Autoriteit Persoonsgegevens publiceert boetebeleidsregels

14 maart 2019 zijn in de Staatscourant de nieuwe boetebeleidsregels van de Autoriteit Persoonsgegevens (“AP”) gepubliceerd. Aan de hand van deze beleidsregels is een betere inschatting te maken van de hoogte van de te verwachten boetes onder de AVG en de Uitvoeringswet AVG en het risico wat ondernemingen lopen als zij nog altijd niet voldoen aan de AVG.

In de boetebeleidsregels wordt gewerkt met de volgende categorie-indeling:

Categorie I	Boetebandbreedte tussen € 0 en € 200.000	Basisboete: € 100.000
Categorie II	Boetebandbreedte tussen € 120.000 en € 500.000	Basisboete: € 310.000
Categorie III	Boetebandbreedte tussen € 300.000 en € 750.000	Basisboete: € 525.000
Categorie IV	Boetebandbreedte tussen € 450.000 en € 1.000.000	Basisboete: € 725.000

Basisboete en boetebeleidsregels

De boetebeleidsregels gaan uit van een systeem van een basisboete, te verhogen dan wel te verlagen aan de hand van in de boetebeleidsregels genoemde relevante factoren. Denk daarbij aan de aard, ernst en duur van de inbreuk, de opzettelijke of nalatige aard van de inbreuk, de door de verantwoordelijke of de verwerker genomen maatregelen om de door betrokkenen geleden schade te beperken, eerdere relevante inbreuken door de verwerkingsverantwoordelijke of de verwerker, de mate waarin er met de toezichthouder is samengewerkt om de inbreuk te verhelpen en demogelijke negatieve gevolgen daarvan te beperken, etc. 

Zelfde of soortgelijke overtreding

Als er nog geen 5 jaar is verstreken sinds het opleggen van een bestuurlijke boete door de AP aan de overtreder ter zake van een zelfde of soortgelijke door die overtreder begane overtreding, mag de boete met maar liefst 50 % worden verhoogd, tenzij dat in dat specifieke geval onredelijk zou zijn. 

Een paar concrete voorbeelden:

Het nalaten om een verwerkersovereenkomst schriftelijk of elektronisch vast te leggen	Basisboete: € 100.000
Het zonder toestemming van de verwerkingsverantwoordelijke inschakelen van een subverwerker	Basisboete: € 310.000
Het niet melden van een inbreuk in verband met persoonsgegevens aan de AP	Basisboete: € 525.000
Het in strijd met het verbod verwerken van bijzondere categorieën van persoonsgegevens	Basisboete: € 725.000

Hogere boetes zijn zonder meer denkbaar

De AP mag, als de voor de betreffende overtreding bepaalde categorie van een boete naar het oordeel van de AP geen passende bestraffing toelaat, boetes opleggen tot de bekende maximumbedragen van € 10.000.000 respectievelijk € 20.000.000, maar dan zal de AP moeten motiveren dat en waarom een hogere boete in dat geval gerechtvaardigd is. 

Overtreding van de AVG

Hoewel het een uitdaging lijkt om een maximale boete onder de AVG te incasseren, maken de boetebeleidsregels wel duidelijk dat elke overtreding van de AVG gemakkelijk in de papieren kan lopen. Dat maakt voor die ondernemingen die nog altijd niet aan de AVG voldoen de investering in het naleven van de regels op het gebied van de verwerking van persoonsgegevens wellicht wat beter te verteren. Het uitstellen van die investering kan immers leiden tot substantiële boetes en – belangrijker nog – verlies van vertrouwen van klanten en afnemers. Tijd voor actie! Heeft u vragen, neem dan contact op met een van onze specialisten.  

MENNO WEIJ  Counsel ICT/IE-recht BDO Utrecht menno.weij@bdo.nl
ROBIN JONG  Senior Manager Ondernemingsrecht BDO Eindhoven, BDO Utrecht (030) 284 99 60 / robin.jong@bdo.nl