Boetebeleidsregels Autoriteit Persoonsgegevens 2023

Geraadpleegd op 08-05-2024.
Geldend van 24-05-2023 t/m 11-12-2023

Beleidsregels van de Autoriteit Persoonsgegevens van 6 juni 2023 met betrekking tot het bepalen van de hoogte van bestuurlijke boetes (Boetebeleidsregels Autoriteit Persoonsgegevens 2023)

De Autoriteit Persoonsgegevens heeft,

gelet op de artikelen 4:81 en 5:46, tweede lid, van de Algemene wet bestuursrecht, artikel 83 van de Algemene verordening gegevensbescherming, artikelen 14, derde lid, 17, 18 en 21a, vierde lid, van de Uitvoeringswet Algemene verordening gegevensbescherming, artikel Z 11a van de Kieswet, artikel 4.1, eerste lid, van de Wet basisregistratie personen, artikel 35c van de Wet politiegegevens, artikelen 27, 39r, 51, 51d en 51h van de Wet justitiële en strafvorderlijke gegevens en artikel 15.4, vierde en vijfde lid, van de Telecommunicatiewet, en in aanvulling op de Guidelines 04/2022 on the calculation of administrative fines under the GDPR, als vastgesteld door het Europees Comité voor gegevensbescherming,

besloten om de volgende beleidsregels met betrekking tot het bepalen van de hoogte van bestuurlijke boetes vast te stellen.

Terugwerkende kracht

Stcrt. 2023, 34541, datum inwerkingtreding 12-12-2023, bevat een wijziging met terugwerkende kracht van deze aanhef. Deze wijziging werkt terug tot en met 24-05-2023.

Hoofdstuk 1. Algemene bepalingen

Terugwerkende kracht

Voor dit hoofdstuk is een wijziging met terugwerkende kracht gepubliceerd. Zie opmerking onder de tekst voor nadere informatie.

Terugwerkende kracht

Stcrt. 2023, 34541, datum inwerkingtreding 12-12-2023, bevat een wijziging met terugwerkende kracht van dit hoofdstuk. Deze wijziging werkt terug tot en met 24-05-2023.

Artikel 1. Definities

Terugwerkende kracht

Voor dit artikel is een wijziging met terugwerkende kracht gepubliceerd. Zie opmerking onder de tekst voor nadere informatie.

In deze beleidsregels wordt verstaan onder:

a. Autoriteit Persoonsgegevens: de Autoriteit persoonsgegevens, bedoeld in artikel 6, eerste lid, van de Uitvoeringswet Algemene verordening gegevensbescherming;
b. basisboete: het bedrag dat de basis vormt voor het bepalen van de hoogte van een op te leggen bestuurlijke boete, vastgesteld binnen de bandbreedte van de aan een overtreding gekoppelde boetecategorie, voordat toepassing is gegeven aan paragraaf 2.6;
c. betrokkene: degene op wie een persoonsgegeven betrekking heeft als bedoeld in artikel 4, onder 1, van de Algemene verordening gegevensbescherming;
d. recidive: de omstandigheid dat de Autoriteit Persoonsgegevens of een rechterlijke instantie reeds eerder onherroepelijk eenzelfde of een vergelijkbare door de overtreder begane overtreding heeft vastgesteld, zulks behoudens het bepaalde in artikel 15.4, vijfde lid, van de Telecommunicatiewet.

Terugwerkende kracht

Stcrt. 2023, 34541, datum inwerkingtreding 12-12-2023, bevat een wijziging met terugwerkende kracht van dit artikel. Deze wijziging werkt terug tot en met 24-05-2023.

Artikel 2. Toepassingsbereik bij overtredingen van de Algemene verordening gegevensbescherming

Terugwerkende kracht

Voor dit artikel is een wijziging met terugwerkende kracht gepubliceerd. Zie opmerking onder de tekst voor nadere informatie.

Deze beleidsregels zijn niet van toepassing op de vaststelling van bestuurlijke boetes voor overtredingen van de Algemene verordening gegevensbescherming waarop reeds de richtsnoeren van het Europees Comité voor gegevensbescherming 04/2022 van toepassing zijn. Ingeval de richtsnoeren 04/2022 toepasselijk zijn, dan hanteert de Autoriteit Persoonsgegevens deze bij de berekening van bestuurlijke boetes voor overtredingen van de Algemene verordening gegevensbescherming.

Terugwerkende kracht

Stcrt. 2023, 34541, datum inwerkingtreding 12-12-2023, bevat een wijziging met terugwerkende kracht van dit artikel. Deze wijziging werkt terug tot en met 24-05-2023.

Hoofdstuk 2. Bepalen van de hoogte van bestuurlijke boetes

Terugwerkende kracht

Voor dit hoofdstuk is een wijziging met terugwerkende kracht gepubliceerd. Zie opmerking onder de tekst voor nadere informatie.

Terugwerkende kracht

Stcrt. 2023, 34541, datum inwerkingtreding 12-12-2023, bevat een wijziging met terugwerkende kracht van dit hoofdstuk. Deze wijziging werkt terug tot en met 24-05-2023.

Paragraaf 2.1. Overtredingen met een wettelijk boetemaximum van € 10.000.000 respectievelijk € 20.000.000 of, voor een onderneming, tot 2% respectievelijk 4% van de totale wereldwijde jaaromzet in het voorgaande boekjaar

Terugwerkende kracht

Voor deze paragraaf is een wijziging met terugwerkende kracht gepubliceerd. Zie opmerking onder de tekst voor nadere informatie.

Terugwerkende kracht

Stcrt. 2023, 34541, datum inwerkingtreding 12-12-2023, bevat een wijziging met terugwerkende kracht van deze paragraaf. Deze wijziging werkt terug tot en met 24-05-2023.

