Boetebeleidsregels Autoriteit Persoonsgegevens 2019

[Regeling vervallen per 12-12-2023 met terugwerkende kracht tot en met 24-05-2023.]
Geraadpleegd op 29-03-2024.
Geldend van 15-03-2019 t/m 23-05-2023

Beleidsregels van de Autoriteit Persoonsgegevens van 19 februari 2019 met betrekking tot het bepalen van de hoogte van bestuurlijke boetes (Boetebeleidsregels Autoriteit Persoonsgegevens 2019)

Hoofdstuk 1. Algemene bepalingen

[Regeling vervallen per 12-12-2023 met terugwerkende kracht tot en met 24-05-2023]

Artikel 1. Definities

[Regeling vervallen per 12-12-2023 met terugwerkende kracht tot en met 24-05-2023]

In deze beleidsregels wordt verstaan onder:

  • a. Autoriteit Persoonsgegevens: de Autoriteit persoonsgegevens, bedoeld in artikel 6, eerste lid, van de Uitvoeringswet Algemene verordening gegevensbescherming;

  • b. basisboete: het bedrag dat de basis vormt voor het bepalen van de hoogte van een op te leggen bestuurlijke boete, vastgesteld binnen de bandbreedte van de aan een overtreding gekoppelde boetecategorie, voordat toepassing is gegeven aan paragraaf 2.6;

  • c. betrokkene: degene op wie een persoonsgegeven betrekking heeft als bedoeld in artikel 4, onder 1, van de Algemene verordening gegevensbescherming;

  • d. recidive: de omstandigheid dat ten tijde van het begaan van de overtreding nog geen vijf jaren zijn verstreken sedert het opleggen van een bestuurlijke boete door de Autoriteit Persoonsgegevens aan de overtreder ter zake van eenzelfde of een soortgelijke door die overtreder begane overtreding.

Hoofdstuk 2. Bepalen van de hoogte van bestuurlijke boetes

[Regeling vervallen per 12-12-2023 met terugwerkende kracht tot en met 24-05-2023]

Paragraaf 2.1. Overtredingen met een wettelijk boetemaximum van € 10.000.000 respectievelijk € 20.000.000 of, voor een onderneming, tot 2% respectievelijk 4% van de totale wereldwijde jaaromzet in het voorgaande boekjaar

[Regeling vervallen per 12-12-2023 met terugwerkende kracht tot en met 24-05-2023]

Artikel 2. Categorie-indeling en boetebandbreedtes

[Regeling vervallen per 12-12-2023 met terugwerkende kracht tot en met 24-05-2023]

  • 2.1 De bepalingen ter zake van overtreding waarvan de Autoriteit Persoonsgegevens een bestuurlijke boete kan opleggen van ten hoogste het bedrag van € 10.000.000 of, voor een onderneming, tot 2% van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is, zijn in bijlage 1 ingedeeld in categorie I, categorie II of categorie III.

  • 2.2 De bepalingen ter zake van overtreding waarvan de Autoriteit Persoonsgegevens een bestuurlijke boete kan opleggen van ten hoogste het bedrag van € 20.000.000 of, voor een onderneming, tot 4% van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is, zijn in bijlage 2 ingedeeld in categorie I, categorie II, categorie III of categorie IV.

  • 2.3 De Autoriteit Persoonsgegevens stelt de basisboete voor overtredingen waarvoor een wettelijk boetemaximum geldt van € 10.000.000 of, voor een onderneming, tot 2% van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is, dan wel € 20.000.000 of, voor een onderneming, tot 4% van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is, vast binnen de volgende boetebandbreedtes:

    Categorie I

    Boetebandbreedte tussen € 0 en € 200.000

    Basisboete: € 100.000

    Categorie II

    Boetebandbreedte tussen € 120.000 en € 500.000

    Basisboete: € 310.000

    Categorie III

    Boetebandbreedte tussen € 300.000 en € 750.000

    Basisboete: € 525.000

    Categorie IV

    Boetebandbreedte tussen € 450.000 en € 1.000.000

    Basisboete: € 725.000

  • 2.4 De hoogte van de basisboete wordt vastgesteld op het minimum van de bandbreedte vermeerderd met de helft van de bandbreedte van de aan een overtreding gekoppelde boetecategorie.

Paragraaf 2.2. Overtredingen met een wettelijk boetemaximum van € 900.000

[Regeling vervallen per 12-12-2023 met terugwerkende kracht tot en met 24-05-2023]

Artikel 3. Categorie-indeling en boetebandbreedtes

[Regeling vervallen per 12-12-2023 met terugwerkende kracht tot en met 24-05-2023]

  • 3.1 De bepalingen ter zake van overtreding waarvan de Autoriteit Persoonsgegevens een bestuurlijke boete van ten hoogste het bedrag van € 900.000 kan opleggen, zijn in bijlage 3 ingedeeld in categorie I, categorie II of categorie III.

