Dat een overtreding van de privacywet een boete tot gevolg kan hebben is bekend. Maar hoe hoog die boete is en waarvoor vaak niet. De Autoriteit Persoonsgegevens (AP) heeft op 19 februari 2019 het bestaande beleid uit 2016 aangepast. De AP heeft de overtredingen van de AVG en de andere wetten waarop zij toezicht houdt, voor elk wettelijk boetemaximum ingedeeld in 3 of 4 boetecategorieën, waaraan oplopende geldboetes zijn verbonden. Deze indeling is ingegeven door de zwaarte en ernst van de geschonden norm en de verhouding tot de andere normen in het gegevensbeschermingsrecht.

Privacy Patrol heeft vanuit de beleidsregels een samenvatting gemaakt van de bedragen per overtreding van een wetsartikel. Zo is het eenvoudiger om na te kijken wat de consequentie is van een overtreding.

Boeteoverzicht

Overtredingen met een wettelijk boetemaximum van € 10.000.000 respectievelijk € 20.000.000 of, voor een onderneming, tot 2% respectievelijk 4% van de totale wereldwijde jaaromzet in het voorgaande boekjaar

#WetWetsartikelOmschrijvingCat.BasisboeteBoetebandbreedte
1AVGartikel 8voorwaarden voor de toestemming van kinderen met betrekking tot diensten van de informatiemaatschappij2€ 310.000€ 120.000 - € 500.000
2AVGartikel 11verwerking waarvoor identificatie niet is vereist1€ 100.000€ 0 - € 200.000
3AVGartikel 25gegevensbescherming door ontwerp en door standaardinstellingen2€ 310.000€ 120.000 - € 500.000
4AVGartikel 26gezamenlijke verwerkingsverantwoordelijken1€ 100.000€ 0 - € 200.000
5AVGartikel 27, behoudens het derde lidvertegenwoordigers van niet in de Unie gevestigde verwerkingsverantwoordelijken of verwerkers3€ 525.000€ 300.000 - € 750.000
6AVGartikel 27, derde lidvertegenwoordigers van niet in de Unie gevestigde verwerkingsverantwoordelijken of verwerkers2€ 310.000€ 120.000 - € 500.000
7AVGartikel 28, behoudens het negende lidverwerker2€ 310.000€ 120.000 - € 500.000
8AVGartikel 28, negende lidverwerker1€ 100.000€ 0 - € 200.000
9AVGartikel 29verwerking onder gezag van de verwerkingsverantwoordelijke of de verwerker1: indien de overtreder een natuurlijke persoon is, 2: indien de overtreder een rechtspersoon is, of onderdeel daarvan€ 100.000 - € 310.000€ 0 - € 500.000
10AVGartikel 30, behoudens het derde lidregister van de verwerkingsactiviteiten2€ 310.000€ 120.000 - € 500.000
11AVGartikel 30, derde lidregister van de verwerkingsactiviteiten1€ 100.000€ 0 - € 200.000
12AVGartikel 31medewerking met de toezichthoudende autoriteit3€ 525.000€ 300.000 - € 750.000
13AVGartikel 32beveiliging van de verwerking2€ 310.000€ 120.000 - € 500.000
14AVGartikel 33, behoudens het derde lidmelding van een inbreuk in verband met persoonsgegevens aan de toezichthoudende autoriteit3€ 525.000€ 300.000 - € 750.000
15AVGartikel 33, derde lidmelding van een inbreuk in verband met persoonsgegevens aan de toezichthoudende autoriteit2€ 310.000€ 120.000 - € 500.000
16AVGartikel 34, behoudens het tweede lidmededeling van een inbreuk in verband met persoons-gegevens aan de betrokkene3€ 525.000€ 300.000 - € 750.000
17AVGartikel 34, tweede lidmededeling van een inbreuk in verband met persoonsgegevens aan de betrokkene2€ 310.000€ 120.000 - € 500.000
18AVGartikel 35, behoudens het negende lidgegevensbeschermingseffectbeoordeling2€ 310.000€ 120.000 - € 500.000
19AVGartikel 35, negende lidgegevensbeschermingseffectbeoordeling1€ 100.000€ 0 - € 200.000
20AVGartikel 36voorafgaande raadpleging2€ 310.000€ 120.000 - € 500.000
21AVGartikel 37, behoudens het zevende lidaanwijzing van de functionaris voor gegevensbescherming2€ 310.000€ 120.000 - € 500.000
22AVGartikel 37, zevende lidaanwijzing van de functionaris voor gegevensbescherming1€ 100.000€ 0 - € 200.000
23AVGartikel 38, behoudens het tweede en zesde lidpositie van de functionaris voor gegevensbescherming2€ 310.000€ 120.000 - € 500.000
24AVGartikel 38, tweede en zesde lidpositie van de functionaris voor gegevensbescherming1€ 100.000€ 0 - € 200.000
25AVGartikel 39taken van de functionaris voor gegevensbescherming2€ 310.000€ 120.000 - € 500.000
26AVGartikel 41, vierde lidtoezicht op goedgekeurde gedragscodes1€ 100.000€ 0 - € 200.000
27AVGartikel 42, behoudens het derde en zesde lidcertificering2€ 310.000€ 120.000 - € 500.000
28AVGartikel 42, derde lidcertificering1€ 100.000€ 0 - € 200.000
29AVGartikel 42, zesde lidcertificering3€ 525.000€ 300.000 - € 750.000
30AVGartikel 43certificeringsorganen1€ 100.000€ 0 - € 200.000
31UAVGartikel 18, eerste lidbestuurlijke boete aan overheden1, 2, of 3, afhankelijk van de indeling van de onderliggende bepaling€ 100.000 - € 525.000€ 0 - € 750.000
