Boetebeleidsregels Autoriteit Persoonsgegevens 2019

Onverminderd de artikelen 3:4 en 5:46 van de Algemene wet bestuursrecht houdt de Autoriteit Persoonsgegevens rekening met de factoren genoemd onder a tot en met k, voor zover in het concrete geval van toepassing: a) de aard, de ernst en de duur van de inbreuk, rekening houdend met de aard, de omvang of het doel van de verwerking in kwestie alsmede het aantal getroffen betrokkenen en de omvang van de door hen geleden schade; b) de opzettelijke of nalatige aard van de inbreuk; c) de door de verwerkingsverantwoordelijke of de verwerker genomen maatregelen om de door betrokkenen geleden schade te beperken; d) de mate waarin de verwerkingsverantwoordelijke of de verwerker verantwoordelijk is gezien de technische en organisatorische maatregelen die hij heeft uitgevoerd overeenkomstig de artikelen 25 en 32 van de Algemene verordening gegevensbescherming; e) eerdere relevante inbreuken door de verwerkingsverantwoordelijke of de verwerker; f) de mate waarin er met de toezichthoudende autoriteit is samengewerkt om de inbreuk te verhelpen en de mogelijke negatieve gevolgen daarvan te beperken; g) de categorieën van persoonsgegevens waarop de inbreuk betrekking heeft; h) de wijze waarop de toezichthoudende autoriteit kennis heeft gekregen van de inbreuk, met name of, en zo ja in hoeverre, de verwerkingsverantwoordelijke of de verwerker de inbreuk heeft gemeld; i) de naleving van de in artikel 58, tweede lid, van de Algemene verordening gegevensbescherming genoemde maatregelen, voor zover die eerder ten aanzien van de verwerkingsverantwoordelijke of de verwerker in kwestie met betrekking tot dezelfde aangelegenheid zijn genomen; j) het aansluiten bij goedgekeurde gedragscodes overeenkomstig artikel 40 van de Algemene verordening gegevensbescherming of van goedgekeurde certificeringsmechanismen overeenkomstig artikel 42 van de Algemene verordening gegevensbescherming; en k) elke andere op de omstandigheden van de zaak toepasselijke verzwarende of verzachtende factor, zoals gemaakte financiële winsten, of vermeden verliezen, die al dan niet rechtstreeks uit de inbreuk voortvloeien.