  • 3.2 De Autoriteit Persoonsgegevens stelt de basisboete voor overtredingen waarvoor een wettelijk boetemaximum geldt van € 900.000 vast binnen de volgende boetebandbreedtes:

    Categorie I

    Boetebandbreedte tussen € 0 en € 250.000

    Basisboete: € 125.000

    Categorie II

    Boetebandbreedte tussen € 150.000 en € 600.000

    Basisboete: € 375.000

    Categorie III

    Boetebandbreedte tussen € 350.000 en € 900.000

    Basisboete: € 625.000

  • 3.3 De hoogte van de basisboete wordt vastgesteld op het minimum van de bandbreedte vermeerderd met de helft van de bandbreedte van de aan een overtreding gekoppelde boetecategorie.

Paragraaf 2.3. Overtredingen met een wettelijk boetemaximum van € 830.000

[Regeling vervallen per 12-12-2023 met terugwerkende kracht tot en met 24-05-2023]

Artikel 4. Categorie-indeling en boetebandbreedtes

[Regeling vervallen per 12-12-2023 met terugwerkende kracht tot en met 24-05-2023]

  • 4.1 De bepalingen ter zake van overtreding waarvan de Autoriteit Persoonsgegevens een bestuurlijke boete van ten hoogste het bedrag van de geldboete van de zesde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht (per 1 januari 2018: € 830.000)1 kan opleggen, zijn in bijlage 4 ingedeeld in categorie I, categorie II of categorie III.

  • 4.2 De Autoriteit Persoonsgegevens stelt de basisboete voor overtredingen waarvoor een wettelijk boetemaximum geldt van € 830.000 vast binnen de volgende boetebandbreedtes:

    Categorie I

    Boetebandbreedte tussen € 0 en € 200.000

    Basisboete: € 100.000

    Categorie II

    Boetebandbreedte tussen € 120.000 en € 500.000

    Basisboete: € 310.000

    Categorie III

    Boetebandbreedte tussen € 300.000 en € 830.000

    Basisboete: € 565.000

  • 4.3 De hoogte van de basisboete wordt vastgesteld op het minimum van de bandbreedte vermeerderd met de helft van de bandbreedte van de aan een overtreding gekoppelde boetecategorie.

Paragraaf 2.5. Overtredingen met een wettelijk boetemaximum van € 83.000

[Regeling vervallen per 12-12-2023 met terugwerkende kracht tot en met 24-05-2023]

Artikel 5. Categorie-indeling en boetebandbreedtes

[Regeling vervallen per 12-12-2023 met terugwerkende kracht tot en met 24-05-2023]

  • 5.1 De bepalingen ter zake van overtreding waarvan de Autoriteit Persoonsgegevens een bestuurlijke boete van ten hoogste het bedrag van de geldboete van de vijfde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht (per 1 januari 2018: € 83.000)2 kan opleggen, zijn in bijlage 5 ingedeeld in categorie I, categorie II of categorie III.

  • 5.2 De Autoriteit Persoonsgegevens stelt de basisboete voor overtredingen waarvoor een wettelijk boetemaximum geldt van € 83.000 vast binnen de volgende boetebandbreedtes:

    Categorie I

    Boetebandbreedte tussen € 0 en € 25.000

    Basisboete: € 12.500

    Categorie II

    Boetebandbreedte tussen € 15.000 en € 50.000

    Basisboete: € 32.500

    Categorie III

    Boetebandbreedte tussen € 30.000 en € 83.000

    Basisboete: € 56.500

  • 5.3 De hoogte van de basisboete wordt vastgesteld op het minimum van de bandbreedte vermeerderd met de helft van de bandbreedte van de aan een overtreding gekoppelde boetecategorie.

Paragraaf 2.6. Bepalen van de hoogte van de boete

[Regeling vervallen per 12-12-2023 met terugwerkende kracht tot en met 24-05-2023]

Artikel 6. De basisboete en mogelijke verhoging of verlaging

[Regeling vervallen per 12-12-2023 met terugwerkende kracht tot en met 24-05-2023]

De Autoriteit Persoonsgegevens bepaalt de hoogte van de boete door het bedrag van de basisboete naar boven (tot ten hoogste het maximum van de bandbreedte van de aan een overtreding gekoppelde boetecategorie) of naar beneden (tot ten laagste het minimum van die bandbreedte) bij te stellen. De basisboete wordt verhoogd of verlaagd afhankelijk van de mate waarin de factoren die zijn genoemd in artikel 7 daartoe aanleiding geven.

