Autoriteit Persoonsgegevens publiceert boetebeleidsregels
Autoriteit Persoonsgegevens publiceert boetebeleidsregels
De Autoriteit Persoonsgegevens (“AP”) heeft in de Staatscourant de nieuwe boetebeleidsregels gepubliceerd voor overtreding van de AVG. Aan de hand van deze beleidsregels is een betere inschatting te maken van de hoogte van de te verwachten boetes het risico wat ondernemingen lopen als zij nog altijd niet voldoen aan de AVG.
In de boetebeleidsregels wordt gewerkt met de volgende categorie-indeling:
Categorie I |
Boetebandbreedte tussen € 0 en € 200.000 |
Basisboete: € 100.000 |
Categorie II |
Boetebandbreedte tussen € 120.000 en € 500.000 |
Basisboete: € 310.000 |
Categorie III |
Boetebandbreedte tussen € 300.000 en € 750.000 |
Basisboete: € 525.000 |
Categorie IV |
Boetebandbreedte tussen € 450.000 en € 1.000.000 |
Basisboete: € 725.000 |
Basisboete en boetebeleidsregels
De boetebeleidsregels gaan uit van een systeem van een basisboete, te verhogen dan wel te verlagen aan de hand van in de boetebeleidsregels genoemde relevante factoren. Denk daarbij aan de aard, ernst en duur van de inbreuk, de opzettelijke of nalatige aard van de inbreuk, de door de verantwoordelijke of de verwerker genomen maatregelen om de door betrokkenen geleden schade te beperken, eerdere relevante inbreuken door de verwerkingsverantwoordelijke of de verwerker, de mate waarin er met de toezichthouder is samengewerkt om de inbreuk te verhelpen en demogelijke negatieve gevolgen daarvan te beperken, etc.
Zelfde of soortgelijke overtreding
Als er nog geen 5 jaar is verstreken sinds het opleggen van een bestuurlijke boete door de AP aan de overtreder ter zake van een zelfde of soortgelijke door die overtreder begane overtreding, mag de boete met maar liefst 50 % worden verhoogd, tenzij dat in dat specifieke geval onredelijk zou zijn.
Een paar concrete voorbeelden:
Het nalaten om een verwerkersovereenkomst schriftelijk of elektronisch vast te leggen |
Basisboete: € 100.000 |
Het zonder toestemming van de verwerkingsverantwoordelijke inschakelen van een subverwerker |
Basisboete: € 310.000 |
Het niet melden van een inbreuk in verband met persoonsgegevens aan de AP |
Basisboete: € 525.000 |
Het in strijd met het verbod verwerken van bijzondere categorieën van persoonsgegevens |
Basisboete: € 725.000 |
Hogere boetes zijn zonder meer denkbaar
De AP mag, als de voor de betreffende overtreding bepaalde categorie van een boete naar het oordeel van de AP geen passende bestraffing toelaat, boetes opleggen tot de bekende maximumbedragen van € 10.000.000 respectievelijk € 20.000.000, maar dan zal de AP moeten motiveren dat en waarom een hogere boete in dat geval gerechtvaardigd is.
Overtreding van de AVG
Hoewel het een uitdaging lijkt om een maximale boete onder de AVG te incasseren, maken de boetebeleidsregels wel duidelijk dat elke overtreding van de AVG gemakkelijk in de papieren kan lopen. Dat maakt voor die ondernemingen die nog altijd niet aan de AVG voldoen de investering in het naleven van de regels op het gebied van de verwerking van persoonsgegevens wellicht wat beter te verteren. Het uitstellen van die investering kan immers leiden tot substantiële boetes en – belangrijker nog – verlies van vertrouwen van klanten en afnemers.
Bron: BDO Nederland