Artikel 3. Categorie-indeling en boetebandbreedtes

Terugwerkende kracht

Voor dit artikel is een wijziging met terugwerkende kracht gepubliceerd. Zie opmerking onder de tekst voor nadere informatie.

3.1 De bepalingen ter zake van overtreding waarvan de Autoriteit Persoonsgegevens een bestuurlijke boete kan opleggen van ten hoogste het bedrag van € 10.000.000 of, voor een onderneming, tot 2% van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is, zijn in bijlage 1 ingedeeld in categorie I, categorie II of categorie III.
3.2 De bepalingen ter zake van overtreding waarvan de Autoriteit Persoonsgegevens een bestuurlijke boete kan opleggen van ten hoogste het bedrag van € 20.000.000 of, voor een onderneming, tot 4% van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is, zijn in bijlage 2 ingedeeld in categorie I, categorie II, categorie III of categorie IV.

3.3 De Autoriteit Persoonsgegevens stelt de basisboete voor overtredingen waarvoor een wettelijk boetemaximum geldt van € 10.000.000 of, voor een onderneming, tot 2% van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is, dan wel € 20.000.000 of, voor een onderneming, tot 4% van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is, vast binnen de volgende boetebandbreedtes:

Categorie I	Boetebandbreedte tussen € 0 en € 200.000	Basisboete: € 100.000
Categorie II	Boetebandbreedte tussen € 120.000 en € 500.000	Basisboete: € 310.000
Categorie III	Boetebandbreedte tussen € 300.000 en € 750.000	Basisboete: € 525.000
Categorie IV	Boetebandbreedte tussen € 450.000 en € 1.000.000	Basisboete: € 725.000

3.4 De hoogte van de basisboete wordt vastgesteld op het minimum van de bandbreedte vermeerderd met de helft van de bandbreedte van de aan een overtreding gekoppelde boetecategorie.

Terugwerkende kracht

Stcrt. 2023, 34541, datum inwerkingtreding 12-12-2023, bevat een wijziging met terugwerkende kracht van dit artikel. Deze wijziging werkt terug tot en met 24-05-2023.

Paragraaf 2.2. Overtredingen met een wettelijk boetemaximum van € 900.000

Terugwerkende kracht

Voor deze paragraaf is een wijziging met terugwerkende kracht gepubliceerd. Zie opmerking onder de tekst voor nadere informatie.

Terugwerkende kracht

Stcrt. 2023, 34541, datum inwerkingtreding 12-12-2023, bevat een wijziging met terugwerkende kracht van deze paragraaf. Deze wijziging werkt terug tot en met 24-05-2023.

Artikel 4. Categorie-indeling en boetebandbreedtes

Terugwerkende kracht

Voor dit artikel is een wijziging met terugwerkende kracht gepubliceerd. Zie opmerking onder de tekst voor nadere informatie.

4.1 De bepalingen ter zake van overtreding waarvan de Autoriteit Persoonsgegevens een bestuurlijke boete van ten hoogste het bedrag van € 900.000 kan opleggen, zijn in bijlage 3 ingedeeld in categorie I, categorie II of categorie III.

4.2 De Autoriteit Persoonsgegevens stelt de basisboete voor overtredingen waarvoor een wettelijk boetemaximum geldt van € 900.000 vast binnen de volgende boetebandbreedtes:

Categorie I	Boetebandbreedte tussen € 0 en € 250.000	Basisboete: € 125.000
Categorie II	Boetebandbreedte tussen € 150.000 en € 600.000	Basisboete: € 375.000
Categorie III	Boetebandbreedte tussen € 350.000en € 900.000	Basisboete: € 625.000

4.3 De hoogte van de basisboete wordt vastgesteld op het minimum van de bandbreedte vermeerderd met de helft van de bandbreedte van de aan een overtreding gekoppelde boetecategorie.

Terugwerkende kracht

Stcrt. 2023, 34541, datum inwerkingtreding 12-12-2023, bevat een wijziging met terugwerkende kracht van dit artikel. Deze wijziging werkt terug tot en met 24-05-2023.

Paragraaf 2.3. Overtredingen met een wettelijk boetemaximum van de zesde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht

Terugwerkende kracht

Voor deze paragraaf is een wijziging met terugwerkende kracht gepubliceerd. Zie opmerking onder de tekst voor nadere informatie.

Terugwerkende kracht

Stcrt. 2023, 34541, datum inwerkingtreding 12-12-2023, bevat een wijziging met terugwerkende kracht van deze paragraaf. Deze wijziging werkt terug tot en met 24-05-2023.

Artikel 5. Categorie-indeling en boetebandbreedtes

Terugwerkende kracht

Voor dit artikel is een wijziging met terugwerkende kracht gepubliceerd. Zie opmerking onder de tekst voor nadere informatie.

5.1 De bepalingen ter zake van overtreding waarvan de Autoriteit Persoonsgegevens een bestuurlijke boete van ten hoogste het bedrag van de geldboete van de zesde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht kan opleggen, zijn in bijlage 4 ingedeeld in categorie I, categorie II of categorie III.

5.2 De Autoriteit Persoonsgegevens stelt de basisboete voor overtredingen waarvoor een wettelijk boetemaximum geldt van de zesde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht vast binnen de volgende boetebandbreedtes:

Categorie I

Boetebandbreedte tussen € 0 en € 200.000

Basisboete: € 100.000

Categorie II

Boetebandbreedte tussen € 120.000 en

€ 500.000

Basisboete: € 310.000

Categorie III

Boetebandbreedte tussen € 300.000 (A) en het bedrag genoemd in de zesde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht (B)

Basisboete: (A+B) / 2

5.3 De hoogte van de basisboete wordt vastgesteld op het minimum van de bandbreedte vermeerderd met de helft van de bandbreedte van de aan een overtreding gekoppelde boetecategorie.

