Categorie II Boetebandbreedte tussen € 120.000 en € 500.000 Basisboete: € 310.000 Categorie III Boetebandbreedte tussen € 300.000 en € 750.000 Basisboete: € 525.000 Categorie IV Boetebandbreedte tussen € 450.000 en € 1.000.000 Basisboete: € 725.000 3.4 De hoogte van de basisboete wordt vastgesteld op het minimum van de bandbreedte vermeer- derd met de helft van de bandbreedte van de aan een overtreding gekoppelde boetecategorie. Paragraaf 2.2 Overtredingen met een wettelijk boetemaximum van € 900.000 Artikel 4. Categorie-indeling en boetebandbreedtes 4.1 De bepalingen ter zake van overtreding waarvan de Autoriteit Persoonsgegevens een bestuur- lijke boete van ten hoogste het bedrag van € 900.000 kan opleggen, zijn in bijlage 3 ingedeeld in categorie I, categorie II of categorie III. 4.2 De Autoriteit Persoonsgegevens stelt de basisboete voor overtredingen waarvoor een wettelijk boetemaximum geldt van € 900.000 vast binnen de volgende boetebandbreedtes: Categorie I Boetebandbreedte tussen € 0 en € 250.000 Basisboete: € 125.000 Categorie II Boetebandbreedte tussen € 150.000 en € 600.000 Basisboete: € 375.000 Categorie III Boetebandbreedte tussen € 350.000 en € 900.000 Basisboete: € 625.000 4.3 De hoogte van de basisboete wordt vastgesteld op het minimum van de bandbreedte vermeer- derd met de helft van de bandbreedte van de aan een overtreding gekoppelde boetecategorie. Paragraaf 2.3 Overtredingen met een wettelijk boetemaximum van de zesde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht Artikel 5. Categorie-indeling en boetebandbreedtes 5.1 De bepalingen ter zake van overtreding waarvan de Autoriteit Persoonsgegevens een bestuur- lijke boete van ten hoogste het bedrag van de geldboete van de zesde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht kan opleggen, zijn in bijlage 4 ingedeeld in categorie I, categorie II of categorie III. 5.2 De Autoriteit Persoonsgegevens stelt de basisboete voor overtredingen waarvoor een wettelijk boetemaximum geldt van de zesde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht vast binnen de volgende boetebandbreedtes: Categorie I Boetebandbreedte tussen € 0 en € 200.000 Basisboete: € 100.000 Categorie II Boetebandbreedte tussen € 120.000 en € 500.000 Basisboete: € 310.000 Categorie III Boetebandbreedte tussen € 300.000 (A) en het bedrag genoemd in de zesde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht (B) Basisboete: (A+B) / 2 5.3 De hoogte van de basisboete wordt vastgesteld op het minimum van de bandbreedte vermeer- derd met de helft van de bandbreedte van de aan een overtreding gekoppelde boetecategorie. Paragraaf 2.4 Overtredingen met een wettelijk boetemaximum van de vijfde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht Artikel 6. Categorie-indeling en boetebandbreedtes 6.1 De bepalingen ter zake van overtreding waarvan de Autoriteit Persoonsgegevens een bestuur- lijke boete van ten hoogste het bedrag van de geldboete van de vijfde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht kan opleggen, zijn in bijlage 5 ingedeeld in categorie I, categorie II of categorie III. 6.2 De Autoriteit Persoonsgegevens stelt de basisboete voor overtredingen waarvoor een wettelijk boetemaximum geldt van de vijfde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht vast binnen de volgende boetebandbreedtes: Categorie I Boetebandbreedte tussen € 0 en € 25.000 Basisboete: € 12.500 Categorie II Boetebandbreedte tussen € 15.000 en € 50.000 Basisboete: € 32.500 Categorie III Boetebandbreedte tussen € 30.000 (A) en het bedrag genoemd in de vijfde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht (B) Basisboete: (A+B) / 2 2 Staatscourant 2023 nr. 34541-n1 14 januari 2025

