5 jaar AVG, 5 jaar handhaving: alle boetebesluiten op een rijtje
Hiep hiep hoera, de Algemene Verordening Gegevensbescherming (‘AVG’) viert vandaag op 25 mei 2023 haar vijfde verjaardag! In de afgelopen vijf jaar heeft de Autoriteit Persoonsgegevens (‘AP’) tientallen organisaties op (flinke) boetes getrakteerd in Nederland. Ter gelegenheid van dit jubileum zetten wij alle boetebesluiten op een rijtje. Wat kunnen wij leren uit deze boetebesluiten?
Sanctiebevoegdheden
Met de komst van de Europese AVG veranderde er in beginsel voor Nederland weinig op het gebied van het gegevensbeschermingsrecht. De Wet bescherming persoonsgegevens (‘Wbp’) regelde in Nederland op grote lijnen al hetzelfde als de AVG. Zo gold onder de Wbp ook al het beginsel van doelbinding, moesten passende beveiligingsmaatregelen worden getroffen en was het uitgangspunt dat de verwerking van bijzondere categorieën persoonsgegevens verboden was.
Wat onder andere wel nieuw was met de komst van de AVG, was strenger toezicht op naleving van de verordening. Elke lidstaat moest een onafhankelijke instantie aanwijzen die belast werd met het toezicht op de toepassing en naleving van de AVG en de nationale implementatiewet van de AVG. In Nederland werd dat de AP (voorheen het College bescherming persoonsgegevens). Elke aangewezen toezichthouder kreeg de bevoegdheid om sanctionerend op te treden tegen een overtreding van de AVG. De meest in het oog springende sanctie is natuurlijk het opleggen van een bestuurlijke boete. Afhankelijk van het overtreden artikel in de AVG en de omstandigheden van het geval, kan de AP op basis van de AVG een boete opleggen van maximaal € 20 miljoen of 4 % van de totale wereldwijde jaaromzet.
Naast het uitdelen van boetes is de AP ook bevoegd om andere sancties op te leggen, zoals een last onder dwangsom, een verwerkingsverbod, een berisping of een waarschuwing. In dit artikel beperken wij ons tot de behandeling van de boetes.
Cijfers
Hoewel in vergelijking met sommige andere Europese lidstaten de AP haar boetebevoegdheid (nog) niet uitzonderlijk vaak heeft ingezet, heeft de AP in de afgelopen vijf jaar in ieder geval 22 keer een boete uitgedeeld. Het totale boetebedrag dat is opgehaald is ruim € 14.5 miljoen. Dat komt neer op een gemiddelde van € 693.000 per boete. De laagste boete die is opgelegd bedroeg € 7.500 en de hoogste boete die is opgelegd bedroeg maar liefst € 3.7 miljoen. Een deel van de boetebesluiten is niet openbaar.
Schematisch kunnen de boetebesluiten als volgt worden ingedeeld op onderwerp en sector.
| Onderwerp boetebesluit | Aantal[1] |
| Meldplicht datalekken | 3 |
| Beveiliging persoonsgegevens | 8 |
| Grondslag | 5 |
| Rechten van de betrokkene | 1 |
| Inzet technologie | 2 |
| Internationale gegevensdoorgifte | 1 |
| Noodzakelijkheid van de verwerking | 2 |
| Verwerking persoonsgegevens kinderen | 1 |
[1] Deze aantallen komen niet overeen met de daadwerkelijke boetebesluiten. Dit omdat sommige boetebesluiten zagen op meer dan één overtreding, waarbij er meerdere overtredingen in één boetebesluit aan de orde kwamen.