Terugwerkende kracht

Stcrt. 2023, 34541, datum inwerkingtreding 12-12-2023, bevat een wijziging met terugwerkende kracht van dit artikel. Deze wijziging werkt terug tot en met 24-05-2023.

Paragraaf 2.4. Overtredingen met een wettelijk boetemaximum van de vijfde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht

Terugwerkende kracht

Voor deze paragraaf is een wijziging met terugwerkende kracht gepubliceerd. Zie opmerking onder de tekst voor nadere informatie.

Terugwerkende kracht

Stcrt. 2023, 34541, datum inwerkingtreding 12-12-2023, bevat een wijziging met terugwerkende kracht van deze paragraaf. Deze wijziging werkt terug tot en met 24-05-2023.

Artikel 6. Categorie-indeling en boetebandbreedtes

Terugwerkende kracht

Voor dit artikel is een wijziging met terugwerkende kracht gepubliceerd. Zie opmerking onder de tekst voor nadere informatie.

6.1 De bepalingen ter zake van overtreding waarvan de Autoriteit Persoonsgegevens een bestuurlijke boete van ten hoogste het bedrag van de geldboete van de vijfde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht kan opleggen, zijn in bijlage 5 ingedeeld in categorie I, categorie II of categorie III.

6.2 De Autoriteit Persoonsgegevens stelt de basisboete voor overtredingen waarvoor een wettelijk boetemaximum geldt van de vijfde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht vast binnen de volgende boetebandbreedtes:

Categorie I	Boetebandbreedte tussen € 0 en € 25.000	Basisboete: € 12.500
Categorie II	Boetebandbreedte tussen € 15.000 en € 50.000	Basisboete: € 32.500
Categorie III	Boetebandbreedte tussen € 30.000 (A) en het bedrag genoemd in de vijfde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht (B)	Basisboete: (A+B) / 2

6.3 De hoogte van de basisboete wordt vastgesteld op het minimum van de bandbreedte vermeerderd met de helft van de bandbreedte van de aan een overtreding gekoppelde boetecategorie.

Terugwerkende kracht

Stcrt. 2023, 34541, datum inwerkingtreding 12-12-2023, bevat een wijziging met terugwerkende kracht van dit artikel. Deze wijziging werkt terug tot en met 24-05-2023.

Paragraaf 2.5. Bepalen van de hoogte van de boete

Terugwerkende kracht

Voor deze paragraaf is een wijziging met terugwerkende kracht gepubliceerd. Zie opmerking onder de tekst voor nadere informatie.

Terugwerkende kracht

Stcrt. 2023, 34541, datum inwerkingtreding 12-12-2023, bevat een wijziging met terugwerkende kracht van deze paragraaf. Deze wijziging werkt terug tot en met 24-05-2023.

Artikel 7. De basisboete en mogelijke verhoging of verlaging

Terugwerkende kracht

Voor dit artikel is een wijziging met terugwerkende kracht gepubliceerd. Zie opmerking onder de tekst voor nadere informatie.

De Autoriteit Persoonsgegevens bepaalt de hoogte van de boete door het bedrag van de basisboete naar boven (tot ten hoogste het maximum van de bandbreedte van de aan een overtreding gekoppelde boetecategorie) of naar beneden (tot ten laagste het minimum van die bandbreedte) bij te stellen. De basisboete wordt verhoogd of verlaagd afhankelijk van de mate waarin de factoren die zijn genoemd in artikel 8 daartoe aanleiding geven.

Terugwerkende kracht

Stcrt. 2023, 34541, datum inwerkingtreding 12-12-2023, bevat een wijziging met terugwerkende kracht van dit artikel. Deze wijziging werkt terug tot en met 24-05-2023.

Artikel 8. Relevante factoren

Terugwerkende kracht

Voor dit artikel is een wijziging met terugwerkende kracht gepubliceerd. Zie opmerking onder de tekst voor nadere informatie.

Onverminderd de artikelen 3:4 en 5:46 van de Algemene wet bestuursrecht houdt de Autoriteit Persoonsgegevens rekening met de factoren genoemd onder a tot en met k, voor zover in het concrete geval van toepassing:

a) de aard, de ernst en de duur van de inbreuk, rekening houdend met de aard, de omvang of het doel van de verwerking in kwestie alsmede het aantal getroffen betrokkenen en de omvang van de door hen geleden schade;
b) de opzettelijke of nalatige aard van de inbreuk;
c) de door de verwerkingsverantwoordelijke of de verwerker genomen maatregelen om de door betrokkenen geleden schade te beperken;
d) de mate waarin de verwerkingsverantwoordelijke of de verwerker verantwoordelijk is gezien de technische en organisatorische maatregelen die hij heeft uitgevoerd overeenkomstig de artikelen 25 en 32 van de Algemene verordening gegevensbescherming;
e) eerdere relevante inbreuken door de verwerkingsverantwoordelijke of de verwerker;
f) de mate waarin er met de toezichthoudende autoriteit is samengewerkt om de inbreuk te verhelpen en de mogelijke negatieve gevolgen daarvan te beperken;
g) de categorieën van persoonsgegevens waarop de inbreuk betrekking heeft;
h) de wijze waarop de toezichthoudende autoriteit kennis heeft gekregen van de inbreuk, met name of, en zo ja in hoeverre, de verwerkingsverantwoordelijke of de verwerker de inbreuk heeft gemeld;
i) de naleving van de in artikel 58, tweede lid, van de Algemene verordening gegevensbescherming genoemde maatregelen, voor zover die eerder ten aanzien van de verwerkingsverantwoordelijke of de verwerker in kwestie met betrekking tot dezelfde aangelegenheid zijn genomen;
j) het aansluiten bij goedgekeurde gedragscodes overeenkomstig artikel 40 van de Algemene verordening gegevensbescherming of van goedgekeurde certificeringsmechanismen overeenkomstig artikel 42 van de Algemene verordening gegevensbescherming; en
k) elke andere op de omstandigheden van de zaak toepasselijke verzwarende of verzachtende factor, zoals gemaakte financiële winsten, of vermeden verliezen, die al dan niet rechtstreeks uit de inbreuk voortvloeien.

