Dat een overtreding van de Algemene verordening gegevensbescherming (AVG) een boete tot gevolg kan hebben is bekend. Maar hoe hoog die boete is en voor welke overtreding een boete opgelegd kan worden vaak niet. Een boete is zeker niet alleen in het geval van een datalek, in principe kan elke overtreding tot een boete leiden. De Autoriteit Persoonsgegevens (AP) heeft op 19 februari 2019 het bestaande beleid uit 2016 aangepast. De AP heeft de overtredingen van de AVG en de andere wetten waarop zij toezicht houdt, voor elk wettelijk boetemaximum ingedeeld in 3 of 4 oplopende boetecategorieën. Deze indeling is ingegeven door de zwaarte en ernst van de geschonden norm en de verhouding tot de andere normen in het gegevensbeschermingsrecht.
De AP kan boetes opleggen bij overtredingen van de AVG en de Uitvoeringswet van de AVG. De AP kan ook bij overtredingen op grond van de Wet politiegegevens en de Wet justitiële en strafvorderlijke gegevens een boete opleggen en bij bepaalde overtredingen van de Telecommunicatiewet, de eIDAS-verordening en de Algemene wet bestuursrecht.
Bij het vaststellen van (de hoogte van) de boete houdt de AP in eerste instantie rekening met het maximale bedrag van de boete dat in de wet is vermeld.
Privacy Patrol heeft vanuit de beleidsregels een samenvatting gemaakt van de bedragen per overtreding van een wetsartikel. Zo is het eenvoudiger om na te kijken wat de consequentie is van een overtreding.