6.3 De hoogte van de basisboete wordt vastgesteld op het minimum van de bandbreedte vermeer- derd met de helft van de bandbreedte van de aan een overtreding gekoppelde boetecategorie. Paragraaf 2.5 Bepalen van de hoogte van de boete Artikel 7. De basisboete en mogelijke verhoging of verlaging De Autoriteit Persoonsgegevens bepaalt de hoogte van de boete door het bedrag van de basisboete naar boven (tot ten hoogste het maximum van de bandbreedte van de aan een overtreding gekop- pelde boetecategorie) of naar beneden (tot ten laagste het minimum van die bandbreedte) bij te stellen. De basisboete wordt verhoogd of verlaagd afhankelijk van de mate waarin de factoren die zijn genoemd in artikel 8 daartoe aanleiding geven. Artikel 8. Relevante factoren Onverminderd de artikelen 3:4 en 5:46 van de Algemene wet bestuursrecht houdt de Autoriteit Persoonsgegevens rekening met de factoren genoemd onder a tot en met k, voor zover in het concrete geval van toepassing: a) de aard, de ernst en de duur van de inbreuk, rekening houdend met de aard, de omvang of het doel van de verwerking in kwestie alsmede het aantal getroffen betrokkenen en de omvang van de door hen geleden schade; b) de opzettelijke of nalatige aard van de inbreuk; c) de door de verwerkingsverantwoordelijke of de verwerker genomen maatregelen om de door betrokkenen geleden schade te beperken; d) de mate waarin de verwerkingsverantwoordelijke of de verwerker verantwoordelijk is gezien de technische en organisatorische maatregelen die hij heeft uitgevoerd overeenkomstig de artikelen 25 en 32 van de Algemene verordening gegevensbescherming; e) eerdere relevante inbreuken door de verwerkingsverantwoordelijke of de verwerker; f) de mate waarin er met de toezichthoudende autoriteit is samengewerkt om de inbreuk te verhelpen en de mogelijke negatieve gevolgen daarvan te beperken; g) de categorieën van persoonsgegevens waarop de inbreuk betrekking heeft; h) de wijze waarop de toezichthoudende autoriteit kennis heeft gekregen van de inbreuk, met name of, en zo ja in hoeverre, de verwerkingsverantwoordelijke of de verwerker de inbreuk heeft gemeld; i) de naleving van de in artikel 58, tweede lid, van de Algemene verordening gegevensbescherming genoemde maatregelen, voor zover die eerder ten aanzien van de verwerkingsverantwoordelijke of de verwerker in kwestie met betrekking tot dezelfde aangelegenheid zijn genomen; j) het aansluiten bij goedgekeurde gedragscodes overeenkomstig artikel 40 van de Algemene verordening gegevensbescherming of van goedgekeurde certificeringsmechanismen overeenkom- stig artikel 42 van de Algemene verordening gegevensbescherming; en k) elke andere op de omstandigheden van de zaak toepasselijke verzwarende of verzachtende factor, zoals gemaakte financiële winsten, of vermeden verliezen, die al dan niet rechtstreeks uit de inbreuk voortvloeien. Artikel 9. Buiten de bandbreedte treden 9.1 Indien de voor de overtreding bepaalde boetecategorie in het concrete geval geen passende bestraffing toelaat, kan de Autoriteit Persoonsgegevens bij het bepalen van de hoogte van de boete de boetebandbreedte van de naast hogere categorie respectievelijk de boetebandbreedte van de naast lagere categorie toepassen. 9.2 In aanvulling op artikel 8, onder e, van deze beleidsregels en behoudens het bepaalde in artikel 15.4, vijfde lid, van de Telecommunicatiewet hanteert de Autoriteit Persoonsgegevens het uitgangspunt om in geval van recidive de boete met 50% te verhogen, tenzij dit gezien de omstandigheden van het concrete geval onredelijk zou zijn. De Autoriteit Persoonsgegevens kan daarbij buiten de grenzen van de toegepaste boetebandbreedte treden, met inachtneming van het wettelijk boetemaximum. Paragraaf 2.6 Draagkracht Artikel 10. Draagkracht Bij het vaststellen van de boete houdt de Autoriteit Persoonsgegevens zo nodig rekening met de financiële omstandigheden waarin de overtreder verkeert. In geval van verminderde of onvoldoende draagkracht van de overtreder kan de Autoriteit Persoonsgegevens de op te leggen boete verdergaand matigen, indien, na toepassing van de artikelen 7 en 9.1 van de beleidsregels, vaststelling van een boete binnen de boetebandbreedte van de naast lagere categorie naar haar oordeel desalniettemin zou leiden tot een onevenredig hoge boete. 3 Staatscourant 2023 nr. 34541-n1 14 januari 2025

Paragraaf 2.7 Meerdere overtredingen Artikel 11. Boete bij meerdere overtredingen Ingeval van meerdere overtredingen met betrekking tot dezelfde of daarmee verband houdende verwerkingsactiviteiten is de totale boete niet hoger dan het wettelijk boetemaximum van de zwaarste overtreding. HOOFDSTUK 3. OVERGANGS- EN SLOTBEPALINGEN Artikel 12. Overgangsbepaling Op overtredingen ten aanzien waarvan de Autoriteit Persoonsgegevens vaststelt dat ze zijn begaan voorafgaand aan het van toepassing worden van de Algemene verordening gegevensbescherming en de inwerkingtreding van de Uitvoeringswet Algemene verordening gegevensbescherming op 25 mei 2018, wordt ten aanzien van de periode vóór dat tijdstip rekening gehouden met de Boetebeleidsre- gels Autoriteit Persoonsgegevens 2016, zoals deze golden voorafgaand aan dat tijdstip. Het voor- gaande laat onverlet de toepasselijkheid van de richtsnoeren van het Europees Comité voor gegevens- bescherming 04/2022 in de gevallen waarop die richtsnoeren betrekking hebben (vergelijk artikel 2 van deze beleidsregels). Artikel 13. Intrekking Boetebeleidsregels Autoriteit Persoonsgegevens 2019 De Boetebeleidsregels Autoriteit Persoonsgegevens 2019 worden ingetrokken. Artikel 14. Inwerkingtreding Deze beleidsregels treden in werking met terugwerkende kracht per 24 mei 2023. Artikel 15. Citeertitel Deze beleidsregels worden aangehaald als: Boetebeleidsregels Autoriteit Persoonsgegevens 2023. Artikel 16. Bekendmaking Deze beleidsregels zullen met de toelichting in de Staatscourant worden geplaatst. Den Haag, 6 juni 2023 Autoriteit Persoonsgegevens, A. Wolfsen Voorzitter 4 Staatscourant 2023 nr. 34541-n1 14 januari 2025

