Wat zijn de boetes bij een overtreding van de AVG?

 

De toezichthouder mag zeer hoge geldboetes uitdelen aan organisaties die de Algemene Verordening Gegevensbescherming (AVG) overtreden. In Nederland is de Autoriteit Persoonsgegevens (AP) de toezichthouder. De maximale boete bedraagt maximaal € 20.000.000 of 4% van de wereldwijde jaaromzet, mocht dat bedrag hoger uitkomen. De hoogte van de boete verschilt per type overtreding. Daarnaast hangt het ook af van de ernst, omvang en duur van de overtreding.

De boetes moeten volgens de EU doeltreffend, evenredig en afschrikkend zijn. Dit betekent dat de boete zijn doel moet bereiken, maar nog wel in verhouding moet staan tot de overtreding van de AVG. Daarnaast zijn de boetes bedoeld ter afschrikking. Dit blijkt ook wel uit de hoogte van de boetes.

AVG boetes voorkomen?

Privacy Zeker helpt ondernemers met tools, documenten en begeleiding zodat zij kunnen voldoen aan de AVG. Eenvoudig en betaalbaar.

Twee categorieën overtredingen

De AVG kent twee categorieën overtredingen en bijbehorende maximale boetes. De AP stelt het volgende:

 

Wettelijk boetemaximum van € 10.000.000 (of 2% van de wereldwijde jaaromzet)

Organisaties hebben onder de AVG bepaalde verplichtingen, zoals de verplichting van het bijhouden van een verwerkingsregister. Komt een organisatie (één van) deze verplichtingen niet na? Dan kan de AP een boete opleggen van maximaal € 10.000.000. Of een boete van maximaal 2% van de wereldwijde jaaromzet van een onderneming, mocht dat bedrag hoger uitkomen.

De AP heeft hier subcategorieën in aangebracht:

Wettelijk boetemaximum van € 20.000.000 (of 4% van de wereldwijde jaaromzet)

Overtreedt een organisatie de beginselen of grondslagen van de AVG? Of de privacyrechten van de betrokkenen? Dan kan de AP een boete opleggen van maximaal €20.000.000. Of een boete van maximaal 4% van de wereldwijde jaaromzet van een onderneming, mocht dat bedrag hoger uitkomen.

De AP heeft hier subcategorieën in aangebracht:

  • categorie I: € 0 tot € 200.000 (basisboete: € 100.000). Een organisatie valt bijvoorbeeld in deze categorie als zij een minst ernstige inbreuk veroorzaakt op de uitzonderingen van de AVG.
  • categorie II: € 120.000 tot € 500.000 (basisboete: € 310.000). Een organisatie valt bijvoorbeeld in deze categorie als de organisatie niet goed of niet op tijd gehoor geeft aan een verzoek tot de uitoefening van een recht van een betrokkene. 
  • categorie III: € 300.000 tot € 750.000 (basisboete: € 525.000). Een organisatie valt bijvoorbeeld in deze categorie als zij geen privacyreglement heeft, zij rechten van betrokkenen niet honoreert of je gebruikmaakt van een verwerker buiten de EER die niet is goedgekeurd door de Europese Commissie. 
  • categorie IV: € 450.000 tot € 1.000.000 (basisboete: € 725.000). Een organisatie valt bijvoorbeeld in deze categorie als deze zonder rechtmatige grondslag bijzondere persoonsgegevens verwerkt. 

De volledige boetebeleidsregels vind je hier.

 

De hoogte van de boetes in deze subcategorieën komt niet tot € 10.000.000 of € 20.000.000. Dit betekent niet dat de boetes niet in de miljoenen kunnen lopen. De AP heeft de bevoegdheid een afweging te maken welke boete passend is. Als naar het oordeel van de AP de bestaande boetecategorieën geen passende bestraffing toelaat, dan kan de AP een hogere boete opleggen, tot maximaal  € 10.000.000 of € 20.000.000. 

 

Boetes in Nederland

De AP heeft in juli 2019, ruim een jaar na invoering van de AVG, de eerste AVG-boete in Nederland uitgedeeld. Het HagaZiekenhuis heeft een boete van € 460.000 gekregen vanwege onvoldoende interne beveiliging van patiëntendossiers. Daarnaast legt de AP het ziekenhuis een last onder dwangsom op. Zo dwingt de AP het ziekenhuis om de beveiliging van patiëntendossiers te verbeteren. Meer informatie over deze boete vind je hier.

