EU-brede regels voor berekening AVG-boetes op komst
Er zijn nieuwe regels in de maak voor de berekening van boetes voor bedrijven AVG-regels hebben overtreden). Deze nieuwe regels zijn opgesteld door de European Data Protection Board (EDPB), het samenwerkingsverband van Europese privacytoezichthouders. De regels worden op dit moment geconsulteerd.
Met de nieuwe regels wordt geborgd dat alle privacytoezichthouders in de Europese Unie (EU) voortaan op dezelfde manier de hoogte van boetes berekenen. Hierdoor weten bedrijven waar ze aan toe zijn: de boetes worden in het ene land op dezelfde manier berekend als in het andere. Ook kunnen de toezichthouders elkaar dan beter controleren wanneer zij meekijken bij het onderzoek van een collega-toezichthouder. De nieuwe regels zijn op drie belangrijke punten anders dan de boetebeleidsregels die de AP op dit moment gebruikt:
- Omzet bedrijf
Nu neemt de AP de omvang van het bedrijf pas mee aan het eind van de berekening van de boete. Straks gebeurt dit aan het begin. Bedrijven kunnen dan in de guidelines nagaan welk bedrag als startpunt voor de berekening van de boete voor een bepaalde overtreding wordt gebruikt voor een bedrijf van hun grootte. - Ernst overtreding
Voor de bepaling van de hoogte van de boete wordt ook nu al gekeken naar de ernst van de overtreding. In de nieuwe regels zijn er drie categorieën voor de ernst van de overtreding: laag, midden en hoog. Met de nieuwe regels geldt per categorie een ander startbedrag voor de boete. - Bandbreedte startbedrag
De huidige AP-boetebeleidsregels gaan uit van een bandbreedte waarbinnen een boetebedrag in principe wordt bepaald. In de nieuwe regels is de bandbreedte bedoeld om het startbedrag van de boete te bepalen. Dat bedrag kan daarna nog worden verhoogd of verlaagd. Toezichthouders starten de berekening van de hoogte van de boete met dat startbedrag. Daarna kijken ze of er redenen zijn om de boete te verhogen of te verlagen.
Boetes kunnen onder de nieuwe regels, net als onder de huidige, oplopen tot €20 miljoen of 4% van de wereldwijde omzet van een bedrijf. De nieuwe regels gaan alleen gelden voor bedrijven. Uiteraard brengen we je op de hoogte als bekend is wanneer de nieuwe regels gaan gelden. We zullen dan ook ons Privacyportaal updaten.