De Europese Data Protection Board (EDPB), het samenwerkingsverband van Europese privacy toezichthouders, heeft nieuwe regels geïmplementeerd voor het berekenen van boetes voor bedrijven die de Algemene Verordening Gegevensbescherming (AVG) overtreden. Voorheen hadden privacy toezichthouders in de Europese Unie (EU) elk hun eigen regels, maar met deze nieuwe regels wordt de berekening van boetes uniform in de hele EU.
Het nieuwe boetebeleid voor de schending van de AVG verandert het landschap van gegevensbescherming aanzienlijk. De nieuwe regels wijken op drie belangrijke punten af van de vorige boetebeleidsregels van de Autoriteit Persoonsgegevens (AP):
De omzet van een bedrijf krijgt een grotere rol in de bepaling van de hoogte van de AVG-boete. Onder de oude regels werd de omzet van het bedrijf pas aan het einde van de berekening meegenomen, voortaan gebeurt dit aan het begin. De omzet van het bedrijf dient nu als uitgangspunt voor de hoogte van de boete. Ook de omzet van een moederbedrijf wordt daarbij in beschouwing genomen. Voor ondernemingen met een jaaromzet van minder dan twee miljoen euro kunnen privacy toezichthouders overwegen om berekeningen uit te voeren op basis van een bedrag tussen 0,2% en 0,4% van het vastgestelde uitgangsbedrag. Voor ondernemingen met een jaaromzet van twee tot tien miljoen ligt het percentage tussen 0,3% en 2%. Bij een jaaromzet van tien tot vijftig miljoen euro ligt dit tussen de 1,5% en 10%.
In de nieuwe regels zijn er drie categorieën waarin de AVG-overtreding wordt geschaald: laag, midden en hoog. Er wordt gekeken naar de ernst van de overtreding, de duur van de inbreuk, de aard van de persoonsgegevens die zijn aangetast en het gedrag van het bedrijf na de overtreding. Onder het vorige beleid keek de Autoriteit Persoonsgegevens ook naar de ernst van de overtreding, maar zonder deze in een categorie in te delen. Met de nieuwe regels geldt per categorie een ander bedrag voor de boete.
Bij de oude regels werd er uitgegaan van een bandbreedte waarbinnen een boetebedrag werd bepaald. In de nieuwe regels is de bandbreedte echter bedoeld om het startbedrag van de boete te bepalen. Dat bedrag kan daarna nog worden verhoogd of verlaagd. De boete kan bijvoorbeeld worden verhoogd wanneer het bedrijf eerder een vergelijkbare overtreding heeft begaan. De boete kan worden verlaagd als het bedrijf er alles aan gedaan heeft om de gevolgen voor de slachtoffers van de overtreding te beperken.
De AVG-boete kan, net zoals onder de oude regels, oplopen tot € 20 miljoen euro of 4% van de wereldwijde omzet van de organisatie. De nieuwe regels zijn direct van kracht, dat geldt niet alleen voor nieuwe zaken, maar ook voor lopende zaken. Let op: deze regels zijn momenteel alleen van toepassing op bedrijven, niet op overheidsinstanties.
Alle organisaties die persoonsgegevens verwerken, moeten aantonen dat ze de juiste organisatorische en technische maatregelen hebben genomen om aan de AVG te voldoen. Heb je advies of begeleiding nodig bij het implementeren van de verplichtingen van de AVG? Stap dan naar een gespecialiseerde AVG advocaat. Diegene kan helpen bij het opstellen van een verwerkersovereenkomst, een Privacy Impact Assessment verrichten en privacy- en cookieverklaringen opstellen.
Jeroen is al meer dan 15 jaar betrokken bij Dutchcowboys. Voornamelijk als digital content creator. En dan voor alle titels van The Blogidea Factory. Liefhebber van advertising, entertainment, tech, gadgets, en eigenlijk alles online.
Verder lezen over Cookiewet
Online21.06.2022
Online11.12.2019
Nieuws07.03.2019
Advertising19.02.2018
Online14.07.2017
Online10.01.2017
Online15.12.2016
Online13.05.2015
Verder lezen over Overheid
Cybercrime02.10.2024
Automotive16.07.2024
Cybercrime04.07.2024
Nieuws17.01.2024
Automotive10.01.2024
Automotive20.12.2023
Mobile07.12.2023
Technology25.10.2023
Verder lezen over Privacy
Cybercrime30.09.2024
Cybercrime16.09.2024
Social Media09.09.2024
Online24.04.2024
Cybercrime15.04.2024
Online18.03.2024
Online15.02.2024
Cybercrime05.02.2024
Verder lezen over Wetgeving
Nieuws03.10.2024
Cybercrime01.07.2024
Technology22.05.2024
Online17.05.2024
Online15.05.2024
Cybercrime30.04.2024
Online26.04.2024
Marketing01.04.2024