Hoe hoog zijn de boetes bij het schenden van de AVG? Sinds de inwerkingtreding van de Algemene verordening gegevensbescherming (AVG), dienen organisaties zich te houden aan strenge eisen op het gebied van gegevensbescherming. Deze eisen worden echter niet altijd even goed nageleefd. Het niet-naleven van de eisen, kan ervoor zorgen dat de Autoriteit Persoonsgegevens (AP) handhavend optreedt. De AP heeft al meermaals boetes uitgedeeld, omdat organisaties zich niet aan de AVG hebben gehouden.
De AP legt niet zomaar een boete op. Voordat dit gebeurt wordt eerst gedegen onderzoek gedaan, om vast te stellen dat de AVG daadwerkelijk geschonden is. In dit blog wordt uitgelegd wanneer er sprake is van het schenden van de AVG en wat de hoogtes van eventuele boetes (kunnen) zijn.
Wanneer wordt de AVG geschonden?
De AVG behelst internationale regels over de verwerking van persoonsgegevens en op welke wijze organisaties hiermee om dienen te gaan. Het schenden van de AVG vindt in principe plaats wanneer een organisatie zich niet aan de regels uit de AVG houdt. Met alle eisen uit de AVG, is dit nogal een lijst met voorwaarden om aan te voldoen. Ze gelden echter voor iedere organisatie. Enkele van deze regels zijn dat de organisatie:
- De persoonsgegevens enkel verwerkt op basis van een in de AVG gedefinieerde grondslag.
- Concrete doelstellingen dient vast te stellen voor de verwerking van persoonsgegevens.
- Bewaartermijnen voor gegevensverwerking dient vast te stellen en deze ook dient te hanteren.
- Maatregelen, organisatorisch en technologisch van aard, dient te nemen om een gedegen beveiliging van de persoonsgegevens te garanderen.
- Protocollen in plaats heeft en deze naleeft in het geval van een datalek.
- Beschikt over de juiste documentatie in verhouding tot de gegevensverwerking, zoals een privacyverklaring en verwerkingsregisters.
Dit zijn slechts enkele van de eisen waar iedere organisatie aan dient te voldoen. De wijze waarop een organisatie aan deze eisen invulling geeft, staat in sommige gevallen open voor interpretatie. Dit geldt eveneens voor het opleggen van boetes. Hiervoor zijn door de AP verschillende leidraden en beleidsregels opgesteld die hieraan extra invulling geven, zoals de Boetebeleidsregels Autoriteit Persoonsgegevens 2019.
Een datalek leidt niet direct tot een schending van de AVG. Een datalek kan immers altijd voor komen, ook al is de organisatie nog zo goed beveiligd. In het geval van een datalek is het belangrijker dat er gedegen (beveiligings-)maatregelen en protocollen in plaats waren en dat deze allemaal gevolgd werden. Is dit niet het geval? Dan kan er sprake zijn van het schenden van de AVG en kan een boete opgelegd worden.
De hoogte van boetes voor het schenden van de AVG
Voor iedere boete die de AP oplegt, wordt per geval bekeken wat de hoogte hiervan wordt. Aan de hand van de vastgestelde feiten in het onderzoek, zal de AP de hoogte van de boete vaststellen. Hiermee dient bijvoorbeeld rekening gehouden te worden met de duur, de aard en de ernst van de inbreuk, de opzettelijke of nalatige aard van de inbreuk en de genomen maatregelen tot beperking van de inbreuk.
Voor de hoogte van de boetes bepaalt de AP in principe zelf. Wel is er een maximum aan de hoogte van boetes vastgesteld in de AVG. Een boete kan niet hoger zijn dan:
- 20 miljoen euro; of
- 4% van de wereldwijde omzet, indien dit hoger is dan 20 miljoen euro.
Dit geeft de AP veel ruimte om de hoogte van boetes te bepalen en de bedragen vallen dan ook niet laag uit. Het laagste boetebedrag is 7.500 euro voor het niet melden van een datalek en het hoogste boetebedrag is 3,7 miljoen euro voor het bijhouden van zwarte lijsten door de Belastingdienst. Ook overheidsinstanties worden dus verantwoordelijk gehouden voor het schenden van de AVG.
Verreweg de meeste boetes vallen tussen de 400.000 en de 1 miljoen euro. De boetes worden in de meeste gevallen opgelegd omdat de beveiliging van persoonsgegevens niet op orde was, het verwerken van de persoonsgegevens ongegrond was of omdat een datalek niet gemeld werd. Hieruit blijkt ook dat het hebben van een datalek zelf niet leidt tot een boete, maar hoe de organisatie de interne maatregelen rondom gegevensverwerking ingesteld heeft wel.
Licht je goed in over de AVG en houd je kennis op pijl!
Met Juristenblog zorg jij ervoor dat je altijd op de hoogte bent van alles omtrent privacy en de AVG. Meer leren over hoe jij een gedegen AVG-werkwijze binnen de organisatie creëert? Lees dan ook vooral een van onze andere blogartikelen over het privacyrecht!
Hoe hoog zijn de boetes bij het schenden van de AVG? Sinds de inwerkingtreding van de Algemene verordening gegevensbescherming (AVG), dienen organisaties zich te houden aan strenge eisen op het gebied van gegevensbescherming. Deze eisen worden echter niet altijd even goed nageleefd. Het niet-naleven van de eisen, kan ervoor zorgen dat de Autoriteit Persoonsgegevens (AP) handhavend optreedt. De AP heeft al meermaals boetes uitgedeeld, omdat organisaties zich niet aan de AVG hebben gehouden.
