Ben je op 25 mei 2018 nog niet op orde volgens de AVG en wordt je aangeklaagd door een gebruiker, dan geldt het nieuwe boeteregime:  €20 miljoen of 4% van de wereldwijde jaaromzet. Er zijn grofweg drie categorieën overtredingen te onderscheiden:

  1. Schending van processuele/procedurele verplichtingen; bijvoorbeeld het niet melden van een datalek. Overtreding van deze verplichtingen kan leiden tot een boete tot €10 miljoen of 2% van de wereldwijde jaaromzet in het voorgaande boekjaar.
  2. Schending van de materiële verplichtingen; denk hierbij aan de verplichting voor een zorgvuldige gegevensverwerking of de informatieplicht.
  3. Het niet opvolgen van een bevel van de AP.

Overtreding van de verplichtingen uit de tweede en derde categorie kan leiden tot een boete tot €20 miljoen of 4% van de wereldwijde jaaromzet in het voorgaande boekjaar. Bij de vaststelling van de hoogte van de boete wordt er onder andere gekeken naar de aard, ernst en duur van de overtreding, of de verwerkingsverantwoordelijke al eerder een overtreding begaan heeft en welke categorieën persoonsgegevens het betreft.