De AVG bestaat drie jaar: tijd voor een overzicht van de opgelegde boetes

Op 25 mei 2021 bestond de Algemene Verordening Gegevensbescherming (AVG) drie jaar. Sinds de AVG van toepassing is, hebben organisaties meer verantwoordelijkheden gekregen om de privacy van burgers te waarborgen. Zo zijn organisaties verantwoordelijk voor het naleven van de beginselen van de AVG en het aantonen ervan. Ook dienen zij passende beveiligingsmaatregelen te nemen om persoonsgegevens te beschermen. Om te zorgen dat organisaties de verplichtingen uit de AVG naleven, hebben de Europese toezichthouders een boetebevoegdheid gekregen. In Nederland heeft de Autoriteit Persoonsgegevens (AP) de bevoegdheid gekregen om boetes op te leggen wanneer organisaties niet aan de AVG voldoen. Ondanks dat de AP (nog) onvoldoende capaciteit heeft om daadkrachtig te handhaven, neemt het aantal boetes per jaar wel gestaag toe. In deze blog zal een overzicht worden gegeven van de opgelegde boetes en zal besproken worden welke conclusies hieruit getrokken kunnen worden.

Wanneer een organisatie de basisbeginselen van de AVG schendt, dan kan de AP op grond van de AVG een boete van maximaal 20 miljoen euro opleggen of een boete van 4% van de wereldwijde jaaromzet, indien dit bedrag hoger is. Bij het schenden van de basisbeginselen kan gedacht worden aan het verwerken van persoonsgegevens zonder een grondslag uit artikel 6 AVG. Bij lichtere vergrijpen, zoals een verwerkersovereenkomst die niet voldoet aan de vereisten van artikel 28 lid 3 AVG, geldt een maximale boete van 10 miljoen euro of een boete van 2% van de wereldwijde jaaromzet, indien dit bedrag hoger is.

2018

• Uber – te laat melden datalek

Op 27 november 2018 heeft Uber een boete gekregen van 600.000 euro voor het te laat melden van een datalek. Uber heeft de AP en de betrokkenen niet binnen 72 uur na het ontdekken van het datalek geïnformeerd.

2019

• Het HagaZiekenhuis - geen passende beveiligingsmaatregelen patiëntendossiers

Op 16 juli 2019 heeft het HagaZiekenhuis een boete gekregen van 460.000 euro voor het niet op orde hebben van de interne beveiliging van patiëntendossiers. Medewerkers hadden onnodig inzage in medische dossiers. Het ziekenhuis had geen passende maatregelen genomen om dit te voorkomen. Zo werd er niet bijgehouden wie welk dossier raadpleegde (logging) en werd er niet gebruik gemaakt van twee-factor-authenticatie. De rechter heeft de boete inmiddels verlaagd naar 350.000 euro.

2020

• De KNLTB - verkoop ledengegevens

Op 3 maart 2020 is er een boete van 525.000 euro opgelegd aan de tennisbond KNLTB wegens het verkopen van persoonsgegevens (ledengegevens) aan sponsoren. Volgens de AP heeft de tennisbond geen grondslag om de persoonsgegevens van leden te verstrekken aan sponsoren.

• Bedrijf X – verwerken vingerafdrukken medewerkers

Op 30 april 2020 heeft een bedrijf een boete gekregen van 725.000 euro voor het verwerken van biometrische gegevens (bijzondere persoonsgegevens). Het bedrijf verwerkte vingerafdrukken van medewerkers voor aanwezigheids- en tijdsregistratie. Het bedrijf kreeg de boete opgelegd omdat zij zich niet kon beroepen op een uitzonderingsgrond voor het verwerken van bijzondere persoonsgegevens.

• Stichting BKR – kosten bij inzage persoonsgegevens

Stichting BKR kreeg 6 juli 2020 een boete van 830.000 euro opgelegd wegens het opwerpen van hoge drempels voor betrokkenen die hun inzagerecht wilden uitoefenen. Zo werd er een vergoeding gevraagd voor het opvragen van persoonsgegevens. Dit is volgens de AVG niet toegestaan.

2021

• Het OLVG – geen passende beveiligingsmaatregelen patiëntendossiers

Het Amsterdamse ziekenhuis OLVG heeft op 11 februari 2021 een boete van 440.000 euro opgelegd gekregen omdat het ziekenhuis onvoldoende maatregelen nam om te voorkomen dat onbevoegde medewerkers patiëntendossiers konden inzien. Net als bij het HagaZiekenhuis werd er niet gecontroleerd wie welk dossier raadpleegde (logging) en werd er niet gebruik gemaakt van twee-factor-authenticatie.

