Indien uw onderneming niet voldoet aan de Algemene Verordening Gegevensbescherming (AVG), riskeert u een boete oplopend tot maar liefst 20 miljoen euro. Voor grote ondernemingen geldt zelfs een boete van 4% van de wereldwijde jaaromzet, als dat een hoger bedrag is.

De AVG is van toepassing op organisaties die persoonsgegevens verwerken van bijvoorbeeld personeel, sollicitanten, klanten of websitebezoekers. Per 25 mei 2018 moeten deze organisaties aan kunnen tonen dat de verwerking van persoonsgegevens wordt uitgevoerd in overeenstemming met de AVG en dat hiervoor passende technische en organisatorische maatregelen zijn getroffen. De Autoriteit Persoonsgegevens (AP) heeft in haar nieuwe beleid verschillende boetecategorieën geïntroduceerd die horen bij de diverse AVG-verplichtingen.

Onderscheid tussen nalatigheid en overtreding
De AVG geeft twee boetemaxima: een maximale boete op het nalaten van verplichtingen en een maximale boete op het overtreden van beginselen of grondslagen. Komt een onderneming een verplichting niet na? Dan kan de AP een boete opleggen van maximaal 10 miljoen euro of 2% van de jaaromzet. Veroorzaakt een onderneming ernstige datalekken door nalatigheid, waarbij de privacy of veiligheid van betrokkenen in het geding komen? Dan is er sprake van een overtreding van beginselen of grondslagen. Hiervoor geldt een maximale boete van 20 miljoen euro of 4% van de jaaromzet. Met het nieuwe beleid heeft de AP de boetes onderverdeeld in een aantal categorieën. Deze hebben elk een basisboete. Deze kan per geval worden verhoogd of verlaagd aan de hand van een aantal factoren. Denk hierbij aan de aard, ernst en duur van de overtreding, het aantal betrokkenen en de omvang van de schade. Ook is van belang in hoeverre de overtreding de overtreder kan worden aangerekend en of er al eerder een overtreding heeft plaatsgevonden.