AVG / GDPR-boete: feit, fictie en nuance?
Wij horen – net als u – over het dreigingsbeeld van AVG / GDPR-boetes. Kunnen zij echt oplopen tot 4 procent van de omzet of 20 miljoen? Zijn deze sancties te verminderen, of zelfs te voorkomen? Wij deden een korte fact-check.
Over de AVG / GDPR wordt veel gepubliceerd. In de meeste publicaties ontbreekt echter de nuance dat 4% van de omzet of zelfs 20 miljoen een maximum is. Het gaat wel heel kort door de bocht om meteen te stellen dat overtreders van de AVG / GDPR-wetgeving dit soort bedragen moeten betalen.
Voor een goed beeld van de handhaving van de AVG / GDPR namen wij dit EU-document onder de loep. Hierin vonden wij verschillende richtlijnen die u helpen om maximumboetes te verminderen of zelfs te voorkomen.
Guidelines on Fines 2016/679
Richtlijnen die een ‘verminderende werking’ hebben op de maximumboete, zijn bijvoorbeeld:
- de aard, ernst en duur van de overtreding
- of er sprake is van opzet/nalatigheid
- hoeveel individuen slachtoffer zijn
- hoeveel moeite is gedaan om schade voor individuen te beperken
- relevante eerdere overtredingen
- na de overtreding, de mate waarin de organisatie samenwerkt met de Autoriteit Persoonsgegevens om de overtreding te repareren en de schadelijke effecten te beperken
- de wijze waarop de overtreding bekend wordt bij de Autoriteit Persoonsgegevens
- het moment dat de Autoriteit Persoonsgegevens erachter komt
- de categorie van persoonsgegevens betrokken bij de overtreding. Een data-lek van een telefoonnummer is anders dan informatie over het ras, geloof of de medische toestand
- de mate waarin de organisatie verantwoordelijk is, gezien eerder genomen technische en organisatorische maatregelen
Nemen van maatregelen AVG / GDPR
Wanneer u aan kunt tonen dat u de nodige maatregelen heeft getroffen, dan kan dit een maximumboete verminderen. Bent u hierop voorbereid?
Het is raadzaam te laten controleren in hoeverre u aan de Europese eisen voldoet.