De financiële sancties bij schending van de Algemene Verordening Gegevensbescherming kunnen oplopen tot €20 miljoen of 4% van de wereldwijde jaaromzet, afhankelijk van de ernst van de overtreding. Deze regeling kent twee boetecategorieën: lichtere overtredingen (max €10 miljoen/2%) en zwaardere schendingen (max €20 miljoen/4%). De Autoriteit Persoonsgegevens bepaalt de exacte hoogte op basis van factoren zoals intentie, omvang en eerder gedrag van de organisatie.
Wat zijn de boetes voor AVG-overtredingen?
De privacywetgeving in Europa voorziet in een robuust sanctiesysteem voor organisaties die de regels niet naleven. Het boetestelsel van de privacyregelgeving is opgedeeld in twee duidelijke niveaus. Bij het eerste niveau gaat het om sancties tot €10 miljoen of 2% van de wereldwijde jaaromzet voor lichtere overtredingen, zoals tekortkomingen in de administratieve verplichtingen.
Voor ernstigere gevallen kan de toezichthouder boetes opleggen tot €20 miljoen of 4% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. Hieronder vallen bijvoorbeeld het verwerken van gegevens zonder toestemming of het negeren van rechten van betrokkenen.
De Nederlandse toezichthouder wordt steeds actiever in het uitdelen van sancties. Zo kreeg de Belastingdienst in 2021 een boete van €2,75 miljoen voor onrechtmatige verwerking van persoonsgegevens in de toeslagenaffaire, en moest Transavia €400.000 betalen voor onvoldoende beveiliging van klantgegevens.
Hoe worden AVG-boetes precies berekend?
Bij het bepalen van de hoogte van een sanctie kijkt de Autoriteit Persoonsgegevens naar diverse factoren. Allereerst weegt de ernst van de overtreding zwaar mee – een datalek met medische gegevens wordt bijvoorbeeld als ernstiger beschouwd dan een incident met minder gevoelige informatie.
Ook belangrijk is de intentie achter de overtreding: was er sprake van nalatigheid of opzet? Het aantal getroffen personen speelt eveneens een rol, net als de duur van de inbreuk. Verder beoordeelt de toezichthouder welke maatregelen de organisatie heeft genomen na het ontdekken van de overtreding.
Eerdere overtredingen kunnen zorgen voor hogere boetes – recidive wordt streng bestraft. Tenslotte kijkt de toezichthouder naar de mate van medewerking tijdens het onderzoek en de financiële impact die een boete heeft op de specifieke organisatie.
Welke AVG-overtredingen leiden tot de hoogste boetes?
De zwaarste sancties worden opgelegd voor het schenden van de basisbeginselen van de privacywetgeving. Hiertoe behoren overtredingen zoals het verwerken zonder rechtmatige grondslag (bijvoorbeeld zonder toestemming of wettelijke verplichting) en het negeren van de rechten van betrokkenen, zoals het recht op inzage of verwijdering.
Ook het onvoldoende beveiligen van persoonsgegevens kan tot forse boetes leiden, zeker als dit resulteert in een datalek. Internationale gegevensoverdrachten naar landen zonder adequaat beschermingsniveau vormen eveneens een ernstige overtreding.
Andere overtredingen die zwaar bestraft worden zijn het verzamelen van meer gegevens dan noodzakelijk (dataminimalisatie), het verwerken van bijzondere persoonsgegevens zonder specifieke rechtvaardiging, en het niet melden van datalekken binnen de verplichte 72 uur.
Krijgen MKB’ers dezelfde AVG-boetes als grote bedrijven?
De wetgeving voorziet in proportionaliteit bij het opleggen van sancties. De toezichthouder houdt rekening met de omvang en aard van de organisatie, waardoor MKB’ers in de praktijk vaak lagere boetes krijgen dan multinationals voor vergelijkbare overtredingen.
Deze evenredigheid betekent echter niet dat kleine bedrijven gevrijwaard zijn van substantiële sancties. Een ernstige overtreding door een klein bedrijf kan nog steeds leiden tot een aanzienlijke boete die de continuïteit van de onderneming bedreigt.
In Nederland zien we bijvoorbeeld dat kleinere ondernemingen relatief vaker eerst een waarschuwing krijgen, terwijl bij grote organisaties sneller wordt overgegaan tot boetes. Zo kreeg een klein advocatenkantoor een boete van €15.000 voor onvoldoende beveiliging, terwijl een grote zorginstelling €460.000 moest betalen voor vergelijkbare tekortkomingen in de gegevensbeveiliging.
Wat gebeurt er voordat een AVG-boete wordt opgelegd?