  

Eerste boetes in andere EU-lidstaten

Ook in andere Europese landen zijn er al boetes uitgedeeld. De Duitse toezichthouder heeft een Duits chatplatform een boete van € 20.000 gegeven vanwege het overtreden van de privacywet. De chatdienst heeft wachtwoorden van gebruikers in platte tekst (dus ongecodeerd) opgeslagen. Door de wachtwoorden onveilig op te slaan heeft het bedrijf de AVG geschonden. Ook in Frankrijk is een AVG-boete uitgedeeld. De Franse toezichthouder heeft Google een boete van € 50.000.000 opgelegd. Volgens de Autoriteit informeert Google gebruikers die een account aanmaken niet juist over de data die het bedrijf van hen verzamelt.

Hulp bij privacy

Privacy Zeker helpt ondernemers met tools, documenten en begeleiding zodat zij kunnen voldoen aan de AVG. Eenvoudig en betaalbaar.

Even privé met… Arjan Middelkoop, SIDN

Privacy, gegevensbescherming, de AVG; onderwerpen die bijna dagelijks in het nieuws zijn. In de rubriek ‘Even privé met…’ komen verschillende professionals aan het woord over privacy. We spraken met Arjan Middelkoop, commercieel directeur bij SIDN. Wie ben je en wat...

Recordaantal datalekmeldingen in 2019

In 2019 ontving de Autoriteit Persoonsgegevens (AP) bijna 27.000 datalekmeldingen, een nieuw record. Dit is een stijging van 29% ten opzichte van 2018. Dat blijkt uit de vandaag gepubliceerde jaarcijfers van de AP. De sector met de meeste gemelde datalekken is de...

Nederland koploper in de EU: meeste gemelde datalekken

Sinds de invoering van de AVG op 25 mei 2018 zijn er meer dan 160.000 datalekken gemeld in de EU. Nederland staat bovenaan het lijstje, met ruim 40.000 gemelde datalekken. Op nummer 2 staat Duitsland met ruim 37.000 gemelde datalekken en het Verenigd Koninkrijk sluit...

Samenwerking tussen SIDN en Privacy Zeker

Links: Tom Maarsman, Managing Director van Privacy Zeker. Rechts: Arjan Middelkoop, commercieel directeur bij SIDN Voor veel ondernemers is online security nog steeds een complex onderwerp. Dit terwijl cybercriminelen het juist vaker gemunt hebben op het mkb. Om...

Het privacyjaar 2019

Met 2020 voor de deur is het tijd om terug te kijken op het afgelopen jaar. Ook in 2019 waren privacy, de AVG en databeveiliging weer belangrijke thema’s. 2019 was niet alleen het jaar waarin de AVG zijn eerste verjaardag vierde, maar ook het jaar waarin mensen steeds...

PERSBERICHT: Privacy Zeker certificaat zet nieuwe standaard voor (cyber)veiligheid

AMSTERDAM – Brancheorganisatie ZZP Nederland, verzekeraar Hiscox, netwerkbeveiligingsspecialist SecureMe2 en veilige e-mailspecialist ZIVVER verbinden zich aan het privacycertificaat van AVG-dienstverlener Privacy Zeker. Met dit certificaat tonen organisaties aan dat...

Privacywaakhond: webshops schenden massaal privacywet

Uit een controle van de Autoriteit Persoonsgegevens (AP) blijkt dat veel websites niet op de juiste manier toestemming vragen voor het plaatsen van tracking cookies. De AP controleerde circa 175 websites van onder andere webshops, gemeenten en media. Bijna de helft...

Organisaties verplicht om vooraf privacyrisico’s van vingerafdrukscanners in kaart te brengen

Organisaties die gebruik willen maken van biometrische gegevens, zoals vingerafdrukken of gezichtsscans, zijn vanaf nu verplicht om eerst de privacyrisico’s te onderzoeken.    Hoog privacyrisico De Autoriteit Persoonsgegevens publiceerde deze week een definitieve...

Even privé met… Rick Sulman, Speakup

Privacy, gegevensbescherming, de AVG; onderwerpen die bijna dagelijks in het nieuws zijn. In de rubriek ‘Even privé met…’ komen verschillende professionals aan het woord over privacy. We spraken met Rick Sulman, CEO bij Speakup. Wie ben je en wat doe je?'Ik ben Rick...

Vandaag vieren wij de Dag van de Ondernemer

Vandaag is het de Dag van de Ondernemer. Deze dag is door MKB-Nederland in het leven geroepen om het ondernemerschap te vieren en ondernemers te bedanken en in het zonnetje te zetten. Ondernemers zijn namelijk van grote waarde voor ons land. Ze creëren groei, banen en...

Hoe werkt Privacy Zeker? Bekijk de video.