Vandaag is het drie jaar geleden dat de AVG van toepassing is geworden. Reden voor een korte balans. Wat heeft de AVG ons de afgelopen tijd gebracht? Hoe heeft de Autoriteit Persoonsgegevens zich ontwikkeld als toezichthouder?
Boetes
Eén van de meest besproken onderwerpen bij inwerkingtreding van de AVG was de (verruimde) bevoegdheid voor de toezichthouders om boetes op te leggen. De maximale boete volgens de AVG is € 20.000.000 of 4% van de wereldwijde jaaromzet, als dat bedrag hoger uitkomt.
In Nederland heeft de AP zich in de eerste periode na inwerkingtreding van de AVG vooral gericht op het verhogen van het privacy bewustzijn bij organisaties en betrokkenen. Als we nu kijken naar de stand van zaken, zien we dat het aantal boetes het afgelopen jaar flink is opgelopen. De opgelegde boetebedragen liggen niet in de miljoenen, maar zijn desalniettemin niet mals.
Een kort overzicht van de gepubliceerde boetebesluiten:
- Bureau Krediet Registratie (BKR) € 830.000 – berekenen van kosten inzageverzoek (juli 2020)
- Bedrijf X € 725.000 – toegangscontrole personeel met vingerafdrukken (april 2020)
- Uber € 600.000 – te laat melden datalek (november 2018)
- Gemeente Enschede € 600.000 – wifi tracking (april 2021)
- VoetbalTV € 575.000 (door rechter vernietigt, AP in hoger beroep) – geen gerechtvaardigd belang verwerking persoonsgegevens (november 2019)
- LocateFamily.com € 525.000 – ontbreken vertegenwoordiger EU (mei 2021)
- KNLTB € 525.000 – verkoop ledengegevens (maart 2020)
- Booking.com € 475.000 – te laat melden datalek (maart 2021)
- Haga ziekenhuis € 460.000 (door rechter gematigd tot € 350.000) – interne beveiliging patiëntendossiers (juli 2019)
- OLVG ziekenhuis € 440.000 – interne beveiliging patiëntendossiers (februari 2021)
- CP&A € 15.000 – privacyschending zieke werknemer (mei 2021)
- PVV Overijssel € 7.500 – niet melden datalek (mei 2021)
Komende tijd wordt over een deel van deze boetbesluiten (verder) geprocedeerd. Interessant om te volgen is hoe het handhavings- en boetebeleid van de AP de toets van de rechter kan doorstaan.
Boetebeleidsregels AP
Sinds maart 2019 hanteert de AP nieuwe boetebeleidsregels. Uitgangspunt is een basisboete die kan worden verlaagd of verhoogd, afhankelijk van de omstandigheden van het geval. Dat het voor verwerkingsverantwoordelijken kan lonen om zich in de boetebeleidsregels te verdiepen, volgt uit de uitspraak van de rechtbank Den Haag van 31 maart 2021 (ECLI:NL:RBDHA:2021:3090). Hier matigt de rechtbank de door de AP aan het Haga ziekenhuis opgelegde boete met € 110.000, omdat het ziekenhuis gedurende de bezwaarfase diverse maatregelen had genomen. Deze maatregelen tonen volgens de rechtbank in ieder geval de bereidwilligheid om met de problematiek in de organisatie aan de slag te gaan en nuanceren de nalatigheid die het ziekenhuis wordt verweten.
Datalekken
Zoals ook vrijwel elke dag uit de media (recent bijvoorbeeld het GGD datalek, in de autobranche en bij Allekabels.nl) volgt, komen datalekken niet alleen vaak voor, maar leiden ze ook geregeld tot boetes. Boetes in verschillende omvang, zoals wel blijkt uit bovenstaande lijst. De AP ontving in 2018 20.881 datalekmeldingen, in 2019 27.095 en in 2020 24.055.
Uit het boeteoverzicht volgt dat zowel het niet melden als het te laat melden van een datalek tot handhaving kan leiden. Dat kleinere organisaties hierbij niet gespaard worden volgt uit de boete van de PVV Overijssel vanwege het niet melden van een onjuist verzonden e-mail aan het gehele adressenbestand, zodat alle e-mailadressen voor alle ontvangers zichtbaar waren. Hierdoor werden de politieke opvattingen van de geadresseerden gedeeld.
Andere handhavingsinstrumenten AP
Naast het opleggen van boetes kan de AP ook op andere wijze de AVG handhaven, bijvoorbeeld door het opleggen van een last onder dwangsom. Dit instrument leent zich niet voor alle overtredingen van de AVG, bijvoorbeeld niet voor het niet melden van een datalek, maar wel voor te nemen beveiligingsmaatregelen. De AP heeft in 2018 vier maal een last onder dwangsom opgelegd, in 2019 en 2020 slechts twee maal. Meestal ging het om gebrekkige beveiliging, een enkele keer om het niet voldoen aan een inzageverzoek of het opvragen van teveel medische gegevens.
Hoge cijfers laat de AP zien bij de interventies, waarbij de AP in een brief of in een gesprek de dialoog met een organisatie aangaat om de overtreding te beëindigen. Dit soort interventies kunnen al volstaan, waardoor verdere handhaving niet noodzakelijk is. Ook kan de AP een verwerkingsverbod opleggen, of een berisping of waarschuwing. Tot slot kan de AP het toezicht op een verwerkingsverantwoordelijke verzwaren, zoals zij recent heeft gedaan bij een Nederlandse gemeente die na ruim twee jaar AVG nog geen privacybeleid had vastgesteld.
Organisatie AP
De afgelopen tijd is tot slot veel te doen over de organisatie van de AP. De wachttijden en doorlooptijden van onderzoeken zijn veel te lang. Veel klachten blijven op de plank liggen. Of de AP daadwerkelijk aanvullend budget krijgt, is aan het nieuwe kabinet. Na het GGD datalek stemde de Tweede Kamer weliswaar in met een budgetverhoging, maar minister Dekker laat deze beslissing aan zijn opvolger, omdat hij niet weet hoeveel budget de AP daadwerkelijk nodig heeft om efficiënter te gaan werken. De AP zelf becijfert haar gewenste budget in een brief aan informateur Hamer op € 100 miljoen, een verviervoudiging ten opzichte van haar huidige budget. Investeringen zijn volgens de AP noodzakelijk voor burgers en bedrijfsleven in een steeds verder digitaliserende samenleving. Goed toezicht vergroot volgens de AP ook het vertrouwen in de overheid.
Met name met dit laatste aspect probeert de AP een gevoelige snaar te raken bij het nieuwe kabinet. De AP is op dit moment bijvoorbeeld nog altijd bezig met het onderzoekstraject naar de werkwijze van de afdeling Toeslagen van de Belastingdienst. Dergelijke omvangrijke onderzoeken nemen natuurlijk een enorm beslag op een organisatie, waardoor onvoldoende ruimte is voor onderzoeken naar andere privacyklachten.
Onderzoek toezichthouder
Wordt u geconfronteerd met vragen of een onderzoek door de AP? De specialisten van Nysingh hebben veel ervaring met onderzoeken door toezichthouders. Onze ervaring is dat bijstand vanaf het begin van groot belang is. Het is zaak om zo snel mogelijk inzicht in uw positie te verkrijgen en de strategie te bepalen. Ook hanteren wij een draaiboek voor onderzoeken en invallen voor praktische houvast.