Europese privacytoezichthouders gaan hoogte AVG-boetes onderling gelijktrekken – IT Pro – Nieuws

De European Data Protection Board heeft nieuwe regels geformuleerd voor Europese privacytoezichthouders om de hoogte van een boete te bepalen bij schending van de AVG. Vooralsnog verschillen de hoogtes van de boetes per EU-lidstaten aanzienlijk.
De nieuwe Europese fining guidelines geven individuele privacytoezichthouders verbeterde parameters voor het bepalen van de hoogte van een boete, zo legt de Autoriteit Persoonsgegevens uit. Wanneer een bedrijf de Algemene Verordening Gegevensbescherming schendt, kan een boete nog steeds oplopen tot 20 miljoen euro of tot 4 procent van de wereldwijde omzet van het bedrijf. De manier van bepaling van de hoogte van een boete wordt daarentegen op drie punten aangescherpt.
- Privacytoezichthouders nemen direct bij het uitschrijven van een boete de omzet van een bedrijf als uitgangspunt. Vooralsnog werd de omzet van een bedrijf pas later in het proces erbij gehaald. Met de nieuwe fining guidelines bepaalt de omzet van een bedrijf meteen het startbedrag voor de boete.
- De European Data Protection Board formuleert drie categorieën voor de ernst van een betreffend overtreding. Een AVG-schending kan voortaan wat betreft de ernst gecategoriseerd worden als laag, midden en hoog. Voor iedere categorie geldt een vast startbedrag voor de boete.
- De vernieuwde regels gaan uit van een startbedrag, waarna privacytoezichthouders zelf kijken of er redenen zijn om een boete eventueel te verhogen of juist te verlagen. Een bedrijf dat bijvoorbeeld al eerder eenzelfde overtreding maakte kan een verhoging van het startbedrag verwachten. Wanneer een partij er bijvoorbeeld alles aan gedaan heeft om eventuele schade te voorkomen, kan dat verzachtend werken.
Belangenhebbende partijen kunnen tot 27 juni 2022 bij de European Data Protection Board aankloppen voor eventuele kritieken op de nieuwe richtlijnen. Daarna geeft het onafhankelijke Europese samenwerkingsverband van privacytoezichthouders de richtlijnen officieel uit. Overigens kunnen de aankomende richtlijnen alleen toegepast worden op bedrijven, niet op overheden.
Vooralsnog kunnen privacyautoriteiten van Europese lidstaten zeer uiteenlopende boetes uitdelen. De Nederlandse Autoriteit Persoonsgegevens bleek bijvoorbeeld niet zo vaak boetes uit te delen, maar gaf in de enkele gevallen wel relatief hoge boetebedragen uit.

Giliam Budel is bij InternetBlabla.nl betrokken sinds 2020. Giliam is opgegroeid in een klein dorp nabij Utrecht. Ze verhuisde naar Breda om te studeren. Voordat ze betrokken raakte bij InternetBlaBla.nl heeft Giliam even als freelance journalist gewerkt bij een aantal radio stations. Daar versloeg ze politieke en economische verhalen met een digitale component.