd)criteria voor een aanvaardbare DPIA niet heeft getoetst.

31. Uit het voorgaande volgt dat de criteria die in de Richtsnoeren worden genoemd voor een aanvaardbare DPIA niet zijn toegepast in het CRA-proces van ICS. Het CRA-proces van ICS, bezien in samenhang met dat van ABN-AMRO, zijn naar het oordeel van de AP daarom niet gelijk te stellen met een DPIA. De CRA-processen van ICS en ABN-AMRO hadden hoofdzakelijk tot doel het voorkomen en bestrijden van (identiteits)fraude en richtten zich niet (ook) specifiek tot de bescherming van persoonsgegevens.13

32. Overigens heeft de Privacy Impact Assessment triage van 18 juni 2019, als onderdeel van het CRA-proces niet erin geresulteerd dat een DPIA is uitgevoerd omdat in die triage ten onrechte niet is onderkend dat het om grootschalige verwerkingen gaat.

33. De AP is van oordeel dat ICS een DPIA had moeten uitvoeren. Door dit na te laten heeft ICS artikel 35, eerste lid, AVG overtreden. De AP ziet aanleiding een boete op te leggen.

6. Bestuurlijke boete 34. De AP is op grond van artikel 58, tweede lid, aanhef en onder i, in samenhang met artikel 83 AVG en gelezen in samenhang met artikel 14, derde lid, UAVG, bevoegd om een bestuurlijke boete op te leggen.

35. Hiervoor is in randnummer 33 geconcludeerd dat ICS ten onrechte geen DPIA heeft uitgevoerd en daarmee artikel 35, eerste lid, AVG heeft overtreden. Dit betekent dat er sprake is van één gedraging waarvoor een boete zal worden opgelegd.

6.1 Systematiek bepalen boetehoogte

36. Bij de uitoefening van de bevoegdheid om een bestuurlijke boete op te leggen, slaat de AP acht op zowel de Beleidsregels van de AP met betrekking tot het bepalen van de hoogte van bestuurlijke boetes (Stcrt. 2019, 14 586) (hierna: Boetebeleidsregels) als de Guidelines on the calculation of administrative fines under the GDPR (hierna: Richtsnoeren). 14 Dit is in overeenstemming met hetgeen is vermeld in de toelichting bij de Boetebeleidsregels over het vaststellen van gezamenlijke uitgangspunten ten aanzien van de berekening van boetes en de tijdelijke aard van het beleid van de AP hierover.

13Bijlage 3, p. 12, onderzoeksrapport. 14 Van de Richtsnoeren is thans geen Nederlandse vertaling beschikbaar. De Richtsnoeren zijn te raadplegen op < https://edpb.europa.eu/our-work-tools/general-guidance/guidelines-recommendations-best-practices_en>.

8/20

37. Het boetebedrag zal als volgt worden vastgesteld:

1. Bepalen van het startbedrag van de boete aan de hand van de Boetebeleidsregels 2019; 2. Overweging van de omstandigheden op basis van de Boetebeleidsregels; 3. Overweging van de omstandigheden op basis van de Richtsnoeren; 4. Vaststellen boetehoogte en beoordeling doeltreffendheid, evenredigheid, en afschrikking.

38. Deze onderdelen worden hierna achtereenvolgens doorlopen.

6.2 Bepalen startbedrag aan de hand van Boetebeleidsregels 2019

39. Zoals hierboven vermeld, wordt in dit geval het vertrekpunt gevormd door de toepasselijke bandbreedte van de Boetebeleidsregels. De AP houdt bij het bepalen van de hoogte van de boete, onverminderd de artikelen 3:4 en 5:46 van de Awb, rekening met de factoren genoemd in artikel 7 van de Boetebeleidsregels. Deze factoren worden ook in artikel 83, tweede lid, AVG en in de Richtsnoeren benoemd.

40. Voor een overtreding van artikel 35, eerste lid, AVG kan de AP een bestuurlijke boete opleggen tot een bedrag van €10.000.000,-. In het geval van een onderneming kan een boete opgelegd worden tot 2% van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is. De AP stelt vast dat de totale wereldwijde jaaromzet van het moederbedrijf van ICS in 2022 uitkomt op €7,841 miljard15, en dat het wettelijk boetemaximum daarom uitkomt op €156,8 miljoen.

