Handhaving AVG: een terugblik op 2021

Handhaving AVG

Drie jaar na inwerkingtreding van de Algemene Verordening Gegevensbescherming (AVG), lijkt de Autoriteit Persoonsgegevens (AP) op stoom te zijn gekomen. Waar de AP in 2018 nog de nadruk had op voorlichting AVG, is de AP zich sindsdien gaan focussen op handhaving.

In deze blog blikken wij terug op het afgelopen jaar en bespreken wij enkele boetes die in 2021 zijn opgelegd.

Tegenvaller voor de AP: geen hoger budget in 2022

De AP heeft aangegeven dat zij het huidige budget van 25 miljoen euro niet toereikend acht. Gelet op de aanzienlijke groei van privacyklachten en gemelde datalekken is volgens de AP meer budget nodig om haar taken goed te kunnen uitvoeren. Daarom heeft de AP in mei 2021 aan demissionair minister voor Rechtsbescherming Dekker  een ‘structurele financiering’ van 100 miljoen euro verzocht. Uiteindelijk is toch besloten dat het budget voor de AP in 2022 hetzelfde zal zijn als in 2021.

Overzicht boetes AP 2021

Ondanks het relatief beperkte budget heeft de AP in 2021 niet stilgezeten. Hieronder een overzicht van enkele in 2021 door de AP opgelegde boetes:

De Belastingdienst

De meest recente boete, van 2,75 miljoen euro, is opgelegd aan de Belastingdienst. De Belastingdienst heeft jarenlang, zonder wettelijke grondslag, de (dubbele) nationaliteit van aanvragers van kinderopvangtoeslag bewaard en gebruikt voor de opsporing van fraude. De AP heeft onder meer vastgesteld dat gegevens over de nationaliteit niet nodig zijn om te bepalen of recht op kinderopvangtoeslag bestaat. De AP oordeelde onder meer dat voornoemd handelen discriminerend was en in strijd met het beginsel van behoorlijkheid. Met deze boete wordt natuurlijk een goed signaal afgegeven, maar feit blijft dat deze boete een hoog broekzak–vestzak gehalte heeft. De boete is direct overgemaakt.

Transavia

De AP heeft de luchtvaartmaatschappij Transavia een boete opgelegd van 400.000 euro wegens het slecht beveiligen van persoonsgegevens. Door een lek in de beveiliging kreeg een hacker toegang tot de systemen van Transavia en daarmee tot persoonsgegevens van 25 miljoen mensen. Vastgesteld werd dat de hacker persoonsgegevens van ruim 83.000 personen heeft gedownload. De AP kwam tot de conclusie dat Transavia geen passende maatregelen had getroffen om een op het risico afgestemd beveiligingsniveau te waarborgen.

Booking.com

Aan Booking.com is een boete van 475.000 euro opgelegd omdat zij een datalek te laat bij de AP heeft gemeld. Criminelen hadden toegang tot persoonsgegevens van ruim 4.000 klanten en hadden daarbij ook de creditcardgegevens van 283 mensen ingezien. Booking.com was op 13 januari 2019 op de hoogte van het datalek, maar meldde het 22 dagen te laat bij de AP, namelijk pas op 7 februari. Daarmee is de wettelijke termijn van 72 uur ruimschoots verstreken.

TikTok

De bekende app TikTok kreeg van de AP een boete van 750.000 euro opgelegd wegens schending van privacy van (jonge) kinderen. Informatie over de gegevensverwerking door TikTok werd verstrekt bij het installeren en gebruiken van de app. Deze informatie was alleen in het Engels en daardoor niet goed te begrijpen voor kinderen. De AP oordeelde dat TikTok in strijd met de privacywetgeving handelde door de privacyverklaring niet (ook) in het Nederlands aan te bieden. Het uitgangspunt is immers dat voor betrokkene duidelijk moet zijn wat er met zijn/haar persoonsgegevens gebeurt. Door de informatie alleen in het Engels te verstrekken, werd onvoldoende uitgelegd op welke wijze de app persoonsgegevens verzamelt, verwerkt en verder gebruikt.

Gemeente Enschede

De gemeente Enschede ontving een boete van 600.000 euro. De gemeente maakte gebruik van wifitracking waarmee zij de drukte in de binnenstad wilden meten. Door middel van meetkastjes werden wifisignalen opgepakt en geregistreerd met een unieke code. Het was daardoor mogelijk om naast het meten van de drukte ook mensen in de binnenstad te volgen. De AP oordeelde dat er geen noodzaak was om de mensen te volgen en daarmee de privacy van de burgers niet goed was gewaarborgd.

PVV Overijssel

Tot slot kreeg ook de PVV Overijssel een boete opgelegd van 7.500 euro vanwege het niet melden van een datalek. In een e-mailbericht over een achterbanbijeenkomst werden 101 geadresseerden aangeduid als ‘vrienden van de PVV’. Door een fout waren de e-mailadressen van de geadresseerden zichtbaar voor iedereen die de uitnodiging ontving. Nu als gevolg van deze mail de mogelijke politieke opvattingen van alle geadresseerden werd gedeeld was sprake van een meldplichtig datalek. De basisboete van een dergelijke overtreding bedraagt € 525.000,-, maar gelet op de (zeer) beperkte middelen van PVV Overijssel is die boete dus fors gematigd.

Conclusie

Zoals we in 2021 hebben gemerkt, is de AP gefocust op handhaving en ziet zij strikt toe op naleving van de AVG. Wij merken op dat, ondanks het beperkte budget, de AP haar middelen inzet om de naleving van de AVG  te onderzoeken en bij overtreding te beboeten.

Uit de voorbeelden blijkt dat de AP naast de grote bedrijven als Tiktok en Transavia, ook bij relatief kleine partijen (zoals een lokale afdeling van de PVV) een onderzoek is gestart. Ook kleine ondernemingen moeten dus bedacht zijn op controle door de AP.

Stel je vragen aan onze specialisten

“Neem contact met mij op en ontvang antwoord op jouw vragen. Ik ben bereikbaar per mail of telefoon.”
Joost Mosselman