AVG-boetes: toezicht op de Privacywet

AVG-Boetes

AVG-boetes zijn mogelijk het gevolg van het niet-naleven van de Privacywet. De Autoriteit Persoonsgegevens (AP) mag deze uitdelen als een bedrijf of organisatie zich niet aan de Privacywet houdt.

Naast AVG-boetes kan de AP ook andere maatregelen opleggen. Dit zijn de berisping, de last onder dwangsom, de waarschuwing en het verwerkingsverbod.

In dit artikel lees je meer over boetes en andere maatregelen. Ook vind je informatie over nieuwe regels over de (hoogte van) financiële sancties.

AVG-boetes

De AVG trad in werking op 25 mei 2018. Sindsdien mag de AP als nationale toezichthouder boetes uitdelen. 

De AP is bevoegd om een boete op te leggen aan bedrijven en organisaties. Dat mag als zij de Algemene Verordening Gegevensbescherming (AVG) overtreden. De hoogte van de boete is maximaal twintig miljoen euro of vier procent van de wereldwijde jaaromzet. De exacte hoogte bepaalt de AP met de zogenaamde Boetebeleidsregels Autoriteit Persoonsgegevens 2019.

Het Centraal Justitieel Incassobureau (CJIB) is de instantie dat de boetes voor de AP incasseert. Na het innen van de AVG-boetes belandt dit bij de algemene middelen van de overheid.

AVG-boetes: toezicht op de Privacywet

Last onder dwangsom

Bij een last onder dwangsom krijg je niet direct een boete. Je betaalt de dwangsom als je bedrijf blijft doorgaan met het overtreden van de Privacywet. 

Verwerkingsverbod

De AP kan een verwerkingsverbod opleggen. In dat geval mag een organisatie sommige (soorten) persoonsgegevens niet verwerken.

Berisping

Bij een berisping stelt de AP vast dat er sprake is van een inbreuk. Ook geeft de AP aan dat af te keuren. Het gaat vaak om een kleine inbreuk. Bij een grotere inbreuk kies de AP eerder voor een boete.

De AP checkt dus eerst factoren die met de inbreuk te maken hebben. Denk aan de aard, ernst en duur ervan en of het eenmalig was. Ook kijkt de AP of de inbreuk opzettelijk was en of de inbreuk nog te herstellen is.

Waarschuwing

Tot slot kan de AP een formele waarschuwing geven. Zo een waarschuwing krijg je als bedrijf mogelijk als een voorgenomen verwerking inbreuk maakt op de AVG.

Nieuwe regels voor het berekenen van de hoogte van AVG-boetes

Tot voor kort hanteerden privacytoezichthouders in de EU allemaal hun eigen regels voor boete berekeningen. Nu is er besloten om deze berekeningen gelijk te trekken. Deze uniforme aanpak zorgt ervoor dat organisaties duidelijkheid hebben over de boetes, die nu in elk land op dezelfde manier worden berekend.

Wel zo prettig, want het geeft duidelijkheid aan de verwerkers van persoonsgegevens. Daarnaast kunnen de nationale toezichthouders elkaar makkelijker controleren.

Verschillen met de huidige financiële sancties

De nieuwe regels heten ook wel de fining guidelines van de EDPB. Zij zijn alleen van toepassing op bedrijven, niet op overheden. De reden is dat niet alle Europese privacytoezichthouders boetes mogen opleggen aan overheden. 

Verder mag de AP dit wel. Mogelijk gaat de AP de fining guidelines ook gebruiken voor sancties tegen overheidsorganisaties.

Op drie belangrijke punten verschillen de fining guidelines van de EDPB van de huidige beleidsregels die de AP hanteert. Ten eerste is dat de omzet van bedrijven. Ten tweede de soort ernst van de overtreding. En tot slot de bandbreedte voor de boetes.

  1. Hoogte van omzet belangrijker

De hoogte van de omzet van een bedrijf wordt belangrijker bij het bepalen van de hoogte van de boete. De AP neemt deze nu pas als sluitstuk van de berekening van de boete mee. Volgens de fining guidelines gebeurt dit al bij het begin van de berekening. Relevante factoren zijn het soort overtreding en de hoogte van de omzet van het bedrijf.

  1. Drie soorten van ernst van de overtreding

De fining guidelines bevatten drie categorieën voor de ernst van de overtreding: laag, midden en hoog. Die categorieën gebruikt de AP nu nog niet. Aan iedere categorie komt een startbedrag voor de boete te hangen.

  1. Bandbreedte van het startbedrag

De hoogte van de omzet en de ernst van de overtreding zijn belangrijk. Maar er is meer. Er komt namelijk een bandbreedte om het startbedrag van de boete te bepalen. De AVG-boete valt niet per se binnen die bandbreedte. Deze kan hoger of lager uitvallen. Dat de bandbreedte wordt overschreden, is nieuw ten opzichte van de beleidsregels van de AP.

