AVG boetes: een overzicht


(c) by Unknown under Creative Commons License.

  • Hoogte boete vooral afhankelijk van de mate van compliance en medewerking met de toezichthouders
  • Als uw interne processen compliant zijn kunt u hoge boetes voorkomen!

Boetebevoegdheid toezichthouders

De Algemene Verordening Gegevensbescherming (AVG) trad op 25 mei 2018 in werking. Handhaving van de AVG geschiedt sindsdien door de privacy toezichthouders van de Europese Unie (EU). In Nederland is de Autoriteit Persoonsgegevens (AP) verantwoordelijk voor de handhaving van de AVG.

Met de inwerkingtreding van de AVG zijn de maximaal op te leggen boetes flink verhoogd. De maximaal op te leggen boete is afhankelijk van de ernst van de overtreding. Er zijn twee soorten regimes:

  1. Schendingen van fundamentele verplichtingen onder de AVG, zoals de beginselen van gegevensverwerking (artikel 5 AVG) of het verwerken met geldige grondslag (artikel 6 AVG), kunnen worden bestraft met een geldboete van maximaal €20 miljoen of 4% van de jaarlijkse wereldwijde omzet per overtreding;
  2. Schendingen van administratief georiënteerde verplichtingen onder de AVG, zoals het melden van datalekken (artikel 33 AVG), het uitvoeren van een Privacy Impact Assessment (artikel 35 AVG) of het nemen van passende beveiligingsmaatregelen (artikel 32 AVG), kunnen worden bestraft met een geldboete van maximaal €10 miljoen of 2% van de jaarlijkse wereldwijde omzet per overtreding.

In deze blog wordt een overzicht gegeven van de tot nu toe opgelegde boetes sinds inwerkingtreding van de AVG, voor zover deze openbaar zijn gemaakt.

Datalekken

Uber – €600.000

In Nederland heeft de AP aan Uber een boete opgelegd van €600.000 wegens het schenden van de meldplicht datalekken. In november 2016 werd Uber geconfronteerd met een datalek van persoonsgegevens. Een datalek moet binnen 72 uur worden gemeld aan de toezichthouder. Zelfs als niet bekend is wat de volledige omvang is van het lek, kan een voorlopige melding van het datalek worden gedaan. Uber deed dit echter pas een jaar na dato, in november 2017. Door het achterwege blijven van een tijdige melding van het datalek aan de AP en het tijdig in kennis stellen van de betrokkenen, heeft Uber volgens de AP ernstig verwijtbaar gehandeld.

  1. Dit datalek is door de AP beoordeeld onder het Wbp-regime (oud recht), het is dus goed mogelijk dat de boete onder het AVG-regime hoger had kunnen uitvallen.

Zie: https://autoriteitpersoonsgegevens.nl/nl/nieuws/ap-legt-uber-boete-op-voor-te-laat-melden-datalek.

Duitse chatwebsite – 20.000

De Duitse toezichthouder heeft chatwebsite Knuddels.de een boete van €20.000 opgelegd wegens een datalek. Door een hack van de website kwamen de persoonsgegevens van 330.000 gebruikers, met inbegrip van hun wachtwoorden en emailadressen, op straat te liggen. De chatwebsite meldde dit incident aan de toezichthouder en informeerde ook haar gebruikers. De toezichthouder constateerde dat de beveiliging van de website onvoldoende was, maar legde een relatief lage boete op omdat de chatwebsite tijdig had gemelden het interne datalekken protocol dus goed op orde was.

Beginselen van gegevensverwerking en adequate beveiliging

Portugees ziekenhuis – €400.000

De Portugese toezichthouder heeft een ziekenhuis in Lissabon een boete van €400.000 opgelegd wegens gebrekkig Access Control beleid en onvoldoende beveiligingsmaatregelen. Het Portugese ziekenhuis had geen schriftelijk vastgelegde procedures met betrekking tot Access Control. Dit betekende dat niet was vastgelegd wie toegang had tot patiëntgegevens en dat hier geen toezicht op was. De toezichthouder oordeelde dat dit in strijd met het data minimalisatiebeginsel was (artikel 5(1)(c) AVG) en het integriteitsbeginsel (artikel 5(1)(f) AVG).

