Voorkom hoge boetes!

Als toezichthouder kan de AP boetes opleggen bij overtreding van de AVG (Algemene verordening gegevensbescherming). Maar dit is niet de enige wet die de AP in de gaten houdt. De AP kan ook organisaties beboeten voor overtredingen op grond van de Wet politiegegevens en de Wet justitiële en strafvorderlijke gegevens en voor bepaalde overtredingen van de Telecommunicatiewet, de eIDAS-verordening en de Algemene wet bestuursrecht.
Voor het vaststellen van de hoogte van de boete maakt de AP een onderscheid naar het type overtreding. Op basis van bovenstaande wetten zijn vier verschillende categorieën opgesteld. Onder de eerste categorie vallen overtredingen zoals het geen gehoor geven aan het verzoek tot verwijderen van gegevens. De hoogste categorie is voor ernstige overtredingen. Bijvoorbeeld als bedrijven geen gehoor geven aan een bevel van de AP om aanpassingen te doen aan hun gegevensverwerking of bij een overtreding van strafrechtelijke aard.
In eerste instantie houdt de AP rekening met het maximale bedrag van de boete dat in de wet staat: maximaal 10 miljoen euro of 2% van de wereldwijde jaaromzet (mocht dat hoger uitkomen) voor het niet voldoen aan verplichtingen en maximaal 20 miljoen euro of 4% van de jaaromzet voor overtredingen van de AVG. Maar gelukkig kijkt de AP ook naar de financiële omstandigheden waarin de overtreder verkeert. Zoals in het geval van micro, kleine en middelgrote ondernemingen. Daarnaast spelen de volgende factoren een rol in de berekening:
- de opzettelijke of nalatige aard van de inbreuk,
- de genomen maatregelen om de geleden schade te beperken en
- de mate van verantwoordelijkheid, rekening houdend met de uitgevoerde technische en organisatorische maatregelen.
Aan de vier categorieën van overtredingen zijn boetebandbreedtes met een minimum- en een maximumbedrag gekoppeld. De hoogte van deze boetebandbreedtes moet potentiële overtreders afschrikken. Per categorie heeft de AP ook een basisboete vastgelegd. Dit bedrag vormt het uitgangspunt voor de berekening van de uiteindelijke boete.
De hoogte van de boetes ziet er nu als volgt uit:
Boetebandbreedte | Basisboete | |
Categorie I | € 0 – € 200.000 | € 100.000 |
Categorie II | € 120.000 – € 500.000 | € 310.000 |
Categorie III | € 300.000 – € 750.000 | € 525.000 |
Categorie IV | € 450.000 – € 1.000.000 | € 725.000 |
Het moge duidelijk zijn: als u niets doet aan privacy beveiliging en de voorgeschreven regels van de AVG naast u neerlegt, dan kan de hoogte van een mogelijke boete snel oplopen. Zorg er dus voor dat het bijhouden van het verwerkingsregister, de procedure rondom datalekmeldingen en het benoemen van een functionaris gegevensbescherming binnen uw organisatie goed geregeld is!
Heeft u vragen over de invulling van de rol van functionaris gegevensbescherming of over de AVG? We helpen u bij inTECHrity graag verder. U kunt contact met ons opnemen door te bellen naar 085 130 1281 of via onze website www.intechrity.nl. Wij zijn officieel ACP-partner van BSI.