41. Onder de Boetebeleidsregels wordt een overtreding ingedeeld in een categorie aan de hand van de overtreden bepaling, strekkend van categorie I tot en met IV. Daarbij geldt: hoe belangrijker de bepaling is voor de bescherming van persoonsgegevens, hoe hoger de categorie van overtreding. De Boetebeleidsregels stellen dat overtredingen van artikel 35, eerste lid, AVG in categorie II vallen.16 De bandbreedte van deze categorie loopt van €120.000,- tot en met €500.000,-, met een basisboete van € 310.000. Dit bedrag zal als uitgangspunt worden genomen voor de verdere berekening van de uiteindelijke boete, na overweging van de relevante factoren.

6.3 Overweging van de omstandigheden op basis van de Boetebeleidsregels

42. Bij het vaststellen van de hoogte van de boete worden de relevante omstandigheden in dit geval beoordeeld aan de hand van de factoren die in artikel 7 Boetebeleidsregels zijn benoemd.

15 Een berekening aan de aan hand van de wereldwijde omzet van €7,841 miljard van ABN-AMRO , als moederbedrijf van ICS. Zie blijkens het Geïntegreerd Jaarverslag ABN-AMRO 2022, p.237. 16 Zie Boetebeleidsregels 2019, bijlage 1.

9/20

43. Eén van deze factoren is de ernst van de overtreding. Bij het bepalen daarvan wordt in ieder geval rekening gehouden met de aard, ernst en duur van de inbreuk. Andere omstandigheden waarmee in ieder geval rekening wordt gehouden, zijn de betrokken categorieën van persoonsgegevens en of er sprake is van een inbreuk die qua aard opzettelijk of nalatig is.

44. Daartoe is het volgende relevant. De verplichting tot het uitvoeren van een DPIA is bedoeld om het proces van verwerking van persoonsgegevens te beschrijven, zodat niet alleen de noodzaak en de evenredigheid van de verwerking in kaart worden gebracht, maar ook de risico’s voor de rechten en vrijheden van betrokkenen bij de verwerking van persoonsgegevens. Het niet uitvoeren van een DPIA is daarmee op zichzelf (dus) al een overtreding van de AVG, terwijl het bovendien de kans vergroot op nieuwe overtredingen van de AVG omdat risico’s op mogelijke (andere) inbreuken van de AVG niet tijdig worden onderkend.

45. Voor het bepalen van de ernst van de overtreding is verder relevant dat ICS persoonsgegevens van een groot aantal betrokkenen verwerkt, namelijk 1,5 miljoen klanten. Dit gegeven draagt bij aan de ernst van de overtreding. De AP heeft de persoonsgegevens die ICS heeft verwerkt, aangemerkt als gevoelige gegevens en gegevens van zeer persoonlijke aard. Tegelijkertijd houdt de AP rekening met de omstandigheid dat ICS het proces van her-identificatie van haar klanten is gestart op grond van een verplichtingen die voortvloeit uit de Wwft. Bij het voldoen daaraan is het de AP niet gebleken dat ICS bedoelde DPIA opzettelijk niet heeft uitgevoerd. Van nalatigheid is naar het oordeel van de AP wel sprake. Het niet uitvoeren van een DPIA is te wijten aan een verkeerde inschatting van ICS. Zij heeft fraudebestrijding en de naleving van Wwft als leidende uitgangspunten gehanteerd, maar in dat verband had ICS ook de naleving van de AVG zelfstandig dienen te beoordelen. De AP weegt het element nalatigheid in dit geval als “neutraal”, omdat niet kan worden gezegd dat ICS door het niet-uitvoeren van een DPIA in het geheel niet compliant is geweest, in welk verband de AP betekenis toekent aan de omstandigheid dat ICS bij de toepassing van het CRA-proces wel voldoet aan één van de hoofdcriteria uit eerdergenoemde Richtsnoeren voor een aanvaardbare DPIA, namelijk het beheer van risico’s voor de rechten en vrijheden van betrokkenen. Door ICS is in zoverre dus wel (enige) aandacht geschonken aan voornoemde risico’s die aan de orde kunnen komen bij de verwerking van persoonsgegevens.

