"Voor futureproof ondernemen in flex"
SLUIT MENU

Na een jaar AVG, hoe zit het nu met die torenhoge boetes?

Jeroen van Puijenbroek
Jeroen van Puijenbroek

Na een jaar AVG, hoe zit het nu met die torenhoge boetes?

Column door Jeroen van Puijenbroek, bestuurslid Stichting AVG Garant

De Stichting AVG Garant heeft een AVG-norm ontwikkeld waartegen bedrijven ge-audit kunnen worden. Bij een positief resultaat ontvangen de bedrijven een keurmerk en worden ze ingeschreven in een register. Hiermee kunnen bedrijven aantonen dat ze integer omgaan met de AVG. In een serie blogs gaan we periodiek in op bepaalde beleidspunten uit de norm of andere AVG zaken.

Wilt u reageren of meer informatie? Dat kan via: info@avggarant.nl.

In mijn vorige blog gaf ik aan dat we in mei jl. de eerste verjaardag van AVG hebben gevierd. Eigenlijk is de AVG al drie jaar oud, maar om bedrijven de tijd te geven de nieuwe regels te implementeren wordt er pas sinds mei 2018 gehandhaafd.

Vanwege haar verjaardag is er de afgelopen maanden weer veel aandacht aan de AVG besteed. Wat wilde de AVG ook al weer regelen? Wat gaat er goed, en wat vooral niet. En waar is de Autoriteit Persoonsgegevens (AP)? Die zou toch gaan handhaven en flinke boetes uitdelen? Daar deden we het toch allemaal voor, om die boetes te vermijden? In deze blog besteed ik daarom aandacht aan de “doeltreffende, evenredige en afschrikwekkende straffen” die de toezichthouders zouden gaan opleggen.

1. Welke sanctiemogelijkheden zijn er op grond van de wet?
De AVG kent uitgebreide mogelijkheden voor de toezichthouders om de AVG te handhaven. Ze zijn niet alleen verplicht om klachten af te handelen, maar ze hebben ook uitgebreide onderzoeksbevoegdheden en kunnen corrigerende maatregelen nemen: van het geven van waarschuwingen, via het opleggen van geldboetes, tot het stopzetten van de verwerkingen. Ten behoeve van grensoverschrijdende overtredingen werken de toezichthouders samen. De maximale geldboetes bedragen 20 miljoen euro of 4% van de wereldwijde omzet. Dit bedrag geldt voor overtredingen van de privacy-beginselen: denk aan het verwerken van persoonsgegevens zonder dat betrokkenen dit weten (transparantie) of aan het niet verwijderen van data nadat ze niet meer nodig zijn (opslagbeperking). Een lager boetebedrag (max. 10 miljoen euro of 2%) geldt indien formele verplichtingen niet worden nageleefd. Denk aan het niet hebben van een verwerkersovereenkomst of een register van verwerkingsactiviteiten.

2. Hoe heeft de AP dit uitgewerkt?
De AP heeft in maart 2019 haar boetebeleid in regels vastgelegd. De hoogte van een boete verschilt per type overtreding. De AP heeft de overtredingen van de AVG ingedeeld in vier boetecategorieën in plaats van de hierboven genoemde twee categorieën (max. 10 òf max 20 mln. euro).

Per boetecategorie is een bandbreedte en een basisbedrag boete vastgesteld. De basisboete kan vervolgens verhoogd of verlaagd worden aan de hand van een aantal factoren. Bijvoorbeeld de aard, ernst en duur van de overtreding, het aantal betrokkenen en de omvang van de schade. Ook is van belang in hoeverre de overtreding aan de overtreder kan worden verweten en of er sprake is van recidive. Bij recidive volgt in principe een verhoging met 50%.

Categorie Bandbreedte Basisbedrag boete Voorbeeld
I € 0 – € 200.000  € 100.000
  • Het niet bekend hebben gemaakt van de contactgegevens van de FG;
II € 120.000 – € 500.000 € 310.000
  • Het niet voldoen aan verplichtingen van verwerkersovereenkomst of verwerkingsregister;
  • Het niet op orde hebben van passende beveiliging.
III € 300.000 – € 750.000 € 525.000
  • Het niet informeren betrokkenen over verwerking;
  • Het verwerken van data buiten Europa zonder waarborgen;
  • Het niet tijdig wissen van persoonsgegevens;
  • Het niet juist inregelen van toestemming.
IV € 450.000 – € 1.000.000 € 725.000
  • Het onrechtmatig verwerken van bijzondere persoonsgegevens of BSN;
  • Het onrechtmatig gebruik van profilering.

 

U ziet het. De basisboetes blijven ver weg van de boetes van 20 miljoen euro. Deze boetes zijn slechts aan de orde als de berekende boetes niet passend zijn. Dit zal met name spelen bij de grote internationale bedrijven die veel data verwerken.

