Er zijn nieuwe regels van kracht gegaan voor de berekening van boetes voor bedrijven die de AVG overtreden. Let op! De Autoriteit Persoonsgegevens gaat deze nieuwe regels per direct toepassen. Ook bij lopende zaken…. Lees hier wat de nieuwe regels voor u betekenen.

Waarom nieuwe boeteregels?

De AVG schrijft voor dat organisaties een boete kunnen krijgen van de toezichthouder als zij de wet overtreden. Tot nu toe berekende elke privacytoezichthouder in de Europese Unie de hoogte van boetes volgens eigen regels. Ook de Autoriteit Persoonsgegevens (AP) hanteerde in Nederland hier eigen regels voor.

Het nieuwe boetebeleid is opgesteld door de European Data Protection Board (EDPB), het samenwerkingsverband van Europese privacytoezichthouders. Met de nieuwe regels berekenen alle privacytoezichthouders in de Europese Unie voortaan op dezelfde manier de hoogte van boetes.

Door deze berekening van boetes gelijk te trekken, zorgen de toezichthouders ervoor dat bedrijven weten waar ze aan toe zijn: de boetes worden in elk land op dezelfde manier berekend. Ook kunnen de toezichthouders elkaar beter controleren, wanneer zij meekijken bij het onderzoek van een collega-toezichthouder.

Nieuwe boeteregels alleen voor bedrijven

Goed om te weten: de nieuwe regels gelden vooralsnog alleen voor bedrijven.

Niet alle privacytoezichthouders in Europa mogen namelijk boetes uitdelen aan overheden. De Autoriteit Persoonsgegevens mag dit wel en blijft voorlopig haar eigen ‘oude’ regels hanteren voor boetes aan overheidsinstanties.

Wat houden de nieuwe regels in?

De nieuwe regels (fining guidelines van de EDPB) zijn op drie punten anders dan de regels die de AP eerst toepaste. Hieronder lichten we die 3 punten toe.

1. Omzet bedrijf

De omzet van een bedrijf krijgt een grotere rol in de bepaling van de hoogte van de boete. Bij de oude boetebeleidsregels nam de Autoriteit Persoonsgegevens de omvang van een organisatie pas mee aan het eind van de berekening van de boete. Met de nieuwe regels gebeurt dit al aan het begin.

Bedrijven kunnen in de guidelines zien welk bedrag als startpunt wordt gebruikt voor de berekening van de boete voor een bepaalde overtreding voor een bedrijf van hun grootte.

Let op!

Ook de omzet van het moederbedrijf van de overtreder telt mee.

2. Categorieën ernst van de overtreding

De AP bekijkt hoe ernstig de overtreding is aan de hand van verschillende factoren, namelijk:

  • aard van de overtreding;

  • zwaarte van de overtreding;

  • duur van de overtreding;

  • opzettelijke of nalatige aard van de inbreuk; en

  • de categorieën van persoonsgegevens.

Door deze factoren af te wegen, komt de Autoriteit Persoonsgegevens tot een categorisatie van de ernst van de overtreding. In de nieuwe regels zijn er 3 categorieën met bijbehorende startbedragen, de AP hanteerde er in het verleden 4.

Bandbreedte

Net als in de oude regels maken de nieuwe regels gebruik van een bandbreedte van boetebedragen voor verschillende soorten overtredingen. De oude AP-boetebeleidsregels gingen uit van een bandbreedte waarbinnen een boetebedrag in principe werd bepaald.

In de nieuwe regels is de bandbreedte bedoeld om het startbedrag van de boete te bepalen. Dat bedrag kan daarna nog worden verhoogd of verlaagd.

Toezichthouders starten de berekening van de hoogte van de boete met dat startbedrag. Daarna kijken ze of er redenen zijn om de boete aan te passen. Bijvoorbeeld om de boete te verhogen wanneer het bedrijf eerder een vergelijkbare overtreding heeft begaan. De boete kan ook verlaagd worden als het bedrijf er alles aan gedaan heeft om de gevolgen voor de slachtoffers van de overtreding te beperken.

Blijf op de hoogte!

Op de hoogte blijven van deze en andere ontwikkelingen op het gebied van privacy en ICT & recht? Abonneert u zich dan nu op onze maandelijkse nieuwsbrief en ontvang onze blogs automatisch in uw mailbox.