De AP legt niet zomaar een boete op. Voordat dit gebeurt wordt eerst gedegen onderzoek gedaan, om vast te stellen dat de AVG daadwerkelijk geschonden is. In dit blog wordt uitgelegd wanneer er sprake is van het schenden van de AVG en wat de hoogtes van eventuele boetes (kunnen) zijn.
Wanneer wordt de AVG geschonden?
De AVG behelst internationale regels over de verwerking van persoonsgegevens en op welke wijze organisaties hiermee om dienen te gaan. Het schenden van de AVG vindt in principe plaats wanneer een organisatie zich niet aan de regels uit de AVG houdt. Met alle eisen uit de AVG, is dit nogal een lijst met voorwaarden om aan te voldoen. Ze gelden echter voor iedere organisatie. Enkele van deze regels zijn dat de organisatie:
- De persoonsgegevens enkel verwerkt op basis van een in de AVG gedefinieerde grondslag.
- Concrete doelstellingen dient vast te stellen voor de verwerking van persoonsgegevens.
- Bewaartermijnen voor gegevensverwerking dient vast te stellen en deze ook dient te hanteren.
- Maatregelen, organisatorisch en technologisch van aard, dient te nemen om een gedegen beveiliging van de persoonsgegevens te garanderen.
- Protocollen in plaats heeft en deze naleeft in het geval van een datalek.
- Beschikt over de juiste documentatie in verhouding tot de gegevensverwerking, zoals een privacyverklaring en verwerkingsregisters.
Dit zijn slechts enkele van de eisen waar iedere organisatie aan dient te voldoen. De wijze waarop een organisatie aan deze eisen invulling geeft, staat in sommige gevallen open voor interpretatie. Dit geldt eveneens voor het opleggen van boetes. Hiervoor zijn door de AP verschillende leidraden en beleidsregels opgesteld die hieraan extra invulling geven, zoals de Boetebeleidsregels Autoriteit Persoonsgegevens 2019.
Een datalek leidt niet direct tot een schending van de AVG. Een datalek kan immers altijd voor komen, ook al is de organisatie nog zo goed beveiligd. In het geval van een datalek is het belangrijker dat er gedegen (beveiligings-)maatregelen en protocollen in plaats waren en dat deze allemaal gevolgd werden. Is dit niet het geval? Dan kan er sprake zijn van het schenden van de AVG en kan een boete opgelegd worden.
De hoogte van boetes voor het schenden van de AVG
Voor iedere boete die de AP oplegt, wordt per geval bekeken wat de hoogte hiervan wordt. Aan de hand van de vastgestelde feiten in het onderzoek, zal de AP de hoogte van de boete vaststellen. Hiermee dient bijvoorbeeld rekening gehouden te worden met de duur, de aard en de ernst van de inbreuk, de opzettelijke of nalatige aard van de inbreuk en de genomen maatregelen tot beperking van de inbreuk.
Voor de hoogte van de boetes bepaalt de AP in principe zelf. Wel is er een maximum aan de hoogte van boetes vastgesteld in de AVG. Een boete kan niet hoger zijn dan:
- 20 miljoen euro; of
- 4% van de wereldwijde omzet, indien dit hoger is dan 20 miljoen euro.
Dit geeft de AP veel ruimte om de hoogte van boetes te bepalen en de bedragen vallen dan ook niet laag uit. Het laagste boetebedrag is 7.500 euro voor het niet melden van een datalek en het hoogste boetebedrag is 3,7 miljoen euro voor het bijhouden van zwarte lijsten door de Belastingdienst. Ook overheidsinstanties worden dus verantwoordelijk gehouden voor het schenden van de AVG.
Verreweg de meeste boetes vallen tussen de 400.000 en de 1 miljoen euro. De boetes worden in de meeste gevallen opgelegd omdat de beveiliging van persoonsgegevens niet op orde was, het verwerken van de persoonsgegevens ongegrond was of omdat een datalek niet gemeld werd. Hieruit blijkt ook dat het hebben van een datalek zelf niet leidt tot een boete, maar hoe de organisatie de interne maatregelen rondom gegevensverwerking ingesteld heeft wel.
Licht je goed in over de AVG en houd je kennis op pijl!
Met Juristenblog zorg jij ervoor dat je altijd op de hoogte bent van alles omtrent privacy en de AVG. Meer leren over hoe jij een gedegen AVG-werkwijze binnen de organisatie creëert? Lees dan ook vooral een van onze andere blogartikelen over het privacyrecht!
Over Juristenblog.nl
Het team van Juristenblog.nl bestaat uit ervaren juristen. Wekelijks wordt onderzoek gedaan naar interessante onderwerpen waarover geschreven kan worden. Vervolgens schrijft de jurist met de meeste kennis van het onderwerp de betreffende blog. Op deze manier blijft ons concept up-to-date en relevant.
Gerelateerde berichten
Schrijf je in & Blijf op de hoogte
Laat hieronder je e-mailadres achter en ontvang elke maandagochtend een overzicht van de meest recente berichten die op juristenblog.nl zijn verschenen.
We spammen niet. Je kunt je op ieder moment uitschrijven.