De Europese Data Protection Board (EDPB), het samenwerkingsverband van Europese privacy toezichthouders, heeft nieuwe regels geïmplementeerd voor het berekenen van boetes voor bedrijven die de Algemene Verordening Gegevensbescherming (AVG) overtreden. Voorheen hadden privacy toezichthouders in de Europese Unie (EU) elk hun eigen regels, maar met deze nieuwe regels wordt de berekening van boetes uniform in de hele EU.
Het nieuwe boetebeleid voor de schending van de AVG verandert het landschap van gegevensbescherming aanzienlijk. De nieuwe regels wijken op drie belangrijke punten af van de vorige boetebeleidsregels van de Autoriteit Persoonsgegevens (AP):
De omzet van een bedrijf krijgt een grotere rol in de bepaling van de hoogte van de AVG-boete. Onder de oude regels werd de omzet van het bedrijf pas aan het einde van de berekening meegenomen, voortaan gebeurt dit aan het begin. De omzet van het bedrijf dient nu als uitgangspunt voor de hoogte van de boete. Ook de omzet van een moederbedrijf wordt daarbij in beschouwing genomen. Voor ondernemingen met een jaaromzet van minder dan twee miljoen euro kunnen privacy toezichthouders overwegen om berekeningen uit te voeren op basis van een bedrag tussen 0,2% en 0,4% van het vastgestelde uitgangsbedrag. Voor ondernemingen met een jaaromzet van twee tot tien miljoen ligt het percentage tussen 0,3% en 2%. Bij een jaaromzet van tien tot vijftig miljoen euro ligt dit tussen de 1,5% en 10%.
In de nieuwe regels zijn er drie categorieën waarin de AVG-overtreding wordt geschaald: laag, midden en hoog. Er wordt gekeken naar de ernst van de overtreding, de duur van de inbreuk, de aard van de persoonsgegevens die zijn aangetast en het gedrag van het bedrijf na de overtreding. Onder het vorige beleid keek de Autoriteit Persoonsgegevens ook naar de ernst van de overtreding, maar zonder deze in een categorie in te delen. Met de nieuwe regels geldt per categorie een ander bedrag voor de boete.
Bij de oude regels werd er uitgegaan van een bandbreedte waarbinnen een boetebedrag werd bepaald. In de nieuwe regels is de bandbreedte echter bedoeld om het startbedrag van de boete te bepalen. Dat bedrag kan daarna nog worden verhoogd of verlaagd. De boete kan bijvoorbeeld worden verhoogd wanneer het bedrijf eerder een vergelijkbare overtreding heeft begaan. De boete kan worden verlaagd als het bedrijf er alles aan gedaan heeft om de gevolgen voor de slachtoffers van de overtreding te beperken.
De AVG-boete kan, net zoals onder de oude regels, oplopen tot € 20 miljoen euro of 4% van de wereldwijde omzet van de organisatie. De nieuwe regels zijn direct van kracht, dat geldt niet alleen voor nieuwe zaken, maar ook voor lopende zaken. Let op: deze regels zijn momenteel alleen van toepassing op bedrijven, niet op overheidsinstanties.
Alle organisaties die persoonsgegevens verwerken, moeten aantonen dat ze de juiste organisatorische en technische maatregelen hebben genomen om aan de AVG te voldoen. Heb je advies of begeleiding nodig bij het implementeren van de verplichtingen van de AVG? Stap dan naar een gespecialiseerde AVG advocaat. Diegene kan helpen bij het opstellen van een verwerkersovereenkomst, een Privacy Impact Assessment verrichten en privacy- en cookieverklaringen opstellen.
