Nieuwe regels voor berekenen van AVG-boetes ingegaan
22 juni 2023
De Autoriteit Persoonsgegevens heeft nieuwe regels voor de berekening van de boetes voor de Algemene Verordening Gegevensbescherming (AVG) bekendgemaakt die ook meteen zijn ingegaan.
Zo gaat de grootte van een organisatie nu ook een rol spelen bij de start van de berekening en gelden er drie categorieën voor de ernst van de overtreding. Tot nu toe paste iedere privacytoezichthouder in de Europese Unie zijn eigen regels toe voor het berekenen van de AVG-boetes. Daar is nu verandering in gekomen doordat de European Data Protection Board (EDPB) met nieuwe regels is gekomen waardoor alle privacytoezichthouders in de EU voortaan op dezelfde manier de hoogte van de boetes (V&A) bepalen.
Grootte onderneming speelt al rol bij start berekening
Zo gaat de grootte van de organisatie al een rol spelen bij de start van de berekening in plaats van pas aan het einde van de berekening. En voor de bepaling van de ernst van de overtreding zijn er nu drie categorieën ingevoerd: laag, midden en hoog. Per categorie geldt er een ander startbedrag voor de boete.
Niet voor de eerste keer overtreding begaan
De bandbreedte van boetebedragen voor de verschillende soorten overtredingen is gebleven maar de bandbreedte is nu bedoeld om het startbedrag van de boete te bepalen. In het oude systeem werd deze bandbreedte nog toegepast als breedte waarbinnen het boetebedrag werd bepaald. De privacytoezichthouders beginnen de berekening met startbedrag en kijken daarna of de boete nog moet worden aangepast. Bijvoorbeeld een verhoging als het niet de eerste keer is dat een organisatie een overtreding heeft begaan.
Boete kan oplopen tot € 20 miljoen
De boete kan net zoals onder de oude regels oplopen tot € 20 miljoen of 4% van de wereldwijde omzet van de organisatie. De nieuwe regels gaan wel alleen maar gelden voor organisaties/ondernemingen en niet voor overheidsorganen.