Krantenkoppen over AVG-boetes van miljoenen jagen veel ondernemers schrik aan. Maar wat riskeert een kleine Nederlandse onderneming echt? Tijd voor een nuchtere kijk op de boetes van de Autoriteit Persoonsgegevens.
De twee niveaus
De AVG kent twee plafonds. Voor inbreuken zoals een ontbrekend register of gebrekkige beveiliging geldt tot 10 miljoen euro of 2 procent van de wereldwijde jaaromzet. Voor zwaardere inbreuken tot 20 miljoen of 4 procent. Telkens het hoogste bedrag.
Wie legt ze op?
In Nederland beslist de Autoriteit Persoonsgegevens over sancties, na onderzoek en met respect voor het verweer. De plafonds zijn maxima en worden zelden volledig benut, zeker niet bij kleine spelers.
Waar de AP op let
De AP weegt de aard, ernst en duur van de inbreuk, het opzettelijke of nalatige karakter, de getroffen maatregelen en de mate van medewerking. Wie te goeder trouw is en snel bijstuurt, komt er milder vanaf.
Niet alleen boetes
De AP kan ook waarschuwen, berispen, een last onder dwangsom opleggen of een verwerking laten stoppen. Voor een kleine onderneming is dat laatste vaak ingrijpender dan een bedrag.
De twee boeteniveaus
| Niveau | Maximum | Voorbeeld van inbreuk |
|---|---|---|
| Lager plafond | 10 mln of 2% jaaromzet | Geen register, gebrekkige beveiliging |
| Hoger plafond | 20 mln of 4% jaaromzet | Grondbeginselen of rechten geschonden |
Telkens geldt het hoogste van de twee bedragen. Het zijn maxima die zelden volledig worden benut, zeker niet bij kleine ondernemingen.
De beste verzekering
Een correcte privacyverklaring, een register en verwerkersovereenkomsten verlagen je risico flink. Ze tonen dat je je verantwoordelijkheid neemt, en dat weegt mee in elke beoordeling.
Klaar om jouw privacy policy te maken?
Gebruik onze gratis generator en heb in 3 minuten een juridisch correcte privacy policy op maat.
Start de generator - gratis