Artikel 7. Relevante factoren

[Regeling vervallen per 12-12-2023 met terugwerkende kracht tot en met 24-05-2023]

Onverminderd de artikelen 3:4 en 5:46 van de Algemene wet bestuursrecht houdt de Autoriteit Persoonsgegevens rekening met de factoren genoemd onder a tot en met k, voor zover in het concrete geval van toepassing:

  • a) de aard, de ernst en de duur van de inbreuk, rekening houdend met de aard, de omvang of het doel van de verwerking in kwestie alsmede het aantal getroffen betrokkenen en de omvang van de door hen geleden schade;

  • b) de opzettelijke of nalatige aard van de inbreuk;

  • c) de door de verwerkingsverantwoordelijke of de verwerker genomen maatregelen om de door betrokkenen geleden schade te beperken;

  • d) de mate waarin de verwerkingsverantwoordelijke of de verwerker verantwoordelijk is gezien de technische en organisatorische maatregelen die hij heeft uitgevoerd overeenkomstig de artikelen 25 en 32 van de Algemene verordening gegevensbescherming;

  • e) eerdere relevante inbreuken door de verwerkingsverantwoordelijke of de verwerker;

  • f) de mate waarin er met de toezichthoudende autoriteit is samengewerkt om de inbreuk te verhelpen en de mogelijke negatieve gevolgen daarvan te beperken;

  • g) de categorieën van persoonsgegevens waarop de inbreuk betrekking heeft;

  • h) de wijze waarop de toezichthoudende autoriteit kennis heeft gekregen van de inbreuk, met name of, en zo ja in hoeverre, de verwerkingsverantwoordelijke of de verwerker de inbreuk heeft gemeld;

  • i) de naleving van de in artikel 58, tweede lid, van de Algemene verordening gegevensbescherming genoemde maatregelen, voor zover die eerder ten aanzien van de verwerkingsverantwoordelijke of de verwerker in kwestie met betrekking tot dezelfde aangelegenheid zijn genomen;

  • j) het aansluiten bij goedgekeurde gedragscodes overeenkomstig artikel 40 van de Algemene verordening gegevensbescherming of van goedgekeurde certificeringsmechanismen overeenkomstig artikel 42 van de Algemene verordening gegevensbescherming; en

  • k) elke andere op de omstandigheden van de zaak toepasselijke verzwarende of verzachtende factor, zoals gemaakte financiële winsten, of vermeden verliezen, die al dan niet rechtstreeks uit de inbreuk voortvloeien.

Artikel 8. Buiten de bandbreedte treden en verhoogde boetemaxima voor een onderneming

[Regeling vervallen per 12-12-2023 met terugwerkende kracht tot en met 24-05-2023]

  • 8.1 Indien de voor de overtreding bepaalde boetecategorie in het concrete geval geen passende bestraffing toelaat, kan de Autoriteit Persoonsgegevens bij het bepalen van de hoogte van de boete de boetebandbreedte van de naast hogere categorie respectievelijk de boetebandbreedte van de naast lagere categorie toepassen.

  • 8.2 In aanvulling op artikel 7, onder e, van deze beleidsregels en behoudens het bepaalde in artikel 15.4, vijfde lid, van de Telecommunicatiewet hanteert de Autoriteit Persoonsgegevens het uitgangspunt om in geval van recidive de boete met 50% te verhogen, tenzij dit gezien de omstandigheden van het concrete geval onredelijk zou zijn. De Autoriteit Persoonsgegevens kan daarbij buiten de grenzen van de toegepaste boetebandbreedte treden, met inachtneming van het wettelijk boetemaximum.

  • 8.3 Indien ter zake van de overtreding aan een onderneming een bestuurlijke boete van ten hoogste het bedrag van € 10.000.000 kan worden opgelegd en het hoogste bedrag van de toepasselijke boetebandbreedte naar het oordeel van de Autoriteit Persoonsgegevens geen passende bestraffing toelaat, kan zij op grond van artikel 83, vierde lid, van de Algemene verordening gegevensbescherming een hogere boete opleggen tot ten hoogste € 10.000.000 of ten hoogste 2% van de totale wereldwijde jaaromzet in het boekjaar voorafgaande aan het besluit waarbij de bestuurlijke boete wordt opgelegd, indien dit cijfer hoger is. De Autoriteit Persoonsgegevens treedt daarbij buiten de grenzen van de in artikel 2.3 genoemde boetebandbreedtes.

