AVG: Toezicht en boetes

Onder de Algemene verordening gegevensbescherming (AVG), ook wel bekend als de General Data Protection Regulation (GDPR), hebben de toezichthouders aanzienlijke slagkracht verworven. De boetebevoegdheid van de Autoriteit Persoonsgegevens (AP) komt hiermee bijvoorbeeld te liggen op € 20 miljoen of, wanneer dit bedrag hoger ligt, op 4% van de wereldwijde jaaromzet van een organisatie per overtreding.

Er zijn twee categorieën overtredingen en bijbehorende maximale boetes.

• Niet nakomen van een wettelijke verplichting 

De AVG kent verschillende verplichtingen, zoals een documentatieplicht, een verantwoordingsplicht en een informatieplicht. Voor sommige bedrijven geldt een plicht om een Data Protection Officer (DPO) aan te stellen en voor sommige verwerkingen is het verplicht om een Privacy Impact Assessment (PIA) te doen. Kom je een van deze verplichtingen niet na, dan kan de AP een boete opleggen van € 10 miljoen of, wanneer dit bedrag hoger is; 2% van de wereldwijde jaaromzet. 

• Overtreden van beginselen of grondslagen van de AVG

Een hogere boete kan worden opgelegd wanneer je een beginsel of grondslag van de AVG daadwerkelijk overtreedt. De privacyrechten van betrokkenen (klanten/consumenten die jouw website bezoeken) zijn uiterst belangrijk en dienen te worden gerespecteerd. Had je geen juiste grondslag en heb je daardoor onrechtmatig privacygevoelige gegevens verwerkt, dan kun je rekenen op een boete van € 20 miljoen, wanneer dit bedrag hoger ligt, op een boete van 4% van de wereldwijde jaaromzet.

Wat moeten webwinkeliers doen?

Er wordt in de AVG veel nadruk gelegd op de verantwoordelijkheid van organisaties zelf om zich aan de AVG te houden en om aan te kunnen tonen dat dit gebeurt. Zorg dat je deze verantwoordelijkheid neemt, dat je aan je verplichtingen voldoet en ook dat je kunt aantonen dat je dit doet.

Stappenplan – voorkom hoge boetes

De informatie op deze pagina’s helpt je bij de uitleg van verschillende begrippen, beginselen en grondslagen uit de AVG en bij het nakomen van verplichtingen. Per onderwerp leggen we uit wat je als webwinkelier op dit gebied moet doen. Hieronder geven we een kort stappenplan waarin een kort en bondig overzicht wordt gegeven van hoe je het risico op een boete zo laag mogelijk houdt: 

1. Zorg dat je op de hoogte bent van de beginselen van de AVG. In onze introductie op de AVG lees je hier al meer over.
2. Zorg dat je altijd een juiste grondslag hebt voor het verwerken van persoonsgegevens. Heb je bijvoorbeeld toestemming van je klant, is de verwerking noodzakelijk voor de uitvoering van de overeenkomst of heb je een gerechtvaardigd belang? Kijk voor meer informatie hierover bij het onderwerp Toestemming.
3. Zorg dat je aan alle vereisten voldoet om de bezoeker van je webshop te informeren. Kijk voor meer informatie hierover op de pagina van Informatieverplichting en wees volledig in het informeren van je klant.
4. Zorg dat je de passende technische  en organisatorische maatregelen neemt om overtredingen te voorkomen. Kijk bij Privacy by design voor tips en ideeën over deze passende maatregelen.