AVG & AP: AVG boetes? Ze komen eraan…
Naast de boete aan Uber van 600.000 euro schrijft Menzis dat zij een boete van 50.000 euro heeft gekregen van de Autoriteit Persoonsgegevens (AP). Zowel bij Uber als bij Menzis gaat nog om overtredingen van de Wbp, de voorganger van de AVG. Daarin waren de boetes een stuk lager dan in de AVG.
De AP heeft aangekondigd in 2019 over te gaan van voorlichting naar handhaving. Meer boetes dus. Ook heeft de AP boetebeleidsregels opgesteld waaruit kan worden opgemaakt welke uitgangspunten de AP hanteert bij boetes onder de AVG.
Boete (?) Menzis – medewerkers hebben toegang tot teveel gegevens
Opvallend is dat Menzis spreekt over een boete, maar dat daarover niets is te vinden op de website van de AP. In het jaarverslag van Menzis staat over deze boete onder meer te lezen:
Naar aanleiding van een onderzoek bij Menzis eind 2017, constateerde toezichthouder AP dat Menzis onvoldoende toezag op wie er binnen onze organisatie toegang had tot persoonsgegevens betreffende de gezondheid. Gebleken is dat enkele medewerkers onnodig toegang hadden tot deze gegevens. (…) We hebben de toegang voor deze medewerkers dan ook onmogelijk gemaakt. De AP vindt echter dat deze verbeteringen onvoldoende snel zijn doorgevoerd en heeft ons een boete opgelegd van € 50.000.
Medewerkers konden dus bij medische gegevens, terwijl dat niet nodig was voor hun functie.
Let dus op dat je niet iedereen binnen je organisatie toegang geeft tot alle gegevens. Vooral gevoelige gegevens moet je extra afschermen. Denk daarbij ook aan de gegevens van je personeel. Alleen medewerkers die deze gegevens moeten gebruiken voor hun functie, zoals HR medewerkers, mogen daarbij. Alle andere medewerkers niet.
NB: De AP heeft na de berichtgeving van Menzis onder meer via Twitter laten weten dat dit niet om een boete gaat, maar om een dwangsom. Dat is een andere handhavingsmogelijkheid van de AP. Omdat Menzis niet binnen de termijn aan de last heeft voldaan, heeft de AP een dwangsom van 50.000 euro gevorderd. Dit is juridisch gezien dus geen boete, ondanks deze benaming door Menzis zelf.
Boete Uber – te laat melden datalek
Uber had een datalek waarbij gegevens van ruim 57 miljoen gebruikers wereldwijd, waaronder 174.000 Nederlandse Uber-gebruikers, toegankelijk waren voor hackers.
Uber heeft dat datalek pas ruim een jaar na ontdekking gemeld aan de AP. De AP oordeelt dat er sprake is van een ernstig verwijtbare nalatigheid door Uber en legt Uber een boete op van 600.000 euro. Zie ook mijn eerdere blogpost daarover.
Meld een datalek op tijd! De AP heeft aangekondigd in haar handhavingskader én in haar jaarverslag in 2019 extra te controleren op niet-gemelde datalekken.
Boetes AVG en beleid Autoriteit Persoonsgegevens (AP)
De Algemene Verordening Gegevensbescherming (AVG) kent twee categorieën van overtredingen met twee verschillende boetes.
Voor de schending van een aantal verplichtingen uit de AVG, zoals het niet melden van een datalek of het ontbreken van een register van verwerkingsactiviteiten, kan de AP een boete opleggen van maximaal 10 miljoen euro of (als dat hoger is) 2% van de wereldwijde jaaromzet van een onderneming.
Overtreedt een organisatie de basisbeginselen van de AVG of de privacyrechten van de personen van wie zij gegevens verwerkt, dan kan de AP een boete opleggen van maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet.
Om meer inzicht te geven in de manier waarop de AP de hoogte van een boete berekent, heeft de AP boetebeleidsregels vastgesteld.
Boetecategorieën
De AP heeft de overtredingen van de AVG ingedeeld in 3 of 4 boetecategorieën. Elke boetecategorie kent een minimum- en een maximumbedrag en een basisboete. Die basisboete vormt voor de AP het uitgangspunt bij het opleggen van een concrete boete.
Voorbeeld:
Meld je een datalek niet, dan valt die overtreding in de boetebandbreedte van de AVG, categorie III. Die is door de AP vastgesteld tussen € 300.000 en € 750.000, met als hoogte van de basisboete € 525.000.
De basisboete kan vervolgens door de AP verhoogd of verlaagd worden. Dat hangt af van de aard, ernst en duur van de overtreding, het aantal getroffen personen en de omvang van de schade. Natuurlijk speelt ook een rol of de overtreding valt te verwijten aan de overtreder. Ook zal de AP rekening houden met de omvang en de financiële omstandigheden van de overtreder.
Europese richtsnoeren – boetes en andere sancties
Eind 2017 hebben de Europese toezichthouders (nu de European Data Protection Board – EDPB) richtsnoeren gemaakt met betrekking tot administratieve geldboetes. Daarin is onder meer beschreven wanneer welk sanctiemiddel het meest passend is. Naast een geldboete kan de AP ook een last onder dwangsom of een verwerkingsverbod opleggen. Een verwerkingsverbod is door de AP opgelegd aan de belastingdienst voor de verwerking van het BSN in het btw-identificatienummer van zelfstandigen.
De AP gaat in 2019 van voorlichting naar handhaving
In haar jaarverslag van 2018 blikt de AP ook vooruit naar 2019. De AP schrijft dat zij in 2018 bewust heeft gekozen voor voorlichting en uitleg van de AVG, omdat de AVG net van kracht was. In 2019 wil de AP de inzet van preventieve, correctieve en repressieve instrumenten in evenwicht brengen. Concreet betekent dit dat ze naast voorlichting meer zal gaan inzetten op onderzoek en handhaving (zoals boetes).
De AVG boetes komen eraan…
Meer weten?
Wil je meer weten over de AVG of de acties van de AP? Abonneer je dan op de blog update Ondernemerszaken en/of het thema Privacy.
Mocht je vragen hebben over privacy of de AVG, neem dan contact op met één van onze privacy specialisten Chantal Grouls of Marieke Thijssen.