Autoriteit Persoonsgegevens past boetesysteem aan

Nieuws
geplaatst op 25-3-2019  

De Autoriteit Persoonsgegevens (AP) heeft het boetesysteem aangepast zodat deze in lijn zijn met de Algemene Verordening Persoonsgegevens. Het vorige boetesysteem had nog betrekking op de eerdere privacyregels. 

Als je als verwerkingsverantwoordelijke of verwerker de AVG niet naleeft, kan de AP een boete opleggen. Deze boete moet doeltreffend, proportioneel en voldoende afschrikwekkend zijn. Ook kan de toezichthouder een corrigerende maatregel opleggen, zoals een waarschuwing, een bindende aanwijzing of een last onder dwangsom. De boetes van de AP vallen uiteen in twee hoofdcategorieën: 

Hoofdcategorie 1: boete voor overtreding van bepaalde verplichtingen waaraan voldaan moet worden
De maximale boete in dit soort situaties is € 10.000.000 of 2% van de totale wereldwijde jaaromzet van een onderneming over het vorige boekjaar als dit hoger uitkomt. Voorbeelden van overtredingen in deze categorie zijn o.a.: 

  • het niet melden van een datalek 
  • het niet bijhouden van een verwerkingsregister.   

Hoofdcategorie 2: boete voor overtreding van beginselen en grondslagen van de AVG of de rechten van betrokkenen
De maximale boete in dit soort situaties is € 20.000.000 of 4% van de totale wereldwijde jaaromzet van een onderneming over het vorige boekjaar als dit hoger uitkomt. Voorbeelden van overtredingen in deze categorie zijn o.a.:
 

  • verwerken van persoonsgegevens zonder geldige grondslag 
  • niet naleven van de regels voor transparantie over het gebruik van gegevens 
  • geen opvolging geven aan verzoeken van betrokkenen t.a.v. recht op inzage, correctie, verwijdering etc. van gegevens 
  • overtreden van de regels voor het verwerken van bijzondere gegevens. 

Nieuw: subcategorieën 
Nieuw is dat de AP binnen deze 2 hoofdcategorieën nu subcategorieën onderscheidt met vastgestelde boetebandbreedten. Deze kunnen oplopen tot de maximale boete in de hoofdcategorie. De AP gaat daarbij uit van een basisboete die naar boven of naar beneden kan worden bijgesteld. Dit is afhankelijk van o.a.: 

  • aard, ernst en duur van de overtreding 
  • opzet of nalatigheid als oorzaak van overtreding 
  • getroffen maatregelen om schade te beperken 
  • eerdere relevante inbreuken op de bescherming van persoonsgegevens 
Categorien: Privacy