Terugwerkende kracht

Stcrt. 2023, 34541, datum inwerkingtreding 12-12-2023, bevat een wijziging met terugwerkende kracht van dit artikel. Deze wijziging werkt terug tot en met 24-05-2023.

Artikel 9. Buiten de bandbreedte treden

Terugwerkende kracht

Voor dit artikel is een wijziging met terugwerkende kracht gepubliceerd. Zie opmerking onder de tekst voor nadere informatie.

9.1 Indien de voor de overtreding bepaalde boetecategorie in het concrete geval geen passende bestraffing toelaat, kan de Autoriteit Persoonsgegevens bij het bepalen van de hoogte van de boete de boetebandbreedte van de naast hogere categorie respectievelijk de boetebandbreedte van de naast lagere categorie toepassen.
9.2 In aanvulling op artikel 8, onder e, van deze beleidsregels en behoudens het bepaalde in artikel 15.4, vijfde lid, van de Telecommunicatiewet hanteert de Autoriteit Persoonsgegevens het uitgangspunt om in geval van recidive de boete met 50% te verhogen, tenzij dit gezien de omstandigheden van het concrete geval onredelijk zou zijn. De Autoriteit Persoonsgegevens kan daarbij buiten de grenzen van de toegepaste boetebandbreedte treden, met inachtneming van het wettelijk boetemaximum.

Terugwerkende kracht

Stcrt. 2023, 34541, datum inwerkingtreding 12-12-2023, bevat een wijziging met terugwerkende kracht van dit artikel. Deze wijziging werkt terug tot en met 24-05-2023.

Paragraaf 2.6. Draagkracht

Terugwerkende kracht

Voor deze paragraaf is een wijziging met terugwerkende kracht gepubliceerd. Zie opmerking onder de tekst voor nadere informatie.

Terugwerkende kracht

Stcrt. 2023, 34541, datum inwerkingtreding 12-12-2023, bevat een wijziging met terugwerkende kracht van deze paragraaf. Deze wijziging werkt terug tot en met 24-05-2023.

Artikel 10. Draagkracht

Terugwerkende kracht

Voor dit artikel is een wijziging met terugwerkende kracht gepubliceerd. Zie opmerking onder de tekst voor nadere informatie.

Bij het vaststellen van de boete houdt de Autoriteit Persoonsgegevens zo nodig rekening met de financiële omstandigheden waarin de overtreder verkeert.

In geval van verminderde of onvoldoende draagkracht van de overtreder kan de Autoriteit

Persoonsgegevens de op te leggen boete verdergaand matigen, indien, na toepassing van de artikelen 7 en 9.1 van de beleidsregels, vaststelling van een boete binnen de boetebandbreedte van de naast lagere categorie naar haar oordeel desalniettemin zou leiden tot een onevenredig hoge boete.

Terugwerkende kracht

Stcrt. 2023, 34541, datum inwerkingtreding 12-12-2023, bevat een wijziging met terugwerkende kracht van dit artikel. Deze wijziging werkt terug tot en met 24-05-2023.

Paragraaf 2.7. Meerdere overtredingen

Terugwerkende kracht

Voor deze paragraaf is een wijziging met terugwerkende kracht gepubliceerd. Zie opmerking onder de tekst voor nadere informatie.

Terugwerkende kracht

Stcrt. 2023, 34541, datum inwerkingtreding 12-12-2023, bevat een wijziging met terugwerkende kracht van deze paragraaf. Deze wijziging werkt terug tot en met 24-05-2023.

Artikel 11. Boete bij meerdere overtredingen

Terugwerkende kracht

Voor dit artikel is een wijziging met terugwerkende kracht gepubliceerd. Zie opmerking onder de tekst voor nadere informatie.

Ingeval van meerdere overtredingen met betrekking tot dezelfde of daarmee verband houdende verwerkingsactiviteiten is de totale boete niet hoger dan het wettelijk boetemaximum van de zwaarste overtreding.

Terugwerkende kracht

Stcrt. 2023, 34541, datum inwerkingtreding 12-12-2023, bevat een wijziging met terugwerkende kracht van dit artikel. Deze wijziging werkt terug tot en met 24-05-2023.

Hoofdstuk 3. Overgangs- en slotbepalingen

Terugwerkende kracht

Voor dit hoofdstuk is een wijziging met terugwerkende kracht gepubliceerd. Zie opmerking onder de tekst voor nadere informatie.

Terugwerkende kracht

Stcrt. 2023, 34541, datum inwerkingtreding 12-12-2023, bevat een wijziging met terugwerkende kracht van dit hoofdstuk. Deze wijziging werkt terug tot en met 24-05-2023.

Artikel 12. Overgangsbepaling

Terugwerkende kracht

Voor dit artikel is een wijziging met terugwerkende kracht gepubliceerd. Zie opmerking onder de tekst voor nadere informatie.

Op overtredingen ten aanzien waarvan de Autoriteit Persoonsgegevens vaststelt dat ze zijn begaan voorafgaand aan het van toepassing worden van de Algemene verordening gegevensbescherming en de inwerkingtreding van de Uitvoeringswet Algemene verordening gegevensbescherming op 25 mei 2018, wordt ten aanzien van de periode vóór dat tijdstip rekening gehouden met de Boetebeleidsregels Autoriteit Persoonsgegevens 2016, zoals deze golden voorafgaand aan dat tijdstip. Het voorgaande laat onverlet de toepasselijkheid van de richtsnoeren van het Europees Comité voor gegevensbescherming 04/2022 in de gevallen waarop die richtsnoeren betrekking hebben (vergelijk artikel 2 van deze beleidsregels).