  • 8.4 Indien ter zake van de overtreding aan een onderneming een bestuurlijke boete van ten hoogste het bedrag van € 20.000.000 kan worden opgelegd en het hoogste bedrag van de toepasselijke boetebandbreedte naar het oordeel van de Autoriteit Persoonsgegevens geen passende bestraffing toelaat, kan zij op grond van artikel 83, vijfde en zesde lid, van de Algemene verordening gegevensbescherming een hogere boete opleggen tot ten hoogste € 20.000.000 of ten hoogste 4% van de totale wereldwijde jaaromzet in het boekjaar voorafgaande aan het besluit waarbij de bestuurlijke boete wordt opgelegd, indien dit cijfer hoger is. De Autoriteit Persoonsgegevens treedt daarbij buiten de grenzen van de in artikel 2.3 genoemde boetebandbreedtes.

Paragraaf 2.7. Draagkracht

[Regeling vervallen per 12-12-2023 met terugwerkende kracht tot en met 24-05-2023]

Artikel 9. Draagkracht

[Regeling vervallen per 12-12-2023 met terugwerkende kracht tot en met 24-05-2023]

Bij het vaststellen van de boete houdt de Autoriteit Persoonsgegevens zo nodig rekening met de financiële omstandigheden waarin de overtreder verkeert.

In geval van verminderde of onvoldoende draagkracht van de overtreder kan de Autoriteit

Persoonsgegevens de op te leggen boete verdergaand matigen, indien, na toepassing van artikel 8.1 van de beleidsregels, vaststelling van een boete binnen de boetebandbreedte van de naast lagere categorie naar haar oordeel desalniettemin zou leiden tot een onevenredig hoge boete.

Paragraaf 2.8. Meerdere overtredingen

[Regeling vervallen per 12-12-2023 met terugwerkende kracht tot en met 24-05-2023]

Artikel 10. Boete bij meerdere overtredingen

[Regeling vervallen per 12-12-2023 met terugwerkende kracht tot en met 24-05-2023]

Ingeval van meerdere overtredingen met betrekking tot dezelfde of daarmee verband houdende verwerkingsactiviteiten is de totale boete niet hoger dan het wettelijk boetemaximum van de zwaarste overtreding.

Hoofdstuk 3. Overgangs- en slotbepalingen

[Regeling vervallen per 12-12-2023 met terugwerkende kracht tot en met 24-05-2023]

Artikel 11. Overgangsbepaling

[Regeling vervallen per 12-12-2023 met terugwerkende kracht tot en met 24-05-2023]

Op overtredingen ten aanzien waarvan de Autoriteit Persoonsgegevens vaststelt dat ze zijn begaan voorafgaand aan het van toepassing worden van de Algemene verordening gegevensbescherming en de inwerkingtreding van de Uitvoeringswet Algemene verordening gegevensbescherming op 25 mei 2018, wordt ten aanzien van de periode voor dat tijdstip rekening gehouden met de Boetebeleidsregels Autoriteit Persoonsgegevens 2016, zoals deze golden voorafgaand aan dat tijdstip.

Artikel 13. Inwerkingtreding

[Regeling vervallen per 12-12-2023 met terugwerkende kracht tot en met 24-05-2023]

Deze beleidsregels treden in werking met ingang van de dag na de datum van uitgifte van de Staatscourant waarin ze worden geplaatst.

Artikel 14. Citeertitel

[Regeling vervallen per 12-12-2023 met terugwerkende kracht tot en met 24-05-2023]

Deze beleidsregels worden aangehaald als: Boetebeleidsregels Autoriteit Persoonsgegevens 2019.

Artikel 15. Bekendmaking

[Regeling vervallen per 12-12-2023 met terugwerkende kracht tot en met 24-05-2023]

Deze beleidsregels zullen met de toelichting in de Staatscourant worden geplaatst.

Den Haag, 19 februari 2019

Autoriteit Persoonsgegevens,

A. Wolfsen

Voorzitter

Bijlage 1. behorende bij artikel 2 van de Boetebeleidsregels Autoriteit Persoonsgegevens 2019

[Regeling vervallen per 12-12-2023 met terugwerkende kracht tot en met 24-05-2023]

Overtredingen met een wettelijk boetemaximum van € 10.000.000 of, voor een onderneming, tot 2% van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is

Wetsartikel

Omschrijving

Categorie

Algemene verordening gegevensbescherming

   

artikel 8

voorwaarden voor de toestemming van kinderen met betrekking tot diensten van de informatiemaatschappij

II

artikel 11

verwerking waarvoor identificatie niet is vereist

I

artikel 25

gegevensbescherming door ontwerp en door standaardinstellingen

II

artikel 26

gezamenlijke verwerkingsverantwoordelijken

I

artikel 27, behoudens het derde lid

vertegenwoordigers van niet in de Unie gevestigde verwerkingsverantwoordelijken of verwerkers

III

artikel 27, derde lid

vertegenwoordigers van niet in de Unie gevestigde verwerkingsverantwoordelijken of verwerkers

