26 jan '23
In het kader van de Europese Dag van de Privacy op 28 januari a.s. en zoals aangekondigd in ons jaaroverzicht Privacyrecht in 2022, hebben wij op een rijtje gezet welke boetes de Autoriteit Persoonsgegevens (AP) het afgelopen jaar heeft opgelegd. In totaal zijn er vier boetebesluiten gepubliceerd. Daarnaast is de AP betrokken geweest bij twee boetes die zijn opgelegd door de Spaanse gegevensbeschermingsautoriteit. Waarom werden deze boetes opgelegd en zien wij overeenkomsten met voorgaande jaren? Wat zijn de belangrijkste takeaways?
Op 14 januari 2022 is door de AP een boete van EUR 525.000 opgelegd aan DPG Media (het bedrijf dat Sanoma overnam), omdat klanten zonder online account een ID-bewijs moesten uploaden om hun rechten met betrekking tot de van hen verwerkte persoonsgegevens (verwijdering, inzage) te mogen uitoefenen. Het verwerken van een kopie van een ID-bewijs kan aanzienlijke privacyrisico’s met zich brengen (zoals identiteitsfraude). Naar het oordeel van de AP moet hiermee terughoudend worden omgegaan en was het in dit geval niet noodzakelijk en ongeoorloofd om een kopie van een ID-bewijs te verlangen.
Hiervoor is niet eerder een boete opgelegd, maar dat zorgvuldig moet worden omgegaan met een kopie ID is niet nieuw. Wanneer betrokkenen op een andere manier geïdentificeerd kunnen worden, bijvoorbeeld door het gebruik van een verificatiemail en/of andere gegevens die al in het bezit van de organisatie zijn, is dat de aangewezen route. Het mag betrokkenen ook niet onnodig moeilijk worden gemaakt om hun rechten onder de AVG uit te oefenen.
Op 24 februari 2022 kreeg het ministerie van Buitenlandse Zaken een boete van EUR 565.000. De AP heeft deze boete opgelegd omdat het systeem dat het ministerie gebruikte om visumaanvragen te verwerken onvoldoende was beveiligd. Daarnaast verschafte het ministerie onvoldoende informatie aan visumaanvragers over de verwerking van hun persoonsgegevens. Ook heeft de AP een last onder dwangsom opgelegd. Het ministerie diende de beveiliging van haar systemen op orde te krijgen en voldoende informatie aan visumaanvragers te verstrekken. Elke week dat hier niet aan zou worden voldaan zou het ministerie een dwangsom van EUR 50.000 voor de gebrekkige beveiliging en EUR 10.000 voor de gebrekkige informatie verbeuren.
Dat er meer remedies zijn dan alleen het opleggen van boetes is bekend. Wij zagen ook al diverse malen dat boetes worden opgelegd wegens het niet voldoen aan de verplichting onder de AVG om te zorgen voor passende beveiligingsmaatregelen bij de verwerking van persoonsgegevens en een adequate informatievoorziening aan betrokkenen.
Op 7 april 2022 is door de AP de hoogste boete tot nu toe (in Nederland) opgelegd. Dit is een boete van EUR 3,7 miljoen, opgelegd aan de Belastingdienst. De boete houdt verband met het op grote schaal jarenlang illegaal verwerken van persoonsgegevens op een zwarte lijst, namelijk de Fraude Signalering Voorziening (FSV). De boete werd opgelegd om diverse redenen:
De ‘zwarte lijst’ zien wij in de rechtspraak ook wel terug. Er gelden specifieke vereisten om een zodanige lijst bij te kunnen houden en dat vergt een grondige analyse. De boete die hier is opgelegd ziet op het niet voldoen aan belangrijke basisprincipes van de AVG. Hiermee is ook nog eens benadrukt dat het zaak is om tijdig (voorafgaand aan een risicovolle verwerking) advies in te winnen van een FG, privacy officer en/of juridisch dienstverlener.
Aan het eind van het afgelopen jaar, op 17 november 2022, heeft de AP een boete opgelegd aan de korpschef van de politie Rotterdam. Dit omdat de politie Rotterdam auto’s met camera’s heeft ingezet om samenscholing in tijden van corona te bestrijden. Voor de inzet van deze auto’s heeft de politie voorafgaand aan de verwerking geen gegevensbeschermingseffectbeoordeling (DPIA) uitgevoerd, terwijl dit wel verplicht was omdat er sprake was van een hoog privacyrisico. Dit o.a. omdat gegevens werden verwerkt met behulp van een nieuwe technologische toepassing en de burgers waarschijnlijk niet zouden weten dat beelden zouden worden verzameld of hoe deze werden gebruikt. Verder werden er volgens de AP ook teveel niet-noodzakelijke beelden verwerkt.