46. Vastgesteld is dat ICS ten onrechte geen DPIA heeft uitgevoerd. Ter bepaling van de ernst van de overtreding neemt de AP wél in aanmerking de omstandigheid dat ICS het eerdergenoemde CRA-proces heeft uitgevoerd bij de start van het opnieuw identificeren van haar klanten. Onderdeel van dat proces is, zoals ICS in haar zienswijze naar voren heeft gebracht, een Privacy Impact Assessment, waarbij een Privacy Officer is betrokken. Bij dat assessment is vastgesteld welke persoonsgegevens worden verwerkt, wie toegang heeft tot deze persoonsgegevens, welke bewaartermijnen daarvoor gelden en of er sprake is van doorgifte buiten de EU en de maatregelen die voor deze doorgifte zijn getroffen. ICS heeft, zoals de AP ook hiervoor heeft overwogen, wel oog gehad voor de risico’s voor de rechten en vrijheden van betrokkenen bij de verwerking van persoonsgegevens, maar heeft in onvoldoende mate onderkend dat dit had moeten leiden tot het uitvoeren van een DPIA.

10/20

47. De AP heeft de overige omstandigheden als genoemd artikel 7, aanhef en onder k, Boetebeleidsregels in overweging genomen. De AP heeft als overige omstandigheden meegenomen het lange tijdsbestek tussen het publiceren van het onderzoeksrapport en het uitvaardigen van een handhavingsbesluit. Dit onderdeel is als verzachtende factor aangemerkt ten aanzien van de boetehoogte.

48. Verder is niet gebleken van overige omstandigheden die in artikel 7 Boetebeleidsregels worden genoemd en zich ten aanzien van de inbreuk door ICS, hebben voorgedaan.

49. Voorgaande omstandigheden in aanmerking nemende, is de AP van oordeel dat in dit geval de ernst van deze inbreuk op een laag niveau moet worden gekwalificeerd.

6.4 Overweging van de omstandigheden op basis van de Richtsnoeren

50. Het Europees Comité voor Gegevensbescherming heeft op 24 mei 2023 de definitieve tekst vastgesteld van de Richtsnoeren. Zoals hierboven vermeld heeft de EDPB gezamenlijke uitgangspunten vastgesteld ten aanzien van de berekening van boetes wegens overtredingen van de AVG.

51. De Richtsnoeren beschrijven een methodiek waarbij achtereenvolgens wordt bezien:

1. Welke en hoeveel handelingen en inbreuken ter beoordeling voorliggen; 2. Welk startbedrag het uitgangspunt vormt bij de berekening van de boete hiervoor; 3. Of zich verzachtende of verzwarende omstandigheden voordoen die nopen tot aanpassing van het bedrag uit stap 2; 4. Welke maximumbedragen gelden voor de overtredingen en of eventuele verhogingen uit de vorige stap dit bedrag niet te boven gaan; 5. Of het uiteindelijke bedrag van de berekende boete voldoet aan de vereisten van effectiviteit, afschrikking en proportionaliteit, en zo nodig daaraan wordt aangepast.

52. Het aantal handelingen die inbreuken op de AVG tot gevolg hadden en het startbedrag voor boeteberekening zijn al gekwalificeerd onder paragraaf 6.2.

53. Evenals de Boetebeleidsregels, schrijven de Richtsnoeren voor dat de AP nagaat of er verzachtende of verzwarende omstandigheden zijn die kunnen leiden tot een aanpassing in de kwalificatie van de inbreuk. Dit dient te geschieden aan de hand van de omstandigheden die zijn vermeld in artikel 83, tweede lid, aanhef en onder a tot en met k, AVG.

11/20

54. Allereerst dient aandacht te worden besteed aan de zwaarte van de inbreuk.17 Hierbij wordt rekening gehouden met de aard, ernst en duur van de inbreuk, evenals de opzettelijke of nalatige aard van de inbreuk en de categorieën van de verwerkte persoonsgegevens. In randnummers 43 tot en met 46 zijn deze factoren al besproken. Dat heeft ertoe geleid dat in randnummer 49, de ernst van de inbreuk als niet laag wordt gekwalificeerd.

