Er zijn nieuwe regels in de maak voor Europese bedrijven die de Algemene verordening gegevensbescherming (AVG) overtreden. Dat heeft de European Data Protection Board (EDPB) – het samenwerkingsverband van Europese privacytoezichthouders – voorgesteld. De Nederlandse Autoriteit Persoonsgegevens (aangesloten bij de EDPB) heeft als rapporteur op het onderwerp een leidende rol gespeeld in het nieuwe voorstel. Als dat wordt aangenomen, worden boetes voor bedrijven die de regels overtreden voortaan in heel Europa op dezelfde manier berekend.
De AVG-wetgeving bestaat sinds mei 2018. Toen is besloten dat er in de hele Europese Unie dezelfde privacywetgeving moest gelden. Maar een eenduidig boetesysteem is er tot op heden niet. Daar komt met dit voorstel nu verandering in. Men wil onder andere de omzet van een bedrijf een grote rol laten spelen in de omvang van de boete. Hoe meer omzet een onderneming maakt, hoe hoger het startbedrag van de boete. Er worden kaders opgesteld die het bedrijf inzage geven in het bedrag dat bij de grootte van het bedrijf hoort.
Categorieën
Daarnaast worden er drie categorieën opgesteld die de ernst van de overtreding aangeven: laag, midden en hoog. Ook voor die drie categorieën gelden aparte bedragen. Rekening houdend met de omzet van een bedrijf, wordt daarna een startbedrag voor de boete vastgesteld. Daar kan nog extra geld bovenop komen, bijvoorbeeld als een bedrijf al eerder in de fout is gegaan. Die boetes kunnen – zoals de regels nu ook al aangeven – oplopen tot maximaal 20 miljoen euro of 4 procent van de wereldwijde omzet die een bedrijf maakt.
Door de nieuwe wetgeving kunnen Europese privacytoezichthouders elkaar makkelijker controleren. Dat moet tot meer transparantie leiden. Kijkt een toezichthouder mee bij een onderzoek van een collega-toezichthouder, dan is het handig als er eenduidige kaders zijn. Zo is het makkelijker om te bepalen of de procedure correct is verlopen en het boetebedrag klopt.
Overheden
De nieuwe regels gelden niet voor overheden, enkel voor bedrijven. Dit is omdat niet alle Europese privacytoezichthouder boetes aan overheden mogen uitschrijven. De Nederlandse Autorieit Persoonsgegevens mag dit wel: zij onderzoeken momenteel of er ook wat in die boeteberekening moet veranderen.
De nieuwe regels zijn nog niet definitief: tot 27 juni kunnen belanghebbenden suggesties doen om de regelgeving te wijzigen. Daarna komt er een nieuw voorstel en worden de regels definitief.