Terugwerkende kracht

Stcrt. 2023, 34541, datum inwerkingtreding 12-12-2023, bevat een wijziging met terugwerkende kracht van dit artikel. Deze wijziging werkt terug tot en met 24-05-2023.

Artikel 13. Intrekking Boetebeleidsregels Autoriteit Persoonsgegevens 2019

Terugwerkende kracht

Voor dit artikel is een wijziging met terugwerkende kracht gepubliceerd. Zie opmerking onder de tekst voor nadere informatie.

De Boetebeleidsregels Autoriteit Persoonsgegevens 2019 worden ingetrokken.

Terugwerkende kracht

Stcrt. 2023, 34541, datum inwerkingtreding 12-12-2023, bevat een wijziging met terugwerkende kracht van dit artikel. Deze wijziging werkt terug tot en met 24-05-2023.

Artikel 14. Inwerkingtreding

Terugwerkende kracht

Voor dit artikel is een wijziging met terugwerkende kracht gepubliceerd. Zie opmerking onder de tekst voor nadere informatie.

Deze beleidsregels treden in werking met terugwerkende kracht per 24 mei 2023.

Terugwerkende kracht

Stcrt. 2023, 34541, datum inwerkingtreding 12-12-2023, bevat een wijziging met terugwerkende kracht van dit artikel. Deze wijziging werkt terug tot en met 24-05-2023.

Artikel 15. Citeertitel

Terugwerkende kracht

Voor dit artikel is een wijziging met terugwerkende kracht gepubliceerd. Zie opmerking onder de tekst voor nadere informatie.

Deze beleidsregels worden aangehaald als: Boetebeleidsregels Autoriteit Persoonsgegevens 2023.

Terugwerkende kracht

Stcrt. 2023, 34541, datum inwerkingtreding 12-12-2023, bevat een wijziging met terugwerkende kracht van dit artikel. Deze wijziging werkt terug tot en met 24-05-2023.

Artikel 16. Bekendmaking

Terugwerkende kracht

Voor dit artikel is een wijziging met terugwerkende kracht gepubliceerd. Zie opmerking onder de tekst voor nadere informatie.

Deze beleidsregels zullen met de toelichting in de Staatscourant worden geplaatst.

Terugwerkende kracht

Stcrt. 2023, 34541, datum inwerkingtreding 12-12-2023, bevat een wijziging met terugwerkende kracht van dit artikel. Deze wijziging werkt terug tot en met 24-05-2023.

Den Haag, 6 juni 2023

Autoriteit Persoonsgegevens,

A. Wolfsen

Voorzitter

Bijlage 1. , behorende bij artikel 2 van de Boetebeleidsregels Autoriteit Persoonsgegevens 2023

Terugwerkende kracht

Voor deze bijlage is een wijziging met terugwerkende kracht gepubliceerd. Zie opmerking onder de tekst voor nadere informatie.

Overtredingen met een wettelijk boetemaximum van € 10.000.000 of, voor een onderneming, tot 2% van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is

Wetsartikel	Omschrijving	Categorie
Algemene verordening gegevensbescherming
artikel 8	voorwaarden voor de toestemming van kinderen met betrekking tot diensten van de informatiemaatschappij	II
artikel 11	verwerking waarvoor identificatie niet is vereist	I
artikel 25	gegevensbescherming door ontwerp en door standaardinstellingen	II
artikel 26	gezamenlijke verwerkingsverantwoordelijken	I
artikel 28, behoudens het negende lid	verwerker	II
artikel 28, negende lid	verwerker	I
artikel 29	verwerking onder gezag van de verwerkingsverantwoordelijke of de verwerker	I: indien de overtreder een natuurlijke persoon is; II: indien de overtreder een rechtspersoon is, of onderdeel daarvan
artikel 30, behoudens het derde lid	register van de verwerkingsactiviteiten	II
artikel 30, derde lid	register van de verwerkingsactiviteiten	I
artikel 31	medewerking met de toezichthoudende autoriteit	III
artikel 32	beveiliging van de verwerking	II
artikel 33, behoudens het derde lid	melding van een inbreuk in verband met persoonsgegevens aan de toezichthoudende autoriteit	III
artikel 33, derde lid	melding van een inbreuk in verband met persoonsgegevens aan de toezichthoudende autoriteit	II
artikel 34, behoudens het tweede lid	mededeling van een inbreuk in verband met persoonsgegevens aan de betrokkene	III
artikel 34, tweede lid	mededeling van een inbreuk in verband met persoonsgegevens aan de betrokkene	II
artikel 35, behoudens het negende lid	gegevensbeschermingseffectbeoordeling	II
artikel 35, negende lid	gegevensbeschermingseffectbeoordeling	I
artikel 36	voorafgaande raadpleging	II
artikel 37, behoudens het zevende lid	aanwijzing van de functionaris voor gegevensbescherming	II
artikel 37, zevende lid	aanwijzing van de functionaris voor gegevensbescherming	I
artikel 38, behoudens het tweede en zesde lid	positie van de functionaris voor gegevensbescherming	II
artikel 38, tweede en zesde lid	positie van de functionaris voor gegevensbescherming	I
artikel 39	taken van de functionaris voor gegevensbescherming	II
artikel 41, vierde lid	toezicht op goedgekeurde gedragscodes	I
artikel 42, behoudens het derde en zesde lid	certificering	II
artikel 42, derde lid	certificering	I
artikel 42, zesde lid	certificering	III
artikel 43	certificeringsorganen	I
Uitvoeringswet Algemene verordening gegevensbescherming
artikel 18, eerste lid	bestuurlijke boete aan overheden	I, II, of III, afhankelijk van de indeling van de onderliggende bepaling
Kieswet	bestuurlijke boete op grond van Kieswet	I, II, of III, afhankelijk van de indeling van de onderliggende bepaling
Wet basisregistratie personen	bestuurlijke boete op grond van de Wet basisregistratie personen	I, II, of III, afhankelijk van de indeling van de onderliggende bepaling

Terugwerkende kracht

Stcrt. 2023, 34541, datum inwerkingtreding 12-12-2023, bevat een wijziging met terugwerkende kracht van deze bijlage. Deze wijziging werkt terug tot en met 24-05-2023.