32AVGartikel 5, eerste lid, behoudens onder abeginselen inzake verwerking van persoonsgegevens3€ 525.000€ 300.000 - € 750.000
33AVGartikel 5, eerste lid, onder a en tweede lidbeginselen inzake verwerking van persoonsgegevens1, 2, 3 of 4, afhankelijk van de indeling van de onderliggende bepaling€ 100.000 - € 725.000€ 0 - € 1.000.000
34AVGartikel 6rechtmatigheid van de verwerking3€ 525.000€ 300.000 - € 750.000
35AVGartikel 7voorwaarden voor toestemming3€ 525.000€ 300.000 - € 750.000
36AVGartikel 9verwerking van bijzondere categorieën van persoonsgegevens4€ 725.000€ 450.000 - € 1.000.000
37AVGartikel 12, behoudens het derde tot en met vijfde lidtransparante informatie, communicatie en nadere regels voor de uitoefening van de rechten van de betrokkene3€ 525.000€ 300.000 - € 750.000
38AVGartikel 12, derde tot en met vijfde lidtransparante informatie, communicatie en nadere regels voor de uitoefening van de rechten van de betrokkene2€ 310.000€ 120.000 - € 500.000
39AVGartikel 13te verstrekken informatie wanneer persoonsgegevens bij de betrokkene worden verzameld3€ 525.000€ 300.000 - € 750.000
40AVGartikel 14te verstrekken informatie wanneer de persoonsgegevens niet van de betrokkene zijn verkregen3€ 525.000€ 300.000 - € 750.000
41AVGartikel 15recht van inzage van de betrokkene3€ 525.000€ 300.000 - € 750.000
42AVGartikel 16recht op rectificatie3€ 525.000€ 300.000 - € 750.000
43AVGartikel 17recht op gegevenswissing3€ 525.000€ 300.000 - € 750.000
44AVGartikel 18, behoudens het derde lidrecht op beperking van de verwerking3€ 525.000€ 300.000 - € 750.000
45AVGartikel 18, derde lidrecht op beperking van de verwerking2€ 310.000€ 120.000 - € 500.000
46AVGartikel 19kennisgevingsplicht inzake rectificatie of wissing van persoonsgegevens of verwerkingsbeperking2€ 310.000€ 120.000 - € 500.000
47AVGartikel 20recht op overdraagbaarheid van gegevens3€ 525.000€ 300.000 - € 750.000
48AVGartikel 21, behoudens het vierde lidrecht van bezwaar3€ 525.000€ 300.000 - € 750.000
49AVGartikel 21, vierde lidrecht van bezwaar2€ 310.000€ 120.000 - € 500.000
50AVGartikel 22geautomatiseerde individuele besluitvorming, waaronder profilering4€ 725.000€ 450.000 - € 1.000.000
51AVGartikel 44algemeen beginsel inzake doorgiften3€ 525.000€ 300.000 - € 750.000
52AVGartikel 45doorgiften op basis van adequaatheidsbesluiten3€ 525.000€ 300.000 - € 750.000
53AVGartikel 46doorgiften op basis van passende waarborgen3€ 525.000€ 300.000 - € 750.000
54AVGartikel 47bindende bedrijfsvoorschriften3€ 525.000€ 300.000 - € 750.000
55AVGartikel 48niet bij Unierecht toegestane doorgiften of verstrekkingen3€ 525.000€ 300.000 - € 750.000
56AVGartikel 49afwijkingen voor specifieke situaties3€ 525.000€ 300.000 - € 750.000
57AVGalle verplichtingen uit hoofde van krachtens hoofdstuk IX door de lidstaten vastgesteld recht, bijvoorbeeld:1, 2, 3 of 4, afhankelijk van de indeling van de onderliggende bepaling€ 100.000 - € 725.000€ 0 - € 1.000.000
58AVGartikel 87 van de Algemene verordening gegevensbescherming jo. artikel 46, eerste lid, van de Uitvoeringswet Algemene verordening gegevensbeschermingverwerking nationaal identificatienummer4€ 725.000€ 450.000 - € 1.000.000
59AVGartikel 87 van de Algemene verordening gegevensbescherming jo. artikel 46, tweede lid, van de Uitvoeringswet Algemene verordening gegevensbeschermingverwerking nationaal identificatienummer3€ 525.000€ 300.000 - € 750.000
60AVGartikel 89 van de Algemene verordening gegevensbescherming jo. artikel 45 van de Uitvoeringswet Algemene verordening gegevensbeschermingwaarborgen en afwijkingen in verband met verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden3€ 525.000€ 300.000 - € 750.000
61AVGniet-naleving van een bevel of een tijdelijke of definitieve verwerkingsbeperking of een opschorting van gegevensstromen door de toezichthoudende autoriteit overeenkomstig artikel 58, tweede lid, of niet-verlening van toegang in strijd met artikel 58, eerste lid4€ 725.000€ 450.000 - € 1.000.000
62AVGniet-naleving van een bevel van de toezichthoudende autoriteit als bedoeld in artikel 58, tweede lid4€ 725.000€ 450.000 - € 1.000.000
63UAVGartikel 17, eerste lidboete bij onrechtmatige verwerking persoonsgegevens strafrechtelijke aard4€ 725.000€ 450.000 - € 1.000.000
64UAVGartikel 18, eerste lidbestuurlijke boete aan overheden2, 3 of 4, afhankelijk van de indeling van de onderliggende bepaling€ 310.000 - € 725.000€ 120.000 - € 1.000.000

