Je weet wellicht al dat als je niet aan de AVG voldoet je van de toezichthouder een boete kunt krijgen. De Autoriteit Persoonsgegevens (AP) kan een boete opleggen van maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet als dit cijfer hoger is. Maar hoe bepaalt die AP de hoogte van die boetes nou?
Na een aantal gepubliceerde onderzoeken en boetebesluiten van de AP beginnen we een beter beeld te krijgen van de formules die de AP gebruikt om de hoogte van boetes te bepalen en welke relevante factoren daarbij een rol spelen.
Eerst even de theorie: de AP heeft wanneer de AVG overtreden wordt een aantal bevoegdheden. Zo kan de AP een boete, last onder dwangsom, verwerkingsverbod of een berisping op te leggen. Hoe de AP de hoogte van boetes bepaalt, is uitgewerkt in de Boetebeleidsregels Autoriteit Persoonsgegevens 2019.
De AP heeft iedere overtreding die op grond van de AVG plaats kan vinden ingedeeld in een boetecategorie, waaraan oplopende geldboetes zijn verbonden. Elke boetecategorie is gekoppeld aan een boetebandbreedte met een minimum- en een maximumbedrag en het daar bijhorende basisboetebedrag. Maar ook kan de AP als de omstandigheden van het concrete geval daar aanleiding voor geven de maximumboetes die in de AVG zijn bepaald opleggen.
| Categorie | Boetebandbreedte | Basisboete |
| Cat I | tussen €0 en €200.000 | €100.000 |
| Cat II | tussen €120.000 en €500.000 | €310.000 |
| Cat III | tussen €300.000 en €750.000 | €525.000 |
| Cat IV | tussen €450.000 en €1.000.000 | €725.000 |
De hoogte van een boete die een organisatie bij overtreding van de AVG kan krijgen verschilt dus per type overtreding. Daarnaast speelt bij het vaststellen van de hoogte van de boete bijvoorbeeld ook de aard, de ernst en de duur van de overtreding mee en of er sprake is van opzet of recidive.
In de bijlage van de Boetebeleidsregels staat welke overtreding onder welke boetecategorie valt. Onderstaand een aantal voorbeelden van overtredingen, gekoppeld aan de mogelijke boetecategorie waar de overtredingen invallen.
| Overtreding | Boetecategorie |
| Meer persoonsgegevens dan noodzakelijk | III |
| Ontbreken grondslag toestemming | III |
| Onveilige verstrekking van persoonsgegevens | III |
| Niet tijdig melden van een datalek | III |
| Persoonsgegevens worden langer bewaard dan noodzakelijk | III |
| Onvoldoende transparantie | III |
| Geen periodieke controle privacy verantwoordelijkheden | I of II |
Dan de praktijk. Aarzelt de AP om hoge boetes op te leggen? Nee. In de voorbeelden van Tiktok (boete €750.000 vanwege de privacy schending van jonge kinderen), BKR (boete van €830.000 voor het berekenen van kosten bij inzage), UWV (boete van €450.000 voor de slechte beveiliging van groepsberichten) en de gemeente Enschede (boete van €600.000 voor het gebruik van wifitracking) zien we dat de AP serieuze boetes oplegt, die ook binnen de bandbreedte van de boetecategorie vallen. De AP maakt dus gebruik van haar mandaat en zal eerder aan de bovengrens zitten dan aan de ondergrens van de bandbreedte.
Is dit dan in alle gevallen zo? Nee, wanneer echt aantoonbaar is dat een organisatie geen financiële draagkracht heeft, dat wordt de boete gematigd. Dit is bijvoorbeeld het geval in de casus van PVV Overijssel (boete van €7.500), orthodontiepraktijk (boete van €12.000) en CP&A (boete van €15.000).
Conclusie: hoe hoog de boete is die je kunt krijgen van de AP, hangt dus van een heleboel factoren af! Soms is het een onsje meer, bijvoorbeeld bij opzet of recidive, maar het kan ook een onsje minder zijn als de organisatie geen financiële draagkracht heeft.