Nieuwe EU-brede regels AVG-boetes bedrijven op komst
Er komen nieuwe regels aan voor de berekening van boetes voor bedrijven bij overtreding van de Algemene verordening gegevensbescherming (AVG). Deze nieuwe regels zijn opgesteld door de European Data Protection Board (EDPB), het samenwerkingsverband van Europese privacytoezichthouders. Met die regels berekenen alle privacytoezichthouders in de Europese Unie (EU) voortaan op dezelfde manier de hoogte van boetes.
Update juni 2023
De Fining guidelines zijn inmiddels definitief. Zie verder: Nieuw boetebeleid voor overtredingen AVG.
Nu heeft elke privacytoezichthouder in de EU nog eigen regels. Door de berekening van boetes binnen de EU gelijk te trekken, zorgen de toezichthouders ervoor dat bedrijven weten waar ze aan toe zijn: de boetes worden in het ene land op dezelfde manier berekend als in het andere. Ook kunnen de toezichthouders elkaar dan beter controleren wanneer zij meekijken bij het onderzoek van een collega-toezichthouder.
De nieuwe regels, de zogeheten fining guidelines van de EDPB, zijn op drie belangrijke punten anders dan de boetebeleidsregels die de AP op dit moment gebruikt.
Omzet bedrijf grotere rol
De omvang van een bedrijf krijgt een grotere rol in de bepaling van de hoogte van de boete. Nu neemt de AP de omvang van het bedrijf pas mee aan het eind van de berekening van de boete. Straks gebeurt dit aan het begin. Bedrijven kunnen dan in de guidelines zien welke bedrag als startpunt voor de berekening van de boete voor een bepaalde overtreding wordt gebruikt voor een bedrijf van hun grootte.
Categorieën ernst overtreding
In de nieuwe regels zijn er drie categorieën voor de ernst van de overtreding: laag, midden en hoog. Nu kijkt de AP ook naar de ernst van de overtreding bij de bepaling van de boetehoogte, maar zonder er een categorie aan te hangen. Met de nieuwe regels geldt per categorie een ander startbedrag voor de boete.
Bandbreedte voor startbedrag
Net als in de huidige boetebeleidsregels van de AP maken de fining guidelines gebruik van een bandbreedte van boetebedragen voor verschillende soorten overtredingen. Maar waar de huidige AP-boetebeleidsregels uitgaan van een bandbreedte waarbinnen een boetebedrag in principe wordt bepaald, is de bandbreedte in de nieuwe regels bedoeld om het startbedrag van de boete te bepalen. Dat bedrag kan daarna nog worden verhoogd of verlaagd.
Toezichthouders starten de berekening van de hoogte van de boete met dat startbedrag. Daarna kijken ze of er redenen zijn om de boete te verhogen. Bijvoorbeeld het feit dat het bedrijf eerder een vergelijkbare overtreding heeft begaan.
In de berekening nemen de toezichthouders ten slotte ook boeteverlagende factoren mee, bijvoorbeeld als het bedrijf er alles aan gedaan heeft om de gevolgen voor de slachtoffers van de overtreding te beperken.
Boetes kunnen onder de nieuwe regels, net als onder de huidige, oplopen tot 20 miljoen euro of 4 procent van de wereldwijde omzet van een bedrijf.
Alleen voor bedrijven
De nieuwe fining guidelines gaan alleen gelden voor bedrijven. Dit is omdat niet alle privacytoezichthouders in de EU boetes mogen opleggen aan overheden. De AP mag dit wel.
De AP onderzoekt nog welke regels zij in de toekomst wil hanteren voor het berekenen van boetehoogtes voor overheidsorganisaties.
Let op: Ook ziekenhuizen en particuliere scholen vallen onder de guidelines, omdat die niet als overheidsorganisaties gelden.
Regels nog niet definitief
De fining guidelines zijn nog niet definitief. Ze staan nu open voor commentaar van belanghebbende partijen. Tot 27 juni 2022 kunnen die bij de EDPB suggesties doen om de guidelines te wijzigen. Daarna komt de EDPB met een nieuwe versie en worden de guidelines definitief.