Zeven jaar AVG: een streng, maar rechtvaardig toezicht

Zeven jaar na de invoering van de Algemene Verordening Gegevensbescherming (AVG) is het duidelijk: privacywetgeving is geen papieren tijger, maar een krachtige realiteit die organisaties dwingt tot transparantie, zorgvuldigheid en verantwoording. Sinds 2018 heeft de Autoriteit Persoonsgegevens tientallen boetes opgelegd – niet alleen aan grote techbedrijven, maar ook aan sportbonden, politieke partijen en zelfs de overheid. Hieronder bespreken we zeven sprekende cases die samen een helder beeld geven van hoe de AVG in de praktijk wordt gehandhaafd en wat er gebeurt als het fout gaat.

Boete 1: Uber meldt te laat een datalek (€ 600.000)

In 2016 werd Uber slachtoffer van een grootschalig datalek waarbij wereldwijd gegevens van 57 miljoen gebruikers op straat kwamen te liggen, onder wie 174.000 Nederlanders. De persoonlijke informatie – waaronder namen, e-mailadressen en telefoonnummers – belandde in handen van hackers. In plaats van het lek direct te melden bij de autoriteiten, koos Uber ervoor om 100.000 dollar zwijggeld te betalen en de situatie geheim te houden. Daarmee werd de wettelijke meldplicht ernstig geschonden. Pas een jaar later kwam het incident aan het licht. Omdat snelle meldingen bij zowel de Autoriteit Persoonsgegevens als de betrokkenen verplicht zijn, was er sprake van een overtreding. De Autoriteit Persoonsgegevens legde dan ook een boete van 600.000 euro op. Hoewel het lek zich vóór de invoering van de AVG voor heeft gedaan, was ook toen al sprake van een meldplicht (op basis van de Wet bescherming persoonsgegevens). Deze zaak wordt nog altijd beschouwd als een klassiek voorbeeld van hoe het niet moet.

Boete 2: Onvoldoende beveiliging bij HagaZiekenhuis (€ 350.000)

In juni 2019 kreeg het HagaZiekenhuis een boete van 460.000 euro door structurele tekortkomingen in de beveiliging van medische gegevens. De Autoriteit Persoonsgegevens stelde vast dat het ziekenhuis jarenlang geen gebruik had gemaakt van tweefactor-authenticatie voor de toegang tot patiëntendossiers. Ook werden logbestanden nauwelijks gecontroleerd. Dit betekende dat het ziekenhuis niet adequaat kon nagaan wie toegang heeft gehad tot gevoelige informatie. De overtreding kwam aan het licht nadat bekend werd dat meerdere medewerkers zonder behandelrelatie het medisch dossier van een bekende Nederlander hadden ingezien. Uiteindelijk werd de boete in bezwaar verlaagd tot 350.000 euro.

Boete 3: KNLTB verkocht persoonsgegevens leden aan sponsoren (€ 525.000)

Op 20 december 2019 ontving de Koninklijke Nederlandse Lawn Tennisbond (KNLTB) een boete van 525.000 euro voor het ongeoorloofd verstrekken van persoonsgegevens van leden aan commerciële partijen. De bond had gegevens van haar leden verkocht aan twee sponsoren, zodat zij de leden konden benaderen met marketingaanbiedingen. Hierbij was er sprake van een opt-outregeling voor het delen van persoonsgegevens. Bovendien werd de verwerking gebaseerd op het ‘gerechtvaardigd belang’, dus zonder individuele toestemming. De Autoriteit Persoonsgegevens oordeelde (terecht) dat een zuiver commercieel doel onvoldoende rechtvaardiging biedt voor deze grondslag. Volgens de toezichthouder had de bond voorafgaande toestemming moeten vragen aan de betrokkenen.

Boete 4: PVV Overijssel heeft politieke voorkeuren onbedoeld openbaar gemaakt (€ 7.500)

Op 16 juni 2020 legde de Autoriteit Persoonsgegevens een boete van 7.500 euro op aan de Overijsselse afdeling van de PVV, dit wegens het niet melden van een datalek. De aanleiding was een e-mailuitnodiging die naar 101 personen werd verstuurd, waarbij alle ontvangers zichtbaar waren in het aan-veld. Gezien de aard van de uitnodiging kan dit duiden op de politieke voorkeur van de ontvangers. Politieke voorkeur geldt als een bijzonder persoonsgegeven onder de AVG, waarvoor strengere regels gelden. Hoewel de fout werd opgemerkt en excuses werden aangeboden, is de melding aan de toezichthouder uitgebleven. De AP achtte dit een ernstige inbreuk op artikel 33 AVG. Binnen de oorspronkelijke boetecategorie was er sprake van een basisbedrag van 525.000 euro, maar dit werd uiteindelijk verlaagd naar 7.500 euro ten gevolge van de beperkte draagkracht van de organisatie. Daarmee laat de AP in ieder geval zien dat ook kleinere organisaties niet buiten schot blijven bij schendingen van de meldplicht.