II

artikel 28, behoudens het negende lid

verwerker

II

artikel 28, negende lid

verwerker

I

artikel 29

verwerking onder gezag van de verwerkingsverantwoordelijke of de verwerker

I: indien de overtreder een natuurlijke persoon is;

II: indien de overtreder een rechtspersoon is, of onderdeel daarvan

artikel 30, behoudens het derde lid

register van de verwerkingsactiviteiten

II

artikel 30, derde lid

register van de verwerkingsactiviteiten

I

artikel 31

medewerking met de toezichthoudende autoriteit

III

artikel 32

beveiliging van de verwerking

II

artikel 33, behoudens het derde lid

melding van een inbreuk in verband met persoonsgegevens aan de toezichthoudende autoriteit

III

artikel 33, derde lid

melding van een inbreuk in verband met persoonsgegevens aan de toezichthoudende autoriteit

II

artikel 34, behoudens het tweede lid

mededeling van een inbreuk in verband met persoonsgegevens aan de betrokkene

III

artikel 34, tweede lid

mededeling van een inbreuk in verband met persoonsgegevens aan de betrokkene

II

artikel 35, behoudens het negende lid

gegevensbeschermingseffectbeoordeling

II

artikel 35, negende lid

gegevensbeschermingseffectbeoordeling

I

artikel 36

voorafgaande raadpleging

II

artikel 37, behoudens het zevende lid

aanwijzing van de functionaris voor gegevensbescherming

II

artikel 37, zevende lid

aanwijzing van de functionaris voor gegevensbescherming

I

artikel 38, behoudens het tweede en zesde lid

positie van de functionaris voor gegevensbescherming

II

artikel 38, tweede en zesde lid

positie van de functionaris voor gegevensbescherming

I

artikel 39

taken van de functionaris voor gegevensbescherming

II

artikel 41, vierde lid

toezicht op goedgekeurde gedragscodes

I

artikel 42, behoudens het derde en zesde lid

certificering

II

artikel 42, derde lid

certificering

I

artikel 42, zesde lid

certificering

III

artikel 43

certificeringsorganen

I

Uitvoeringswet Algemene verordening gegevensbescherming

   

artikel 18, eerste lid

bestuurlijke boete aan overheden

I, II, of III, afhankelijk van de indeling van de onderliggende bepaling

Bijlage 2. behorende bij artikel 2 van de Boetebeleidsregels Autoriteit Persoonsgegevens 2019

[Regeling vervallen per 12-12-2023 met terugwerkende kracht tot en met 24-05-2023]

Overtredingen met een wettelijk boetemaximum van € 20.000.000 of, voor een onderneming, tot 4% van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is

Wetsartikel

Omschrijving

Categorie

Algemene verordening gegevensbescherming

   

artikel 5, eerste lid, behoudens onder a

beginselen inzake verwerking van persoonsgegevens

III

artikel 5, eerste lid, onder a en tweede lid

beginselen inzake verwerking van persoonsgegevens

I, II, III of IV, afhankelijk van de indeling van de onderliggende bepaling

artikel 6

rechtmatigheid van de verwerking

III

artikel 7

voorwaarden voor toestemming

III

artikel 9

verwerking van bijzondere categorieën van persoonsgegevens

IV

artikel 12, behoudens het derde tot en met vijfde lid

transparante informatie, communicatie en nadere regels voor de uitoefening van de rechten van de betrokkene

III

artikel 12, derde tot en met vijfde lid

transparante informatie, communicatie en nadere regels voor de uitoefening van de rechten van de betrokkene

II

artikel 13

te verstrekken informatie wanneer persoonsgegevens bij de betrokkene worden verzameld

III

artikel 14

te verstrekken informatie wanneer de persoonsgegevens niet van de betrokkene zijn verkregen

III

artikel 15

recht van inzage van de betrokkene

III

artikel 16

recht op rectificatie

III

artikel 17

recht op gegevenswissing

III

artikel 18, behoudens het derde lid

recht op beperking van de verwerking

III

artikel 18, derde lid

recht op beperking van de verwerking

II

artikel 19

kennisgevingsplicht inzake rectificatie of wissing van persoonsgegevens of verwerkingsbeperking

II

artikel 20

recht op overdraagbaarheid van gegevens

III

artikel 21, behoudens het vierde lid

recht van bezwaar

III

artikel 21, vierde lid

recht van bezwaar

II

artikel 22

geautomatiseerde individuele besluitvorming, waaronder profilering

IV

artikel 44

algemeen beginsel inzake doorgiften

III

artikel 45

doorgiften op basis van adequaatheidsbesluiten

III

artikel 46

doorgiften op basis van passende waarborgen

III

artikel 47

bindende bedrijfsvoorschriften

III

artikel 48

niet bij Unierecht toegestane doorgiften of verstrekkingen

III

artikel 49

afwijkingen voor specifieke situaties

III

alle verplichtingen uit hoofde van krachtens hoofdstuk IX door de lidstaten vastgesteld recht, bijvoorbeeld:

