Boetebeleid van de Autoriteit Persoonsgegevens
Geschreven door: mr. Arjo Buurma
De Autoriteit Persoonsgegevens (AP) heeft de bevoegdheid forse boetes op te leggen aan organisaties die handelen in strijd met de Algemene verordening gegevensbescherming (AVG) en overige privacywetgeving. Vanaf de inwerkingtreding van de AVG op 25 mei 2018 concentreerde de AP zich vooral op het geven van informatie en het vergroten van privacy-bewustzijn en minder op het opleggen van boetes. Sinds begin van dit jaar is het aantal boetes en de hoogte daarvan echter flink opgelopen. Reden om in deze publicatie eens in te zoomen op het boetebeleid van de AP.
Bevoegdheid AP
De AVG kent aan de toezichthoudende instanties op het gebied van privacy - in Nederland is dat de AP - de bevoegdheid toe boetes op te leggen wegens overtreding van de privacywetgeving. De AP heeft de boetes in categorieën ingedeeld, waaraan in zwaarte oplopende geldboetes zijn verbonden. De hoogte van de op te leggen boete wordt vervolgens bepaald aan de hand van factoren zoals de maatregelen die een overtreder alsnog heeft getroffen, de financiële draagkracht van de overtreder, de mate van nalatigheid, recidive en eerder gegeven waarschuwingen. Boetes kunnen zowel aan overheidsinstanties als aan particuliere ondernemingen worden opgelegd. Soms gaat daar een waarschuwing of berisping aan vooraf, maar dat is geen voorwaarde om een boete te kunnen opleggen. Als er al eerder is gewaarschuwd of als er sprake is van recidive, dan kan dat reden zijn voor de AP dat mee te wegen in de bepaling van de hoogte van de boete.
De AP heeft haar boetebeleid gepubliceerd in de Staatscourant (Stcrt. 14 maart 2019, nr. 14586).
Naast boetes kan de AP ook andere maatregelen opleggen zoals een last onder dwangsom, een verwerkingsverbod, een berisping of een waarschuwing geven.
Opgelegde boetes in 2021
Op 11 februari 2021 krijgt het OLVG-ziekenhuis te Amsterdam een boete van € 440.000,-. Het ziekenhuis had tussen 2018 en 2020 te weinig maatregelen genomen om toegang door onbevoegde medewerkers tot medische dossiers te voorkomen. Dat kwam door onvoldoende controle op wie welk dossier bekeek en ontoereikende beveiliging van de computersystemen. Naar aanleiding van het onderzoek van de AP heeft het OLVG de vereiste verbeteringen doorgevoerd.
Booking.com krijgt in maart 2021 een boete van € 475.000,- omdat het een datalek te laat meldt bij de AP. Bij dit datalek maakten criminelen persoonsgegevens van meer dan 4.000 klanten buit. Zij konden daarbij ook de hand leggen op creditcardgegevens van bijna 300 slachtoffers.
De AP geeft in april 2021 de gemeente Enschede een boete van € 600.000,- omdat de gemeente wifitracking gebruikte in de binnenstad op een manier die niet mag. Daardoor was het mogelijk winkelend publiek en mensen die in de binnenstad wonen of werken te volgen. De gemeente Enschede heeft bezwaar aangetekend tegen de boete en die procedure loopt.
Locatefamily.com is een platform waar mensen contactgegevens kunnen zoeken van familieleden die zij uit het oog zijn verloren of van mensen met wie zij graag in contact willen komen. De website publiceert adresgegevens en telefoonnummers van mensen, vaak zonder dat die mensen dat weten. Als zij hun gegevens willen laten schrappen is dat niet eenvoudig, omdat Locatefamily geen vertegenwoordiger heeft in de EU. Het niet-hebben van een vertegenwoordiger in de EU is een overtreding van de privacywetgeving. De AP legt Locatefamily.com om die reden in mei 2021 een boete op van € 525.000,-.
Het Uitvoeringsinstituut Werknemersverzekeringen (UWV) krijgt in juli 2021 een boete van € 450.000,- wegens het versturen van groepsberichten via de zogenoemde ‘Mijn Werkmap’-omgeving. Dat is een persoonlijke omgeving op de website van het UWV, waar werkzoekenden contact hebben met het UWV. Deze omgeving bleek onvoldoende beveiligd, waardoor verschillende datalekken hebben plaatsgevonden. Als gevolg van dit datalek zijn gezondheidsgegevens van in totaal ruim 15.000 mensen inzichtelijk geworden voor medewerkers die daar niet toe gerechtigd waren.
