Het nieuwe AVG-boetebeleid van de AP

Het nieuwe AVG-boetebeleid van de AP

De Algemene verordening gegevensbescherming (AVG) is van toepassing in de gehele EU. De Autoriteit Persoonsgegevens (AP) heeft op 14 maart 2019 het beleid voor boetes bekendgemaakt. Hoe zit dat?


Het AVG-boetebeleid

Kort samengevat komt het neer op:

  • afhankelijk van het overtreden artikel geldt een basisboete en een boete-bandbreedte;
  • afhankelijk van de omstandigheden wordt die basisboete of het minimum of het maximum van de bandbreedte gehanteerd;
  • als dat geen passend resultaat oplevert, kan er een boete uit een hogere of lagere categorie worden opgelegd;
  • bij herhaling volgt een verhoging met 50%;
  • als de beboete partij onvoldoende draagkracht heeft, kan de boete worden gematigd; bij meerdere boetes wordt het wettelijke boetemaximum nooit overschreden.


Categorieën van overtredingen


Overtredingen zijn in vier categorieën verdeeld. Iedere categorie heeft een basisboete en een bandbreedte.

CategorieBoete-bandbreedteBasisboete
I€ 0 tot 200.000 € 100.000
II € 120.000 tot 500.000 € 310.000
III € 300.000 tot 750.000 € 525.000
IV€ 450.000 tot 1.000.000 € 725.000

De AP heeft overtredingen van (meer) administratieve aard in lagere categorieën geplaatst dan andere overtredingen. De schending van privacybeginselen, rechten van betrokken en het niet meewerken met de AP worden in een hoge categorie geplaatst (cat. 3). Het niet voldoen aan eisen rondom verwerkers(overeenkomsten) en het verwerkingsregister worden in lagere categorieën geplaatst (1 of 2).

Meer inzicht in overtredingen per categorie vindt u in deze uitgave van de Staatscourant.

Het toekennen van boetes

In de basis denkt de AP niet direct aan de wettelijke maxima van 10 en 20 miljoen euro (of 2% of 4% van de omzet). Die zijn kennelijk voor de extreme situaties bedoeld.

De basisboetes zijn het uitgangspunt en verder wordt er rekening gehouden met:

  • de aard, ernst en duur van de inbreuk;
  • de maatregelen die zijn genomen om de schade te beperken;
  • eerdere inbreuken;
  • medewerking die is verleend aan de toezichthouder;
  • het feit of de verwerkingsverantwoordelijke is aangesloten bij een goedgekeurde gedragscode of certificering; én
  • de financiële omstandigheden waarin de overtreder verkeert. De AP maakt onderscheid tussen micro-ondernemingen, kleine, middelgrote en grote ondernemingen.

U en AVG-boetes

Stel, er komen personeelsgegevens op straat te liggen, of een medewerker heeft geklaagd geen inzicht te krijgen in zijn dossier… De AP neemt elke klacht in behandeling, maar zal meestal eerst waarschuwen en/of berispen.

Wees proactief (datalek-register) en laat zien dat u iets met de ‘schending’ heeft gedaan. Mocht u controle krijgen, werk dan zo goed mogelijk mee.


U hoeft echt niet zenuwachtig te worden van de hoge AVG-boetes die genoemd worden. Een klacht leidt vaak eerst tot een waarschuwing en/of berisping. Zorg dat u uw AVG-zaakjes op orde heeft en wees proactief bij een mogelijke controle.

Related posts