U bent hier

OR & Medezeggenschap
Berekening AVG-boetes binnen EU gelijkgetrokken

Berekening AVG-boetes binnen EU gelijkgetrokken

De AVG, inmiddels alweer een aantal jaren oud, krijgt nieuwe, EU-brede regels voor de berekening van boetes. De nieuwe boeteregels gaan alleen voor organisaties gelden, niet voor overheidsinstanties.

Op dit moment hanteren alle nationale privacywaakhonden in de EU nog eigen rekenregels bij het bepalen van de hoogte van boetes voor het overtreden van privacywet AVG (tools). In Nederland is de Autoriteit Persoonsgegevens (AP) met deze taak belast. De European Data Protection Board (EDPB), het samenwerkingsverband van de Europese toezichthouders op het gebied van de privacy, wil dat álle EU-privacytoezichthouders dezelfde boeteregels gaan hanteren.

Afwijkend op drie punten

De nieuwe regels, de zogenoemde ‘fining guidelines’ (pdf), wijken op drie belangrijke punten af van de huidige boetebeleidsregels van de AP:

  • De omvang van de organisatie gaat een grotere rol spelen bij het bepalen van de hoogte van de boete. Ook neemt de AP de omvang straks aan het begin van de berekening mee (en gebruikt hiervoor dus het normbedrag voor een organisatie van die omvang), en niet pas aan het einde van de berekening.
  • Er komen drie categorieën overtreding, te weten ‘laag’, ‘midden’ en ‘hoog’. Per categorie gaat een ander startbedrag gelden.
  • Op dit moment gaat de AP nog uit van een bandbreedte waarbinnen het boetebedrag wordt bepaald. De bandbreedte is in de nieuwe regels bedoeld om het startbedrag te bepalen, waarna het nog kan worden verhoogd of verlaagd.

Suggesties van belanghebbenden

De regels gaan vooralsnog alleen voor organisaties gelden. Niet alle privacytoezichthouders in de EU mogen namelijk boetes opleggen aan overheden. De AP mag dit overigens wel. Daarnaast zijn de fining guidelines nog niet definitief. Tot 27 juni 2022 kunnen belanghebbenden bij de EDPB verbetersuggesties doen die nog in een nieuwe versie worden meegenomen.