De European Data Protection Board (EDPB) wil de boetes die Europese toezichthouder opleggen bij overtredingen van de Algemene verordening gegevensbescherming in alle EU-lidstaten gelijk trekken. De toezichthouders moeten boetes op dezelfde wijze gaan berekenen.
Dit meldt de Autoriteit Persoonsgegevens (AP). Op dit moment hanteert elke privacytoezichthouder in de EU nog eigen regels. Door de berekening van boetes gelijk te trekken, moet het voor bedrijven duidelijk worden waar zij aan toe zijn. Ook kunnen toezichthouders elkaar beter gaan controleren indien zij meekijken met het onderzoek van een toezichthouder in een andere EU-lidstaat.
Omzet speelt grotere rol
In de nieuwe rekenmethode speelt de omzet van een bedrijf een grotere rol. Nu neemt de AP de omvang van het bedrijf pas mee aan het eind van de berekening van de boete. Dit gebeurt straks juist aan het begin. Bedrijven kunnen in de guidelines zien welk bedrag als startpunt wordt gehanteerd voor de berekening van de boete voor een bepaalde overtreding voor een bedrijf van hun grootte.
Ook de ernst van de overtreding gaat een grotere rol spelen. Deze is verdeeld in drie categorieën: laag, midden en hoog. De AP kijkt al langer naar de ernst van de overtreding bij het bepalen van de boete. Deze ernst wordt echter vooralsnog niet gecategoriseerd. Met de nieuwe regels geldt per categorie een ander startbedrag voor de boete, meldt de AP.
Startbedrag bepalen
In de nieuwe richtlijnen is een bandbreedte beschikbaar voor boetebedragen voor verschillende soorten overtredingen. Binnen de huidige regels gaat de AP uit van een bandbreedte waarbinnen het boetebedrag in principe wordt bepaald. In de nieuwe regels is de bandbreedte echter bedoeld om het startbedrag van de boete te betalen. Dat bedrag kan vervolgens worden verhoogd of juist verlaagd, afhankelijk van verschillende factoren. Bijvoorbeeld indien een bedrijf eerder een vergelijkbare overtreding is begaan. Een boeteverlagende factor kan juist zijn dat het bedrijf er alles aan heeft gedaan om de gevolgen voor slachtoffers van de overtreding te beperken.
De boetes die toezichthouders onder de nieuwe regels kunnen opleggen kunnen – net als nu het geval is – oplopen tot 20 miljoen euro of vier procent van de wereldwijde omzet van een bedrijf.
Databescherming naar hoger niveau tillen
Petra Claessen, CEO van BTG en BTG Services: “Databescherming is van groot belang, onder meer met het oog op de veiligheid van gevoelige informatie en het vertrouwen van gebruikers in de wijze waarop bedrijven met hun gegevens omspringen. De AVG speelt een belangrijke rol in het bewaken van databescherming. Door de boetes die toezichthouders in de verschillende EU-lidstaten opleggen bij overtredingen van de AVG ontstaat een gelijk speelveld, waarbij partijen in iedere lidstaat dezelfde behandeling en beoordeling kunnen verwachten. Ook het feit dat toezichthouders elkaar beter kunnen controleren indien zij meekijken met een onderzoek is goed nieuws. De stap tilt databescherming in de EU naar een hoger niveau.”