3. Waarom horen we zo weinig van boetes?
Onlangs gaf verantwoordelijk Eurocommissaris Jourova aan dat het geen race is wie de hoogste boetes geeft. Belangrijk is dat de kwaliteit van het onderzoek goed is. De besluiten van de toezichthouders vragen daarom tijd. Niet alleen omdat het vaak complexe materie is, maar ook omdat deze besluiten bestand moeten zijn tegen mogelijke beroep bij de rechterlijke macht. Een gemiddeld onderzoek schijnt zo’n 9 maanden te duren voordat er de toezichthouder een maatregel treft. Maar Jourova zegt ook: “a robust enforcement is coming”. En dat is ook de inzet van onze eigen Autoriteit. Aleid Wolfson geeft in zijn jaarverslag aan dat er tot nu toe vooral geïnvesteerd is in voorlichting, maar dat ze nu ook steviger gaan inzetten op handhaving. En het helpt hierbij dat hun budget wordt verruimd met 3,5 miljoen euro.

En intussen zitten de toezichthouders ook weer niet stil. Hieronder een overzicht van enkele boetes.

Organisatie Boetes
Ziekenhuis De snelste boete: De Portugese toezichthouder (CNPD) heeft binnen enkele maanden na de introductie van de AVG het ziekenhuis Hospital de Barreiro een boete van € 400.000 opgelegd omdat patiëntgegevens door 1.000 mensen in te zien waren terwijl er minder dan 300 artsen werken.
Google De Franse toezichthouder (CNIL) heeft Google een boete opgelegd van 50 mln. euro vanwege het niet onvoldoende helder maken aan betrokkenen welke gegevens er worden opgeslagen.
British Airways De hoogste boete: De Engelse toezichthouder (ICO) heeft BA een boete opgelegd van bijna 200 mln. euro vanwege slechte informatiebeveiliging dat resulteerde in een web skimming aanval die 500.000 klanten heeft geraakt.
Mariott Int. De Engelse toezichthouder (ICO) heeft Mariott een boete opgelegd van bijna 100 mln. euro wegens onvoldoende due dillegence onderzoek bij de overname van de Starwood hotels group wiens systemen in 2014 zijn geïnfecteerd geraakt. Dit heeft uit eindelijk geleid tot een datalek van de gegevens van 339 mln. gasten
Uber Niet tijdig melden van een datalek. Omdat de gebeurtenis plaatsvond onder het oude wettelijke regime, de Wet bescherming persoonsgegevens (Wbp), heeft de AP een ‘beperkte’ boete opgelegd van 600.000 euro.
Menzis Medewerkers konden bij (medische) gegevens, terwijl dat niet nodig was voor hun functie. Menzis zelf spreekt van een boete, maar formeel ging het om een last onder dwangsom. Deze betaal je alleen als je de aanwijzing niet opvolgt.
Belastingdienst Er is een verwerkingsverbod opgelegd aan de Belastingdienst voor de verwerking van het BSN in het btw-identificatienummer van zelfstandigen.
HagaZiekenhuis Eerste boete AP: De AP legt haar eerste AVG-boete (460.000 euro) op aan het HagaZiekenhuis vanwege het onvoldoende implementeren van beveiligingsmaatregelen bij medische gegevens. 85 medewerkers hebben onbevoegd het medisch dossier van een bekende Nederlander ingezien. Dit incident heeft het Haga Ziekenhuis als datalek gemeld.
Pricewaterhouse Coopers De laatste boete: de Griekse autoriteit heeft PWS een boete van 150.000 euro opgelegd wegens het onrechtmatig verwerken van personeelsgegevens.

 

4. Wat kan er zoal fout gaan bij arbeidsbemiddeling?
Maar dit zijn toch geen bedrijven uit onze sector? Kan het daar dan nooit fout gaan?
Het kan natuurlijk overal fout gaan. En de AP houdt de bemiddelingssector echt wel in de gaten. Er worden immers veel persoonsgegevens inclusief gevoelige verwerkt. Haar handhaving zal ze deels baseren op alles wat ze binnen krijgt. Zo komen er jaarlijks 11.000 privacy klachten, 4.000 tips en 21.000 datalekmeldingen binnen. Daarvan zijn er ongetwijfeld ook uit de bemiddelingsbranche.

Wat datalekken betreft binnen de bemiddelingssector: vijf minuten googlen laat de volgende datalekken zien: Jobrecruitment, Michael Page, Page Up en Randstad.

5. AVG Garant
Om maatregelen of boetes van de autoriteit te voorkomen is het verstandig de zaken goed op orde te hebben. Van belang is ook dat je dit kunt aantonen. Met de privacynorm van de stichting AVG Garant kun je controleren of je je zaakjes goed op orde hebt. Neem contact met me op als je meer wilt weten.

Jeroen van Puijenbroek, bestuurslid Stichting AVG Garant

Zie ook
Overgangsperiode BSN in btw-nummer ZZP’ers
Stichting AVG Garant: privacy normeren
The Adecco Group implementeert AVG
Gevolgen privacywet AVG voor uitzendbureaus
AVG Oké Flex, toolbox, advies en e-learning
10.000 datalekken in 2017 gemeld bij AP

Jeroen van Puijenbroek is bestuurslid van de Stichting AVG Garant en directeur van 2Privacy. Daarnaast levert hij FG as a service.