Management

Dit is een bijdrage van KPMG
Security
Hogere boetes voor overtreding van de AVG!

Hogere boetes voor overtreding van de AVG!

Na een relatief rustig eerste jaar maakte de Autoriteit Persoonsgegevens (AP) bekend de komende tijd steviger te gaan handhaven.

26 april 2019
Door: KPMG, partner

Na een relatief rustig eerste jaar maakte de Autoriteit Persoonsgegevens (AP) bekend de komende tijd steviger te gaan handhaven.

En dat betekent ook: meer boetes. In haar nieuwe boetebeleidsregels maakt de AP nu duidelijker wat de hoogte van de boetes wordt. We zetten de mogelijke risico’s voor u op een rij.

Bestaande richtlijnen
Wanneer een bedrijf de Algemene verordening gegevensbescherming (AVG) overtreedt, mag de AP vanuit de AVG en de Uitvoeringswet van de AVG (UAVG) een boete opleggen.

Voor het toekennen van boetes hanteerde de AP eerder al deze richtlijnen, samengevat in twee categorieën:
1. Overtreedt een bedrijf de privacyrechten van de betrokkenen of de beginselen uit de AVG? Voorbeelden zijn het onrechtmatig verwerken van bijzondere persoonsgegevens of het niet voldoen aan het verzoek tot verwijdering. Dan mag de AP een boete opleggen van maximaal € 20 miljoen of 4% van de jaaromzet.
2. Houdt een bedrijf zich niet aan de verplichtingen die de AVG aan de verantwoordelijke oplegt? Een voorbeeld is het niet bijhouden van een verwerkingsregister. Dan mag de AP een boete opleggen van maximaal € 10 miljoen of 2% van de jaaromzet.

Meer duidelijkheid over boetes
In de nieuwe boetebeleidsregels geeft de AP meer duidelijkheid over de berekening en de hoogte van het bedrag. Of zij een boete oplegt en hoe hoog die is, hangt af van de omstandigheden van het geval. Denk aan de ernst van de overtreding, de schade, het aantal betrokkenen en of het verwijtbaar is.

De AP heeft de boetes opgedeeld in vier categorieën, variërend van € 0 tot € 725.000. In iedere categorie is een basisbedrag vastgesteld, dat naar boven of naar beneden kan worden bijgesteld. Dit is afhankelijk van de omstandigheden, zoals we die hierboven noemden. Ook houdt de AP rekening met de financiële omstandigheden van de overtreder. Zo kan een boete verschillen voor grote, middelgrote of kleine ondernemingen.

De risico’s op een rij: boete per overtreding

  • Heeft u geen privacy statement waarin u verantwoordt waarom u persoonsgegevens verwerkt? Dan informeert u betrokkenen onvoldoende en riskeert u een boete tussen de € 300.000 en € 750.000.
  • Heeft u wel een privacy statement, maar geeft u daarin niet aan hoe betrokkenen een inzage- of verwijderingsverzoek kunnen indienen? De boete hiervoor ligt tussen de € 120.000 en € 500.000.
  • Faciliteert u een verzoek tot inzage of verwijdering niet of niet goed? De boete hiervoor ligt tussen de € 300.000 en € 750.000.
  • Verwerkt u onrechtmatig bijzondere persoonsgegevens of burgerservicenummers (BSN)? Dan riskeert u een boete tussen de € 450.000 en € 725.000.
  • Meldt u een datalek niet aan de AP of aan de betrokkenen? Dan riskeert u een boete tussen de € 300.000 en € 750.000.
  • Is uw bedrijf verplicht een functionaris voor gegevensbescherming (FG) te hebben en ontbreekt deze nog? Dan kunt u een boete krijgen tussen de € 120.000 en € 500.000.
     

Zo helpt KPMG
Een goede vertrouwensrelatie met uw klanten en medewerkers is de basis van het succes van uw organisatie. Met een Data Protection Officer (DPO), oftewel een functionaris voor gegevensbescherming (FG), versterkt u die vertrouwensrelatie direct. Kiest u voor onze dienst DPO as a Service, dan profiteert u bovendien van flexibele inzet en altijd passende expertise. 

Geen DPO nodig, maar wel behoefte aan incidentele ondersteuning bij privacyvragen? Vraag ons dan naar de mogelijkheden van onze Privacy helpdesk.

Met onze diensten bieden we u een complete aanpak: onze privacy-experts kennen bedrijfsprocessen en -risico's door en door, kunnen privacyraamwerken goed doorvertalen naar uw bedrijf en hanteren daarbij een pragmatische en hands-on aanpak. Met een scala aan specialismen gerelateerd aan privacy, in Nederland én in Europa, weet u zeker dat het vertrouwen van al uw relaties geborgd is.

Meer informatie
Wilt u meer informatie over hoe u de AVG voor ú kunt laten werken? Neem dan contact op met Chantal Rademaker de Ridder, partner Cyber Security & Data Privacy.

Reactie toevoegen