55. De Richtsnoeren schrijven voor dat uit oogpunt van billijkheid de grootte van de onderneming in acht moet worden genomen bij de berekening de boetehoogte. De grootte van de onderneming wordt bepaald aan de hand van de omzet. Volgens de jurisprudentie18 van het Hof van Justitie van de Europese Unie moet de omzet van de gehele groep worden gebruikt voor het vaststellen van de bovengrens van de boete. ICS is een volledige dochteronderneming van ABN-AMRO. Daarom zal de grootte van de onderneming worden bepaald aan de hand van de wereldwijde omzet van ABN-AMRO.19 ABN-AMRO heeft in 2022 een omzet behaald van €7,841 miljard. Aangezien de omzet van ABN-AMRO hoger is dan €156,8 miljoen, schrijft de AVG een maximale boetehoogte van 2% van de totale wereldwijde jaaromzet voor.20

56. Vervolgens schrijven de Richtsnoeren voor dat de overige omstandigheden uit artikel 83 AVG in acht worden genomen. Zoals reeds vermeld zijn de onderdelen c tot en met f en de onderdelen h tot en met j van artikel 7 van de Boetebeleidsregels niet relevant bevonden in het geval van ICS. Deze onderdelen komen overeen met de voorgeschreven onderdelen die in acht moeten worden genomen onder de Richtsnoeren en zijn daarom niet relevant in de zaak van ICS.

57. De AP heeft de overige omstandigheden als genoemd artikel 7, aanhef en onder k, Boetebeleidsregels in overweging genomen. Deze bepaling komt overeen met artikel 83, tweede lid aanhef en onder k, AVG. De AP heeft als overige omstandigheden meegenomen het lange tijdsbestek tussen het publiceren van het onderzoeksrapport en het uitvaardigen van een handhavingsbesluit. Dit onderdeel is onder paragraaf 6.2 aangemerkt als verzachtend ten aanzien van de boetehoogte.

6.5 Vastellen boetehoogte en beoordeling doeltreffendheid, evenredigheid, en afschrikking

58. In dit geval zal de hoogte van de boete evenwel worden bepaald met toepassing van de basisboete uit de betreffende categorie van de Boetebeleidsregels. Overigens en zoals hiervoor is geschetst, zal in dit concrete geval de hoogte van de boete op grond van zowel de Boetebeleidsregels als de Richtsnoeren, tot dezelfde uitkomst leiden.

59. Het gaat in dit geval om een overtreding waarbij categorie II van de Boetebeleidsregels van toepassing is. De boetebandbreedte bij categorie II bedraagt tussen €120.000,- en €500.000,-.

17 Richtsnoeren, p. 17. 18 Groupe Gascogne SA/Europese Commissie (Zaak C-58/12P, arrest van 26 november 2013), ECLI:EU:C:2013:770, § 52-57. 19 Een berekening aan de aan hand van de wereldwijde omzet van €7,841 miljard van ABN-AMRO , als moederbedrijf van ICS. Zie blijkens het Geïntegreerd Jaarverslag ABN-AMRO 2022, p.237. 20 Zie artikel 83 lid 5 van de AVG.

12/20

60. Tot slot moet worden beoordeeld of de boete doeltreffend, evenredig en afschrikkend is. Op grond van artikel 49 van het Handvest van de grondrechten van de EU mag de bestuurlijke boete, gezien de omstandigheden van het concrete geval, niet tot een onevenredige uitkomst leiden. Dit is ook neergelegd in de artikelen 3:4 en 5:46, tweede lid, Awb.

61. Op grond van artikel 83, vijfde lid, aanhef en onder b, AVG kan de AP voor de hierboven beschreven overtredingen een bestuurlijke boete opleggen. Het doel met het opleggen van een bestuurlijke boete kan zijn gelegen in enerzijds het bestraffen van onrechtmatige gedragingen en anderzijds het bevorderen van naleving van de geldende voorschriften.

62. Gelet op de aard, ernst en de duur van de inbreuk, alsmede de overige factoren uit artikel 83, tweede lid, AVG zoals beoordeeld in dit hoofdstuk, heeft het opleggen van een bestuurlijke boete onder deze omstandigheden doeltreffende en afschrikkende werking. Er is verder niet gebleken dat de overtreding ICS niet kan worden verweten.

63. Gelet op alle hiervoor genoemde omstandigheden komt de AP tot de conclusie een boete van €150.000,- voor een overtreding van het niet uitvoeren van een DPIA (artikel 35, eerste, AVG), in dit geval passende en geboden is.