Opvallend is dat de korpschef zelf als verwerkingsverantwoordelijke werd gekwalificeerd en de boete van EUR 50.000 kreeg. Deze boete werd opgelegd in het kader van specifieke wetgeving voor de politie inzake de verwerking van persoonsgegevens, maar een en ander is ook relevant in het kader van de regels die volgen uit de AVG. Hier zagen wij ook zijdelings weer de vraag voorbij komen hoe lang camerabeelden nu daadwerkelijk mogen worden bewaard, waarover bij elke inzet van camera’s goed moet worden nagedacht. Een DPIA is de aangewezen weg.
Tot slot is de AP in 2022 ook betrokken geweest bij twee boetes die zijn opgelegd door de Spaanse gegevensbeschermingsautoriteit, omdat er inbreuk gemaakt op de AVG bij de verwerking van persoonsgegevens afkomstig van Nederlandse betrokkenen. De eerste boete van EUR 30.000 werd opgelegd aan een Spaans hotel in verband met – daar is het onderwerp dan toch weer – het gebruik van een foto van het paspoort van hotelbezoekers om gasten te identificeren bij bestellingen. Gasten werden niet geïnformeerd over deze verwerking. Een Nederlandse gast diende hierover een klacht in bij de AP en die achtte de verwerking niet rechtmatig, o.a. vanwege een gebrek aan toestemming en noodzakelijkheid van de verwerking. Het gebruik van het paspoort was ook een te zwaar middel, gasten konden ook op een andere manier worden geïdentificeerd.
De tweede boete in dit kader werd opgelegd aan recruitmentbureau Michael Page. Wederom vanwege (o.a.) het onrechtmatig opvragen van een ID-bewijs bij een verzoek tot inzage in persoonsgegevens door betrokkenen. Ook hier diende een Nederlandse betrokkene een klacht in en dit heeft – ook hier wegens een gebrek aan noodzakelijkheid – geleid tot een boete van EUR 240.000.
In het afgelopen jaar heeft de AP een stuk minder boetes opgelegd dan in de jaren daarvoor (zie bijvoorbeeld ook ons blog over de boetes van de AP in de eerste 3 jaar onder de AVG). Wel zien we dat nog altijd aanzienlijke boetebedragen worden opgelegd en het zou kunnen dat de AP nog hogere boetes zal opleggen in de toekomst, zoals toegelicht in ons eerdere blog. Wie weet ook weer in een hoger tempo. Het blijft dus onverminderd belangrijk om te voldoen aan de AVG, om het risico op (hoge) boetes te vermijden.
Heeft u vragen over het op de juiste manier inrichten van uw (huidige of geplande) verwerkingsactiviteiten? Hulp nodig bij het uitvoeren van een DPIA of uw verwerkingen weer eens onder de loep houden met onze Ploum Privacy Quick Scan? Neem gerust contact met ons op of mail naar privacy@ploum.nl.
20 dec 24
18 dec 24
10 dec 24
04 dec 24
29 nov 24
25 nov 24
19 nov 24
13 nov 24
11 nov 24
07 nov 24
01 nov 24
21 okt 24
Met uw inschrijving blijft u op de hoogte van de laatste juridische ontwikkelingen op dit gebied. Vul hieronder uw gegevens in om per e-mail op te hoogte te blijven.
Blijf op de hoogte van de laatste juridische ontwikkelingen in uw sector. Vul hieronder uw gegevens in om op maat gesneden juridische updates en uitnodigingen voor evenementen te ontvangen.
Volgen wat u interessant vindt
Krijg aanbevelingen op basis van uw interesses
{phrase:advantage_3}
{phrase:advantage_4}
We vragen u om uw voor- en achternaam zodat wij die kunnen gebruiken als u zich bijvoorbeeld inschrijft op een Ploum Kennisevent.
Er wordt automatisch een wachtwoord voor u aangemaakt. Zodra uw account is aangemaakt ontvangt u dit wachtwoord in een welkomstmail. U kunt er direct mee inloggen. Dit wachtwoord kunt u indien gewenst ook zelf aanpassen via de wachtwoord vergeten functie.