AVG-boetes zijn mogelijk het gevolg van het niet-naleven van de Privacywet. De Autoriteit Persoonsgegevens (AP) mag deze uitdelen als een bedrijf of organisatie zich niet aan de Privacywet houdt.
Naast AVG-boetes kan de AP ook andere maatregelen opleggen. Dit zijn de berisping, de last onder dwangsom, de waarschuwing en het verwerkingsverbod.
In dit artikel lees je meer over boetes en andere maatregelen. Ook vind je informatie over nieuwe regels over de (hoogte van) financiële sancties.
AVG-boetes
De AVG trad in werking op 25 mei 2018. Sindsdien mag de AP als nationale toezichthouder boetes uitdelen.
De AP is bevoegd om een boete op te leggen aan bedrijven en organisaties. Dat mag als zij de Algemene Verordening Gegevensbescherming (AVG) overtreden. De hoogte van de boete is maximaal twintig miljoen euro of vier procent van de wereldwijde jaaromzet. De exacte hoogte bepaalt de AP met de zogenaamde Boetebeleidsregels Autoriteit Persoonsgegevens 2019.
Het Centraal Justitieel Incassobureau (CJIB) is de instantie dat de boetes voor de AP incasseert. Na het innen van de AVG-boetes belandt dit bij de algemene middelen van de overheid.
Last onder dwangsom
Bij een last onder dwangsom krijg je niet direct een boete. Je betaalt de dwangsom als je bedrijf blijft doorgaan met het overtreden van de Privacywet.
Verwerkingsverbod
De AP kan een verwerkingsverbod opleggen. In dat geval mag een organisatie sommige (soorten) persoonsgegevens niet verwerken.
Berisping
Bij een berisping stelt de AP vast dat er sprake is van een inbreuk. Ook geeft de AP aan dat af te keuren. Het gaat vaak om een kleine inbreuk. Bij een grotere inbreuk kies de AP eerder voor een boete.
De AP checkt dus eerst factoren die met de inbreuk te maken hebben. Denk aan de aard, ernst en duur ervan en of het eenmalig was. Ook kijkt de AP of de inbreuk opzettelijk was en of de inbreuk nog te herstellen is.
Waarschuwing
Tot slot kan de AP een formele waarschuwing geven. Zo een waarschuwing krijg je als bedrijf mogelijk als een voorgenomen verwerking inbreuk maakt op de AVG.
Nieuwe regels voor het berekenen van de hoogte van AVG-boetes
Tot voor kort hanteerden privacytoezichthouders in de EU allemaal hun eigen regels voor boete berekeningen. Nu is er besloten om deze berekeningen gelijk te trekken. Deze uniforme aanpak zorgt ervoor dat organisaties duidelijkheid hebben over de boetes, die nu in elk land op dezelfde manier worden berekend.
Wel zo prettig, want het geeft duidelijkheid aan de verwerkers van persoonsgegevens. Daarnaast kunnen de nationale toezichthouders elkaar makkelijker controleren.
Verschillen met de huidige financiële sancties
De nieuwe regels heten ook wel de fining guidelines van de EDPB. Zij zijn alleen van toepassing op bedrijven, niet op overheden. De reden is dat niet alle Europese privacytoezichthouders boetes mogen opleggen aan overheden.
Verder mag de AP dit wel. Mogelijk gaat de AP de fining guidelines ook gebruiken voor sancties tegen overheidsorganisaties.
Op drie belangrijke punten verschillen de fining guidelines van de EDPB van de huidige beleidsregels die de AP hanteert. Ten eerste is dat de omzet van bedrijven. Ten tweede de soort ernst van de overtreding. En tot slot de bandbreedte voor de boetes.
- Hoogte van omzet belangrijker
De hoogte van de omzet van een bedrijf wordt belangrijker bij het bepalen van de hoogte van de boete. De AP neemt deze nu pas als sluitstuk van de berekening van de boete mee. Volgens de fining guidelines gebeurt dit al bij het begin van de berekening. Relevante factoren zijn het soort overtreding en de hoogte van de omzet van het bedrijf.
- Drie soorten van ernst van de overtreding
De fining guidelines bevatten drie categorieën voor de ernst van de overtreding: laag, midden en hoog. Die categorieën gebruikt de AP nu nog niet. Aan iedere categorie komt een startbedrag voor de boete te hangen.