7. Dictum 64. De AP legt aan International Card Services B.V. wegens overtreding van artikel 35, eerste lid, AVG een bestuurlijke boete op ten bedrage van op €150.000,- (zegge: honderdvijftigduizend euro).21

Hoogachtend, Autoriteit Persoonsgegevens,

w.g.

mr. A. Wolfsen Voorzitter

21 De AP zal voornoemde vordering uit handen geven aan het Centraal Justitieel Incassobureau (CJIB).

13/20

Rechtsmiddelenclausule Indien u het niet eens bent met dit besluit kunt u binnen zes weken na de datum van verzending van het besluit digitaal of op papier een bezwaarschrift indienen bij de Autoriteit Persoonsgegevens. Ingevolge artikel 38 van de UAVG schort het indienen van een bezwaarschrift de werking van de beschikking tot oplegging van de bestuurlijke boete op. De AP zal pas tot invordering overgaan, nadat het besluit onherroepelijk is geworden. Voor het indienen van digitaal bezwaar, zie www.autoriteitpersoonsgegevens.nl, onder het kopje Bezwaar maken tegen een besluit, onderaan de pagina onder de kop Contact met de Autoriteit Persoonsgegevens. Het adres voor het indienen op papier is: Autoriteit Persoonsgegevens, postbus 93374, 2509 AJ Den Haag. Vermeld op de envelop ‘Awb-bezwaar’ en zet in de titel van uw brief ‘bezwaarschrift’. Schrijf in uw bezwaarschrift ten minste: - uw naam en adres; - de datum van uw bezwaarschrift; - het in deze brief genoemde kenmerk (zaaknummer); of een kopie van dit besluit bijvoegen; - de reden(en) waarom u het niet eens bent met dit besluit; - uw handtekening.

14/20

Bijlage 1

Algemene verordening gegevensbescherming Artikel 4 Definities Voor de toepassing van deze verordening wordt verstaan onder: 1) „persoonsgegevens": alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene"); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon; […] Artikel 9 Verwerking van bijzondere categorieën van persoonsgegevens 1. Verwerking van persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid zijn verboden. 2. Lid 1 is niet van toepassing wanneer aan een van de onderstaande voorwaarden is voldaan: a) de betrokkene heeft uitdrukkelijke toestemming gegeven voor de verwerking van die persoonsgegevens voor een of meer welbepaalde doeleinden, behalve indien in Unierecht of lidstatelijk recht is bepaald dat het in lid 1 genoemde verbod niet door de betrokkene kan worden opgeheven; b) de verwerking is noodzakelijk met het oog op de uitvoering van verplichtingen en de uitoefening van specifieke rechten van de verwerkingsverantwoordelijke of de betrokkene op het gebied van het arbeidsrecht en het socialezekerheids- en socialebeschermingsrecht, voor zover zulks is toegestaan bij Unierecht of lidstatelijk recht of bij een collectieve overeenkomst op grond van lidstatelijk recht die passende waarborgen voor de grondrechten en de fundamentele belangen van de betrokkene biedt; c) de verwerking is noodzakelijk ter bescherming van de vitale belangen van de betrokkene of van een andere natuurlijke persoon indien de betrokkene fysiek of juridisch niet in staat is zijn toestemming te geven;

