Boetes en andere sancties van de AP
De Autoriteit Persoonsgegevens (AP) is bevoegd om sancties op te leggen als een organisatie de privacywetgeving overtreedt. De belangrijkste sancties zijn de boete, de last onder dwangsom, het verwerkingsverbod, de berisping en de waarschuwing. Op deze pagina leest u meer over de boetes en andere sancties die de AP kan opleggen.
Op deze pagina
Boete
De AP kan een boete opleggen aan organisaties die de AVG overtreden. De bevoegdheid om boetes op te leggen heeft de AP sinds 25 mei 2018, de datum dat de AVG van toepassing werd.
Een besluit om een organisatie te beboeten, kan uit meerdere boetes bestaan voor verschillende (deel)overtredingen. Een deel van de boetes die de AP heeft opgelegd, is nog niet openbaar. Pas als een boete openbaar is, kan de AP de boete publiceren op deze website.
Hoogte van boetes
Een boete is maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet.
- Boetes voor bedrijven: hoe de AP de hoogte van boetes voor bedrijven bepaalt, is vastgelegd in de Fining guidelines van de EDPB.
- Boetes voor de overheid: boetes voor overheidsorganisaties en natuurlijke personen die niet namens een bedrijf handelen, bepaalt de AP met de Boetebeleidsregels Autoriteit Persoonsgegevens 2023.
Ziekenhuizen en particuliere scholen gelden niet als overheidsorganisaties. Daarvoor gelden dus de Fining guidelines.
Innen van boetes
Het Centraal Justitieel Incassobureau (CJIB) int de boetes voor de AP. De AP houdt het geld uit de boetes niet zelf, maar zorgt dat het terechtkomt in de schatkist. Het geld gaat dus naar de algemene middelen van de overheid.
Internationale boetes
Voor de boetes die de andere privacytoezichthouders in de Europese Unie hebben opgelegd, zie National news op de website van de EDPB.
Last onder dwangsom
De AP kan organisaties die de AVG overtreden een last onder dwangsom opleggen. De organisatie moet de dwangsom betalen als de overtreding na een bepaalde termijn niet is gestopt. De last onder dwangsom bestond ook al vóór de AVG, onder de Wet bescherming persoonsgegevens.
Verwerkingsverbod
De AP kan een verwerkingsverbod opleggen. Hiermee bepaalt de AP dat een organisatie bepaalde (categorieën van) persoonsgegevens niet mag verwerken.
Berisping
De AP kan een organisatie een berisping geven wanneer die organisatie inbreuk maakt op de AVG. Met de berisping stelt de AP de inbreuk vast en laat de AP blijken deze af te keuren.
De AP legt een berisping op als dat passender is dan een bestuurlijke boete. Bijvoorbeeld bij een kleine inbreuk. Of daar sprake van is, beoordeelt de AP door naar relevante omstandigheden te kijken.
Zoals de aard, ernst en duur van de inbreuk, de vraag of de overtreding een incidenteel karakter had, of de rechten van de betrokken personen alsnog konden worden gewaarborgd en of er sprake was van opzet.
Is er sprake van een zwaardere inbreuk? Dan kiest de AP voor een passender maatregel, zoals een bestuurlijke boete. Overweging 148 van de AVG geeft inzicht in de factoren die een rol spelen bij de keuze voor een berisping.
Register berispingen
In het register van berispingen staan de berispingen die de AP tot nu toe heeft opgelegd. De AP maakt berispingen niet openbaar. Daarom staan er geen namen van organisaties bij.
Waarschuwing
De AP kan een formele waarschuwing geven over een voorgenomen verwerking. Dat is een verwerking die een organisatie van plan is te gaan doen.
Gepubliceerde boetes en sancties
De meeste opgelegde en gepubliceerde boetes en sancties staan in dit overzicht en in het register van berispingen.
Sommige boetes en sancties zijn op een andere manier gepubliceerd. Namelijk:
- Boete VoetbalTV voor opnemen en verspreiden videobeelden amateurvoetbalwedstrijden via app en analysetools, 575.000 euro (16 juli 2020). Deze boete is vernietigd door de Rechtbank Midden-Nederland (ECLI:NL:RBMNE:2020:5111) en die uitspraak is in hoger beroep door de Raad van State bevestigd (ECLI:NL:RVS:2022:2173).
- Internationale boetes. Voor de boetes die de andere privacytoezichthouders in de Europese Unie hebben opgelegd, zie National news op de website van de European Data Protection Board (EDPB).
- Last onder dwangsom voor zorgverzekeraar CZ vanwege de verwerking van meer medische gegevens dan noodzakelijk voor de beoordeling van machtigingsaanvragen. Bedrag niet openbaar gemaakt - overtreding op tijd gestopt (14 februari 2020).
- Formele waarschuwing aan supermarkt om gezichtsherkenning (15 december 2020).