05 jun AVG bestaat vijf jaar, boetes bij privacy-overtredingen zijn niet mals
De AVG viert binnenkort haar eerste lustrum. Sinds 25 mei 2018 zijn organisaties in Nederland verplicht te voldoen aan de Algemene Verordening Gegevensbescherming (AVG). Dat is niet altijd makkelijk, dus het gaat ook wel eens mis. Wie het slachtoffer wordt van een AVG-blunder, kan een klacht indienen bij de Autoriteit Persoonsgegevens. Die heeft de bevoegdheid om forse boetes op te leggen aan organisaties die de AVG overtreden.
Het was de afgelopen jaren even wennen aan de AVG. Dat de naleving van deze verordening niet altijd helemaal lukte, blijkt uit de aantallen klachten die bij de Autoriteit Persoonsgegevens zijn ingediend sinds 2018. In het eerste jaar waarin de AVG van kracht was, kwamen er 15.600 klachten binnen. In de jaren daarna is dat gestegen tot boven de 25.000 klachten per jaar. De Autoriteit Persoonsgegevens had het er in 2021 zelfs zó druk mee, dat het telefonische loket voor klachten een deel van de tijd werd gesloten.
Pittige eisen
Dat er wel eens wat fout gaat bij het naleven van de regels uit de AVG, is niet vreemd. De verordening legt aan organisaties een heleboel verplichtingen op, die best complex zijn.
Organisaties moeten precies vastleggen welke persoonsgegevens ze verwerken en voor welke doelen. De formulering van die doelen mag niet te ruim en niet te vaag zijn. Vervolgens moeten organisaties zich strikt houden aan de verwerkingen en de doelen die ze vastgelegd hebben en daar niet buiten gaan; ook niet per ongeluk. In grote organisaties met veel medewerkers is dat niet altijd makkelijk te beheersen. De door de AVG beoogde privacybescherming houdt namelijk ook in dat een organisatie zijn eigen medewerkers niet continu op de vingers mag kijken.
Elke organisatie moet ook tot in detail begrijpen – en voortdurend monitoren – hoe de persoonsgegevens in hun organisatie beveiligd zijn, waar deze opgeslagen worden en welke partijen daar (in potentie) bij kunnen. Dat is ingewikkelder dan het misschien lijkt. Bijna iedere organisatie maakt gebruik van online tools, SaaS-toepassingen of cloudopslag en de aanbieders van dat soort diensten (‘verwerkers’, volgens de AVG) maken meestal op hun beurt gebruik van verschillende hulpdiensten (‘subverwerkers’). Niet zelden zijn verwerkers en subverwerkers onderdeel van grote multinationals (internationale concerns). Organisaties moeten bij elke dienstverlener die ze willen inschakelen voor persoonsgegevensverwerking uitpluizen hoe de keten van concernvennootschappen en subverwerkers eruitziet en voor elke partij in die keten controleren of de persoonsgegevens daar in veilige handen zijn.
Tegenover de mensen over wie een organisatie persoonsgegevens verwerkt (‘betrokkenen’), moet de organisatie transparant zijn over wat er met hun persoonsgegevens gebeurt. De organisatie moet gedetailleerde en volledige informatie geven, óók over complexe onderwerpen zoals beveiliging, verwerkers en subverwerkers en alle landen waar persoonsgegevens terecht kunnen komen. Maar tegelijkertijd zegt de AVG dat de informatie overzichtelijk en eenvoudig te begrijpen moet zijn.
Op grond van de AVG hebben alle mensen het recht om bij elke organisatie te vragen welke persoonsgegevens die organisatie over ze verwerkt en te verlangen dat de organisatie aantoont dat dit volgens de regels van de AVG gebeurt. Het beantwoorden van dit soort vragen is aan strenge tijdslimieten gebonden. Organisaties mogen niet weigeren om te antwoorden en ze mogen de drempel voor het krijgen van inzage in persoonsgegevens niet te hoog maken (niet standaard om legitimatie met een paspoort vragen, bijvoorbeeld). Maar het is uiteraard ook niet toegestaan om mensen (per ongeluk) inzage te geven in de persoonsgegevens van een ander.
De bovengenoemde voorbeelden zijn nog maar een deel van de verplichtingen. Er zijn ook verplichtingen voor interne vastlegging van beleid, belangenafwegingen en risicobeoordelingen. Er zijn strenge voorschriften voor het reageren op datalekken. Enzovoort.
Kortom: de AVG-regels zijn complex, soms onderling tegenstrijdig en de naleving luistert nauw.