Overtredingen met een wettelijk boetemaximum van € 900.000.

#WetWetsartikelOmschrijvingCat.BasisboeteBoetebandbreedte
1Telecommunicatiewetartikel 11.3a, behoudens het derde en zevende lidmeldplicht datalekken aanbieder openbare elektronische communicatiedienst2€ 375.000€ 150.000 - € 600.000
2Telecommunicatiewetartikel 11.3a, derde en zevende lidmeldplicht datalekken aanbieder openbare elektronische communicatiedienst1€ 125.000€ 0 - € 250.000
3Telecommunicatiewetartikel 11.5bverwerking persoonsgegevens door verleners van vertrouwensdiensten2€ 375.000€ 150.000 - € 600.000
4Telecommunicatiewetartikel 18.15aregels over te verstrekken gegevens bij de kennisgeving van een inbreuk op de veiligheid of het verlies van integriteit1€ 125.000€ 0 - € 250.000
5Verordening (EU) nr. 910/2014 (eIDAS-verordening)artikel 19, tweede lidmeldplicht in de eIDAS-verordening2€ 375.000€ 150.000 - € 600.000
6Algemene wet bestuursrechtartikel 5:20, eerste lidmedewerkingsplicht (nalevingstoezicht Telecommunicatiewet)3€ 625.000€ 350.000 - € 900.000

Overtredingen met een wettelijk boetemaximum van € 830.000.