BIJLAGE 1, BEHORENDE BIJ ARTIKEL 3 VAN DE BOETEBELEIDSREGELS AUTORITEIT PERSOONSGEGEVENS 2023 Overtredingen met een wettelijk boetemaximum van € 10.000.000 of, voor een onderneming, tot 2% van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is Wetsartikel Omschrijving Categorie Algemene verordening gegevensbescher- ming artikel 8 voorwaarden voor de toestemming van kinderen met betrekking tot diensten van de informatiemaatschappijII artikel 11 verwerking waarvoor identificatie niet is vereist I artikel 25 gegevensbescherming door ontwerp en door stan- daardinstellingen II artikel 26 gezamenlijke verwerkingsverantwoordelijken I artikel 28, behoudens het negende lid verwerker II artikel 28, negende lid verwerker I artikel 29 verwerking onder gezag van de verwerkingsverant- woordelijke of de verwerker I: indien de overtreder een natuurlijke persoon is; II: indien de overtreder een rechtspersoon is, of onderdeel daarvan artikel 30, behoudens het derde lid register van de verwerkingsactiviteiten II artikel 30, derde lid register van de verwerkingsactiviteiten I artikel 31 medewerking met de toezichthoudende autoriteit III artikel 32 beveiliging van de verwerking II artikel 33, behoudens het derde lid melding van een inbreuk in verband met persoonsgege- vens aan de toezichthoudende autoriteit III artikel 33, derde lid melding van een inbreuk in verband met persoonsgege- vens aan de toezichthoudende autoriteit II artikel 34, behoudens het tweede lid mededeling van een inbreuk in verband met persoons- gegevens aan de betrokkene III artikel 34, tweede lid mededeling van een inbreuk in verband met persoons- gegevens aan de betrokkene II artikel 35, behoudens het negende lid gegevensbeschermingseffectbeoordeling II artikel 35, negende lid gegevensbeschermingseffectbeoordeling I artikel 36 voorafgaande raadpleging II artikel 37, behoudens het zevende lid aanwijzing van de functionaris voor gegevensbescher- ming II artikel 37, zevende lid aanwijzing van de functionaris voor gegevensbescher- ming I artikel 38, behoudens het tweede en zesde lid positie van de functionaris voor gegevensbeschermingII artikel 38, tweede en zesde lid positie van de functionaris voor gegevensbeschermingI artikel 39 taken van de functionaris voor gegevensbeschermingII artikel 41, vierde lid toezicht op goedgekeurde gedragscodes I artikel 42, behoudens het derde en zesde lidcertificering II artikel 42, derde lid certificering I artikel 42, zesde lid certificering III artikel 43 certificeringsorganen I Wetsartikel Omschrijving Categorie Uitvoeringswet Algemene verordening gegevensbescherming artikel 18, eerste lid bestuurlijke boete aan overheden I, II, of III, afhankelijk van de indeling van de onderlig- gende bepaling

Kieswet bestuurlijke boete op grond van Kieswet I, II, of III, afhankelijk van de indeling van de onderlig- gende bepaling Wet basisregistratie personen bestuurlijke boete op grond van de Wet basisregistratie personen I, II, of III, afhankelijk van de indeling van de onderlig- gende bepaling 5 Staatscourant 2023 nr. 34541-n1 14 januari 2025

BIJLAGE 2, BEHORENDE BIJ ARTIKEL 3 VAN DE BOETEBELEIDSREGELS AUTORITEIT PERSOONSGEGEVENS 2023 Overtredingen met een wettelijk boetemaximum van € 20.000.000 of, voor een onderneming, tot 4% van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is Wetsartikel Omschrijving Categorie Algemene verordening gegevensbescherming artikel 5, eerste lid, behoudens onder a beginselen inzake verwerking van persoonsgege- vens III artikel 5, eerste lid, onder a en tweede lidbeginselen inzake verwerking van persoonsgege- vens I, II, III of IV, afhankelijk van de indeling van de onderliggende bepaling artikel 6 rechtmatigheid van de verwerking III artikel 7 voorwaarden voor toestemming III artikel 9 verwerking van bijzondere categorieën van persoonsgegevens IV artikel 12, behoudens het derde tot en met vijfde lid transparante informatie, communicatie en nadere regels voor de uitoefening van de rechten van de betrokkene III artikel 12, derde tot en met vijfde lid transparante informatie, communicatie en nadere regels voor de uitoefening van de rechten van de betrokkene II artikel 13 te verstrekken informatie wanneer persoonsge- gevens bij de betrokkene worden verzameld III artikel 14 te verstrekken informatie wanneer de persoons- gegevens niet van de betrokkene zijn verkregenIII artikel 15 recht van inzage van de betrokkene III artikel 16 recht op rectificatie III artikel 17 recht op gegevenswissing III artikel 18, behoudens het derde lid recht op beperking van de verwerking III artikel 18, derde lid recht op beperking van de verwerking II artikel 19 kennisgevingsplicht inzake rectificatie of wissing van persoonsgegevens of verwerkingsbeperking II artikel 20 recht op overdraagbaarheid van gegevens III artikel 21, behoudens het vierde lid recht van bezwaar III artikel 21, vierde lid recht van bezwaar II artikel 22 geautomatiseerde individuele besluitvorming, waaronder profilering IV artikel 44 algemeen beginsel inzake doorgiften III artikel 45 doorgiften op basis van adequaatheidsbesluitenIII artikel 46 doorgiften op basis van passende waarborgen III artikel 47 bindende bedrijfsvoorschriften III artikel 48 niet bij Unierecht toegestane doorgiften of verstrekkingen III artikel 49 afwijkingen voor specifieke situaties III alle verplichtingen uit hoofde van krachtens hoofdstuk IX door de lidstaten vastgesteld recht, bijvoorbeeld: I, II, III of IV, afhankelijk van de indeling van de onderliggende bepaling - artikel 87 van de Algemene verordening gegevensbescherming jo. artikel 46, eerste lid, van de Uitvoeringswet Algemene verordening gegevensbescherming verwerking nationaal identificatienummer IV - artikel 87 van de Algemene verordening gegevensbescherming jo. artikel 46, tweede lid, van de Uitvoeringswet Algemene verordening gegevensbescherming verwerking nationaal identificatienummer III - artikel 89 van de Algemene verordening gegevensbescherming jo. artikel 45 van de Uitvoeringswet Algemene verordening gegevensbescherming waarborgen en afwijkingen in verband met verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden III niet-naleving van een bevel of een tijdelijke of definitieve verwerkingsbeperking of een opschorting van gegevensstromen door de toezichthoudende autoriteit overeenkomstig artikel 58, tweede lid, of niet-verlening van toegang in strijd met artikel 58, eerste lid IV 6 Staatscourant 2023 nr. 34541-n1 14 januari 2025

