De AVG, inmiddels alweer een aantal jaren oud, krijgt nieuwe, EU-brede regels voor de berekening van boetes. De nieuwe boeteregels gaan alleen voor organisaties gelden, niet voor overheidsinstanties.
Op dit moment hanteren alle nationale privacywaakhonden in de EU nog eigen rekenregels bij het bepalen van de hoogte van boetes voor het overtreden van privacywet AVG (tools). In Nederland is de Autoriteit Persoonsgegevens (AP) met deze taak belast. De European Data Protection Board (EDPB), het samenwerkingsverband van de Europese toezichthouders op het gebied van de privacy, wil dat álle EU-privacytoezichthouders dezelfde boeteregels gaan hanteren.
De nieuwe regels, de zogenoemde ‘fining guidelines’ (pdf), wijken op drie belangrijke punten af van de huidige boetebeleidsregels van de AP:
De regels gaan vooralsnog alleen voor organisaties gelden. Niet alle privacytoezichthouders in de EU mogen namelijk boetes opleggen aan overheden. De AP mag dit overigens wel. Daarnaast zijn de fining guidelines nog niet definitief. Tot 27 juni 2022 kunnen belanghebbenden bij de EDPB verbetersuggesties doen die nog in een nieuwe versie worden meegenomen.