#WetWetsartikelOmschrijvingCat.BasisboeteBoetebandbreedte
1Wet politiegegevensartikel 5bijzondere categorieën van politiegegevens3€ 565.000€ 300.000 - € 830.000
2Wet politiegegevensartikel 7ageautomatiseerde individuele besluitvorming3€ 565.000€ 300.000 - € 830.000
3Wet politiegegevensartikel 24a, behoudens het tweede en derde lidinformatie aan de betrokkene2€ 310.000€ 120.000 - € 500.000
4Wet politiegegevensartikel 24a, tweede en derde lidinformatie aan de betrokkene1€ 100.000€ 0 - € 200.000
5Wet politiegegevensartikel 24bverstrekking van informatie aan de betrokkene2€ 310.000€ 120.000 - € 500.000
6Wet politiegegevensartikel 25, eerste lidrecht op inzage2€ 310.000€ 120.000 - € 500.000
7Wet politiegegevensartikel 25, tweede lidrecht op inzage1€ 100.000€ 0 - € 200.000
8Wet politiegegevensartikel 28, eerste en tweede lidrecht op rectificatie en vernietiging van politiegegevens2€ 310.000€ 120.000 - € 500.000
9Wet politiegegevensartikel 28, derde, vierde en vijfde lid rechtop rectificatie en vernietiging van politiegegevens1€ 100.000€ 0 - € 200.000
10Wet justitiële en strafvorderlijke gegevensartikel 7egeautomatiseerde verwerking, met inbegrip van profilering3€ 565.000€ 300.000 - € 830.000
11Wet justitiële en strafvorderlijke gegevensartikel 17ainformatie voor de betrokkene2€ 310.000€ 120.000 - € 500.000
12Wet justitiële en strafvorderlijke gegevensartikel 17b, behoudens het tweede lidverstrekking van informatie aan de betrokkene2€ 310.000€ 120.000 - € 500.000
13Wet justitiële en strafvorderlijke gegevensartikel 17b, tweede lidverstrekking van informatie aan de betrokkene1€ 100.000€ 0 - € 200.000
14Wet justitiële en strafvorderlijke gegevensartikel 18recht op inzage2€ 310.000€ 120.000 - € 500.000
15Wet justitiële en strafvorderlijke gegevensartikel 22, behoudens het vierde en vijfde lidrecht op rectificatie, vernietiging of afscherming2€ 310.000€ 120.000 - € 500.000
16Wet justitiële en strafvorderlijke gegevensartikel 22, vierde en vijfde lidrecht op rectificatie, vernietiging of afscherming1€ 100.000€ 0 - € 200.000
17Wet justitiële en strafvorderlijke gegevensartikel 24kennisgevingsplicht inzake rectificatie, vernietiging of afscherming van gegevens1€ 100.000€ 0 - € 200.000
18Wet justitiële en strafvorderlijke gegevensartikel 39c, eerste lid, jo. artikel 7egeautomatiseerde verwerking, met inbegrip van profilering3€ 565.000€ 300.000 - € 830.000
19Wet justitiële en strafvorderlijke gegevensartikel 40, derde lid, jo. artikel 7egeautomatiseerde verwerking, met inbegrip van profilering NB De wettekst spreekt over “40a, derde lid”3€ 565.000€ 300.000 - € 830.000
20Wet justitiële en strafvorderlijke gegevensartikel 42b, behoudens voor wat betreft de overeenkomstige toepassing van artikel 17b, tweede lidinformatie aan de betrokkene2€ 310.000€ 120.000 - € 500.000
21Wet justitiële en strafvorderlijke gegevensartikel 42b, voor wat betreft de overeenkomstige toepassing van artikel 17b, tweede lidinformatie aan de betrokkene1€ 100.000€ 0 - € 200.000
22Wet justitiële en strafvorderlijke gegevensartikel 43recht op inzage2€ 310.000€ 120.000 - € 500.000
23Wet justitiële en strafvorderlijke gegevensartikel 46, behoudens het vierde lid en voor wat betreft de overeenkomstige toepassing van artikel 22, vijfde lidrecht op rectificatie, vernietiging of afscherming2€ 310.000€ 120.000 - € 500.000