Het proces van handhaving begint meestal met een onderzoek door de Autoriteit Persoonsgegevens, vaak naar aanleiding van een klacht of datalek-melding. Na het onderzoek volgt een voorlopig oordeel, waarop de organisatie kan reageren via een zienswijze procedure.
Bij kleinere overtredingen geeft de toezichthouder vaak eerst een waarschuwing of een last onder dwangsom, waarbij de organisatie de kans krijgt om de overtreding te beëindigen. Pas bij ernstige overtredingen of bij het negeren van eerdere waarschuwingen volgt meestal een boete.
Organisaties hebben tijdens het hele proces het recht om gehoord te worden en kunnen bezwaar maken tegen voorlopige beslissingen. De doorlooptijd van een onderzoek tot boetebesluit kan variëren van enkele maanden tot meer dan een jaar, afhankelijk van de complexiteit van de zaak.
Kan een bedrijf bezwaar maken tegen een AVG-boete?
Tegen een opgelegde boete kan altijd bezwaar worden gemaakt binnen zes weken na bekendmaking van het besluit. In dit bezwaarschrift moet je duidelijk aangeven waarom je het niet eens bent met de boete of de hoogte ervan.
Na de bezwaarprocedure bestaat de mogelijkheid om in beroep te gaan bij de rechtbank, en daarna eventueel in hoger beroep bij de Afdeling bestuursrechtspraak van de Raad van State. De slagingskans van bezwaren varieert, maar is het hoogst wanneer je kunt aantonen dat de toezichthouder procedurele fouten heeft gemaakt of de ernst van de overtreding onjuist heeft beoordeeld.
Een succesvol voorbeeld is de zaak waarbij een ziekenhuis de boete verlaagd zag van €460.000 naar €350.000 na bezwaar, omdat ze konden aantonen dat ze al aanzienlijke verbeteringen hadden doorgevoerd vóór het boetebesluit.
Hoe kunnen organisaties AVG-boetes voorkomen?
Preventie begint met het implementeren van een solide privacy-management systeem. Het aanstellen van een Functionaris Gegevensbescherming (FG) is voor veel organisaties niet alleen wettelijk verplicht, maar ook een effectieve manier om compliance te waarborgen.
Regelmatige privacy-audits helpen om zwakke plekken tijdig te identificeren en aan te pakken. Daarnaast is het cruciaal om alle verwerkingsactiviteiten goed te documenteren in een verwerkingsregister, inclusief doeleinden en wettelijke grondslagen.
Training van medewerkers over privacy en informatiebeveiliging is essentieel – veel datalekken ontstaan immers door menselijke fouten. Zorg ook voor duidelijke procedures bij incidenten, zodat je snel en adequaat kunt reageren wanneer er toch iets misgaat.
Zijn er naast boetes nog andere consequenties van AVG-overtredingen?
De financiële sancties zijn slechts één aspect van de mogelijke gevolgen. Minstens zo impactvol is de reputatieschade die kan ontstaan wanneer een overtreding publiek wordt. Klanten zijn steeds privacybewuster en kunnen hun vertrouwen in je organisatie verliezen.
Daarnaast kunnen betrokkenen wier gegevens onrechtmatig zijn verwerkt schadevergoedingen eisen via civiele procedures. Deze claims kunnen, zeker bij grote aantallen gedupeerden, oplopen tot substantiële bedragen.
Ook zakelijke relaties kunnen worden beïnvloed – partners en klanten stellen steeds vaker eisen aan privacy-compliance voordat ze zaken willen doen. In sommige sectoren kan een ernstige overtreding zelfs leiden tot het intrekken van vergunningen of certificeringen die noodzakelijk zijn voor de bedrijfsvoering.
AVG-compliance: Essentiële stappen voor uw bedrijfsbeveiliging
Voor effectieve bescherming tegen privacyrisico’s is een proactieve benadering cruciaal. Begin met het in kaart brengen van alle gegevensverwerkingen en het implementeren van passende beveiligingsmaatregelen. Zorg voor up-to-date beleidsdocumenten en verwerkersovereenkomsten.
De privacywetgeving blijft zich ontwikkelen, dus het is belangrijk om op de hoogte te blijven van nieuwe interpretaties en uitspraken. De e-Privacy Verordening en andere aanvullende regelgeving zullen de komende jaren voor nieuwe uitdagingen zorgen.
Bij NTNT Rotterdam begrijpen we dat privacy-compliance complex kan zijn, vooral voor organisaties zonder specialistische kennis in huis. We helpen je graag met privacy-audits, het opstellen van beleidsdocumenten en het implementeren van technische beveiligingsmaatregelen. Met onze expertise zorg je niet alleen voor naleving van de regels, maar versterk je ook het vertrouwen van je klanten en partners in jouw organisatie.
