De Autoriteit Persoonsgegevens gaat nieuwe regels toepassen voor het berekenen van AVG-boetes. Tot nu toe bepaalde elke lidstaat van de EU de hoogte ervan. De European Data Protection Board (EDPB), het samenwerkingsverband van Europese privacy toezichthouders, heeft hiervoor recentelijk nieuwe regels opgesteld.
De oude regels gingen uit van een bandbreedte waarbinnen een boetebedrag in principe werd bepaald. De nieuwe regelgeving onderscheidt drie categorieën voor de ernst van de overtreding: laag, midden en hoog. Per categorie geldt een ander startbedrag voor de boete. De omvang van een bedrijf gaat daarbij voortaan een grotere rol spelen.
Na het startbedrag kijken de toezichthouders of er redenen zijn om de boete te verhogen. Bijvoorbeeld als een bedrijf vaker soortgelijke overtredingen heeft begaan. Boetes kunnen oplopen tot 20 miljoen euro of vier procent van de wereldwijde omzet van een onderneming. De nieuwe regels gaan per direct in; ze gelden ook voor lopende zaken.
Omdat enkele Europese privacytoezichthouders geen boetes aan overheden mogen opleggen, gelden de regels alleen voor bedrijven.