De Autoriteit Persoonsgegevens maakt voortaan gebruik van nieuwe regels voor het berekenen van AVG-boetes, zo heeft de privacytoezichthouder vandaag bekendgemaakt. Zo krijgt onder andere de omvang van een bedrijf een grotere rol in de bepaling van de hoogte van de boete. Tot nu toe had elke privacytoezichthouder in de EU nog eigen regels voor het berekenen van AVG-boetes.
Het European Data Protection Board (EDPB), het samenwerkingsverband van Europese privacytoezichthouders, is nu met nieuwe regels gekomen waardoor alle toezichthouders voortaan op dezelfde manier de hoogte van boetes zullen berekenen. De omvang van een bedrijf krijgt in de nieuwe regels een grotere rol in de bepaling van het boetebedrag. Onder de oude boetebeleidsregels nam de Autoriteit Persoonsgegevens (AP) de omvang van het bedrijf pas mee aan het eind van de berekening van de boete. Onder de nieuwe regels gebeurt dit aan het begin.
Daarnaast kennen de nieuwe regels drie categorieën voor de ernst van de overtreding: laag, midden en hoog. Tot nu toe keek de AP ook naar de ernst van de overtreding bij de bepaling van de boetehoogte, maar zonder er een categorie aan vast te hangen. Met de nieuwe regels geldt per categorie een ander startbedrag voor de boete. Net als in de oude regels maken de nieuwe regels gebruik van een bandbreedte van boetebedragen voor verschillende soorten overtredingen.
Bij de oude regels werd er uitgegaan van een bandbreedte waarbinnen een boetebedrag in principe werd bepaald. In de nieuwe regels is de bandbreedte echter bedoeld om het startbedrag van de boete te bepalen. Dat bedrag kan daarna nog worden verhoogd of verlaagd. Toezichthouders starten de berekening van de hoogte van de boete met dat startbedrag. Daarna kijken ze of er redenen zijn om de boete aan te passen, bijvoorbeeld als het bedrijf vaker soortgelijke overtredingen heeft begaan.
Boetes kunnen onder de nieuwe regels, net als onder de oude, oplopen tot twintig miljoen euro of vier procent van de wereldwijde omzet van een bedrijf. De nieuwe regels zijn meteen van kracht. Ook voor lopende zaken. Ze gaan alleen gelden voor bedrijven, omdat sommige Europese privacytoezichthouders geen boetes aan overheden mogen opleggen.
Deze posting is gelocked. Reageren is niet meer mogelijk.