• Booking.com – te laat melden datalek

Op 31 maart 2021 kreeg Booking.com een boete opgelegd van 475.000 euro wegens het te laat melden van een datalek bij de AP. Booking.com was 22 dagen te laat met melden. De verplichte termijn waarbinnen een datalek gemeld dient te worden (72 uur), werd hiermee overschreden.

• Gemeente Enschede – onrechtmatige wifitracking

Op 29 april 2021 kreeg de gemeente Enschede een boete van opgelegd wegens het inzetten van onrechtmatige wifitracking. Omdat wifitracking een grote inbreuk maakt op de privacy van burgers, mag deze techniek alleen ingezet worden in uiterste gevallen. Er was geen sprake van een dergelijk noodzakelijk geval. Wifitracking werd namelijk gebruikt voor het tellen van winkelend publiek in de binnenstad.

• PVV Overijssel - niet melden datalek

De PVV Overijssel kreeg op 11 mei 2021 een boete van 7.500 euro opgelegd wegens het niet melden van een datalek. Het datalek is ontstaan doordat er een e-mailbericht is verstuurd naar de achterban zonder dat van de ‘BCC’-optie gebruik werd gemaakt. Hierdoor kon iedereen die het e-mailbericht ontving, zien wie de geadresseerden waren. Aangezien de geadresseerden werden aangeduid als ‘vrienden van de PVV’, zijn de politieke opvattingen van de geadresseerden gelekt.

• Locatefamily.com – ontbreken vertegenwoordiger in de EU

Het platform Locatefamily.com kreeg 12 mei 2021 een boete van 525.000 euro opgelegd wegens het niet hebben van een vertegenwoordiger in de EU. Wanneer een organisatie diensten of producten aanbiedt in de EU, dan is het hebben van een vertegenwoordiger verplicht. Betrokkenen moeten namelijk bij deze vertegenwoordiger terecht kunnen voor informatie over de verwerking van hun persoonsgegevens of voor het uitoefenen van hun privacyrechten.

• CP&A – verwerken gezondheidsgegevens medewerkers

Op 19 mei 2021 werd er een boete van 15.000 euro opgelegd aan het onderhoudsbedrijf CP&A. Het bedrijf hield bij wat de oorzaak was van het ziekteverzuim van medewerkers. Een werkgever mag deze gezondheidsgegevens in beginsel niet verwerken. Uitsluitend de arbodienst of bedrijfsarts mogen vragen naar de oorzaak van ziekteverzuim. Daarnaast werden de gevoelige gezondheidsgegevens (bijzondere persoonsgegevens) onvoldoende beveiligd. Zo was er geen sprake van twee-factor-authenticatie.

Uit het bovenstaande overzicht kan worden opgemaakt dat de AP niet uitsluitend optreedt tegen (grote) ondernemingen. Ook ziekenhuizen, gemeenten, stichtingen en verenigingen worden door de toezichthouder nauwlettend in de gaten gehouden. Het overzicht benadrukt dat organisaties passende beveiligingsmaatregelen (denk aan twee-factor-authenticatie en logging) moeten nemen om persoonsgegevens beschermen. Ondanks voldoende beveiligingsmaatregelen is het ontstaan van een datalek niet altijd te voorkomen. In dat geval acht de AP het van belang dat datalekken tijdig (binnen 72 uur) worden gemeld. Daarom is het belangrijk dat organisaties een datalekkenprocedure hebben en dat medewerkers worden getraind om deze procedure te volgen. Tot slot moeten de basisbeginselen van de AVG goed in acht worden genomen. Voor het verwerken van persoonsgegevens is altijd een grondslag (uit artikel 6 AVG) nodig. Daarnaast dient er voor het verwerken van bijzondere persoonsgegevens tevens een uitzonderingsgrond (uit artikel 9 AVG) van toepassing te zijn.

Het aantal boetes van de AP neemt gestaag toe. Dit jaar zijn er al meer boetes opgelegd dan het totale aantal boetes in de afgelopen twee jaar. De AP heeft begin deze maand aangekondigd dat zij het toezicht op een bepaalde (nog niet openbaar gemaakte) gemeente gaat verzwaren. Het ziet er dus naar uit dat de AP adequater gaat handhaven. Des temeer reden om het privacybeleid van de organisatie nog eens goed onder de loep te nemen.

Heeft u hulp nodig met het voldoen aan de verplichtingen uit de AVG? Neem dan contact op met onze specialisten Hillie Lunter en Tom Klatter.