AVG: Wie goed doet, wordt niet beboet

gdpr_it’s_gonna_be_fines_zivver_en_blog-1

gdpr_it’s_gonna_be_fines_zivver_en_blog-1

Met de intrede van de AVG in mei 2018 voldeed een aantal bedrijven nog niet, en sommigen nog steeds niet, aan de eisen van de aangescherpte Europese privacywetgeving. Ze vreesden hoge boetes, en niet zonder reden.

Eerste boetes

In januari 2019 kreeg techgigant Google een boete van maar liefst 50 miljoen euro van de Franse gegevensbeschermingsautoriteit, CNIL. De Franse privacywaakhond deelde deze boete uit vanwege het onvoldoende informeren van gebruikers over Google’s toestemmingsbeleid voor het gebruik van data en dat Google de gebruiker niet voldoende controle gaf over de wijze waarop persoonlijke gegevens gebruikt werden voor gepersonaliseerde advertenties.

In juli 2019 ontvingen luchtvaartmaatschappij British Airways en hotelketen Marriott zelfs nog hogere boetes: zij zijn respectievelijk 205 miljoen euro en 110 miljoen euro kwijt, omdat zij de persoonlijke informatie van hun klanten niet voldoende beschermden. Deze zaken zijn uiteraard de grootste en meest bekende vanwege de torenhoge bedragen. Maar zogenaamde Data Privacy Authorities (DPA’s, Autoriteiten Persoonsgegevens) richten zich niet enkel op de giganten en de hoge boetes. In het afgelopen jaar hebben kleinere organisaties en zelfs individuen moeten betalen voor het niet naleven van de AVG.

Om een beeld te schetsen, noemen we een paar voorbeelden:

  • in januari 2019 kreeg het Portugese ziekenhuis Centro Hospitalar Barreiro Montijo een boete van € 400.000,- van de Portugese DPA vanwege drie waargenomen gevallen van niet-naleving van de AVG. Twee van de drie gevallen hadden te maken met een gebrek aan technische en organisatorische beveiligingsmaatregelen om de vertrouwelijkheid, integriteit en beschikbaarheid van medische gegevens te beschermen;
  • in mei 2019 deelde de DPA van Noorwegen een boete uit van € 170.000,- aan de gemeente Bergen. De gemeente had onvoldoende beschermingsmaatregelen getroffen. Gebruikersnamen, wachtwoorden, geboortedata en schoolresultaten bleken onbeschermd; 
  • in juni 2019 ontving de voetbalcompetitie La Liga een boete van € 250.000,- van de Spaanse DPA voor het gebruiken van een mobiele app om te achterhalen welke cafés ‘illegaal’ de wedstrijden uitzonden. De app gebruikte de microfoon van de gebruiker, zonder dat gebruikers dit wisten of tegen konden gaan; en
  • in mei 2019 deelde de Belgische DPA een bescheiden boete uit van € 2.000,- aan een burgemeester die persoonsgegevens misbruikte voor verkiezingsdoeleinden.

Bereid je voor op meer AVG handhaving

Deze voorbeelden zijn onderdeel van   56 miljoen euro aan boetes die de DPA’s uitdeelden in 11 EU-lidstaten in het eerste jaar van de AVG. Het Europees Comité voor Gegevensbescherming heeft aangegeven dat in het eerste jaar al 281.088 zaken zijn aangegeven. Hiervan waren 144.376 klachten en 89.271 ‘kennisgevingen van inbreuken inzake persoonsgegevens’ [1]. Dit is natuurlijk pas het begin, zeker nu veel Europese DPA’s hun personeel en budget flink hebben uitgebreid [2]. De DPA’s zijn dus klaar voor de volgende stap. Maar wat zijn de mogelijke sancties? Hiervoor kunnen we bijvoorbeeld kijken naar wat de Nederlandse Autoriteit Persoonsgegevens heeft gedaan.

