De Algemene Verordening Gegevensbescherming (GDPR) heeft sinds de invoering in 2018 een enorme impact gehad op hoe bedrijven omgaan met persoonsgegevens. Nu, bijna vijf jaar later, blijft de regelgeving evolueren en zien we een significante verandering in de benadering van de handhaving van deze regels. De European Data Protection Board (EDPB) heeft een nieuwe boeterichtlijn uitgevaardigd die bepaalt hoe boetes moeten worden berekend en toegepast in geval van overtreding van de GDPR. Het is van cruciaal belang dat bedrijven zich bewust zijn van deze veranderingen en begrijpen wat de potentiële gevolgen zijn.
Een nieuwe aanpak voor boetes
De nieuwe boeterichtlijn van de EDPB streeft naar meer consistentie in de toepassing van boetes in de gehele EU. Onder de vorige richtlijnen varieerde de boetebedragen aanzienlijk tussen de verschillende EU-lidstaten. Deze inconsistentie zorgde voor onzekerheid voor bedrijven, vooral voor diegenen die in meerdere EU-lidstaten actief zijn.
Onder de nieuwe richtlijn wordt een uniforme aanpak van het berekenen van boetes geïntroduceerd. De berekening van boetes is gebaseerd op een aantal verschillende factoren, waaronder de aard, ernst en duur van de inbreuk, het aantal getroffen personen, de omvang van de schade en de nalatigheid of opzet van de inbreuk. Dit betekent dat boetes beter afgestemd zullen zijn op de ernst van de overtreding.
Omzet speelt een cruciale rol
Een van de opmerkelijkste wijzigingen in de nieuwe boeterichtlijn is de rol van de bedrijfsomzet bij het bepalen van de boete. In de nieuwe richtlijn wordt de boete voor een AVG-inbreuk mede bepaald door de totale jaarlijkse omzet van het bedrijf. Waar de bedrijfsomzet voorheen, onder de oude regels, slechts als factor werd meegenomen aan het eind van de boeteberekening, zal dit onder de nieuwe richtlijn reeds bij het begin van de boeteberekening gebeuren. Ook de omzet van het moederbedrijf zal daarbij meetellen.
Categorisering van overtredingen
Een andere belangrijke innovatie in de nieuwe richtlijn is de invoering van categorieën voor inbreuken. Overtredingen worden gecategoriseerd op basis van hun ernst met per categorie telkens een ander startbedrag van waaruit zal worden vertrokken.
Bandbreedte van boetebedragen
Voortaan zal er gebruik gemaakt worden van een bandbreedte van boetebedragen om het startbedrag van de boete te bepalen. Dit betekent dat het startbedrag van de boete zal variëren binnen een bepaald bereik, afhankelijk van een reeks factoren zoals de ernst van de inbreuk, de omzet van het bedrijf, eventuele eerdere inbreuken en de mate waarin het bedrijf heeft samengewerkt met de toezichthoudende autoriteit. Deze flexibele aanpak maakt een meer afgewogen en evenredige beoordeling mogelijk van de unieke omstandigheden van elke inbreuk.
Voorbereiden op de nieuwe boeterichtlijn
Wat uiteraard al belangrijk was voorheen maar toch opnieuw dient te worden benadrukt, is dat bedrijven moeten zorgen voor een robuust en effectief beleid inzake gegevensverwerking dat voldoet aan de GDPR. Bedrijven moeten ook zorgen voor een effectieve responsstrategie bij datalekken om de schade van eventuele inbreuken te beperken.
Heeft u vragen i.v.m. uw beleid inzake de verwerking van persoonsgegevens? Neem dan een kijkje op onze website en aarzel niet om ons te contacteren!