Daarnaast werd geoordeeld dat het ziekenhuis onvoldoende beveiligingsmaatregelen had getroffen om de integriteit van de patiëntgegevens te garanderen. Uiteraard dient te worden opgemerkt dat het hier ook om de verwerking van bijzondere categorieën van persoonsgegevens gaat, namelijk gegevens over de gezondheid (artikel 9 AVG).

Poolse gegevensdatabase – €220.000 (1 miljoen Poolse złoty)

De Poolse toezichthouder heeft een commerciële Poolse gegevensdatabase een boete opgelegd van €220.000 wegens het niet informeren van bedrijven wiens data werden verwerkt. Het Poolse bedrijf verzamelde data over ondernemers en bedrijven uit openbare bronnen, combineerde deze en verkocht het via haar database. Het probleem volgens de toezichthouder was dat maar een deel van deze bedrijven werd geïnformeerd over de gegevensverzameling. Van een groot deel van de bedrijven was namelijk geen e-mailadres bekend, maar enkel fysieke adresgegevens. Het Poolse bedrijf besloot daarom om hen niet te informeren, vanwege de hoge kosten die dit zou meebrengen.

Dit was volgens de toezichthouder in strijd met artikel 14 AVG, wat vereist dat betrokkenen worden geïnformeerd met betrekking tot gegevensverwerkingen die op hen betrekking hebben. De toezichthouder heeft het Poolse bedrijf bevolen om alsnog de overige bedrijven te informeren over de gegevensverwerking.

Deens taxibedrijf – €160.000 (1.6 miljoen Deense kronen)

De Deense toezichthouder heeft aanbevolen een taxibedrijf in Kopenhagen een boete van €160.000 op te leggen wegens het onnodig lang bewaren van telefoonnummers van klanten. Hoewel de namen en adresgegevens van klanten werden verwijderd binnen 2 jaar na verwerking, werden de telefoonnummers van klanten veel langer bewaard – minstens 5 jaar. Dit was volgens de toezichthouder in strijd met het data minimalisatiebeginsel (artikel 5(1)(c) AVG).

Dit toont aan dat het noodzakelijk is om goed te kijken naar het retentiebeleid van alle persoonsgegevens die worden verwerkt van klanten. Een andere retentietermijn voor bepaalde persoonsgegevens zal goed moeten worden gemotiveerd.

Oostenrijkse ondernemer – €4.800

De Oostenrijkse toezichthouder heeft een ondernemer een boete opgelegd van €4.800 wegens een schending van het data minimalisatiebeginsel. De ondernemer had zijn beveiligingscamera’s buiten zijn pand te veel gericht op de openbare weg, zodat volgens de toezichthouder onnodig veel data werd verwerkt. Daarnaast was niet voldoende kenbaar aan voetgangers dat er cameratoezicht was. De boete werd in verhouding met de jaaromzet van de ondernemer opgelegd.

Google – recordboete van €50 miljoen

De Franse toezichthouder heeft Google een zeer hoge boete opgelegd van 50 miljoen euro voor het schenden van de AVG. De Franse toezichthouder oordeelde dat het gegevensverwerkingsbeleid van Google op fundamentele wijze in strijd is met de AVG. Volgens de toezichthouder worden gebruikers onvoldoende geïnformeerd over het gebruik van hun gegevens door Google, wat een inbreuk vormt op het transparantiebeginsel (artikel 5(1)(a) AVG). Tevens is geen geldige toestemming verkregen van gebruikers met betrekking tot gepersonaliseerde advertenties (artikel 7 AVG). Ongetwijfeld zal deze zaak een vervolg krijgen in de Franse rechtbanken en uiteindelijk het Hof van Justitie van de EU (HvJEU).

Zie: https://www.cnil.fr/en/cnils-restricted-committee-imposes-financial-penalty-50-million-euros-against-google-llc

Aandachtspunten en opstelling toezichthouders

Een goed gegevensbeleid kan het verschil maken. Zeker met betrekking tot datalekken blijkt dat het belangrijk is om tijdig te melden om zo hoge boetes te voorkomen. Zeker als u gevoelige persoonsgegevens verwerkt dient uw beveiligingsbeleid goed op orde te zijn en moet er een Access Control beleid zijn.