24Wet justitiële en strafvorderlijke gegevensartikel 46, vierde lid en voor wat betreft de overeenkomstige toepassing van artikel 22, vijfde lidrecht op rectificatie, vernietiging of afscher ming1€ 100.000€ 0 - € 200.000
25Wet justitiële en strafvorderlijke gegevensartikel 48kennisgevingsplicht inzake rectificatie, vernietiging of afscherming van gegevens1€ 100.000€ 0 - € 200.000
26Wet justitiële en strafvorderlijke gegevensartikel 51b, eerste lid, jo. artikel 7egeautomatiseerde verwerking, met inbegrip van profilering3€ 565.000€ 300.000 - € 830.000
27Wet justitiële en strafvorderlijke gegevensartikel 51b, eerste lid, jo. artikel 17ainformatie voor de betrokkene2€ 310.000€ 120.000 - € 500.000
28Wet justitiële en strafvorderlijke gegevensartikel 51b, eerste lid, jo. artikel 17b, behoudens het tweede lid van dit artikelverstrekking van informatie aan de betrokkene2€ 310.000€ 120.000 - € 500.000
29Wet justitiële en strafvorderlijke gegevensartikel 51b, eerste lid, jo. artikel 17b, tweede lidverstrekking van informatie aan de betrokkene1€ 100.000€ 0 - € 200.000
30Wet justitiële en strafvorderlijke gegevensartikel 51b, eerste lid, jo. artikel 22, behoudens het vierde en vijfde lid van dit artikelrecht op rectificatie, vernietiging of afscherming2€ 310.000€ 120.000 - € 500.000
31Wet justitiële en strafvorderlijke gegevensartikel 51b, eerste lid, jo. artikel 22, vierde en vijfde lidrecht op rectificatie, vernietiging of afscherming1€ 100.000€ 0 - € 200.000
32Wet justitiële en strafvorderlijke gegevensartikel 51b, eerste lid, jo. artikel 24kennisgevingsplicht inzake rectificatie, vernietiging of afscherming van gegevens1€ 100.000€ 0 - € 200.000
33Wet justitiële en strafvorderlijke gegevensartikel 51b, tweede lid, jo. artikel 18recht op inzage2€ 310.000€ 120.000 - € 500.000
34Wet justitiële en strafvorderlijke gegevensartikel 51f, eerste lid, jo. artikel 7egeautomatiseerde verwerking, met inbegrip van profilering3€ 565.000€ 300.000 - € 830.000
35Wet justitiële en strafvorderlijke gegevensartikel 51f, eerste lid, jo. artikel 17ainformatie voor de betrokkene2€ 310.000€ 120.000 - € 500.000
36Wet justitiële en strafvorderlijke gegevensartikel 51f, eerste lid, jo. artikel 17b, behoudens het tweede lid van dit artikelverstrekking van informatie aan de betrokkene2€ 310.000€ 120.000 - € 500.000
37Wet justitiële en strafvorderlijke gegevensartikel 51f, eerste lid, jo. artikel 17b, tweede lidverstrekking van informatie aan de betrokkene1€ 100.000€ 0 - € 200.000
38Wet justitiële en strafvorderlijke gegevensartikel 51f, eerste lid, jo. artikel 18recht op inzage2€ 310.000€ 120.000 - € 500.000
39Wet justitiële en strafvorderlijke gegevensartikel 51f, eerste lid, jo. artikel 22, behoudens het vierde en vijfde lid van dit artikelrecht op rectificatie, vernietiging of afscherming2€ 310.000€ 120.000 - € 500.000
40Wet justitiële en strafvorderlijke gegevensartikel 51f, eerste lid, jo. artikel 22, vierde en vijfde lidrecht op rectificatie, vernietiging of afscherming1€ 100.000€ 0 - € 200.000
41Wet justitiële en strafvorderlijke gegevensartikel 51f, eerste lid, jo. artikel 24kennisgevingsplicht inzake rectificatie, vernietiging of afscherming van gegevens1€ 100.000€ 0 - € 200.000