Wetsartikel Omschrijving Categorie niet-naleving van een bevel van de toezichthou- dende autoriteit als bedoeld in artikel 58, tweede lid IV

Uitvoeringswet Algemene verordening gegevensbescherming artikel 17, eerste lid boete bij onrechtmatige verwerking persoonsge- gevens strafrechtelijke aard IV artikel 18, eerste lid bestuurlijke boete aan overheden II, III of IV, afhankelijk van de indeling van de onderliggende bepaling Wet op het financieel toezicht artikel 3:17, zevende lid verplichtingen toegang betaaldienstverleners tot persoonsgegevens betaaldienstgebruikers III

Kieswet bestuurlijke boete op grond van Kieswet II, III of IV, afhankelijk van de indeling van de onderliggende bepaling Wet basisregistratie personen bestuurlijke boete op grond van Wet basisregis- tratie personen II, III of IV, afhankelijk van de indeling van de onderliggende bepaling 7 Staatscourant 2023 nr. 34541-n1 14 januari 2025

BIJLAGE 3, BEHORENDE BIJ ARTIKEL 4 VAN DE BOETEBELEIDSREGELS AUTORITEIT PERSOONSGEGEVENS 2023 Overtredingen met een wettelijk boetemaximum van € 900.000 Wetsartikel Omschrijving Categorie Telecommunicatiewet artikel 11.3a, behoudens het derde en zevende lidmeldplicht datalekken aanbieder openbare elektronische communicatiedienst II artikel 11.3a, derde en zevende lid meldplicht datalekken aanbieder openbare elektronische communicatiedienst I artikel 11.5b verwerking persoonsgegevens door verleners van vertrouwensdiensten II artikel 18.15a regels over te verstrekken gegevens bij de kennisgeving van een inbreuk op de veiligheid of het verlies van integriteitI Verordening (EU) nr. 910/2014 (eIDAS- verordening) artikel 19, tweede lid meldplicht in de eIDAS-verordening II Algemene wet bestuursrecht artikel 5:20, eerste lid medewerkingsplicht (nalevingstoezicht Telecommunicatiewet) III 8 Staatscourant 2023 nr. 34541-n1 14 januari 2025

BIJLAGE 4, BEHORENDE BIJ ARTIKEL 5 VAN DE BOETEBELEIDSREGELS AUTORITEIT PERSOONSGEGEVENS 2023 Overtredingen met een wettelijk boetemaximum van de zesde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht Wetsartikel Omschrijving Categorie Wet politiegegevens artikel 5 bijzondere categorieën van politiegegevensIII artikel 7a geautomatiseerde individuele besluitvor- ming III artikel 24a, behoudens het tweede en derde lidinformatie aan de betrokkene II artikel 24a, tweede en derde lid informatie aan de betrokkene I artikel 24b verstrekking van informatie aan de betrok- kene II artikel 25, eerste lid recht op inzage II artikel 25, tweede lid recht op inzage I artikel 28, eerste en tweede lid recht op rectificatie en vernietiging van politiegegevens II artikel 28, derde, vierde en vijfde lid recht op rectificatie en vernietiging van politiegegevens I

Wet justitiële en strafvorderlijke gegevens artikel 7e geautomatiseerde verwerking, met inbegrip van profilering III artikel 17a informatie voor de betrokkene II artikel 17b, behoudens het tweede lid verstrekking van informatie aan de betrok- kene II artikel 17b, tweede lid verstrekking van informatie aan de betrok- kene I artikel 18 recht op inzage II artikel 22, behoudens het vierde en vijfde lidrecht op rectificatie, vernietiging of afscher- ming II artikel 22, vierde en vijfde lid recht op rectificatie, vernietiging of afscher- ming I artikel 24 kennisgevingsplicht inzake rectificatie, vernietiging of afscherming van gegevensI artikel 39c, eerste lid, jo. artikel 7e geautomatiseerde verwerking, met inbegrip van profilering III artikel 39ha, eerste en tweede lid informatie voor de betrokkene II artikel 39i, eerste lid recht op inzage II artikel 39i, tweede en derde lid recht op inzage I artikel 39m, behoudens het vierde lid en voor wat betreft de overeenkomstige toepassing van artikel 22, vijfde lid recht op rectificatie, vernietiging of afscher- ming II artikel 39m, vierde lid en voor wat betreft de overeenkomstige toepassing van artikel 22, vijfde lid recht op rectificatie, vernietiging of afscher- ming I artikel 39o jo. artikel 24 kennisgevingsplicht inzake rectificatie, vernietiging of afscherming van gegevens I artikel 40, derde lid, jo. artikel 7e geautomatiseerde verwerking, met inbegrip van profilering III artikel 42b, behoudens voor wat betreft de overeenkomstige toepassing van artikel 17b, tweede lid informatie aan de betrokkene II artikel 42b, voor wat betreft de overeenkomstige toepassing van artikel 17b, tweede lid informatie aan de betrokkene I artikel 43 recht op inzage II artikel 46, behoudens het vierde lid en voor wat betreft de overeenkomstige toepassing van artikel 22, vijfde lid recht op rectificatie, vernietiging of afscher- ming II artikel 46, vierde lid en voor wat betreft de overeenkomstige toepassing van artikel 22, vijfde lid recht op rectificatie, vernietiging of afscher- ming I artikel 48 jo. artikel 24 kennisgevingsplicht inzake rectificatie, vernietiging of afscherming van gegevensI 9 Staatscourant 2023 nr. 34541-n1 14 januari 2025