15/20

d) de verwerking wordt verricht door een stichting, een vereniging of een andere instantie zonder winstoogmerk die op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied werkzaam is, in het kader van haar gerechtvaardigde activiteiten en met passende waarborgen, mits de verwerking uitsluitend betrekking heeft op de leden of de voormalige leden van de instantie of op personen die in verband met haar doeleinden regelmatig contact met haar onderhouden, en de persoonsgegevens niet zonder de toestemming van de betrokkenen buiten die instantie worden verstrekt; e) de verwerking heeft betrekking op persoonsgegevens die kennelijk door de betrokkene openbaar zijn gemaakt; f) de verwerking heeft betrekking op persoonsgegevens die kennelijk door de betrokkene openbaar zijn gemaakt; g) de verwerking is noodzakelijk om redenen van zwaarwegend algemeen belang, op grond van Unierecht of lidstatelijk recht, waarbij de evenredigheid met het nagestreefde doel wordt gewaarborgd, de wezenlijke inhoud van het recht op bescherming van persoonsgegevens wordt geëerbiedigd en passende en specifieke maatregelen worden getroffen ter bescherming van de grondrechten en de fundamentele belangen van de betrokkene; h) de verwerking is noodzakelijk voor doeleinden van preventieve of arbeidsgeneeskunde, voor de beoordeling van de arbeidsgeschiktheid van de werknemer, medische diagnosen, het verstrekken van gezondheidszorg of sociale diensten of behandelingen dan wel het beheren van gezondheidszorgstelsels en -diensten of sociale stelsels en diensten, op grond van Unierecht of lidstatelijk recht, of uit hoofde van een overeenkomst met een gezondheidswerker en behoudens de in lid 3 genoemde voorwaarden en waarborgen; i) de verwerking is noodzakelijk om redenen van algemeen belang op het gebied van de volksgezondheid, zoals bescherming tegen ernstige grensoverschrijdende gevaren voor de gezondheid of het waarborgen van hoge normen inzake kwaliteit en veiligheid van de gezondheidszorg en van geneesmiddelen of medische hulpmiddelen, op grond van Unierecht of lidstatelijk recht waarin passende en specifieke maatregelen zijn opgenomen ter bescherming van de rechten en vrijheden van de betrokkene, met name van het beroepsgeheim; j) de verwerking is noodzakelijk met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden overeenkomstig artikel 89, lid 1, op grond van Unierecht of lidstatelijk recht, waarbij de evenredigheid met het nagestreefde doel wordt gewaarborgd, de wezenlijke inhoud van het recht op bescherming van persoonsgegevens wordt geëerbiedigd en passende en specifieke maatregelen worden getroffen ter bescherming van de grondrechten en de belangen van de betrokkene. 3. De in lid 1 bedoelde persoonsgegevens mogen worden verwerkt voor de in lid 2, punt h), genoemde doeleinden wanneer die gegevens worden verwerkt door of onder de verantwoordelijkheid van een beroepsbeoefenaar die krachtens Unierecht of lidstatelijk recht of krachtens door nationale bevoegde instanties vastgestelde regels aan het beroepsgeheim is gebonden, of door een andere persoon die eveneens krachtens Unierecht of lidstatelijk recht of krachtens door nationale bevoegde instanties vastgestelde regels tot geheimhouding is gehouden.

16/20

4. De lidstaten kunnen bijkomende voorwaarden, waaronder beperkingen, met betrekking tot de verwerking van genetische gegevens, biometrische gegevens of gegevens over gezondheid handhaven of invoeren.

Artikel 35 Gegevensbeschermingseffectbeoordeling 1. Wanneer een soort verwerking, in het bijzonder een verwerking waarbij nieuwe technologieën worden gebruikt, gelet op de aard, de omvang, de context en de doeleinden daarvan waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen voert de verwerkingsverantwoordelijke vóór de verwerking een beoordeling uit van het effect van de beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens. Eén beoordeling kan een reeks vergelijkbare verwerkingen bestrijken die vergelijkbare hoge risico’s inhouden. 2. Wanneer een functionaris voor gegevensbescherming is aangewezen, wint de verwerkingsverantwoordelijke bij het uitvoeren van een gegevensbeschermingseffectbeoordeling diens advies in. 3. Een gegevensbeschermingseffectbeoordeling als bedoeld in lid 1 is met name vereist in de volgende gevallen: a) een systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen, die is gebaseerd op geautomatiseerde verwerking, waaronder profilering, en waarop besluiten worden gebaseerd waaraan voor de natuurlijke persoon rechtsgevolgen zijn verbonden of die de natuurlijke persoon op vergelijkbare wijze wezenlijk treffen; b) grootschalige verwerking van bijzondere categorieën van persoonsgegevens als bedoeld in artikel 9, lid 1, of van gegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 10; of c) stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten. […] Artikel 58 Bevoegdheden […] 2. Elk toezichthoudende autoriteit heeft alle volgende bevoegdheden tot het nemen van corrigerende maatregelen: […] i) naargelang de omstandigheden van elke zaak, naast of in plaats van de in dit lid bedoelde maatregelen, een administratieve geldboete opleggen op grond van artikel 83;