Verder heeft het bedrijf dat de videoapp TikTok aanbiedt recent een boete van € 750.000,- gekregen, omdat de informatie die de Nederlandse gebruikers – veelal jonge kinderen – van TikTok kregen bij het installeren en gebruiken van de app, in het Engels is opgesteld. Door de privacyverklaring niet in het Nederlands aan te bieden legde TikTok onvoldoende uit hoe de app persoonsgegevens verzamelt, verwerkt en verder gebruikt. Dat is in strijd met de privacywetgeving, waar het uitgangspunt is dat altijd duidelijk moet zijn wat er met je persoonsgegevens gebeurt.
Ingezet beleid
De lijn die de AP ten aanzien van haar boetebeleid inzette in 2020 door aan het Bureau Kredietregistratie (BKR) een boete van maar liefst € 830.000,- op te leggen, wordt in 2021 voortgezet. Het BKR kreeg de boete omdat betrokkenen slechts eenmaal per jaar gratis een verzoek om inzage in persoonsgegevens konden doen. Betrokkenen konden een abonnement afsluiten om digitaal inzage in hun persoonsgegevens bij BKR te verkrijgen, maar daar moest dan wel voor betaald worden. De AP meent dat het BKR hierdoor niet heeft voldaan aan het vereiste om het inzagerecht te faciliteren doordat de door BKR gehanteerde procedure een drempel opwierp voor betrokkenen.
Ten aanzien van datalekken kan zowel het niet melden als het te laat melden daarvan tot handhaving leiden. Dat kleinere organisaties hierbij niet gespaard worden volgt uit de boete aan de politieke partij PVV Overijssel vanwege het niet melden van een onjuist verzonden e-mail aan het gehele adressenbestand, zodat alle e-mailadressen voor alle ontvangers zichtbaar waren. Hierdoor werden de politieke opvattingen van de geadresseerden gedeeld. De PVV Overijssel kreeg een boete van € 7.500,-.
Waar organisaties in 2018 en 2019 op wat meer coulance konden rekenen en de tijd kregen om “AVG-proof” te worden, heeft de AP vanaf 2020 duidelijk gekozen voor een strenger beleid. Organisaties worden strikter in de gaten gehouden en overtredingen kunnen forse boetes opleveren.
Rechtsmiddelen tegen een opgelegde boete
Tegen een opgelegde boete (of andere maatregelen van de AP) kan bezwaar en beroep worden ingesteld bij de bestuursrechter. Dat dit lonend kan zijn, blijkt uit de uitspraak van de rechtbank Den Haag van 31 maart 2021 (ECLI:NL:RBDHA:2021:3090). Hier matigt de rechtbank de door de AP aan het Haga ziekenhuis opgelegde boete van € 460.000,- met € 110.000,- omdat het ziekenhuis gedurende de bezwaarfase diverse maatregelen had genomen. Deze maatregelen tonen volgens de rechtbank in ieder geval de bereidwilligheid om met de problematiek in de organisatie aan de slag te gaan en nuanceren de nalatigheid die het ziekenhuis wordt verweten.
Conclusie
Het handelen in strijd met de AVG kan leiden tot een onderzoek en een daaruit voortkomende boete, opgelegd door de AP. Het aantal en de hoogte van de boetes die worden opgelegd, zijn vanaf 2020 flink gestegen en deze lijn wordt in 2021 voortgezet. Het argument dat een organisatie meer tijd nodig heeft om aan de spelregels van de AVG te kunnen voldoen, gaat niet meer op. Als de AP overtredingen constateert, is het zaak direct in actie te komen om een einde te maken aan de onrechtmatige situatie. Dat kan voor een rechter reden zijn de boete te matigen.
Tip: neem direct contact op!
Is uw organisatie onderwerp van onderzoek of is een boete of andere maatregel opgelegd door de AP, neemt u dan per direct contact met ons op. Bijstand door een specialist is vanaf het begin van groot belang. Onze specialisten kunnen u bijstaan in het overleg met de AP, samen met u de strategie bepalen en u bijstaan in bezwaar- of beroepsprocedures tegen een opgelegde boete of maatregel.