Wetsartikel Omschrijving Categorie artikel 51b, eerste lid, jo. artikel 7e geautomatiseerde verwerking, met inbegrip van profilering III artikel 51b, eerste lid, jo. artikel 17a informatie voor de betrokkene II artikel 51b, eerste lid, jo. artikel 17b, behoudens het tweede lid van dit artikel verstrekking van informatie aan de betrok- kene II artikel 51b, eerste lid, jo. artikel 17b, tweede lidverstrekking van informatie aan de betrok- kene I artikel 51b, eerste lid, jo. artikel 22, behoudens het vierde en vijfde lid van dit artikel recht op rectificatie, vernietiging of afscher- ming II artikel 51b, eerste lid, jo. artikel 22, vierde en vijfde lid recht op rectificatie, vernietiging of afscher- ming I artikel 51b, eerste lid, jo. artikel 24 kennisgevingsplicht inzake rectificatie, vernietiging of afscherming van gegevens I artikel 51b, tweede lid recht op inzage II artikel 51f, eerste lid, jo. artikel 7e geautomatiseerde verwerking, met inbegrip van profilering III artikel 51f, eerste lid, jo. artikel 17a informatie voor de betrokkene II artikel 51f, eerste lid, jo. artikel 17b, behoudens het tweede lid van dit artikel verstrekking van informatie aan de betrok- kene II artikel 51f, eerste lid, jo. artikel 17b, tweede lidverstrekking van informatie aan de betrok- kene I artikel 51f, eerste lid, jo. artikel 22, behoudens het vierde en vijfde lid van dit artikel recht op rectificatie, vernietiging of afscher- ming II artikel 51f, eerste lid, jo. artikel 22, vierde en vijfde lid recht op rectificatie, vernietiging of afscher- ming I artikel 51f, eerste lid, jo. artikel 24 kennisgevingsplicht inzake rectificatie, vernietiging of afscherming van gegevens I Artikel 51f, derde lid recht op inzage II 10 Staatscourant 2023 nr. 34541-n1 14 januari 2025

BIJLAGE 5, BEHORENDE BIJ ARTIKEL 6 VAN DE BOETEBELEIDSREGELS AUTORITEIT PERSOONSGEGEVENS 2023 Overtredingen met een wettelijk boetemaximum van de vijfde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht Wetsartikel Omschrijving Categorie Wet politiegegevens artikel 4a gegevensbescherming door beveiliging en ontwerp III artikel 4b gegevensbescherming door standaardinstellingen III artikel 4c gegevensbeschermingseffectbeoordeling III artikel 6c verwerker III artikel 31d register III artikel 32 documentatie II artikel 33a melding datalekken III artikel 33b voorafgaand raadplegen Autoriteit persoonsgegevensIII artikel 36 functionaris voor gegevensbescherming III

Wet justitiële en strafvorderlijke gegevens artikel 7 verplichtingen van de verwerkingsverantwoordelijke en de verwerker en beveiliging van gegevens III artikel 7a gegevensbescherming door ontwerp en door stan- daardinstellingen III artikel 7b gegevensbeschermingseffectbeoordeling III artikel 7d verwerker III artikel 26c register III artikel 26f functionaris voor gegevensbescherming III artikel 26g melden inbreuk op de beveiliging III artikel 26h voorafgaand raadplegen Autoriteit PersoonsgegevensIII artikel 39c, eerste lid, jo. artikel 7 verplichtingen van de verwerkingsverantwoordelijke en beveiliging van gegevens III artikel 39c, eerste lid, jo. artikel 7agegevensbescherming door ontwerp en door stan- daardinstellingen III artikel 39c, eerste lid, jo. artikel 7bgegevensbeschermingseffectbeoordeling III artikel 39c, eerste lid, jo. artikel 7dverwerker III artikel 39r, eerste lid, jo. artikel 26cregister III artikel 39r, eerste lid, jo. artikel 26ffunctionaris voor gegevensbescherming III artikel 39r, eerste lid, jo. artikel 26gmelden inbreuk op de beveiliging III artikel 39r, eerste lid, jo. artikel 26hvoorafgaand raadplegen Autoriteit PersoonsgegevensIII artikel 40, derde lid, jo. artikel 7 verplichtingen van de verwerkingsverantwoordelijke en beveiliging van gegevens III artikel 40, derde lid, jo. artikel 7a gegevensbescherming door ontwerp en door stan- daardinstellingen III artikel 40, derde lid, jo. artikel 7b gegevensbeschermingseffectbeoordeling III artikel 40, derde lid, jo. artikel 7d verwerker III artikel 51, eerste lid, jo. artikel 26cregister III artikel 51, eerste lid, jo. artikel 26ffunctionaris voor gegevensbescherming III artikel 51, eerste lid, jo. artikel 26gmelden inbreuk op de beveiliging III artikel 51, eerste lid, jo. artikel 26hvoorafgaand raadplegen Autoriteit PersoonsgegevensIII artikel 51b, eerste lid, jo. artikel 7 verplichtingen van de verwerkingsverantwoordelijke en beveiliging van gegevens III artikel 51b, eerste lid, jo. artikel 7agegevensbescherming door ontwerp en door stan- daardinstellingen III artikel 51b, eerste lid, jo. artikel 7bgegevensbeschermingseffectbeoordeling III artikel 51b, eerste lid, jo. artikel 7dverwerker III artikel 51d, eerste lid, jo. artikel 26cregister III artikel 51d, eerste lid, jo. artikel 26ffunctionaris voor gegevensbescherming III artikel 51d, eerste lid, jo. artikel 26gmelden inbreuk op de beveiliging III artikel 51d, eerste lid, jo. artikel 26hvoorafgaand raadplegen Autoriteit PersoonsgegevensIII artikel 51f, eerste lid, jo. artikel 7 verplichtingen van de verwerkingsverantwoordelijke en beveiliging van gegevens III artikel 51f, eerste lid, jo. artikel 7agegevensbescherming door ontwerp en door stan- daardinstellingen III 11 Staatscourant 2023 nr. 34541-n1 14 januari 2025

