De Autoriteit Persoonsgegevens heeft nieuwe regels aangekondigd voor de berekening van boetes voor bedrijven die de Algemene verordening gegevensbescherming (AVG) overtreden.
Boetes kunnen onder de nieuwe regels, net als onder de oude, oplopen tot 20 miljoen euro of 4 procent van de wereldwijde omzet van een bedrijf. De nieuwe regels zijn meteen van kracht, ook voor lopende zaken.
De nieuwe regels zijn opgesteld door de European Data Protection Board (EDPB), het samenwerkingsverband van Europese privacytoezichthouders. Met de nieuwe regels berekenen alle privacytoezichthouders in de Europese Unie voortaan op dezelfde manier de hoogte van boetes.
Tot nu toe had elke privacytoezichthouder in de EU eigen regels. Door de berekening van boetes gelijk te trekken, willen de toezichthouders ervoor zorgen dat bedrijven weten waar ze aan toe zijn. Ook kunnen de toezichthouders elkaar beter controleren.
Omvang
De nieuwe regels, de ‘fining guidelines’ van de EDPB, zijn op drie belangrijke punten anders dan de boetebeleidsregels die de AP tot nu toe gebruikte. De omvang van een bedrijf krijgt een grotere rol in de bepaling van de hoogte van de boete. Onder de oude boetebeleidsregels nam de AP de omvang van het bedrijf pas mee aan het eind van de berekening van de boete. Onder de nieuwe regels gebeurt dit aan het begin.
Bedrijven kunnen in de guidelines zien welk bedrag als startpunt wordt gebruikt voor de berekening van de boete voor een bepaalde overtreding voor een bedrijf van hun grootte. Ook de omzet van het moederbedrijf van de overtreder telt mee.
Drie categorieën
In de nieuwe regels zijn er drie categorieën voor de ernst van de overtreding: laag, midden en hoog. Tot nu toe keek de AP ook naar de ernst van de overtreding bij de bepaling van de boetehoogte, maar zonder er een categorie aan vast te hangen. Met de nieuwe regels geldt per categorie een ander startbedrag voor de boete.
Net als in de oude regels maken de nieuwe regels gebruik van een bandbreedte van boetebedragen voor verschillende soorten overtredingen. De oude AP-boetebeleidsregels gingen uit van een bandbreedte waarbinnen een boetebedrag in principe werd bepaald. In de nieuwe regels is de bandbreedte echter bedoeld om het startbedrag van de boete te bepalen. Dat bedrag kan daarna nog worden verhoogd of verlaagd.
Toezichthouders starten de berekening van de hoogte van de boete met dat startbedrag. Daarna kijken ze of er redenen zijn om de boete aan te passen. Bijvoorbeeld om de boete te verhogen wanneer het bedrijf eerder een vergelijkbare overtreding heeft begaan. Of te verlagen als het bedrijf er alles aan gedaan heeft om de gevolgen voor de slachtoffers van de overtreding te beperken.
