3 jaar AVG: een overzicht van de boetes van de Autoriteit Persoonsgegevens tot nu toe

Inclusief relevante rechtspraak over het commercieel belang en verwerking van persoonsgegevens buiten de EER

Drie jaar na de inwerkingtreding van de AVG (per 25-05-2018) leek het ons aardig eens terug te blikken. De Autoriteit Persoonsgegevens (“AP”) is inmiddels op dreef met het opleggen van boetes voor het overtreden van de privacywet. Zo is recentelijk aan diverse partijen, zoals het OLVG, Booking.com, de gemeente Enschede, PVV Overijssel, LocateFamily.com en de CP&A een boete opgelegd en de boetes lopen aardig op. Daarnaast zien wij steeds meer gerechtelijke procedures over de AVG.

De boetes zijn opgelegd om uiteenlopende redenen. Wij vonden het tijd voor een overzicht. En nog belangrijker, welke voorlopige conclusies kunnen we hieruit trekken? Naast het geven van een overzicht van de tot nu toe opgelegde boetes, besteden wij nog aandacht aan twee recente ontwikkelingen op het gebied van marketing en privacy en de verwerking van persoonsgegevens door entiteiten buiten de EU (of feitelijk: de EER).

Overzicht boetes tot op heden

2018

• In 2016 vond bij het Uber-concern een datalek plaats. Onbevoegden konden hierdoor toegang krijgen tot persoonsgegevens van klanten en chauffeurs. Er is een boete van 600.000 euro opgelegd, omdat Uber het datalek niet binnen 72 uur heeft gemeld (AP legt Uber boete op voor te laat melden datalek | Autoriteit Persoonsgegevens).

2019

• Uit onderzoek van de AP bleek dat 85 medewerkers van het HagaZiekenhuis de medische gegevens van een bekende Nederlander hadden ingezien zonder dat sprake was van een zorg- of behandelrelatie. Er was sprake van onvoldoende beveiliging en hier werd een boete van 460.000 euro en een last onder dwangsom opgelegd om te zorgen dat het HagaZiekenhuis de beveiliging spoedig zou verbeteren. Tweefactor-authenticatie en het controleren van logbestanden (inzage) werd noodzakelijk bevonden (Haga beboet voor onvoldoende interne beveiliging patiëntendossiers | Autoriteit Persoonsgegevens).

• Let wel: de rechtbank Den Haag heeft de opgelegde boete van de AP onlangs verlaagd van 460.000 naar  350.000 euro. Kort samengevat werd hierbij van belang geacht dat het HagaZiekenhuis wel de nodige maatregelen tot verbetering had getroffen (http://deeplink.rechtspraak.nl/uitspraak?id=ECLI:NL:RBDHA:2021:3090).

2020

• Tennisbond KNLTB kreeg een boete voor het verkopen van persoonsgegevens van leden aan twee sponsoren. Hiervoor was geen toestemming verkregen en de AP vond dat geen sprake was van een gerechtvaardigd belang van de bond. Derhalve ontbrak een verwerkingsgrondslag en was de verwerking onrechtmatig. De boete bedroeg 525.000 euro (Boete voor tennisbond vanwege verkoop van persoonsgegevens | Autoriteit Persoonsgegevens).
• De AP legde een bedrijf 725.000 euro boete op voor het verwerken van vingerafdrukken van haar werknemers voor aanwezigheids- en tijdregistratie. Het bedrijf kan zich niet op een hiervoor wel benodigde uitzonderingsgrond beroepen voor het verwerken van dit soort biometrische gegevens (Boete voor bedrijf voor verwerken vingerafdrukken werknemers | Autoriteit Persoonsgegevens).
• Stichting Bureau Krediet Registratie (BKR) kreeg een boete opgelegd voor het opwerpen van te hoge drempels voor de uitoefening van het recht op inzage in persoonsgegevens door betrokkenen. De BKR vroeg een vergoeding voor het opvragen van persoonsgegevens en bood de mogelijkheid maximaal een keer per jaar. De boete hiervoor bedroeg 830.000 euro (Boete voor BKR vanwege kosten bij inzage persoonsgegevens | Autoriteit Persoonsgegevens).