Overtredingen met een wettelijk boetemaximum van € 83.000.

#WetWetsartikelOmschrijvingCat.BasisboeteBoetebandbreedte
1Wet politiegegevensartikel 4agegevensbescherming door beveiliging en ontwerp3€ 56.500€ 30.000 - € 83.000
2Wet politiegegevensartikel 4bgegevensbescherming door standaardinstellingen3€ 56.500€ 30.000 - € 83.000
3Wet politiegegevensartikel 4cgegevensbeschermingseffectbeoordeling3€ 56.500€ 30.000 - € 83.000
4Wet politiegegevensartikel 6cverwerker3€ 56.500€ 30.000 - € 83.000
5Wet politiegegevensartikel 31dregister3€ 56.500€ 30.000 - € 83.000
6Wet politiegegevensartikel 32documentatie2€ 32.500€ 15.000 - € 50.000
7Wet politiegegevensartikel 33amelding datalekken3€ 56.500€ 30.000 - € 83.000
8Wet politiegegevensartikel 33bvoorafgaand raadplegen Autoriteit persoonsgegevens3€ 56.500€ 30.000 - € 83.000
9Wet politiegegevensartikel 36functionaris voor gegevensbescherming3€ 56.500€ 30.000 - € 83.000
10Wet justitiële en strafvorderlijke gegevensartikel 7verplichtingen van de verwerkingsverantwoordelijke en de verwerker en beveiliging van gegevens3€ 56.500€ 30.000 - € 83.000
11Wet justitiële en strafvorderlijke gegevensartikel 7agegevensbescherming door ontwerp en door standaardinstellingen3€ 56.500€ 30.000 - € 83.000
12Wet justitiële en strafvorderlijke gegevensartikel 7bgegevensbeschermingseffectbeoordeling3€ 56.500€ 30.000 - € 83.000
13Wet justitiële en strafvorderlijke gegevensartikel 7dverwerker3€ 56.500€ 30.000 - € 83.000
14Wet justitiële en strafvorderlijke gegevensartikel 19, eerste lidvastlegging en bewaarplicht verstrekking justitiële gegevens2€ 32.500€ 15.000 - € 50.000
15Wet justitiële en strafvorderlijke gegevensartikel 26cregister3€ 56.500€ 30.000 - € 83.000
16Wet justitiële en strafvorderlijke gegevensartikel 26ffunctionaris voor gegevensbescherming3€ 56.500€ 30.000 - € 83.000
17Wet justitiële en strafvorderlijke gegevensartikel 26gmelden inbreuk op de beveiliging3€ 56.500€ 30.000 - € 83.000
18Wet justitiële en strafvorderlijke gegevensartikel 26hvoorafgaand raadplegen Autoriteit Persoonsgegevens3€ 56.500€ 30.000 - € 83.000
19Wet justitiële en strafvorderlijke gegevensartikel 39c, eerste lid, jo. artikel 7verplichtingen van de verwerkingsverantwoordelijke en beveiliging van gegevens3€ 56.500€ 30.000 - € 83.000
20Wet justitiële en strafvorderlijke gegevensartikel 39c, eerste lid, jo. artikel 7agegevensbescherming door ontwerp en door standaardinstellingen3€ 56.500€ 30.000 - € 83.000
21Wet justitiële en strafvorderlijke gegevensartikel 39c, eerste lid, jo. artikel 7bgegevensbeschermingseffectbeoordeling3€ 56.500€ 30.000 - € 83.000
22Wet justitiële en strafvorderlijke gegevensartikel 39c, eerste lid, jo. artikel 7dverwerker3€ 56.500€ 30.000 - € 83.000
23Wet justitiële en strafvorderlijke gegevensartikel 39r, eerste lid, jo. artikel 26cregister3€ 56.500€ 30.000 - € 83.000
24Wet justitiële en strafvorderlijke gegevensartikel 39r, eerste lid, jo. artikel 26gmelden inbreuk op de beveiliging3€ 56.500€ 30.000 - € 83.000
25Wet justitiële en strafvorderlijke gegevensartikel 39r, eerste lid, jo. artikel 26hvoorafgaand raadplegen Autoriteit Persoonsgegevens3€ 56.500€ 30.000 - € 83.000
26Wet justitiële en strafvorderlijke gegevensartikelen 40, derde lid, jo. artikel 7verplichtingen van de verwerkingsverantwoordelijke en beveiliging van gegevens NB De wettekst spreekt over “40a, derde lid”3€ 56.500€ 30.000 - € 83.000
27Wet justitiële en strafvorderlijke gegevensartikelen 40, derde lid, jo. artikel 7agegevensbescherming door ontwerp en door standaardinstellingen NB De wettekst spreekt over “40a, derde lid”3€ 56.500€ 30.000 - € 83.000
28Wet justitiële en strafvorderlijke gegevensartikelen 40, derde lid, jo. artikel 7bgegevensbeschermingseffectbeoordeling NB De wettekst spreekt over “40a, derde lid”3€ 56.500€ 30.000 - € 83.000