 

I, II, III of IV, afhankelijk van de indeling van de onderliggende bepaling

– artikel 87 van de Algemene verordening gegevensbescherming jo. artikel 46, eerste lid, van de Uitvoeringswet Algemene verordening gegevensbescherming

verwerking nationaal identificatienummer

IV

– artikel 87 van de Algemene verordening gegevensbescherming jo. artikel 46, tweede lid, van de Uitvoeringswet Algemene verordening gegevensbescherming

verwerking nationaal identificatienummer

III

… artikel 89 van de Algemene verordening gegevensbescherming jo. artikel 45 van de Uitvoeringswet Algemene verordening gegevensbescherming

waarborgen en afwijkingen in verband met verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden

III

niet-naleving van een bevel of een tijdelijke of definitieve verwerkingsbeperking of een opschorting van gegevensstromen door de toezichthoudende autoriteit overeenkomstig artikel 58, tweede lid, of niet-verlening van toegang in strijd met artikel 58, eerste lid

 

IV

niet-naleving van een bevel van de toezichthoudende autoriteit als bedoeld in artikel 58, tweede lid

 

IV

Uitvoeringswet Algemene verordening gegevensbescherming

   

artikel 17, eerste lid

boete bij onrechtmatige verwerking persoonsgegevens strafrechtelijke aard

IV

artikel 18, eerste lid

bestuurlijke boete aan overheden

II, III of IV, afhankelijk van de indeling van de onderliggende bepaling

Bijlage 3. behorende bij artikel 3 van de Boetebeleidsregels Autoriteit Persoonsgegevens 2019

[Regeling vervallen per 12-12-2023 met terugwerkende kracht tot en met 24-05-2023]

Overtredingen met een wettelijk boetemaximum van € 900.000

Wetsartikel

Omschrijving

Categorie

Telecommunicatiewet

   

artikel 11.3a, behoudens het derde en zevende lid

meldplicht datalekken aanbieder openbare elektronische communicatiedienst

II

artikel 11.3a, derde en zevende lid

meldplicht datalekken aanbieder openbare elektronische communicatiedienst

I

artikel 11.5b

verwerking persoonsgegevens door verleners van vertrouwensdiensten

II

artikel 18.15a

regels over te verstrekken gegevens bij de kennisgeving van een inbreuk op de veiligheid of het verlies van integriteit

I

Verordening (EU) nr. 910/2014 (eIDAS-verordening)

   

artikel 19, tweede lid

meldplicht in de eIDAS-verordening

II

Algemene wet bestuursrecht

   

artikel 5:20, eerste lid

medewerkingsplicht (nalevingstoezicht Telecommunicatiewet)

III

Bijlage 4. behorende bij artikel 4 van de Boetebeleidsregels Autoriteit Persoonsgegevens 2019

[Regeling vervallen per 12-12-2023 met terugwerkende kracht tot en met 24-05-2023]

Overtredingen met een wettelijk boetemaximum van € 830.000

Wetsartikel

Omschrijving

Categorie

Wet politiegegevens

   

artikel 5

bijzondere categorieën van politiegegevens

III

artikel 7a

geautomatiseerde individuele besluitvorming

III

artikel 24a, behoudens het tweede en derde lid

informatie aan de betrokkene

II

artikel 24a, tweede en derde lid

informatie aan de betrokkene

I

artikel 24b

verstrekking van informatie aan de betrokkene

II

artikel 25, eerste lid

recht op inzage

II

artikel 25, tweede lid

recht op inzage

I

artikel 28, eerste en tweede lid

recht op rectificatie en vernietiging van politiegegevens

II

artikel 28, derde, vierde en vijfde lid

recht op rectificatie en vernietiging van politiegegevens

I

Wet justitiële en strafvorderlijke gegevens

   

artikel 7e

geautomatiseerde verwerking, met inbegrip van profilering

III

artikel 17a

informatie voor de betrokkene

II

artikel 17b, behoudens het tweede lid

verstrekking van informatie aan de betrokkene

II

artikel 17b, tweede lid

verstrekking van informatie aan de betrokkene

I

artikel 18

recht op inzage

II

artikel 22, behoudens het vierde en vijfde lid

recht op rectificatie, vernietiging of afscherming

II

artikel 22, vierde en vijfde lid

recht op rectificatie, vernietiging of afscherming

I

artikel 24

kennisgevingsplicht inzake rectificatie, vernietiging of afscherming van gegevens

I

artikel 39c, eerste lid, jo. artikel 7e

geautomatiseerde verwerking, met inbegrip van profilering

III

artikel 40, derde lid, jo. artikel 7e

geautomatiseerde verwerking, met inbegrip van profilering

NB De wettekst spreekt over “40a, derde lid”