2021

• Ook het OLVG Ziekenhuis kreeg een boete opgelegd wegens het ontbreken van afdoende beveiligingsmaatregelen m.b.t. patiëntgegevens. Er werd (ook in dit geval) een boete van 440.000 euro opgelegd, wegens het ontbreken van tweefactor-authenticatie en goede logging met daadwerkelijke controle daarvan (Ziekenhuis OLVG beboet om onvoldoende beveiliging medische dossiers | Autoriteit Persoonsgegevens).
• Booking.com heeft een boete opgelegd gekregen voor het niet tijdig melden van een datalek. De opgelegde boete bedroeg 475.000 euro. Het feit dat criminelen toegang hadden gekregen tot gegevens van klanten, werd pas 22 dagen na de deadline van 72 uur bij de AP gemeld (Boete Booking.com voor te laat melden datalek | Autoriteit Persoonsgegevens).
• De AP heeft de gemeente Enschede een boete van 600.000 euro opgelegd wegens het tellen van winkelend publiek via wifitracking in de binnenstad van Enschede. Hiermee beoogde de gemeente in de gaten te houden hoe druk het was in de binnenstad, maar daarbij kon zij feitelijk ook mensen volgen. Dit was niet noodzakelijk voor het reguleren van de drukte in de binnenstad, maar de inzet van wifitracking die dit mogelijk maakt achtte de AP reeds ongeoorloofd. De inzet van wifitracking is aan strenge vereisten gebonden (Boete gemeente Enschede om wifitracking | Autoriteit Persoonsgegevens). Zie ook ons eerdere blog hierover: Autoriteit Persoonsgegevens: mensen volgen met wifi-tracking mag bijna nooit | Ploum Rotterdam Law Firm.
• De AP heeft de PVV Overijssel een boete van 7.500 euro opgelegd, omdat zij een mail hebben gestuurd waarbij de e-mailadressen van alle geadresseerden zichtbaar waren. Dit incident is vervolgens niet gemeld bij de AP, waarvoor een boete is opgelegd. Wegens de draagkracht van de PVV Overijssel is de boete lager uitgevallen (Boete PVV Overijssel vanwege niet melden datalek | Autoriteit Persoonsgegevens).
• Locatefamily.com heeft een boete van 525.000 euro opgelegd gekregen met een last onder dwangsom, omdat zij persoonsgegevens van personen binnen de EER verwerkt, maar geen vestiging of vertegenwoordiger binnen de EER heeft. Betrokkenen hebben hierdoor geen aanspreekpunt binnen de EER en dat is onder de AVG wel vereist voor verwerkingsverantwoordelijken gevestigd buiten de EU (Boete van 525.000 euro voor Locatefamily.com | Autoriteit Persoonsgegevens).
• Recent heeft de AP het onderhoudsbedrijf CP&A een boete opgelegd van 15.000 euro voor het bijhouden van redenen voor het ziekteverzuim van haar werknemers. CP&A verwerkt hiermee meer persoonsgegevens dan noodzakelijk (“nice-to-haves”), en toegestaan (gezondheidsgegevens zijn bijzondere persoonsgegevens in de zin van de AVG, die werkgevers niet mogen verwerken). Bovendien was de toegang tot deze gegevens onvoldoende beveiligd (Boete voor CP&A om privacyschending zieke werknemers | Autoriteit Persoonsgegevens). Zie over het verwerken van bijzondere persoonsgegevens bijvoorbeeld ook: Temperatuur opmeten van bezoekers en werknemers: mag dat? | Ploum Rotterdam Law Firm.

