Er komen in Europa nieuwe regels voor het berekenen van de boete die bedrijven krijgen opgelegd bij het overtreden van de AVG. Op dit moment heeft elke privacytoezichthouder in de EU nog zijn eigen regels. Door de berekening van boetes binnen de EU gelijk te trekken moet het duidelijker voor bedrijven worden waar ze aan toe zijn. De boetes worden dan in het ene land op dezelfde manier berekend als in het andere. Dit moet er ook voor zorgen dat toezichthouders elkaar beter kunnen controleren wanneer zij meekijken bij het onderzoek van een collega-toezichthouder.

De nieuwe regels laten de omvang van een bedrijf een grotere rol spelen in het bepalen van de hoogte van de boete. De Autoriteit Persoonsgegevens neemt de omvang van een bedrijf pas aan het einde van de boeteberekening. Dat zal straks aan het begin zijn. Zo kunnen bedrijven zien welke bedrag als startpunt voor de berekening van de boete voor een bepaalde overtreding wordt gebruikt.

Daarnaast zorgen de nieuwe regels voor drie categorieën om de ernst van een overtreding aan te geven, namelijk laag, midden en hoog. De Nederlandse privacytoezichthouder kijkt nu naar de ernst van een overtreding bij het bepalen van de boetehoogte, maar hangt er geen categorie aan. Met de nieuwe regels geldt per categorie een ander startbedrag voor de boete.

Verder zullen Europese privacytoezichthouders straks werken met een bandbreedte om het startbedrag van de boete te bepalen. Dat bedrag kan daarna nog worden verhoogd of verlaagd. Net als met de huidige regels kunnen bij de nieuwe regels maximale AVG-boetes van 20 miljoen euro of vier procent van de wereldwijde omzet van een bedrijf worden opgelegd. De nieuwe regels gaan alleen gelden voor bedrijven. Dit is omdat niet alle privacytoezichthouders in de EU boetes mogen opleggen aan overheden. De nieuwe regels zijn nog niet definitief. Hier kan tot 27 juni op worden gereageerd.