29Wet justitiële en strafvorderlijke gegevensartikelen 40, derde lid, jo. artikel 7dverwerker NB De wettekst spreekt over “40a, derde lid”3€ 56.500€ 30.000 - € 83.000
30Wet justitiële en strafvorderlijke gegevensartikel 51, eerste lid, jo. artikel 26cregister3€ 56.500€ 30.000 - € 83.000
31Wet justitiële en strafvorderlijke gegevensartikel 51, eerste lid, jo. artikel 26ffunctionaris voor gegevensbescherming3€ 56.500€ 30.000 - € 83.000
32Wet justitiële en strafvorderlijke gegevensartikel 51, eerste lid, jo. artikel 26gmelden inbreuk op de beveiliging3€ 56.500€ 30.000 - € 83.000
33Wet justitiële en strafvorderlijke gegevensartikel 51, eerste lid, jo. artikel 26hvoorafgaand raadplegen Autoriteit Persoonsgegevens3€ 56.500€ 30.000 - € 83.000
34Wet justitiële en strafvorderlijke gegevensartikel 51b, eerste lid, jo. artikel 7verplichtingen van de verwerkingsverantwoordelijke en beveiliging van gegevens3€ 56.500€ 30.000 - € 83.000
35Wet justitiële en strafvorderlijke gegevensartikel 51b, eerste lid, jo. artikel 7agegevensbescherming door ontwerp en door stan- daardinstellingen3€ 56.500€ 30.000 - € 83.000
36Wet justitiële en strafvorderlijke gegevensartikel 51b, eerste lid, jo. artikel 7bgegevensbeschermingseffectbeoordeling3€ 56.500€ 30.000 - € 83.000
37Wet justitiële en strafvorderlijke gegevensartikel 51b, eerste lid, jo. artikel 7dverwerker3€ 56.500€ 30.000 - € 83.000
38Wet justitiële en strafvorderlijke gegevensartikel 51d, eerste lid, jo. artikel 26cregister3€ 56.500€ 30.000 - € 83.000
39Wet justitiële en strafvorderlijke gegevensartikel 51d, eerste lid, jo. artikel 26ffunctionaris voor gegevensbescherming3€ 56.500€ 30.000 - € 83.000
40Wet justitiële en strafvorderlijke gegevensartikel 51d, eerste lid, jo. artikel 26gmelden inbreuk op de beveiliging3€ 56.500€ 30.000 - € 83.000
41Wet justitiële en strafvorderlijke gegevensartikel 51d, eerste lid, jo. artikel 26hvoorafgaand raadplegen Autoriteit Persoonsgegevens3€ 56.500€ 30.000 - € 83.000
42Wet justitiële en strafvorderlijke gegevensartikel 51f, eerste lid, jo. artikel 7verplichtingen van de verwerkingsverantwoordelijke en beveiliging van gegevens3€ 56.500€ 30.000 - € 83.000
43Wet justitiële en strafvorderlijke gegevensartikel 51f, eerste lid, jo. artikel 7agegevensbescherming door ontwerp en door standaardinstellingen3€ 56.500€ 30.000 - € 83.000
44Wet justitiële en strafvorderlijke gegevensartikel 51f, eerste lid, jo. artikel 7bgegevensbeschermingseffectbeoordeling3€ 56.500€ 30.000 - € 83.000
45Wet justitiële en strafvorderlijke gegevensartikel 51f, eerste lid, jo. artikel 7dverwerker3€ 56.500€ 30.000 - € 83.000
46Wet justitiële en strafvorderlijke gegevensartikel 51h, eerste lid, jo. artikel 26cregister NB M.b.t. gerechtelijke strafgegevens verwijst artikel 51h, derde lid, onder c, ten onrechte naar “artikel 51d, eerste lid, voor wat betreft de overeenkomstige toepassing van de artikelen 26c, 26g en 26h in dat lid” i.p.v. “het eerste lid, voor wat betreft (...)” (cf. artikel 51).3€ 56.500€ 30.000 - € 83.000
47Wet justitiële en strafvorderlijke gegevensartikel 51h, eerste lid, jo. artikel 26gfunctionaris voor gegevensbescherming NB M.b.t. gerechtelijke strafgegevens verwijst artikel 51h, derde lid, onder c, ten onrechte naar “artikel 51d, eerste lid, voor wat betreft de overeenkomstige toepassing van de artikelen 26c, 26g en 26h in dat lid” i.p.v. “het eerste lid, voor wat betreft (...)” (cf. artikel 51).3€ 56.500€ 30.000 - € 83.000
48Wet justitiële en strafvorderlijke gegevensartikel 51h, eerste lid, jo. artikel 26hmelden inbreuk op de beveiliging NB M.b.t. gerechtelijke strafgegevens verwijst artikel 51h, derde lid, onder c, ten onrechte naar “artikel 51d, eerste lid, voor wat betreft de overeenkomstige toepassing van de artikelen 26c, 26g en 26h in dat lid” i.p.v. “het eerste lid, voor wat betreft (...)” (cf. artikel 51).3€ 56.500€ 30.000 - € 83.000

