Hoe werken de boetebeleidsregels van de Autoriteit Persoonsgegevens?
In de AVG is geregeld dat overtredingen kunnen worden bestraft met een maximale boete, die varieert tussen € 10 miljoen of 2% van de wereldwijde jaaromzet en € 20 miljoen of 4% van de wereldwijde jaaromzet, afhankelijk van de zwaarte van de overtreding. De Autoriteit Persoonsgegevens is bevoegd om deze boete op te leggen en hanteert daarvoor boetebeleidsregels. De Autoriteit Persoonsgegevens hanteert 4 boetecategorieën. In de eerste categorie is de basisboete nog € 100.000, maar ligt de bandbreedte tussen € 0 en € 200.000.
Wie bijvoorbeeld te maken heeft met een datalek – maar er werkelijk alles aan heeft gedaan om dit te voorkomen – en daarna zeer adequaat heeft gehandeld, zal een lagere of geen boete opgelegd krijgen. Wie te maken heeft met een datalek dat geen groot nadelig effect heeft, maar dat wel had kunnen worden voorkomen of adequater had kunnen worden aangepakt, loopt het risico dat er een hogere boete wordt opgelegd dan de basisboete. Zo gaat dit met alle categorieën:
- Categorie 2 omvat een basisboete van € 310.000, maar kent een bandbreedte van € 120.000 tot € 500.000.
- Categorie 3 omvat een basisboete van € 525.000, maar kent een bandbreedte van € 300.000 tot € 750.000.
- Categorie 4 omvat een basisboete van € 725.000, maar kent een bandbreedte van € 450.000 tot € 1.000.000.