Wetsartikel Omschrijving Categorie artikel 51f, eerste lid, jo. artikel 7bgegevensbeschermingseffectbeoordeling III artikel 51f, eerste lid, jo. artikel 7dverwerker III artikel 51h, eerste lid, jo. artikel 26cregister III artikel 51h, eerste lid, jo. artikel 26gmelden inbreuk op de beveiliging III artikel 51h, eerste lid, jo. artikel 26hvoorafgaand raadplegen Autoriteit PersoonsgegevensIII 12 Staatscourant 2023 nr. 34541-n1 14 januari 2025

TOELICHTING TEN BEHOEVE VAN DE RECTIFICATIE Deze rectificatie betreft de publicatie van de Beleidsregels van de Autoriteit Persoonsgegevens van 6 juni 2023 met betrekking tot het bepalen van de hoogte van bestuurlijke boetes (Boetebeleidsregels Autoriteit Persoonsgegevens 2023), gepubliceerd in Staatscourant 2023, nr. 34541. Gebleken is dat de opschriften van de bijlagen niet het juiste corresponderende artikel uit de hoofdtekst van de beleidsre- gels vermelden. Dit houdt verband met de toevoeging van artikel 2 bij de wijziging van 6 juni 2023, waardoor er een vernummering van de daaropvolgende artikelen heeft plaatsgevonden. Met deze publicatie wordt de geconstateerde omissie hersteld. De gewijzigde tekst betreft derhalve uitsluitend de opschriften van de bijlagen. In de hoofdtekst van de Boetebeleidsregels Autoriteit Persoonsgege- vens 2023 werd al naar de juiste bijlagenummers verwezen. Tekst zoals gepubliceerd in Stcrt. 2023, nr. 34541: Tekst zoals deze moet luiden: BIJLAGE 1,BEHORENDE BIJ ARTIKEL 2 VAN DE BOETEBELEIDS- REGELS AUTORITEIT PERSOONSGEGEVENS 2023 BIJLAGE 1, BEHORENDE BIJ ARTIKEL 3 VAN DE BOETEBELEIDS- REGELS AUTORITEIT PERSOONSGEGEVENS 2023 BIJLAGE 2,BEHORENDE BIJ ARTIKEL 2 VAN DE BOETEBELEIDS- REGELS AUTORITEIT PERSOONSGEGEVENS 2023 BIJLAGE 2, BEHORENDE BIJ ARTIKEL 3 VAN DE BOETEBELEIDS- REGELS AUTORITEIT PERSOONSGEGEVENS 2023 BIJLAGE 3,BEHORENDE BIJ ARTIKEL 3 VAN DE BOETEBELEIDS- REGELS AUTORITEIT PERSOONSGEGEVENS 2023 BIJLAGE 3, BEHORENDE BIJ ARTIKEL 4 VAN DE BOETEBELEIDS- REGELS AUTORITEIT PERSOONSGEGEVENS 2023 BIJLAGE 4,BEHORENDE BIJ ARTIKEL 4 VAN DE BOETEBELEIDS- REGELS AUTORITEIT PERSOONSGEGEVENS 2023 BIJLAGE 4, BEHORENDE BIJ ARTIKEL 5 VAN DE BOETEBELEIDS- REGELS AUTORITEIT PERSOONSGEGEVENS 2023 BIJLAGE 5,BEHORENDE BIJ ARTIKEL 5 VAN DE BOETEBELEIDS- REGELS AUTORITEIT PERSOONSGEGEVENS 2023 BIJLAGE 5, BEHORENDE BIJ ARTIKEL 6 VAN DE BOETEBELEIDS- REGELS AUTORITEIT PERSOONSGEGEVENS 2023 13 Staatscourant 2023 nr. 34541-n1 14 januari 2025