Wettelijk boetemaximum AVG

Bij het vaststellen van (de hoogte van) de boete houdt de AP in eerste instantie rekening met het maximale bedrag van de boete dat in de wet is vermeld. De AVG kent twee categorieën van overtredingen en bijbehorende maximale boetes.

1) Verantwoordelijken, degenen die persoonsgegevens verwerken, hebben onder de AVG bepaalde verplichtingen, zoals de verplichting van het bijhouden van een verwerkingsregister. Komt een verantwoordelijke (een van) deze verplichtingen niet na? Dan kan de AP een boete opleggen van maximaal 10 miljoen euro. Of een boete van maximaal 2% van de wereldwijde jaaromzet van een onderneming, mocht dat bedrag hoger uitkomen.
2) Overtreedt een verantwoordelijke de beginselen of grondslagen van de AVG? Of de privacyrechten van de betrokkenen? Dan kan de AP een boete opleggen van maximaal 20 miljoen euro. Of een boete van maximaal 4% van de wereldwijde jaaromzet van een onderneming, mocht dat bedrag hoger uitkomen.

Boetecategorieën

De AP heeft de overtredingen van de AVG en de andere wetten waarop zij toezicht houdt, voor elk wettelijk boetemaximum ingedeeld in 3 of 4 boetecategorieën, waaraan oplopende geldboetes zijn verbonden. Deze indeling is ingegeven door de zwaarte en ernst van de geschonden norm en de verhouding tot de andere normen in het gegevensbeschermingsrecht.

Elke boetecategorie is vervolgens gekoppeld aan een bepaalde boetebandbreedte van een minimum- en een maximumbedrag. De hoogte van de boetebandbreedtes moet voldoende afschrikwekkend zijn voor potentiële overtreders. Binnen de verschillende boetebandbreedtes heeft de AP steeds een basisboete vastgelegd. Dit bedrag vormt voor de AP het uitgangspunt voor de berekening van de boete in een afzonderlijk geval.

Factoren

De basisboete kan per geval vervolgens verhoogd of verlaagd worden aan de hand van een aantal factoren. Bijvoorbeeld de aard, ernst en duur van de overtreding, het aantal betrokkenen en de omvang van de schade. Ook is van belang in hoeverre de overtreding aan de overtreder kan worden verweten en of er sprake is van recidive.

Bij het vaststellen van de boete kan de AP ook rekening houden met de financiële omstandigheden waarin de overtreder verkeert. Zoals in het geval van micro, kleine en middelgrote en ondernemingen.

Europese richtsnoeren

Op 25 mei 2018 heeft European Data Protection Board (EDPB) richtsnoeren vastgesteld voor de toepassing en vaststelling van administratieve geldboeten. In deze richtsnoeren is vastgelegd wanneer welk sanctiemiddel het meest passend is. Andere sanctiemiddelen zijn bijvoorbeeld een last onder dwangsom en een verwerkingsverbod.

Aangezien de EDPB (nog) geen gezamenlijke uitgangspunten voor de berekening van boetes heeft vastgesteld, heeft de AP nu voor haar toezicht in Nederland beleid vastgesteld voor de berekening van de hoogte van boetes. De beleidsregels worden door de AP toegepast totdat er ook Europese richtsnoeren zijn voor de berekening van de hoogte van boetes.