Twee relevante ontwikkelingen in de rechtspraak

• Naast de gepubliceerde boetes noemen wij nog twee ontwikkelingen van de afgelopen tijd, die zeer relevant zijn voor de praktijk. Allereerst de zaak VoetbalTV, over een videoplatform met 520.000 gebruikers. Dit platform heeft volgens de AP persoonsgegevens verwerkt zonder rechtmatige grondslag en om die reden is een boete van 575.000 euro opgelegd. De rechtbank overwoog echter in 2020 dat de AP een te strenge toepassing hanteert en veegt de boete geheel van tafel. De AP vond dat een commercieel belang geen ‘gerechtvaardigd belang’ kon zijn in de zin van de AVG, maar de rechtbank was het daar niet mee eens. De AP had dan ook verder moeten toetsen of de verwerking geoorloofd was (http://deeplink.rechtspraak.nl/uitspraak?id=ECLI:NL:RBMNE:2020:5111). Zie ook ons eerdere blog over dit onderwerp, geschreven vóór de uitspraak van de rechtbank: Autoriteit Persoonsgegevens (te?) streng over gerechtvaardigd belang en marketing? | Ploum Rotterdam Law Firm.
• Daarnaast is door het Schrems II arrest op Europees niveau komen vast te staan dat bij het doorgeven van gegevens aan derde landen grote oplettendheid is vereist. In dit arrest heeft het Hof van Justitie het Privacy Shield, op basis waarvan persoonsgegevens vanuit de EU konden worden doorgegeven aan de VS, ongeldig verklaard. De tevens veelgebruikte Europese Modelcontracten (Standard Contractual Clauses, “SCC’s”) voor de uitwisseling van persoonsgegevens met derde landen kunnen een passende waarborg bieden, aldus het Hof van Justitie. Echter, bij het gebruik hiervan dient wel te worden nagegaan in hoeverre deze afspraken kunnen worden nagekomen en kunnen aanvullende maatregelen zijn vereist (ECLI:EU:C:2020:559; Het Hof verklaart besluit 2016/1250 betreffende de gepastheid van de door het EU-VS-privacyschild geboden bescherming ongeldig (europa.eu)). Er wordt intussen aan een nieuwe versie van de SCC’s gewerkt, die binnen afzienbare tijd wordt verwacht. Zie voor veelgestelde vragen over dit onderwerp: edpb_faqs_schrems_ii_202007_adopted_nl.pdf (europa.eu) of mail naar privacy@ploum.nl voor meer informatie. 

Lessons learned

Ondanks het prille bestaan, heeft de AVG ons de afgelopen 3 jaar veel stof tot nadenken gegeven. De AP zal vermoedelijk steeds vaker van zich laten horen en we weten inmiddels ook dat het kan lonen om tegen een opgelegde boete op te treden. Tot nu toe valt te concluderen dat veel belang wordt gehecht aan het treffen van passende beveiligingsmaatregelen, zoals tweefactor-authenticatie, logging en controle daarvan, maar denk bijvoorbeeld ook aan passende afspraken in (arbeids-)overeenkomsten. Bovendien dienen betrokkenen hun rechten onder de AVG zonder opgeworpen drempels te kunnen uitoefenen en dienen datalekken tijdig te worden gemeld.

Let op bij het verwerken van bijzondere persoonsgegevens (o.a. van werknemers), verwerk niet meer persoonsgegevens dan noodzakelijk en onderneem actie met betrekking tot gegevensverwerkingen buiten de EU (EER). De doorgifte van persoonsgegevens aan derde landen zal de komende periode de nodige aandacht (blijven) vergen. Meer algemeen verwachten wij dat de functie van de AVG – en daarbij de handhaving van de AP en invulling van bepaalde normen door de rechter – de aankomende jaren alleen maar nog bepalender zullen worden. Bekijk drie jaar na dato dan ook nog eens met een frisse blik uw verwerkingsregister, privacy policy’s, beveiligingsmaatregelen (incl. handhaving daarvan) en uw overeenkomsten met betrekking tot de verwerking van persoonsgegevens.

Hulp nodig?

Heeft u hulp nodig bij het herzien van uw beleidsdocumenten of andere vragen over de verwerking van persoonsgegevens? Neem contact op met Nina Witt (n.witt@ploum.nl) of mail naar privacy@ploum.nl, dan nemen wij z.s.m. contact met u op.