Bijlage 2. , behorende bij artikel 2 van de Boetebeleidsregels Autoriteit Persoonsgegevens 2023

Terugwerkende kracht

Voor deze bijlage is een wijziging met terugwerkende kracht gepubliceerd. Zie opmerking onder de tekst voor nadere informatie.

Overtredingen met een wettelijk boetemaximum van € 20.000.000 of, voor een onderneming, tot 4% van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is

Wetsartikel	Omschrijving	Categorie
Algemene verordening gegevensbescherming
artikel 5, eerste lid, behoudens onder a	beginselen inzake verwerking van persoonsgegevens	III
artikel 5, eerste lid, onder a en tweede lid	beginselen inzake verwerking van persoonsgegevens	I, II, III of IV, afhankelijk van de indeling van de onderliggende bepaling
artikel 6	rechtmatigheid van de verwerking	III
artikel 7	voorwaarden voor toestemming	III
artikel 9	verwerking van bijzondere categorieën van persoonsgegevens	IV
artikel 12, behoudens het derde tot en met vijfde lid	transparante informatie, communicatie en nadere regels voor de uitoefening van de rechten van de betrokkene	III
artikel 12, derde tot en met vijfde lid	transparante informatie, communicatie en nadere regels voor de uitoefening van de rechten van de betrokkene	II
artikel 13	te verstrekken informatie wanneer persoonsgegevens bij de betrokkene worden verzameld	III
artikel 14	te verstrekken informatie wanneer de persoonsgegevens niet van de betrokkene zijn verkregen	III
artikel 15	recht van inzage van de betrokkene	III
artikel 16	recht op rectificatie	III
artikel 17	recht op gegevenswissing	III
artikel 18, behoudens het derde lid	recht op beperking van de verwerking	III
artikel 18, derde lid	recht op beperking van de verwerking	II
artikel 19	kennisgevingsplicht inzake rectificatie of wissing van persoonsgegevens of verwerkingsbeperking	II
artikel 20	recht op overdraagbaarheid van gegevens	III
artikel 21, behoudens het vierde lid	recht van bezwaar	III
artikel 21, vierde lid	recht van bezwaar	II
artikel 22	geautomatiseerde individuele besluitvorming, waaronder profilering	IV
artikel 44	algemeen beginsel inzake doorgiften	III
artikel 45	doorgiften op basis van adequaatheidsbesluiten	III
artikel 46	doorgiften op basis van passende waarborgen	III
artikel 47	bindende bedrijfsvoorschriften	III
artikel 48	niet bij Unierecht toegestane doorgiften of verstrekkingen	III
artikel 49	afwijkingen voor specifieke situaties	III
alle verplichtingen uit hoofde van krachtens hoofdstuk IX door de lidstaten vastgesteld recht, bijvoorbeeld:		I, II, III of IV, afhankelijk van de indeling van de onderliggende bepaling
- artikel 87 van de Algemene verordening gegevensbescherming jo. artikel 46, eerste lid, van de Uitvoeringswet Algemene verordening gegevensbescherming	verwerking nationaal identificatienummer	IV
- artikel 87 van de Algemene verordening gegevensbescherming jo. artikel 46, tweede lid, van de Uitvoeringswet Algemene verordening gegevensbescherming	verwerking nationaal identificatienummer	III
- artikel 89 van de Algemene verordening gegevensbescherming jo. artikel 45 van de Uitvoeringswet Algemene verordening gegevensbescherming	waarborgen en afwijkingen in verband met verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden	III
niet-naleving van een bevel of een tijdelijke of definitieve verwerkingsbeperking of een opschorting van gegevensstromen door de toezichthoudende autoriteit overeenkomstig artikel 58, tweede lid, of niet-verlening van toegang in strijd met artikel 58, eerste lid		IV
niet-naleving van een bevel van de toezichthoudende autoriteit als bedoeld in artikel 58, tweede lid		IV
Uitvoeringswet Algemene verordening gegevensbescherming
artikel 17, eerste lid	boete bij onrechtmatige verwerking persoonsgegevens strafrechtelijke aard	IV
artikel 18, eerste lid	bestuurlijke boete aan overheden	II, III of IV, afhankelijk van de indeling van de onderliggende bepaling
Wet op het financieel toezicht
artikel 3:17, zevende lid	verplichtingen toegang betaaldienstverleners tot persoonsgegevens betaaldienstgebruikers	III
Kieswet	bestuurlijke boete op grond van Kieswet	II, III of IV, afhankelijk van de indeling van de onderliggende bepaling
Wet basisregistratie personen	bestuurlijke boete op grond van Wet basisregistratie personen	II, III of IV, afhankelijk van de indeling van de onderliggende bepaling

Terugwerkende kracht

Stcrt. 2023, 34541, datum inwerkingtreding 12-12-2023, bevat een wijziging met terugwerkende kracht van deze bijlage. Deze wijziging werkt terug tot en met 24-05-2023.

Bijlage 3. , behorende bij artikel 3 van de Boetebeleidsregels Autoriteit Persoonsgegevens 2023

Terugwerkende kracht

Voor deze bijlage is een wijziging met terugwerkende kracht gepubliceerd. Zie opmerking onder de tekst voor nadere informatie.