Stel dat een bedrijf al eerder een boete voor een (soort)gelijke inbreuk heeft gekregen. Dat is een reden om de boete te verhogen.

AVG Boetes

Zo worden boetes berekend

Op 12 mei 2022 heeft de EDPB al wel richtlijnen voor het berekenen van AVG-boetes gepubliceerd. Het gaat om vijf stappen die iedere Europese toezichthouder moet volgen.

Stap 1: het identificeren van verwerkingsactiviteiten en inbreuk

Het begint bij het identificeren van het soort verwerkingsactiviteiten. Hierbij wordt o.a. gekeken naar de verwerkersovereenkomst. Daarna kijkt de toezichthouder of een verwerkingsverantwoordelijke of verwerker opzettelijk of uit slordigheid de AVG heeft overtreden. In het laatste geval is de opgelegde boete maximaal die van de zwaarste overtreding.

Stap 2: het classificeren van de overtreding

De toezichthouder classificeert de inbreuk en bepaalt de ernst ervan. Verder stelt die de omzet van de overtreder vast.

De ernst van de inbreuk is afhankelijk van:

  • de aard van de verwerking;
  • de reikwijdte van de verwerking;
  • het doel van de verwerking;
  • het aantal getroffen betrokkenen; en
  • de zwaarte van de schade.

De omzet van de overtreder is ook relevant. Deze criteria samen leiden tot het gepaste startbedrag van de toezichthouder.

Stap 3: het identificeren van verzwarende of verzachtende omstandigheden

Zijn er nu of eerder omstandigheden die het gedrag van de verwerkingsverantwoordelijke of verwerker kunnen verklaren? In dat geval kan de toezichthouder het startbedrag bijstellen naar een hoger of lager bedrag. Hierbij neemt de toezichthouder mee:

  • de genomen acties door het bedrijf om schade te verminderen;
  • de mate van verantwoordelijkheid;
  • de mogelijke eerdere overtredingen; en
  • de mate van samenwerking met de toezichthouder.

Stap 4: het vergelijken met wettelijke kaders

In de AVG staan maxima voor de sancties, ook na aanpassing van de hoogte na stap drie.

Stap 5: het vergelijken met doeltreffendheid, proportionaliteit en afschrikking

Last but not least: de AVG-boetes moeten een hoogte hebben die in voldoende mate doeltreffend, proportioneel en afschrikkend zijn. De financiële situatie binnen de te beboeten organisatie is leidend om de proportionaliteit van de boete vast te stellen.

Gratis proefperiode

Wil je eenvoudig voldoen aan de AVG regels? AVG-Programma helpt je te doen wat nodig is.

  • toets je organisatie en neem noodzakelijke maatregelen
  • maak gebruik van alle juridische documenten
  • behaal het AVG OK-vignet en laat zien dat je privacy serieus neemt

Ontdek zelf hoe het werkt. Maak een gratis proefaccount aan.

AVG-onderdelen

Veelgestelde vragen over AVG Boetes

Hoe weet je welke bedrijven zijn beboet door de Autoriteit Persoonsgegevens?

De Autoriteit Persoonsgegevens heeft een deel van de opgelegde boetes openbaar gemaakt. Deze vind je op de website van de toezichthouder.

Is het gebruik van algoritmes toegestaan op basis van de AVG?

Als bedrijf mag je gebruik maken van algoritmes. Wel moet je blijven voldoen aan de privacywetgeving. Zo houden de mensen om wiens persoonsgegevens het gaat bepaalde rechten. Het recht op informatie en het recht op inzage in gegevens bijvoorbeeld. Wees je daarvan bewust als je organisatie met algoritmes werkt.

Op welke wetten houdt de Autoriteit Persoonsgegevens toezicht?

De AP ziet toe op tal van wetten, regelingen en besluiten die over de verwerking van persoonsgegevens gaan. De zes meest bekend en belangrijke zijn de AVG, de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG), de Wet politiegegevens, de Wet justitiële en strafvorderlijke gegevens, de Kieswet (waar het draait om de verwerking van persoonsgegevens voor verkiezingen in het Europese deel van Nederland); en de Wet basisregistratie personen.

Meer nieuws

AVG voor webwinkels: privacy in de praktijk

Er gelden strenge regels voor webshops als het gaat om het verzamelen, verwerken en bewaren van persoonsgegevens. In dit artikel kijken we naar de belangrijkste eisen. Lees meer

Wat doet een Functionaris Gegevensbescherming?

Wat doet een Functionaris Gegevensbescherming eigenlijk, en waarom is het relevant voor ondernemers? In dit artikel gaan we dieper in op de rol van de FG. Lees meer

Wat zijn de plichten van de verwerker en de verwerkingsverantwoordelijke?

De verwerkersovereenkomst regelt de samenwerking tussen de verwerkingsverantwoordelijke en de verwerker. Maar wie heeft welke plichten? Lees meer