Omdat de boetes bij het schenden van privacyregels gelijk worden getrokken in Europa, verandert het boetebeleid bij een datalek. De ernst van de overtreding, de omzet van de onderneming en de grootte van het bedrijf worden belangrijker.
Op dit moment hanteert de Autoriteit Persoonsgegevens (AP) een aantal boetecategorieën met een bepaalde bedragbandbreedte met elk een basisboete. Daar hangt de AP een aantal factoren aan die de hoogte bepalen, zoals de duur van het datalek, de ernst van de overtreding en het aantal betrokkenen. De European Data Protection Board komt met nieuwe boeterichtlijnen om de regels van alle lidstaten gelijk te trekken. Daardoor wordt het voor bedrijven makkelijker om te zien waar ze aan toe zijn als er een datalek plaatsvindt.
cm: signalen
Dé wekelijkse digitale nieuwsbrief voor financials!
Ik ga akkoord met het ontvangen van vakinformatie op mijn interessegebieden van de titels van Vakmedianet en heb kennis genomen van het Privacy en Cookie Beleid van Vakmedianet groep.
Startbedrag AVG-boete duidelijker
De nieuwe regels zorgen ervoor dat het boetestartbedrag duidelijker is. Zo wordt de grootte van het bedrijf belangrijker. Dit zorgt ervoor dat het startbedrag verandert, in plaats van dat dit als factor wordt meegeteld op het eind van de berekening. In het huidige Nederlandse beleid wordt ook de ernst van de overtreding al meegewogen, maar dat wordt uniformer en met drie verschillende categorieën met elk een boetehoogte. Met de nieuwe richtlijnen kunnen bedrijven aan het begin van het traject zien wat het startbedrag is waar ze mee te maken krijgen.
Verhoging of verlaging boete
Wel kunnen diverse factoren het startbedrag verhogen. Zo wordt onder de AVG al gekeken naar recidive, maar met de nieuwe richtlijnen wordt een standaardverhoging toegepast wanneer een bedrijf al eerder een soortgelijke overtreding is begaan. Maar toezichthouders wegen ook boeteverlagende factoren mee, bijvoorbeeld als het bedrijf er alles aan gedaan heeft om de gevolgen voor de slachtoffers van de overtreding te beperken.
Definitieve regels volgen
De Europese toezichthouders hanteren een boetebeleid om bedrijven te stimuleren databescherming serieus te nemen en dat verandert dan ook niet. De nieuwe regels zijn nog niet definitief, zo meldt de AP, en tot 27 juni kunnen partijen commentaar leveren op de nieuwe plannen. Belanghebbenden kunnen hier feedback geven aan de Europese raad voor databescherming.
Bron: https://cmweb.nl/2022/05/avg-boetes-ernst-overtreding-omzet-en-bedrijfsgrootte-worden-belangrijker