Overtredingen met een wettelijk boetemaximum van € 900.000

Wetsartikel	Omschrijving	Categorie
Telecommunicatiewet
artikel 11.3a, behoudens het derde en zevende lid	meldplicht datalekken aanbieder openbare elektronische communicatiedienst	II
artikel 11.3a, derde en zevende lid	meldplicht datalekken aanbieder openbare elektronische communicatiedienst	I
artikel 11.5b	verwerking persoonsgegevens door verleners van vertrouwensdiensten	II
artikel 18.15a	regels over te verstrekken gegevens bij de kennisgeving van een inbreuk op de veiligheid of het verlies van integriteit	I
Verordening (EU) nr. 910/2014 (eIDAS-verordening)
artikel 19, tweede lid	meldplicht in de eIDAS-verordening	II
Algemene wet bestuursrecht
artikel 5:20, eerste lid	medewerkingsplicht (nalevingstoezicht Telecommunicatiewet)	III

Terugwerkende kracht

Stcrt. 2023, 34541, datum inwerkingtreding 12-12-2023, bevat een wijziging met terugwerkende kracht van deze bijlage. Deze wijziging werkt terug tot en met 24-05-2023.

Bijlage 4. , behorende bij artikel 4 van de Boetebeleidsregels Autoriteit Persoonsgegevens 2023

Terugwerkende kracht

Voor deze bijlage is een wijziging met terugwerkende kracht gepubliceerd. Zie opmerking onder de tekst voor nadere informatie.

Overtredingen met een wettelijk boetemaximum van de zesde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht

Wetsartikel	Omschrijving	Categorie
Wet politiegegevens
artikel 5	bijzondere categorieën van politiegegevens	III
artikel 7a	geautomatiseerde individuele besluitvorming	III
artikel 24a, behoudens het tweede en derde lid	informatie aan de betrokkene	II
artikel 24a, tweede en derde lid	informatie aan de betrokkene	I
artikel 24b	verstrekking van informatie aan de betrokkene	II
artikel 25, eerste lid	recht op inzage	II
artikel 25, tweede lid	recht op inzage	I
artikel 28, eerste en tweede lid	recht op rectificatie en vernietiging van politiegegevens	II
artikel 28, derde, vierde en vijfde lid	recht op rectificatie en vernietiging van politiegegevens	I
Wet justitiële en strafvorderlijke gegevens
artikel 7e	geautomatiseerde verwerking, met inbegrip van profilering	III
artikel 17a	informatie voor de betrokkene	II
artikel 17b, behoudens het tweede lid	verstrekking van informatie aan de betrokkene	II
artikel 17b, tweede lid	verstrekking van informatie aan de betrokkene	I
artikel 18	recht op inzage	II
artikel 22, behoudens het vierde en vijfde lid	recht op rectificatie, vernietiging of afscherming	II
artikel 22, vierde en vijfde lid	recht op rectificatie, vernietiging of afscherming	I
artikel 24	kennisgevingsplicht inzake rectificatie, vernietiging of afscherming van gegevens	I
artikel 39c, eerste lid, jo. artikel 7e	geautomatiseerde verwerking, met inbegrip van profilering	III
artikel 39ha, eerste en tweede lid	informatie voor de betrokkene	II
artikel 39i, eerste lid	recht op inzage	II
artikel 39i, tweede en derde lid	recht op inzage	I
artikel 39m, behoudens het vierde lid en voor wat betreft de overeenkomstige toepassing van artikel 22, vijfde lid	recht op rectificatie, vernietiging of afscherming	II
artikel 39m, vierde lid en voor wat betreft de overeenkomstige toepassing van artikel 22, vijfde lid	recht op rectificatie, vernietiging of afscherming	I
artikel 39o jo. artikel 24	kennisgevingsplicht inzake rectificatie, vernietiging of afscherming van gegevens	I
artikel 40, derde lid, jo. artikel 7e	geautomatiseerde verwerking, met inbegrip van profilering	III
artikel 42b, behoudens voor wat betreft de overeenkomstige toepassing van artikel 17b, tweede lid	informatie aan de betrokkene	II
artikel 42b, voor wat betreft de overeenkomstige toepassing van artikel 17b, tweede lid	informatie aan de betrokkene	I
artikel 43	recht op inzage	II
artikel 46, behoudens het vierde lid en voor wat betreft de overeenkomstige toepassing van artikel 22, vijfde lid	recht op rectificatie, vernietiging of afscherming	II
artikel 46, vierde lid en voor wat betreft de overeenkomstige toepassing van artikel 22, vijfde lid	recht op rectificatie, vernietiging of afscherming	I
artikel 48 jo. artikel 24	kennisgevingsplicht inzake rectificatie, vernietiging of afscherming van gegevens	I
artikel 51b, eerste lid, jo. artikel 7e	geautomatiseerde verwerking, met inbegrip van profilering	III
artikel 51b, eerste lid, jo. artikel 17a	informatie voor de betrokkene	II
artikel 51b, eerste lid, jo. artikel 17b, behoudens het tweede lid van dit artikel	verstrekking van informatie aan de betrokkene	II
artikel 51b, eerste lid, jo. artikel 17b, tweede lid	verstrekking van informatie aan de betrokkene	I
artikel 51b, eerste lid, jo. artikel 22, behoudens het vierde en vijfde lid van dit artikel	recht op rectificatie, vernietiging of afscherming	II
artikel 51b, eerste lid, jo. artikel 22, vierde en vijfde lid	recht op rectificatie, vernietiging of afscherming	I
artikel 51b, eerste lid, jo. artikel 24	kennisgevingsplicht inzake rectificatie, vernietiging of afscherming van gegevens	I
artikel 51b, tweede lid	recht op inzage	II
artikel 51f, eerste lid, jo. artikel 7e	geautomatiseerde verwerking, met inbegrip van profilering	III
artikel 51f, eerste lid, jo. artikel 17a	informatie voor de betrokkene	II
artikel 51f, eerste lid, jo. artikel 17b, behoudens het tweede lid van dit artikel	verstrekking van informatie aan de betrokkene	II
artikel 51f, eerste lid, jo. artikel 17b, tweede lid	verstrekking van informatie aan de betrokkene	I
artikel 51f, eerste lid, jo. artikel 22, behoudens het vierde en vijfde lid van dit artikel	recht op rectificatie, vernietiging of afscherming	II
artikel 51f, eerste lid, jo. artikel 22, vierde en vijfde lid	recht op rectificatie, vernietiging of afscherming	I
artikel 51f, eerste lid, jo. artikel 24	kennisgevingsplicht inzake rectificatie, vernietiging of afscherming van gegevens	I
Artikel 51f, derde lid	recht op inzage	II

Terugwerkende kracht

Stcrt. 2023, 34541, datum inwerkingtreding 12-12-2023, bevat een wijziging met terugwerkende kracht van deze bijlage. Deze wijziging werkt terug tot en met 24-05-2023.

