Wij horen – net als u – over het dreigingsbeeld van AVG / GDPR-boetes. Kunnen zij echt oplopen tot 4 procent van de omzet of 20 miljoen? Zijn deze sancties te verminderen, of zelfs te voorkomen? Wij deden een korte fact-check.

Over de AVG / GDPR wordt veel gepubliceerd. In de meeste publicaties ontbreekt echter de nuance dat 4% van de omzet of zelfs 20 miljoen een maximum is. Het gaat wel heel kort door de bocht om meteen te stellen dat overtreders van de AVG / GDPR-wetgeving dit soort bedragen moeten betalen.

Voor een goed beeld van de handhaving van de AVG / GDPR namen wij dit EU-document onder de loep. Hierin vonden wij verschillende richtlijnen die u helpen om maximumboetes te verminderen of zelfs te voorkomen.

Guidelines on Fines 2016/679

Richtlijnen die een ‘verminderende werking’ hebben op de maximumboete, zijn bijvoorbeeld:

• de aard, ernst en duur van de overtreding
• of er sprake is van opzet/nalatigheid
• hoeveel individuen slachtoffer zijn
• hoeveel moeite is gedaan om schade voor individuen te beperken
• relevante eerdere overtredingen
• na de overtreding, de mate waarin de organisatie samenwerkt met de Autoriteit Persoonsgegevens om de overtreding te repareren en de schadelijke effecten te beperken
• de wijze waarop de overtreding bekend wordt bij de Autoriteit Persoonsgegevens
• het moment dat de Autoriteit Persoonsgegevens erachter komt
• de categorie van persoonsgegevens betrokken bij de overtreding. Een data-lek van een telefoonnummer is anders dan informatie over het ras, geloof of de medische toestand
• de mate waarin de organisatie verantwoordelijk is, gezien eerder genomen technische en organisatorische maatregelen

Nemen van maatregelen AVG / GDPR

Wanneer u aan kunt tonen dat u de nodige maatregelen heeft getroffen, dan kan dit een maximumboete verminderen. Bent u hierop voorbereid?

Het is raadzaam te laten controleren in hoeverre u aan de Europese eisen voldoet.