17/20

[…] Artikel 83 Algemene voorwaarden voor het opleggen van administratieve geldboeten 1. Elke toezichthoudende autoriteit zorgt ervoor dat de administratieve geldboeten die uit hoofde van dit artikel worden opgelegd voor de in de leden 4, 5 en 6 vermelde inbreuken op deze verordening in elke zaak doeltreffend, evenredig en afschrikkend zijn. 2. Administratieve geldboeten worden, naargelang de omstandigheden van het concrete geval, opgelegd naast of in plaats van de in artikel 58, lid 2, onder a) tot en met h) en onder j), bedoelde maatregelen. Bij het besluit over de vraag of een administratieve geldboete wordt opgelegd en over de hoogte daarvan wordt voor elk concreet geval naar behoren rekening gehouden met het volgende: a) de aard, de ernst en de duur van de inbreuk, rekening houdend met de aard, de omvang of het doel van de verwerking in kwestie alsmede het aantal getroffen betrokkenen en de omvang van de door hen geleden schade; b) de opzettelijke of nalatige aard van de inbreuk; c) de door de verwerkingsverantwoordelijke of de verwerker genomen maatregelen om de door betrokkenen geleden schade te beperken; d) de mate waarin de verwerkingsverantwoordelijke of de verwerker verantwoordelijk is gezien de technische en organisatorische maatregelen die hij heeft uitgevoerd overeenkomstig de artikelen 25 en 32; e) eerdere relevante inbreuken door de verwerkingsverantwoordelijke of de verwerker; f) de mate waarin er met de toezichthoudende autoriteit is samengewerkt om de inbreuk te verhelpen en de mogelijke negatieve gevolgen daarvan te beperken; g) de categorieën van persoonsgegevens waarop de inbreuk betrekking heeft; h) de wijze waarop de toezichthoudende autoriteit kennis heeft gekregen van de inbreuk, met name of, en zo ja in hoeverre, de verwerkingsverantwoordelijke of de verwerker de inbreuk heeft gemeld; i) de naleving van de in artikel 58, lid 2, genoemde maatregelen, voor zover die eerder ten aanzien van de verwerkingsverantwoordelijke of de verwerker in kwestie met betrekking tot dezelfde aangelegenheid zijn genomen; j) het aansluiten bij goedgekeurde gedragscodes overeenkomstig artikel 40 of van goedgekeurde certificeringsmechanismen overeenkomstig artikel 42; en k) elke andere op de omstandigheden van de zaak toepasselijke verzwarende of verzachtende factor, zoals gemaakte financiële winsten, of vermeden verliezen, die al dan niet rechtstreeks uit de inbreuk voortvloeien. 3. Indien een verwerkingsverantwoordelijke of een verwerker opzettelijk of uit nalatigheid met betrekking tot dezelfde of daarmee verband houdende verwerkingsactiviteiten een inbreuk pleegt op meerdere bepalingen van deze verordening, is de totale geldboete niet hoger dan die voor de zwaarste inbreuk.

18/20

4. Inbreuken op onderstaande bepalingen zijn overeenkomstig lid 2 onderworpen aan administratieve geldboeten tot 10 000 000 EUR of, voor een onderneming, tot 2 % van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is: a) de verplichtingen van de verwerkingsverantwoordelijke en de verwerker overeenkomstig de artikelen 8, 11, 25 tot en met 39, en 42 en 43; b) de verplichtingen van het certificeringsorgaan overeenkomstig de artikelen 42 en 43; c) de verplichtingen van het toezichthoudend orgaan overeenkomstig artikel 41, lid 4. 5. Inbreuken op onderstaande bepalingen zijn overeenkomstig lid 2 onderworpen aan administratieve geldboeten tot 20 000 000 EUR of, voor een onderneming, tot 4 % van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is: a) de basisbeginselen inzake verwerking, met inbegrip van de voorwaarden voor toestemming, overeenkomstig de artikelen 5, 6, 7 en 9; b) de rechten van de betrokkenen overeenkomstig de artikelen 12 tot en met 22; c) de doorgiften van persoonsgegevens aan een ontvanger in een derde land of een internationale organisatie overeenkomstig de artikelen 44 tot en met 49; d) alle verplichtingen uit hoofde van krachtens hoofdstuk IX door de lidstaten vastgesteldrecht; e) niet-naleving van een bevel of een tijdelijke of definitieve verwerkingsbeperking of een opschorting van gegevensstromen door de toezichthoudende autoriteit overeenkomstig artikel 58, lid 2, of niet-verlening van toegang in strijd met artikel 58, lid 1. 6. Niet-naleving van een bevel van de toezichthoudende autoriteit als bedoeld in artikel 58, lid 2, is overeenkomstig lid 2 van dit artikel onderworpen aan administratieve geldboeten tot 20 000 000 EUR of, voor een onderneming, tot 4 % van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is. 7. Onverminderd de bevoegdheden tot het nemen van corrigerende maatregelen van de toezichthoudende autoriteiten overeenkomstig artikel 58, lid 2, kan elke lidstaat regels vaststellen betreffende de vraag of en in hoeverre administratieve geldboeten kunnen worden opgelegd aan in die lidstaat gevestigde overheidsinstanties en overheidsorganen. 8. De uitoefening door de toezichthoudende autoriteit van haar bevoegdheden uit hoofde van dit artikel is onderworpen aan passende procedurele waarborgen overeenkomstig het Unierecht en het lidstatelijke recht, waaronder een doeltreffende voorziening in rechte en eerlijke rechtsbedeling. 9. Wanneer het rechtsstelsel van de lidstaat niet voorziet in administratieve geldboeten, kan dit artikel aldus worden toegepast dat geldboeten worden geïnitieerd door de bevoegde toezichthoudende autoriteit en opgelegd door bevoegde nationale gerechten, waarbij wordt gewaarborgd dat deze rechtsmiddelen doeltreffend zijn en eenzelfde effect hebben als de door toezichthoudende autoriteiten opgelegde administratieve geldboeten. De boeten zijn in elk geval doeltreffend, evenredig en afschrikkend. Die lidstaten delen de Commissie uiterlijk op 25 mei 2018 de wetgevingsbepalingen mee die zij op grond van