Bijlage 5. , behorende bij artikel 5 van de Boetebeleidsregels Autoriteit Persoonsgegevens 2023

Terugwerkende kracht

Voor deze bijlage is een wijziging met terugwerkende kracht gepubliceerd. Zie opmerking onder de tekst voor nadere informatie.

Overtredingen met een wettelijk boetemaximum van de vijfde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht

Wetsartikel	Omschrijving	Categorie
Wet politiegegevens
artikel 4a	gegevensbescherming door beveiliging en ontwerp	III
artikel 4b	gegevensbescherming door standaardinstellingen	III
artikel 4c	gegevensbeschermingseffectbeoordeling	III
artikel 6c	verwerker	III
artikel 31d	register	III
artikel 32	documentatie	II
artikel 33a	melding datalekken	III
artikel 33b	voorafgaand raadplegen Autoriteit persoonsgegevens	III
artikel 36	functionaris voor gegevensbescherming	III
Wet justitiële en strafvorderlijke gegevens
artikel 7	verplichtingen van de verwerkingsverantwoordelijke en de verwerker en beveiliging van gegevens	III
artikel 7a	gegevensbescherming door ontwerp en door standaardinstellingen	III
artikel 7b	gegevensbeschermingseffectbeoordeling	III
artikel 7d	verwerker	III
artikel 26c	register	III
artikel 26f	functionaris voor gegevensbescherming	III
artikel 26g	melden inbreuk op de beveiliging	III
artikel 26h	voorafgaand raadplegen Autoriteit Persoonsgegevens	III
artikel 39c, eerste lid, jo. artikel 7	verplichtingen van de verwerkingsverantwoordelijke en beveiliging van gegevens	III
artikel 39c, eerste lid, jo. artikel 7a	gegevensbescherming door ontwerp en door standaardinstellingen	III
artikel 39c, eerste lid, jo. artikel 7b	gegevensbeschermingseffectbeoordeling	III
artikel 39c, eerste lid, jo. artikel 7d	verwerker	III
artikel 39r, eerste lid, jo. artikel 26c	register	III
artikel 39r, eerste lid, jo. artikel 26f	functionaris voor gegevensbescherming	III
artikel 39r, eerste lid, jo. artikel 26g	melden inbreuk op de beveiliging	III
artikel 39r, eerste lid, jo. artikel 26h	voorafgaand raadplegen Autoriteit Persoonsgegevens	III
artikel 40, derde lid, jo. artikel 7	verplichtingen van de verwerkingsverantwoordelijke en beveiliging van gegevens	III
artikel 40, derde lid, jo. artikel 7a	gegevensbescherming door ontwerp en door standaardinstellingen	III
artikel 40, derde lid, jo. artikel 7b	gegevensbeschermingseffectbeoordeling	III
artikel 40, derde lid, jo. artikel 7d	verwerker	III
artikel 51, eerste lid, jo. artikel 26c	register	III
artikel 51, eerste lid, jo. artikel 26f	functionaris voor gegevensbescherming	III
artikel 51, eerste lid, jo. artikel 26g	melden inbreuk op de beveiliging	III
artikel 51, eerste lid, jo. artikel 26h	voorafgaand raadplegen Autoriteit Persoonsgegevens	III
artikel 51b, eerste lid, jo. artikel 7	verplichtingen van de verwerkingsverantwoordelijke en beveiliging van gegevens	III
artikel 51b, eerste lid, jo. artikel 7a	gegevensbescherming door ontwerp en door standaardinstellingen	III
artikel 51b, eerste lid, jo. artikel 7b	gegevensbeschermingseffectbeoordeling	III
artikel 51b, eerste lid, jo. artikel 7d	verwerker	III
artikel 51d, eerste lid, jo. artikel 26c	register	III
artikel 51d, eerste lid, jo. artikel 26f	functionaris voor gegevensbescherming	III
artikel 51d, eerste lid, jo. artikel 26g	melden inbreuk op de beveiliging	III
artikel 51d, eerste lid, jo. artikel 26h	voorafgaand raadplegen Autoriteit Persoonsgegevens	III
artikel 51f, eerste lid, jo. artikel 7	verplichtingen van de verwerkingsverantwoordelijke en beveiliging van gegevens	III
artikel 51f, eerste lid, jo. artikel 7a	gegevensbescherming door ontwerp en door standaardinstellingen	III
artikel 51f, eerste lid, jo. artikel 7b	gegevensbeschermingseffectbeoordeling	III
artikel 51f, eerste lid, jo. artikel 7d	verwerker	III
artikel 51h, eerste lid, jo. artikel 26c	register	III
artikel 51h, eerste lid, jo. artikel 26g	melden inbreuk op de beveiliging	III
artikel 51h, eerste lid, jo. artikel 26h	voorafgaand raadplegen Autoriteit Persoonsgegevens	III

Terugwerkende kracht

Stcrt. 2023, 34541, datum inwerkingtreding 12-12-2023, bevat een wijziging met terugwerkende kracht van deze bijlage. Deze wijziging werkt terug tot en met 24-05-2023.