Op 14 maart 2019 publiceerde de AP beleidsrichtlijnen met onder andere de categorisering van de boetes. Deze boetes zijn gecategoriseerd op basis van de AVG. Ieder van de vier categorieën heeft een basisboete en een reikwijdte voor boetes binnen deze categorie:

Categorie I

Reikwijdte tussen EUR 0 - EUR 200.000

Basisboete: EUR 100.000

Categorie II

Reikwijdte tussen EUR 120.000 - EUR 500.000

Basisboete: EUR 310.000

Categorie III

Reikwijdte tussen EUR 300.000 - EUR 750.000

Basisboete: EUR 525.000

Categorie IV

Reikwijdte tussen EUR 450.000 - EUR 1.000.000

Basisboete: EUR 725.000

In de beleidsrichtlijnen staat per bepaling van de AVG uitgelegd in welke categorie een schending hiervan zou vallen. Een aantal voorbeelden:

  • de verplichting voor zowel verwerkingsverantwoordelijken als verwerkers om een verwerkersovereenkomst af te sluiten (artikel 28 van de AVG). Schending? Boete: Categorie II;
  • de verplichting om een beveiligingsniveau te waarborgen dat in verhouding staat tot het risico (artikel 32 van de AVG): Categorie II;
  • de verplichting om persoonlijke gegevens enkel te verwerken wanneer hier grondslag voor is (bijvoorbeeld specifieke toestemming of een overeenkomst) (artikel 6 van de AVG) - Categorie III;
  • het verbod op het verwerking van gevoelige persoonlijke gegevens (zoals biometrische gegevens, etnische herkomst en politieke opvattingen) tenzij uitdrukkelijke toestemming is verleend (artikel 9 van de AVG) - Categorie IV.

Geen miljoenen?

Nu kan je je afvragen: “Hee, dat zijn niet de 10 miljoen, 20 miljoen of deel van onze wereldwijde omzet, waarmee ze me steeds bang maken!” Dat klopt niet helemaal: dit is namelijk een algemeen overzicht. De AP mag nog altijd hogere boetes of zelfs de maximale boetes onder de AVG opleggen indien dit passend wordt geacht. Je ontkomt er dus niet aan: je moet er voor zorgen dat je nu en in de toekomst AVG-compliant bent. De beleidsrichtlijn moet gewoon worden gezien als een nieuwe stap in de richting van een actievere oplegging van boetes door het AP.

Riemen vast...

Dergelijke beleidsrichtlijnen, de algehele toename van personeel en budget voor de handhaving van de AVG, evenals het grote aantal gevallen dat al aan de AP is gerapporteerd, geeft de AP de slagkracht en het vermogen om de AVG daadwerkelijk uit te voeren. Dus laten we eens kijken wat jaar twee ons brengt plus de nieuwe norm NTA 7516 die in 2020 ingaat... Riemen vast, er komen boetes aan!

lees Alles over veilig mailen en bestanden delen 

[1]: IAPP-rapport, mei 2019:  “GDPR at One Year: What We Heard from Leading European Regulators

[2]: De Ierse gegevensbeschermingsautoriteit bijvoorbeeld heeft dit jaar haar budget verhoogd tot EUR 15,2 miljoen, wat haar in staat stelt meer personeel aan te nemen. Ook de AP ontving EUR 3,4 miljoen euro extra voor de handhaving van de AVG in de komende jaren. In Litouwen heeft de gegevensbeschermingsautoriteit een plan gepubliceerd om in 2019 75 ‘ex officio’ onderzoeken uit te voeren. Zie bijvoorbeeld Jaarverslag 2018 van de AP, pagina 18.

Geschreven door
Picture of Nadine Hoogerwerf (ISO) & Reinout Bautz (GC)

Nadine Hoogerwerf (ISO) & Reinout Bautz (GC)

Gepubliceerd op juli 12, 2019

Laatst gewijzigd op februari 9, 2021