TOELICHTING OP DE BELEIDSREGELS Algemene toelichting De Autoriteit Persoonsgegevens is een onafhankelijke toezichthouder, belast met het wettelijk toezicht op de verwerking van persoonsgegevens. De taken en bevoegdheden van de Autoriteit Persoonsgege- vens vloeien voor het overgrote deel rechtstreeks voort uit de Algemene verordening gegevensbe- scherming (hierna: AVG) 1 en zijn verder uitgewerkt in de Uitvoeringswet Algemene verordening gegevensbescherming (hierna: Uitvoeringswet AVG). Boetebevoegdheid Autoriteit Persoonsgegevens De AVG voorziet in een uitgebreide bevoegdheid voor de nationale toezichthouders om boetes op te leggen bij overtreding van deze verordening. Op grond van artikel 14, derde lid, van de Uitvoerings- wet AVG is deze bevoegdheid toebedeeld aan de Autoriteit Persoonsgegevens. Op grond van artikel 18 van de Uitvoeringswet AVG kan de Autoriteit Persoonsgegevens ook boetes opleggen aan een overheidsinstantie of een overheidsorgaan wegens overtredingen van de AVG. Op 3 oktober 2017 heeft de toenmalige Groep gegevensbescherming Artikel 29 “Richtsnoeren voor de toepassing en vaststelling van administratieve geldboeten in de zin van Verordening (EU) 2016/679” goedgekeurd. Op 25 mei 2018 heeft het Europees Comité voor gegevensbescherming (European Data Protection Board; hierna: EDPB) deze richtsnoeren bekrachtigd. Hierin zijn regels en uitgangspunten opgenomen met het oog op een consistente aanwending van de boetebevoegdheid onder de AVG. Op 24 mei 2023 heeft het Europees Comité voor gegevensbescherming de definitieve richtsnoeren 04/2022 vastgesteld. In deze richtsnoeren is de methode opgenomen voor berekening van boetes voor overtredingen van de AVG. Deze richtsnoeren zijn vastgesteld na een openbare consulatie, waarbij belanghebbende organisaties en burgers reacties op de concept-richtsnoeren konden indienen. De vastgestelde richtsnoeren zijn zowel van toepassing op overtredingen in het kader van grensover- schrijdende verwerkingen, als in nationale zaken. De richtsnoeren 04/2022 zijn evenwel niet van toepassing op overtredingen begaan door natuurlijke personen, tenzij de desbetreffende natuurlijke persoon handelt uit hoofde van zijn bedrijf (‘acting as undertaking’). Voorts zijn de overwegingen van de richtsnoeren die betrekking hebben op de berekening van een boetebedrag niet van toepassing op boetes voor overtredingen begaan door overheidsinstanties en overheidsorganen, als bedoeld in artikel 83, zevende lid, van de AVG en artikel 18 van de Uitvoeringswet AVG. De reden hiervoor is dat de richtsnoeren 04/2022 voorzien in een methodiek die een wezenlijke rol toebedeelt aan de omzet van de onderneming als in aanmerking te nemen factor bij de berekening van een boetebedrag. Wel zijn meer algemene uitgangspunten bij de berekening van een boete in de richtsnoeren 04/2022 ook van toepassing op overheidsinstanties en overheidsorganen. De Autoriteit Persoonsgegevens verwijst hier kortheidshalve naar hoofdstuk 1 van deze richtsnoeren. Voor de gevallen waarin de richtsnoeren 04/2022 voorzien in de methodiek voor de berekening van boetes is het niet langer nodig om de boetebeleidsregels van de AP te handhaven. Zoals hiervoor is opgemerkt, zijn de richtsnoeren 04/2022 niet van toepassing op de berekening van boetes voor alle mogelijke overtreders van de AVG. De Autoriteit Persoonsgegevens acht het daarom wenselijk om voor die categorieën van gevallen de boetebeleidsregels te blijven hanteren. Het gaat hierbij zoals gezegd in de eerste plaats om overheidsinstanties en overheidsorganen, maar ook kan worden gedacht aan de natuurlijke persoon die zich ingevolge artikel 5:1, derde lid, juncto artikel 51, tweede en derde lid, van het Wetboek van Strafrecht schuldig heeft gemaakt aan overtreding van de AVG in de hoedanigheid van feitelijk leidinggevende. Daarnaast kan de Autoriteit Persoonsgegevens op grond van artikel 15.4, vierde lid, van de Telecom- municatiewet (hierna: Tw) een boete opleggen ter zake van overtreding van de in artikel 15.1, tweede lid, van deze wet bedoelde regels (de meldplicht voor datalekken in artikel 11.3a van de Tw), het bepaalde bij en krachtens artikel 18.15a van de Tw en artikel 19, tweede lid, van de eIDAS-verordening, en artikel 5:20 van de Algemene wet bestuursrecht (hierna: Awb) bij nalevingstoezicht op de Tw. Voorts kan de Autoriteit Persoonsgegevens op grond van artikel 21a, vierde lid, van de Uitvoeringswet AVG een boete opleggen voor overtreding van de krachtens artikel 3:17, zevende lid, van de Wet op het financieel toezicht gestelde verplichtingen (met betrekking tot toegang van betaaldienstverleners tot de persoonsgegevens van betaaldienstgebruikers), en kan zij boetes opleggen op grond van artikel Z 11a van de Kieswet en artikel 4.1, eerste lid, van de Wet basisregistratie personen. Tot slot kan de Autoriteit Persoonsgegevens op grond van artikel 35c, eerste lid, van de Wet politiegegevens (hierna: 1 Verordening (EU) 2016/679. 14 Staatscourant 2023 nr. 34541-n1 14 januari 2025