| Sector | Aantal |
| Gezondheidszorg | 4 |
| Overheid | 7 |
| Private sector | 9 |
| Overig (politieke partijen) | 1 |
Tijdlijn
In het kort: drie terugkerende thema’s
1. Denk aan de AVG-beginselen en meer specifiek uw grondslag
Een verwerking van persoonsgegevens is niet toegestaan als niet aan alle beginselen van de AVG voldaan is. Een aantal van deze beginselen zijn noodzakelijkheid en rechtmatigheid. Deze laatste betekent dat er een grondslag – een reden – moet zijn om persoonsgegevens te mogen verwerken. Heeft een organisatie geen grondslag, dan is de verwerking onrechtmatig. Dit ging maar liefst twee keer fout bij de Belastingdienst. In het eerste geval ging het om het gebruik van dubbele nationaliteit als enige indicator voor risicovolle aanvragen van kinderopvangtoeslagen, terwijl andere indicatoren ook relevant waren. Bovendien had de Belastingdienst de gegevens over dubbele nationaliteit niet eens mogen verwerken. De AP oordeelde dat dit niet voldeed aan de vereisten van noodzakelijkheid, proportionaliteit en subsidiariteit. In het tweede geval werd de Fraude Signalering Voorziening-applicatie gebruikt zonder geldige grondslag en met gebrekkige beveiliging. Dit leidde tot stigmatisering en negatieve financiële gevolgen voor burgers.
Ook uit de andere boetebesluiten volgt dat de AP regelmatig boetes oplegt voor het onrechtmatig verwerken van persoonsgegevens, bijvoorbeeld door persoonsgegevens te verwerken zonder voldoende transparantie, zonder voldoende vertrouwelijkheid, zonder doelbinding, zonder geldige grondslag of doorbrekingsgrond.
2. Risk-based approach ten aanzien van beveiliging
De AP hecht veel belang aan de beveiliging van persoonsgegevens en benadrukt een risicogerichte benadering bij het nemen van beveiligingsmaatregelen. De AVG vereist dat persoonsgegevens ‘passend’ worden beveiligd, maar specificeert niet wat als passend wordt beschouwd. Het beveiligingsniveau moet worden beoordeeld op basis van verschillende factoren, zoals de stand van de techniek, de kosten, de aard van de gegevens en de risico’s voor de privacy. In enkele boetebesluiten benadrukt de AP dat beveiligingsmaatregelen moeten worden gebaseerd op potentiële risico’s voor betrokkenen. Het OLVG-ziekenhuis kreeg een boete omdat de beveiligingsmaatregelen onvoldoende waren, met name het ontbreken van multifactor-authenticatie en onvoldoende controle op logging. Omdat het OLVG een ziekenhuis is en daardoor heel veel gevoelige en bijzondere persoonsgegevens verwerkt, mag van het OLVG verwacht worden dat zij een zeer hoog beschermingsniveau hanteert, hoger dan bijvoorbeeld een voetbalclub waar alleen de ledenadministratie opgeslagen staat. De AP is hier erg streng op.
Het advies is dan ook om bij elke gegevensverwerking een risicobeoordeling uit te voeren waarbij de risico’s van die specifieke verwerking op een rij moeten worden gezet. Op basis van deze beoordeling moeten beveiligingsmaatregelen worden getroffen die de risico’s kunnen mitigeren, met inachtneming van de stand van de techniek en de uitvoeringskosten.
3. Datalekken: wees goed voorbereid!
Ondanks alle beveiligingsmaatregelen kan het af en toe toch voorkomen dat er een datalek optreedt. Zodra een datalek is opgetreden, treden er allerlei verplichtingen op. Zo moet het lek gedicht worden en in sommige gevallen moet het datalek gemeld worden bij de AP. Het uitgangspunt is dat dit binnen 72 uur gebeurt. Ben je te laat, kan je dat op een boete komen te staan. Booking.com kreeg om die reden een boete. Booking.com had de interne processen niet goed op orde waardoor te laat herkend werd dat het om een datalek ging, het datalek niet snel genoeg naar de juiste afdeling gestuurd werd en daardoor uiteindelijk 22 dagen te laat gemeld werd. Onder andere Uber overkwam hetzelfde.
Het is dan ook van groot belang dat iedereen binnen een organisatie een datalek weet te herkennen en dat er juiste procedures voorhanden zijn voor dergelijke situaties. Kennis binnen de organisatie kan vergroot worden door medewerkers zowel theoretisch als praktisch te onderwijzen in het kader van datalekken.
Wilt u meer weten over de AVG of heeft u andere privacy-gerelateerde vragen? Neem dan contact op met één van onze specialisten.
Heeft u vragen of wilt u een afspraak maken?
