Nieuw boetebeleid voor overtredingen AVG
Er zijn nieuwe regels van kracht voor de berekening van boetes voor bedrijven die de Algemene verordening gegevensbescherming (AVG) overtreden. Deze nieuwe regels zijn opgesteld door de European Data Protection Board (EDPB), het samenwerkingsverband van Europese privacytoezichthouders. Met de nieuwe regels berekenen alle privacytoezichthouders in de Europese Unie (EU) voortaan op dezelfde manier de hoogte van boetes.
Tot nu toe had elke privacytoezichthouder in de EU nog eigen regels. Door de berekening van boetes binnen de EU gelijk te trekken, zorgen de toezichthouders ervoor dat bedrijven weten waar ze aan toe zijn: de boetes worden in elk land op dezelfde manier berekend. Ook kunnen de toezichthouders elkaar beter controleren wanneer zij meekijken bij het onderzoek van een collega-toezichthouder.
De nieuwe regels, de 'fining guidelines' van de EDPB, zijn op 3 belangrijke punten anders dan de boetebeleidsregels die de AP tot nu toe gebruikte.
Omzet bedrijf grotere rol
De omvang van een bedrijf krijgt een grotere rol in de bepaling van de hoogte van de boete. Onder de oude boetebeleidsregels nam de AP de omvang van het bedrijf pas mee aan het eind van de berekening van de boete. Onder de nieuwe regels gebeurt dit aan het begin.
Bedrijven kunnen in de fining guidelines zien welk bedrag als startpunt wordt gebruikt voor de berekening van de boete voor een bepaalde overtreding voor een bedrijf van hun grootte. Ook de omzet van het moederbedrijf van de overtreder telt mee.
Categorieën ernst overtreding
In de nieuwe regels zijn er 3 categorieën voor de ernst van de overtreding: laag, midden en hoog. Tot nu toe keek de AP ook naar de ernst van de overtreding bij de bepaling van de boetehoogte, maar zonder er een categorie aan vast te hangen. Met de nieuwe regels geldt per categorie een ander startbedrag voor de boete.
Bandbreedte voor startbedrag
Net als in de oude regels maken de nieuwe regels gebruik van een bandbreedte van boetebedragen voor verschillende soorten overtredingen. De oude AP-boetebeleidsregels gingen uit van een bandbreedte waarbinnen een boetebedrag in principe werd bepaald. In de nieuwe regels is de bandbreedte echter bedoeld om het startbedrag van de boete te bepalen. Dat bedrag kan daarna nog worden verhoogd of verlaagd.
Toezichthouders starten de berekening van de hoogte van de boete met dat startbedrag. Daarna kijken ze of er redenen zijn om de boete aan te passen. Bijvoorbeeld om de boete te verhogen wanneer het bedrijf eerder een vergelijkbare overtreding heeft begaan. Of te verlagen als het bedrijf er alles aan gedaan heeft om de gevolgen voor de slachtoffers van de overtreding te beperken.
Boetes kunnen onder de nieuwe regels, net als onder de oude, oplopen tot 20 miljoen euro of 4 procent van de wereldwijde omzet van een bedrijf.
Regels nu van kracht
De nieuwe regels zijn meteen van kracht. Ook voor lopende zaken.
Alleen voor bedrijven
De nieuwe regels gaan alleen gelden voor bedrijven. Dit is omdat niet alle privacytoezichthouders in de EU boetes mogen opleggen aan overheden. De AP mag dit wel.
Let op: Ziekenhuizen en particuliere scholen gelden niet als overheidsorganisaties. Daarvoor gelden dus wél de fining guidelines.
Voorlopig blijven de oude boetebeleidsregels van de AP nog gelden voor overheidsinstanties. De AP onderzoekt in Europees verband nog welke regels zij in de toekomst wil hanteren voor het berekenen van boetehoogtes voor overheidsorganisaties.
Update december 2023: U kunt de boetebeleidsregels voor het berekenen van boetehoogtes voor overheidsorganisaties hier vinden: Boetebeleidsregels Autoriteit Persoonsgegevens 2023.