III

artikel 42b, behoudens voor wat betreft de overeenkomstige toepassing van artikel 17b, tweede lid

informatie aan de betrokkene

II

artikel 42b, voor wat betreft de overeenkomstige toepassing van artikel 17b, tweede lid

informatie aan de betrokkene

I

artikel 43

recht op inzage

II

artikel 46, behoudens het vierde lid en voor wat betreft de overeenkomstige toepassing van artikel 22, vijfde lid

recht op rectificatie, vernietiging of afscherming

II

artikel 46, vierde lid en voor wat betreft de overeenkomstige toepassing van artikel 22, vijfde lid

recht op rectificatie, vernietiging of afscherming

I

artikel 48

kennisgevingsplicht inzake rectificatie, vernietiging of afscherming van gegevens

I

artikel 51b, eerste lid, jo. artikel 7e

geautomatiseerde verwerking, met inbegrip van profilering

III

artikel 51b, eerste lid, jo. artikel 17a

informatie voor de betrokkene

II

artikel 51b, eerste lid, jo. artikel 17b, behoudens het tweede lid van dit artikel

verstrekking van informatie aan de betrokkene

II

artikel 51b, eerste lid, jo. artikel 17b, tweede lid

verstrekking van informatie aan de betrokkene

I

artikel 51b, eerste lid, jo. artikel 22, behoudens het vierde en vijfde lid van dit artikel

recht op rectificatie, vernietiging of afscherming

II

artikel 51b, eerste lid, jo. artikel 22, vierde en vijfde lid

recht op rectificatie, vernietiging of afscherming

I

artikel 51b, eerste lid, jo. artikel 24

kennisgevingsplicht inzake rectificatie, vernietiging of afscherming van gegevens

I

artikel 51b, tweede lid, jo. artikel 18

recht op inzage

II

artikel 51f, eerste lid, jo. artikel 7e

geautomatiseerde verwerking, met inbegrip van profilering

III

artikel 51f, eerste lid, jo. artikel 17a

informatie voor de betrokkene

II

artikel 51f, eerste lid, jo. artikel 17b, behoudens het tweede lid van dit artikel

verstrekking van informatie aan de betrokkene

II

artikel 51f, eerste lid, jo. artikel 17b, tweede lid

verstrekking van informatie aan de betrokkene

I

artikel 51f, eerste lid, jo. artikel 18

recht op inzage

II

artikel 51f, eerste lid, jo. artikel 22, behoudens het vierde en vijfde lid van dit artikel

recht op rectificatie, vernietiging of afscherming

II

artikel 51f, eerste lid, jo. artikel 22, vierde en vijfde lid

recht op rectificatie, vernietiging of afscherming

I

artikel 51f, eerste lid, jo. artikel 24

kennisgevingsplicht inzake rectificatie, vernietiging of afscherming van gegevens

I

Bijlage 5. behorende bij artikel 5 van de Boetebeleidsregels Autoriteit Persoonsgegevens 2019

[Regeling vervallen per 12-12-2023 met terugwerkende kracht tot en met 24-05-2023]

Overtredingen met een wettelijk boetemaximum van € 83.000

Wetsartikel

Omschrijving

Categorie

Wet politiegegevens

   

artikel 4a

gegevensbescherming door beveiliging en ontwerp

III

artikel 4b

gegevensbescherming door standaardinstellingen

III

artikel 4c

gegevensbeschermingseffectbeoordeling

III

artikel 6c

verwerker

III

artikel 31d

register

III

artikel 32

documentatie

II

artikel 33a

melding datalekken

III

artikel 33b

voorafgaand raadplegen Autoriteit persoonsgegevens

III

artikel 36

functionaris voor gegevensbescherming

III

Wet justitiële en strafvorderlijke gegevens

   

artikel 7

verplichtingen van de verwerkingsverantwoordelijke en de verwerker en beveiliging van gegevens