Boete 5: LocateFamily voor het ongevraagd publiceren van persoonsgegevens (€ 525.000)

In december 2020 kreeg de website LocateFamily.com een boete van 525.000 euro opgelegd door de Autoriteit Persoonsgegevens. De reden: het platform publiceerde zonder toestemming persoonsgegevens van honderdduizenden Nederlanders en dit zonder het aanstellen van een vertegenwoordiger binnen de Europese Unie. Dit is verplicht voor buitenlandse organisaties die gericht zijn op Europese gebruikers. Door het ontbreken van zo’n aanspreekpunt konden de betrokkenen hun privacyrechten niet uitoefenen, zoals het recht op inzage of verwijdering van gegevens. In totaal stonden er ongeveer 700.000 Nederlanders op de site vermeld, soms met naam, adres en telefoonnummer. Opvallend is dat deze forse boete nooit werd geïnd. De AP kon simpelweg niet achterhalen waar LocateFamily gevestigd is.

Boete 6: Politie voor het gebruiken van MCA‘s zonder beoordeling (€ 30.000)

In november 2022 kreeg de Nationale Politie een boete opgelegd van 50.000 euro vanwege het ontbreken van een gegevensbeschermingseffectbeoordeling (GEB) bij het inzetten van Mobiele Camera Auto’s (MCA’s) in Rotterdam. Deze voertuigen werden aan het begin van de coronacrisis gebruikt om onder andere het samenscholingsverbod te handhaven. Doordat de MCA’s mensen in de openbare ruimte konden filmen, was er sprake van een verplichting tot voorafgaande risicoanalyse. De boete werd later door de rechter verlaagd naar 30.000 euro, omdat er slechts op één dag daadwerkelijk verwerking van persoonsgegevens had plaatsgevonden. Hoewel de technologie op zich niet nieuw was, achtte de rechtbank het gebruik ervan in dit specifieke, rijdende toezichtkader wél risicovol voor de privacy van burgers.

Boete 7: Ambitious People voor negeren verwijderverzoeken (€ 6.000)

Het recruitmentbedrijf Ambitious People kreeg in 2020 een boete van € 6.000 voor het niet correct afhandelen van drie verwijderverzoeken. Hoewel het bedrijf beschikte over een privacybeleid en in totaal meer dan 650 verzoeken wél correct verwerkte, bleek uit onderzoek van de Autoriteit Persoonsgegevens dat drie betrokkenen meermaals tevergeefs om de verwijdering van hun gegevens vroegen. Ze werden zelfs na hun verzoeken opnieuw benaderd voor vacatures. De Raad van State oordeelde dat er sprake was van nalatigheid, mede omdat de fout zich bij meerdere dochterondernemingen voordeed. De eerder verzonden waarschuwingsbrieven van de AP werden bovendien genegeerd of kregen onvoldoende follow-up. Het interne beleid bleek in de praktijk ook niet sluitend.

Zware boetes voorkomen met de hulp van MKBrecht.nl

De besproken boetes illustreren de breedte van de AVG en de impact ervan op uiteenlopende organisaties: van multinationals tot sportbonden en van politieke partijen tot overheidsdiensten. Wat opvalt, is dat niet alleen opzettelijke schendingen worden beboet, maar ook nalatigheid, onwetendheid of gewoon een slechte organisatie. In al deze gevallen staat de bescherming van de burger centraal. Wat ook opvalt: de Autoriteit Persoonsgegevens toont zich niet alleen als waakhond, maar ook als opvoeder. Wie meewerkt, fouten erkent en zijn processen verbetert, komt doorgaans weg met een gematigde sanctie. Maar wie dat niet doet, wordt streng bestraft. Wie wordt geconfronteerd met een waarschuwingsbrief van de Autoriteit Persoonsgegevens kan dan ook maar beter meteen juridische hulp inschakelen. De experts van MKBrecht.nl helpen u graag verder.