19/20

dit lid vaststellen, alsmede onverwijld alle latere wijzigingen daarvan en alle daarop van invloed zijnde wijzigingswetgeving.

Uitvoeringswet Algemene verordening gegevensbescherming Artikel 14 Taken en bevoegdheden AP […] 3. De Autoriteit persoonsgegevens kan in geval van overtreding van het bepaalde in artikel 83, vierde, vijfde of zesde lid, van de verordening een bestuurlijke boete opleggen van ten hoogste de in deze leden genoemde bedragen.

Algemene wet bestuursrecht Artikel 3:2 Bij de voorbereiding van een besluit vergaart het bestuursorgaan de nodige kennis omtrent de relevante feiten en de af te wegen belangen. Artikel 3:4 1. Het bestuursorgaan weegt de rechtstreeks bij het besluit betrokken belangen af, voor zover niet uit een wettelijk voorschrift of uit de aard van de uit te oefenen bevoegdheid een beperking voortvloeit. 2. De voor een of meer belanghebbenden nadelige gevolgen van een besluit mogen niet onevenredig zijn in verhouding tot de met het besluit te dienen doelen. Artikel 4:8 1. Voordat een bestuursorgaan een beschikking geeft waartegen een belanghebbende die de beschikking niet heeft aangevraagd naar verwachting bedenkingen zal hebben, stelt het die belanghebbende in de gelegenheid zijn zienswijze naar voren te brengen indien: a) de beschikking zou steunen op gegevens over feiten en belangen die de belanghebbende betreffen, en b) die gegevens niet door de belanghebbende zelf ter zake zijn verstrekt. 2. Het eerste lid geldt niet indien de belanghebbende niet heeft voldaan aan een wettelijke verplichting gegevens te verstrekken. Artikel 5:46 1. De wet bepaalt de bestuurlijke boete die wegens een bepaalde overtreding ten hoogste kan worden opgelegd.

20/20

2. Tenzij de hoogte van de bestuurlijke boete bij wettelijk voorschrift is vastgesteld, stemt het bestuursorgaan de bestuurlijke boete af op de ernst van de overtreding en de mate waarin deze aan de overtreder kan worden verweten. Het bestuursorgaan houdt daarbij zo nodig rekening met de omstandigheden waaronder de overtreding is gepleegd. 3. Indien de hoogte van de bestuurlijke boete bij wettelijk voorschrift is vastgesteld, legt het bestuursorgaan niettemin een lagere bestuurlijke boete op indien de overtreder aannemelijk maakt dat de vastgestelde bestuurlijke boete wegens bijzondere omstandigheden te hoog is. 4. Artikel 1, tweede lid, van het Wetboek van Strafrecht is van overeenkomstige toepassing.