De wet bepaalt het maximale bedrag van een boete voor privacyschendingen. Dit kan oplopen tot wel 20 miljoen euro. In veel gevallen zou deze maximale boete echter niet proportioneel zijn. Om een eerlijke boete op te leggen hanteert de Autoriteit Persoonsgegevens (AP), de toezichthouder die de boetes oplegt, daarom beleidsregels voor het berekenen van de hoogte van de boete. Sinds begin juni 2023 zijn deze beleidsregels veranderd: de beleidsregels zijn nu hetzelfde in ieder land van de Europese Unie. Zo zullen de spelregels voor iedere overtreder in de EU gelijk zijn. Welke regels gelden nu?
De AVG
De Algemene Verordening Gegevensbescherming (AVG), de privacywet, schrijft voor dat organisaties een boete kunnen krijgen als zij de wet overtreden. Afhankelijk van hoe erg de overtreding was, kan deze boete oplopen tot maximaal 10 miljoen euro of tot maximaal 20 miljoen euro (artikel 83 AVG). Voor “lichte” overtredingen, zoals het niet melden van een datalek aan een betrokkene, geldt een maximum van 10 miljoen. Voor “zware” overtredingen, zoals het niet meewerken aan de uitoefening van rechten door betrokkenen, geldt een maximum van 20 miljoen. Deze maxima kunnen zelfs worden overschreden, waardoor de boete oploopt tot 2% of 4% van de wereldwijde omzet van de overtreder. Dit kan oplopen tot enorme bedragen, zoals de boete van 1,2 miljard euro voor Meta, de organisatie achter Facebook en Instagram.
De AVG schrijft wel voor dat de boete eerlijk moet zijn: de boete moet “in elke zaak doeltreffend, evenredig en afschrikkend zijn”.
De oude regels
Vroeger hanteerde de AP haar eigen boetebeleidsregels . Alle mogelijke overtredingen van de AVG werden opgedeeld in 4 categorieën van ernst, en aan deze categorieën zijn basisboetes gekoppeld. Deze basisboete was voor iedere overtreder hetzelfde. De basisboete bedroeg 100.000 euro voor de lichtste overtreding, en 725.000 voor de zwaarste.
Vervolgens keek de AP of er omstandigheden zijn die een vermindering of verhoging van de basisboete rechtvaardigen, zoals het aantal getroffen betrokkenen en de getroffen schadebeperkende maatregelen. Uiteindelijk keek de AP nog naar de draagkracht van de overtreder. Dit kon de boete fors beperken, maar kwam slechts voor bij kleine ondernemingen, zoals een lokale afdeling van een politieke partij of een kleine orthodontist.
De nieuwe regels
Het nieuwe beleid laat de indeling in 4 categorieën en de basisboetes los. Er wordt in plaats daarvan weer aansluiting gezocht bij de opdeling in 2 categorieën uit de AVG. Vervolgens wordt een “startbedrag” gezocht in de vorm van een percentage van dit maximum. Voor deze berekening wordt een stappenplan afgewerkt.
1. De ernst van de overtreding
De AP bekijkt hoe ernstig de overtreding is. Dit wordt bepaald aan de hand van vijf factoren:
- De aard van de overtreding
- De zwaarte van de overtreding. Hierbij wordt rekening gehouden met:
- de aard van de verwerking
- de omvang van de verwerking
- het doel van de verwerking
- het aantal getroffen betrokkenen
- de omvang van de door betrokkenen geleden schade
- De duur van de overtreding
- De opzettelijke of nalatige aard van de inbreuk
- De categorieën van persoonsgegevens
Door deze factoren af te wegen, zal de AP komen tot een categorisatie van de ernst van de overtreding. Er zijn 3 categorieën met bijbehorende startbedragen:
- Laag niveau van ernst. Het startbedrag is 0 tot 10 procent van het boetemaximum.
- Gemiddeld niveau van ernst. Het startbedrag is 10 tot 20 procent van het boetemaximum.
- Hoog niveau van ernst. Het startbedrag is 20 tot 100 procent van het boetemaximum.
2. De omzet van de onderneming
De AP bekijkt de omzet van de onderneming om het startbedrag bij te stellen. Dat doet ze als volgt.
- Omzet van minder dan 2 miljoen. Er wordt gerekend met 0,2 tot 0,4 procent van het startbedrag.
- Omzet van 2 tot 10 miljoen. Er wordt gerekend met 0,3 tot 2 procent van het startbedrag.
- Omzet van 10 tot 50 miljoen. Er wordt gerekend met 1,5 tot 10 procent van het startbedrag.
- Omzet van 50 tot 100 miljoen. Er wordt gerekend met 8 tot 20 procent van het startbedrag.
- Omzet van 100 tot 250 miljoen. Er wordt gerekend met 15 tot 50 procent van het startbedrag.
- Omzet van 250 tot 500 miljoen. Er wordt gerekend met 40 tot 100 procent van het startbedrag.
- Omzet van meer dan 500 miljoen. Er wordt gerekend met het startbedrag.
3. Verhogen of verlagen
De AP heeft al naar een aantal factoren omstandigheden gekeken, maar kijkt nu nog of er andere omstandigheden zijn die een vermindering of verhoging van de basisboete rechtvaardigen, zoals de schadebeperkende maatregelen, de verantwoordelijkheid van de overtreder en de mate van medewerking met de AP. De boete mag verhoogd worden, maar mag het maximum uit de wet niet overschrijden.
4. Doeltreffend, evenredig en afschrikkend
Het doel van een boete is dat deze doeltreffend, evenredig en afschrikkend is. De AP toetst het bedrag dat in stap 6 is vastgesteld aan deze drie doelen en schaaft het bedrag bij waar nodig. Hierna is de boete definitief.
Conclusie
Met de nieuwe beleidsregels komt er een grotere nadruk op de omzet van de onderneming. Hoe groter het bedrijf van de overtreder, hoe hoger de boete. Dit kan voor grote ondernemingen een zeer grote wijziging betekenen ten opzichte van de oude regels, waarbij zelfs de strengste basisboete minder dan 1 miljoen euro bedroeg.
Heeft uw bedrijf recent een datalek of een informatieverzoek van de Autoriteit Persoonsgegevens gehad? Of wilt u graag zeker weten dat uw bedrijf de AVG goed naleeft? Neem dan gerust contact op met mij of een van de andere leden van ons multidisciplinaire privacyteam. We helpen u graag.
Thijmen van Hoorn, advocaat privacyrecht
Gerelateerd
Privacy
