Nieuwe regels vanaf 2023 voor AVG-boetes: wat je moet weten
De Europese Data Protection Board (EDPB), een samenwerkingsverband van Europese privacytoezichthouders, heeft nieuwe regels ingevoerd voor het berekenen van boetes voor bedrijven die de Algemene Verordening Gegevensbescherming (AVG) overtreden. Tot voor kort hadden privacytoezichthouders in de Europese Unie (EU) elk hun eigen regels, maar met deze nieuwe regels wordt de berekening van boetes uniform in de hele EU.
Wat verandert er?
Het nieuwe boetebeleid voor AVG-overtredingen brengt belangrijke wijzigingen met zich mee. Hier zijn de drie belangrijkste punten:
1. Omzet van het bedrijf als uitgangspunt
De omzet van een bedrijf speelt nu een veel grotere rol bij het bepalen van de hoogte van de AVG-boete. Onder de oude regels werd de omzet pas aan het einde van de berekening meegenomen, maar nu wordt dit juist aan het begin gedaan. De omzet van het bedrijf vormt nu het vertrekpunt voor het bepalen van de boete. Ook de omzet van een eventueel moederbedrijf wordt daarbij in overweging genomen. Voor kleine bedrijven met een jaaromzet van minder dan twee miljoen euro kunnen privacytoezichthouders overwegen om boetes te berekenen op basis van een percentage tussen 0,2% en 0,4% van het vastgestelde uitgangsbedrag. Voor bedrijven met een jaaromzet tussen twee en tien miljoen euro varieert het percentage tussen 0,3% en 2%. Bij een jaaromzet tussen tien en vijftig miljoen euro ligt dit percentage tussen de 1,5% en 10%.
Draagkracht gaat een rol spelen waarbij de impact van de boete voor elk bedrijf even groot zal zijn.
2. Categorieën voor ernst van de overtreding
De nieuwe regels hanteren drie categorieën om de ernst van de AVG-overtreding te beoordelen: laag, midden en hoog. Hierbij wordt gekeken naar factoren zoals de ernst van de overtreding, de duur ervan, de aard van de aangetaste persoonsgegevens en het gedrag van het bedrijf na de overtreding. Onder het oude beleid keek de Autoriteit Persoonsgegevens (AP) ook naar de ernst van de overtreding, maar zonder deze in categorieën te verdelen. Met de nieuwe regels geldt nu per categorie een ander boetebedrag. Veelplegers worden zo steeds harder aangepakt.
3. Bandbreedte voor startbedrag van de boete
In het verleden werd een boetebedrag bepaald binnen een bepaalde bandbreedte. Nu is de bandbreedte bedoeld om het startbedrag van de boete te bepalen. Dit bedrag kan later nog worden verhoogd of verlaagd. Een boete kan bijvoorbeeld worden verhoogd als een bedrijf eerder een vergelijkbare overtreding heeft begaan. Aan de andere kant kan de boete worden verlaagd als het bedrijf er alles aan heeft gedaan om de gevolgen voor de slachtoffers van de overtreding te beperken. Zover je van ‘belonen’ kunt spreken helpt het als je laat zien er alles aan te doen om schade te beperken.
Wat is het maximale boetebedrag?
Het maximale boetebedrag voor AVG-overtredingen blijft hetzelfde: € 20 miljoen euro of 4% van de wereldwijde omzet van het bedrijf. De nieuwe regels zijn direct van kracht en gelden niet alleen voor nieuwe zaken, maar ook voor lopende zaken. Het is belangrijk op te merken dat deze regels momenteel alleen van toepassing zijn op bedrijven en niet op overheidsinstanties.
Zorg dat je AVG-compliant bent!
Voor alle organisaties die persoonsgegevens verwerken, is het belangrijk om te laten zien dat ze de juiste organisatorische en technische maatregelen hebben genomen om aan de AVG te voldoen. Heb je hulp nodig bij het implementeren van de AVG-verplichtingen? Neem dan contact met ons op. Wij kunnen je helpen bij het opstellen van een verwerkersovereenkomst, het uitvoeren van een Privacy Impact Assessment en het opstellen van privacy- en cookieverklaringen. Tevens maken we alle medewerkers ‘privacy en AVG bewust’. Zo kun je ervoor zorgen dat jouw bedrijf voldoet aan de AVG en je de privacy van klanten en medewerkers beschermt.