Boetes
Wie in de fout gaat, loopt risico op sancties van de Autoriteit Persoonsgegevens. Sancties kunnen bestaan uit een formele waarschuwing, een instructie om een misstand te corrigeren onder dreiging van een dwangsom, maar er kunnen ook boetes worden opgelegd. De allereerste boete die de Autoriteit Persoonsgegevens oplegde na de invoering van de AVG, was aan de Nederlandse vestiging van Uber (boete € 600.000,00), omdat Uber een datalek niet binnen 72 uur aan de Autoriteit Persoonsgegevens had gemeld.
De volgende was het Haga Ziekenhuis (boete € 460.000,00), omdat het ziekenhuis niet goed genoeg monitorde welke medewerkers in welke patiëntendossiers keken. Daardoor kon het gebeuren dat medewerkers uit nieuwsgierigheid in een dossier neusden, terwijl dat voor hun werk niet nodig was.
De hoogste boetes in Nederland waren tot nu toe voor de Belastingdienst: 2,75 en 3,7 miljoen euro, voor het jarenlang bijhouden van onterechte fraudeverdenkingen op discriminerende gronden (kinderopvangtoeslagaffaire en Fraude Signalering Voorziening).
Maar er zijn ook kleinere organisaties gecontroleerd en beboet. Om het risico te lopen op een boete hoeft het echt niet altijd om grootschalige misstanden of moedwillige onzorgvuldigheid te gaan.
Zo kreeg bijvoorbeeld een lokale afdeling van een politieke partij een boete opgelegd voor het niet melden van een datalek. Een medewerker had per ongeluk alle geadresseerden van een uitnodiging voor een ‘achterbanbijeenkomst’ in de ‘cc’-regel gezet in plaats van ‘bcc’. Zo kregen 101 mensen elkaars e-mailadres te zien en konden ze meteen elkaars politieke voorkeur raden. De leiding van de afdeling meende dat het niet zo erg was dat de (politiek gelijkgestemde) genodigden elkaars e-mailadressen hadden gezien en deed geen datalekmelding bij de Autoriteit Persoonsgegevens. De Autoriteit Persoonsgegevens vond het lek echter wél ernstig en legde een boete van € 7.500,00 op. Dat is een stuk lager dan de boete die Uber kreeg voor het niet-melden van een datalek, maar toch een dure vergissing voor zo’n kleine organisatie.
Een recenter voorbeeld is een orthodontiepraktijk, die zich niet realiseerde dat ze een ouderwetste website had. De website had geen https-verbinding en de communicatie met de webserver werd dus niet versleuteld. Ergens op de website stond een formulier waar nieuwe patiënten zich konden aanmelden. Als mensen dat formulier zouden gebruiken, zouden anderen de via het formulier verzonden informatie (medische gegevens en BSN’s) kunnen afkijken. Het aanmeldformulier werd maar heel weinig gebruikt en het is bij ontdekking van het versleutelingsgebrek snel offline gehaald, maar de Autoriteit Persoonsgegevens nam de zaak toch hoog op. Boete: € 12.000,00.
Ook in dit geval geldt: vergeleken bij de boetes van tonnen en soms miljoenen die worden opgelegd aan grotere organisaties, is dat een bescheiden bedrag. Maar het is toch een vervelende straf voor een enkele technische fout, waar de organisatie zich niet van bewust was. In de beslissing van de Autoriteit Persoonsgegevens speelde mee dat voor organisaties in de gezondheidszorg concretere eisen gelden voor beveiliging van hun IT-systemen (toepassing van de ISO-norm 7510 is bijvoorbeeld verplicht bij verwerking van het BSN). De orthodontiepraktijk had haar interne systemen ook wel op orde, maar ze had het aanmeldformulier op de website over het hoofd gezien.
Schandpaal
Het is mogelijk om in blogs zoals deze in detail te vertellen over de boetes die door de Autoriteit Persoonsgegevens zijn opgelegd. Dat komt doordat de boetebesluiten online worden gepubliceerd, met alle feiten van de casus erin. En (op een enkele uitzondering na) ook met de naam van de bestrafte organisatie erbij. De financiële impact is dus niet het enige nadeel van een boete. Je komt er ook vervelend mee in het nieuws.
Daarom concludeert onze privacyrechtadvocaat Inge Lakwijk: “In de afgelopen vijf jaar hebben we kunnen ervaren dat het inrichten en monitoren van de persoonsgegevensbescherming conform de AVG ingewikkeld en bewerkelijk kan zijn. Maar het is wel belangrijk. Het is ook in het eigen belang van je organisatie om er de noodzakelijke aandacht aan te besteden, want daar kun je boetes, reputatieschade en een heleboel stress mee voorkomen.”
Vragen
Heeft u vragen over de AVG en het AVG compliant maken van uw organisatie? Neem dan gerust contact op met Inge Lakwijk. Ze staat klaar om u verder te helpen.