Blog Netflex Legal: Resultaten van een halfjaar AVG 2.0

Als beloofd zal ik in dit deel van mijn tweeledig AVG-halfjaaroverzicht ingaan op de zo gevreesde boetes. Zijn ze al uitgedeeld, zo ja aan wie, en hoe hoog zijn ze dan? Ik zal u niet te lang in spanning laten: er zijn boetes uitgedeeld, maar niet voor de maximale 20 miljoen euro.

Voor zover bekend heeft de Portugese toezichthouder de ‘primeur’. In juli van dit jaar werd een ziekenhuis nabij Lissabon op de vingers getikt wegens schending van de AVG. Schade: een slordige 400.000 euro. De overtreding? Er zouden 985 werknemers geregistreerd zijn om op arts-niveau toegang te hebben tot medische gegevens, terwijl er in totaal slechts 296 artsen werkzaam zijn. Daarnaast zou het ziekenhuis onvoldoende maatregelen hebben genomen om de systemen met persoonsgegevens te beveiligen. Het ziekenhuis heeft bezwaar gemaakt tegen de opgelegde boete.

Ook in Oostenrijk was het raak. Daar legde de lokale toezichthouder een boete van 4.800 euro op aan een wedkantoor. De schending had te maken met het cameratoezicht van het kantoor, de camera was namelijk zo opgehangen dat ook een deel van de openbare weg werd gefilmd. De toezichthouder oordeelde dat het wedkantoor zonder geldige grondslag de openbare weg filmde en bovendien onvoldoende had gedaan om betrokkenen te informeren.

De eerste boete in Duitsland werd opgelegd aan een chatwebsite. Persoonsgegevens van chatgebruikers waren op straat komen te liggen na een ‘datalek’[i]. Het datalek werd op tijd gemeld bij de toezichthouder en daarna op adequate wijze afgehandeld. Ondanks deze goede manier van handelen kreeg de chatdienst toch een boete van 20.000 euro omdat het haar werd aangerekend dat zij de persoonsgegevens op inadequate wijze had beveiligd, waardoor deze direct na het datalek konden worden gebruikt door kwaadwillenden.

Nog dichter bij huis waren de boetes die ‘onze’ Autoriteit Persoonsgegevens (AP) oplegde aan UBER, het UWV en de Belastingdienst. Toch geen kleine vissen, zult u met mij eens zijn.

De, zij het milde, primeur in eigen land kwam voor rekening van de Belastingdienst. Zij kreeg in hartje zomer de waarschuwing dat zij moest stoppen met het gebruiken van Burgerservicenummers in de BTW-nummers van ondernemers die een eenmanszaak drijven. Het BTW-nummer moet verplicht op de website en facturen worden vermeld, wat voor eenmanszaakondernemers een schending van hun privacy inhoudt. Zij geven daarmee dus hun BSN prijs aan de wereld. Anders dan gemak voor de Belastingdienst, lijkt het geen functie te hebben waardoor het inbreuk maakt op de privacy van betrokkenen. De Belastingdienst kreeg in eerste instantie tot 1 januari 2019 om dit te verhelpen, maar heeft uitstel gekregen tot 25 mei 2019. Als ze deze deadline niet haalt, kan alsnog een boete worden opgelegd.

Uitkeringsinstantie UWV was de volgende prooi van de AP. Het UWV zou volgens de AP het werkgeversportaal onvoldoende hebben beveiligd. In deze portaal staan ziekteverzuimdossiers van werknemers, hetgeen gekwalificeerd wordt als bijzondere (want medische) persoonsgegevens. Met bijzondere persoonsgegevens moet extra delicaat worden omgegaan. Een passende technische maatregel ter beveiliging zou een twee factor autorisatie kunnen zijn. De AP heeft het UWV tot 31 oktober 2019 de tijd gegeven om haar beveiliging op orde te krijgen. Lukt dat niet, dan verbeurt ze elke maand dat ze te laat is een boete van 150.000 euro, met een maximum van 900.000 euro.

Waar niet alleen gedreigd werd maar ook daadwerkelijk een flinke klap viel, is bij taxidienst UBER. Het bedrijf kreeg in Nederland een boete opgelegd van 600.000 euro in verband met een op zijn minst slordig te noemen afwikkeling van een datalek uit 2016. Het enorme lek omvatte persoonsgegevens van 57 miljoen gebruikers wereldwijd, waarvan 174.000 Nederlanders. De boete is opgelegd omdat UBER het datalek verzweeg voor de autoriteit(en) en haar getroffen gebruikers, terwijl een datalek volgens de AVG binnen 72 uur aan de autoriteiten en onverwijld aan de betrokkenen moet worden gemeld. In het Verenigd Koninkrijk kreeg UBER een boete van 385.000 Britse pond. Niet alleen het te laat melden van het datalek speelde een rol bij de hoogte van de boete maar ook de wijze waarop het gebeurde: UBER betaalde de hackers die voor het datalek verantwoordelijk waren, namelijk 100.000 euro om de hack te verzwijgen.

Het eerste half jaar AVG heeft dus naast een groot aantal klachten ook geleid tot de eerste boetes voor schendingen van de privacyregels. Vooral de boete die het Portugese ziekenhuis kreeg en de UBER-zaak zijn spraakmakend. Het is overigens nog maar de vraag of de Belastingdienst en het UWV op tijd hun zaken op orde krijgen. Mocht dat niet zo zijn, kan dat ook nog rake klappen opleveren.

Meer weten over de AVG of over de dienstverlening van Netflex Legal in het algemeen? Neem gerust contact met ons op via 088-6383590 of info@netflexlegal.nl!

[i]De term ‘datalek’ komt niet voor in de wet. In plaats daarvan heeft de Algemene verordening gegevensbescherming (AVG) het over een ‘inbreuk in verband met persoonsgegevens’.

Hiervan is sprake bij een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens (Artikel 4, punt 12, AVG).

Categorieën datalekken

Er zijn drie categorieën datalekken te onderscheiden:

Inbreuk op de vertrouwelijkheid
Wanneer er sprake is van een onbevoegde of onopzettelijke openbaring van, of toegang tot, persoonsgegevens.
Inbreuk op de integriteit
Wanneer er sprake is van een onbevoegde of onopzettelijke wijziging van persoonsgegevens.
Inbreuk op de beschikbaarheid
Wanneer er sprake is van een onbevoegd of onopzettelijk verlies van toegang tot, of vernietiging van, persoonsgegevens.

Een datalek kan, afhankelijk van de omstandigheden, in meer dan één van deze drie categorieën vallen.