- Bandbreedte van het startbedrag
De hoogte van de omzet en de ernst van de overtreding zijn belangrijk. Maar er is meer. Er komt namelijk een bandbreedte om het startbedrag van de boete te bepalen. De AVG-boete valt niet per se binnen die bandbreedte. Deze kan hoger of lager uitvallen. Dat de bandbreedte wordt overschreden, is nieuw ten opzichte van de beleidsregels van de AP.
Stel dat een bedrijf al eerder een boete voor een (soort)gelijke inbreuk heeft gekregen. Dat is een reden om de boete te verhogen.
Zo worden boetes berekend
Op 12 mei 2022 heeft de EDPB al wel richtlijnen voor het berekenen van AVG-boetes gepubliceerd. Het gaat om vijf stappen die iedere Europese toezichthouder moet volgen.
Stap 1: het identificeren van verwerkingsactiviteiten en inbreuk
Het begint bij het identificeren van het soort verwerkingsactiviteiten. Hierbij wordt o.a. gekeken naar de verwerkersovereenkomst. Daarna kijkt de toezichthouder of een verwerkingsverantwoordelijke of verwerker opzettelijk of uit slordigheid de AVG heeft overtreden. In het laatste geval is de opgelegde boete maximaal die van de zwaarste overtreding.
Stap 2: het classificeren van de overtreding
De toezichthouder classificeert de inbreuk en bepaalt de ernst ervan. Verder stelt die de omzet van de overtreder vast.
De ernst van de inbreuk is afhankelijk van:
- de aard van de verwerking;
- de reikwijdte van de verwerking;
- het doel van de verwerking;
- het aantal getroffen betrokkenen; en
- de zwaarte van de schade.
De omzet van de overtreder is ook relevant. Deze criteria samen leiden tot het gepaste startbedrag van de toezichthouder.
Stap 3: het identificeren van verzwarende of verzachtende omstandigheden
Zijn er nu of eerder omstandigheden die het gedrag van de verwerkingsverantwoordelijke of verwerker kunnen verklaren? In dat geval kan de toezichthouder het startbedrag bijstellen naar een hoger of lager bedrag. Hierbij neemt de toezichthouder mee:
- de genomen acties door het bedrijf om schade te verminderen;
- de mate van verantwoordelijkheid;
- de mogelijke eerdere overtredingen; en
- de mate van samenwerking met de toezichthouder.
Stap 4: het vergelijken met wettelijke kaders
In de AVG staan maxima voor de sancties, ook na aanpassing van de hoogte na stap drie.
Stap 5: het vergelijken met doeltreffendheid, proportionaliteit en afschrikking
Last but not least: de AVG-boetes moeten een hoogte hebben die in voldoende mate doeltreffend, proportioneel en afschrikkend zijn. De financiële situatie binnen de te beboeten organisatie is leidend om de proportionaliteit van de boete vast te stellen.
Probeer AVG-Programma 30 dagen gratis
Wil je eenvoudig voldoen aan de AVG regels? AVG-Programma helpt je te doen wat nodig is.
- toets je organisatie en neem noodzakelijke maatregelen
- maak gebruik van alle juridische documenten
- behaal het AVG OK-vignet en laat zien dat je privacy serieus neemt
Ontdek zelf hoe het werkt. Maak een gratis proefaccount aan.
Veelgestelde vragen over AVG Boetes
De Autoriteit Persoonsgegevens heeft een deel van de opgelegde boetes openbaar gemaakt. Deze vind je op de website van de toezichthouder.
Als bedrijf mag je gebruik maken van algoritmes. Wel moet je blijven voldoen aan de privacywetgeving. Zo houden de mensen om wiens persoonsgegevens het gaat bepaalde rechten. Het recht op informatie en het recht op inzage in gegevens bijvoorbeeld. Wees je daarvan bewust als je organisatie met algoritmes werkt.
De AP ziet toe op tal van wetten, regelingen en besluiten die over de verwerking van persoonsgegevens gaan. De zes meest bekend en belangrijke zijn de AVG, de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG), de Wet politiegegevens, de Wet justitiële en strafvorderlijke gegevens, de Kieswet (waar het draait om de verwerking van persoonsgegevens voor verkiezingen in het Europese deel van Nederland); en de Wet basisregistratie personen.