III

artikel 7a

gegevensbescherming door ontwerp en door standaardinstellingen

III

artikel 7b

gegevensbeschermingseffectbeoordeling

III

artikel 7d

verwerker

III

artikel 19, eerste lid

vastlegging en bewaarplicht verstrekking justitiële gegevens

II

artikel 26c

register

III

artikel 26f

functionaris voor gegevensbescherming

III

artikel 26g

melden inbreuk op de beveiliging

III

artikel 26h

voorafgaand raadplegen Autoriteit Persoonsgegevens

III

artikel 39c, eerste lid, jo. artikel 7

verplichtingen van de verwerkingsverantwoordelijke en beveiliging van gegevens

III

artikel 39c, eerste lid, jo. artikel 7a

gegevensbescherming door ontwerp en door standaardinstellingen

III

artikel 39c, eerste lid, jo. artikel 7b

gegevensbeschermingseffectbeoordeling

III

artikel 39c, eerste lid, jo. artikel 7d

verwerker

III

artikel 39r, eerste lid, jo. artikel 26c

register

III

artikel 39r, eerste lid, jo. artikel 26g

melden inbreuk op de beveiliging

III

artikel 39r, eerste lid, jo. artikel 26h

voorafgaand raadplegen Autoriteit Persoonsgegevens

III

artikelen 40, derde lid, jo. artikel 7

verplichtingen van de verwerkingsverantwoordelijke en beveiliging van gegevens

NB De wettekst spreekt over “40a, derde lid”

III

artikelen 40, derde lid, jo. artikel 7a

gegevensbescherming door ontwerp en door standaardinstellingen

NB De wettekst spreekt over “40a, derde lid”

III

artikelen 40, derde lid, jo. artikel 7b

gegevensbeschermingseffectbeoordeling

NB De wettekst spreekt over “40a, derde lid”

III

artikelen 40, derde lid, jo. artikel 7d

verwerker

NB De wettekst spreekt over “40a, derde lid”

III

artikel 51, eerste lid, jo. artikel 26c

register

III

artikel 51, eerste lid, jo. artikel 26f

functionaris voor gegevensbescherming

III

artikel 51, eerste lid, jo. artikel 26g

melden inbreuk op de beveiliging

III

artikel 51, eerste lid, jo. artikel 26h

voorafgaand raadplegen Autoriteit Persoonsgegevens

III

artikel 51b, eerste lid, jo. artikel 7

verplichtingen van de verwerkingsverantwoordelijke en beveiliging van gegevens

III

artikel 51b, eerste lid, jo. artikel 7a

gegevensbescherming door ontwerp en door standaardinstellingen

III

artikel 51b, eerste lid, jo. artikel 7b

gegevensbeschermingseffectbeoordeling

III

artikel 51b, eerste lid, jo. artikel 7d

verwerker

III

artikel 51d, eerste lid, jo. artikel 26c

register

III

artikel 51d, eerste lid, jo. artikel 26f

functionaris voor gegevensbescherming

III

artikel 51d, eerste lid, jo. artikel 26g

melden inbreuk op de beveiliging

III

artikel 51d, eerste lid, jo. artikel 26h

voorafgaand raadplegen Autoriteit Persoonsgegevens

III

artikel 51f, eerste lid, jo. artikel 7

verplichtingen van de verwerkingsverantwoordelijke en beveiliging van gegevens

III

artikel 51f, eerste lid, jo. artikel 7a

gegevensbescherming door ontwerp en door standaardinstellingen

III

artikel 51f, eerste lid, jo. artikel 7b

gegevensbeschermingseffectbeoordeling

III

artikel 51f, eerste lid, jo. artikel 7d

verwerker

III

artikel 51h, eerste lid, jo. artikel 26c

register

NB M.b.t. gerechtelijke strafgegevens verwijst artikel 51h, derde lid, onder c, ten onrechte naar “artikel 51d, eerste lid, voor wat betreft de overeenkomstige toepassing van de artikelen 26c, 26g en 26h in dat lid” i.p.v. “het eerste lid, voor wat betreft (...)” (cf. artikel 51).

III

artikel 51h, eerste lid, jo. artikel 26g

functionaris voor gegevensbescherming

NB M.b.t. gerechtelijke strafgegevens verwijst artikel 51h, derde lid, onder c, ten onrechte naar “artikel 51d, eerste lid, voor wat betreft de overeenkomstige toepassing van de artikelen 26c, 26g en 26h in dat lid” i.p.v. “het eerste lid, voor wat betreft (...)” (cf. artikel 51).

III

artikel 51h, eerste lid, jo. artikel 26h

melden inbreuk op de beveiliging

NB M.b.t. gerechtelijke strafgegevens verwijst artikel 51h, derde lid, onder c, ten onrechte naar “artikel 51d, eerste lid, voor wat betreft de overeenkomstige toepassing van de artikelen 26c, 26g en 26h in dat lid” i.p.v. “het eerste lid, voor wat betreft (...)” (cf. artikel 51).

III

  1. Zie artikel I van het Besluit van 14 november 2017, tot wijziging van de bedragen van de categorieën, bedoeld in artikel 23, vierde lid, van het Wetboek van Strafrecht (Stb. 2017, nr. 433). ^ [1]
  2. Zie artikel I van het Besluit van 14 november 2017, tot wijziging van de bedragen van de categorieën, bedoeld in artikel 23, vierde lid, van het Wetboek van Strafrecht (Stb. 2017, nr. 433). ^ [2]
Naar boven