Wpg) en artikel 27, 39r, 51, 51d en 51h van de Wet justitiële en strafvorderlijke gegevens (hierna: Wjsg) een boete opleggen ter zake van overtredingen van een aantal bepalingen uit die wetten. De bereke- ning van een bestuurlijke boete op grond van deze bevoegdheden vindt plaats aan de hand van onderhavige boetebeleidsregel. De beboetbare bepalingen uit de hiervoor genoemde wetten zijn, gegroepeerd per wettelijk boete- maximum, opgesomd en omschreven in bijlagen 1 tot en met 5 bij deze beleidsregels. De verwijzing in deze beleidsregels naar artikel 23, vierde lid, van het Wetboek van Strafrecht, voor zover het betreft een boete van de vijfde of zesde categorie, heeft tot doel dat bij wijziging van de in dat artikellid genoemde bedragen, niet ook (telkens) de onderhavige beleidsregels aangepast hoeven te worden. Bepalen van de hoogte van bestuurlijke boetes Bij de vaststelling van (de hoogte van) de boete moet de Autoriteit Persoonsgegevens onder andere het wettelijk boetemaximum, de toepasselijke bepalingen van (hoofdstuk 5 van) de Awb en de algemene beginselen van behoorlijk bestuur in acht nemen. Met de Boetebeleidsregels beoogt de Autoriteit Persoonsgegevens enerzijds inzicht te geven in de factoren die de hoogte van de boete bepalen. Anderzijds bieden deze beleidsregels de Autoriteit Persoonsgegevens de nodige flexibiliteit om in individuele gevallen maatwerk te leveren. Artikel 4:84 van de Awb biedt de Autoriteit Persoonsgegevens de mogelijkheid van deze beleidsregels met betrekking tot het bepalen van de hoogte van boetes af te wijken vanwege bijzondere gevallen die niet in de beleidsregels zijn verdisconteerd (inherente afwijkingsbevoegdheid). Systematiek van de Boetebeleidsregels: categorie-indeling en boetebandbreedtes Bij het bepalen van de categorie-indeling heeft de Autoriteit Persoonsgegevens ervoor gekozen de overtredingen steeds in te delen in drie categorieën, waaraan in zwaarte oplopende bestuurlijke geldboetes zijn verbonden. Uitzondering hierop vormen de bepalingen ter zake van overtreding waarvan de Autoriteit Persoonsgegevens een bestuurlijke boete kan opleggen van ten hoogste het bedrag van € 20.000 000. De overtredingen waarop dit wettelijk boetemaximum van toepassing is, zijn in bijlage 2 ingedeeld in vier categorieën. Bij de indeling van de bepalingen in de boetecategorieën heeft de Autoriteit Persoonsgegevens de zwaarte van de geschonden norm gewogen en beoordeeld. Het gaat daarbij om de waarde van de norm en zijn plaats in de hiërarchie van normen in het stelsel van wet- en regelgeving binnen het gegevensbeschermingsrecht, mede gelet op de daarmee te dienen doelen en de belangen die deze bepalingen beogen te beschermen. Elke boetecategorie is gekoppeld aan een bepaalde boetebandbreedte die de Autoriteit Persoonsgege- vens passend en geboden voorkomt. Dit betekent dat de hoogte van de boetebandbreedtes evenredig moet zijn en voldoende afschrikwekkend voor zowel de overtreder (speciale preventie) als andere potentiële overtreders (generale preventie). Binnen deze bandbreedte stelt de Autoriteit Persoonsge- gevens een basisboete vast. Dat is het ‘startbedrag’ om mee verder te rekenen. De Autoriteit Per- soonsgegevens hanteert een basisboete ter grootte van 50% van de bandbreedte van de aan de overtreding gekoppelde boetecategorie als neutraal uitgangspunt. Bij het opleggen van de boete houdt de Autoriteit Persoonsgegevens rekening met de factoren die zijn genoemd in artikel 8. Deze factoren zijn ontleend aan artikel 83, tweede lid, van de AVG. Naast de factoren vermeld onder a tot en met j van artikel 8, biedt het gestelde onder k ruimte om rekening te houden met andere, op de omstandigheden van de zaak toepasselijke factoren. Deze kunnen onder meer, doch niet uitsluitend, financiële winsten betreffen. De hoogte van de op te leggen boete wordt vervolgens afgestemd door aan de hand van de toepasselijke factoren te ‘plussen en minnen’ binnen de bandbreedte van de aan die overtreding gekoppelde boetecategorie. Het gaat daarbij kort gezegd om de ernst van de concrete overtreding en de mate waarin de overtreding aan de overtreder kan worden verweten. De Autoriteit Persoonsgegevens kan daarbij, zo nodig en afhankelijk van de mate waarin de factoren die zijn genoemd in artikel 8 daartoe aanleiding geven, ‘door- of terugschieten’ in de boetebandbreedte van de naast hogere, respectievelijk de naast lagere categorie (artikel 9, eerste lid). Het treden buiten de grenzen van de boetebandbreedte van de toepasselijke boetecategorie is aan de orde, indien de hoogte van de boete, gezien de omstandigheden van het concrete geval, anders niet voldoende preventieve werking heeft dan wel onevenredig hoog is. Ook een verhoging van de op te leggen boete wegens recidive kan aanleiding geven om in voorkomende gevallen buiten de grenzen van de toegepaste boetebandbreedte treden (artikel 9, tweede lid). 15 Staatscourant 2023 nr. 34541-n1 14 januari 2025

De boetebandbreedtes voor categorieën van overtredingen ingevolge de Tw, Wpg en Wjsg sluiten in de hoogste categorie steeds aan op de wettelijke boetemaxima. Bij de boetebandbreedtes voor categorieën van overtredingen ingevolge de AVG is ervoor gekozen de overtredingen in te delen in vier categorieën, waarbij de boetebandbreedte behorende bij de hoogste categorie een maximum kent van € 1.000.000. Deze indeling acht de Autoriteit Persoonsgegevens passend en geboden uit oogpunt van preventie. In het bijzonder heeft de Autoriteit Persoonsgegevens er oog voor gehad dat het basisbedrag van de boete in categorie IV (€ 725.000) een sanctie betreft die – los van de omstan- digheden van het concrete geval – passend is, gezien de ernst van de geschonden norm. Toepassing geven aan het evenredigheidsbeginsel brengt mee dat de Autoriteit Persoonsgegevens bij het vaststellen van de boete zo nodig rekening houdt met de financiële omstandigheden waarin de overtreder verkeert. Ingeval de Autoriteit Persoonsgegevens heeft vastgesteld dat sprake is van verminderde of onvoldoende draagkracht van de overtreder, kan zij met toepassing van artikel 10 de op te leggen boete verdergaand matigen. 16 Staatscourant 2023 nr. 34541-n1 14 januari 2025