Voorkom hoge boetes!

door | 18 maart 2019

De Autoriteit Persoonsgegevens (AP) heeft donderdag 14 maart bekendgemaakt dat ze niet uitsluit nog in 2019 boetes voor overtredingen van de AVG uit te delen. Dat deze boetes extreem hoog konden uitvallen, was al bekend. Maar tot nog toe waren er geen duidelijke richtlijnen voor het bepalen van de hoogte van de boete bij verschillende overtredingen. Gelukkig komt de AP nu met een onderbouwing.

Als toezichthouder kan de AP boetes opleggen bij overtreding van de AVG (Algemene verordening gegevensbescherming). Maar dit is niet de enige wet die de AP in de gaten houdt. De AP kan ook organisaties beboeten voor overtredingen op grond van de Wet politiegegevens en de Wet justitiële en strafvorderlijke gegevens en voor bepaalde overtredingen van de Telecommunicatiewet, de eIDAS-verordening en de Algemene wet bestuursrecht.

Voor het vaststellen van de hoogte van de boete maakt de AP een onderscheid naar het type overtreding. Op basis van bovenstaande wetten zijn vier verschillende categorieën opgesteld. Onder de eerste categorie vallen overtredingen zoals het geen gehoor geven aan het verzoek tot verwijderen van gegevens. De hoogste categorie is voor ernstige overtredingen. Bijvoorbeeld als bedrijven geen gehoor geven aan een bevel van de AP om aanpassingen te doen aan hun gegevensverwerking of bij een overtreding van strafrechtelijke aard.

In eerste instantie houdt de AP rekening met het maximale bedrag van de boete dat in de wet staat: maximaal 10 miljoen euro of 2% van de wereldwijde jaaromzet (mocht dat hoger uitkomen) voor het niet voldoen aan verplichtingen en maximaal 20 miljoen euro of 4% van de jaaromzet voor overtredingen van de AVG. Maar gelukkig kijkt de AP ook naar de financiële omstandigheden waarin de overtreder verkeert. Zoals in het geval van micro, kleine en middelgrote ondernemingen. Daarnaast spelen de volgende factoren een rol in de berekening:

  • de opzettelijke of nalatige aard van de inbreuk,
  • de genomen maatregelen om de geleden schade te beperken en
  • de mate van verantwoordelijkheid, rekening houdend met de uitgevoerde technische en organisatorische maatregelen.

Aan de vier categorieën van overtredingen zijn boetebandbreedtes met een minimum- en een maximumbedrag gekoppeld. De hoogte van deze boetebandbreedtes moet potentiële overtreders afschrikken. Per categorie heeft de AP ook een basisboete vastgelegd. Dit bedrag vormt het uitgangspunt voor de berekening van de uiteindelijke boete.

De hoogte van de boetes ziet er nu als volgt uit:

  Boetebandbreedte Basisboete
Categorie I € 0 – € 200.000 € 100.000
Categorie II € 120.000 – € 500.000 € 310.000
Categorie III € 300.000 – € 750.000 € 525.000
Categorie IV € 450.000 – € 1.000.000 € 725.000

Het moge duidelijk zijn: als u niets doet aan privacy beveiliging en de voorgeschreven regels van de AVG naast u neerlegt, dan kan de hoogte van een mogelijke boete snel oplopen. Zorg er dus voor dat het bijhouden van het verwerkingsregister, de procedure rondom datalekmeldingen en het benoemen van een functionaris gegevensbescherming binnen uw organisatie goed geregeld is!

Heeft u vragen over de invulling van de rol van functionaris gegevensbescherming of over de AVG? We helpen u bij inTECHrity graag verder. U kunt contact met ons opnemen door te bellen naar 085 130 1281 of via onze website www.intechrity.nl. Wij zijn officieel ACP-partner van BSI.