AVG / GDPR-boete: feit, fictie en nuance?

Wij horen – net als u – over het dreigingsbeeld van AVG / GDPR-boetes. Kunnen zij echt oplopen tot 4 procent van de omzet of 20 miljoen? Zijn deze sancties te verminderen, of zelfs te voorkomen? Wij deden een korte fact-check.

Over de AVG / GDPR wordt veel gepubliceerd. In de meeste publicaties ontbreekt echter de nuance dat 4% van de omzet of zelfs 20 miljoen een maximum is. Het gaat wel heel kort door de bocht om meteen te stellen dat overtreders van de AVG / GDPR-wetgeving dit soort bedragen moeten betalen.

Voor een goed beeld van de handhaving van de AVG / GDPR namen wij dit EU-document onder de loep. Hierin vonden wij verschillende richtlijnen die u helpen om maximumboetes te verminderen of zelfs te voorkomen.

Guidelines on Fines 2016/679

Richtlijnen die een ‘verminderende werking’ hebben op de maximumboete, zijn bijvoorbeeld:

  • de aard, ernst en duur van de overtreding
  • of er sprake is van opzet/nalatigheid
  • hoeveel individuen slachtoffer zijn
  • hoeveel moeite is gedaan om schade voor individuen te beperken
  • relevante eerdere overtredingen
  • na de overtreding, de mate waarin de organisatie samenwerkt met de Autoriteit Persoonsgegevens om de overtreding te repareren en de schadelijke effecten te beperken
  • de wijze waarop de overtreding bekend wordt bij de Autoriteit Persoonsgegevens
  • het moment dat de Autoriteit Persoonsgegevens erachter komt
  • de categorie van persoonsgegevens betrokken bij de overtreding. Een data-lek van een telefoonnummer is anders dan informatie over het ras, geloof of de medische toestand
  • de mate waarin de organisatie verantwoordelijk is, gezien eerder genomen technische en organisatorische maatregelen

Nemen van maatregelen AVG / GDPR

Wanneer u aan kunt tonen dat u de nodige maatregelen heeft getroffen, dan kan dit een maximumboete verminderen. Bent u hierop voorbereid?

Het is raadzaam te laten controleren in hoeverre u aan de Europese eisen voldoet.